改进的混合基数转换法（MMRC）

发表于 2020-05-19 分类于抽象代数，中国剩余定理阅读次数：本文字数： 617 阅读时长 ≈ 2 分钟

混合基数转换法（Mixed-Radix Conversion, MRC）是求 CRT 唯一解的方法，Kunth 对其进行了改进。可将改算法改进为改进的混合基数转换法（Modified Mixed-Radix Conversion, MMRC）。

MRC 比较复杂，在这里不做介绍，可以参考《中国剩余定理在 RSA 解密中的应用》¹。

MMRC

下面来介绍一下 MMRC：

设同余方程组为：

$$ \begin{cases} x≡d_1\pmod{p_1}\\ x≡d_2\pmod{p_2}\\ ......\\ x≡d_s\pmod{p_s}\\ \end{cases} $$

计算B_ji ← p_j⁻¹ (mod p_i)(1≤j<i≤s)；
令a_i1 = d_i(1≤i≤s)，由递推公式a_i(j+1) = (a_ij−a_jj)B_ji mod p_i(1≤j<i≤s)，计算a₁₁, a₂₂, ..., a_ss;
计算唯一解x ← a₁₁ + a₂₂p₁ + a₃₃p₁p₂ + ... + a_ssp₁p₂p₃...p_s。

特别地，对于只包含两个方程的方程组

$$ \begin{cases} x≡d_1\pmod{p_1}\\ x≡d_2\pmod{p_2}\\ \end{cases} $$

可以这样计算：

计算B₁₂ ← p₁⁻¹ (mod p₂)；
a₁₁ = d₁，a₂₁ = d₂，计算a₂₂ = (a₂₁−a₁₁)B₁₂ mod p₂;
计算唯一解x ← a₁₁ + a₂₂p₁。

MMRC 在 RSA 解密中的作用

RSA 的解密过程为M = C^d mod N，而N = pq且p和q互素，所以 M 可以通过下式求出：

$$ \begin{cases} m_1≡C^d\pmod p\\ m_2≡C^d\pmod q\\ \end{cases} $$

其中m₁ = C^d mod p，m₂ = C^d mod q。

由此我们可以得到快速解密的算法：

计算m₁ ← (C mod p)^{d mod p − 1} mod p，m₂ ← (C mod q)^{d mod q − 1} mod q；
计算p⁻¹ (mod q)；
计算t ← p⁻¹(m₂−m₁) mod q；
计算明文M ← m₁ + tp。

在第 1 步中，由于p是素数，由费马小定理²可得，C^p − 1 ≡ 1 (mod p)，所以(C mod p)^{d mod p − 1} mod p = C^d mod p，m₂同理。

下面给出我的代码，完整代码见MeanZhang/RSA: RSA-Java。

/**
 * RSA解密
 * 使用了MMRC算法
 *
 * @param c 密文
 * @param d 私钥d
 * @param p p
 * @param q q
 * @return 明文
 */
public static BigInteger decrypt(BigInteger c, BigInteger d, BigInteger p, BigInteger q) {
    // m1 ≡ c^d ≡ (c mod p)^(d mod (p-1))(mod p)
    BigInteger m1 = c.mod(p).modPow(d.mod(p.subtract(BigInteger.ONE)), p);
    // m2 ≡ c^d ≡ (c mod q)^(d mod (q-1))(mod q)
    BigInteger m2 = c.mod(q).modPow(d.mod(q.subtract(BigInteger.ONE)), q);
    BigInteger invP = p.modInverse(q);
    // t = p^(-1) * (m2-m1) mod q
    BigInteger t = invP.multiply(m2.subtract(m1)).mod(q);
    return m1.add(t.multiply(p));
}

MMRC

MMRC 在 RSA 解密中的作用

参考资料