RSA算法
- RSA
- 一、数学原理
- 二、实现代码
- 1 生成素数
- 2 生成秘钥
- 3 对数据进行加密、解密
- 总结
RSA
RSA是一种非对称加密体制,由公钥和私钥组成,数学原理是实数域的模余法。在使用私钥对数据进行加密后,可用公钥对数据进行解密。
在RSA算法中,设公钥为(D, N),私钥为(E, N),加密过程可以表示为明文EmodN=密文明文^{E} \ mod\ N=密文 明文E mod N=密文
解密算法一致,把E换成D,密文DmodN=明文密文^{D} \ mod\ N=明文 密文D mod N=明文
当然,能这样计算对N、E、D是有要求的。
RSA是目前公认的安全算法,对它进行破解需要进行大数的质数分解,目前除了穷举法没有发现其他方法能计算,而穷举法在足够大的大数面前计算是需要非常漫长的时间的,因此当RSA算法采用的N、E、D足够大时,就认为是安全的。目前来说需要N达到1024bits。
一、数学原理
-
欧拉函数的性质:
若n=qp,p和q是两个质数,则φ(n)=(q−1)(p−1)n = qp,p和q是两个质数,\ 则{\varphi}(n) = (q-1)(p-1)n=qp,p和q是两个质数, 则φ(n)=(q−1)(p−1) -
欧拉定理:若a与n互质,即gcd(a,n)=1,则aφ(n)≡1modngcd(a,n)=1, 则a^{\varphi(n)}\ {\equiv}\ 1\mod\ ngcd(a,n)=1,则aφ(n) ≡ 1mod n
进一步,若n是质数,an−1≡1modna^{n-1}\ {\equiv}\ 1\mod nan−1 ≡ 1modn,an≡amodna^{n}\ {\equiv}\ a\mod nan ≡ amodn -
费马小定理:若n是质数,a与n互质,,则an−1≡1modna^{n-1}\ {\equiv}\ 1 \mod \ nan−1 ≡ 1mod n,
-
逆元:如果ab≡1modn,则a和b互为逆元ab\ {\equiv}\ 1\mod\ n, 则a和b互为逆元ab ≡ 1mod n,则a和b互为逆元
-
RSA加密的条件:
· n=p×qn = p{\times}qn=p×q
· L=φ(n)=(p−1)(q−1)L = {\varphi}(n) = (p-1)(q-1)L=φ(n)=(p−1)(q−1)
· 随机选取 1<e<L,使得gcd(e,L)=11<e<L,使得gcd(e,L)=11<e<L,使得gcd(e,L)=1
·计算 ed≡1modLed\ {\equiv}\ 1\mod\ Led ≡ 1mod L
·公钥对 =(n, d),私钥对 =(n, e)继续设明文 = M,密文 = C,现在来证明可以用上述方法加解密的条件。
MEmodN=C,CDmodN=MM^{E}\ mod\ N = C,\ C^{D}\mod\ N = MME mod N=C, CDmod N=M
根据模法,CD−kN=MC^{D}\ -\ kN = MCD − kN=M,代回第一个式子,
(CD−kN)E≡1modN(C^{D}\ -\ kN)^{E}\ {\equiv}\ 1\mod\ N(CD − kN)E ≡ 1mod N CDE≡CmodNC^{DE}\ {\equiv}\ C\mod\ NCDE ≡ Cmod N由于 E×D≡1modφ(N)E\times D\equiv 1\mod\ \varphi(N)E×D≡1mod φ(N),也即 ED−kφ(N)=1ED-k\varphi(N) = 1ED−kφ(N)=1
若gcd(C, N) = 1,根据欧拉定理,Cφ(N)≡1modNC^{{\varphi}(N)}\ {\equiv}\ 1\mod\ NCφ(N) ≡ 1mod NCkφ(N)+1≡CmodNC^{k{\varphi}(N)+1}\ {\equiv}\ C\mod\ NCkφ(N)+1 ≡ Cmod NCED≡CmodNC^{ED}\ {\equiv}\ C \mod\ N CED ≡ Cmod N若C与N不互质,由于N是两个质数的积,所以gcd(C,N)=q or gcd(C,N)=p。设 C=k1qorC=k2pC= k_{1}q\ or \ C=k_{2}pC=k1q or C=k2p,假设C = kp,而且gcd(m,q)=1,由欧拉定理和欧拉函数的性质,(kp)q−1≡1modq(kp)^{q-1} \ {\equiv} \ 1 \mod \ q(kp)q−1 ≡ 1mod q((kp)q−1)k2(p−1)≡(kp)q−1≡1modq((kp)^{q-1})^{k_{2}(p-1)}\ {\equiv}\ (kp)^{q-1} \ {\equiv} \ 1 \mod \ q((kp)q−1)k2(p−1) ≡ (kp)q−1 ≡ 1mod q(kp)k2φ(n)≡1modq(kp)^{k_{2}{\varphi}(n)} \ {\equiv} \ 1 \mod \ q(kp)k2φ(n) ≡ 1mod qCk2φ(n)−aq=1C^{k_{2}{\varphi}(n)}-aq = 1Ck2φ(n)−aq=1两边同时乘上C,Ck2φ(n)+1=aCq+C=akpq+C=akN+C=k3N+CC^{k_{2}{\varphi}(n)+1}=aCq+C=akpq+C=akN+C=k_{3}N+CCk2φ(n)+1=aCq+C=akpq+C=akN+C=k3N+C也即 CED≡CmodNC^{ED}\ {\equiv}\ C\mod\ NCED ≡ Cmod N,原式得证。 -
素数检验(Miller-Rabbin算法)
涉及到两个定理:
5.1 费马小定理:参见3,但是费马小定理的逆定理不一定成立
5.2 二次探测定理:如果 p是一个素数,0<x<p0<x<p0<x<p,则方程 x2≡1modpx^{2}\ {\equiv}\ 1 \mod px2 ≡ 1modp 的解为 x=1x=1x=1 或 x=p−1x=p-1x=p−1
算法内容:
· 设一个数为x,分解为2st=x−12^{s}t\ =\ x-12st = x−1,t为x不断除以2得到的最大奇数
· 随机取a,a=ata=a^{t}a=at,对a进行s次平方(也即计算b=a2modx,a=bb = a^{2}\mod x,a = bb=a2modx,a=b),如果其中有次平方的结果为b=1而且此时a不为1或x-1,则不满足二次探测定理
· 如果 ax−1modx≠1a^{x-1}\mod x {\neq}1ax−1modx=1,则不满足费马小定理
如果可以,a取小于x的足够多的质数或者随机选取a进行多次检测。Miller-Rabbin算法只能保证x大概率是一个素数,不过这个概率已经足够大了。 -
快速幂
计算axmodn=?a^x\mod n=?axmodn=?,当a和x很大的时候,中间结果超出存储容量又或者数字太大计算复杂,此时需要快速计算这个指数模余值,可以如下进行:
对x分解为二进制形式,则有axmodn=a2bk+2bk−1+⋅⋅⋅⋅⋅⋅+2b0modn=((a2bkmodn)⋅⋅⋅⋅⋅⋅(a2b0modn))modna^{x}mod\ n= a^{2^{b_{k}}+2^{b_{k-1}}+······+2^{b_0}}mod\ n =((a^{2^{b_k}} mod\ n)······(a^{2^{b_0}} mod\ n))mod\ naxmod n=a2bk+2bk−1+⋅⋅⋅⋅⋅⋅+2b0mod n=((a2bkmod n)⋅⋅⋅⋅⋅⋅(a2b0mod n))mod n
二、实现代码
重新看下RSA算法的流程,
· n=p×qn = p{\times}qn=p×q
· L=φ(n)=(p−1)(q−1)L = {\varphi}(n) = (p-1)(q-1)L=φ(n)=(p−1)(q−1)
· 随机选取 1<e<L,使得gcd(e,L)=11<e<L,使得gcd(e,L)=11<e<L,使得gcd(e,L)=1
·计算 ed≡1modLed\ {\equiv}\ 1\mod\ Led ≡ 1mod L
·公钥对 =(n, d),私钥对 =(n, e)
由于RSA的安全性取决于n的大小,所以生成的p和q越大越好,那么需要
- 生成大素数p和q
- 计算L = (p-1)*(q-1)
- 随机选取与L互质的e,2<e<L
- 计算e对L的逆元d
- 销毁p、q,保存n,e,d
1 生成素数
用基础算法列出1-1000的素数,从2到x\sqrt xx求x是非能被1和他自身外的其他数整除。
def createPrime():ret = []for i in range(1000):for j in range(2,ceil(sqrt(i))+1):if i % j == 0:breakif j == ceil(sqrt(i)):ret.append(i)return ret
先实现快速幂算法,再用Miller-Rabbin算法生成一个大的素数,这个大有多大看需求。
# 1000以内的质数
prime_list = [3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37, 41, 43, 47, 53, 59, 61, 67, 71, 73, 79, 83, 89, 97, 101, 103,107, 109, 113, 127, 131, 137, 139, 149, 151, 157, 163, 167, 173, 179, 181, 191, 193, 197, 199, 211, 223,227, 229, 233, 239, 241, 251, 257, 263, 269, 271, 277, 281, 283, 293, 307, 311, 313, 317, 331, 337, 347,349, 353, 359, 367, 373, 379, 383, 389, 397, 401, 409, 419, 421, 431, 433, 439, 443, 449, 457, 461, 463,467, 479, 487, 491, 499, 503, 509, 521, 523, 541, 547, 557, 563, 569, 571, 577, 587, 593, 599, 601, 607,613, 617, 619, 631, 641, 643, 647, 653, 659, 661, 673, 677, 683, 691, 701, 709, 719, 727, 733, 739, 743,751, 757, 761, 769, 773, 787, 797, 809, 811, 821, 823, 827, 829, 839, 853, 857, 859, 863, 877, 881, 883,887, 907, 911, 919, 929, 937, 941, 947, 953, 967, 971, 977, 983, 991, 997]def quickPowerMod(a,x,n):# 计算a**x % nc = b = 1binary = bin(x)[2:]binary = reversed(binary)for it in binary:if it == '0':# 结果不动,乘子指数加一a = (a ** 2) % nelse:# 结果乘上当前权重,乘子指数加一b = (a * b) % na = (a ** 2) % nreturn bdef MillerRabin(num):# 偶数if num & 1 == 0:return False# 将num分解为 (2**s)*t = num-1s = 1# 这时t必定是偶数,将其分解到为奇数t = num - 1while t & 1 == 0:s += 1t = t // 2for it in prime_list:if it >= num:breaka = quickPowerMod(it,t,num)# 二次探测定理for i in range(s):b = a * a % numif b == 1 and a != 1 and a != num-1:return Falsea = bif a != 1:# (it**t) 同余 1 mod num, 费马小定理return Falsereturn Truedef createBigPrime():pMin = 10 ** 54pMax = 10 ** 64a = random.randint(pMin,pMax)while not MillerRabin(a):a = random.randint(pMin, pMax)return a
2 生成秘钥
接下来编写函数生成公钥私钥对,求逆元的时候有几种算法,由于明文和N关系未知,选取扩展欧几里得算法,又需要求最大公因子和最小公倍数的函数,这两个很简单,直接上代码。
def gcd(a,b):if a % b == 0:return belse:return gcd(b, a % b)def lcm(a,b):c = gcd(a, b)return a * b // cdef inverseGCD(a,b):# 递推求扩展欧几里得算法if b == 0:return 1, 0else:k = a // bx2, y2 = inverseGCD(b, a % b)x1, y1 = y2, x2 - k * y2# 注意x1可能为负,在外面再求一次模return x1, y1def createKeys():q = createBigPrime()p = createBigPrime()n = q * p# n的欧拉函数L = (p - 1) * (q - 1)e = random.randint(2,L)while gcd(e,L) != 1:e = random.randint(2,L)# 计算e * d 同余 1 mod L# 扩展欧几里得算法求逆元d, _ = inverseGCD(e,L)d = d % L#d = e**(L-2)with open('e.txt', 'w') as f:f.write(str(e))with open('d.txt', 'w') as f:f.write(str(d))with open('n.txt', 'w') as f:f.write(str(n))return n, e, d
3 对数据进行加密、解密
有了私钥对,加密只是进行一个求快速幂的过程。
m = 8916534261681675
n,e,d = createKeys()
print('私钥对:\n',n,e)
print('公钥对:\n',n,d)
en = quickPowerMod(m,e,n)
print('原消息: ', m)
print('加密后:', en)
de = quickPowerMod(en,d,n)
print('解密后:', de)
看下结果
已经完成正确的加解密!
总结
RSA算法用到数论、离散数学的基础,加密速度慢,而且每次加密过程中消息大小M不能大于N。但RSA算法是公认非常安全的算法。
如果想对大小超出N的消息加密,一般需要先用DES、SHA等对原消息计算成一定长度的摘要,再对摘要进行RSA加密。