背景
RSA 加密算法是一种非对称加密算法,在公开密钥加密和电子商业中被广泛使用。RSA 是由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)在 1977 年一起提出的。当时他们三人都在麻省理工学院工作。RSA 就是他们三人姓氏开头字母拼在一起组成的。
数学原理
我们先回顾一下,对称加密 DES 算法 和 AES 算法数学原理异或运算:对一个数同时异或两次就能恢复。
m = m ^ e ^ e
接下来看一下 RSA 算法的数学原理
me ≡ c ( mod n )
cd ≡ m ( mod n )
其中正整数 e, d, n 要满足以下条件
- n = pq (p 和 q 为两个质数)
- 1 < e < φ(n)
- e 与 φ(n) 互质
- ed ≡ 1 ( mod φ(n) )
在推导上面结论之前,先了解一些数学概念。
互质关系
如果两个正整数,除了1以外,没有其他公因子,我们就称这两个数是互质关系(coprime)。比如,15和32没有公因子,所以它们是互质关系。这说明,不是质数也可以构成互质关系。
关于互质关系,不难得到以下结论:
- 任意两个质数构成互质关系,比如13和61。
- 一个数是质数,另一个数只要不是前者的倍数,两者就构成互质关系,比如3和10。
- 如果两个数之中,较大的那个数是质数,则两者构成互质关系,比如97和57。
- 1和任意一个自然数是都是互质关系,比如1和99。
- p是大于1的整数,则p和p-1构成互质关系,比如57和56。
- p是大于1的奇数,则p和p-2构成互质关系,比如17和15。
欧拉函数
正整数 n,欧拉函数 φ(n) 是小于 n 的正整数中 n 互质的数的数目。
如果 n = 1,则 φ(1) = 1 (小于等于 1 的正整数中唯一和1互质的数就是 1 本身)。
如果 n = pk(p 为质数),则 φ(n) = φ(pk) = pk - pk-1 = pk(1 - 1/p) (除了 p 的倍数外,其他数都跟 n 互质)。
如果 m, n 互质,则 φ(n * m) = φ(n) * φ(m) 。
如果 n = p1k1p2k2...prkr,则 φ(n) = φ(p1k1p2k2...prkr) = φ(p1k1)φ(p2k2)...φ(prkr) = p1k1p2k2...prkr(1 - 1/p1)(1 - 1/p2)...(1 - 1/pr) = n(1 - 1/p1)(1 - 1/p2)...(1 - 1/pr)。
所以欧拉函数为:φ(n) = n(1 - 1/p1)(1 - 1/p2)...(1 - 1/pr)。
欧拉定理
如果两个正整数 a 和 n 互质,则 n 的欧拉函数 φ(n) 满足:aφ(n) ≡ 1 ( mod n )。
当 n 为质数的时候:an-1 ≡ 1 ( mod n )。
这就是著名的费马小定理。
模反元素
如果两个正整数 a 和 n 互质,那么一定可以找到整数 b,使得 ab-1 被 n 整除。
ab ≡ 1(mod n)
可以根据欧拉定理来证明其一定存在:aφ(n) = a * aφ(n)-1 ≡ 1(mod n)
于是,b = aφ(n)-1
RSA 算法的证明过程
如果 me ≡ c ( mod n ),则有 cd ≡ m ( mod n )。
其中正整数 e, d, n 要满足以下条件
- n = pq (p 和 q 为两个质数)
- 1 < e < φ(n)
- e 与 φ(n) 互质
- ed ≡ 1 ( mod φ(n) )
因为 me ≡ c ( mod n )
所以 c = me - kn,其中 k 为整数
所以 cd % n = (me - kn)d % n
分解多项式 (me - kn)d 只有 med 这一项不含 kn 的乘积,其他项至少包含一个 kn 的乘积,因为 kn 倍数模 n 都等于 0,所以上面等价于
cd % n = (me - kn)d % n = med % n
因为 ed ≡ 1 ( mod φ(n) ),ed = kφ(n) + 1,其中 k 为整数,所以 med % n = mkφ(n) + 1 % n
于是只要证明:mkφ(n) + 1 ≡ m ( mod n ) 即可
第一种情况:如果 n 和 m 互质,根据欧拉定理:mφ(n) ≡ 1 ( mod n )
可以得到 mkφ(n) + 1 = m(mφ(n))k ≡ m ( mod n )
于是 mkφ(n) + 1 ≡ m ( mod n ),即 cd ≡ m ( mod n )
第二种情况:如果 n 和 m 不互质
由于 n = pq(p 和 q)为质数,那么 m 要么是 p 的倍数,要么是 q 的倍数,假设 m 等于 i 倍 q,即 m = i * q( i 为整数),同时 m 和 p 一定是互质关系。
因为 m 和 p 是互质关系,跟欧拉定理得 mφ(p) ≡ 1 ( mod p )
所以 mkφ(n) + 1 = m(mφ(n))k ≡ m ( mod p )
所以 mkφ(n)+1 = jp + m,其中 j 为整数
把上面的假设 m = iq 代入得到 (iq)kφ(n)+1 = jp + iq
等式左边可以被 q 整除,因为 p 和 q 是互质关系,所以 j 一定是 q 的倍数,假设 j = k' * q,其中 k' 为整数,把 n = pq 代入其中
得到 mkφ(n)+1 = (iq)kφ(n)+1 = k'pq + iq = k'n + m
所以 mkφ(n)+1 = med = k'n + m ≡ m ( mod n )
于是 mkφ(n) + 1 ≡ m ( mod n ),即 cd ≡ m ( mod n )
密钥生成
根据上面数学原理,我们可以知道公钥为 (n, e) 用来加密,私钥 (n, d) 用来解密。
- 随机两个质数 p 和 q,n = pq
- 计算 n 的欧拉函数,φ(n) = φ(pq) = φ(p)φ(q) = (p - 1)(q - 1)
- 随机选择一个正整数 e 满足 1 < e < φ(n),满足 e 与 φ(n) 互质
- 通过 ed ≡ 1 ( mod φ(n) ) 计算出 d (模逆元 d 存在,当且仅当 e 与 φ(n) 互质)
于是公钥 (n, e) 和 私钥 (n, d) 生成完成。
密钥安全
想要通过公钥 (n, e) 逆推出 (n, d),则需要先知道 φ(n),也就是要对 n 进行因式分解出 p 和 q。目前没有找到快速因式分解的方法,所以只要 n 足够的大,就会足够的安全。
NIST 建议的 RSA 密钥长度为至少 2048 位。
参考资料
- RSA算法原理1-阮一峰老师
- RSA算法原理2-阮一峰老师
- RSA算法原理
- RSA加密算法-维基百科
- 欧拉函数-维基百科