Montgomery算法
Montgomery 算法
在RSAECC中,经常需要在大整数上进行模乘运算:
\[C = A \times B \mod N
\]
直接计算\(A \times B\)再除以\(N\)求余数,效率很低,尤其是当\(N\)很大时。此外,除法指令在硬件中通常比乘法慢。
Montgomery 算法的核心思想:
通过将数字转换到另一个表示空间(Montgomery 域),在该空间里模乘运算可以避免除法,只用位运算,最后再转换回来
Montgomery 约减
Montgomery Reduction
基本思路
选一个大于\(N\)且与\(N\)互素的整数\(R\),通常\(R = 2^k\)(其中\(k\)是\(N\)的位数,并且\(R > N\))
Montgomery 形式(Montgomery 域)的数字\(a\)表示为:
\[\tilde{a} = a \cdot R \mod N
\]
Montgomery 约减的目标是计算:
\[\text{MonRed}(T) = T \cdot R^{-1} \mod N
\]
其中\(T\)是一个小于\(N \cdot R\)的整数(通常\(T\)是模乘的中间结果)。
注意:Montgomery 约减并不是直接计算模\(N\),而是除以\(R\)再模\(N\)。
2.2 Montgomery 约减算法(版本 1)
给定:
- 模数\(N\),且\(\gcd(N, R) = 1\)
- \(R = 2^k\)
- \(N'\)满足\(R \cdot R^{-1} - N \cdot N' = 1\),即\(N' = -N^{-1} \mod R\)
- 输入\(T\)满足\(0 \le T < N \cdot R\)
步骤:
- \(m \gets (T \mod R) \cdot N' \mod R\)
(只取低\(k\)位,因为 mod\(R\)只是取低\(k\)位) - \(t \gets (T + m \cdot N) / R\)
(因为\(m\)的选取使得\(T + m \cdot N\)能被\(R\)整除) - 如果\(t \ge N\),则返回\(t - N\),否则返回\(t\)
最后得到的\(t = T \cdot R^{-1} \mod N\)
\[T + m N \equiv T + (T \cdot N' \mod R) \cdot N \pmod{R}
\]
注意\(N \cdot N' \equiv -1 \pmod{R}\),所以
\[T + (T \cdot N' \mod R) \cdot N \equiv T + T \cdot N' \cdot N \equiv T - T \equiv 0 \pmod{R}
\]
因此\(T + m N\)能被\(R\)整除
Montgomery 模乘
Montgomery Multiplication
在 Montgomery 域进行乘法:\(\tilde{a} = aR \mod N\)和\(\tilde{b} = bR \mod N\),\(\tilde{c} = abR \mod N\)
- 计算普通乘积:\(T = \tilde{a} \cdot \tilde{b}\)
- 用 Montgomery 约减:\(\tilde{c} = \text{MonRed}(T) = T \cdot R^{-1} \mod N\)
验证:
\[\tilde{c} \equiv (\tilde{a} \cdot \tilde{b}) \cdot R^{-1} \equiv (aR \cdot bR) \cdot R^{-1} \equiv (ab) R \pmod{N}
\]
Montgomery 域转换
要将普通数\(a\)转换为 Montgomery 域表示:
\[\tilde{a} = \text{MonRed}(a \cdot (R^2 \mod N))
\]
因为\(\text{MonRed}(a \cdot R^2) = aR \mod N\)
要将 Montgomery 域表示\(\tilde{a}\)转换回普通数:
\[a = \text{MonRed}(\tilde{a})
\]
因为\(\text{MonRed}(aR) = a \mod N\)
需要预计算常数:
- \(R^2 \mod N\)
- \(N' = -N^{-1} \mod R\)
一旦进入 Montgomery 域,连续执行多个模乘时,可以一直保持在 Montgomery 域内,只有最后结果需要转换出来
Montgomery 模幂
Modular Exponentiation
以计算\(m^e \mod N\)为例
- 预计算\(R^2 \mod N\)。
- 将底数\(m\)转换到 Montgomery 域:
\(\tilde{m} = m \cdot R \mod N\)(\(\text{MonRed}(m \cdot (R^2 \mod N))\)) - 令\(\tilde{x} = 1 \cdot R \mod N\)(即\(R \mod N\),代表 1 的 Montgomery 形式)
- 对指数\(e\)的每个比特从高位到低位:
- 平方:\(tilde{x} \leftarrow \text{MonMul}(\tilde{x}, \tilde{x})\)
- 如果当前比特为 1:\(tilde{x} \leftarrow \text{MonMul}(\tilde{x}, \tilde{m})\)
- 最后将\(\tilde{x}\)转换回普通域:\(x = \text{MonRed}(\tilde{x})\)
因为 MonMul 是在 Montgomery 域中做乘法,相当于普通模乘,平方乘逻辑完全一致,但所有中间数都在 Montgomery 域表示
优势总结
- 避免除法:只需要乘法和移位
- 适合硬件:取模\(R\)是截断低\(k\)位,除以\(R\)是右移
- 适合软件优化:对于多精度大整数,可以用字(word)为单位计算\(m\)和约减
- 并行:计算\(m\)和后续乘法可以流水线化
示例
设\(N = 17\),\(R = 64\)(因为\(64 > 17\)且是 2 的幂)
- 计算\(N' = -N^{-1} \mod R\):
\(17^{-1} \mod 64\),由于\(17 \times 49 = 833 \equiv 1 \pmod{64}\),所以逆元是 49,
因此\(N' = -49 \mod 64 = 15\) - 计算\(R^2 \mod N = 64^2 \mod 17 = 4096 \mod 17\):
\(4096 \div 17\)得\(240\times17=4080\),余 16,所以\(R^2 \mod N = 16\) - 转换数 5 到 Montgomery 域:
\(T = 5 \times 16 = 80\),
\(\tilde{5} = \text{MonRed}(80)\):- \(m = (80 \mod 64) \times 15 \mod 64 = (16 \times 15) \mod 64 = 240 \mod 64 = 48\)
- \(t = (80 + 48 \times 17) / 64 = (80 + 816) / 64 = 896 / 64 = 14\)
- \(14 < 17\),所以\(\tilde{5} = 14\)
- Montgomery 域乘法:\(\tilde{5}\)与\(\tilde{5}\)相乘:
- \(T = 14 \times 14 = 196\)
- MonRed(196):
\(m = (196 \mod 64) \times 15 \mod 64 = (4 \times 15) \mod 64 = 60\)
\(t = (196 + 60 \times 17) / 64 = (196 + 1020)/64 = 1216/64 = 19\)
因为\(19 \ge 17\),所以\(t = 19-17=2\)
得到\(\tilde{25} = 2\) - 转换回普通数:\(\text{MonRed}(2) =\)
\(m = (2 \mod 64) \times 15 \mod 64 = 30\)
\(t = (2 + 30 \times 17)/64 = (2 + 510)/64 = 512/64 = 8\)
最终得\(8\),即\(5^2 \mod 17 = 25 \mod 17 = 8\),正确
实现
Montgomery.py
"""
Montgomery 模约减算法实现
Montgomery Modular Reduction Algorithm
"""
def extended_gcd(a, b):
"""
扩展欧几里得算法
返回 (gcd, x, y) 使得 ax + by = gcd(a, b)
"""
if a == 0:
return b, 0, 1
gcd, x1, y1 = extended_gcd(b % a, a)
x = y1 - (b // a) * x1
y = x1
return gcd, x, y
def mod_inverse(a, m):
"""
计算模逆元 a^(-1) mod m
"""
gcd, x, _ = extended_gcd(a % m, m)
if gcd != 1:
raise ValueError(f"模逆元不存在: {a}^(-1) mod {m}")
return (x % m + m) % m
class Montgomery:
"""
Montgomery 模约减类
用于高效计算大整数的模运算
"""
def __init__(self, modulus):
"""
初始化 Montgomery 模约减
:param modulus: 模数 n(必须是奇数)
"""
if modulus % 2 == 0:
raise ValueError("模数必须是奇数")
self.n = modulus
self.r = 1 << (modulus.bit_length()) # R = 2^k,k 是 n 的位数
self.r_inv = mod_inverse(self.r, self.n) # R^(-1) mod n
self.n_prime = (self.r * self.r_inv - 1) // self.n # n' = -n^(-1) mod R
# 预计算 n' mod R(用于快速计算)
self.n_prime_mod_r = (-mod_inverse(self.n, self.r)) % self.r
def montgomery_reduce(self, t):
"""
Montgomery 约减: 计算 t * R^(-1) mod n
:param t: 输入值(通常满足 t < n * R)
:return: t * R^(-1) mod n
"""
# 方法1: 标准 Montgomery 约减
# m = (t * n') mod R
m = (t * self.n_prime_mod_r) % self.r
# u = (t + m * n) / R
# 由于 R = 2^k,除以 R 等价于右移 k 位
k = self.r.bit_length() - 1
u = (t + m * self.n) >> k
# 如果 u >= n,则减去 n
if u >= self.n:
u -= self.n
return u
def montgomery_multiply(self, a, b):
"""
Montgomery 乘法: 计算 a * b * R^(-1) mod n
:param a: 第一个操作数(Montgomery 形式)
:param b: 第二个操作数(Montgomery 形式)
:return: a * b * R^(-1) mod n(Montgomery 形式)
"""
t = a * b
return self.montgomery_reduce(t)
def to_montgomery(self, x):
"""
将普通数转换为 Montgomery 形式: x * R mod n
:param x: 普通数
:return: Montgomery 形式的数
"""
return (x * self.r) % self.n
def from_montgomery(self, x_mont):
"""
将 Montgomery 形式转换为普通数: x_mont * R^(-1) mod n
:param x_mont: Montgomery 形式的数
:return: 普通数
"""
return self.montgomery_reduce(x_mont)
def montgomery_power(self, base, exponent):
"""
使用 Montgomery 方法计算模幂: base^exponent mod n
:param base: 底数
:param exponent: 指数
:return: base^exponent mod n
"""
# 转换为 Montgomery 形式
base_mont = self.to_montgomery(base)
result_mont = self.to_montgomery(1)
# 二进制快速幂算法
while exponent > 0:
if exponent & 1:
result_mont = self.montgomery_multiply(result_mont, base_mont)
base_mont = self.montgomery_multiply(base_mont, base_mont)
exponent >>= 1
# 转换回普通形式
return self.from_montgomery(result_mont)
def montgomery_reduce_simple(t, n, r, n_prime):
"""
简化的 Montgomery 约减函数(独立使用)
:param t: 输入值
:param n: 模数
:param r: R = 2^k
:param n_prime: n' = -n^(-1) mod R
:return: t * R^(-1) mod n
"""
m = (t * n_prime) % r
u = (t + m * n) // r
if u >= n:
u -= n
return u
# 添加性能比较函数
import time
def compare_power_algorithms(x, e, n):
"""
比较 Montgomery 算法与普通算法的性能
:param x: 底数
:param e: 指数
:param n: 模数
"""
print(f"计算 {x}^{e} mod {n}")
lim = 10000
# 普通算法
time1 = 0
for i in range(lim):
start_time = time.time()
result_normal = pow(x, e, n) # Python内置的快速幂算法
normal_time = time.time() - start_time
time1 += normal_time
normal_time = time1 / lim
print(f"普通算法结果: {result_normal}")
print(f"普通算法耗时: {normal_time:.8f} 秒")
# Montgomery 算法
time2 = 0
for i in range(lim):
start_time = time.time()
montgomery_obj = Montgomery(n)
result_montgomery = montgomery_obj.montgomery_power(x, e)
montgomery_time = time.time() - start_time
time2 += montgomery_time
montgomery_time = time2 / lim
print(f"Montgomery算法结果: {result_montgomery}")
print(f"Montgomery算法耗时: {montgomery_time:.8f} 秒")
# 验证结果一致性
print(f"结果是否一致: {result_normal == result_montgomery}")
if normal_time > 0:
print(f"Montgomery算法相对速度提升: {normal_time/montgomery_time:.2f}x")
return result_normal, result_montgomery
if __name__ == "__main__":
# 实例化: x = 123, e = 7, n = 2^16 - 1
x = 123
e = 7
n = (1 << 16) - 1 # 2^16 - 1 = 65535
print("Montgomery 模幂算法与普通算法性能比较")
print("=" * 50)
compare_power_algorithms(x, e, n)
"""
Montgomery 模幂算法与普通算法性能比较
==================================================
计算 123^7 mod 65535
普通算法结果: 45267
普通算法耗时: 0.00000034 秒
Montgomery算法结果: 45267
Montgomery算法耗时: 0.00000329 秒
结果是否一致: True
Montgomery算法相对速度提升: 0.10x
"""
浙公网安备 33010602011771号