基于中国剩余定理优化RSA解密推论的证明
春秋十二月发表于 2021-10-01 09:32:00
背景
由于实际使用中RSA公钥通常很短,而私钥和模位长度一样,导致解密(或签名)时大数指数模运算比较慢,故可使用中国剩余定理约简模数和解密指数,以加快运算
描述
x为密文,n为模,p和q为大素数且满足n=pq,d为私钥,设
xp ≡ x mod p,xq ≡ x mod q (1)
dp ≡ d mod (p-1),dq ≡ d mod (q-1) (2)
yp = xp^dp mod p,yq = xq^dq mod q (3)
则有 xd ≡ ((qcp)yp + (pcq)yq) mod n,其中 cp ≡ q-1 mod p , cq ≡ p-1 mod q
证明
由(1)式可得
xpd ≡ xd mod p,xqd ≡ xd mod q (4)
根据中国剩余定理可得
xd ≡ ((qcp)xpd + (pcq)xqd) mod n,下面只要证明yp和xpd一样同余于xd模p,yq和xqd一样同余于xd模q
根据(2)式及费小马定理可得
xp^dp ≡ xpd mod p,xq^dq ≡ xqd mod q, 再结合(4)得
xp^dp ≡ xd mod p,xq^dq ≡ xd mod q,故
yp = xd mod p,yq = xd mod q 证毕
由于实际使用中RSA公钥通常很短,而私钥和模位长度一样,导致解密(或签名)时大数指数模运算比较慢,故可使用中国剩余定理约简模数和解密指数,以加快运算
描述
x为密文,n为模,p和q为大素数且满足n=pq,d为私钥,设
xp ≡ x mod p,xq ≡ x mod q (1)
dp ≡ d mod (p-1),dq ≡ d mod (q-1) (2)
yp = xp^dp mod p,yq = xq^dq mod q (3)
则有 xd ≡ ((qcp)yp + (pcq)yq) mod n,其中 cp ≡ q-1 mod p , cq ≡ p-1 mod q
证明
由(1)式可得
xpd ≡ xd mod p,xqd ≡ xd mod q (4)
根据中国剩余定理可得
xd ≡ ((qcp)xpd + (pcq)xqd) mod n,下面只要证明yp和xpd一样同余于xd模p,yq和xqd一样同余于xd模q
根据(2)式及费小马定理可得
xp^dp ≡ xpd mod p,xq^dq ≡ xqd mod q, 再结合(4)得
xp^dp ≡ xd mod p,xq^dq ≡ xd mod q,故
yp = xd mod p,yq = xd mod q 证毕