第二十二个知识点：如何用蒙哥马利算法表示一个数字和多个相乘的数字

这篇依旧是密码学实现细节部分中的.

大多数内容来自于[1].

安全和效率

密码学的目标是设计高度安全的密码学协议,但是同时这些协议也应该被有效率的实现.这样就可以一次一次快速执行而不会因为用户变得而慢下来,例如,在线商场和网络银行都有这种需求.因此我们采取了一些措施来减少加密的成本.这些代价较高的操作就包括正整数模数的算法,因为除法比较费时.

模余操作的代价

从现在开始我们给出\(x \mod n\)的概念,就是\(x\)除以\(n\)的余数,因此它是一个小于\(n\)的非负的整数.(等价于在\(Z/nZ\)的\(x\)类,等等).

注意这里Z/nZ是指模n下的所有剩余类集合的集合,也是一个群

.

让\(a,b \in Z\),假设我们知道\(a \mod n\)和\(b \mod n\).在许多密码学应用中,我们希望计算结果\(ab \mod n\).简单的方法就是先计算\(ab\),然后再模\(n\).但是如果我们需要很多个乘法,那么我们就需要多次的模.这会增加代价.例如,在RSA中,消息\(m\)的密文通过这样计算出来:\(c = m^e \mod pq\),其中\(p,q\)是大素数.通过乘\(e\) 次计算\(m\),每次要模\(pq\).最好是把复杂的模约简推迟到计算的最后.但是同时我们仅仅计算\(m^e\)再模\(n\),我们就会得到一个超级大的数.所以还是不行,我们需要更多的思考.

"蒙哥马利算法空间"

蒙哥马利将注意力集中在简化的模数上,典型的是2的幂.因此我们可以计算\(ab \mod n\):

• 移动a和b到蒙哥马利空间(模上一些常数\(r\))
• 在这个更好的空间中计算产品并执行模余
• 把结果转换为所需的余数模\(n\)

为什么要是2的幂?假如说\(x\)是一个用二进制写成的整数(计算机),和\(r = 2^k\).对一些整数\(k > 0\).

• 计算\(x \mod r\),仅仅是取了\(x\)的最右\(k\)个位.
• 计算\(xr\),你需要把\(x\)的\(k\)位移动到最左边
• 计算\(x/r\),你仅仅需要移动\(x\) 的\(k\)位移动到最右边

算法

让\(a,b,n,r\)都是正整数,其中\(gcd(n,r) = 1\),\(r>n\).我们计算\(ab \mod n\).

• 使用扩展欧几里得算法找出\(r^{-1},n^{'}\).使得\(rr^{-1} = 1 + nn^{'}\)
• 计算\(\overline{a} = ar \mod n\)和\(\overline{b} = br \mod n\)
• 计算\(u = abr \mod n\):
  • \(t = \overline{a}\overline{b}\)
  • \(u = (t + (n^{'}t \mod t)*n)/r\)
  • if \(u \ge n\),then \(u=u-n\).
  • output \(u\)
• Multiply \(u\) by \(r^{-1}\) and reduce modulo \(n\)

说明一下为什么计算的快:

• 首先第一步能很快计算出来,就是欧几里得算法
• 第二步和第四步都有一个乘法的运算,但是仅仅计算一次,在\(a^mb^n\)这种模式下非常有用
• 第三部包括了三个整数的乘法,一个整数的加法.但是\(r = 2^k\).我们只需要丢弃k位然后右移即可.所有的这些操作都是很快的.

正确性证明

\(u = abr \mod n\)

\(= arbrr^{-1} \mod n\)

\(= tr^{-1} \mod n\)

\(= trr^{-1}/r \mod n​\)

\(= t*(1+nn^{'})/r \mod n\)

\(=((t + nn't)/r + mn) \: \mathrm{mod} \: n = (t + (n't + mr)n)/r \: \mathrm{mod} \: n\)

注意我们最后一步没有模\(n\).是因为\(n > r > 0\),我们知道\(n^2<rn,n^2+rn<2rn,(n^2+rn)/r<2n\).我们就只需要进行判断是否大于\(n\)就行.

这就给出了算法的正确性.

[1]http://www.hackersdelight.org/MontgomeryMultiplication.pdf

这里只是对蒙哥马利算法做了一个大概的描述，并且链接是失效的。之前我下载那个参考的pdf的时候，发现里面说的和实现的并不完全对。

为了防止误导，我推荐看这篇论文，很详细，Montgomery Arithmetic from a Software Perspective，实现起来也没有问题。

我最近打算写一个ECC的轮子，写完后我会把我的Montgomery算法的c++实现放在github上。