【Practical】RAS体系(二)加密解密算法

• 在RAS体系(一)数学基础的最后已经介绍了RSA密钥生成算法，此时已经获得了一对公私钥。对方使用我的公钥对明文进行加密后得到密文，我收到密文后使用保护好的私钥进行解密，获得原本内容。

RSA密钥生成算法.

• 【Here】

加密算法.

• 加密使用幂模运算，公钥为 $(e,n)$，明文为 $X$，那么密文 $Y=X^{e}modn.$

解密算法.

• 解密使用幂模运算，私钥为 $(d,n)$，密文为 $Y$，那么明文 $X=Y^{d}modn.$

解密算法有效性.

• 加密算法有效性很直观，容易理解，但解密算法的有效性不那么清晰，关键在于：为什么对密文进行幂模运算后就能够得到明文。
• 加密过程使用的幂模运算 $Y=X^{e}modn$ 等价于 $X^e-Y=kn$，即 $Y=X^e-kn$.
• 将密文 $Y$ 代入解密运算 $X=Y^{d}modn=(X^e-kn{)}^{d}modn$，考察 $(X^e-kn{)}^d$，根据二项式定理，除了第一项 $X^{ed}$ 以外，之后的每一项中都有因式 $kn$，因此 $(X^e-kn{)}^{d}modn=X^{ed}modn$.
• 回顾RSA密钥生成算法中 $(e,d)$ 产生的公式 $ed\equiv 1(mod\varphi (n))$，所以有 $ed-1=t\cdot \varphi (n)$，因此上面的式子可以写为 $X^{t\cdot \varphi (n)+1}modn$.
• 【X与n互质】第一种情况，互质时根据欧拉定理，有 $X^{\varphi (n)}=kn+1$，所以 $X^{t\varphi (n)}=(kn+1{)}^t$. 同样根据二项式定理可以发现 $(kn+1{)}^{t}modn=1$

【模运算法则】$(ab)modn=[(amodn)(bmodn)]modn$.

• 所以解密过程的公式 $X^{t\cdot \varphi (n)+1}modn=[(X^{t\varphi (n)}modn)(Xmodn)]modn=Xmodn$. 由于本情况中限制了 $X$ 与 $n$ 互质，因此当 $X<n$ 时 $Xmodn=X$，解密算法可以还原出明文。

【RSA规范】关于 $X\ge n$，RSA规范中限制了 $X$ 的范围是 $(0,n-1)$.

• 【X与n不互质】由于 $n=pq$，所以 $n$ 只有这两个因子，显然 $X$ 的因子中不能同时出现这两个数，否则将有 $X\ge n$. 不妨令 $X=kp$，那么 $X$ 和 $q$ 互质，根据欧拉定理有 $X^{\varphi (q)}\equiv 1(modq),\varphi (q)=q-1.$

【同余性质】若$a\equiv b(modn)$，则 $a^r\equiv b^r(modn)$.

• 因此上式可以写为 $X^{t\cdot \varphi (q)\varphi (p)}\equiv 1(modq)$，两边同时乘以 $X$，得 $X^{t\cdot \varphi (q)\varphi (p)+1}\equiv X(modq)$.
• 根据欧拉函数的性质可知 $\varphi (n)=\varphi (p)\varphi (q)$，所以 $t\cdot \varphi (q)\varphi (p)+1=t\varphi (n)+1=ed$，所以 $X^{ed}\equiv X(modq)$，即 $X^{ed}=X+hq,h\in Z$. 本情况中假设了 $X=kp$，所以 $(kp{)}^{ed}=kp+hq$.
• 上述等式中 $p|(kp{)}^{ed}$，因此 $p|(kp+hq)$，所以有 $p|hq$. 由于 $p,q$ 互质，所以一定有 $h=rp$，所以 $X^{ed}=kp+hq=kp+rpq=X+rn$.
• 解密运算 $X^{ed}modn=(X+rn)modn=[(Xmodn)(rnmodn)]modn=Xmodn$，因为 $X\in (0,n-1)$，所以 $Xmodn=X$，解密得到了明文。

破解RSA.

• RSA密钥生成算法中共涉及 $p,q,n,e,d$，其中 $n,e,d$ 是保留的，并且 $(e,n)$ 作为公钥公开，那么破解则是需要根据 $e,n$ 推算出 $d$.
• $ed\equiv 1(mod\varphi (n))$，而 $\varphi (n)=(p-1)(q-1)$，所以需要知道用于生成 $n$ 的两个相异素数 $p,q$.
• RSA加密安全性背后的数论原理：将两个大素数(例如现在使用的2048位)相乘很容易，但对乘积结果进行素因子分解，得到原来的两个素数却极为困难。