RSA: различия между версиями

RSA — криптографический алгоритм с открытым ключом.

RSA стал первым алгоритмом такого типа, пригодным и для шифрования и для цифровой подписи. Алгоритм используется в большом числе криптографических приложений.

Описание RSA было опубликовано в 1977 году Рональдом Райвестом (Ronald Linn Rivest), Ади Шамиром (Adi Shamir) и Леонардом Адлеманом (Leonard Adleman) из Массачусетского Технологического Института (MIT).

Британский математик Клиффорд Кокс (Clifford Cocks), работавший в центре правительственной связи (GCHQ) Великобритании, описал аналогичную систему в 1973 году во внутренних документах центра, но эта работа не была раскрыта до 1977 года и Райвест, Шамир и Адлеман разработали RSA независимо от работы Кокса.

В 1983 году MIT был выдан патент 4405829 США, срок действия которого истёк 21 сентября 2000 года.

Безопасность алгоритма RSA основана на трудности задачи разложения на множители. Алгоритм использует два ключа — открытый (public) и секретный (private), вместе открытый и соответствующий ему секретный ключи образуют пару ключей (keypair). Открытый ключ не требуется сохранять в тайне, он используется для зашифрования данных. Если сообщение было зашифровано открытым ключом, то расшифровать его можно только соответствующим секретным ключом.

Для того, чтобы сгенерировать пару ключей выполняются следующие действия:

1. Выбираются два больших простых числа ${\displaystyle p\,}$ и ${\displaystyle q\,}$
2. Вычисляется их произведение ${\displaystyle n=pq\,}$
3. Вычисляется Функция Эйлера ${\displaystyle \varphi (n)=(p-1)(q-1)}$
4. Выбирается целое ${\displaystyle e\,}$ такое, что ${\displaystyle 1<e<\varphi (n)}$ и ${\displaystyle e\,}$ взаимно простое с ${\displaystyle \varphi (n)}$
5. С помощью расширенного алгоритма Евклида находится число ${\displaystyle d\,}$ такое, что ${\displaystyle ed\equiv 1{\pmod {\varphi (n)}}}$ это значит, что ${\displaystyle de=1+k\varphi (n)\,}$ при некотором целом ${\displaystyle k\,}$.

Число ${\displaystyle n\,}$ называется модулем, а числа ${\displaystyle e\,}$ и ${\displaystyle d\,}$ — открытой и секретной экспонентами, соответственно. Пара чисел ${\displaystyle (n,\,e)}$ является открытой частью ключа, а ${\displaystyle d\,}$ — секретной. Числа ${\displaystyle p\,}$ и ${\displaystyle q\,}$ после генерации пары ключей могут быть уничтожены, но ни в коем случае не должны быть раскрыты.

Для того, чтобы зашифровать сообщение ${\displaystyle m<n\,}$ вычисляется

${\displaystyle c=m^{e}{\bmod {\,}}n\,}$.

Число ${\displaystyle c\,}$ и используется в качестве шифртекста. Для расшифрования нужно вычислить

${\displaystyle m=c^{d}{\bmod {\,}}n\,}$.

Нетрудно убедиться, что при расшифровании мы восстановим исходное сообщение:

${\displaystyle c^{d}\equiv (m^{e})^{d}\equiv m^{ed}{\pmod {n}}\,}$

Из условия

${\displaystyle ed\equiv 1{\pmod {\varphi (n)}}}$

следует, что

${\displaystyle ed=k\varphi (n)+1}$ для некоторого целого ${\displaystyle k\,}$, следовательно

${\displaystyle m^{ed}\equiv m^{k\varphi (n)+1}{\pmod {n}}}$

Согласно теореме Эйлера:

${\displaystyle m^{\varphi (n)}\equiv 1{\pmod {n}}}$,

поэтому

${\displaystyle m^{k\varphi (n)+1}\equiv m{\pmod {n}}}$

${\displaystyle c^{d}\equiv m{\pmod {n}}\,}$

Сгенерируем пару ключей. Выберем два простых числа

${\displaystyle p=3557\,}$

${\displaystyle q=2579\,}$

Вычислим модуль

${\displaystyle n=p\cdot q=3557\cdot 2579=9173503}$

Вычислим функцию Эйлера

${\displaystyle \varphi (n)=(p-1)(q-1)=3556\cdot 2578=9167368}$

Положим открытый показатель равным 3

${\displaystyle e=3\,}$

С помощью расширенного алгоритма Евклида вычислим секретный показатель

${\displaystyle d=6111579\,}$

Заметьте, что

${\displaystyle e\cdot d\ {\bmod {\ }}\varphi (n)=3\cdot 6111579\ {\bmod {\ }}9167368=1\,}$

Пара чисел (3, 9173503) образует открытую часть ключа, а число 6111579 является секретным ключом.

Зашифруем с помощью открытого ключа число ${\displaystyle m=111111\,}$:

${\displaystyle c=m^{e}{\bmod {\ }}n=111111^{3}{\bmod {\ }}9173503=4051753}$

Шифртекстом является число 4051753.

Для расшифрования вычисляем

${\displaystyle c^{d}{\bmod {\ }}n=4051753^{6111579}{\bmod {\ }}9173503=111111}$

в результате получаем исходное сообщение.

RSA может использоваться не только для шифрования, но и для цифровой подписи. Подпись ${\displaystyle s\,}$ сообщения ${\displaystyle m\,}$ вычисляется с использованием секретного ключа по формуле:

${\displaystyle s=m^{d}{\bmod {\ }}n\,}$

Для проверки правильности подписи нужно убедиться, что выполняется равенство

${\displaystyle m=s^{e}{\bmod {\ }}n\,}$

Для нахождения двух больших простых чисел ${\displaystyle p\,}$ и ${\displaystyle q\,}$, при генерации ключа, обычно используются вероятностные тесты чисел на простоту, которые позволяют быстро выявить и отбросить составные числа.

Для генерации ${\displaystyle p\,}$ и ${\displaystyle q\,}$ необходимо использовать криптографически надёжный генератор истинно случайных чисел. У нарушителя не должно быть возможности получить какую-либо информацию о значениях этих чисел.

${\displaystyle p\,}$ и ${\displaystyle q\,}$ не должны быть слишком близки друг к другу, иначе можно будет их найти используя метод факторизации Ферма. Кроме того, необходимо выбирать «сильные» простые числа, чтобы нельзя было воспользоваться p-1 алгоритмом Полларда.

При практическом использовании необходимо некоторым образом дополнять сообщения. Отсутствие дополнений может привести к некоторым проблемам:

• значения ${\displaystyle m=0\,}$ и ${\displaystyle m=1\,}$ дадут при зашифровании шифртексты 0 и 1 при любых значениях ${\displaystyle e\,}$ и ${\displaystyle n\,}$.
• при малом значении открытого показателя (${\displaystyle e=3\,}$, например) возможна ситуация, когда окажется, что ${\displaystyle m^{e}<n\,}$. Тогда ${\displaystyle c=m^{e}{\bmod {\ }}n=m^{e}\,}$, и нарушитель легко сможет восстановить исходное сообщение вычислив корень степени ${\displaystyle e\,}$ из ${\displaystyle c\,}$.
• поскольку RSA является детерминированным алгоритмом, т.е. не использует случайных значений в процессе работы, то нарушитель может использовать атаку с выбранным открытым текстом.

Для решения перечисленных проблем сообщения дополняются перед каждым зашифрованием некоторым случайным значением — солью. Дополнение выполняется таким образом, чтобы гарантировать, что ${\displaystyle m\neq 0\,}$, ${\displaystyle m\neq 1\,}$ и ${\displaystyle m^{e}>n\,}$. Кроме того, поскольку сообщение дополняется случайными данными, то зашифровывая один и тот же открытый текст мы каждый раз будем получать другое значение шифртекста, что делает атаку с выбранным открытым текстом невозможной.

RSA работает значительно медленнее симметричных алгоритмов. Для повышения скорости шифрования открытый показатель ${\displaystyle e\,}$ выбирается небольшим, обычно 3, 17 или 65537. Эти числа в двоичном виде содержат только по две единицы, что уменьшает число необходимых операций умножения при возведении в степень. Например, для возведения числа ${\displaystyle m\,}$ в степень 17 нужно выполнить только 5 операций умножения:

${\displaystyle m^{2}=m\cdot m}$

${\displaystyle m^{4}=m^{2}\cdot m^{2}}$

${\displaystyle m^{8}=m^{4}\cdot m^{4}}$

${\displaystyle m^{16}=m^{8}\cdot m^{8}}$

${\displaystyle m^{17}=m^{16}\cdot m}$

Выбор малого значения открытого показателя может приводить к раскрытию сообщения, если оно отправляется сразу нескольким получателям, но эта проблема решается за счёт дополнения сообщений.

Значение секретного показателя ${\displaystyle d\,}$ должно быть достаточно большим. В 1990 году Михаэль Винер (Michael J. Wiener) показал, что если ${\displaystyle q<p<2q\,}$ и ${\displaystyle d<n^{\frac {1}{4}}/3}$, то имеется эффективный способ вычислить ${\displaystyle d\,}$ по ${\displaystyle n\,}$ и ${\displaystyle e\,}$. Однако, если значение ${\displaystyle e\,}$ выбирается небольшим, то ${\displaystyle d\,}$ оказывается достаточно большим и проблемы не возникает.

Число n должно иметь размер не меньше 512 бит. На 2006 год система шифрования на основе RSA считается надёжной, начиная с размера N в 1024 бита.

Система RSA используется для защиты программного обеспечения и в схемах цифровой подписи. Также она используется в открытой системе шифрования PGP.

Из-за низкой скорости шифрования (около 30 кбит/с при 512 битном ключе на процессоре 2 ГГц), сообщения обычно шифруют с помощью более производительных симметричных алгоритмов со случайным ключом (сеансовый ключ), а с помощью RSA шифруют лишь этот ключ.

• Справочное описание
• Menezes, Oorschot, Vanstone, Scott: Handbook of Applied Cryptography (бесплатно, в формате PDF)

• Menezes, Alfred; van Oorschot, Paul C.; Vanstone, Scott A. Handbook of Applied Cryptography. — CRC Press, October 1996. ISBN 0-8493-8523-7
• Венбо Мао. Современная криптография: теория и практика = Modern Cryptography: Theory and Practice. — М.: «Вильямс», 2005. — С. 768. — ISBN 0-13-066943-1.
• Нильс Фергюсон, Брюс Шнайер. Практическая криптография = Practical Cryptography: Designing and Implementing Secure Cryptographic Systems. — М.: «Диалектика», 2004. — С. 432. — ISBN 0-471-22357-3.
• Шнайер, Брюс. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си — М.: Издательство ТРИУМФ, 2002 — 816с.:ил. ISBN 5-89392-055-4