为什么大型 RSA 密钥不加密为唯一值？

Question

我正在使用 BigInteger 的 probablePrime 方法计算两个 2048 位素数，如下所示：BigInteger.probablePrime(2048, new Random());。我们分别称这些素数为p 和q。我正在使用以下代码计算私有指数：BigInteger.TWO.multiply(r).add(BigInteger.ONE).divide(e); 其中e 相当于BigInteger.valueOf(3)，r 相当于一个BigInteger，其值为：(p - 1)(q - 1)。

创建加密的 BigInteger 如下：message.modPow(e, r)，其中message 是一个 BigInteger。

假设我想加密774356626352684872522728355634287624183747537718011900969524254770659766752605764866132228010801740792162094。这个大整数是“敏捷的棕狐跳过了懒惰的狗”。先转换成二进制，再转换成十进制。我的结果是464326058229369014486528960945777245568243099145851675968955902027904135435059026247893552949145149936678174588724345105141605583511438062567406913039976998983678282605288609470234530610515268764924240227134432014767865301287496131771559993377618477929696113174968779730288058725125905006272019930686696412137679303439126584。

无论我运行上面的代码多少次，它总是加密到相同的精确值。它生成哪个素数似乎并不重要 - 对于特定的 message 值，加密值始终是上述值。

现在这里变得特别特别，如果我生成 512 位素数，结果是独一无二的。每次我运行上述代码，生成 512 位素数而不是 2048 甚至 1024 位素数时，它每次运行都会生成一个唯一的结果。但是，如果我希望生成 1024 位或 2048 位素数，无论生成什么素数，结果总是相同的。

谁能解释为什么会发生这种情况，或者需要对代码进行哪些更改才能使用 2048 位素数生成唯一的加密整数？具体来说，为什么它适用于 512 位或更低位的素数，而不适用于 1024 位或更大位的素数？如果这不是一个结构最完善的问题，我深表歉意，所以如果有什么令人困惑的地方，请随时要求澄清。

谢谢。

编辑：这是产生问题的代码：

import java.io.IOException;
import java.math.BigInteger;
import java.security.SecureRandom;

public class Yeet {
    public static void main(String[] args) throws IOException {
        int t = (int) (System.currentTimeMillis() / 1000);

        byte[] date = new byte[]{
          (byte) (t >> 24),
          (byte) (t >> 16),
          (byte) (t >> 8),
          (byte) t,
        };  

        BigInteger p = BigInteger.probablePrime(2048, new SecureRandom(date));
        BigInteger q = BigInteger.probablePrime(2048, new SecureRandom(date));
        BigInteger e = BigInteger.valueOf(3);
        BigInteger r = p.subtract(BigInteger.ONE).multiply(q.subtract(BigInteger.ONE));

        BigInteger message = new BigInteger("774356626352684872522728355634287624183747537718011900969524254770659766752605764866132228010801740792162094");

        System.out.println(message.modPow(e, r));
    }
}

根据需要多次运行它。它总是产生464326058229369014486528960945777245568243099145851675968955902027904135435059026247893552949145149936678174588724345105141605583511438062567406913039976998983678282605288609470234530610515268764924240227134432014767865301287496131771559993377618477929696113174968779730288058725125905006272019930686696412137679303439126584。现在，如果我们在第 16 行和第 17 行将 2048 替换为 512，则每次运行都会产生一个唯一值...

Answer 1

您正在执行原始/教科书 RSA，其中加密只是与公共指数的模幂运算。好吧，当然还有一些转换或更改或解释到/从整数。

现在，您的情况下的公共指数非常小：3。因此，取幂后小的输入明文很可能小于模数。 The quick brown fox jumped over the lazy dog. 是 45 个字符/字节，或 360 位。如果您有一个 360 位数并且您使用 3 执行幂运算，那么您将得到 360 x 3 = 1080 位的值，远低于 2 x 2048 = 4096 位模数，因此不会执行模减少。 2 x 512 = 1024，因此对于这些素数大小，您的值仅比模数大“几位”，因此模数很重要。

当然，您可以使用值为 65537 的费马的第五个素数 (F4)。这将导致模块化减少为 360 x 65537 > 4096。但是，为了安全起见，您应该使用填充方法，例如 PKCS#1 v2.2 中指定的方法。这些将扩展明文值，因此取决于明文的数字表示将更接近模数，以位为单位。模幂运算的结果实际上至少会执行一些模数减少，因此取决于不同的模数值。

更重要的是，PKCS#1 v2.2 中指定的 PKCS#1 v1.5 或 OAEP 填充本身是随机的，因此加密相同的明文将导致不同的密文 即使相同的密钥对 /使用模数。对于较大的密钥大小，即使是指数 3 也被认为是安全的，尽管大多数 RSA 实现（OpenSSL、Java、C#/.NET 等）仍然首选 F4。