使用中国剩余定理CRT对RSA运算进行加速

这篇讲一下如何使用中国剩余定理CRT来对RSA加密运算进行加速。

RSA运算

当我们使用RSA私钥(n,d)对密文c进行解密(或者计算数字签名时)，我们需要计算模幂 $m=c^d mod \ n$ 。私钥指数 $d$ 并不像公钥指数 $e$ 那样方便。一个k比特的模n，对应的私钥指数d差不多跟它一样长。计算的工作量同长度k成正比，所以对于RSA私钥的运算，有更多的计算量。

我们可以使用CRT模式更有效的计算 $m=c^d$

1. 使用 $p,q，p \gt q$ 提前计算以下值:

$dP = e^{-1} mod \ (p-1)$
$dQ=e^{-1} mod \ (q-1)$
$qInv = q^{-1} mod \ p$

$e^{-1}$ 表示模逆，表达式 $x=e^{-1} mod \ N$ y也会写成 $x=（1/e) mod \ N$ 。x是任意整数满足 $x \cdot e \equiv 1 (mod \ N)$ 。 $N=n=pq$ 。

1. 使用密文c计算明文消息m

$m_1 = c^{dP} mod \ p$
$m_2 = c^{dQ} mod \ q$
$h = qInv \cdot (m_1-m_2) mod p$
$m = m_2 + h \cdot q$

我们把 $(p,q,dP,dQ,qInv)$ 作为私钥保存。

下面需要了解两个数论的原理，分别是中国剩余定义的一个特殊情况和欧拉定理。

中国剩余定理-特殊情况

中国剩余定理的特殊情况可以表述如下：

$p和q是不相同的素数，n=p \cdot q.对于任意的一对(x_1,x_2)，0 \leq x_1 \lt p 且 0 \leq x_2 \lt q，存在唯一的数x，0 \leq x \lt n$
$x_1=x \ mod \ p, 且 x_2 =x \ mod \ q$
所以任意整数x都可以使用CRT表示方法唯一的表示成 $(x_1,x_2)$ 。

欧拉定理 Euler's Theorem

欧拉定理是费马小定理(Fermat's Little Theorem)的推广，也称作欧拉-费马定理(Euler-Fermat Theorem)。

如果n是一个正整数，a是任意整数，且 $gcd(a,n)=1$ ，那么 $a^{\phi(n)} \equiv 1 \ (mod \ n),\phi(n)是Euler's totient函数，求小于n的正整数中与n互质的个数$

一个质数p， $\phi(n)=p-1$

CRT表示法中的运算

我们需要计算 $m=c^d \ mod \ n$ 。如果我们知道 $(c^d \ mod \ p, c^d \ mod q)$ 那么CRT告诉我们存在唯一的值 $c^d \ mod \ n$ 在范围[0,n-1]。

使用CRT表示方法 $(x_1,x_2)$ 恢复出x，我们使用Garner's方程式。

$x=x_2 + h \cdot q$
$h=((x_1-x_2)(q^{-1} \ mod \ p)) \ mod \ p$
CRT系数 $qInv = q^{-1} \ mod \ p$ 可以提前计算。模幂的运算量随着模的比特数k的立方增加而增加。所以做两次幂运算mod p和mod q，比做一次幂运算mod n效率要高。

计算 $c^d \ mod \ p$ ，可以使用欧拉定理来减少指数d modulo (p-1):

$c^d \ mod \ p = c^{d \ mod \ \phi(p)} \ mod \ p = c^{d \ mod \ (p-1)} \ mod \ p$

对于q使用相同的算法。

RSA运算

$d \ mod \ (p-1)=e^{-1} \ mod \ (p-1),$
$d \ mod \ (q-1) = e^{-1} \ mod \ (q-1).$

$dP = e^{-1} \ mod \ (p-1) = d \ mod \ (p-1)$
$dQ = e^{-1} \ mod \ (q-1) = d \ mod \ (q-1)$
$m_1 = c^{dP} \ mod \ p$
$m_2 = c^{dQ} \ mod \ q$

$qInv = q^{-1} \ mod \ p$
$h=qInv \cdot (m_1-m_2) \ mod \ p$
$m=m_2+h \cdot q$

最后编辑于：2022.03.11 09:54:27

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 214,776评论 6赞 496
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 91,527评论 3赞 389
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 160,361评论 0赞 350
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 57,430评论 1赞 288
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 66,511评论 6赞 386
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 50,544评论 1赞 293
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 39,561评论 3赞 414
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 38,315评论 0赞 270
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 44,763评论 1赞 307
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 37,070评论 2赞 330
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 39,235评论 1赞 343
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 34,911评论 5赞 338
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 40,554评论 3赞 322
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 31,173评论 0赞 21
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 32,424评论 1赞 268
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 47,106评论 2赞 365
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 44,103评论 2赞 352

使用中国剩余定理CRT对RSA运算进行加速

RSA运算

中国剩余定理-特殊情况

欧拉定理 Euler's Theorem

CRT表示法中的运算

RSA运算

推荐阅读更多精彩内容