蒙哥马利模乘简介.PDF

智慧安全2.0 蒙哥马利模乘简介 高级安全研究部陈庆 关键词：大数模乘、蒙哥马利优化、模逆元 摘要：RSA、DH 密钥交换等算法都涉及大数模幂，一般通过大数模乘完成。1985 年数学家蒙哥马利(Peter L. Montgomery) 提出一种与CPU 强相关的优化算法用于计算 REDC(T)=T*R mod N (N1)，该算法避免了除以N 的操作，称之为蒙哥马利约分。技巧 性地组合使用蒙哥马利约分来实现大数模乘，可以规避大开销的除法、求模运算，一般称 此时的大数模乘为 蒙哥马利模乘。本文未做严格数学推导，只是从程序员以及逆向分析 人员的实用角度简介之。 一、求模运算 假设都是整数，如果a=k*n+b 对某些k 成立，那么a ≡ b(mod n)， 在初等代数里有一种很重要的运算，求模。用一般人能理解的 a mod n = b。 表述方式，就是求余数。比如，9 除以7 余2，也可以说9 模7 等于2， ( a + b ) mod n = ( ( a mod n ) + ( b mod n ) ) mod n 写作: ( a - b ) mod n = ( ( a mod n ) - ( b mod n ) ) mod n 9 mod 7 = 2 ( a * b ) mod n = ( ( a mod n ) * ( b mod n ) ) mod n 还可以写作: ( a * ( b + c ) ) mod n = ( ( ( a * b ) mod n ) + ( ( a * c ) mod n ) 9 ≡ 2(mod 7) ) mod n 54 智慧安全2.0 这里不做严格的数学定义及推导，只是 a*(b+k*n) ≡ 1(mod n) 幂运算转换成若干模乘运算。 大概介绍一下模运算。 但是，模逆元并不总是存在，比如: 模幂可以转换成模乘，模乘中开销最大 逆元(inverse)，也叫倒数，比如4 的 2^(-1) ≡ x(mod 14) 的操作是求模，求模实际就是除法，一次除 逆元是1/4，因为4*(1/4)=1。在模运算领域 无解。 法实际包含了多次加法、减法和乘法。如果 也有类似的概念。对于两个正整数a、n，若 算法中能尽量减少、避免除法，则效率大大 若两个正整数a、n 互素，则a 的模n 存在正整数b，满足: 提高。 逆元必然存在，可以用欧拉定理证明: ( a * b ) mod n = 1 求模运算在计算机领域中相当普遍，除