证明RSA加密明文取值范围集合按照mod n乘法构成一个群但不是循环群

上学期密码学的课程，陈老师讲了一个很有趣的问题，在这里记录一下。 题目可以描述为： 证明RSA加密明文$m$取值范围$Z_n^*$，在$\mod\ n$运算下：

• （1）是一个群
• （2）不是循环群

前置知识

RSA原理

首先，RSA的加密解密原理描述如下：

• 密钥生成：
  1. 选取两个大素数$p$和$q$，计算$n=pq$。
  2. 选择公钥指数 $e$，使得 $1 < e < \varphi(n)$，$\gcd(e, \varphi(n)) = 1$，其中$\varphi(n)$为$n$的欧拉函数：$\varphi(n) = (p-1)(q-1)$
  3. 计算$e$的逆元$d$为私钥：$d \equiv e^{-1} \pmod{\varphi(n)}$
  4. 公钥为$(n,e)$，私钥为$d$
• 加密： 给定明文$m$ ，满足$m \in \{m:1\leq m<n,gcd(m,n)=1\}$，使用公钥$(e, n)$进行加密， $C = m^e \mod n$
• 解密： 接收密文$C$后，使用公钥和私钥$(d, n)$进行解密： $m = C^d \mod n$

---

解密原理证明： $C^d = (m^e)^d =m^{ed}\ \mod\ n$ 其中， $ed \equiv 1 \mod \varphi(n)$，所以有$ed=k\varphi(n)+1$

因为$m,n$互素时，根据欧拉定理有： $m^{\varphi(n)} \equiv 1 \pmod{n}$

所以 $C^d = m^{ed} = m^{k\varphi(n)+1}=m \cdot1=m \mod n$

---

证明mn互素的条件可忽略

消息$m$取值范围为小于$n$且与$n$互素的整数， 表示为$Z_{n}^*= \{m:1\leq m<n,gcd(m,n)=1\}$ 但小于$n$的$m$与$n$不互素的概率很低，所以可以忽略，

证明： 小于$n$且与$n$互素的数为$\varphi (n)$，所以$m$与$n$互素的概率为： $\frac{\varphi(n)}{ n}=\frac{(p-1)(q-1)}{pq}$ 几乎为1。

注意，这里的$Z_n^*$就是我们下面要讨论的集合。

---

正题

下面来解释，为什么$m$取值的群$Z_{n}^*$在$\mod n$运算下：

• （1）是群
• （2）但不是循环群

---

（1）证明集合是群，就是验证四个条件，这个比较容易，简单描述：

1. 封闭性，$\forall a,b\in Z_{n}^*$，有$gcd(a,n)=gcd(b,n)=1$，则$gcd(ab,n)=1$，所以元素$ab$在群中，运算封闭
2. 单位元，是1
3. 结合律，与普通模乘证明相同
4. 存在逆元，$\forall a \in Z_{n}^*,\exists b \in Z_{n}^*,s.t.ab=1 \mod n$
5. 显然满足交换律，所以也是阿贝尔群

---

（2）要证明群不是循环群，首先要明白循环群的定义，循环群存在一个生成元$g$，群中所有元素都可以由$g$乘方生成。 再说明两个定义：

• 群的阶，群中元素的个数，记为$ord(G)$
• 元素的阶，元素$a$使得$a^k=e(单位元)$的$k$就是元素的阶，记为$ord(a)$ 任何群都满足： $\forall a \in G, ord(a)\leq ord(G)$

当存在元素$g$，使得$ord(g)=ord(G)$时，群为循环群，$g$为生成元。

所以，证明这个问题，就是要找群的阶与群元素的阶的关系。

因为$Z_{n}^*$是与$n$互素元素构成的群，所以$ord(G)=\varphi(n)=(p-1)(q-1)$，

任意元素$m \in Z_{n}^*$： 因为$m$与$n$，互素，$n=pq$ 所以$m$与$p,q$互素，根据欧拉定理，有

到这一步，我们的思路是将等号左边放缩为相同的数，从而可以使用中国剩余定理，得到一个可以表示$m$的阶的等式。

记$p-1$与$q-1$的最小公倍数$lcm(p-1,q-1)=k$，由于$p$和$q$为大素数，奇数，所以$p-1$与$q-1$为偶数，必然有小于$(p-1)(q-1)$的最小公倍数，即$k<(p-1)(q-1)$，这里的小于号是严格小于，所以 将上面两式模数放大，等式右边依然是1:

根据中国剩余定理，可以得到

即$ord(m)\leq k<(p-1)(q-1)=ord(G)$， 所以，当$p,q$是大整数时，$Z_{n}^*$一定不是循环群。