CN101320323A

CN101320323A - 用于计算压缩rsa模数的方法

Info

Publication number: CN101320323A
Application number: CN200810098588.3A
Authority: CN
Inventors: 埃里克·迪尔; 马克·乔伊
Original assignee: Thomson Licensing SAS
Current assignee: Thomson Licensing SAS
Priority date: 2007-05-31
Filing date: 2008-05-22
Publication date: 2008-12-10
Anticipated expiration: 2028-05-22
Also published as: US20090323934A1; JP2008299335A; CN101320323B; EP1998491A1; US8135131B2; JP5210712B2; EP1998492A1

Abstract

一种用于产生压缩的RSA模数的方法，允许固定高达模数N的比特中的三分之二。N具有预定部分N_H，包括两个部分N_h和N_m。产生共享N_h部分的备选RSA模数，然后使用欧几里德型计算对该备选进行修改，直至共享N_h和N_m。也提供了一种用于根据本方法计算压缩RSA模数的设备(30)和一种计算机程序产品(35)。

Description

用于计算压缩RSA模数的方法

技术领域

本发明通常涉及加密，具体涉及压缩的RSA模数。

背景技术

该部分意在向读者介绍本领域的各个方面，这些方面与以下描述和/或所要求保护的本发明的各个方面相关。相信该讨论会有助于向读者提供背景信息以便于更好地理解本发明的各个方面。因此，应当理解，将就此目的阅读这些论述，而并非将其作为对现有技术的认可。

为了产生用于公共加密的所谓Rivest-Shamir-Adleman(RSA)模数，可以进行如下处理。

令N＝pq是两个大质数之积。令e和d表示一对公共和私有指数，满足

ed≡1(modλ(N))，

其中gcd(e，λ(N))＝1，并且λ是卡米克尔函数。由于N＝pq，因而有λ(N)＝1cm(p-1，q-1)。给定x＜N，公共运算(例如消息加密或签名验证)是将x升到e次幂模N，即，进行y＝x^e mod N计算。然后，给定y，相应的私有运算(例如，密文解密或签名产生)是计算y^d mod N。根据e和d的定义，显然有y^d≡x(mod N)。可以通过中国剩余定理(CRT模式)，以较高速度执行私有运算。模p和q的计算是独立执行的，然后再进行重新组合。在这种情况下，私有参数是{p，q，d_p，d_q，i_q}，其中

d_p＝d mod(p-1)，

d_q＝d mod(q-1)，以及

i_q＝q^-1 mod p.

然后获得y^d mod N为

CRT(x_p，x_q)＝x_q+q[i_q(x_p-x_q)mod p]，

其中x_p＝y^dp mod p以及x_q＝y^dq mod q.

概括而言，RSA模数N＝pq是两个大质数p和q之积，满足gcd(λ(N)，e)＝1。如果n表示N的比特大小，则对于某一1＜n₀＜n，p必须在范围[2^n-n ₀ ^-1/2，2^n-n ₀-1]内，以及q在范围[2ⁿ ₀ ^-1/2，2ⁿ ₀-1]内，从而2^n-1＜N＝pq＜2ⁿ。出于安全原因，通常优选所谓均衡模数，其中n＝2n₀。

目前典型的RSA模数在1024至4096比特的长度范围内，并对于应用来说通常需要至少2048比特的模数。然而，仍存在运行设计用于支持仅1024比特模数的支持RSA的应用程序的程序和/或设备。

将会理解，能够压缩模数、从而可以适合较短的缓冲或带宽的解决方案将会是极为有利的。除了存储/发送整个RSA模数之外，使用无损失的压缩表示。这也解决了程序和/或设备的不同版本之间的兼容问题。此外，这种技术可以用于提高效率：节约存储器和/或带宽。

Vanstone和Zuccherato在“Short RSA Keys and Their Generation”，Journal of Cryptology，New York，NY，US，vol.8，no.8，1995，第101-114页，XP000853671中描述了一个这样的解决方案。该解决方案实现了高达N/2个前导比特的规范，但是相当复杂，需要例如由指定比特给出的数字的因数分解。此外，所产生的模数相对易于进行因数分解。

Lenstra，Arjen K.在“Generating RSA moduli with a predeterminedportion”；Advances in Cryptology-ASIACRYPT’98，volume 1514 of LectureNotes in Computer Science，pp.1-10；Springer 1998中描述了另一种这样的解决方案。该解决方案是针对Vanstone和Zuccherato的解决方案的一种改进，因为它不太复杂，并且所产生的模数较难于进行因数分解。

然而，任何一种现有技术均不允许预先确定RSA模数的多于一半的比特。

然而，本发明对于Lenstra产生算法的改进在于，例如本发明允许更大的压缩。

发明内容

在第一方面，本发明提出了一种用于产生RSA模数的因子的方法，该因子包括能够大于RSA模数的一半的预定部分，该RSA模数包括至少两个因子。首先，接收RSA模数要共享的预定部分的值。产生至少两个备选因子，其乘积至少共享所述预定部分的第一部分。通过以下步骤，使用欧几里德型计算对所述至少两个备选因子进行修改，直至所产生的因子是质数，并且所产生的因子的乘积完全共享所述预定部分：使用扩展(extended)欧几里德算法的扩充(extension)来评估所述至少两个备选因子中每个的修正值；以及分别将修正值加至所述至少两个备选因子，以获得至少两个所产生的因子；其中所产生的因子的乘积包括第一共享部分，并共享所述预定部分的第二部分。最后，输出所产生的因子，以允许使用所产生的因子进行加密运算。

在第一优选实施例中，RSA模数是三质数RSA模数。

在第二优选实施例中，RSA模数具有N＝p^rq形式。

在第三优选实施例中，所述产生步骤包括以下步骤：选择第一备选因子；并将第二备选因子计算为一值与第一备选因子的除法的整数结果，从而备选因子的乘积至少共享所述预定部分的第一部分，该值具有与RSA模数同样多的比特，并共享所述预定部分。

在第四优选实施例中，扩展欧几里德算法的扩充使用了通过扩展欧几里德算法(满足au_i+bv_i＝d_i，其中a＝q₀和b＝p₀)所获得的序列{u_i，v_i，d_i}，以导出由下式给出的两个伴随序列{x_i}和{y_i}：

及

其中z₀＝c及z_i＝z_i-1 mod d_i，c＝2^l-1+(N_H 2^l mod p₀)。

在第二方面，本发明提出了一种用于计算RSA模数的因子的设备，该因子包括能够大于RSA模数的一半的预定部分，该RSA模数包括至少两个因子。所述设备包括处理器，适于：接收RSA模数要共享的预定部分的值；产生至少两个备选因子，其乘积至少共享所述预定部分的第一部分；通过以下步骤，使用欧几里德型计算对所述至少两个备选因子进行修改，直至所产生的因子是质数，并且所产生的因子的乘积完全共享所述预定部分：使用扩展欧几里德算法的扩充来评估所述至少两个备选因子中每个的修正值；以及分别将修正值加至所述至少两个备选因子，以获得至少两个所产生的因子；其中所产生的因子的乘积包括第一共享部分，并共享所述预定部分的第二部分。所述处理器还适于输出所产生的因子，以允许使用所产生的因子进行加密运算。

在第三方面，本发明提出了一种计算机程序产品，包括在所述程序在处理器上执行时用于执行根据第一方面的方法的步骤的程序代码指令。

“ 共享”应被理解为针对要共享的部分具有相同的值，例如，十六进制数1234567890abcdef和123456789abcdef0共享所述数字的前导部分中的123456789。

附图说明

现在参照附图，通过示例来描述本发明的优选特征，其中：

图1示出了根据本发明的示例性RSA模数10；

图2示出了应用了RSA-2048口令(challenge)的本发明的方法示例；以及

图3示出了用于计算压缩RSA模数的设备。

具体实施方式

本发明的主要方法概念是一种提供用于产生RSA类型加密方案中的密钥的n比特RSA模数N的方法，其中N的n比特的高达约三分之二是预定的。

图1示出了根据本发明的示例性RSA模数10。1表示N₁的比特长度。因此n＝n₀+κ′+l。

令N＝pq是两个大质数的乘积，其中p是(n-n₀)比特的整数，q是n₀比特的整数，从而N是n比特的RSA模数。

首先，计算p₀和q₀如下。

1.使用伪随机数发生器，根据随机种子s₀产生(n₀+κ′)比特的整数N_H：

本领域技术人员将会理解，自然也可以选择该值。

2.随机选择整数

3.定义

本领域技术人员将会理解，针对p₀和q₀的这种选择

意味着N_H2¹-p₀q₀＝N_H2¹ mod p₀.

接下来，令p＝p₀+x，q＝q₀+y且z＝xy+2^l-1-N_l。因此获得

N = N_{H} 2^{l} + N_{l} = p_{0} q_{0} + (p_{0} y + q_{0} x) + xy

&DoubleLeftRightArrow; q_{0} x + p_{0} y + xy - N_{l} = N_{H} 2^{l} - p_{0} q_{0}

&DoubleLeftRightArrow; q_{0} x + p_{0} y + z = 2^{l - 1} + (N_{H} 2^{l} \mod p_{0})

现在必须找到满足|xy-z|＝|N_l-2^l-1|＜2^l-1的后一方程的整数解(x，y，z)。为此，考虑通过满足au_i+bv_i＝d_i(其中a＝q₀及b＝p₀)的扩展欧几里德算法获得的序列{u_i，v_i，d_i}。

扩展欧几里德算法产生了三个序列{u_i}、{v_i}和{d_i}。以下是对基于扩展欧几里德算法的序列中的至少一个、隐式或显式产生的至少一个不同的序列的扩展欧几里德算法的扩充。

然后定义z₀＝c及z_i＝z_i-1 mod d_i，其中c＝2^l-1+(N_H 2^l mod p₀)，并且通过下式给出两个伴随(companion)序列{x_i}和{y_i}

及

如所需，有

= {ax}_{i - 1} + {by}_{i - 1} + z_{i - 1} - (z_{i - 1} \mod d_{i}) = {ax}_{i - 1} + {by}_{i - 1} + z_{i - 1} - z_{i}

= {ax}_{0} + {by}_{0} + z_{0} - z_{i} = c - z_{i}

并且存在所需范围内的解。

图2示出了应用了RSA-2048口令(challenge)的本发明的方法示例。如所见，通过本发明的方法产生的质数p和q使得相应的RSA模数N＝pq在其前三分之二上与RSA-2048口令匹配(由下划线十六进制图表示)。

图3示出了适于计算RSA模数的设备。设备30包括处理器31，该处理器可以是单个处理器或多个处理器的组合；存储器32；适于从存储了程序代码的存储介质35接收用于执行所述方法的程序代码的通信接口33；以及用户接口34。

优选地，处理器31适于优选根据本发明的方法来产生RSA模数，存储器32适于存储数据，以及通讯接口33适于与其他设备通信。

设备30适于通过通信接口33或用户接口34来接收预定部分N_H作为用于计算共享预定部分N_H的一个或多个RSA模数的输入。当计算了该模数时，设备通过用户接口输出该模数，或者优选地，输出至另一设备以用于RSA加密。

将会理解，尽管根据本发明优选实施例的方法固定了该模数的前导比特，但是也可以固定模数N的尾部比特。更一般地，可以固定N的一些前导比特和一些尾部比特，或者散布在整个N上的多个比特。

本发明的方法适于容纳由多于2个因子构成的RSA模数，例如3质数RSA模数或N＝p^rq形式的RSA模数。

根据本发明的方法也应用于在用户之间共享RSA模数N的公共部分(即N_H)、或者N_H对于给定应用的所有用户是公共的时。在这种情况下，不需要传输N_H或者需要构建该公共部分的数据。

本领域技术人员将会理解，使用本发明产生的RSA模数允许数据通信系统中的通信方仅交换N的比特的大约三分之一、以及覆盖所述预定部分所需的数据(优选实施例中的种子)。

此外，产生所述RSA类型的加密方案中的密钥的一方也可以仅存储N的比特的大约三分之一、以及覆盖所述预定部分所需的数据(优选实施例中的种子)。

本发明的新方法极大地降低了用于RSA类型的加密方案中的密钥产生中的传输和/或存储需求。

本领域技术人员将会理解，例如，本发明可以产生压缩的RSA模数。

将会理解，仅作为示例描述了本发明。可以单独地或以任何适合的组合来提供说明书、(适合地)权利要求和附图中公开的每个特征。以硬件方式实现的特征也可以以软件方式实现，反之亦然。

权利要求中出现的参考数字仅作为示例目的，并不会限制权利要求的范围。

Claims

1.一种用于产生RSA模数的因子的方法，所述因子包括能够大于RSA模数的一半的预定部分(N_H)，所述RSA模数包括至少两个因子，所述方法包括以下步骤：

接收所述RSA模数要共享的预定部分(N_H)的值；

产生至少两个备选因子，所述备选因子的乘积共享至少所述预定部分(N_H)的第一部分(N_h)；

通过以下步骤，使用欧几里德型计算对所述至少两个备选因子进行修改，直至所产生的因子是质数，并且所产生的因子的乘积完全共享所述预定部分(N_H)：

使用扩展欧几里德算法的扩充来评估所述至少两个备选因子中每个的修正值；以及

分别将修正值加至所述至少两个备选因子，以获得至少两个所产生的因子；

其中所产生的因子的乘积包括第一共享部分(N_h)，并共享所述预定部分的第二部分(N_m)；以及

输出所产生的因子，以允许使用所产生的因子进行加密运算。

2.如权利要求1所述的方法，其中所述RSA模数是三质数RSA模数。

3.如权利要求1所述的方法，其中所述RSA模数具有N＝p^rq形式。

4.如权利要求1所述的方法，其中所述产生步骤包括以下步骤：

选择第一备选因子；以及

将第二备选因子计算为一值与所述第一备选因子的除法的整数结果，从而所述备选因子的乘积共享至少所述预定部分的第一部分(N_h)，所述值具有与所述RSA模数一样多的比特，并共享所述预定部分(N_H)。

5.如权利要求1所述的方法，其中扩展欧几里德算法的扩充使用通过满足au_i+bv_i＝d_i、其中a＝q₀和b＝p₀的扩展欧几里德算法所获得的序列{u_i，v_i，d_i}，以导出由下式给出的两个伴随序列{x_i}和{y_i}：

及

其中z₀＝c及z_i＝z_i-1 mod d_i，c＝2^l-1+(N_H 2^l mod p₀)。

6.一种用于计算RSA模数的因子的设备(30)，所述因子包括能够大于RSA模数的一半的预定部分(N_H)，所述RSA模数包括至少两个因子，所述设备(30)包括处理器(31)，适于：

接收所述RSA模数要共享的预定部分(N_H)的值；

7.一种计算机程序产品(35)，包括在所述程序在处理器上执行时用于执行根据权利要求1至5之一的方法的步骤的程序代码指令。