安全（一）— 完全理解RSA加密算法

---

RSA加密算法

RSA加密算法 是一種 非對稱加密算法，在公開密鑰加密和電子商業中被廣泛使用。例如：

• 在HTTPS協議的加密層（SSL/TLS）作爲密鑰交換的方法
• 支付寶支付API作爲簽名算法
• 銀聯支付API作爲簽名算法
• Secure Shell（安全外殼協議，簡稱SSH）是一種加密的網絡傳輸協議

非對稱加密算法

公開密鑰密碼學 （英語：Public-key cryptography，也稱 非對稱式密碼學 ）是密碼學的一種算法，它需要兩個密鑰，一個是公開密鑰，另一個是私有密鑰；一個用作加密，另一個則用作解密。 使用其中一個密鑰把明文加密後所得的密文，只能用相對應的另一個密鑰才能解密得到原本的明文；甚至連最初用來加密的密鑰也不能用作解密。由於加密和解密需要兩個不同的密鑰，故被稱爲非對稱加密； 不同於加密和解密都使用同一個密鑰的對稱加密。雖然兩個密鑰在數學上相關，但如果知道了其中一個，並不能憑此計算出另外一個；因此其中一個可以公開，稱爲公鑰，任意向外發布；不公開的密鑰爲私鑰，必須由用戶自行嚴格祕密保管，絕不透過任何途徑向任何人提供，也不會透露給被信任的要通信的另一方。

---

工作原理

本質就是依賴於三個自然數：$n,e,d$，$n$ 和 $d$ 構成一個密鑰，$n$ 和 $e$ 構成另一個密鑰。對於$（n, d）$與$（n, e）$這兩個密鑰，無論用哪個密鑰加密出來的密文都可以用另一個密鑰解開， 所以不必強調哪個用於加密，哪個用於解密，只要把一個公佈出去（稱爲公鑰），另一個自己藏着（稱爲私鑰）就行了。

根據這種特性，通常，

• 使用 公鑰加密 ， 私鑰解密 ，實現 加密。
• 使用 私鑰加密 ， 公鑰解密 ，實現 數字簽名 。
• 代替 密碼散列函數+Token，比如MD5、SHA2，做 消息認證。
  （關於加密、數字簽名，消息認證可以期待下篇文章。）

關於

1. 如何確定$n,e,d$這三個自然數？
2. 如何進行加密解密？
3. 已知公鑰如何破解私鑰？

我們需要了解RSA加解密的數學原理，主要包括

• 互質
• 歐拉函數
• 同餘
• 歐拉定理
• 模反元素
• 擴展歐幾里得算法

---

數學原理

你可以快速瀏覽這些定理和性質，然後進入下一章節，筆者在下一章節回答上述三個問題的同時，儘可能地將所需定理和性質做出了明確標註，閱讀過程中可以隨時回過頭來確認。

因子

一個整數被另一整數整除，後者即是前者的 因子，如1、2、4、8都爲8的因子。

質數

大於1的自然數，除1和本身外沒有其他正因子，稱爲 質數 。

互質

兩個自然數，除1以外沒有其他公因子，則稱它們爲 互質 。

互質性質

根據以上定理可以得出以下幾個性質（並不止於以下性質）

1. 任意兩個不相等質數一定互質（因爲質數的因子只有1和本身，如果不相等則公因子只有1）
2. 1和任意自然數都互質（只有1是公因子）
3. 一個數是質數，另一個數只要不是前者的倍數，則二者互質（質數的因子只有1和本身，如果後者的因子不包含這個前者，那麼二者公因子只有1）
4. 兩個數，較大的數是質數，那麼二者互質（可由 互質性質3 得到）
5. 兩個不等質數之 積 的因子有4個，即，1，兩個不等質數以及積本身（由 質數定理 和 組合 可以得到）

---

歐拉函數

我們把用來表示“ 小於或等於$n$的正整數中與$n$互質的數的數目 ”的函數，稱爲歐拉函數，計作$\varphi(n)$

歐拉函數性質

1. 若$n$是質數，那麼
   $\varphi(n)=n-1$
   由 互質性質4 可得。

2. 若$n=pq$，且$p$，$q$是 兩個不相等的質數，那麼
   $\varphi(n)=(p-1)(q-1)$
   證明：

   1. 求$\varphi(n)$，即求：小於等於的$n$的正整數，有多少數與$n$互質
   2. 逆向思考，可以先求：小於等於的$n$的正整數，有多少數與$n$不互質
   3. 由於$p、q$爲$n$的質因子，所以，如果一個數不與$n$互質，那麼這個數一定是$p$或$q$的整數倍（由 互質性質5 得）
   4. 由於$n=pq$，所以，$(n-1)$中包含$1q,2q,3q...(p-1)q$，一共$(p-1)$個$q$的倍數；同時包含$1p,2p,3p...(q-1)p$，一共$(q-1)$個$p$的倍數
   5. 又因爲$p、q$是$n$的質因子，所以，$n$是$p、q$的最小公倍數，即，在小於等於$n$的正整數中不存在$p、q$的其它公倍數
   6. 所以，小於等於的$n$的正整數，有$(p-1)+(q-1)$個數與$n$不互質
   7. 所以，小於等於的$n$的正整數，與$n$互質的數有
      $\varphi(n)=n-1-((p-1)+(q-1))\\ \varphi(n)=pq-p-q+1\\ \varphi(n)=(p-1)(q-1)$

---

同餘

兩個整數$a$，$b$，若它們除以正整數$m$所得的餘數相等，則稱$a$，$b$對於模$m$同餘，記作
$a\%m=b\%m\implies a\equiv b(\bmod m)$

同餘性質

1. 當$b<m$時，$b=a\%m$
2. 整除性 ，$a\equiv b{(\bmod {m})}\Rightarrow a-b=c*m,c\in \mathbb {Z}$ ，（即是說 a 和 b 之差是 m 的整數倍）
3. 保持基本運算 ，$\left.{\begin{matrix}a\equiv b{(\bmod {m})}\\c\equiv d{(\bmod {m})}\end{matrix}}\right\}\Rightarrow \left\{{\begin{matrix}a\pm c\equiv b\pm d{(\bmod {m})}\\ac\equiv bd{(\bmod {m})}\end{matrix}}\right.$
   這性質更可進一步引申成爲這樣：
   ${\displaystyle a\equiv b{(\bmod {m})}\Rightarrow {\begin{cases}an\equiv bn{(\bmod {m})},\forall n\in \mathbb {Z} \\a^{n}\equiv b^{n}{(\bmod {m})},\forall n\in \mathbb {N} ^{0}\end{cases}}}$
4. 放大縮小底數 ，k爲整數，n爲正整數，${\displaystyle (km\pm a)^{n}\equiv (\pm a)^{n}{(\bmod {m})}}$

同餘性質3、4 可以根據 同餘性質2 整除性來證明。

例如，證明：$a\equiv b{(\bmod {m})}\Rightarrow an\equiv bn{(\bmod {m})}$
$a=c*m+b,c\in \mathbb {Z}\\ a*n=(c*m+b)*n\\ an=cn*m+bn\\ an\equiv bn(\bmod m)$

其它可同理證明。

同餘性質 是證明RSA加解密的關鍵。

---

歐拉定理

對任何兩個互質的正整數$a$ 、$n$，$n\geq2$，有
$a^{\phi(n)} \equiv 1(\bmod n)$

費馬小定理

如果n是質數p，那麼
$a^{p-1} \equiv 1(\bmod p)$
由 歐拉函數性質1 可得

---

模反元素

如果兩個正整數$a$和$n$互質，那麼一定可以找到整數$b$，使得$ab-1$被$n$整除
$ab \equiv 1(\bmod n)$
此時$b$就是$a$關於$n$的 模反元素。由 歐拉定理 可證，$b$一定存在。
$a^{\phi(n)}=a \times a^{\phi(n)-1} \equiv 1(\bmod n)$
$a^{\phi(n)-1}$就是$a$關於$n$的 模反元素$b$ 。模反元素可以通過 擴展歐幾里得算法 求得。

---

歐幾里得算法

定義

又稱 輾轉相除法 ，是求最大公約數（最大公因子）的算法。兩個整數$a, b$的最大公約數，記作$\gcd(a,b)$

計算過程

將前兩次餘數分別作爲被除數與除數，得到新的餘數，
$r_{i+1}=r_{i-1}-q_{i} r_{i},(r_{0}= a,r_{1}=b)$
遞歸計算，直到 $r_{i+1}=0$，那麼此時 最大公約數 爲$\gcd(a,b)=r_{i}$

證明

證明，$r_{i+1}=0$時，$r_{i}$是$a,b$的 最大公因子 （$g=\gcd(a,b)$ ）

1. 因爲$a=mg,b=ng$,所以$r_{2}=r_{0}-r_{1}=a-q_{1}b=mg-q_{1}ng$，所以$r_{0},r_{1},r_{2}$可以被$g$整除，同理（遞降歸納）可求所有餘數$r_{0},r_{1}...r_{i-1},r_{i}$都可以被$g$整除，所以$g\leq r_{i}$
2. 當$r_{i+1}=0$，有$0=r_{i-1}-q_{i} r_{i}$，即$r_{i}$整除$r_{i-1}$
3. 又當$r_{i}=r_{i-2}-q_{i-1} r_{i-1},(r_{0}= a,r_{1}=b)$，又因爲$r_{i}$整除$r_{i-1}$，那麼$r_{i}$可以整除$r_{i-2}$，同理（遞降歸納），$r_{i}$可以整除所有餘數$r_{0},r_{1}...r_{i-2},r_{i-1}$
4. 又因爲$r_{0}= a,r_{1}=b$，所以，此時$r_{i}\leq g$
5. 結論，由於$g\leq r_{i}$，當$r_{i+1}=0$時，$r_{i}\leq g$，所以當$r_{i+1}=0$時，$r_{i}= g$

---

擴展歐幾里得算法

定義

顧名思義是 歐幾里得算法 的擴展。已知整數$a、b$，擴展歐幾里得算法 可以在求得$a、b$的最大公約數的同時，能找到整數$x、y$（其中一個很可能是負數），使它們滿足 貝祖等式
$ax + by = \gcd(a, b)$
在歐幾里得算法中，我們僅僅利用了每步帶餘除法所得的餘數。擴展歐幾里得算法還利用了帶餘除法所得的商，在輾轉相除的同時也能得到 貝祖等式

計算過程

擴展歐幾里得算法 在 歐幾里得算法 的基礎上增加了兩個遞歸等式的計算
$r_{i+1}=r_{i-1}-q_{i} r_{i},(r_{0}= a,r_{1}=b)\\ s_{i+1}=s_{i-1}-q_{i} s_{i},(s_{0}= 1,s_{1}=0)\\ t_{i+1}=t_{i-1}-q_{i} t_{i},(t_{0}= 0,t_{1}=1)$

遞歸計算，直到 $r_{i+1}=0$，那麼此時
$\gcd(a,b)=r_{i}=as_{i}+bt_{i}$

證明

證明，$r_{i}=as_{i}+bt_{i}，i\in\N$（已知條件爲上述三等式），使用 完整歸納法

1. 當$i=0$，$r_{0}=as_{0}+bt_{0}=a*1+b*0=a$
2. 當$i=1$，$r_{1}=as_{1}+bt_{1}=a*0+b*1=b$
3. 假設$r_{i}=as_{i}+bt_{i}，r_{i-1}=as_{i-1}+bt_{i-1}$成立，那麼
   $r_{i+1}=r_{i-1}-q_{i} r_{i}\\ =(as_{i-1}+bt_{i-1})-q_{i}(as_{i}+bt_{i})\\ =a*(s_{i-1}-q_{i}s_{i})+b*(t_{i-1}-q_{i}t_{i})\\ =as_{i+1}+bt_{i+1}$

所以$r_{i}=as_{i}+bt_{i}，i\in\N成立$，$s_{i},t_{i}$滿足 貝祖等式。

Python實現

 #python3.7
 def ext_euclid(a, b):
    r0, r1 = a, b
    s0, s1 = 1, 0
    t0, t1 = 0, 1

    if a * b == 0:
        raise Exception("a,b must be nonzero!")
    while r1 != 0:
        q = r0 // r1
        r0, r1 = r1, r0 - q * r1
        s0, s1 = s1, s0 - q * s1
        t0, t1 = t1, t0 - q * t1
    return r0, s0, t0

Java實現

  public BigInteger[] extEuclid(String a, String  b) {
        BigInteger r0 = new BigInteger(a), r1 = new BigInteger(b),
                s0 = BigInteger.ONE, s1 = BigInteger.ZERO,
                t0 = BigInteger.ZERO, t1 = BigInteger.ONE;
        if(r0.multiply(r1).equals(BigInteger.ZERO))
            throw new IllegalArgumentException("a,b must be nonzero!");

        BigInteger q;
        BigInteger intermediate;
        while (!r1.equals(BigInteger.ZERO)){
            BigInteger[] quotientAndRemainder = r0.divideAndRemainder(r1);
            q = quotientAndRemainder[0];
            r0 = r1;r1 =quotientAndRemainder[1];
            intermediate = s0 ;s0 = s1;s1=intermediate.subtract(s1.multiply(q));
            intermediate = t0 ;t0 = t1;t1=intermediate.subtract(t1.multiply(q));
        }
        return new BigInteger[]{r0,s0,t0};
    }

---

確定$n,e,d$

1. 選擇兩個 不等質數 $p,q$，讓$n=pq$。假設$p=17,q=23$，那麼 $n=17*23=391$
2. 由上述 歐拉函數性質2 得，$\varphi(n)=(p-1)(q-1)$。我們隨機選擇一個數$e$，保證$1<e<\varphi(n)$，同時保證，$e$與$\varphi(n)$互質。那麼 $\varphi(n)=(17-1)*(23-1)=352$，隨機選擇$e=57$
3. 求$e$關於$\varphi(n)$的 模反元素$d$ ，即， $ed\equiv1(\bmod\varphi(n))\Rightarrow ed-k*\varphi(n)=1，k,d\in\Z$，
   $57d + 352k_{1}=1$
   根據 擴展歐幾里得算法 可求，$(d,k_{1})=(105,-17),d=105$

---

加密解密

計算過程

設 明文 爲$m$，密文 爲$c$，如果用$(n,e)$加密，$(n,d)$解密，過程如下：

1. 加密公式$m^e\equiv c(\bmod n),m<n \xRightarrow{c<n} c=m^e\%n$

2. 解密公式$c^d\equiv m(\bmod n),m<n \Rightarrow m=c^d\%n$

3. 已知 明文 爲$m=38$，用$(n,e)=(391,57)$加密$c=m^e\%n=38^{57}\%391=327$

4. 已知 密文 爲$c=327$，用$(n,d)=(391,105)$解密$m=c^d\%n=327^{105}\%391=38$

Python實現

#python3.7 注意，pow()當包含第三個參數時，指數不可爲負值
print(pow(38, 57, 391))
print(pow(327, 105, 391))

Java實現

System.out.println(BigInteger.valueOf(38).modPow(BigInteger.valueOf(57), BigInteger.valueOf(391)));
System.out.println(BigInteger.valueOf(327).modPow(BigInteger.valueOf(105), BigInteger.valueOf(391)));

證明

證明，已知加密公式$m^e\equiv c(\bmod n),m<n$，證明解密公式$c^d\equiv m(\bmod n),m<n$成立。

1. 根據已知條件，得出公式
   $m^e\equiv c(\bmod n),m<n\xRightarrow{同餘性質3，保持基本運算}m^{ed}\equiv c^d(\bmod n)\\ \implies c^d\equiv m^{ed}(\bmod n)\\ \xRightarrow{ed\equiv1(\bmod\varphi(n))}c^d\equiv m^{1+k\varphi(n)}(\bmod n)\\ \implies c^d\equiv m*m^{k\varphi(n)}(\bmod n)$

2. 當$m與n$互質，$m^{\varphi(n)}\equiv 1{(\bmod {n})}$（根據 歐拉定理）
   $\left.{\begin{matrix}1 \equiv m^{\varphi(n)}{(\bmod {n})}\\c^d\equiv m*m^{k\varphi(n)}(\bmod n) \end{matrix}}\right\}\xRightarrow{同餘性質3，保持基本運算}c^d\equiv m(\bmod n)$

3. 當$m與n$不互質

   1. 因爲$m與n$不互質，所以$m與n$，除1外有額外公共因子（根據 互質 定理）
   2. 因爲$n=pq$，所以$n$有四個因子，$1、n、p、q$（根據 互質性質5）
   3. 又因爲$m<n$，所以$m=hp，h<q,h\in\N^*$ 或 $m=hq，h<p,h\in\N^*$
   4. 假設$m=hp，h<q,h\in\N^*$，此時$h與q$互質（根據 互質性質4 ），同時因爲$p與q$互質，所以$m與q$互質。
   5. $c^d\equiv m*m^{k\varphi(n)}(\bmod n)\\ \xRightarrow{歐拉函數性質2}m*m^{k(p-1)(q-1)}(\bmod n)\\ \implies m*(m^{q-1})^{k(p-1)}(mod n)$
   6. $m與q互質\xRightarrow{歐拉定理} m^{\varphi(q)}\equiv 1(\bmod q)\\ \xRightarrow{歐拉函數性質1}m^{q-1}\equiv1(\bmod q)\\ \xRightarrow{同餘性質3}(m^{q-1})^{k(p-1)}\equiv 1^{k(p-1)}(\bmod q)\\ \xRightarrow{同餘性質2，整除性} (m^{q-1})^{k(p-1)}=1+tq,t\in\N$
   7. 由4，5，6可得
      $\left.{\begin{matrix}c^d\equiv m*(m^{q-1})^{k(p-1)}(mod n)\\ (m^{q-1})^{k(p-1)}=1+tq,t\in\N \\ m=hp,h\in\N^*\end{matrix}}\right\}\implies c^d\equiv [hp*(1+tq)](\bmod n)\\ \implies c^d\equiv (hp+th*pq)(\bmod n),th\in\N\\ \implies c^d\equiv (hp+th*n)(\bmod n),th\in\N\\ \xRightarrow{同餘性質4,放大縮小底數 }c^d\equiv hp(\bmod n)\\ \implies c^d\equiv m(\bmod n)$

---

破解私鑰

假如我們已知公鑰$(n,e)$，所謂破解私鑰$(n,d)$，就是通過$n,e$，求出$d$。
已知$ed\equiv 1(\bmod \varphi(n))$，所以要求$d$，先求$\varphi(n)$，
加密時我們通過$p,q$計算出$\varphi(n)$，而破解時我們根本不知道$p,q$，需要通過對$n$進行 因數分解 求出$\varphi(n)$。
所以，要破解私鑰，就要對$n$進行 因數分解 ，$n$越大破解越困難。
目前已破解748-bit的密鑰，如果你覺得1024-bit還不夠安全，你可以使用2048-bit的密鑰，如果未來它們也被破解了，你只需要增加到更大。