第二十一个知识点：CRT算法如何提高RSA的性能?

第二十一个知识点：CRT算法如何提高RSA的性能?

中国剩余定理(The Chinese Remainder Theorem,CRT)表明,如果我们有两个等式\(x = a \mod N\) 和\(x = b \mod M\),那么\(x\)存在一个唯一一个\(\mod MN\)的解,当且仅当\(gcd(M,N)=1\).

在RSA中,我们可能会执行一个模幂在一个几千个位的数字上[1].一般来说,公钥加密要比对称加密要慢.这种特性可能导致web服务器网络变慢,而在实现过程中提高效率(软件算法)对于避免性能问题起着至关重要的作用.

我们表示RSA方案中主要的加密操作就是模幂算法\(M= C^d \mod N\).模幂能够用h-1次乘法和t-1次平方运算.(t是指数的长度,h是汉明系数).平均来说需要的次数一共是\(t + t/2 -1\).

更多的性能提升需要二进制指数算法或者窗口方法.对于后者我们依次处理\(w\)位.对于这个方案我们仍然需要t次平方运算,但是乘法次数减少到\(t/w\).更多的性能提升能通过滑动窗口法得到进一步改进.

为了让RSA指数算法更快,我们能够执行一些额外的小技巧,当我们加密或者解密RSA的时候.CRT被用于这种情况.因此我们首先考虑一个私钥操作,这意味着我们能够获得私钥,因此获得了\(N\)的分解数\(N = pq\).如果我们假设我们解密一个消息,那么我们的目标就是计算\(M = C^d \mod N\).

首先我们要计算\(M \mod p\)和\(M \mod q\):

\[M_p = C^d \mod p = C^{d \mod {p-1}} \mod q
\]

\[M_q = C^d \mod q = C^{d \mod p-1} \mod q
\]

这个计算需要两个512模,512幂的运算,因为p, q都是512bit的.这会比1024,1024的快的多.

使用找CRT我们能恢复\(M\),通过使用\(M_p,M_q\).

计算\(T = p^{-1} \mod q\),然后保存下来.

M能够通过\(M_p\)和\(M_q\)用下面的办法恢复.

\(U = (M_q-M_p)*T \mod q\)

\(M = M_p + u*p\)

[1] http://www.cs.bris.ac.uk/~nigel/Crypto_Book/book.ps (Chapter 15)

good for write down

下面是说的比较好的CRT方法:

https://www.di-mgt.com.au/crt_rsa.html