RSA简介(二)——模幂算法

　　版权申明：本文为博主窗户(Colin Cai)原创，欢迎转帖。如要转贴，必须注明原文网址

　　http://www.cnblogs.com/Colin-Cai/p/7290010.html 

　　作者：窗户

　　QQ：6679072

　　E-mail：6679072@qq.com

　　RSA最终加密、解密都要用到模乘的幂运算，简称模幂运算。

　　回忆一下RSA，从明文A到密文B

　　B=A^e1%N

　　对B解密回到明文A，就是

　　A=B^e2%N

　　其中，一般来说，加密公钥中的e1一般会比较小，取65537居多，但解密的时候，这个e2是一个非常非常大的数，显然，直接通过e2次模乘来解密是不现实的。

　　为了让RSA的加密、解密成为现实，我们必须要找一个好的算法来做模幂运算。

　　借上一节我设定的符号，以区别于传统上的幂的数学表示,

　　定义a#b为a和b的模乘，

　　定义a##n为n个a的模乘，或称a的n阶模乘。

　　a = a##1，

　　a##2 = a#a，

　　a##4 = (a##2) # (a##2)，

　　...

　　a##2ⁿ = (a##2^n-1) # (a##2^n-1)，

　　从而，进行了n次模乘，分别获得了1、2¹ 、2² ...2ⁿ 个a的模乘结果，

　　而1、2¹ 、2² ...2ⁿ 取其中任意一部分的和可以覆盖1~2ⁿ-1的所有整数。

　　从而我们得到了一个算法来计算a##b：

　　先不断通过每次得到的新结果自己同自己模乘，得到

　　a、a##2、a##4...a##2ⁿ，使得满足2ⁿ≤b<2ⁿ⁺¹，

　　再将b化为二进制表示，实际上也就是表示为2的各次幂相加形式，

　　然后找到对应每个2的幂次a模乘结果，

　　然后再把这些结果依次模乘，得到最终结果。

　　打个比方，如果想求a##21，

　　21用二进制表示为10101，所以21 = 16+4+1，

　　第一步，求得a##2，a##4，a##8，a##16，

　　第二步，取a，a##4，a##16，三者模乘就是最终需要的结果。

　　

　　当然，可以把第一步求a的2ⁿ阶模乘和第二步取需要的模乘融合在一起，这样就不需要存储每一个a的2ⁿ阶模乘结果，从而存储空间可以为常数级，而之前存储空间为线性级。

　　该算法用bc描述如下：

　　

#!/usr/bin/bc -q
define mod_mul(a1,a2,n)// a1*a2%n
{
        return a1*a2%n;
}
define mod_exp(a,b,n)// a^b%n
{
        while(b%==) {
                a = mod_mul(a,a,n);
                b /= ;
        }
        ret = a;
        b /= ;
        while(b!=) {
                a = mod_mul(a,a,n);
                if(b% == )
                        ret = mod_mul(a,ret,n);
                b /= ;
        }
        return ret;
}
a=read();
b=read();
n=read();
print mod_exp(a,b,n),"\n"
quit

　　该算法求a##b所做模乘次数：

　　求各个a的2ⁿ阶模乘，所做模乘次数为log₂b取整，也就是b的二进制的位数减1；

　　取相应的2的正整数次幂的模乘结果再做模乘，所做模乘次数为b的二进制中1的个数减1。

　　两者加一起为模乘次数。

　　比如上面想求a##21，21用二进制表示为10101，所以该算法所需要模乘次数为(5-1)+(3-1)=6次。

　　

　　但此算法未必是最优的，我们来看看如下例子：

　　想求a##441，

　　441用二进制展开为110111001，于是模乘次数应该是(9-1)+(6-1)=13次。

　　但我们可以用另外一种方式来求a##441，

　　441 = 21 * 21，

　　a##441 = (a##21) ## 21，

　　我们求b = a##21需要6次模乘，

　　再求b##21需要6次模乘，总共只需要12次模乘，比刚才少了1次。

　　

　　441是合数，我们再取个质数，239。

　　239写成二进制是11101111，那么根据我们的算法应该做的模乘次数为(8-1)+(7-1)=13次。

　　239 = 14*17+1，

　　a##239 = ((a##14) ## 17) # a，

　　先求b = a##14，需要5次模乘，

　　再求c = b##1，需要5次模乘，

　　最后再与a模乘，需要1次模乘，

　　总共11次模乘，比13次要少。

　　但是，即便是合数分解了，也未必得到更好的结果。

　　例如49 = 7*7，

　　分解前，49表示为二进制为110001，要做(6-1)+(3-1)=7次模乘，

　　可是分解后，7表示为二进制制为111，

　　总共要做(3-1)+(3-1)+(3-1)+(3-1)=8次模乘了。

　　从而我们可以知道，我们给出的算法虽然是一个线性时间算法，但未必是最优算法，不过做到线性时间算法，从运算时间复杂度上来说，的确没有时间复杂度是这个算法的低阶无穷大级的算法了，从这个意义上，此算法已经“最优”了。

　　如何做到最少次模乘？

　　本问题为以下问题：

　　(1)集合A初始为{1}

　　(2)每一步从集合A中取两个数a和b，ab可相同，让c = a+b，再把c并入集合A，

　　　　A = A∪{c}

　　(3)输入正整数e，求A里面有元素e的最小步骤的过程。

　　

　　可惜此问题获得最优解似乎没有很好的算法，甚至远高于RSA可能基于的安全性——大数分解，但存在相对好的算法，从而可以用来改进我们的模幂算法。

　　

　　模幂算法是RSA的核心，不仅仅加密解密的时候需要，寻找密钥的时候也是需要的。