跨越千年的RSA算法.docx

1、跨越千年的RSA算法跨越千年的RSA算法大升刷票 整理数论，数学中的皇冠，最纯粹的数学。早在古希腊时代，人们就开始痴迷地研究数字，沉浸于这个几乎没有任何实用价值的思维游戏中。直到计算机诞生之后，几千年来的数论研究成果突然有了实际的应用，这个过程可以说是最为激动人心的数学话题之一。最近我在程序员杂志上连载了跨越千年的 RSA 算法，但受篇幅限制，只有一万字左右的内容。其实，从数论到 RSA 算法，里面的数学之美哪里是一万字能扯完的？在写作的过程中，我查了很多资料，找到了很多漂亮的例子，也积累了很多个人的思考，但最终都因为篇幅原因没有加进程序员的文章中。今天，我想重新梳理一下线索，把所有值得分享的

2、内容一次性地呈现在这篇长文中，希望大家会有所收获。需要注意的是，本文有意为了照顾可读性而牺牲了严谨性。很多具体内容都仅作了直观解释，一些“显然如此”的细节实际上是需要证明的。如果你希望看到有关定理及其证明的严格表述，可以参见任意一本初等数论的书。把本文作为初等数论的学习读物是非常危险的。最后，希望大家能够积极指出文章中的缺陷，我会不断地做出修改。= 更新记录 =2012 年 12 月 15 日：发布全文。= 目录 =（一）可公度线段（二）中国剩余定理（三）扩展的辗转相除（四）Fermat 小定理（五）公钥加密的可能性（六）RSA 算法（一）可公度线段Euclid ，中文译作“欧几里得”，古希腊

3、数学家。他用公理化系统的方法归纳整理了当时的几何理论，并写成了伟大的数学著作几何原本，因而被后人称作“几何学之父”。有趣的是，几何原本一书里并不全讲的几何。全书共有十三卷，第七卷到第十卷所讨论的实际上是数论问题只不过是以几何的方式来描述的。在几何原本中，数的大小用线段的长度来表示，越长的线段就表示越大的数。很多数字与数字之间的简单关系，在几何原本中都有对应的几何语言。例如，若数字 a 是数字 b 的整倍数，在几何原本中就表达为，长度为 a 的线段可以用长度为 b 的线段来度量。比方说，黑板的长度是 2.7 米，一支铅笔的长度是 18 厘米，你会发现黑板的长度正好等于 15 个铅笔的长度。我们就

4、说，铅笔的长度可以用来度量黑板的长度。如果一张课桌的长度是 117 厘米，那么 6 个铅笔的长度不够课桌长， 7 个铅笔的长度又超过了课桌长，因而我们就无法用铅笔来度量课桌的长度了。哦，当然，实际上课桌长相当于 6.5 个铅笔长，但是铅笔上又没有刻度，我们用铅笔来度量课桌时，怎么知道最终结果是 6.5 个铅笔长呢？因而，只有 a 恰好是 b 的整数倍时，我们才说 b 可以度量 a 。给定两条长度不同的线段 a 和 b ，如果能够找到第三条线段 c ，它既可以度量 a ，又可以度量 b ，我们就说 a 和 b 是可公度的（ commensurable ，也叫做可通约的）， c 就是 a 和 b

5、的一个公度单位。举个例子： 1 英寸和 1 厘米是可公度的吗？历史上，英寸和厘米的换算关系不断在变，但现在，英寸已经有了一个明确的定义： 1 英寸精确地等于 2.54 厘米。因此，我们可以把 0.2 毫米当作单位长度，它就可以同时用于度量 1 英寸和 1 厘米： 1 英寸将正好等于 127 个单位长度， 1 厘米将正好等于 50 个单位长度。实际上， 0.1 毫米、 0.04 毫米 、 (0.2 / 3) 毫米也都可以用作 1 英寸和 1 厘米的公度单位，不过 0.2 毫米是最大的公度单位。等等，我们怎么知道 0.2 毫米是最大的公度单位？更一般地，任意给定两条线段后，我们怎么求出这两条线段的

6、最大公度单位呢？在几何原本第七卷的命题 2 当中， Euclid 给出了一种求最大公度单位的通用算法，这就是后来所说的 Euclid 算法。这种方法其实非常直观。假如我们要求线段 a 和线段 b 的最大公度单位，不妨假设 a 比 b 更长。如果 b 正好能度量 a ，那么考虑到 b 当然也能度量它自身，因而 b 就是 a 和 b 的一个公度单位；如果 b 不能度量 a ，这说明 a 的长度等于 b 的某个整倍数，再加上一个零头。我们不妨把这个零头的长度记作 c 。如果有某条线段能够同时度量 b 和 c ，那么它显然也就能度量 a 。也就是说，为了找到 a 和 b 的公度单位，我们只需要去寻找

7、b 和 c 的公度单位即可。怎样找呢？我们故技重施，看看 c 是否能正好度量 b 。如果 c 正好能度量 b ，c 就是 b 和 c 的公度单位，从而也就是 a 和 b 的公度单位；如果 c 不能度量 b ，那看一看 b 被 c 度量之后剩余的零头，把它记作 d ，然后继续用 d 度量 c ，并不断这样继续下去，直到某一步没有零头了为止。我们还是来看一个实际的例子吧。让我们试着找出 690 和 2202 的公度单位。显然， 1 是它们的一个公度单位， 2 也是它们的一个公度单位。我们希望用 Euclid 的算法求出它们的最大公度单位。首先，用 690 去度量 2202 ，结果发现 3 个 69

8、0 等于 2070 ，度量 2202 时会有一个大小为 132 的零头。接下来，我们用 132 去度量 690 ，这将会产生一个 690 - 132 5 = 30 的零头。用 30 去度量 132 ，仍然会有一个大小为 132 - 30 4 = 12 零头。再用 12 去度量 30 ，零头为 30 - 12 2 = 6 。最后，我们用 6 去度量 12 ，你会发现这回终于没有零头了。因此， 6 就是 6 和 12 的一个公度单位，从而是 12 和 30 的公度单位，从而是 30 和 132 的公度单位，从而是 132 和 690 的公度单位，从而是 690 和 2202 的公度单位。我们不妨把

9、 Euclid 算法对 a 和 b 进行这番折腾后得到的结果记作 x 。从上面的描述中我们看出， x 确实是 a 和 b 的公度单位。不过，它为什么一定是最大的公度单位呢？为了说明这一点，下面我们来证明，事实上， a 和 b 的任意一个公度单位一定能够度量 x ，从而不会超过 x 。如果某条长为 y 的线段能同时度量 a 和 b ，那么注意到，它能度量 b 就意味着它能度量 b 的任意整倍数，要想让它也能度量 a 的话，只需而且必需让它能够度量 c 。于是， y 也就能够同时度量 b 和 c ，根据同样的道理，这又可以推出 y 一定能度量 d 因此，最后你会发现， y 一定能度量 x 。用现在

10、的话来讲，求两条线段的最大公度单位，实际上就是求两个数的最大公约数最大的能同时整除这两个数的数。用现在的话来描述 Euclid 算法也会简明得多：假设刚开始的两个数是 a 和 b ，其中 a b ，那么把 a 除以 b 的余数记作 c ，把 b 除以 c 的余数记作 d ，c 除以 d 余 e ， d 除以 e 余 f ，等等等等，不断拿上一步的除数去除以上一步的余数。直到某一次除法余数为 0 了，那么此时的除数就是最终结果。因此， Euclid 算法又有一个形象的名字，叫做“辗转相除法”。辗转相除法的效率非常高，刚才大家已经看到了，计算 690 和 2202 的最大公约数时，我们依次得到的余

11、数是 132, 30, 12, 6 ，做第 5 次除法时就除尽了。实际上，我们可以大致估计出辗转相除法的效率。第一次做除法时，我们是用 a 来除以 b ，把余数记作 c 。如果 b 的值不超过 a 的一半，那么 c 更不会超过 a 的一半（因为余数小于除数）；如果 b 的值超过了 a 的一半，那么显然 c 直接就等于 a - b ，同样小于 a 的一半。因此，不管怎样， c 都会小于 a 的一半。下一步轮到 b 除以 c ，根据同样的道理，所得的余数 d 会小于 b 的一半。接下来， e 将小于 c 的一半， f 将小于 d 的一半，等等等等。按照这种速度递减下去的话，即使最开始的数是上百位的

12、大数，不到 1000 次除法就会变成一位数（如果算法没有提前结束的话），交给计算机来执行的话保证秒杀。用专业的说法就是，辗转相除法的运算次数是对数级别的。很长一段时间里，古希腊人都认为，任意两条线段都是可以公度的，我们只需要做一遍辗转相除便能把这个公度单位给找出来。事实真的如此吗？辗转相除法有可能失效吗？我们至少能想到一种可能：会不会有两条长度关系非常特殊的线段，让辗转相除永远达不到终止的条件，从而根本不能算出一个“最终结果”？注意，线段的长度不一定（也几乎不可能）恰好是整数或者有限小数，它们往往是一些根本不能用有限的方式精确表示出来的数。考虑到这一点，两条线段不可公度完全是有可能的。为了让两

13、条线段辗转相除永远除不尽，我们有一种绝妙的构造思路：让线段 a 和 b 的比值恰好等于线段 b 和 c 的比值。这样，辗转相除一次后，两数的关系又回到了起点。今后每一次辗转相除，余数总会占据除数的某个相同的比例，于是永远不会出现除尽的情况。不妨假设一种最为简单的情况，即 a 最多只能包含一个 b 的长度，此时 c 等于 a - b 。解方程 a / b = b / (a - b) 可以得到 a : b = 1 : (5- 1) / 2 ，约等于一个大家非常熟悉的比值 1: 0.618 。于是我们马上得出：成黄金比例的两条线段是不可公度的。更典型的例子则是，正方形的边长和对角线是不可公度的。让我

14、们画个图来说明这一点。如图，我们试着用辗转相除求出边长 AB 和对角线 AC 的最大公度单位。按照规则，第一步我们应该用 AB 去度量 AC ，假设所得的零头是 EC 。下一步，我们应该用 EC 去度量 AB ，或者说用 EC 去度量 BC （反正正方形各边都相等）。让我们以 EC 为边作一个小正方形 CEFG ，容易看出 F 点将正好落在 BC 上，同时三角形 AEF 和三角形 ABF 将会由于 HL 全等。因此， EC = EF = BF 。注意到 BC 上已经有一段 BF 和 EC 是相等的了，因而我们用 EC 去度量 BC 所剩的零头，也就相当于用 EC 去度量 FC 所剩的零头。结果

15、又回到了最初的局面寻找正方形的边长和对角线的公度单位。因而，辗转相除永远不会结束。线段 AB 的长度和线段 AC 的长度不能公度，它们处于两个不同的世界中。如果正方形 ABCD 的边长 1 ，正方形的面积也就是 1 。从上图中可以看到，若以对角线 AC 为边做一个大正方形，它的面积就该是 2 。因而， AC 就应该是一个与自身相乘之后恰好等于 2 的数，我们通常把这个数记作 2。几何原本的第十卷专门研究不可公度量，其中就有一段 1 和 2不可公度的证明，但所用的方法不是我们上面讲的这种，而更接近于课本上的证明：设 2= p / q ，其中 p / q 已是最简分数，但推着推着就发现，这将意味着

16、 p 和 q 都是偶数，与最简分数的假设矛盾。用今天的话来讲， 1 和 2不可公度，实际上相当于是说 2是无理数。因此，古希腊人发现了无理数，这确实当属不争的事实。奇怪的是，无理数的发现常常会几乎毫无根据地归功于一个史料记载严重不足的古希腊数学家 Hippasus 。根据各种不靠谱的描述， Hippasus 的发现触犯了 Pythagoras （古希腊哲学家）的教条，最后被溺死在了海里。可公度线段和不可公度线段的概念与有理数和无理数的概念非常接近，我们甚至可以说明这两个概念是等价的它们之间有一种很巧妙的等价关系。注意到，即使 a 和 b 本身都是无理数， a 和 b 还是有可能被公度的，例如

17、a = 2并且 b = 2 2的时候。不过，有一件事我们可以肯定： a 和 b 的比值一定是一个有理数。事实上，可以证明，线段 a 和 b 是可公度的，当且仅当 a / b 是一个有理数。线段 a 和 b 是可公度的，说明存在一个 c 以及两个整数 m 和 n ，使得 a = m c ，并且 b = n c 。于是 a / b = (m c) / (n c) = m / n ，这是一个有理数。反过来，如果 a / b 是一个有理数，说明存在整数 m 和 n 使得 a / b = m / n ，等式变形后可得 a / m = b / n ，令这个商为 c ，那么 c 就可以作为 a 和 b 的公

18、度单位。有时候，“是否可以公度”的说法甚至比“是否有理”更好一些，因为这是一个相对的概念，不是一个绝对的概念。当我们遇到生活当中的某个物理量时，我们绝不能指着它就说“这是一个有理的量”或者“这是一个无理的量”，我们只能说，以某某某（比如 1 厘米、 1 英寸、 0.2 毫米或者一支铅笔的长度等等）作为单位来衡量时，这是一个有理的量或者无理的量。考虑到所选用的单位长度本身也是由另一个物理量定义出来的（比如 1 米被定义为光在真空中 1 秒走过的路程的 1 / 299792458 ），因而在讨论一个物理量是否是有理数时，我们讨论的其实是两个物理量是否可以被公度。（二）中国剩余定理如果两个正整数的最

19、大公约数为 1 ，我们就说这两个数是互质的。这是一个非常重要的概念。如果 a 和 b 互质，这就意味着分数 a / b 已经不能再约分了，意味着 a b 的棋盘的对角线不会经过中间的任何交叉点，意味着循环长度分别为 a 和 b 的两个周期性事件一同上演，则新的循环长度最短为 a b 。最后一点可能需要一些解释。让我们来举些例子。假如有 1 路和 2 路两种公交车，其中 1 路车每 6 分钟一班，2 路车每 8 分钟一班。如果你刚刚错过两路公交车同时出发的壮景，那么下一次再遇到这样的事情是多少分钟之后呢？当然， 6 8 = 48 分钟，这是一个正确的答案，此时 1 路公交车正好是第 8 班， 2

20、 路公交车正好是第 6 班。不过，实际上，在第 24 分钟就已经出现了两车再次同发的情况了，此时 1 路车正好是第 4 班， 2 路车正好是第 3 班。但是，如果把例子中的 6 分钟和 8 分钟分别改成 4 分钟和 7 分钟，那么要想等到两车再次同发，等到第 4 7 = 28 分钟是必需的。类似的，假如某一首歌的长度正好是 6 分钟，另一首歌的长度正好是 8 分钟，让两首歌各自循环播放， 6 8 = 48 分钟之后你听到的“合声”将会重复，但实际上第 24 分钟就已经开始重复了。但若两首歌的长度分别是 4 分钟和 7 分钟，则必需到第 4 7 = 28 分钟之后才有重复，循环现象不会提前发生。

21、究其原因，其实就是，对于任意两个数，两个数的乘积一定是它们的一个公倍数，但若这两个数互质，则它们的乘积一定是它们的最小公倍数。事实上，我们还能证明一个更强的结论： a 和 b 的最大公约数和最小公倍数的乘积，一定等于 a 和 b 的乘积。在第四节中，我们会给出一个证明。很多更复杂的数学现象也都跟互质有关。孙子算经卷下第二十六问：“今有物，不知其数。三、三数之，剩二；五、五数之，剩三；七、七数之，剩二。问物几何？答曰：二十三。”翻译过来，就是有一堆东西，三个三个数余 2 ，五个五个数余 3 ，七个七个数余 2 ，问这堆东西有多少个？孙子算经给出的答案是 23 个。当然，这个问题还有很多其他的解。

22、由于 105 = 3 5 7 ，因而 105 这个数被 3 除、被 5 除、被 7 除都能除尽。所以，在 23 的基础上额外加上一个 105 ，得到的 128 也是满足要求的解。当然，我们还可以在 23 的基础上加上 2 个 105 ，加上 3 个 105 ，等等，所得的数都满足要求。除了形如 23 + 105n 的数以外，还有别的解吗？没有了。事实上，不管物体总数除以 3 的余数、除以 5 的余数以及除以 7 的余数分别是多少，在 0 到 104 当中总存在唯一解；在这个解的基础上再加上 105 的整倍数后，可以得到其他所有的正整数解。后人将其表述为“中国剩余定理”：给出 m 个两两互质的整

23、数，它们的乘积为 P ；假设有一个未知数 M ，如果我们已知 M 分别除以这 m 个数所得的余数，那么在 0 到 P - 1 的范围内，我们可以唯一地确定这个 M 。这可以看作是 M 的一个特解。其他所有满足要求的 M ，则正好是那些除以 P 之后余数等于这个特解的数。注意，除数互质的条件是必需的，否则结论就不成立了。比如说，在 0 到 7 的范围内，除以 4 余 1 并且除以 2 也余 1 的数有 2 个，除以 4 余 1 并且除以 2 余 0 的数则一个也没有。从某种角度来说，中国剩余定理几乎是显然的。让我们以两个除数的情况为例，来说明中国剩余定理背后的直觉吧。假设两个除数分别是 4 和

24、7 。下表显示的就是各自然数除以 4 和除以 7 的余数情况，其中 x mod y 表示 x 除以 y 的余数，这个记号后面还会用到。i012345678910111213141516171819i mod 401230123012301230123i mod 701234560123456012345i2021222324252627282930313233343536373839i mod 401230123012301230123i mod 760123456012345601234i mod 4 的值显然是以 4 为周期在循环， i mod 7 的值显然是以 7 为周期在循环。由于 4

25、 和 7 是互质的，它们的最小公倍数是 4 7 = 28 ，因而 (i mod 4, i mod 7) 的循环周期是 28 ，不会更短。因此，当 i 从 0 增加到 27 时， (i mod 4, i mod 7) 的值始终没有出现重复。但是， (i mod 4, i mod 7) 也就只有 4 7 = 28 种不同的取值，因而它们正好既无重复又无遗漏地分给了 0 到 27 之间的数。这说明，每个特定的余数组合都在前 28 项中出现过，并且都只出现过一次。在此之后，余数组合将产生长度为 28 的循环，于是每个特定的余数组合都将会以 28 为周期重复出现。这正是中国剩余定理的内容。中国剩余定理有

26、很多漂亮的应用，这里我想说一个我最喜欢的。设想这样一个场景：总部打算把一份秘密文件发送给 5 名特工，但直接把文件原封不动地发给每个人，很难保障安全性。万一有特工背叛或者被捕，把秘密泄露给了敌人怎么办？于是就有了电影和小说中经常出现的情节：把绝密文件拆成 5 份， 5 名特工各自只持有文件的 1/5 。不过，原来的问题并没有彻底解决，我们只能祈祷坏人窃取到的并不是最关键的文件片段。因此，更好的做法是对原文件进行加密，每名特工只持有密码的 1/5 ，这 5 名特工需要同时在场才能获取文件全文。但这也有一个隐患：如果真的有特工被抓了，当坏人们发现只拿到其中一份密码没有任何用处的同时，特工们也会因为

27、少一份密码无法解开全文而烦恼。此时，你或许会想，是否有什么办法能够让特工们仍然可以恢复原文，即使一部分特工被抓住了？换句话说，有没有什么密文发布方式，使得只要 5 个人中半数以上的人在场就可以解开绝密文件？这样的话，坏人必须要能操纵半数以上的特工才可能对秘密文件造成实质性的影响。这种秘密共享方式被称为 (3, 5) 门限方案，意即 5 个人中至少 3 人在场才能解开密文。利用中国剩余定理，我们可以得到一种巧妙的方案。回想中国剩余定理的内容：给定 m 个两两互质的整数，它们的乘积为 P ；假设有一个未知数 M ，如果我们已知 M 分别除以这 m 个数所得的余数，那么在 0 到 P - 1 的范围

28、内，我们可以唯一地确定这个 M 。我们可以想办法构造这样一种情况， n 个数之中任意 m 个的乘积都比 M 大，但是任意 m - 1 个数的乘积就比 M 小。这样，任意 m 个除数就能唯一地确定 M ，但 m - 1 个数就不足以求出 M 来。 Mignotte 门限方案就用到了这样一个思路。我们选取 n 个两两互质的数，使得最小的 m 个数的乘积比最大的 m - 1 个数的乘积还大。例如，在 (3, 5) 门限方案中，我们可以取 53 、 59 、 64 、 67 、 71 这 5 个数，前面 3 个数乘起来得 200128 ，而后面两个数相乘才得 4757 。我们把文件的密码设为一个 47

29、57 和 200128 之间的整数，比如 123456 。分别算出 123456 除以上面那 5 个数的余数，得到 19 、 28 、 0 、 42 、 58 。然后，把 (53, 19) 、 (59, 28) 、 (64, 0) 、 (67, 42) 、 (71, 58) 分别告诉 5 名特工，也就是说特工 1 只知道密码除以 53 余 19 ，特工 2 只知道密码除以 59 余 28 ，等等。这样，根据中国剩余定理，任意 3 名特工碰头后就可以唯一地确定出 123456 ，但根据 2 名特工手中的信息只能得到成百上千个不定解。例如，假设我们知道了 x 除以 59 余 28 ，也知道了 x

30、除以 67 余 42 ，那么我们只能确定在 0 和 59 67 - 1 之间有一个解 913 ，在 913 的基础上加上 59 67 的整倍数，可以得到其他满足要求的 x ，而真正的 M 则可以是其中的任意一个数。不过，为了让 Mignotte 门限方案真正可行，我们还需要一种根据余数信息反推出 M 的方法。换句话说，我们需要有一种通用的方法，能够回答孙子算经中提出的那个问题。我们会在下一节中讲到。（三）扩展的辗转相除中国剩余定理是一个很基本的定理。很多数学现象都可以用中国剩余定理来解释。背九九乘法口诀表时，你或许会发现，写下 3 1, 3 2, ., 3 9 ，它们的个位数正好遍历了 1 到

31、 9 所有的情况。 7 的倍数、 9 的倍数也是如此，但 2 、 4 、 5 、 6 、 8 就不行。 3 、 7 、 9 这三个数究竟有什么特别的地方呢？秘密就在于， 3 、 7 、 9 都是和 10 互质的。比如说 3 ，由于 3 和 10 是互质的，那么根据中国剩余定理，在 0 到 29 之间一定有这样一个数，它除以 3 余 0 ，并且除以 10 余 1 。它将会是 3 的某个整倍数，并且个位为 1 。同样的，在 0 到 29 之间也一定有一个 3 的整倍数，它的个位是 2 ；在 0 到 29 之间也一定有一个 3 的整倍数，它的个位是 3 而在 0 到 29 之间，除掉 0 以外， 3 的整倍数正好有 9 个，于是它们的末位就正好既无重复又无遗漏地取遍了 1 到 9 所有的数字。这表明，如果 a 和 n 互质，那么 a x mod n = 1 、 a x mod n = 2 等所有方程都是有解的。 18 世纪的法国数学家 tienne Bzout 曾经证明了一个基本上与