第19卷专辑 中南民族学院学报(自然科学版) V o l.19Sup 2000年9月 Journal of South2Central U niversity fo r N ati onalities(N at.Sci.) Sep.2000αR SA算法的安全性分析王启明 王一凡(华中理工大学汉口分校)摘 要 详细论述了公开密钥密码技术、R SA加密算法、身份验证,论述了电子信息交换过程中如何进行加密和解密、身份认证等,讨论了公开密钥密码技术在电子信息交换过程中安全性、保密性等方面的应用.关键词 公开密钥密码体制;R SA加密算法;信息交换;身份认证中图分类号 T P393.1 文献标识码 A 文章编号 100523018(2000)专20076203在今天的信息社会里,通信安全保密问题的研究已不仅仅出于军事、政治和外交上的需要,特别是电子商务飞速发展的今天.所以保护信息的安全是信息时代的迫切需要[1~4].所谓密码技术,就是对信息进行重新编码,从而达到隐藏信息内容,使非法用户无法获取信息真实内容的一种手段.密钥,是密码体制安全的关键.公开密钥密码体制的产生主要是由于常规密钥密码体制的密钥分配问题和数字签名的需求.1978年由R ivest、Sham ir和A dlem an提出了第一个比较完善的公钥密码算法,这就是著名的R SA算法.1 RA S算法的描述R SA算法的理论基础是一种特殊的可逆模指数运算.它的安全性是基于分解大整数的困难性.其算法为:设n是2个不同奇素数p和q之积,即:n=p q,P=C=Z n,5(n)=(p-1)(q-1),K={(n,p,q,a,b) n=p q,p,q是素数,ab≡1m od5(n)}.对每一个K=(n,p,q,a,b),定义加密变换为E k(x)=x b m od n,x∈Z n.解密变换为D k(y)=y a m od n,y∈Z n.公开n和b,保密p,q和a.2 R SA算法的安全性分析若n=p q被因子分解,则RA S便被击破.α收稿日期 2000206210作者简介 王启明,男,33岁,工程师,华中理工大学汉口分校成教处,武汉430015因为若p ,q 已知,则5(n )=(p -1)(q -1)便可算出.解密密钥d 关于e 满足:d e =1(m od z ),故d 便也不难求得.因此R SA 的安全性依赖于因子分解的困难性.目前因子分解速度最快的方法,其时间复杂性为:exp (sp rt (ln (n )ln ln (n ))).若n 被分解成功,则R SA 便被攻破,但还不能证明对R SA 攻击的难度和分解n 相当,故对R SA 的攻击的困难不比大数分解更难.当然,若从求5(n )入手对R SA 进行攻击,它的难度和分解n 相当.但还不能证明对R SA 的攻击,其难度和分解n 相当,也没有比因数分解n 更好的攻击的方法.2.1 解密指数计算解密指数a 的任何算法可作为分解n 的一个概率算法的子程序或预言.该算法是基于1模n 的平方根的某些事实,我们知道同余方程x 2=1m od p 关于p 有2个解,即x =±1m od p .类似地,同余方程x 2=1m od q 关于q 有2个解,即x =±1m od q .因此,1模n 有四个平方根,这4个平方根可由中国剩余定理找出.其中2个是x =±1m od n ,称为1模n 的平凡的平方根.另2个平方根称为1模n 的非平凡的平方根.下面给出通过寻找1模n 的一个非平凡的平方根分解n 的算法.给定解密指数a ,分解n 的算法如下:1)随机地选择Ξ使得1≤Ξ≤n -1;2)计算x =g cd (Ξ,n );3)如果1<x <n ,那么停止(这时x =p 或q ,分解n 成功);4)计算a =A (b )(A 是一个假想算法,当对应于b 的解密指数a 已知时,无须预言);5)将ab 写成ab -1=2s r ,r 为奇数;6)计算Τ=Ξr m od n ;7)如果Τ≡1m od n ,那么停止(分解n 失败);8)当Τ≠1m od n ,完成下列各步:9)Τ0=Τ;10)Τ=Τ2m od n ;11)如果Τ0=-1m od n ,那么停止(分解n 失败);否则12)计算x =g cd (Τ0+1,n )(这时x =p 或q ,分解n 成功).这个结果告诉我们,如果a 被泄露,那么n 也被危及,选择一个新的加密指数已不能保证系统的安全性,必须重新选择模n .2.2 同模攻击假定用户B 有一个R SA 算法,模为n ,加密指数为b 1用户C 也是一个具有同样算法且模为n ,加密指数为b 2,g cd (b 1,b 2)=1.如果用户A 想加密同一个明文x 送给B 和C ,那么A 先计算y 1=x b 1m od n 和y 2=x b 2m od n ,然后将y 1发送给B ,将y 2发送给C .假定O 截取到了y 1和y 2,那么O 就可按下述步骤计算出x :1)计算c 1=b -11m od b 2;2)计算c 2=(c 1b 1-1) b 2;3)计算x =y c 11(y c 22)-1m od n ;这表明,无论密码系统多么“安全”,O 解密A 发送的明文是可能的.在有些应用场合,需要一个可信中心选择一个R SA 模n ,并对网上的每个用户分配不同的加、解密指数对(b i ,a i ).如果加密同一个明文送给2个或更多的网上用户,由上可知,一个窃听者能利用公开可获得的信息以很高的概率恢复明文.即同模攻击告诫人们,不要在不同的用户之间共享模n .2.3 选择密文攻击由R SA 算法的加密变换可知,对一切x 1,x 2∈Z n ,有E K (x 1x 2)≡E K (x 1)E K (x 2)(m od n ),这个性质称为R SA 算法的同态性质,这是R SA 算法的一个缺点.这个性质表明,如果敌手知道c 1和c 2的明文m 1和m 2,他就知道c 1c 2m od n 所对应的明文是m 1m 2m od n .不过这个性质可77专辑 王启明等:R SA 算法的安全性分析 87 中南民族学院学报(自然科学版)第19卷难过引进单向函数来破坏.假定一个主动的敌手希望用户A为他解密一个特定的密文c=m b m od n.假定A除了c外他可以为敌手解密任意一个密文.这时,敌手通过选择一个随机整数x∈Z n来隐蔽c,并计算c =cx b m od n.敌手一旦将c提交给A,A将为他解密,即计算m=(c)a m od n来计算m.这种攻击提醒人们,在使用R SA算法加密时,应先对明文消息进行处理,如可以通过杂凑或单向变换来破坏R SA算法的同态性质.3 结论R SA公开密钥密码算法在信息交换过程中使用比较广泛、安全性比较高.在使用R SA加密时,必须选择足够长的密钥,对于当前的计算机水平,一般认为要选择1024位长的密钥(相当于约300位十进制数字)就可认为是无法攻破的.R SA公开密钥密码算法即可用于加密,又可用于签名.并为用户的公开密钥签发公钥证书、发放证书、管理证书等提高了服务质量.所以,R SA公开密钥密码在当今的信息交换过程中呈现出越来越重要的作用.参 考 文 献[1] T anenbaum A pu ter N etw o rk s.3rd Ed.P ren tice2H all,北京:清华大学出版社,1996.587~601[2] 孙宝林.R SA公开密钥密码算法及其在信息交换中的应用.武汉交通科技大学学报,2000,(2):169~172[3] 孙宝林.R SA公开密钥密码算法及数字签名技术.华中师范大学学报(自然科学版),1999,(专辑):9~13[4] 冯登国,裴定一.密码学导引.北京:科学出版社,1999.141~155RSA Publ ic-Key C ipher A lgor ithm and Its Appl ica tion si n the I nforma tion ExchangeW ang Q i m ing W ang Y if anAbstract T h is p ap er discu sses carefu lly p ub lic2key ci p her techno logy,R SA encryp ti on algo rithm,iden tity au then ticati on,how to p rocess encryp ti on and decryp ti on in the electron ic info rm ati on exchanged p rocess,iden tity au then ticati on etc.In th is p ap er,w e discu ssed the p ub lic2key ci p her techno logy w h ich is one of the m o st secu rity and secrecy in the electron ic info rm ati on exchanged p rocess.Keywords p ub lic2key ci p her system;R SA encryp ti on algo rithm;info rm ati on exchange; iden tity au then ticati on.W ang Qi m i ng Engineer,D ep t.of A du lt Educati on,HU ST.H ankou B ranch,W uhan430015。
