RSA密码体制

公钥算法的基本数论知识

公钥密码学中大部分引用了数论的成果，所以必要在介绍RSA密码体制之前，详细介绍一下所使用的几个数论的知识点

欧几里得算法

欧几里得算法主要是解决最大公约数问题，记两个正整数\(r_0\)和\(r_1\)的\(gcd\)表示：

\[gcd(r_0,r_1)
\]

在公钥体系中，安全性依赖于大整数的因式分解通常是不可能的。所以人们通常使用一种更有效的算法计算gcd，即欧几里得算法，此算法基于一个简单的观察：

\[gcd(r_0,r_1) = gcd(r_0 - r_1, r_1)
\]

其中，假设\(r_0 > r_1\)，且二者均为正整数，不难理解：

\[gcd(r_0 - r_1, r_1) = gcd(g · (x - y), g · y) = g
\]

显然地，只要满足\((r_0-mr_1) > 0\)，那么可以得到：

\[gcd(r_0, r_1) = gcd(r_0 - r_1, r_1) = gcd(r_0 - 2r_1, r_1) = \cdots = gcd(r_0 - mr_1, r_1)
\]

如果m选择了最大值，则此算法可以表示为：

\[gcd(r_0, r_1) = gcd(r_0\ mod\ r_1, r_1)
\]

事实证明，最终的gcd就是原始问题的gcd，即：

\[gcd(r_0, r_1) = \cdots = gcd(r_i, 0) = r_i
\]

扩展欧几里得算法

扩展欧几里得算法可以用来计算模逆元，不难理解，上文所述的欧几里得算法就是轮询反复互减最终得到结果的，换句话说，可以将这样的反复互减看作是原始两个参数的s倍与t倍相加，即：

\[gcd(r_0, r_1) = s·r_0 + t·r_1
\]

这个等式通常也称为丢番图方程。

可以得到，扩展的欧几里得算法（EEA）：

输入：正整数\(r_0\)和\(r_1\)，且\(r_0 > r_1\)

输出：\(gcd(r_0, r_1)\)，以及满足\(gcd(r_0, r_1) = s·r_0 + t·r_1\)的s和t

initialize:
	s[0] = 1
	t[0] = 0
	s[1] = 0
	t[1] = 1
	i = 1
algorithm:
	do
		i = i + 1
		r[i] = r[i - 2] mod r[i - 1]
		q[i - 1] = (r[i - 2] - r[i]) / r[i - 1]
		s[i] = s[i - 2] - q[i - 1] * s[i - 1]
		t[i] = t[i - 2] - q[i - 1] * t[i - 1]
	while r[i] != 0
	return:
		gcd(r[0], r[1] = r[i - 1]
		s = s[i - 1]
		t = t[i - 1]

欧拉函数

在环\(Z_m = {0,1,\cdots,m-1}\)中，我们感兴趣的问题是在这个集合中，有多少个数字与m互素。

于是我们可以定义欧拉函数来进行计算：

\(Z_m\)内与m互素的整数个数可以表示为\(\Phi(m)\)

如果数值非常大的话，将集合内的元素从头到尾都处理一遍，计算每一个的gcd非常慢，对应的欧拉函数值得求解也非常困难，但是，如果m的因式分解是已知的，则存在一个更简单的计算方法：

假设m可以因式分解为一下的数的连乘：

\[m=p^{e_1}_1 \cdot p^{e_2}_2 \cdot \cdots \cdot p^{e_n}_n
\]

其中，\(p_i\)表示不同的素数，\(e_i\)表示正整数，则有：

\[\Phi(m)=\prod^n_{i=1}(p_i^{e_i} - p_i^{e_i - 1})
\]

需要强调的是，这种方法来快速计算欧拉函数，我们必须知道m的因式分解，这个特征你刚刚也是RSA公钥方案的核心。

费马小定理与欧拉函数

费马小定理如下描述：假设a为一个整数，p为一个素数，则

\[a^p \equiv a\ (mod\ p) \\ a^{p - 1} \equiv 1 \ (mod\ p)
\]

该定理在密码学中非常有用，其中一个应用就是计算有限域内某个元素的逆元。 因为 \(a \cdot a^{p - 2} \equiv 1\ (mod\ p)\)。但请注意，只有p为素数时，这种反转方法才成立。

将费马小定理的模数推广到任何整数模，即不一定为素数的模，就可以得到欧拉定理：

假设a和m都是整数，且\(gcd(a, m) = 1\)，则有：

\[a^{\Phi(m)} \equiv 1\ (mod\ m)
\]

这个定理对模数m适用，也适用于整数环\(Z_m\)内的所有整数。

RSA密码体系

该密码体系是目前最广泛使用的一种非对称密码方案，在实际中常用于以下几个方面：

• 数据小片段的加密，尤其用于密钥传输
• 数字签名，譬如Internet上的数字证书

这里必须要注意，RSA加密并不是为了取代对称密码，因为它非常慢。利用RSA通常是用于安全地交换对称密码体系中的密钥。所以RSA通常与对称密码一起使用。

RSA加密与解密

RSA的加密与解密都是在整数环\(Z_m\)内完成的，模计算发挥了核心作用。

使用公钥进行加密和使用密钥进行解密的方法可以表示为如下：

加密

给定公钥\((n, e) = k_{pub}\)和明文\(x\)，则加密函数为：

\[y = e_{k_{pub}}(x) \equiv x^e\ mod\ n
\]

其中，\(x, y \in Z_n\)

解密

给定私钥\(d = k_{pr}\)及密文\(y\)，则解密函数为：

\[x = d_{k_{pr}}(y) = y^d\ mod\ n
\]

其中，\(x, y \in Z_n\)

RSA密码体制需求

1. 由于攻击者可以得到公钥，所以，对于给定公钥值e和n，确定私钥d在计算上必须是不可行的。
2. 由于x只是唯一地取决于模数n的大小，所以一次RSA加密的位数不能超过l，其中l指的是n的位长度。
3. 计算\(x^e\ mod\ n\)和\(y^d\ mod\ n\)应该相对简单（快速计算长整数的指数方法）
4. 给定一个n应该对应很多密钥/公钥对，否则，不可抵御暴力攻击

RSA密钥生成

1. 选择两个大素数p和q
2. 计算\(n = p \cdot q\)
3. 计算\(\Phi(n) = (p - 1)(q - 1)\)
4. 选择满足以下条件的公开指数， \(e \in \{1,2, \cdots , \Phi(n) - 1\}\) $$gcd(e, \Phi(n)) = 1$$
5. 计算满足以下条件的私钥d $$d \cdot e \equiv 1\ mod\ \Phi(n)$$