CN101631025B - 一种加速rsa加解密的方法 - Google Patents

Abstract

本发明公开一种用于信息安全领域的RSA加解密加速算法，结合明文m、密文c的底数与指数e、d，及模数n三者的关系，利用中国剩余定理来极大地消减密指数e或d的运算次数。对于加密过程，使m^e％n分解为

其迭代过程中i≤k，m₀＝m，

e_i＝e_i-1/T_i-1，s_i＝e_i-1％T_i-1，终止迭代的条件是e_i＝0，从而实现不同底数m时指数e分解加速；利用数m_i和n的比特长度比来加速T_i的求值；用和的约束关系来使

Description

一种加速RSA加解密的方法

技术领域

本发明涉及一种信息安全加密方法，尤其是RSA算法加密、解密过程的加速。

背景技术

RSA即非对称密钥加密体系的一种加解密方法，其利用素数的特性来进行加密和解密。其技术特征如下：

对于两个素数p和q，其乘积记为n，即n＝pq，令t＝(p-1)(q-1)。

另外在找两个素数d和e，使得0＜e＜d＜n，同时使得d、e均与p、q互素，且与t互素。如果d和e满足下式：

d*e＝1(mod t)                 (1)

则对于任意的明文m＜n，均可以通过下式得到密文c：

m^e＝c(mod n)                  (2)

同时，可以通过下式从密文c得到明文m：

c^d＝m(mod n)                  (3)

此时，以n和e可以作为公钥发布给任意人，而n和d作为私钥保存。

通常加密和解密的复杂度很高，因此需要利用各种优化和加速的方法。常规优化加速过程利用Montegery方法可以把计算(A*B)％N的过程中的除法变成加法和乘法，但也只是减少了除法的使用，这仍然满足不了RSA用于实时加密解密的要求。一些方法是将指数e进行2^k进制化，减少e的序列长度，从而使新算法的迭代计算步数减少。但是这个过程也比较复杂，每步迭代均要做一次取模n的运算，对传统指数逼近的方法的改进不大。

由于大多数改进算法都只利用了指数与模的部分特性，而没有利用底数部分，本发明考虑了底数部分对加密过程的影响。也有方法提出了考虑结合模n和底数a对指数m动态地取最优的幂后进行模幂乘运算的算法，但是其推导过程没有本算法明晰，判断幂是否大于模n时使用的试探方法会增加大量的取模计算，本发明提出的方法只需要进行二进制数的一次比较操作。

下面两个公式后面可能会用到，这里用％来表示mod运算，对于正整数A、B和N，非负整数r和s：

(A*B)％N＝((A％N)*B)％N＝((A％N)*(B％N))％N    (4)

A^rs％N＝(A^r％N)^s％N＝(A％N)^rs％N               (5)

这两个公式可以根据取模数的性质得到，这里涉及到的符号除非特别说明，均为正整数。

发明内容

本发明提出一种显著降低指数e或d的方法，能够结合作为明文m和密文c的作为底数与模数n的关系，利用中国剩余定理来极大地消减密指数e或d的运算次数；同时利用与T相关的m和n的二进制表示方式间的关系来加速m^T的计算，并用m^T与n间的大小关系来减少m^T％n求模n的运算。

本发明的原理和技术方案为：

1.分解e

对于加密/解密过程对应的(2)和(3)式，其运算过程和加速原理一样，我们以(2)式的加密过程为例，根据公式(4)和(5)，如果m＞n，用％来表示mod运算，则(2)式可以化为

(m)^e％n＝[(m％n)^e]％n＝c                 (6)

但是我们通常选取m＜n，并且为了加密的方便，会选择e＜＜n。由于指数e通常比较大，我们可以把e分解为rT+s，使得m^T＞n和m^s＜n，此时r、s、T均为非负整数。因此我们可以得到T与m、n的关系为：

T＞log_mn＝log₂n/log₂m                    (7)

(7)式的右边等式表明，我们可以用n和m的有效的二进制长度来做对数的除法，以减少运算量。因为对n取模和对e指数运算的开销都很大，我们尽量控制T使得其m^T刚好比n大，即m^T＞n和m^T-1＜n，可以得到：

其中

的运算是取不小于log₂n/log₂m的最小整数。那么我们可以很容易通过n和m的二进制表示形式去掉最左边0后的长度，分别记为bit_Length(n)和bit_Length(m)，来相除计算求得T。即：

因为m＜n，当这两个变量的比特位数相同的时候取T＝2。只有当m的比特长度不足n的一半的时候T才有可能取大于2的整数。如果T＜e，我们利用(9)和(4)、(5)来消减幂模运算，即：

$m^e\%n={\left(m\right)}^{e_{1}T+s}\%n=\left[{\left(m\right)}^{e_{1}T}{m}^s\right]\%n=\left[{(m^T\%n)}^{e_1}{m}^s\right]\%n$

$m^e\%n={\left(m\right)}^{e_{1}T+s}\%n=\left[{\left(m\right)}^{e_{1}T}{m}^s\right]\%n=\left[{(m^T\%n)}^{e_1}{m}^s\right]\%n---\left(10\right)$

$=\left\{\right[{(m^T\%n)}^{m_1}\%n\left]m^s\right\}\%n$

可以看出，s＝e％T，e₁＝e/T，这里的“/”号为计算机语言里整数整除的运算，即

而e₁我们称为残余指数。令m₁＝m^T％n，(10)式可以化为：

$m^e\%n=\left[({m_1}^{e_1}\%n)m^s\right]\%n---\left(11\right)$

可以看出圆括号里

的形式与等式左边的形式相同。如果

则仍然可以重复这一过程(6)～(11)式描述的过程，m、e、s、T带的角标i分别表示第i次迭代时相应位置变量的取值，直到某一个迭代过程i中的表达式

此时残余指数e_i+1＝0。而判断

的标准类似(9)式，为：

最终迭代k次迭代的结果是下面的形式：

$m^e\%n=({m_k}^{s_k}{m_{k-1}}^{s_{k-1}}...{m_1}^{s_1}{m}^s)\%n---\left(13\right)$

其中，每个指数项

都小于n，而s_i尽可能大。那么运算过程就把指数为e的模运算化解为几个零碎的小整数幂s_i的乘积后的模运算，这些乘积的模运算可以用Montgomery算法来进行简单运算。

2.分解T_i和s_i

一般n的比特长度选择2048，如果加过程中遇到的底数m非常小，比如2，则T＝2048，第一次迭代后e₁变为e/2048，此时的加速比为min(2048，e)倍。如果e＜2048，只需把2^e计算出来即可，不需进行取模的运算；如果第一次迭代后e₁仍然比较大，多次迭代会把这个指数变得更小。多次迭代的加速比为

k≤log₂n。而根据约束条件n＞m可以推知T_i最小为2。因此对于2048比特的n，任意m＜n的模运算m^e％n在e取2048比特长的数的时候，其迭代过程最多只需要进行2048次(T_i ^k＜2²⁰⁴⁸，T_i≥2，所以k≤2048)，这k次过程中另外再包含k次求的过程，而最终还有一次取模的过程。

此时计算可以采用传统的指数优化的技巧来进行加速计算。由于有约束条件T_i刚好使得

可以得到因此迭代计算m_i-1的过程到T_i次时都不用取模，可以等计算完成T_i次乘积后再取模，因此可以使用类似于A^B计算缩减指数过程，但只需最终取一次模n即可。不用每次迭代过程都取模，这也是本发明方法与常规方法的一个区别，也是它比常规方法计算

快的一个方面。令B＝b₀2^j+b₁2^j-1+...+b_j2⁰，b_i＝0 or 1，则这个公式是B的二进制表示形式，j为B的比特长度，上述求模的计算过程可以化简为：

$A^B=A^{b_0{2}^j+b_1{2}^{j-1}+...+b_j{2}^0}{\mathrm{\Π}}_{i=0}^j{A}^{b_i{2}^{j-i}}---\left(14\right)$

显然只需要计算j+1次即可利用不同的低阶i的

组合出所有的高阶i+1的

再根据系数b_i把相关Aⁱ相乘得到A^B，可知计算A^B则最多只需要j+1+∑b_j次乘积。如果n、e取2048比特长度的数字， $j+1+\mathrm{\&Sigma;}{b}_j<2j<2{{\log }_2}^{{{\log }_2}^e}<2{{\log }_2}^{{{\log }_2}^n},$ 其值在24以内。

特别是T_i＝2的时候居多，甚至都不要进行任何优化，只需要进行相应的乘法计算即可。根据

得到T_i＝2的概率p_i即m_i＞n^0.5的概率p_i，n的比特长度一般在1024以上，假设m_i的各位比特是随机的，则p_i为2^-1+2^-2+...+2^{bit_Length(n)/2}＝1-2^{(bit_Length(n)/2)+1}≈1，这表明m_i的高位小于n^0.5的概率非常小。这表明要进行(14)式的计算的次数很少，在考虑计算复杂度的时候可以忽略这种计算带来的复杂度提升，而进行这种计算的时候T_i-1＞2，使得整体加速比得到提升。

(13)式中的指数s_i也可以利用这个方法进行指数消减，只是最终进行一次取模运算，原理与分解T_i类似，下面不再进行深入讨论了。由于绝大部分时候T_i＝2，因此绝大部分时候s_i＝1。

3.现有技术对比

谢琪在2003年计算机工程杂志上提出《一种新的RSA的快速算法》，和本专利的思路非常接近，都是使用结合模n和底数a对指数m动态地取最优的幂后进行模幂乘运算，其分析的算法时间复杂度为O(klog₂ ²n)。其迭代公式为

与本专利提出的

很像，但是本专利提出的公式更通用一些，特别是本专利提出的底数m_i具有不同的指数s_i，表明其思路与谢琪的方法是有较大的差别，在某些时候谢琪的公式可能是错误的(m_i不是2的时候)。最重要的区别是在判断

的时候，本专利提出一种基于m和n的二进制长度来估算T_i的大小的方法，能够基于简单的判断来进行，用硬件可以一次判断完成，谢琪的方法要逐步乘方进行试探。而大部分情况下需要计算的是

因为根据本专利的方法e_i已知(也是因为很容易求得且唯一)且有

和

所以可以放心地连乘，可以减少多次连乘过程中的取模的运算量。因此基于相同的分析过程，可以得出本发明提出的方法的时间复杂度至少优于O(klog₂n)。下面进行详细分析。

4.复杂度分析

算法中取模n的运算次数只有k+1次，k＜log₂e。e对T_i的分解过程与底数有关，底数较小的时候T_i会比较大，T_i比较大的时候k会比较小；由于绝大部分时候T_i＝2，我们把m^e％n的计算化简为k次乘法和k+1次取模的复杂度为O(2k+1)，最差的情况下大约为O(2log₂ ^e+1)。乘法和取模的基本运算复杂度接近于常量O(g)，取模运算n为2048比特的时候g大约为24，乘法运算g＜log₂ ⁿ，因此本发明的算法复杂度小于O(klog₂n)，也优于O(log₂ ^e*log₂ ⁿ)，而大大优于谢琪提出方法中的O(klog₂ ²n)，谢琪的方法最差情况下为

通过这个过程加速后，使用RSA加密/解密一次，与通常的单纯指数优化相比，可以提高速度至少log₂ ⁿ倍多，且与指数e和底数m相关。对于1024位的RSA加解密程甚至可以达到1000倍以上，此时可以利用RSA进行实时加密，甚至不需要利用SHA等对称加密体系进行加密了。

具体实施方式

对于计算过程m^e％n，重复如下的过程：

解密过程同上，只是m^e％n变为了c^d％n，只需传入(指数d，底数c，模数n)即可。k即为所要求的迭代次数其小于log₂e，Y即为加密或解密的运算结果。

其中求m_i-1 ^Ti％n可以利用常规的A^B％N计算加速方法。因为知道A^B＞N且A^B-1＜N，只需计算完成连乘后最终求一次模，这样的方法比普通指数方法快很多，不需每次迭代求一次模N。j为B的比特长度，记B＝b₀2^j+b₁2^j-1+...+b_j2⁰，b_i＝0 or 1中的取第i位为b_i的过程为Get(b_i)，它可以一步完成，则

大部分时候B＝2，可以利用特殊的硬件或软件方法来一次实现A²％N。

把返回值Y再取模n即得到m_i-1 ^Ti％n，而计算m_i ^si的时候不用取模n，大部分时候s_i＝1。

Claims (1)

1.一种用于加速RSA进行加解密运算的方法，结合作为底数的明文m和密文c与模数n的关系，利用中国剩余定理来极大地消减幂指数e或d的运算次数，其特征在于：

1)对于加密过程，使m^e％n分解为

其迭代过程i≤k中，指数T_i满足

且

即

e_i＝e_i-1/T_i，这里限定“/”号为计算机语言里面整数整除的运算，s_i＝e_i％T_i，终止迭代的条件是e_i＝0，这里e₀＝e，m₀＝m，s₀＝s＝e％T₀，从而实现不同底数m时指数e分解加速；

2)解密过程与加密过程一致，只是分解的参数做相应的改变，m变为c，e变为d。