RSA加密

RSA加密是非对称加密，由瑞弗斯特(Ron Rivest)，沙米尔(Adi Shamir)和阿德来门(Len Adleeman)于1978年提出的，它的基础是欧拉定理，安全性依赖于大数因子分解的困难性。整个RSA加密运算，要了解一点数论的基础。下面在讲解的时候，需要用到的数学知识，我都会在一旁做简单标注。此文主要包括：

• RSA 加密算法
• RSA 加解密举例
• RSA 加密的安全性
• RSA 加密算法的正确性证明

RSA加密算法

取两个大素数 p 和 q (p ≠ q)，记 n = pq，ϕ(n) = (p-1)(q-1)。选择正整数
w，w 与 ϕ(n) 互素，设 d 是 w 的模 ϕ(n) 逆，即 dw ≡ 1(mod ϕ(n))。
RSA密码算法如下：首先将明文数字化，后把明文分成若干段，每一个明文段的值小于 n，对每一个明文段 m，
加密算法 c = E(m) = m^w mod n
解密算法 D(c) = c^d mod n
其中加密密钥 w 和 n 是公开的 p q ϕ(n)和 d 是保密的。

• 素数：只能被±1和±自己整除的数，比如2, 3, 5, 7, 11...
• 两数互素：除±1之外，没有其他的公因子，比如2 ~ 3，7 ~ 11...
• ϕ(n)：这个是欧拉函数，是指小于 n 且与 n 互素的正整数的个数，习惯上 ϕ(1) = 1。算法中用到的 ϕ(n) = (p-1)(q-1)，p 和 q 为素数，是欧拉函数的一个特殊情况。特殊情况还有 n 为素数时，ϕ(n) = n - 1。
• 模n同余：形如a ≡ b(mod n) 这样的算式称为a b 模 n 同余，即 a % n = b % n
• 模逆：如果 ab ≡ 1(mod m)，即 ab % m = 1 ，则称 b 是 a 的模 m 逆；由定义可知，a 的模 m 逆就是方程 ax ≡ 1(mod m) 的解，其中形如 ax ≡ c(mod m) 的方程称一次同余方程。

RSA加解密举例

A B 两人通信，A要传递信息给 B，这时 B 公布出来加密的公钥，A 以此将信息加密，B收到密文以后用私钥解密，比如：
公钥：w = 13, n = 2537
私钥：p = 43, q = 59, ϕ(n) = 2436, d = 937(根据 w 和 ϕ(n) 求出)
A 要传递的明文信息数字化之后为：m = 2106，用公钥加密为密文：c = 2106^13 % 2537 = 2321
B 收到密文 c = 2321 后，用私钥解密为明文：m = 2321^937 % 2537 = 2106

上面加解密都要涉及到模幂乘运算形如：a^b(mod n)。这儿可以利用模运算的一个性质：(a*b) % n = [(a % n) * (b % n)] % n
比如2106^13 % 2537 = [(2106 % 2537)(2106^4 % 2537)(2106^8 % 2537)] % 2537 = [(-431) * (-988) * (-601) % 2537] = 2321
求解过程可以使用递归求解的方式，2106^2 % 2537 可以根据 2106 % 2537 来求，2106^4 % 2537 可以根据 2106^2 % 2537 来求。比如 2106^4 % 2537 = [(2106^2 % 2537)(2106^2 % 2537)] % 2537 = (560 * 560) % 2537 = -988

RSA加密的安全性

开头提到，RSA加密的安全性依赖于大数因子分解的困难性。因为 n 是公钥公布出来的，如上例中 n = 2537 很容易就可以因为分解，求得 p = 43 q = 59，继而求出 ϕ(n) = 2436, d = 937，这样就攻破了。但是在实际中，n 选的值一般为 1024位 的二进制整数，这么大的一个整数因式分解以目前的技术水平是不可能因式分解的，对加密要求更高的行为，n 则选为2048位的二进制整数。

RSA加密算法的正确性证明

正确性证明需要用到费马小定理和欧拉定理，表述如下

• 费马小定理：若 a p 互素，则 a^(p-1) ≡ 1(mod p)。另一种表示形式 a^p ≡ a(mod p)，这种形式则不要求 a p 互素。

• 欧拉定理：若 a n 互素，则 a^ϕ(n) ≡ 1(mod n)。另一种表示形式 a^ϕ(n) ≡ a(mod n)，这种形式则不要求 a n 互素。

因为m < n，故解密算法 D(c) = c^d mod n ⇔ c^d ≡ m(mod n)，又因为加密算法 c = m^w mod n，故 c^d ≡ m(mod n) ⇔ m^dw ≡ m(mod n)。又因为 dw ≡ 1(mod ϕ(n))，所以存在整数 k 使得 dw = kϕ(n) + 1。最终转换为证明：m^(kϕ(n) + 1) ≡ m(mod n)，其中k为整数。关于此证明可以分两种情况讨论：

m 与 n 互素

由欧拉定理 m^ϕ(n) ≡ 1(mod n) ⇒ m^kϕ(n) ≡ 1(mod n) ⇒ m^(kϕ(n) + 1) ≡ m(mod n) 命题得证

m 与 n 不互素

由于 m < n，n = pq，p 和 q 是素数且 p ≠ q，故 m 必含 p 和 q 中的一个为因子，且只含其中的一个为因子。设 m = cp，由费马小定理 m^(q - 1) ≡ 1(mod q) ⇒ m^kϕ(n) ≡ m^(k(p-1)(q-1)) ≡ 1^k(p-1) ≡ 1(mod q)，从而存在整数 h 使得 m^kϕ(n) = hq + 1，两边同乘于 m 得，m^(kϕ(n) + 1) = mhq + m = cphq + m = hcn + m ⇒ m^(kϕ(n) + 1) ≡ m(mod n) 命题得证

总结

RSA加密，整个过程的计算量是很大的，只有特别敏感的信息才使用RSA加密。此文牵扯很多的数论的知识，也没有讲解的很详细，只是用到的地方，直接给出了结论，其他一些，比如欧拉函数的通用公式，一次同余方程求解方法，费马小定理和欧拉定理的证明过程，计算模幂乘运算的通用公式，都没有做过多的详解，因为这些不是此文的重点，如果你对这些感兴趣，可以参考下面我列出来的这本参考书，或者和我交流沟通。这是一系列文章的其中一篇，你可以在这儿Encode & Decode集序找到他其他的兄弟。

参考

• 屈婉玲,耿素云,张立昂. 离散数学:高等教育出版社