加解密模式分析 - Rabin 加密算法
Rabin 加密算法是一种基于大数分解问题的非对称加密算法。它由 Michael O. Rabin 在 1979 年提出,具有与 RSA 类似的安全性,但在某些方面具有更高的效率。
在本章中,我们将深入分析 Rabin 加密算法的核心原理和实现细节。我们将从 Rabin 的数学基础开始,逐步揭示其加密和解密过程中的关键步骤。通过对 Rabin 算法的详细解析,你将能够理解它是如何利用大数分解的困难性来确保数据安全的。
Rabin 加密过程 😁
Rabin 加密算法的加密过程与 RSA 类似,甚至我们可以将其视为 RSA 的一个特例。
既然前面已经介绍了 RSA 的加密过程,我们直接点明 Rabin 加密算法的加密不同之处:
在选择公钥时,Rabin 加密算法选择 $e = 2$,而不是 RSA 中常用的 $e = 65537$。
因此,Rabin 的加密公式如下:
其中 $n = p \times q$,$p$ 和 $q$ 是两个大素数。
Rabin 加密数学原理 😇
Rabin 加密算法的安全性同样基于大数分解的困难性。对于一个足够大的 $n$,分解 $n$ 成其素因数 $p$ 和 $q$ 是非常困难的。这意味着攻击者无法轻易地从公钥 $(2, n)$ 中推断出私钥,从而无法解密密文。
Rabin 加密算法的解密过程相较于 RSA 更为复杂,因为平方根的计算比指数运算更为困难。具体来说,解密过程需要计算 $C$ 的平方根,这涉及到求解二次剩余问题。
而且,Rabin 加密算法的解密结果经过中国剩余定理(CRT)合并后有四个不同的平方根,因此需要额外的信息来确定正确的解密结果,当然一般情况下直接将所有结果都输出就行。
我们可以直接使用 Tonelli-Shanks 算法 来计算平方根,或者在选择 $p$ 和 $q$ 时满足 $p \equiv 3 \mod 4$ 和 $q \equiv 3 \mod 4$,这样可以简化平方根的计算过程。
Rabin 加密算法实现 🥰
下面是一个简单的 Rabin 加密算法的 Python 实现示例:
from sage.all import random_prime, crt
# Bob 密钥生成阶段
bits = 256
upper = pow(2, bits)
lower = pow(2, bits - 1)
# 生成满足 p ≡ 3 mod 4, q ≡ 3 mod 4 的素数,简化平方根计算
while True:
p = random_prime(upper, lbound=lower)
if p % 4 == 3:
break
while True:
q = random_prime(upper, lbound=lower)
if q % 4 == 3 and q != p:
break
n = p * q
e = 2
public_key = (e, n)
private_key = (p, q)
# Alice 加密阶段
M = "hello_Bob"
long_M = int.from_bytes(M.encode(), 'big')
C = pow(long_M, e, n)
# Bob 解密阶段
# 1. 计算模p和模q下的所有平方根(共2×2=4种组合)
# 因为 p, q ≡ 3 mod 4,直接用公式计算平方根
mp1 = pow(C, (p + 1) // 4, p)
mp2 = p - mp1
mq1 = pow(C, (q + 1) // 4, q)
mq2 = q - mq1
print(f"模p的平方根: {mp1}, {mp2}")
print(f"模q的平方根: {mq1}, {mq2}")
# 2. 用CRT合并4种组合,得到4个候选明文
candidates = [
crt([mp1, mq1], [p, q]),
crt([mp1, mq2], [p, q]),
crt([mp2, mq1], [p, q]),
crt([mp2, mq2], [p, q])
]
# 3. 遍历候选值,还原出正确的明文
for candidate in candidates:
# 转换为 Python 原生 int 后再转 bytes
cand_int = int(candidate)
candidate_bytes = cand_int.to_bytes((cand_int.bit_length() + 7) // 8, byteorder='big')
try:
# 尝试用 utf-8 解码
flag = candidate_bytes.decode()
print(flag)
except UnicodeDecodeError:
# 解码失败时跳过这个候选值
continue
实际上由于 sage 中的整数类型和 python 中的整数类型不同,所以在非必要情况下不要纯使用sage函数进行算法实现,可以多使用python的密码学库使用。
以下是一个实现:
from Crypto.Util.number import getPrime, inverse, long_to_bytes, bytes_to_long
# Bob 密钥生成阶段
p = getPrime(256)
while p % 4 != 3:
p = getPrime(256)
q = getPrime(256)
while q % 4 != 3 or q == p:
q = getPrime(256)
n = p * q
e = 2
public_key = (e, n)
private_key = (p, q)
# Alice 加密阶段
M = "hello_Bob"
long_M = bytes_to_long(M.encode())
# 重要:确保明文的平方小于n,否则加密会出错
C = pow(long_M, e, n)
# Bob 解密阶段
mp1 = pow(C, (p + 1) // 4, p)
mp2 = (p - mp1) % p
mq1 = pow(C, (q + 1) // 4, q)
mq2 = (q - mq1) % q
# 修复CRT计算逻辑
inv_q_mod_p = inverse(q, p) # q在模p下的逆元
inv_p_mod_q = inverse(p, q) # p在模q下的逆元
candidates = [
(mp1 * q * inv_q_mod_p + mq1 * p * inv_p_mod_q) % n,
(mp1 * q * inv_q_mod_p + mq2 * p * inv_p_mod_q) % n,
(mp2 * q * inv_q_mod_p + mq1 * p * inv_p_mod_q) % n,
(mp2 * q * inv_q_mod_p + mq2 * p * inv_p_mod_q) % n,
]
# 遍历候选值,还原出正确的明文
flag = None # 初始化flag
for idx, candidate in enumerate(candidates):
try:
# 尝试解码
decoded_str = long_to_bytes(candidate).decode()
# 只有成功解码的才赋值给flag
flag = decoded_str
print(flag)
except (UnicodeDecodeError, ValueError):
continue
上一章:加解密模式分析 - RSA 加密算法 👈
下一章:加解密模式分析 - ElGamal 加密算法 👈
回到开始:关于我 👈
相关链接:
密码学数学基础 - 同余关系与模运算 👈
密码学数学基础 - 二次剩余 👈
密码学算法 - 中国剩余定理CRT 👈
密码学算法 - Tonelli-Shanks算法 👈
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Alice and Bobの神秘小屋!
相关推荐
2026-03-01
加解密模式分析 - RSA 加密算法
RSA 加密算法,作为非对称加密的代表作之一,已经成为现代密码学中不可或缺的基石。它不仅在数据加密、数字签名等领域发挥着重要作用,还在互联网安全、电子商务等实际应用中得到了广泛的应用。 在本章中,我们将深入分析 RSA 加密算法的核心原理和实现细节。我们将从 RSA 的数学基础开始,逐步揭示其加密和解密过程中的关键步骤。通过对 RSA 算法的详细解析,你将能够理解它是如何利用大数分解的困难性来确保数据安全的。 RSA 加密过程 😁一天,Alice 想要向 Bob 发送一条秘密消息。为了确保消息的安全性,Alice 决定使用 RSA 加密算法。 首先,Bob 先选取两个大素数 $p$ 和 $q$,并计算它们的乘积 $n = p \times q$。接着,Bob 计算 $\phi(n) = (p-1)(q-1)$,并选择一个整数 $e$,满足 $1 < e < \phi(n)$ 且 $\gcd(e, \phi(n)) = 1$。最后,Bob 计算 $d$,使得 $d \equiv e^{-1} \mod \phi(n)$。Bob 将公钥 $(e, n)$ 发送给 Ali...
2026-03-16
加解密模式分析 - 背包加密算法
今天我们将分析背包加密算法(Knapsack Cryptosystem),这是一种基于陷门问题的非对称加密算法。背包加密算法的安全性依赖于背包问题的困难性,这使得它成为一个有趣的研究对象。 不过,我们要知道,所有基于超递增序列和模变换的背包,其陷门结构存在致命漏洞:模乘法无法完全隐藏超递增序列的结构,格基规约(LLL) 可高效还原私钥。所以绝大多数背包加密都已破解,不再使用了,但它的设计思想和分析方法对于理解现代密码学的原理仍然非常有帮助。 这里我们只介绍最经典的 Merkle-Hellman 背包加密算法,其他的背包加密算法基本上都是在这个基础上进行改进的,只有部分是基于格的(但我们不在这里讲解)。 Merkle-Hellman 背包加密数学原理 😇Merkle-Hellman 背包加密的安全性基于背包问题的困难性。 背包问题是指给定一组物品的重量和一个背包的容量,判断是否存在一种组合使得物品的总重量恰好等于背包的容量。 举个例子:有集合 $A = {3, 5, 7}$ 和一个背包容量 $C = 10$,我们需要判断是否存在一个子集 $S \subseteq A$ 使得 $\...
2026-03-01
加解密模式分析 - ElGamal 加密算法
ElGamal 加密算法,作为非对称加密的经典方案之一,基于离散对数问题的困难性,为数据加密和数字签名提供了强大的安全保障。它在实际应用中被广泛采用,尤其是在需要高安全性的场景中。 在本章中,我们将深入分析 ElGamal 加密算法的核心原理和实现细节。我们将从 ElGamal 的数学基础开始,逐步揭示其加密和解密过程中的关键步骤。通过对 ElGamal 算法的详细解析,你将能够理解它是如何利用离散对数问题的困难性来确保数据安全的。 ElGamal 加密数学原理 😇ElGamal 加密算法的安全性基于离散对数问题的困难性。首先,对于乘法群 $(Z_p^*, \times)$,其阶数为 $p-1$,通过 $g$ 的幂次运算,可以生成群中的所有元素。 而对于一个足够大的素数 $p$ 和生成元 $g$,计算 $y = g^x \mod p$ 的离散对数 $x$ 是非常困难的。这意味着攻击者无法轻易地从公钥 $y$ 中推断出私钥 $x$,从而无法解密密文。 举个例子,在模数为 $p = 17627$ 和生成元 $g = 6$ 的情况下,其幂次的结果是非常离散的,没有规律可言,如下图:(...
2026-03-16
加解密模式分析 - DH 密钥交换协议
今天我们将分析 Diffie-Hellman 密钥交换协议(DH Key Exchange Protocol),这是一种基于离散对数问题的非对称加密算法。这和之前的 ElGamal 加密算法不同,DH 密钥交换协议的主要目的是让两个通信方在不安全的信道上安全地协商出一个共享的密钥,而不是直接加密消息。 实际上,经过我们前面的非对称加密算法的学习,会发现加密的时候,如果选择直接加密消息,效率会非常低。例如,当明文过长时,RSA 算法要有足够大的素数才行。 所以我们通常会使用 DH 密钥交换协议来协商出一个共享的密钥,然后使用对称加密算法(如 AES)来加密实际的消息,这样既保证了安全性,又提高了效率。 DH 密钥交换协议过程 😛由于经典的 DH 密钥交换协议就是基于离散对数难题的,我们这里就不再赘述它的数学原理了。 首先通信双方先共享两个公共参数,模数 $p$ 和生成元 $g$。 Alice 本地随机生成一个私钥 $a$,并计算 $A ≡ g^a \mod p$,将 $A$ 发送给Bob。 Bob 收到 $A$ 后,本地随机生成一个私钥 $b$,并计算 $B ≡ g^b \mod...
2026-03-02
加解密模式分析 - ECC 加密算法
ECC(Elliptic Curve Cryptography)加密算法,作为非对称加密的现代方案之一,基于椭圆曲线上的离散对数问题的困难性,为数据加密和数字签名提供了高效且安全的解决方案。它在实际应用中被广泛采用,尤其是在资源受限的环境中,如移动设备和物联网设备。 在本章中,我们将深入分析 ECC 加密算法的核心原理和实现细节。我们将从 ECC 的数学基础开始,逐步揭示其加密和解密过程中的关键步骤。通过对 ECC 算法的详细解析,你将能够理解它是如何利用椭圆曲线上的离散对数问题的困难性来确保数据安全的。 ECC 加密数学原理 😇ECC 加密算法的安全性基于椭圆曲线上的离散对数问题的困难性。 椭圆曲线介绍首先,ECC 定义了一个椭圆曲线 $E_p$,通常采用 Weierstrass 形式的曲线,满足方程 $y^2 = x^3 + ax + b \mod p$,其中 $\Delta = -16(4a^3 + 27b^2) \neq 0$。 这个曲线的数学公式有点复杂,不过可以通过图像来理解。可以进入下面这个链接,改变参数来进行观察椭圆曲线的图像: 椭圆曲线图像 接下来我们介绍一下...
2026-03-17
加解密模式分析 - Salsa20 加密算法
Salsa20 是一种基于 Salsa20 的流密码算法,由 Daniel J. Bernstein 设计。它以其速度快、安全性高、实现简洁而闻名,广泛应用于安全通信、加密存储等场景。 在本章中,我们将深入剖析 Salsa20 加密算法的核心原理与实现细节。我们将从流密码的基础特性出发,逐步拆解其核心的 20 轮加密过程,详细分析其状态矩阵的构造、每轮的操作步骤以及最终的密钥流生成机制,全面理解 Salsa20的加密过程和安全性分析。 Salsa20 加密算法 😋Salsa20 的核心原理基于一个 4x4 的状态矩阵,包含了常量、密钥、计数器和随机数。每轮加密过程中,算法通过一系列的加法、异或和位移操作来混合这些元素,从而生成一个伪随机的密钥流。这个密钥流随后与明文进行异或操作,产生密文。 初始状态矩阵Salsa20 的初始状态是一个 4×4 的 32 位无符号整数矩阵(共 512 位),由固定常量(”expand 32-byte k” 的 ASCII 编码)、256 位密钥、计数器、随机数(nonce) 四部分按固定位置填充构成: \begin{bmatrix} c_0 & ...
评论
