RSA 加密算法 RSA 加密算法是一种非对称加密算法,在公开密钥加密和电子商业中被广泛使用。RSA 是由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)在 1977 年一起提出的。当时他们三人都在麻省理工学院工作。RSA 就是他们三人姓氏开头字母拼在一起组成的。
—— 维基百科
互联网是自由的,我们可以在网上获得几乎任何想得到的信息。1960 年,美国国防部高等研究计划署(DARPA)出于冷战的考虑,建立了网络的老祖宗——ARPANET。网络发展初期,人们并没有考虑太多有关网络安全的事,因为那时网络只有军方还有寥寥几所大学在用,大家在网上分享文献书籍,相互交流,如果还要设置密码只会徒增麻烦。网络给人们带来了极大的便利,其巨大的研究价值和商业价值也被人们发现,随之而来的就是互联网的蓬勃发展及大范围普及。随着用户的增多,信息安全越来越重要,人们需要寻找一种可靠的加密算法,这个时候,RSA 算法开始登上历史舞台。
算法的诞生 RSA 算法诞生的具体细节可以看这篇博客 ,写的挺好
算法过程 假如 Alice 要通过网络向 Bob 发送一条私人信息,她可以通过如下几步得到一个公钥 和密钥 :
随机选取两个不同的大素数 p p p q q q N = p q N=pq N = pq 根据欧拉函数,求得 r = φ ( N ) = φ ( p ) × φ ( q ) = ( p − 1 ) ( q − 1 ) r=\varphi(N)=\varphi(p)\times\varphi(q)=(p-1)(q-1) r = φ ( N ) = φ ( p ) × φ ( q ) = ( p − 1 ) ( q − 1 ) 选择一个小于 r r r r r r e e e d d d e d ≡ 1 ( m o d r ) ed\equiv 1(mod\ r) e d ≡ 1 ( m o d r ) 销毁 p p p q q q ( N , e ) (N,e) ( N , e ) ( N , d ) (N,d) ( N , d ) 现在 Alice 把公钥 ( N , e ) (N,e) ( N , e ) ( N , d ) (N,d) ( N , d )
c ≡ n e ( m o d N ) c\equiv n^e(mod\ N) c ≡ n e ( m o d N )
得到加密后的 c。最后将加密后的各段连接起来就可以发给 Alice 了。Alice 收到 Bob 的密文后,先将密文分段,将每一段设为 c,然后就可以通过自己的密钥得到明文:
n ≡ c d ( m o d N ) n\equiv c^d(mod\ N) n ≡ c d ( m o d N )
算法原理 前置概念 RSA 加密算法需要一些数论知识,我们首先要知道什么是同余,什么是剩余系,什么是欧拉公式,以及欧拉定理和费马定理的内容。这里只给出一些必要的知识点,详细证明不做论证,还请看课本。如果这些内容你都了解,那就可以直接跳到理论推导
同余 对于任意非零整数 a a a m m m q q q r r r
a = m q + r ( 0 ≤ r ≤ m ) a=mq+r\ (0\leq r\le m) a = m q + r ( 0 ≤ r ≤ m )
这个时候 a a a m m m r r r b b b b = m q ’ + r b=mq’+r b = m q ’ + r a a a b b b m m m a a a b b b m m m
a ≡ b ( m o d m ) a\equiv b\ (mod\ m) a ≡ b ( m o d m )
欧拉公式 欧拉函数 φ ( a ) \varphi(a) φ ( a ) 0 , 1 , 2 , ⋯ , a − 1 0,1,2,\cdots,a-1 0 , 1 , 2 , ⋯ , a − 1 a a a
简化剩余系 对于非零整数 a a a a a a a a a 0 , 1 , ⋯ , a − 1 0,1,\cdots,a-1 0 , 1 , ⋯ , a − 1 a a a a a a 剩余类 ;再从这些剩余类中分别取一个数组成一个集合,这样就得到了 a a a 完全剩余系 ,比如 3 的完全剩余系可以为 1,4,3 或者 0,1,2。
如果一个剩余类中的数模 a a a a a a a a a a a a 简化剩余类 。比如对于 6 来说,它的完全剩余类可以为 0,1,2,3,4,5,简化剩余类 1,5。
定理 X 若 ( a , m ) = 1 (a,m)=1 ( a , m ) = 1 m m m x x x a x ax a x m m m
证明 :
由于 ( a , m ) = 1 , ( x , m ) = 1 (a,m)=1,(x,m)=1 ( a , m ) = 1 , ( x , m ) = 1 ( a x , m ) = 1 (ax,m)=1 ( a x , m ) = 1 x 1 x_1 x 1 x 2 x_2 x 2
x 1 ≢ x 2 ( m o d m ) x_1\not\equiv x_2(mod\ m) x 1 ≡ x 2 ( m o d m )
而 a x 1 ≡ a x 2 ( m o d m ) ax_1\equiv ax_2(mod\ m) a x 1 ≡ a x 2 ( m o d m ) a ( x 1 − x 2 ) ≡ 0 ( m o d m ) a(x_1-x_2)\equiv 0(mod\ m) a ( x 1 − x 2 ) ≡ 0 ( m o d m ) x 1 ≡ x 2 ( m o d m ) x_1\equiv x_2(mod\ m) x 1 ≡ x 2 ( m o d m )
欧拉定理 设 m m m ( a , m ) = 1 (a,m)=1 ( a , m ) = 1
a φ ( m ) ≡ 1 ( m o d m ) a^{\varphi(m)}\equiv 1(mod\ m) a φ ( m ) ≡ 1 ( m o d m )
证明 :
我们设 r 1 , r 2 , ⋯ , r φ ( m ) r_1,r_2,\cdots,r_{\varphi(m)} r 1 , r 2 , ⋯ , r φ ( m ) m m m a r 1 , a r 2 , ⋯ , a r φ ( m ) ar_1,ar_2,\cdots,ar_{\varphi(m)} a r 1 , a r 2 , ⋯ , a r φ ( m ) m m m
( a r 1 ) ⋯ ( a r φ ( m ) ) ≡ r 1 r 2 ⋯ r φ ( m ) ( m o d m ) (ar_1)\cdots(ar_{\varphi(m)})\equiv r_1r_2\cdots r_{\varphi(m)}(mod\ m) ( a r 1 ) ⋯ ( a r φ ( m ) ) ≡ r 1 r 2 ⋯ r φ ( m ) ( m o d m )
则
a φ ( m ) ( r 1 r 2 ⋯ r φ ( m ) ) ≡ r 1 r 2 ⋯ r φ ( m ) ( m o d m ) a^{\varphi(m)}(r_1r_2\cdots r_{\varphi(m)})\equiv r_1r_2\cdots r_{\varphi(m)}(mod\ m) a φ ( m ) ( r 1 r 2 ⋯ r φ ( m ) ) ≡ r 1 r 2 ⋯ r φ ( m ) ( m o d m )
又因为 ( r 1 r 2 ⋯ r φ ( m ) , m ) = 1 (r_1r_2\cdots r_{\varphi(m)},m)=1 ( r 1 r 2 ⋯ r φ ( m ) , m ) = 1
a φ ( m ) ≡ 1 ( m o d m ) a^{\varphi(m)}\equiv 1(mod\ m) a φ ( m ) ≡ 1 ( m o d m )
费马定理 若 p p p
a p ≡ a ( m o d p ) a^{p}\equiv a(mod\ p) a p ≡ a ( m o d p )
费马定理可以由欧拉定理直接得到:因为 p p p φ ( p ) = p − 1 \varphi(p)=p-1 φ ( p ) = p − 1
a p ≡ a 1 + φ ( p ) ≡ a ⋅ 1 ≡ a ( m o d p ) a^{p}\equiv a^{1+\varphi(p)}\equiv a\cdot 1\equiv a(mod\ p) a p ≡ a 1 + φ ( p ) ≡ a ⋅ 1 ≡ a ( m o d p )
理论推导 我们用数学语言再复述一遍算法过程:p p p q q q N = p q N=pq N = pq e e e d d d e d ≡ 1 ( m o d φ ( N ) ) ed\equiv1(mod\ \varphi(N)) e d ≡ 1 ( m o d φ ( N )) a ( 0 ≤ a ≤ N − 1 ) a(0\leq a\leq N-1) a ( 0 ≤ a ≤ N − 1 ) a a a a e ≡ b ( m o d N ) a^e\equiv b(mod\ N) a e ≡ b ( m o d N ) b b b b d ≡ a ( m o d N ) b^d\equiv a(mod\ N) b d ≡ a ( m o d N ) b b b a a a
在生成密钥时,根据同余的性质,一定可以找到一对 e e e d d d e d ≡ 1 ( m o d φ ( N ) ) ed\equiv1(mod\ \varphi(N)) e d ≡ 1 ( m o d φ ( N ))
b d ≡ a e d ≡ a ( m o d N ) b^d\equiv a^{ed}\equiv a(mod\ N) b d ≡ a e d ≡ a ( m o d N )
从而只需要证明 a e d ≡ a ( m o d N ) a^{ed}\equiv a(mod\ N) a e d ≡ a ( m o d N ) e d ≡ 1 ( m o d φ ( N ) ) ed\equiv1(mod\ \varphi(N)) e d ≡ 1 ( m o d φ ( N )) e d = k φ ( N ) + 1 ed=k\varphi(N) + 1 e d = k φ ( N ) + 1 N = p q N=pq N = pq
a 1 + k φ ( N ) ≡ a ( m o d p ) , a 1 + k φ ( N ) ≡ a ( m o d q ) a^{1+k\varphi(N)}\equiv a(mod\ p),a^{1+k\varphi(N)}\equiv a(mod\ q) a 1 + k φ ( N ) ≡ a ( m o d p ) , a 1 + k φ ( N ) ≡ a ( m o d q )
因为由欧拉公式可以得到 φ ( N ) = φ ( p q ) = ( p − 1 ) ( q − 1 ) \varphi(N)=\varphi(pq)=(p-1)(q-1) φ ( N ) = φ ( pq ) = ( p − 1 ) ( q − 1 ) p p p a a a a = k p a=kp a = k p p p p a a a a p − 1 ≡ 1 ( m o d p ) a^{p-1}\equiv1(mod\ p) a p − 1 ≡ 1 ( m o d p )
a ( p − 1 ) ( q − 1 ) ≡ 1 q − 1 ≡ 1 ( m o d p ) a^{(p-1)(q-1)}\equiv1^{q-1}\equiv1(mod\ p) a ( p − 1 ) ( q − 1 ) ≡ 1 q − 1 ≡ 1 ( m o d p )
从而
a 1 + k φ ( N ) ≡ a ⋅ a k ( p − 1 ) ( q − 1 ) ≡ a ⋅ 1 k ≡ a ( m o d p ) a^{1+k\varphi(N)}\equiv a\cdot a^{k(p-1)(q-1)}\equiv a\cdot1^{k}\equiv a(mod\ p) a 1 + k φ ( N ) ≡ a ⋅ a k ( p − 1 ) ( q − 1 ) ≡ a ⋅ 1 k ≡ a ( m o d p )
同理可以得到
a 1 + k φ ( N ) ≡ a ( m o d q ) a^{1+k\varphi(N)}\equiv a(mod\ q) a 1 + k φ ( N ) ≡ a ( m o d q )
综上我们就可以证明通过密钥 d d d
实例演示 知道了 RSA 的原理后,我们再看一个例子来加深对整个算法流程的理解。假如 Bob 要向 Alice 发送一个数字 173,那么她需要做如下的操作
首先生成密钥。Alice 选择了两个素数 13 和 19,求得 N N N r r r e e e d d d 25 × 121 ≡ 1 ( m o d 216 ) 25\times121\equiv 1(mod\ 216) 25 × 121 ≡ 1 ( m o d 216 ) ( 121 , 247 ) (121,247) ( 121 , 247 ) ( 25 , 247 ) (25,247) ( 25 , 247 )
有了公钥和私钥,Bob 就可以发信息了,17 3 25 ≡ 147 ( m o d 247 ) 173^{25}\equiv 147(mod\ 247) 17 3 25 ≡ 147 ( m o d 247 ) 14 7 121 ≡ 173 ( m o d 247 ) 147^{121}\equiv173(mod\ 247) 14 7 121 ≡ 173 ( m o d 247 )
算法的安全性 实际上,公钥 e , N e,N e , N d d d e , N e,N e , N d d d φ ( N ) \varphi(N) φ ( N ) φ ( N ) \varphi(N) φ ( N ) N N N p p p q q q
关于 RSA 的保密性能,在历史上有一个有趣的故事。1977 年里维斯、沙米尔和阿德曼用一个 129 位的数 N N N e e e
算法的优缺点 优点:RSA 算法是一种非对称加密算法,同时其安全性与质因数分解的难度相关,所以安全性较好。而且 RSA 算法自 1977 年提出一直用到现在,经历了无数次考验,足以见其安全稳定。
缺点:为了确保安全性,需要使用很长的质数生成 N N N N N N
