现代密码学-杨波-4.3RSA算法.pptVIP

现代密码学;第四章公钥密码;4.3RSA算法;RSA算法是1978年由R.Rivest,A.Shamir和L.Adleman提出的一种用数论构造的、也是迄今为止理论上最为成熟完善的公钥密码体制，该体制已得到广泛的应用。;(5)以为公开钥,为秘密钥。;下面分两种情况：;;【例4-27】

设，满足，且。

确定。又设待加密的消息是“Pleasewaitforme”。;将明文分成4个分组，最后一个分组的右端补0，得;解密：;4.3.2 RSA算法中的计算问题;例如求，直接计算的话需做15次乘法。然而如果重复对每个部分结果做平方运算即求，，，，则只需4次乘法。;可得以下快速指数算法：;【例4-28】;2.密钥的产生;寻找大素数时一般是先随机选取一个大的奇数（例如用伪随机数产生器），然后用素性检验算法检验这一奇数是否为素数，如果不是则选取另一大奇数，重复这一过程，直到找到素数为止。

可见寻找大素数是一个比较繁琐的工作。然而在RSA体制中，只有在产生新密钥时才需执行这一工作。;4.3.3 一种改进的RSA实现方法;4.3.4 RSA的安全性;对于大整数的威胁除了人类的计算能力外，还来自分解算法的进一步改进。

分解算法过去都采用二次筛法，如对RSA-129的分解。而对RSA-130的分解则采用了一个新算法，称为推广的数域筛法，该算法在分解RSA-130时所做的计算仅比分解RSA-129多10%，对RSA-140和RSA-155的分解，也采用的是推广的数域筛法。

将来也可能还有更好的分解算法，因此在使用RSA算法时对其密钥的选取要特别注意其大小。

估计在未来一段比较长的时期，密钥长度介于1024比特至2048比特之间的RSA是安全的。;是否有不通过分解大整数的其它攻击途径？下面我们证明由直接确定等价于对的分解。;为保证算法的安全性，还对和提出以下要求：;（2）和都应有大素因子；;为抵抗这种攻击，、的选取应保证使很大。;4.3.5 对RSA的攻击;再次用推广的Euclid算法求出，由此得。