解码 RSA

RSA简介

明文 $M$ ，密文 $C$ 。

$n>M$ ，且 $n$ 为两个不相同大质数的乘积 $n=pq$ ， $1<e<\varphi(n)$ 与 $\varphi(n)$ 互素， $ed\equiv1\pmod{\varphi(n)}$ 。

公钥 $n,e$ ，私钥 $d$ ，利用分解大质因数的困难来保证数据安全。

加密 $C= M^e\bmod n$ 。

解密 $M= C^d\bmod n$ 。

证明解密的正确性

当 $\gcd(M,n)=1$ ，由扩展欧拉定理 $C^d\equiv M^{ed}\equiv M^{ed\ \bmod\ \varphi(n)}\equiv M\pmod n$ 。

当 $\gcd(M,n)\neq 1$ ， $p\mid M$ 或 $q\mid M$ ，不妨设 $M=kp$ 。根据费马小定理有 $(kp)^{q-1}\equiv 1\pmod q$ 。设非负整数 $r$ 满足 $ed=r\varphi(n)+1$ 。显然有 $[(kp)^{q-1}]^{r(p-1)}\equiv1\pmod q$ ，即 $(kp)^{r(p-1)(q-1)}\equiv1\pmod q$ 。根据积性函数的性质， $\varphi(n)=(p-1)(q-1)$ ，故 $(kp)^{r\varphi(n)}\equiv (kp)^{ed-1}\equiv 1\pmod q$ ，两边同时乘 $kp$ ，有 $(kp)^{ed}\equiv kp\pmod q$ ；可以写成 $(kp)^{ed}=sq+kp$ ， $s\in\mathbb N$ 。容易得到 $p(k^{ed}p^{ed-1}-k)=sq$ ，所以 $p\mid s$ ，不妨令 $s=tp$ ， $t\in\mathbb N$ 。于是有 $(kp)^{ed}=tpq+kp$ ，即 $(kp)^{ed}=kp+tn$ ；将 $M=kp$ 代入得到 $M^{ed}=M+tn$ ，显然有 $M^{ed}\equiv M\pmod n$ 。解密时， $C^d\equiv M^{ed}\equiv M\pmod n$ 。

证毕。

解码思路

输入 $n$ ，用 Pollard-Rho 算法分解质因数 $p,q$ ，算法导论给出的期望时间复杂度是 $O(\sqrt{\min(p,q)})$ ，接着计算 $\varphi(n)=(p-1)(q-1)$ 。输入 $e$ ，用扩展欧几里得算法解线性同余方程 $ed\equiv 1\pmod{\varphi(n)}$ ，时间复杂度 $O(\log \varphi(n))$ 。输入 $C$ ，用快速幂 $O(\log d)$ 得到 $M$ 。

代码

#include<iostream>
#include<vector>
#include<algorithm>
using namespace std;
typedef long long ll;
typedef __int128 bll;
vector<ll>primeFactor;
ll QuickPower(ll a, ll b, ll MOD)
{
	a %= MOD;
	ll res = 1 % MOD;
	while (b)
	{
		if (b & 1)
		{
			res = (bll)res * (bll)a % MOD;
		}
		b >>= 1;
		a = (bll)a * (bll)a % MOD;
	}
	return res;
}
bool MillerRabin(ll n, int repeat)
{
	if (n == 2 || n == 3)
	{
		return true;
	}
	else if (n % 2 == 0 || n == 1)
	{
		return false;
	}
	// 将n-1分解成2^s*d
	ll d = n - 1;
	int s = 0;
	while (!(d & 1))
	{
		++s;
		d >>= 1;
	}
	while (repeat--)
	{
		// 取随机数[2,n-2]
		ll a = rand() % (n - 3) + 2;
		ll x = QuickPower(a, d, n);
		ll y = 0;
		for (int i = 1;i <= s;i++)
		{
			y = (bll)x * (bll)x % n;
			if (y == 1 && x != 1 && x != n - 1)
			{
				return false;
			}
			x = y;
		}
		if (y != 1)
		{
			return false;
		}
	}
	return true;
}
ll PollardRho(ll n, ll c)
{
	ll x = rand() % (n - 2) + 1;
	ll y = x, i = 1, k = 2;
	while (1)
	{
		++i;
		x = (bll)x * (bll)x % n + c + n;
		ll d = abs(__gcd(y - x, n));
		if (1 < d && d < n)
		{
			return d;
		}
		else if (y == x)
		{
			return n;
		}
		else if (i == k)
		{
			y = x;
			k <<= 1;
		}
	}
}
void FindPrimeFactor(ll n, ll c)
{
	if (n == 1)
	{
		return;
	}
	if (MillerRabin(n, 50))
	{
		primeFactor.emplace_back(n);
		return;
	}
	ll p = n;
	while (p >= n)
	{
		p = PollardRho(p, c--);
	}
	FindPrimeFactor(p, c);
	FindPrimeFactor(n / p, c);
}
void ExtendGCD(ll a, ll b, ll& x, ll& y)
{
	if (!b)
	{
		x = 1;
		y = 0;
		return;
	}
	ExtendGCD(b, a % b, x, y);
	ll temp = x;
	x = y;
	y = temp - a / b * y;
}
int main()
{
	ll n, e, C;
	cin >> n >> e >> C;
	// 分解质因子
	FindPrimeFactor(n, 107);
	ll p = primeFactor.front();
	ll q = primeFactor.back();
	// 计算欧拉函数值
	ll phi = (p - 1) * (q - 1);
	ll x = 0, y = 0;
	// 求逆元
	ExtendGCD(e, phi, x, y);
	ll d = (x % phi + phi) % phi;
	// 解密
	ll M = QuickPower(C, d, n);
	cout << M << endl;
	return 0;
}

样例

输入1

1	7081 1789 5192

输出1

输入2

1	7081 1789 2604

输出2

输入3

1	7081 1789 4222

输出3

用中国剩余定理优化

解密时 $M=C^d\bmod n$ ，若 $n$ 是很大的数，会爆long long，可用中国剩余定理优化。

令 $M_1=C^d\bmod p$ ， $M_2=C^d\bmod q$ ，注意求 $M_1$ 和 $M_2$ 时用扩展欧拉定理降幂。有线性同余方程组 $\left\{\begin{matrix}x\equiv M_1\pmod p\\x\equiv M_2\pmod q\end{matrix}\right.$，由于 $p\bot q$ ， $x$ 必有解。设 $p$ 模 $q$ 的逆元为 $p'$ ， $q$ 模 $p$ 的逆元为 $q'$ ，根据中国剩余定理，其解集为 $\{x|k\in\mathbb Z, x=M_1q'q+M_2pp'+kn\}$；其中 $C^d$ 也是一个解，设 $C^d=M_1q'q+M_2pp'+k^\ast n$ ，则 $M=C^d\bmod n=(M_1q'q+M_2pp')\bmod n$ 。