多素数RSA系统简介

普通的RSA系统，在生成密钥时使用两个大素数，以它们的乘积作为模。本文介绍一种PKCS#1 V2.1中描述的“多素数RSA系统”，它可以使用超过两个素数的乘积作为模。

多素数RSA密钥产生算法如下：

1. 生成k个素数p1, p2, …, pk

2. 求k个素数的乘积n=∏pi, i=1,2,…,k

3. 求Euler函数值φ(n)=∏(pi-1)

4. 选择指数e, 使得gcd(e,φ(n))=1

5. 求指数d=e-1 mod φ(n)

6. 输出公钥(e,n)和私钥(d,n)

多素数RSA加密和解密算法与普通RSA的相同：

加密 c=me mod n

解密 m=cd mod n

例如，在三素数RSA系统中，设p1=3，p2=7，p3=13，则

n=3×7×13=273，φ(n)= 2×6×12=144，选择e=5，推出d=29。

得到公钥为(5,273)，私钥为(29,273)。

设明文为m=18，则加密过程为

c= me mod n=185 mod 273=135，

解密过程为

m= cd mod n =13529 mod 273=18

显然，要达到相同的密钥位数（模的位数），多素数RSA系统比普通RSA系统所需要的素数要小。因此，多素数RSA算法的优点主要表现在两个方面：

1. 能够减少生成密钥的计算量。

2. 应用孙子定理（中国剩余定理），能够减少解密、签名的计算量。

另一方面，素因子越小，大数分解就越容易。RSA实验室公布的数据显示，使用的素数越多，RSA强度越低。下表列出了攻破2至多素数RSA系统所需要的运算量(单位：MIPS·年)。

密钥长度

2素数(普通)

3素数

4素数

5素数

512 bits

2.1 x 106

容易

很容易

非常容易

768 bits

4.0 x 1011

1.2 x 108

容易

很容易

1024 bits

1.4 x 1016

3.0 x 1011

2.1 x 108

容易

1536 bits

8.2 x 1023

1.8 x 1017

1.9 x 1013

4.2 x 1010

2048 bits

3.8 x 1030

1.5 x 1022

3.2 x 1017

2.3 x 1014

可见，多素数RSA系统还是具有一定实用价值的。在实际应用中，采取普通还是多素数RSA系统，应视具体情况而定。

[相关资源]

l RFC 3447 - PKCS #1: RSA Cryptography Specifications Version 2.1

l A Cost-Based Security Analysis of Symmetric and Asymmetric Key Lengths

l bhw98的专栏：http://www.csdn.net/develop/author/netauthor/bhw98/

首次发布: 2003-10-24

最后修订: 2003-10-24