# 双素数密码体系简介

双素数密码，指的是 $n=pq$，其中$p,q$为素数，利用一个NP类问题即大整数的素因数分解难题，如果只知道$n$，想在多项式时间里找出其因数是一个非常困难的事情，但反过来验证两个素数的乘积是否等于$n$，却是一个很简单的事情。这在密码学里，也称之为陷门trapdoor，利用不同NP类问题的陷门特性，可以构造出很多加密体系。本文简单的对双素数密码体系做一个简单的介绍，涉及到数论的基本知识、RSA加密体系、欧拉函数、费马小定理、中国剩余定理、群环域等概念，然后用python代码对这些概念做一个实现，比较适合没有系统学习过密码学但又想了解零知识证明的程序员。

## 为何大数因子分解是困难的

对于一个大数n，想要对它做因数分解只有暴力搜索所有可能的解这一种方式，对于一个足够大的数，解它的时间复杂度是$O(n^2)$。当然，我们的“足够大”是相对于计算资源而言的，对于普通cpu和量子计算机的“足够大”的n肯定不是同一量级。通常如果n的位数超过1024位，在当前的计算能力下，目前基本不可能在有限时间里破解。

## 互质、辗转相除法、欧拉函数

如果两个正整数$p, q$，其公因子除了1之外，没有其它正整数，就称这两个数互质。小于n且和n互质的正整数个数定义为欧拉函数，记为$\phi(n)$，数学家们已经证明了$\phi(p)=p-1, \phi(pq)=(p-1)(q-1) $，其中$p,q$是素数。这个欧拉函数非常重要。计算任意两个整数的最大公因子的方法，我们要了解辗转相除法也称为欧几里得算法，跟在小学学过的竖式除法很类似。<br>
假如需要求 1997 和 615 两个正整数的最大公约数,用欧几里得算法，是这样进行的：<br>
1997 / 615 = 3 (余 152) <br>
615 / 152 = 4(余7)<br>
152 / 7 = 21(余5)<br>
7 / 5 = 1 (余2)<br>
5 / 2 = 2 (余1)<br>
2 / 1 = 2 (余0)<br>
至此，最大公约数为1<br>
以除数和余数反复做除法运算，当余数为 0 时，取当前算式除数为最大公约数，所以就得出了 1997 和 615 的最大公约数 1。<br>

In [3]:
def gcd(n, m):
    if n>m:
        x=n%m
        if x==0:
            return m
        return gcd(x, m)
    elif n<m:
        return gcd(m, n)

print(gcd(1997, 615))
print(gcd(12, 8))

1
4


## 群环域的基本概念
$Z_n$ 定义为所有$0...n-1$的整数，如果定义加法为模$n$的约简加法，这个加法满足结合律，即$a+b+c=(a+b)+c=a+(b+c)$，同时很容易证明$Z_n$在加法下是封闭的，这是群最重要的特征，群的另外二个特点是有单位元和逆元，也容易验证$Z_n$都满足。如果在$Z_n$上再定义一个乘法为模$n$的约简乘法，虽然它是封闭和满足结合率，但是在乘法上可能没有逆元，例如3在$Z_6$下就是没有逆元的。不满足有逆元的条件，但定义了两种运算，其中一种运算称之为加法，满足群的特征，另外的运算称之为乘法，满足封闭性、结合律、分配率，这种代数结构称之为环，因此$Z_n$就是一个典型的环。如果对环的定义再修改下，要求两种运算都是群（乘法群里零元可以没有逆元），则为域，因此域是环的一种，例如有理数域是最小的数域，推而广之，有实数域、复数域等，另外还有在密码学里常用到的有限域(Finite Field)。有限域中我们经常用到的是素数域，所谓素数域，就是阶为素数的有限域。比如当 $p$ 为素数时，整数环 $Z_p $ 就是一个素数域，可以记作 $F_p$。

## 欧拉定理、费马小定理

欧拉定理指的是，任意一个小于n，且与n互质的正整数，$\beta$，一定满足$\beta^{\phi(n)}=1 (\% n) $  <br>
有一个重要的推论即费马小定理，p为素数，$\beta\in Z_p $，则$\beta^{p}=\beta (\% p) $ <br>
欧拉定理和费马小定理的应用非常广，例如求$F_p$元素$\beta$的逆元$\beta^{-1} = \beta^{p-2} $。下文讲到的RSA算法其证明也需要用到欧拉定理。

## RSA算法

RSA算法是最早实现的一个双素数密码体系，其加密算法原理如下：<br>
（1）任意选取两个不同的大素数p和q计算乘积 $n=pq$； <br>
（2）任意选取一个大整数e，满足 e与$\phi(n)$互质 ，整数e用做加密钥（注意：e的选取是很容易的，例如，所有大于p和q的素数都可用；<br>
（3）确定的解密钥d，满足 $d*e=1 (mod \phi(n))$，若知道e和n，则很容易计算出d ；<br>
（4）公开整数n和e，秘密保存d ；<br>
（5）将明文m（m<n是一个整数）加密成密文c，加密算法为 $c=m^e mod n $ <br>
（6）将密文c解密为明文m，解密算法为 $c^d mod n $ <br>
具体证明要用到欧拉定理，此处就不展开了。 <br>

RSA还可以用于签名，签名算法如下： <br>
（1）消息签名者Alice任意选取两个不同的大素数p和q计算乘积 $n=pq$； <br>
（2）任意选取一个大整数e，满足 e与$\phi(n)$互质 ，整数e用做加密钥（即私钥）；<br>
（3）确定的解密钥d即公钥，满足 $d*e=1 (mod \phi(n))$，若知道e和n，则很容易计算出d ；<br>
（4）公开整数n和d，秘密保存e ；<br>
（5）将明文m（m<n是一个整数）签名成s，$s=m^e mod n $ , m和s都公开<br>
（6）验证签名时，收到公钥d、明文m和签名s，验签算法为 $s^d mod n == m? $ 若计算得到的结果与m相等，则验证成功否则验证失败<br>


In [29]:
p=11
q=13
n=p*q
phi=(p-1)*(q-1)
pri_k=23
def exgcd(a, b):  #求a模b的乘法逆元，如果b是素数，可以用费马小定理，一般情况下要用扩展欧几里得算法实现，本文简单查表
    for d in range(b):
        if (d!=0) and (a*d % b == 1):
            return d
        
pub_k=exgcd(pri_k, phi)
def crypt(m):
    c = m**pub_k % n
    return c
def decrypt(c):
    m = c**pri_k % n
    return m
msg=88 #待加密或签名的明文
c=crypt(msg)
print(c)
m=decrypt(c)
print(m)

121
88
