AlegsaOnline.com

RSA algoritmas: viešojo rakto kriptografijos apibrėžimas ir veikimas

RSA algoritmas: supraskite viešojo rakto kriptografiją, raktų generavimą, pirminį faktorizavimą ir saugų pranešimų šifravimą aiškiai ir suprantamai.

Autorius: Leandro Alegsa

14-12-2025

RSA (Rivest–Shamir–Adleman) - tai algoritmas, naudojamas šiuolaikiniuose kompiuteriuose pranešimams šifruoti ir iššifruoti. Tai asimetrinis kriptografinis algoritmas. Asimetrinis reiškia, kad yra du skirtingi raktai. Tai dar vadinama viešojo rakto kriptografija, nes vienas iš raktų gali būti duotas bet kam. Kitas raktas turi būti laikomas privačiu. Algoritmas pagrįstas tuo, kad rasti didelio sudėtinio skaičiaus veiksnius yra sunku: kai veiksniai yra pirminiai skaičiai, problema vadinama pirminiu faktorizavimu. Jis taip pat yra raktų porų (viešojo ir privataus rakto) generatorius.

Kaip RSA veikia — pagrindinė idėja

RSA naudoja dviejų skirtingų, bet susietų skaičių porą: viešąjį raktą (pvz., n ir e) ir privatųjį raktą (pvz., d). Viešasis raktas skirtas šifruoti (arba tikrinti parašą), privatusis — dešifruoti (arba kurti parašą). Matematinė pagrindas — modulinė aritmetika: pranešimas m paverčiamas šifrograma c pagal formulę c = m^e mod n, o dešifravimas atliekamas m = c^d mod n.

Raktų generavimas — žingsniai

1) Pasirinkite du didelius atsitiktinius pirminius skaičius p ir q.
2) Apskaičiuokite n = p × q. n yra modulio reikšmė ir sudaro dalį viešojo rakto.
3) Apskaičiuokite φ(n) = (p − 1)(q − 1) (tai Eulerio funkcija; kai kurie implementacijos naudoja alternatyvias reikšmes).
4) Pasirinkite viešojo rakto eksponentą e, kurio 1 < e < φ(n) ir kuris būtų susijęs tarpusavyje pirminiu su φ(n) (dažnai naudojamas e = 65537 dėl našumo ir saugumo pusiausvyros).
5) Apskaičiuokite privatųjį eksponentą d — tai e modulinė inversija modulo φ(n), t. y. d tokiu atveju, kad d·e ≡ 1 (mod φ(n)).
6) Viešasis raktas paprastai sudarytas iš (n, e); privatusis — d (dažnai kartu saugomi p ir q bei papildomi parametrai optimizavimui).

Šifravimas ir dešifravimas (paprasta forma)

Tekstinės (teoriškai) formulės:

Šifravimas: c = m^e mod n
Dešifravimas: m = c^d mod n

Tačiau praktikoje niekada neturėtumėte naudoti „paprastos“ (textbook) RSA be papildomų priemonių — ji yra pažeidžiama daugeliu atakų tipų. Todėl naudojamos pačia praktikoje patikrintos pakavimo (padding) schemos.

Skaitmeninis parašas

RSA taip pat naudojamas skaitmeniniams parašams kurti: parašas s = H(m)^d mod n (paprastai pirmiausia pritaikomas kriptografinis hash ir specialus pakavimas). Verifikavimas vyksta skaičiuojant s^e mod n ir lyginant su H(m). Modernios praktikos reikalauja naudoti saugius parašų schemų standartus (pvz., PSS).

Praktinės priemonės: pakavimas ir standartai

Padding (pakavimas) — būtinas. Be pakavimo, RSA yra pažeidžiamas pasirinkto tekstinio atakų, lemiantis informacijos nutekėjimą. Populiarios schemos: PKCS#1 v1.5 (senesnė, vis dar naudojama) ir OAEP (saugesnė, rekomenduojama šifravimui).
Parašams — rekomenduojama naudoti RSASSA-PSS (PSS), o ne paprastą „m^d“ be kriptografinio hash ir pakavimo.

Saugumas ir grėsmės

Pagrindinis saugumo šaltinis: RSA saugumas priklauso nuo to, kad būtų sudėtinga atlikti pirminį faktorizavimą didelio sudėtinio skaičiaus n = p·q.
Key size: šiuo metu praktikoje rekomenduojama naudoti bent 2048 bitų ilgio modulį n; 3072 bitai — geresnė perspektyvinė apsauga, 4096 bitų — saugesnė, bet lėtesnė.
Kvantinės grėsmės: Shor algoritmo egzistavimas reiškia, kad kvantiniai kompiuteriai su pakankamai daug qubitų gali išspręsti faktorizavimo problemą žymiai greičiau, todėl ilgalaikei apsaugai reikėtų svarstyti kvantiniu atsparesnes alternatyvas (pvz., post‑quantum algoritmus).
Praktinės atakos: laiko analizė, šoninės kanalų atakos (power analysis), pakavimo oracle atakos (pvz., Bleichenbacher tipo), netinkamas rakto generavimas (silpni arba susiję pirminiai skaičiai) — visos šios problemos gali kompromituoti RSA.

Našumas ir optimizavimas

RSA yra lėtesnis už simetrinę kriptografiją, todėl dažnai naudojamas tik simetrinių raktų šifravimui arba raktų pasirašymui/užtikrinimui (hybrid encryption): AES šifruoja didelius duomenis, o RSA šifruoja tik AES raktą.
Dešifravimo/parašo operacijos gali būti pagreitintos naudojant CRT (Chinese Remainder Theorem) tipo optimizacijas, tačiau tai reikalauja papildomų apsaugos priemonių nuo šoninių atakų.
Našumui įtaką turi viešojo eksponento e: mažesnis e (pvz., 3 ar 65537) gali pagreitinti šifravimą/arba patikrinimą, bet turi būti naudojamas atsargiai (kai kurios mažo e konfigūracijos gali sukelti saugumo problemų).

Praktinės rekomendacijos

Naudokite atnaujintus kriptografinius standartus (PKCS#1 OAEP šifravimui, PSS parašams).
Pasirinkite tik stiprius, atsitiktinius pirminius skaičius ir pakankamą rakto ilgį (minimalus 2048 bitų).
Saugokite privatųjį raktą: naudokite aparatinę saugyklą (HSM) arba saugius raktų saugojimo sprendimus; įgyvendinkite blokuojančias priemones (pvz., PIN, multifaktorinę autentifikaciją).
Apsaugokite įgyvendinimą nuo šoninių kanalų atakų — naudokite blinding, konstantinio laiko operacijas ir kt.
Apsvarstykite alternatyvas (pvz., elliptic-curve algoritmus) jei reikia mažesnių raktų ir geresnio našumo; ilgalaikei apsaugai sekite post‑quantum tyrimus.

Taikymas

RSA plačiai naudojamas TLS/HTTPS sertifikatuose, el. parašuose, kodų pasirašyme, el. pašto apsaugoje ir kituose protokoluose. Dažniausiai jis veikia kartu su simetrinėmis šifravimo schemomis (hybrid encryption), kur RSA apsaugo tik simetrinį raktą.

Apibendrinant: RSA yra svarbus ir plačiai paplitęs viešojo rakto kriptografijos metodas, kurio saugumas remiasi pirminių skaičių faktorizavimo sudėtingumu. Tiesa, saugiam naudojimui reikalingos geros praktikos — tinkamas rakto ilgis, patikimi pirminių skaičių generatoriai, saugus pakavimas ir apsauga nuo praktinių atakų.

Pranešimo šifravimas

Alisa perduoda savo viešąjį raktą ( n {\displaystyle n\,} $n\,$ & e {\displaystyle e\,} $e\,$ ) Bobui, o savo privatųjį raktą laiko paslaptyje. Bobas nori išsiųsti žinutę M Alisai.

Pirmiausia jis paverčia M skaičiumi m {\displaystyle m} mažesniu už n {\displaystyle n} , naudodamas sutartą grįžtamąjį protokolą, vadinamą užpildymo schema. Tada jis apskaičiuoja šifro tekstą c {\displaystyle c\,} $c\,$ , atitinkantį:

c = m e mod n {\displaystyle c=m^{e}\mod {n}} $c=m^{e}\mod {n}$

Tai galima padaryti greitai, taikant eksponentavimo kvadratu metodą. Tada Bobas siunčia c {\displaystyle c\,} $c\,$ Alisai.

Pranešimo iššifravimas

Alisa gali atkurti m {\displaystyle m\,} $m\,$ iš c {\displaystyle c\,} $c\,$ naudodama savo privatų raktą d {\displaystyle d\,} $d\,$ toliau nurodyta tvarka:

m = c d mod n {\displaystyle m=c^{d}{\bmod {n}}} $m=c^{d}{\bmod {n}}$

Turėdama m {\displaystyle m\,} $m\,$ , ji gali atgauti pradinius skirtingus pirminius skaičius, o pritaikiusi kinų liekanų teoremą šioms dviem kongruencijoms gausime

m e d ≡ m mod p q {\displaystyle m^{ed}\equiv m{\bmod {pq}}} $m^{ed}\equiv m{\bmod {pq}}$ .

Taigi,

c d ≡ m mod n {\displaystyle c^{d}\equiv m{\bmod {n}}} $c^{d}\equiv m{\bmod {n}}$ .

Praktinis pavyzdys

Pateikiame RSA šifravimo ir dešifravimo pavyzdį. Čia naudojami dirbtinai maži parametrai, bet taip pat galite naudoti OpenSSL, kad sugeneruotumėte ir patikrintumėte tikrą raktų porą.

Pasirinkite du atsitiktinius pirminius skaičius.
: p = 61 {\displaystyle p=61} $p=61$ ir q = 53 ; {\displaystyle q=53;} $q=53;$ Apskaičiuokite n = p q {\displaystyle n=pq\,} $n=pq\,$
: n = 61 ∗ 53 = 3233 {\displaystyle n=61*53=3233} $n=61*53=3233$
Apskaičiuokite totientą ϕ ( n ) = ( p - 1 ) ( q - 1 ) {\displaystyle \phi (n)=(p-1)(q-1)\,} $\phi (n)=(p-1)(q-1)\,$
: ϕ ( n ) = ( 61 - 1 ) ( 53 - 1 ) = 3120 {\displaystyle \phi (n)=(61-1)(53-1)=3120} $\phi (n)=(61-1)(53-1)=3120$
Pasirinkite e > 1 {\displaystyle e>1} $e>1$ koprima 3120
: e = 17 {\displaystyle e=17} $e=17$
Pasirinkite d {\displaystyle d\,} $d\,$ , kad d e mod ϕ ( n ) ≡ 1 {\displaystyle de{\bmod {\phi (n)}}\equiv 1\,} $de{\bmod {\phi (n)}}\equiv 1\,$
: d = 2753 {\displaystyle d=2753} $d=2753$
: 17 ∗ 2753 = 46801 = 1 + 15 ∗ 3120 {\displaystyle 17*2753=46801=1+15*3120} $17*2753=46801=1+15*3120$ .

Viešasis raktas yra ( n = 3233 {\displaystyle n=3233} $n=3233$ , e = 17 {\displaystyle e=17} $e=17$ ). Šifravimo funkcija c = m e mod n {\displaystyle c=m^{e}{\bmod {n}}} $m\,$ tampa šifravimo funkcija m {\displaystyle m\,} $c=m^{e}{\bmod {n}}$ :

c = m 17 mod 3 233 {\displaystyle c=m^{17}{\bmod {3}}233\,} $c=m^{17}{\bmod {3}}233\,$

Privatusis raktas yra ( n = 3233 {\displaystyle n=3233} $n=3233$ , d = 2753 {\displaystyle d=2753} $d=2753$ ). Dešifravimo funkcija m = c d mod n {\displaystyle m=c^{d}{\bmod {n}}} $m=c^{d}{\bmod {n}}$ tampa:

m = c 2753 mod 3 233 {\displaystyle m=c^{2753}{\bmod {3}}233},} $m=c^{2753}{\bmod {3}}233\,$

Pavyzdžiui, norėdami užšifruoti m = 123 {\displaystyle m=123} $m=123$ apskaičiuojame

c = 123 17 mod 3 233 = 855 {\displaystyle c=123^{17}{\bmod {3}}233=855} $c=123^{17}{\bmod {3}}233=855$

Iššifruoti c = 855 {\displaystyle c=855} $c=855$ apskaičiuojame

m = 855 2753 mod 3 233 = 123 {\displaystyle m=855^{2753}{\bmod {3}}233=123} $m=855^{2753}{\bmod {3}}233=123$

Abu šie skaičiavimai gali būti efektyviai apskaičiuoti naudojant kvadrato ir daugybos algoritmą moduliniam eksponentizavimui [lt].

RSA lygties išvedimas iš Eulerio teoremos

RSA galima lengvai išvesti naudojant Eulerio teoremą ir Eulerio totiento funkciją.

Pradėkime nuo Eulerio teoremos,

m ϕ ( n ) ≡ 1 ( mod n ) {\displaystyle m^{\phi (n)}\equiv 1{\pmod {n}}}} $m^{\phi (n)}\equiv 1{\pmod {n}}$

turime įrodyti, kad iššifravus užšifruotą pranešimą, naudojant tinkamą raktą, bus gautas originalus pranešimas. Turint užšifruotą pranešimą m, šifro tekstas c apskaičiuojamas taip

c ≡ m e ( mod n ) {\displaystyle c\equiv m^{e}{\pmod {n}}} $c\equiv m^{e}{\pmod {n}}$

Įterpdami į dešifravimo algoritmą, turime

c d ≡ ( m e ) d ≡ m e d ( mod n ) {\displaystyle c^{d}\equiv (m^{e})^{d}\equiv m^{ed}{\pmod {n}}}} $c^{d}\equiv (m^{e})^{d}\equiv m^{ed}{\pmod {n}}$

Norime parodyti, kad ši reikšmė taip pat sutampa su m. E ir d reikšmės buvo pasirinktos taip, kad būtų sotios,

e d ≡ 1 ( mod ϕ ( n ) ) {\displaystyle ed\equiv 1{\pmod {\phi (n)}}} $ed\equiv 1{\pmod {\phi (n)}}$

Vadinasi, egzistuoja tam tikras sveikasis skaičius k, kad

e d = k × ϕ ( n ) + 1 {\displaystyle ed=k kartų \phi (n)+1} $ed=k\times \phi (n)+1$

Dabar mes pakeičiame užšifruotą ir iššifruotą pranešimą,

m e d ≡ m k ϕ ( n ) + 1 ≡ m × m k ϕ ( n ) ≡ m × ( m ϕ ( n ) ) k ( mod n ) {\displaystyle {\begin{aligned}m^{ed}&\equiv m^{k\phi (n)+1}\\&\equiv m\times m^{k\phi (n)}\\&\equiv m\times \left(m^{k\phi (n)}\right)^{k}{\pmod {n}}\end{aligned}}}} ${\begin{aligned}m^{ed}&\equiv m^{k\phi (n)+1}\\&\equiv m\times m^{k\phi (n)}\\&\equiv m\times \left(m^{\phi (n)}\right)^{k}{\pmod {n}}\end{aligned}}$

Taikome Eulerio teoremą ir gauname rezultatą.

m × ( 1 ) k ≡ m ( mod n ) {\displaystyle m\times (1)^{k}\equiv m{\pmod {n}}}} $m\times (1)^{k}\equiv m{\pmod {n}}$

Užpildymo schemos

Naudojant RSA praktikoje, ji turi būti derinama su tam tikra užpildymo schema, kad nė viena M reikšmė nesukeltų nesaugių šifrogramų. Kai kurios problemos gali kilti naudojant RSA be užpildų:

Dėl eksponentiškumo savybių, kai m = 0 arba m = 1, šifro tekstai visada yra lygūs atitinkamai 0 arba 1.
Kai šifruojama naudojant mažus šifravimo eksponentus (pvz., e = 3) ir mažas m reikšmes, (nemodulinis) rezultatas m e {\displaystyle m^{e}} $m^{e}$ gali būti griežtai mažesnis už modulį n. Tokiu atveju šifravimo tekstai gali būti lengvai iššifruojami imant šifravimo teksto et šaknį, neatsižvelgiant į modulį.
RSA šifravimas yra deterministinis šifravimo algoritmas. Jame nėra atsitiktinio komponento. Todėl užpuolikas gali sėkmingai surengti pasirinkto grynojo teksto ataką prieš kriptosistemą. Jie gali sudaryti žodyną užšifruodami tikėtinus atvirus tekstus pagal viešąjį raktą ir saugodami gautus šifrografinius tekstus. Tada užpuolikas gali stebėti ryšio kanalą. Kai tik jie pamato šifruotus tekstus, atitinkančius jų žodyne esančius tekstus, užpuolikai gali pasinaudoti šiuo žodynu, kad sužinotų pranešimo turinį.

Praktikoje pirmosios dvi problemos gali kilti siunčiant trumpus ASCII pranešimus. Tokiuose pranešimuose m gali būti vieno ar daugiau ASCII koduotų simbolių junginys. Pranešimas, kurį sudaro vienas ASCII NUL simbolis (kurio skaitinė vertė yra 0), būtų užkoduotas kaip m = 0, todėl šifro tekstas būtų 0, nesvarbu, kokios e ir N vertės būtų naudojamos. Panašiai, naudojant vieną ASCII SOH (kurio skaitinė vertė yra 1), šifro tekstas visada būtų 1. Sistemose, kuriose įprastai naudojamos mažos e reikšmės, pavyzdžiui, 3, visi pagal šią schemą užkoduoti vieno ASCII simbolio pranešimai būtų nesaugūs, nes didžiausia m reikšmė būtų 255, o 255³ yra mažesnė už bet kokį priimtiną modulį. Tokius atvirus tekstus būtų galima atkurti paprasčiausiai išvedus šifro teksto kubinę šaknį.

Kad būtų išvengta šių problemų, praktinės RSA realizacijos paprastai prieš užšifruojant vertę m į ją įterpia tam tikrą struktūrizuotą, atsitiktinai parinktą užpildą. Šis užpildas užtikrina, kad m nepateks į nesaugių paprastųjų tekstų intervalą ir kad tam tikras pranešimas po užpildymo bus užšifruotas į vieną iš daugelio galimų šifro tekstų. Pastaroji savybė gali padidinti žodyno atakos sąnaudas, viršijančias protingo užpuoliko galimybes.

Tokie standartai, kaip PKCS, buvo kruopščiai sukurti taip, kad prieš RSA šifravimą pranešimai būtų saugiai užpildomi. Kadangi šiose schemose atvirasis tekstas m užpildomas tam tikru papildomų bitų skaičiumi, neužpildyto pranešimo M dydis turi būti šiek tiek mažesnis. RSA užpildymo schemos turi būti kruopščiai suprojektuotos, kad būtų išvengta sudėtingų atakų. Tai padaryti gali būti lengviau, jei pranešimo struktūra yra nuspėjama. Ankstyvosios PKCS standarto versijos naudojo ad-hoc konstrukcijas, kurios, kaip vėliau paaiškėjo, buvo pažeidžiamos praktiškai pritaikomos pasirinkto šifro teksto atakos. Šiuolaikinėse konstrukcijose naudojami saugūs metodai, pavyzdžiui, optimalus asimetrinis šifravimo užpildymas (angl. Optimal Asymmetric Encryption Padding, OAEP), siekiant apsaugoti pranešimus ir kartu išvengti šių atakų. PKCS standarte taip pat yra apdorojimo schemų, sukurtų siekiant užtikrinti papildomą RSA parašų saugumą, pavyzdžiui, RSA tikimybinė parašo schema (RSA-PSS).

Pranešimų pasirašymas

Tarkime, kad Alisa, naudodama Bobo viešąjį raktą, siunčia jam užšifruotą pranešimą. Žinutėje ji gali teigti, kad yra Alisa, tačiau Bobas neturi galimybės patikrinti, ar žinutė iš tikrųjų atėjo iš Alisos, nes bet kas gali pasinaudoti Bobo viešuoju raktu ir siųsti jam užšifruotas žinutes. Taigi, norint patikrinti pranešimo kilmę, RSA taip pat galima naudoti pranešimui pasirašyti.

Tarkime, kad Alisa nori nusiųsti pasirašytą pranešimą Bobui. Ji sukuria pranešimo hash reikšmę, padidina ją iki d mod n galios (kaip ir dešifruodama pranešimą) ir prideda ją prie pranešimo kaip "parašą". Gavęs pasirašytą pranešimą, Bobas pakelia parašą iki e mod n galios (kaip ir užšifruodamas pranešimą) ir palygina gautą hash vertę su tikrąja pranešimo hash verte. Jei jos sutampa, Bobas žino, kad pranešimo autorius turėjo slaptąjį Alisos raktą ir kad pranešimas nuo to laiko nebuvo suklastotas.

Atkreipkite dėmesį, kad saugios užpildymo schemos, tokios kaip RSA-PSS, yra tokios pat svarbios pranešimų pasirašymo saugumui, kaip ir šifravimo saugumui, ir kad tas pats raktas niekada neturėtų būti naudojamas ir šifravimo, ir pasirašymo tikslais.

Klausimai ir atsakymai

K: Kas yra RSA?

A: RSA (Rivest-Shamir-Adleman) - tai algoritmas, kurį šiuolaikiniai kompiuteriai naudoja pranešimams šifruoti ir dešifruoti. Tai asimetrinis kriptografinis algoritmas.

K: Ką reiškia asimetrinis?

A: Asimetrinis reiškia, kad yra du skirtingi raktai - viešasis ir privatusis.

K: Kuo pagrįstas RSA algoritmas?

A: Algoritmas pagrįstas tuo, kad rasti didelio sudėtinio skaičiaus veiksnius yra sunku - kai veiksniai yra pirminiai skaičiai, ši problema vadinama pirminiu faktorizavimu.

K: Kaip veikia RSA?

A: RSA algoritmas apima viešąjį ir privatųjį raktą. Viešasis raktas gali būti žinomas visiems - jis naudojamas pranešimams šifruoti. Viešuoju raktu užšifruotus pranešimus galima iššifruoti tik privačiuoju raktu, kuris turi būti laikomas paslaptyje. Apskaičiuoti privatų raktą iš viešojo rakto yra labai sunku.

Klausimas: Ar yra koks nors kitas šios kriptografijos rūšies pavadinimas?

A: Šis kriptografijos tipas dar vadinamas viešojo rakto kriptografija, nes vieną raktą galima duoti bet kam, o kitą laikyti privačiu.

K: Ar RSA generuoja raktų porą?

A: Taip, RSA generuoja raktų porą - viešąjį ir privatųjį raktą, kurie naudojami atitinkamai šifravimui ir dešifravimui.