RSA算法原理（二）

上一次，我介紹了一些數論知識。

有了這些知識，咱們就能夠看懂RSA算法。這是目前地球上最重要的加密算法。

6、密鑰生成的步驟

咱們經過一個例子，來理解RSA算法。假設愛麗絲要與鮑勃進行加密通訊，她該怎麼生成公鑰和私鑰呢？

第一步，隨機選擇兩個不相等的質數p和q。

愛麗絲選擇了61和53。（實際應用中，這兩個質數越大，就越難破解。）

第二步，計算p和q的乘積n。

愛麗絲就把61和53相乘。

　　n = 61×53 = 3233

n的長度就是密鑰長度。3233寫成二進制是110010100001，一共有12位，因此這個密鑰就是12位。實際應用中，RSA密鑰通常是1024位，重要場合則爲2048位。

第三步，計算n的歐拉函數φ(n)。

根據公式：

　　φ(n) = (p-1)(q-1)

愛麗絲算出φ(3233)等於60×52，即3120。

第四步，隨機選擇一個整數e，條件是1< e < φ(n)，且e與φ(n) 互質。

愛麗絲就在1到3120之間，隨機選擇了17。（實際應用中，經常選擇65537。）

第五步，計算e對於φ(n)的模反元素d。

所謂"模反元素"就是指有一個整數d，可使得ed被φ(n)除的餘數爲1。

　　ed ≡ 1 (mod φ(n))

這個式子等價於

　　ed - 1 = kφ(n)

因而，找到模反元素d，實質上就是對下面這個二元一次方程求解。

　　ex + φ(n)y = 1

已知 e=17, φ(n)=3120，

　　17x + 3120y = 1

這個方程能夠用"擴展歐幾里得算法"求解，此處省略具體過程。總之，愛麗絲算出一組整數解爲 (x,y)=(2753,-15)，即 d=2753。

至此全部計算完成。

第六步，將n和e封裝成公鑰，n和d封裝成私鑰。

在愛麗絲的例子中，n=3233，e=17，d=2753，因此公鑰就是 (3233,17)，私鑰就是（3233, 2753）。

實際應用中，公鑰和私鑰的數據都採用ASN.1格式表達（實例）。

7、RSA算法的可靠性

回顧上面的密鑰生成步驟，一共出現六個數字：

　　p
　　q
　　n
　　φ(n)
　　e
　　d

這六個數字之中，公鑰用到了兩個（n和e），其他四個數字都是不公開的。其中最關鍵的是d，由於n和d組成了私鑰，一旦d泄漏，就等於私鑰泄漏。

那麼，有無可能在已知n和e的狀況下，推導出d？

　　（1）ed≡1 (mod φ(n))。只有知道e和φ(n)，才能算出d。

　　（2）φ(n)=(p-1)(q-1)。只有知道p和q，才能算出φ(n)。

　　（3）n=pq。只有將n因數分解，才能算出p和q。

結論：若是n能夠被因數分解，d就能夠算出，也就意味着私鑰被破解。

但是，大整數的因數分解，是一件很是困難的事情。目前，除了暴力破解，尚未發現別的有效方法。維基百科這樣寫道：

　　"對極大整數作因數分解的難度決定了RSA算法的可靠性。換言之，對一極大整數作因數分解愈困難，RSA算法愈可靠。

　　假若有人找到一種快速因數分解的算法，那麼RSA的可靠性就會極度降低。但找到這樣的算法的可能性是很是小的。今天只有短的RSA密鑰纔可能被暴力破解。到2008年爲止，世界上尚未任何可靠的攻擊RSA算法的方式。

　　只要密鑰長度足夠長，用RSA加密的信息其實是不能被解破的。"

舉例來講，你能夠對3233進行因數分解（61×53），可是你無法對下面這個整數進行因數分解。

　　12301866845301177551304949
　　58384962720772853569595334
　　79219732245215172640050726
　　36575187452021997864693899
　　56474942774063845925192557
　　32630345373154826850791702
　　61221429134616704292143116
　　02221240479274737794080665
　　351419597459856902143413

它等於這樣兩個質數的乘積：

　　33478071698956898786044169
　　84821269081770479498371376
　　85689124313889828837938780
　　02287614711652531743087737
　　814467999489
　　　　×
　　36746043666799590428244633
　　79962795263227915816434308
　　76426760322838157396665112
　　79233373417143396810270092
　　798736308917

事實上，這大概是人類已經分解的最大整數（232個十進制位，768個二進制位）。比它更大的因數分解，尚未被報道過，所以目前被破解的最長RSA密鑰就是768位。

8、加密和解密

有了公鑰和密鑰，就能進行加密和解密了。

（1）加密要用公鑰 (n,e)

假設鮑勃要向愛麗絲髮送加密信息m，他就要用愛麗絲的公鑰 (n,e) 對m進行加密。這裏須要注意，m必須是整數（字符串能夠取ascii值或unicode值），且m必須小於n。

所謂"加密"，就是算出下式的c：

　　me ≡ c (mod n)

愛麗絲的公鑰是 (3233, 17)，鮑勃的m假設是65，那麼能夠算出下面的等式：

　　6517 ≡ 2790 (mod 3233)

因而，c等於2790，鮑勃就把2790發給了愛麗絲。

（2）解密要用私鑰(n,d)

愛麗絲拿到鮑勃發來的2790之後，就用本身的私鑰(3233, 2753) 進行解密。能夠證實，下面的等式必定成立：

　　cd ≡ m (mod n)

也就是說，c的d次方除以n的餘數爲m。如今，c等於2790，私鑰是(3233, 2753)，那麼，愛麗絲算出

　　27902753 ≡ 65 (mod 3233)

所以，愛麗絲知道了鮑勃加密前的原文就是65。

至此，"加密--解密"的整個過程所有完成。

咱們能夠看到，若是不知道d，就沒有辦法從c求出m。而前面已經說過，要知道d就必須分解n，這是極難作到的，因此RSA算法保證了通訊安全。

你可能會問，公鑰(n,e) 只能加密小於n的整數m，那麼若是要加密大於n的整數，該怎麼辦？有兩種解決方法：一種是把長信息分割成若干段短消息，每段分別加密；另外一種是先選擇一種"對稱性加密算法"（好比DES），用這種算法的密鑰加密信息，再用RSA公鑰加密DES密鑰。

9、私鑰解密的證實

最後，咱們來證實，爲何用私鑰解密，必定能夠正確地獲得m。也就是證實下面這個式子：

　　cd ≡ m (mod n)

由於，根據加密規則

　　ｍe ≡ c (mod n)

因而，c能夠寫成下面的形式：

　　c = me - kn

將c代入要咱們要證實的那個解密規則：

　　(me - kn)d ≡ m (mod n)

它等同於求證

　　med ≡ m (mod n)

因爲

　　ed ≡ 1 (mod φ(n))

因此

　　ed = hφ(n)+1

將ed代入：

　　mhφ(n)+1 ≡ m (mod n)

接下來，分紅兩種狀況證實上面這個式子。

（1）m與n互質。

根據歐拉定理，此時

　　mφ(n) ≡ 1 (mod n)

獲得

　　(mφ(n))h × m ≡ m (mod n)

原式獲得證實。

（2）m與n不是互質關係。

此時，因爲n等於質數p和q的乘積，因此m必然等於kp或kq。

以 m = kp爲例，考慮到這時k與q必然互質，則根據歐拉定理，下面的式子成立：

　　(kp)q-1 ≡ 1 (mod q)

進一步獲得

　　[(kp)q-1]h(p-1) × kp ≡ kp (mod q)

即

　　(kp)ed ≡ kp (mod q)

將它改寫成下面的等式

　　(kp)ed = tq + kp

這時t必然能被p整除，即 t=t'p

　　(kp)ed = t'pq + kp

由於 m=kp，n=pq，因此

　　med ≡ m (mod n)

原式獲得證實。

（完）