原文鏈接:http://www.ruanyifeng.com/blog/2013/06/rsa_algorithm_part_one.html
如果你問我,哪一種算法最重要?
我可能會回答"公鑰加密算法"。
因爲它是計算機通信安全的基石,保證了加密數據不會被破解。你可以想象一下,信用卡交易被破解的後果。
進入正題之前,我先簡單介紹一下,什麼是"公鑰加密算法"。
一、一點歷史
1976年以前,所有的加密方法都是同一種模式:
(1)甲方選擇某一種加密規則,對信息進行加密;
(2)乙方使用同一種規則,對信息進行解密。
由於加密和解密使用同樣規則(簡稱"密鑰"),這被稱爲"對稱加密算法"(Symmetric-key algorithm)。
這種加密模式有一個最大弱點:甲方必須把加密規則告訴乙方,否則無法解密。保存和傳遞密鑰,就成了最頭疼的問題。
1976年,兩位美國計算機學家Whitfield Diffie 和 Martin Hellman,提出了一種嶄新構思,可以在不直接傳遞密鑰的情況下,完成解密。這被稱爲"Diffie-Hellman密鑰交換算法"。這個算法啓發了其他科學家。人們認識到,加密和解密可以使用不同的規則,只要這兩種規則之間存在某種對應關係即可,這樣就避免了直接傳遞密鑰。
這種新的加密模式被稱爲"非對稱加密算法"。
(1)乙方生成兩把密鑰(公鑰和私鑰)。公鑰是公開的,任何人都可以獲得,私鑰則是保密的。
(2)甲方獲取乙方的公鑰,然後用它對信息加密。
(3)乙方得到加密後的信息,用私鑰解密。
如果公鑰加密的信息只有私鑰解得開,那麼只要私鑰不泄漏,通信就是安全的。
1977年,三位數學家Rivest、Shamir 和 Adleman 設計了一種算法,可以實現非對稱加密。這種算法用他們三個人的名字命名,叫做RSA算法。從那時直到現在,RSA算法一直是最廣爲使用的"非對稱加密算法"。毫不誇張地說,只要有計算機網絡的地方,就有RSA算法。
這種算法非常可靠,密鑰越長,它就越難破解。根據已經披露的文獻,目前被破解的最長RSA密鑰是768個二進制位。也就是說,長度超過768位的密鑰,還無法破解(至少沒人公開宣佈)。因此可以認爲,1024位的RSA密鑰基本安全,2048位的密鑰極其安全。
下面,我就進入正題,解釋RSA算法的原理。文章共分成兩部分,今天是第一部分,介紹要用到的四個數學概念。你可以看到,RSA算法並不難,只需要一點數論知識就可以理解。
二、互質關係
如果兩個正整數,除了1以外,沒有其他公因子,我們就稱這兩個數是互質關係(coprime)。比如,15和32沒有公因子,所以它們是互質關係。這說明,不是質數也可以構成互質關係。
關於互質關係,不難得到以下結論:
1. 任意兩個質數構成互質關係,比如13和61。
2. 一個數是質數,另一個數只要不是前者的倍數,兩者就構成互質關係,比如3和10。
3. 如果兩個數之中,較大的那個數是質數,則兩者構成互質關係,比如97和57。
4. 1和任意一個自然數是都是互質關係,比如1和99。
5. p是大於1的整數,則p和p-1構成互質關係,比如57和56。
6. p是大於1的奇數,則p和p-2構成互質關係,比如17和15。
三、歐拉函數
請思考以下問題:
任意給定正整數n,請問在小於等於n的正整數之中,有多少個與n構成互質關係?(比如,在1到8之中,有多少個數與8構成互質關係?)
計算這個值的方法就叫做歐拉函數,以φ(n)表示。在1到8之中,與8形成互質關係的是1、3、5、7,所以 φ(n) = 4。
φ(n) 的計算方法並不複雜,但是爲了得到最後那個公式,需要一步步討論。
第一種情況
如果n=1,則 φ(1) = 1 。因爲1與任何數(包括自身)都構成互質關係。
第二種情況
如果n是質數,則 φ(n)=n-1 。因爲質數與小於它的每一個數,都構成互質關係。比如5與1、2、3、4都構成互質關係。
第三種情況
如果n是質數的某一個次方,即 n = p^k (p爲質數,k爲大於等於1的整數),則
%3Dp%5E%7Bk%7D-p%5E%7Bk-1%7D&chs=40)
比如 φ(8) = φ(2^3) =2^3 - 2^2 = 8 -4 = 4。
這是因爲只有當一個數不包含質數p,纔可能與n互質。而包含質數p的數一共有p^(k-1)個,即1×p、2×p、3×p、...、p^(k-1)×p,把它們去除,剩下的就是與n互質的數。
上面的式子還可以寫成下面的形式:
%3Dp%5E%7Bk%7D-p%5E%7Bk-1%7D%3Dp%5E%7Bk%7D(1-%5Cfrac%7B1%7D%7Bp%7D)&chs=60)
可以看出,上面的第二種情況是 k=1 時的特例。
第四種情況
如果n可以分解成兩個互質的整數之積,
n = p1 × p2
則
φ(n) = φ(p1p2) = φ(p1)φ(p2)
即積的歐拉函數等於各個因子的歐拉函數之積。比如,φ(56)=φ(8×7)=φ(8)×φ(7)=4×6=24。
這一條的證明要用到"中國剩餘定理",這裏就不展開了,只簡單說一下思路:如果a與p1互質(a<p1),b與p2互質(b<p2),c與p1p2互質(c<p1p2),則c與數對 (a,b) 是一一對應關係。由於a的值有φ(p1)種可能,b的值有φ(p2)種可能,則數對 (a,b) 有φ(p1)φ(p2)種可能,而c的值有φ(p1p2)種可能,所以φ(p1p2)就等於φ(p1)φ(p2)。
第五種情況
因爲任意一個大於1的正整數,都可以寫成一系列質數的積。
根據第4條的結論,得到
%3D%5Cphi(p_%7B1%7D%5E%7Bk_%7B1%7D%7D)%5Cphi(p_%7B2%7D%5E%7Bk_%7B2%7D%7D)...%5Cphi(p_%7Br%7D%5E%7Bk_%7Br%7D%7D)&chs=40)
再根據第3條的結論,得到
%3Dp_%7B1%7D%5E%7Bk_%7B1%7D%7Dp_%7B2%7D%5E%7Bk_%7B2%7D%7D...p_%7Br%7D%5E%7Bk_%7Br%7D%7D(1-%5Cfrac%7B1%7D%7Bp_%7B1%7D%7D)(1-%5Cfrac%7B1%7D%7Bp_%7B2%7D%7D)...(1-%5Cfrac%7B1%7D%7Bp_%7Br%7D%7D)&chs=60)
也就等於
%3Dn(1-%5Cfrac%7B1%7D%7Bp_%7B1%7D%7D)(1-%5Cfrac%7B1%7D%7Bp_%7B2%7D%7D)...(1-%5Cfrac%7B1%7D%7Bp_%7Br%7D%7D)&chs=60)
這就是歐拉函數的通用計算公式。比如,1323的歐拉函數,計算過程如下:
%3D%5Cphi(3%5E%7B3%7D%5Ctimes7%5E%7B2%7D)%3D1323(1-%5Cfrac%7B1%7D%7B3%7D)(1-%5Cfrac%7B1%7D%7B7%7D)%3D756&chs=60)
四、歐拉定理
歐拉函數的用處,在於歐拉定理。"歐拉定理"指的是:
如果兩個正整數a和n互質,則n的歐拉函數 φ(n) 可以讓下面的等式成立:
%7D%5Cequiv%5C1%20(mod%5C%20n)&chs=60)
也就是說,a的φ(n)次方被n除的餘數爲1。或者說,a的φ(n)次方減去1,可以被n整除。比如,3和7互質,而7的歐拉函數φ(7)等於6,所以3的6次方(729)減去1,可以被7整除(728/7=104)。
歐拉定理的證明比較複雜,這裏就省略了。我們只要記住它的結論就行了。
歐拉定理可以大大簡化某些運算。比如,7和10互質,根據歐拉定理,
%7D%5Cequiv%5C%201%5C%20(mod%5C%2010)%20&chs=40)
已知 φ(10) 等於4,所以馬上得到7的4倍數次方的個位數肯定是1。
%20&chs=40)
因此,7的任意次方的個位數(例如7的222次方),心算就可以算出來。
歐拉定理有一個特殊情況。
假設正整數a與質數p互質,因爲質數p的φ(p)等於p-1,則歐拉定理可以寫成
%20&chs=40)
這就是著名的費馬小定理。它是歐拉定理的特例。
歐拉定理是RSA算法的核心。理解了這個定理,就可以理解RSA。
五、模反元素
還剩下最後一個概念:
如果兩個正整數a和n互質,那麼一定可以找到整數b,使得 ab-1 被n整除,或者說ab被n除的餘數是1。
這時,b就叫做a的"模反元素"。
&chs=40)
比如,3和11互質,那麼3的模反元素就是4,因爲 (3 × 4)-1 可以被11整除。顯然,模反元素不止一個, 4加減11的整數倍都是3的模反元素 {...,-18,-7,4,15,26,...},即如果b是a的模反元素,則 b+kn 都是a的模反元素。
歐拉定理可以用來證明模反元素必然存在。
%7D%3Da%5Ctimes%20a%5E%7B%5Cphi(n)-1%7D%5Cequiv%5C%201%5C%20(mod%5C%20n)%20&chs=40)
可以看到,a的 φ(n)-1 次方,就是a的模反元素。
==========================================
好了,需要用到的數學工具,全部介紹完了。RSA算法涉及的數學知識,就是上面這些,下一次我就來介紹公鑰和私鑰到底是怎麼生成的。
上一次,我介紹了一些數論知識。
有了這些知識,我們就可以看懂RSA算法。這是目前地球上最重要的加密算法。
六、密鑰生成的步驟
我們通過一個例子,來理解RSA算法。假設愛麗絲要與鮑勃進行加密通信,她該怎麼生成公鑰和私鑰呢?
第一步,隨機選擇兩個不相等的質數p和q。
愛麗絲選擇了61和53。(實際應用中,這兩個質數越大,就越難破解。)
第二步,計算p和q的乘積n。
愛麗絲就把61和53相乘。
n = 61×53 = 3233
n的長度就是密鑰長度。3233寫成二進制是110010100001,一共有12位,所以這個密鑰就是12位。實際應用中,RSA密鑰一般是1024位,重要場合則爲2048位。
第三步,計算n的歐拉函數φ(n)。
根據公式:
φ(n) = (p-1)(q-1)
愛麗絲算出φ(3233)等於60×52,即3120。
第四步,隨機選擇一個整數e,條件是1< e < φ(n),且e與φ(n) 互質。
愛麗絲就在1到3120之間,隨機選擇了17。(實際應用中,常常選擇65537。)
第五步,計算e對於φ(n)的模反元素d。
所謂"模反元素"就是指有一個整數d,可以使得ed被φ(n)除的餘數爲1。
ed ≡ 1 (mod φ(n))
這個式子等價於
ed - 1 = kφ(n)
於是,找到模反元素d,實質上就是對下面這個二元一次方程求解。
ex + φ(n)y = 1
已知 e=17, φ(n)=3120,
17x + 3120y = 1
這個方程可以用"擴展歐幾里得算法"求解,此處省略具體過程。總之,愛麗絲算出一組整數解爲 (x,y)=(2753,-15),即 d=2753。
至此所有計算完成。
第六步,將n和e封裝成公鑰,n和d封裝成私鑰。
在愛麗絲的例子中,n=3233,e=17,d=2753,所以公鑰就是 (3233,17),私鑰就是(3233, 2753)。
實際應用中,公鑰和私鑰的數據都採用ASN.1格式表達(實例)。
七、RSA算法的可靠性
回顧上面的密鑰生成步驟,一共出現六個數字:
p
q
n
φ(n)
e
d
這六個數字之中,公鑰用到了兩個(n和e),其餘四個數字都是不公開的。其中最關鍵的是d,因爲n和d組成了私鑰,一旦d泄漏,就等於私鑰泄漏。
那麼,有無可能在已知n和e的情況下,推導出d?
(1)ed≡1 (mod φ(n))。只有知道e和φ(n),才能算出d。
(2)φ(n)=(p-1)(q-1)。只有知道p和q,才能算出φ(n)。
(3)n=pq。只有將n因數分解,才能算出p和q。
結論:如果n可以被因數分解,d就可以算出,也就意味着私鑰被破解。
可是,大整數的因數分解,是一件非常困難的事情。目前,除了暴力破解,還沒有發現別的有效方法。維基百科這樣寫道:
"對極大整數做因數分解的難度決定了RSA算法的可靠性。換言之,對一極大整數做因數分解愈困難,RSA算法愈可靠。
假如有人找到一種快速因數分解的算法,那麼RSA的可靠性就會極度下降。但找到這樣的算法的可能性是非常小的。今天只有短的RSA密鑰纔可能被暴力破解。到2008年爲止,世界上還沒有任何可靠的攻擊RSA算法的方式。
只要密鑰長度足夠長,用RSA加密的信息實際上是不能被解破的。"
舉例來說,你可以對3233進行因數分解(61×53),但是你沒法對下面這個整數進行因數分解。
12301866845301177551304949
58384962720772853569595334
79219732245215172640050726
36575187452021997864693899
56474942774063845925192557
32630345373154826850791702
61221429134616704292143116
02221240479274737794080665
351419597459856902143413
它等於這樣兩個質數的乘積:
33478071698956898786044169
84821269081770479498371376
85689124313889828837938780
02287614711652531743087737
814467999489
×
36746043666799590428244633
79962795263227915816434308
76426760322838157396665112
79233373417143396810270092
798736308917
事實上,這大概是人類已經分解的最大整數(232個十進制位,768個二進制位)。比它更大的因數分解,還沒有被報道過,因此目前被破解的最長RSA密鑰就是768位。
八、加密和解密
有了公鑰和密鑰,就能進行加密和解密了。
(1)加密要用公鑰 (n,e)
假設鮑勃要向愛麗絲髮送加密信息m,他就要用愛麗絲的公鑰 (n,e) 對m進行加密。這裏需要注意,m必須是整數(字符串可以取ascii值或unicode值),且m必須小於n。
所謂"加密",就是算出下式的c:
me ≡ c (mod n)
愛麗絲的公鑰是 (3233, 17),鮑勃的m假設是65,那麼可以算出下面的等式:
6517 ≡ 2790 (mod 3233)
於是,c等於2790,鮑勃就把2790發給了愛麗絲。
(2)解密要用私鑰(n,d)
愛麗絲拿到鮑勃發來的2790以後,就用自己的私鑰(3233, 2753) 進行解密。可以證明,下面的等式一定成立:
cd ≡ m (mod n)
也就是說,c的d次方除以n的餘數爲m。現在,c等於2790,私鑰是(3233, 2753),那麼,愛麗絲算出
27902753 ≡ 65 (mod 3233)
因此,愛麗絲知道了鮑勃加密前的原文就是65。
至此,"加密--解密"的整個過程全部完成。
我們可以看到,如果不知道d,就沒有辦法從c求出m。而前面已經說過,要知道d就必須分解n,這是極難做到的,所以RSA算法保證了通信安全。
你可能會問,公鑰(n,e) 只能加密小於n的整數m,那麼如果要加密大於n的整數,該怎麼辦?有兩種解決方法:一種是把長信息分割成若干段短消息,每段分別加密;另一種是先選擇一種"對稱性加密算法"(比如DES),用這種算法的密鑰加密信息,再用RSA公鑰加密DES密鑰。
九、私鑰解密的證明
最後,我們來證明,爲什麼用私鑰解密,一定可以正確地得到m。也就是證明下面這個式子:
cd ≡ m (mod n)
因爲,根據加密規則
me ≡ c (mod n)
於是,c可以寫成下面的形式:
c = me - kn
將c代入要我們要證明的那個解密規則:
(me - kn)d ≡ m (mod n)
它等同於求證
med ≡ m (mod n)
由於
ed ≡ 1 (mod φ(n))
所以
ed = hφ(n)+1
將ed代入:
mhφ(n)+1 ≡ m (mod n)
接下來,分成兩種情況證明上面這個式子。
(1)m與n互質。
根據歐拉定理,此時
mφ(n) ≡ 1 (mod n)
得到
(mφ(n))h × m ≡ m (mod n)
原式得到證明。
(2)m與n不是互質關係。
此時,由於n等於質數p和q的乘積,所以m必然等於kp或kq。
以 m = kp爲例,考慮到這時k與q必然互質,則根據歐拉定理,下面的式子成立:
(kp)q-1 ≡ 1 (mod q)
進一步得到
[(kp)q-1]h(p-1) × kp ≡ kp (mod q)
即
(kp)ed ≡ kp (mod q)
將它改寫成下面的等式
(kp)ed = tq + kp
這時t必然能被p整除,即 t=t'p
(kp)ed = t'pq + kp
因爲 m=kp,n=pq,所以
med ≡ m (mod n)
原式得到證明。
(完)