2.3.1. Алгоритм rsa

Алгоритм RSA защищен патентом США № 4405829. Разработан в 1977 году в Массачусетском технологическом институте (США). Получил название по первым буквам фамилий авторов (Rivest, Shamir, Adleman). Криптостойкость алгоритма RSA основана на вычислительной сложности задачи разложения большого числа на простые множители. Открытый и закрытый ключи являются функциями двух больших простых чисел, разрядностью 100-200 десятичных цифр. Предполагается, что восстанов­ление открытого текста по шифрованному тексту и открытому ключу рав­носильно разложению числа на два больших простых множителя.

Для генерации двух ключей применяются два больших случайных про­стых числа р и q. Для обеспечения максимальной безопасности р и q должны иметь одинаковую длину. Рассчитывается произведение п = pq.

Затем случайным образом выбирается ключ шифрования е так, чтобы е и (р -1)(q-1) являлись взаимно простыми числами. С помощью рас­ширенного алгоритма Евклида вычисляется ключ расшифрования d, такой что:

еd ≡ 1(mod(p -1)(q - 1)).

Другими словами:

d = e^-1(mod(p- 1)(q - 1)).

Заметим, что d и n также взаимно простые числа.

Числа е и п — это открытый ключ, а число d — закрытый. Числа р и q могут быть отброшены, но они не должны быть раскрыты.

При шифровании сообщение т разбивается на цифровые блоки m_i, размерами меньше п (для двоичных данных выбирается самая большая степень числа 2, меньшая п). Зашифрованное сообщение C будет состоять из блоков C_i, причем длина блока C_i,- равна длине блока m_i. Таким образом, формула шифрования имеет вид:

C_i = m_i^e mod n

При расшифровке сообщения для каждого зашифрованного блока C_i вы­числяется:

m_i = C_i^d mod n

Так как C_i^d = (m_i^e)^d = m_i^{k(p-1)(q-1)+1} = m_i, все по mod n, то формула восстанавливает сообщение.

Таким образом,

d = e^-1(mod(p - 1)(q - 1)) - закрытый ключ

C = т^е mod n - шифрование

т = C^d mod n - расшифрование .

Чтобы организовать передачу шифрованных сообщений с помо­щью криптосистемы RSA получатель должен сделать следующее:

с помощью специального алгоритма сгенерировать два больших простых числа p,q, которые необходимо держать в секрете;

сообщить отправителю (или поместить в некоторый общедоступ­ный каталог) число n, равное произведению р и q, а также случайным об­разом выбранное целое число e, взаимно простое с произведением

(p - 1)(q - 1).

Для расшифрования сообщений, зашифрованных на открытом ключе п, e получателю необходимо иметь число d являющееся мультип­ликативным обратным числа e по модулю (p-1)(q-1), т.е. остаток от деле­ния произведения de на (p-1)(q-1) должен быть равен единице: de ≡1(mod(p-1)(q-1)). Найти такое число получателю легко, так как наи­больший общий делитель e и (p-1)(q-1) равен единице по выбору e.

Таким образом, отправитель знает открытый ключ: п и e, а получа­тель, кроме этого, имеет секретный ключ d.

Любое передаваемое сообщение можно представить в виде после­довательности целых чисел из заданного интервала. Будем считать, что отправитель передает секретное сообщение, представленное последова­тельностью чисел Х₁,...Х_к, 0 ≤ Х_i≤ n-1, для всех i от 1 до к.

Отправитель для каждого блока X_i передаваемого сообщения вы­числяет С_i = (X_i^e) mod n и передает С_i, по открытому каналу связи.

Имея п, e и С_i,, получатель может расшифровать сообщение, вос­пользовавшись соотношением

X_i = (C_i^d) mod n. (2.2)

Докажем сначала выполнение равенства (2.2) для чисел X_i взаимно простых с п.

Так как числа e и d связаны соотношением ed = 1 (mod(p-1 )(q-1)), то для некоторого целого к справедливо равенство ed=1+k(p-1)(q-1). Отсюда и из соотношения C_i^d ≡ X_i^ed(mod n) вытекает, что

C_i^d ≡ X_i^{1+k(p-1)(q-1)}(mod n). (2.3)

Из теоремы Эйлера следует, что в случае, если числа X_i, и п взаимно просты

X_i^k(p-1)(q-1) ≡ 1(mod n).

Отсюда и из (2.3) следует выполнение соотношения (2.2) для слу­чая, когда X_i взаимно просто с п.

Предположим теперь, что X_i, имеет общий делитель с числом п, не совпадающий с единицей. В этом случае X_i, делится либо на р, либо на q, так как п у нас равно произведению двух простых чисел р и q. Для опре­деленности будем считать, что X_i, делится на р и X_i=kp, где k - некоторое целое число. Тогда X_i взаимно просто с q и по теореме Эйлера

X_i ≡ X_i^ed(mod q). (2.4)

Обозначим через s остаток от деления X_i^ed-1 на q. Так как Х=kр, для некоторого целого r справедливо представление X_i^ed=kp(rq +s). Отсюда и из (2.4) вытекает соотношение kprq+kps ≡ X_i (mod q).

Следовательно, pks ≡ рк(mod q). Тогда (s-1)pk делится на q, и от­сюда s=1, так как k<q и s <q.

В итоге, имеем представление X_i^ed = kprq + kp, из которого выте­кает выполнение соотношения X_i ≡ X_i^ed(mod pq), эквивалентного (2.2).

Таким образом, получатель, вычислив (C_i^d) mod n, действитель­но получит i-й блок первоначального сообщения.

Рассмотрим в качестве примера случай р=3, q=11, n=3*11=33, e=1 и d=3. Легко убедиться, что каждое из чисел e=7 и DE=21 взаимно про­сто с (p-1)(q-1)=20. Для передачи сообщения М="02" отправителю необ­ходимо вычислить C≡2⁷(mod 33)≡29. Получатель может расшифровать сообщение 29, возведя его в степень d по модулю п: 29³ ≡2(mod 33). Пусть, как и ранее, наш алфавит состоит из букв русского языка (без бук­вы Ё) и пробела. Занумеровав элементы этого алфавита числами от 0 до 32, можно зашифровать произвольное сообщение на русском языке. На­пример, сообщение "ПРОВЕРИМ ЗНАНИЕ АРИФМЕТИКИ" в зашифро­ванном виде на ключе n=33, e=7 будет выглядеть следующим образом: "27 25 20 29 14 25 02 12 32 28 07 00 07 02 14 32 00 25 02 26 12 14 06 02 10 02".

Очевидно, что шифр в нашем примере является шифром простой замены. Мы уже знаем, что такой шифр можно вскрыть, исследовав час­тоты встречаемости и взаимное расположение чисел в криптограмме. Од­нако в данном случае дешифровать получившуюся криптограмму можно гораздо быстрее, если составить полную таблицу зашифрования (см. табл. 2.10). При таком маленьком значении n, противнику легко это сделать, так как по предположению открытый ключ: п=33, e=7 - ему известен.

Таблица 2.10