RSA的作者之一:阿迪·萨莫尔 RSA加密演算法 是一种非对称加密演算法 ,在公开密钥加密 和电子商业 中被广泛使用。RSA是由罗纳德·李维斯特 (Ron Rivest)、阿迪·萨莫尔 (Adi Shamir)和伦纳德·阿德曼 (Leonard Adleman)在1977年一起提出的。当时他们三人都在麻省理工学院 工作。RSA 就是他们三人姓氏开头字母拼在一起组成的。[1]
1973年,在英国政府通讯总部工作的数学家克利福德·柯克斯(Clifford Cocks)在一个内部文件中提出了一个与之等效的算法,但该算法被列入机密,直到1997年才得到公开。[2]
對极大整数做因数分解 的難度決定了 RSA 算法的可靠性。換言之,對一极大整数做因数分解愈困难,RSA 算法愈可靠。假如有人找到一种快速因数分解的算法的话,那么用 RSA 加密的信息的可靠性就会极度下降。但找到这样的算法的可能性是非常小的。今天只有短的 RSA 钥匙才可能被强力方式破解。到2020年为止,世界上还没有任何可靠的攻击RSA算法的方式。只要其钥匙的长度足够长,用RSA加密的信息实际上是不能被破解的。
1983年9月12日麻省理工学院在美国 为RSA算法申请了专利 。[3] [4] [5]
操作 公钥与私钥的产生 假設Alice 想要通過不可靠的媒體接收Bob的私人訊息。她可以用以下的方式來產生一個公鑰 和一個私鑰 :
隨意選擇兩個大的質數 p {\displaystyle p} q {\displaystyle q} p {\displaystyle p} q {\displaystyle q} N = p q {\displaystyle N=pq} 根據歐拉函數 ,求得 r = φ ( N ) = φ ( p ) × φ ( q ) = ( p − 1 ) ( q − 1 ) {\displaystyle r=\varphi (N)=\varphi (p)\times \varphi (q)=(p-1)(q-1)} 選擇一個小于 r {\displaystyle r} e {\displaystyle e} e {\displaystyle e} r {\displaystyle r} e {\displaystyle e} r {\displaystyle r} 模反元素 ,命名为 d {\displaystyle d} d {\displaystyle d} e d ≡ 1 ( mod r ) {\displaystyle ed\equiv 1{\pmod {r}}} e {\displaystyle e} r {\displaystyle r} 將 p {\displaystyle p} q {\displaystyle q} ( N , e ) {\displaystyle (N,e)} ( N , d ) {\displaystyle (N,d)} ( N , e ) {\displaystyle (N,e)} ( N , d ) {\displaystyle (N,d)}
加密消息 假设Bob想给Alice送消息 m {\displaystyle m} N {\displaystyle N} e {\displaystyle e} m {\displaystyle m} N {\displaystyle N} n {\displaystyle n} Unicode 码,然后将这些数字连在一起组成一个数字。假如他的信息非常长的话,他可以将这个信息分为几段,然后将每一段转换为 n {\displaystyle n} n {\displaystyle n} c {\displaystyle c}
c = n e mod N {\displaystyle c=n^{e}{\bmod {N}}} 这里的 c {\displaystyle c} 模幂 算法快速求出来。Bob算出 c {\displaystyle c}
解密消息 Alice得到Bob的消息 c {\displaystyle c} d {\displaystyle d} c {\displaystyle c} n {\displaystyle n}
n = c d mod N {\displaystyle n=c^{d}{\bmod {N}}} 与 Bob 计算 c {\displaystyle c} n {\displaystyle n} 模幂 算法快速求出。得到 n {\displaystyle n} m {\displaystyle m}
解码的原理是
c d ≡ n e ⋅ d ( m o d N ) {\displaystyle c^{d}\equiv n^{e\cdot d}\ (\mathrm {mod} \ N)} 已知 e d ≡ 1 ( mod r ) {\displaystyle ed\equiv 1{\pmod {r}}} e d = 1 + h φ ( N ) {\displaystyle ed=1+h\varphi (N)}
n e d = n 1 + h φ ( N ) = n ⋅ n h φ ( N ) = n ( n φ ( N ) ) h {\displaystyle n^{ed}=n^{1+h\varphi (N)}=n\cdot n^{h\varphi (N)}=n\left(n^{\varphi (N)}\right)^{h}} 若 n {\displaystyle n} N {\displaystyle N}
n e d ≡ n ( n φ ( N ) ) h ≡ n ( 1 ) h ≡ n ( mod N ) {\displaystyle n^{ed}\equiv n\left(n^{\varphi (N)}\right)^{h}\equiv n(1)^{h}\equiv n{\pmod {N}}} 若 n {\displaystyle n} N {\displaystyle N} n = p h {\displaystyle n=ph} e d − 1 = k ( q − 1 ) {\displaystyle ed-1=k(q-1)}
n e d = ( p h ) e d ≡ 0 ≡ p h ≡ n ( mod p ) {\displaystyle n^{ed}=(ph)^{ed}\equiv 0\equiv ph\equiv n{\pmod {p}}} n e d = n e d − 1 n = n k ( q − 1 ) n = ( n q − 1 ) k n ≡ 1 k n ≡ n ( mod q ) {\displaystyle n^{ed}=n^{ed-1}n=n^{k(q-1)}n=(n^{q-1})^{k}n\equiv 1^{k}n\equiv n{\pmod {q}}} 故 n e d ≡ n ( mod N ) {\displaystyle n^{ed}\equiv n{\pmod {N}}}
签名消息 RSA也可以用来为一个消息署名。假如Alice想给Bob传递一个署名的消息的话,那么她可以为她的消息计算一个散列值 (Message digest),然后用她的私钥“加密”(如同前面“加密消息”的步骤)这个散列值并将这个“署名”加在消息的后面。这个消息只有用她的公钥才能被解密。Bob获得这个消息后可以用Alice的公钥“解密”(如同前面“解密消息”的步骤)这个散列值,然后将这个数据与他自己为这个消息计算的散列值相比较。假如两者相符的话,那麼Bob就可以知道发信人持有Alice的私钥,以及这个消息在传播路径上没有被篡改过。
正确性证明 首选取两个互质数 p {\displaystyle p} q {\displaystyle q} p ∗ q {\displaystyle p*q} N {\displaystyle N}
然后计算出欧拉 Φ ( N ) {\displaystyle \Phi (N)} Φ {\displaystyle \Phi } Φ ( N ) {\displaystyle \Phi (N)} N {\displaystyle N} N {\displaystyle N} p {\displaystyle p} q {\displaystyle q}
Φ ( N ) = ( p − 1 ) ( q − 1 ) {\displaystyle \Phi (N)=(p-1)(q-1)} 这时候我们随机选择一个整数 e {\displaystyle e} 1 < e < Φ ( N ) {\displaystyle 1<e<\Phi (N)} e {\displaystyle e} Φ ( N ) {\displaystyle \Phi (N)} e {\displaystyle e} Φ ( N ) {\displaystyle \Phi (N)} d {\displaystyle d}
e ∗ d ≡ 1 ( m o d Φ ( N ) ) {\displaystyle e*d\equiv 1(mod\Phi (N))} 这个公式简单的说就是 e ∗ d {\displaystyle e*d} Φ ( N ) {\displaystyle \Phi (N)}
e d % ( ( p − 1 ) ( q − 1 ) ) = 1 {\displaystyle ed\ \%\ ((p-1)(q-1))=1} 即
e d = k ( p − 1 ) ( q − 1 ) + 1 {\displaystyle ed=k(p-1)(q-1)+1} 于是,RSA公钥为 ( N , e ) {\displaystyle (N,e)} ( N , d ) {\displaystyle (N,d)}
加密原文 m {\displaystyle m}
x = m e % N {\displaystyle x=m^{e}\%N} 解密公式为
m = x d % N {\displaystyle m=x^{d}\%N} 证明解密逻辑:
在 m < N {\displaystyle m<N} m = x d % N {\displaystyle m=x^{d}\%N} x d % N − m = 0 {\displaystyle x^{d}\%N-m=0}
x d % N − m {\displaystyle x^{d}\%N-m}
= ( m e % N ) d % N − m {\displaystyle =(m^{e}\%N)^{d}\%N-m}
= m e d % N − m ∵ a b % p = ( ( a % p ) b ) % p {\displaystyle =m^{ed}\%N-m\quad \because a^{b}\%p=((a\%p)^{b})\%p}
= m k ( p − 1 ) ( q − 1 ) + 1 % N − m {\displaystyle =m^{k(p-1)(q-1)+1}\%N-m}
= m ∗ ( m k ( p − 1 ) ( q − 1 ) − 1 ) % N {\displaystyle =m*(m^{k(p-1)(q-1)}-1)\%N}
当m与N互质时,根据费马小定理 公式
a p − 1 ≡ 1 ( m o d p ) {\displaystyle a^{p-1}\equiv 1(mod\ p)}
⇒ ( m k ( q − 1 ) ) p − 1 ≡ 1 ( m o d p ) {\displaystyle \Rightarrow (m^{k(q-1)})^{p-1}\equiv 1(mod\ p)}
⇒ ( m k ( p − 1 ) ) q − 1 ≡ 1 ( m o d q ) {\displaystyle \Rightarrow (m^{k(p-1)})^{q-1}\equiv 1(mod\ q)}
⇒ m k ( p − 1 ) ( q − 1 ) ≡ 1 ( m o d p q ) {\displaystyle \Rightarrow m^{k(p-1)(q-1)}\equiv 1(mod\ pq)}
⇒ m k ( p − 1 ) ( q − 1 ) ≡ 1 ( m o d N ) {\displaystyle \Rightarrow m^{k(p-1)(q-1)}\equiv 1(mod\ N)}
⇒ m ∗ ( m k ( p − 1 ) ( q − 1 ) − 1 ) % N = 0 {\displaystyle \Rightarrow m*(m^{k(p-1)(q-1)}-1)\%N=0}
当m与N不互质时,不妨设公因子为p,即 m = p h 1 ( h 1 < q ) {\displaystyle m=ph_{1}(h_{1}<q)}
假設q整除m。因此 q ∣ p h 1 {\displaystyle q\mid ph_{1}} 歐幾里德引理 , q ∣ h 1 {\displaystyle q\mid h_{1}} q ≤ h 1 {\displaystyle q\leq h_{1}} h 1 < q {\displaystyle h_{1}<q}
此时m与q互质,根据费马小定理公式
a p − 1 ≡ 1 ( m o d p ) {\displaystyle a^{p-1}\equiv 1(mod\ p)}
⇒ m q − 1 ≡ 1 ( m o d q ) {\displaystyle \Rightarrow m^{q-1}\equiv 1(mod\ q)}
⇒ m k ( p − 1 ) ( q − 1 ) ≡ 1 ( m o d q ) {\displaystyle \Rightarrow m^{k(p-1)(q-1)}\equiv 1(mod\ q)}
⇒ m k ( p − 1 ) ( q − 1 ) − 1 = q h 2 {\displaystyle \Rightarrow m^{k(p-1)(q-1)}-1=qh_{2}}
⇒ m ∗ ( m k ( p − 1 ) ( q − 1 ) − 1 ) % N = p h 1 ∗ q h 2 % N = N h 1 h 2 % N = 0 {\displaystyle \Rightarrow m*(m^{k(p-1)(q-1)}-1)\%N=ph_{1}*qh_{2}\%N=Nh_{1}h_{2}\%N=0}
安全性 假设偷听者Eve获得了Alice的公钥 N {\displaystyle N} e {\displaystyle e} c {\displaystyle c} d {\displaystyle d} d {\displaystyle d} N {\displaystyle N} p {\displaystyle p} q {\displaystyle q} 同余方程 d e ≡ 1 ( m o d ( p − 1 ) ( q − 1 ) ) {\displaystyle de\equiv 1(\mathrm {mod} (p-1)(q-1))} d {\displaystyle d}
c d ≡ n ( m o d N ) {\displaystyle c^{d}\equiv n\ (\mathrm {mod} \ N)} 导出n (破密)。但至今为止还没有人找到一个多項式時間的算法来分解一个大的整数的因子,同时也还没有人能够证明这种算法不存在(见因数分解 )。
至今为止也没有人能够证明对 N {\displaystyle N} c {\displaystyle c} n {\displaystyle n}
因此今天一般认为只要 N {\displaystyle N}
假如 N {\displaystyle N} 位 ,那么用一台个人电脑 在几个小时内就可以分解它的因子了。1999年,数百台电脑合作分解了一个512位长的 N {\displaystyle N} [6] N {\displaystyle N} [7]
1994年,彼得·秀爾 证明一台量子计算机 可以在多項式時間内进行因数分解。假如量子计算机有朝一日可以成为一种可行的技术的话,那么秀爾的算法可以淘汰RSA和相关的衍生算法。(即依赖于分解大整数困难性的加密算法)
假如有人能够找到一种有效的分解大整数的算法的话,或者假如量子计算机可行的话,那么在解密和制造更长的钥匙之间就会展开一场竞争。但从原理上来说RSA在这种情况下是不可靠的。
实现细节 密钥生成 首先要使用概率算法来验证随机产生的大的整数是否質数,这样的算法比较快而且可以消除掉大多数非質数。假如有一个数通过了这个测试的话,那么要使用一个精确的测试来保证它的确是一个質数。
除此之外这样找到的 p {\displaystyle p} q {\displaystyle q} p − 1 {\displaystyle p-1} q − 1 {\displaystyle q-1} N {\displaystyle N}
此外寻找質数的算法不能给攻击者任何信息,这些質数是怎样找到的,尤其产生随机数的软件必须非常好。要求是随机和 不可预测。这两个要求并不相同。一个随机过程可能可以产生一个不相关的数的系列,但假如有人能够预测出(或部分地预测出)这个系列的话,那么它就已经不可靠了。比如有一些非常好的随机数算法,但它们都已经被发表,因此它们不能被使用,因为假如一个攻击者可以猜出 p {\displaystyle p} q {\displaystyle q}
此外密钥 d {\displaystyle d} p {\displaystyle p} q {\displaystyle q} 2 q {\displaystyle 2q} d < 1 3 × N 1 4 {\displaystyle d<{\frac {1}{3}}\times N^{\frac {1}{4}}} N {\displaystyle N} e {\displaystyle e} d {\displaystyle d} e = 2 {\displaystyle e=2}
速度 比起AES 、3DES 和其它对称算法来說,RSA要慢得多。实际的運用(如TLS )一般結合了對稱加密 (如AES)和非對稱加密 (如RSA)兩者。
密钥分配 和其它加密过程一样,对RSA来说分配公钥的过程是非常重要的。分配公钥的过程必须能够抵挡中间人攻击。假设Eve交给Bob一个公钥,并使Bob相信这是Alice的公钥,并且她可以截下Alice和Bob之间的信息传递,那么她可以将她自己的公钥传给Bob,Bob以为这是Alice的公钥。Eve可以将所有Bob传递给Alice的消息截下来,将这个消息用她自己的密钥解密,读这个消息,然后将这个消息再用Alice的公钥加密后传给Alice。理论上Alice和Bob都不会发现Eve在偷听他们的消息。今天人们一般用可靠的第三方機構簽發憑證 来防止这样的攻击。
典型密钥长度 NIST建議的RSA密鑰長度 為至少2048位元[8]
已公开的或已知的攻击方法 大数因数分解 最常见的针对RSA的攻击是基于大数因数分解。1999年,RSA-155(512 bits)被成功分解,花费五个月时间(约8000 MIPS 年)、224 CPU小时,在一台有3.2G中央内存 [需要解释 ] 的Cray C916计算机上完成。[9]
RSA-155表示如下:
39505874583265144526419767800614481996020776460304936454139376051579355626529450683609
727842468219535093544305870490251995655335710209799226484977949442955603
= 3388495837466721394368393204672181522815830368604993048084925840555281177×
11658823406671259903148376558383270818131012258146392600439520994131344334162924536139
2009年12月12日,编号为RSA-768(768 bits, 232 digits)数也被成功分解[10]
RSA-768表示如下:
123018668453011775513049495838496272077285356959533479219732245215172640050726
365751874520219978646938995647494277406384592519255732630345373154826850791702
6122142913461670429214311602221240479274737794080665351419597459856902143413
= 3347807169895689878604416984821269081770479498371376856891
2431388982883793878002287614711652531743087737814467999489×
3674604366679959042824463379962795263227915816434308764267
6032283815739666511279233373417143396810270092798736308917
时间攻击 1995年,丹·博內 (英语 : Dan Boneh 大衛·布魯姆利 (英语 : David Brumley Eve (竊密者)对Alice 的硬件有充分的了解,而且知道它对一些特定的消息加密时所需要的时间的话,那么她可以很快地推导出d 。這種攻擊方式之所以會成立,主要是因為在進行加密時所進行的模指數運算是一個位元一個位元進行的,而位元為1所花的運算比位元為0的運算要多很多,因此若能得到多組訊息與其加密時間,就會有機會可以反推出私鑰的內容。[11]
相關條目 参考文献 ^ Calderbank, Michael. The RSA Cryptosystem: History, Algorithm, Primes (PDF) . 2007-08-20. (原始内容 (PDF) 存档于2016-12-13). ^ Cocks, C.C. A Note on Non-Secret Encryption (PDF) . www.gchq.gov.uk. 1973-11-20 [2017-05-30 ] . (原始内容存档 (PDF) 于2017-02-16). ^ Cryptographic communications system and method, 1977-12-14 [2018-04-09 ] , (原始内容存档于2019-02-17) ^ RSA Security Releases RSA Encryption Algorithm into Public Domain. [2010-03-03 ] . (原始内容存档于2007-06-21). ^ Robinson, Sara. Still Guarding Secrets after Years of Attacks, RSA Earns Accolades for its Founders (PDF) . SIAM News. June 2003, 36 (5) [2018-04-09 ] . (原始内容 (PDF) 存档于2017-01-16). ^ Tromer, Eran. TWIRL (The Weizmann Institute Relation Locator). cs.tau.ac.il. [2018-04-16 ] . (原始内容存档于2018-04-20). ^ Has the RSA algorithm been compromised as a result of Bernstein's Paper? (页面存档备份,存于互联网档案馆 ) What key size should I be using? ^ Keylength - NIST Report on Cryptographic Key Length and Cryptoperiod (2019). www.keylength.com. [2020-04-22 ] . (原始内容存档于2020-04-04). ^ 存档副本. [2018-04-09 ] . (原始内容存档于2017-07-01). [需要較佳来源 ] ^ Factorization of a 768-bit RSA modulus (PDF) . 2010年1月7日 [2010年1月10日] . (原始内容 (PDF) 存档于2010年3月31日). ^ Remote timing attacks are practical. (页面存档备份,存于互联网档案馆 ). SSYM'03 Proceedings of the 12th conference on USENIX Security Symposium. 外部链接 RSA, The Security Division of EMC(页面存档备份,存于互联网档案馆 ) RSA算法详解(页面存档备份,存于互联网档案馆 )
算法
Benaloh (英语 : Benaloh cryptosystem Blum–Goldwasser (英语 : Blum–Goldwasser cryptosystem Cayley–Purser (英语 : Cayley–Purser algorithm Damgård–Jurik (英语 : Damgård–Jurik cryptosystem GMR (英语 : GMR (cryptography) Goldwasser–Micali (英语 : Goldwasser–Micali cryptosystem Paillier (英语 : Paillier cryptosystem Rabin (英语 : Rabin cryptosystem RSA Okamoto–Uchiyama (英语 : Okamoto–Uchiyama cryptosystem Schmidt–Samoa (英语 : Schmidt–Samoa cryptosystem Cramer–Shoup (英语 : Cramer–Shoup cryptosystem DH DSA ECDH ECDSA EdDSA EKE (英语 : Encrypted key exchange ElGamal MQV (英语 : MQV Schnorr (英语 : Schnorr signature SPEKE (英语 : SPEKE (cryptography) SRP (英语 : Secure Remote Password protocol STS (英语 : Station-to-Station protocol SM2 其他
AE (英语 : Algebraic Eraser CEILIDH (英语 : CEILIDH EPOC (英语 : Efficient Probabilistic Public-Key Encryption Scheme HFE (英语 : Hidden Field Equations IES (英语 : Integrated Encryption Scheme Lamport (英语 : Lamport signature McEliece (英语 : McEliece cryptosystem Merkle–Hellman (英语 : Merkle–Hellman knapsack cryptosystem Naccache–Stern (英语 : Naccache–Stern cryptosystem Naccache–Stern knapsack cryptosystem (英语 : Naccache–Stern knapsack cryptosystem NTRU NTRUEncrypt (英语 : NTRUEncrypt NTRUSign (英语 : NTRUSign Three-pass protocol (英语 : Three-pass protocol XTR (英语 : XTR
理论 离散对数 椭圆曲线密码学 Non-commutative cryptography (英语 : Non-commutative cryptography RSA problem (英语 : RSA problem 陷门函数 标准化 CRYPTREC (英语 : CRYPTREC IEEE P1363 (英语 : IEEE P1363 NESSIE (英语 : NESSIE NSA Suite B (英语 : NSA Suite B Cryptography 论题
