RSA算法描述

密钥生成

1. 选取两个保密的大素数p、q
2. n=p*q，$\varphi$(n)=$\varphi (p)\varphi$(q)=(p-1)(q-1)
3. 随机选取整数e，1<e<$\varphi$(n)，满足gcd(e，$\varphi$(n))=1
4. ed$\equiv 1mod\varphi$(n),即d=e^-1mod$\varphi$(n)
5. 公钥为(e，n)，私钥为d

总结

• 由两个大素数计算出n，有了n才能求出密钥对。
  求公钥：计算出n的欧拉函数值 $\varphi (n)$ ，根据1<e<$\varphi$(n)，gcd(e，$\varphi$(n))=1的条件随机选取整数e。
  e大于1是因为小于1无意义，等于1就导致公钥为1，当别人看到公钥为1就知道私钥也为1了，所以要大于1；
  e小于$\varphi$(n)是因为模数为$\varphi$(n)
  求e的这个条件gcd(e，$\varphi$(n))=1是为了保证私钥d存在。
  求私钥：d$\equiv$e^-1mod$\varphi$(n)
  从而求得密钥对

加密

1. 按ASCII码将明文m转换为二进制01比特串
2. 将01比特串分组，使得每组转换为十进制时小于n
3. 将各组转换为十进制
4. 利用公钥e加密每组，得到密文c.即c$\equiv$m^emodn，0$\le$m<n,0$\le$c<n

总结

• 消息转换为二进制序列，按模数将二进制序列分组，再转换为十进制。经过转换–>分组–>转换是为了加密时m不能超过模数。

解密

1. m$\equiv$c^dmodn

证明解密过程是正确的

1. 计算c^dmodn是否同余m
2. $\because$c$\equiv$m^emodn，ed$\equiv 1mod\varphi$(n)；$\therefore$ c^dmodn=m^edmodn=m^1+rϕ(n)modn
3. 下面分两种情况讨论
   (1) gcg(m,n) = 1 时，根据Euler定理得m^ϕ(n)$\equiv$ 1modn,m^1+rϕ(n)modn=m(m^rϕ(n))modn=m mod n
   (2) gcd(m,n) $\ne$ 1时， $\because$n=pq且p、q都是素数，$\therefore$gcd(m,n)要么是p,要么是q.
   设gcd(m,n)=p,令m=xp,1$\le$x<q
   能够推出gcd(m,q)=1,由Euler定理知m^ϕ(q) $\equiv$ 1modq,又ϕ(q)=q-1$\Rightarrow$m^q-1$\equiv$ 1modq$\Rightarrow$(m^q-1)^r(p-1)$\equiv$ 1modq$\Rightarrow$
   m^rϕ(n)$\equiv$ 1modq$\Rightarrow$ m^rϕ(n)=1+bq$\Rightarrow$ m^1+rϕ(n)=m+mbq=m+xpbq=m+xbn$\equiv$ m mod n；
   gcd(m,n)=q时同理
4. 综上所述，解密过程是正确的

总结

• 要证明c^dmodn是否同余m,这是一个转化的过程；
• c^dmodn=m^edmodn=m^1+rϕ(n)modn=m(m^rϕ(n))modn
• 如果gcd(m,n)=1,Euler得m^ϕ(n)$\equiv$ 1modn,则c^dmodn=m^edmodn=m^1+rϕ(n)modn=m(m^rϕ(n))modn=mmodn
• 如果gcd(m,n) $\ne$ 1，我们得往m(m^rϕ(n))$\equiv$ mmodn上凑，利用Euler定理凑，就得找互为素数的一对
  因为n=pq,且p、q都是素数，况且m<n,所以公因子只能是p或者q;假设p为公因子，那么存在x,使得m=xp;由于m本来就比n小，而且公因子是p,所以q和m就不会整除关系，那么gcd(m,q)=1;由Euler定理知m^ϕ(q) $\equiv$ 1modq,此时会想到等式左边往m(m^rϕ(n))modn上凑，右边往m modn凑,右边也就是等于m+模数的倍数；
  ϕ(q)=q-1$\Rightarrow$m^q-1$\equiv$ 1modq$\Rightarrow$(m^q-1)^r(p-1)$\equiv$ 1modq$\Rightarrow$
  m^rϕ(n)$\equiv$ 1modq$\Rightarrow$ m^rϕ(n)=1+bq$\Rightarrow$ m(m^rϕ(n))=m+mbq=m+xpbq=m+xbn$\equiv$ m mod n；
  gcd(m,n)=q时同理
• 综上所述，解密过程是正确的