RSA算法：开启现代密码学的数学之钥

news2025/3/12 12:58:55

一、RSA算法简介

RSA（Rivest-Shamir-Adleman）是当今应用最广泛的非对称加密算法，由三位科学家Ron Rivest、Adi Shamir和Leonard Adleman于1977年提出。它的核心思想是利用数论中的难题，构建一对数学上关联的密钥——公钥用于加密，私钥用于解密。使用公、私钥分离这种机制完美解决了对称加密中密钥分发的难题，成为互联网安全通信（如HTTPS、数字签名等）的基石。

二、RSA算法核心思想

算法目标

设计一种易于密钥分发的密码算法，以区别于对称密钥;
设计两把密钥，一把用于加密，一把用于解密。同时密钥不容易被破解;
加密密钥可以随意分发，只能用于加密，无法解密。

核心思想

根据算法目标，需要设计加密、解密两个过程，并且保证加密过程不可逆（即加密密钥不能解密出密文）。通过以下几步完成算法设计的目标。

利用模运算的不可逆性（即单向性）来设计加密和解密过程。
利用大质数分解困难的机制设计两把密钥
加密：将明文 $m$ 通过指数运算和模运算转换为密文 $c$ ：
$\equiv m^e \pmod{n}$
解密：将密文 $c$ 通过指数运算和模运算还原为明文 $m$ ：
$\equiv c^d \pmod{n}$
为了实现这一点，需要找到一对指数 $e$ 和 $d$ ，使得：
$(m^e)^d \equiv m \pmod{n}$

三、RSA算法的数学基础

要理解RSA，需要掌握几个数学知识。

模运算
即“取余数运算”。例如 $\mod 5 = 2$ ，表示17除以5的余数是2。
模运算的不可逆性是指在模 $n$ 下，某些运算（如乘法或指数运算）难以通过逆向操作恢复原始值。模运算的不可逆性原因在于信息丢失。模运算会将结果限制在 $0$ 到 $n - 1$ 之间，导致多个不同的输入可能映射到同一个输出。
- 例如， $\times 4 \equiv 12 \equiv 2 \pmod{10}$ ，但 $\times 14 \equiv 42 \equiv 2 \pmod{10}$ 。仅知道结果是 2，无法确定原始值是 4 还是 14。
逆元
- 单位元：在一个集合中，对于某种运算 $*$ （注意：这里代表通用运算的表示符号，并不是特指乘法），如果对于任何的集合元素 $a$ ，和元素 $e$ 运算，得到还是集合元素 $a$ 本身，则称 $e$ 为这个运算下的单位元。
  示例:
  在加法运算中，任意实数 $a$ ，根据单位元的定义，有 $a + e = e + a = a$ 。因为 $a + 0 = 0 + a = a$ ，则单位元为 $0$ 。
  在乘法运算中，任意实数 $a$ ，根据单位元的定义，有 $\times e=e \times a=a$ 。因为 $\times 1=1 \times a=a$ ，则单位元为 $1$ 。
  在模乘运算中（即左右操作数是求余运算的乘法），任意实数 $a$ 的模n运算 $\pmod n$ ，根据单位元的定义，有 $\pmod n \times e \pmod n=e \pmod n \times a \pmod n=a \pmod n$ 。因为 $\pmod n \times 1 \pmod n=1 \pmod n \times a \pmod n=a \pmod n$ ，则单位元为 $\pmod n$ 。附：证明过程。
- 逆元：在一个集合中，对于某种运算 $*$ ，如果任意两个元素的运算结果等于单位元，则称这两个元素互为逆元。
  示例：
  在加法运算中，任意实数 $a$ 的逆元为 $- a$ 。因为加法的单位元为 $0$ ，根据逆元的定义，可令 $a + e = e + a = 0$ ，则 $e = - a$ 。即相反数。
  在乘法运算中，任意实数 $a$ 的逆元为 $a^{-1}$ 或 $\frac{1}{a}$ 。因为乘法的单位元为 $1$ ，根据逆元的定义，可令 $\times e=e \times a=1$ ，则 $e=a^-1$ 或 $e=\frac{1}{a}$ 。即倒数。
  在模乘中，设定模乘的逆元表示为 $a^-1 \pmod n$ 。因为模乘的单位元为 $\pmod n$ ，根据逆元的定义，可令 $\pmod n \times a^{-1} \pmod n = 1 \pmod n$ 。根据模运算的性质，即等号左右两边模 $n$ 同余，所以前述式子可写为 $\times a^{-1} \equiv 1 \pmod n$ 。为求得 $a{-1}$ ，可采用扩展欧几里德定理求解逆元。
欧拉函数
符号 $\phi(n)$ ，表示小于 $n$ 且与 $n$ 互质的正整数个数。
- 关键性质：若 $\times q$ （ $p$ 和 $q$ 为质数），则：
  $\phi(n) = (p-1) \times (q-1)$
  $\phi(n) = (p-1) \times (q-1)$ 是欧拉函数的一个特殊形式（当 $n$ 是两个不同的质数 $p$ 和 $q$ 时成立）。
  示例： $\times 5$ ，则 $\phi(15) = 2 \times 4 = 8$ ，即与15互质的数为 {1,2,4,7,8,11,13,14}。
欧拉定理
若 $m$ 与 $n$ 互质，则：
$m^{\phi(n)} \equiv 1 \pmod{n}$
大数分解问题
大质数在数轴上的分布非常稀疏，且没有明显规律可循，使得暴力搜索不可行。黎曼猜想即是想解决质数分布问题。
离散对数问题
$c=m^e \pmod{\phi(n)}$ ，可以简单理解为有 $\phi(n)$ 个房间， $c$ 是其中一个房间，问题是找到一个整数 $e$ （可以理解为步数），让你从房间 $m$ 出发，走多少步（求 $e$ ）能到达房间 $c$ 。而通常 $\phi(n)$ 与 $e$ 都是非常大的质数，且 $\phi(n)$ 未知，你需要一步步验证才能找到正确的 $e$ （即使 $e$ 通常取值为65537）。

四、RSA的加密与解密过程

RSA的实现分为密钥生成、加密和解密三个阶段：

1. 密钥生成

步骤1：随机选择两个大质数 $p$ 和 $q$ 。
步骤2：计算模数 $\times q$ 和 $\phi(n) = (p-1) \times (q-1)$ 。
步骤3：选择公钥指数 $e$ ，需满足 $\phi(n)$ 且 $e$ 与 $ \phi(n)$ 互质（例如 $e = 65537$ ）。
步骤4：计算私钥指数 $d$ ，使得 $\times d \equiv 1 \pmod{\phi(n)}$ 。即求 $\pmod{\phi(n)}$ 的模乘逆元。
数学工具：使用扩展欧几里得算法求模乘逆元。

最终密钥对：

公钥： $(n, e)$
私钥： $(n, d)$

2. 加密过程

假设Bob想发送明文 $m$ 给Alice：

Bob获取Alice的公钥 $(n, e)$ 。
将明文转换为整数 $m$ （如ASCII码），且 $m < n$ 。
计算密文 $\equiv m^e \pmod{n}$ ，发送 $c$ 给Alice。

3. 解密过程

Alice收到密文 $c$ 后：

使用私钥 $(n, d)$ 计算 $\equiv c^d \pmod{n}$ 。
将整数 $m$ 还原为原始信息。

数学证明：
由欧拉定理可证明，若 $m$ 与 $n$ 互质，则：
$c^d \equiv (m^e)^d \equiv m^{e \times d} \equiv m^{k \cdot \phi(n) + 1} \equiv (m^{\phi(n)})^k \cdot m \equiv 1^k \cdot m \equiv m \pmod{n}$

安全性

公钥 $(n, e)$ 是公开的
根据 $e$ 、 $d$ 的关系， $\times d \equiv 1 \pmod{\phi(n)}$ 可知，如果想破解 $d$ ，则需要知道 $\phi(n)$
而 $\phi(n)=(p-1) \times (q-1)$ ， $\times q$ ，如果想破解 $\phi(n)$ 或 $n$ ，则需要知道 $p$ 、 $q$
但从 $n$ 分解出 $p$ 和 $q$ 在计算上是困难的，因此想破解 $p$ 、 $q$ 是不可能的。——依据大数分解问题
如果想绕开 $p$ 、 $q$ ，在未知 $d$ 的情况下，从 $\equiv m^e \pmod n$ 反推 $m$ 是困难的（即从密文直接反推明文是困难的）。——依据离散对数问题）