Un ejemplo de RSA Un ejemplo pedagógico trivial del algoritmo RSA se muestra en la siguiente animación. Para este ejemplo hemos seleccionado p=3 y q=11, dando n=11 y z=20. Un valor adecuado de d es d=7 , puesto que 7 y 20 no tienen factores comunes.
Con estas selecciones, e puede encontrarse resolviendo la ecuación 7e=1(mod 20), que produce e=3.El texto cifrado, C , de un mensaje de texto normal, P , se da por la regla C=P 3(mod 33).
El texto cifrado lo descifra el receptor de acuerdo con la regla P= C 7 (mod 33). Observe la animación tanto en el emisor como en el receptor, donde se muestra el cifrado-descifrado del texto normal "CASA".
Dado que los números primos escogidos para este ejemplo son tan pequeños, P debe ser menor que 33, por lo que cada bloque de texto normal puede contener sólo un carácter. El resultado es un cifrado por sustitución monoalfabética, no muy impresionante. En cambio si hubiéramos seleccionado p y q 664 bits (s644
10100, podríamos tener n
10200, para que cada bloque pueda ser de hasta
10200) u 83 caracteres de 8 bits, contra 8 caracteres para el DES.
RSA De Wikipedia, la enciclopedia libre Saltar a: navegación navegación,, búsqueda Para otros usos de este término, véase RSA (desambiguación (desambiguación)).
En criptografía criptografía,, RSA ( Rivest Rivest , Shamir y Adleman y Adleman)) es un sistema criptográfico de clave pública desarrollado en 1977 1977.. Es el primer y más utilizado algoritmo de este tipo y es válido tanto para cifrar como para firmar digitalmente. digitalmente . La seguridad de este algoritmo radica en el problema de la factorización de números enteros.. Los mensajes enviados se representan mediante números, y el funcionamiento se enteros basa en el producto, conocido, de dos números primos grandes elegidos al azar y mantenidos en secreto. Actualmente estos primos son del orden de , y se prevé que su tamaño aumente con el aumento de la capacidad de cálculo de los ordenadores ordenadores..
Como en todo sistema de clave pública, cada usuario posee dos claves de cifrado: una pública y otra privada. Cuando se quiere enviar un mensaje, el emisor busca la clave pública del receptor, cifra su mensaje con esa clave, y una vez que el mensaje cifrado llega al receptor, este se ocupa de descifrarlo usando su clave privada. Se cree que RSA será seguro mientras no se conozcan formas rápidas de descomponer un número grande en producto de primos. La computación cuántica podría proveer de una solución a este problema de factorización.
ndice [ocultar]
1 Historia 2 Algoritmo RSA 2.1 Idea del algoritmo o 2.2 Generación de claves o 2.3 Cifrado o 2.4 Descifrado o 3 Ejemplo 4 Esquemas de relleno 5 Autenticación de mensajes 6 Seguridad 7 Consideraciones prácticas 7.1 Generación de claves o 7.2 Velocidad o 8 Distribución de claves 9 Véase también 10 Referencias 10.1 Notas al pie o 10.2 Bibliografía o 11 Enlaces externos
[editar] Historia El algoritmo fue descrito en 1977 por Ron Rivest, Adi Shamir y Len Adleman, del Instituto Tecnológico de Massachusetts (MIT); las letras RSA son las iniciales de sus apellidos. Clifford Cocks, un matemático británico que trabajaba para la agencia de inteligencia británica GCHQ, había descrito un sistema equivalente en un documento interno en 1973. Debido al elevado coste de las computadoras necesarias para implementarlo en la época su idea no trascendió. Su descubrimiento, sin embargo, no fue revelado hasta 1997 ya que era confidencial, por lo que Rivest, Shamir y Adleman desarrollaron RSA de forma independiente.
El algoritmo fue patentado por el MIT en 1983 en Estados Unidos con el número 4.405.829. Esta patente expiró el 21 de septiembre de 2000. Como el algoritmo fue publicado antes de patentar la aplicación, esto impidió que se pudiera patentar en otros lugares del mundo. Dado que Cocks trabajó en un organismo gubernamental, una patente en Estados Unidos tampoco hubiera sido posible.
[editar] Algoritmo RSA El algoritmo consta de tres pasos: generación de claves, cifrado y descifrado. [editar] Idea del algoritmo
Supongamos que Bob quiere enviar a Alicia un mensaje secreto que solo ella pueda leer. Alicia envía a Bob una caja con una cerradura abierta, de la que solo Alicia tiene la llave. Bob recibe la caja, escribe el mensaje, lo pone en la caja y la cierra con su cerradura (ahora Bob no puede leer el mensaje). Bob envía la caja a Alicia y ella la abre con su llave. En este ejemplo, la caja con la cerradura es la «clave pública» de Alicia, y la llave de la cerradura es su «clave privada». Técnicamente, Bob envía a Alicia un «mensaje llano» en forma de un número menor que otro número , mediante un protocolo reversible conocido como padding scheme («patrón de relleno»). A continuación genera el «mensaje cifrado» mediante la siguiente operación: ,
donde es la clave pública de Alicia. Ahora Alicia descifra el mensaje en clave mediante la operación inversa dada por ,
donde
es la clave privada que solo Alicia conoce.
[editar] Generación de claves 1.
2. 3.
Cada usuario elige dos números primos distintos y . Por motivos de seguridad, estos números deben escogerse de forma aleatoria y o deben tener una longitud en bits parecida. Se pueden hallar primos fácilmente mediante test de primalidad. Se calcula . se usa como el módulo para ambas claves, pública y privada. o Se calcula
, donde
es la función φ de Euler.
4.
5.
Se escoge un entero positivo menor que , que sea coprimo con . se da a conocer como el exponente de la clave pública. o Si se escoge un con una suma encadenada corta, el cifrado será más efectivo. Un o exponente muy pequeño (p. ej. ) podría suponer un riesgo para la 1 seguridad. Se determina un (mediante aritmética modular) que satisfaga la congruencia , es decir, que
o
Expresado de otra manera,
o
. Esto suele calcularse mediante el algoritmo de Euclides extendido. se guarda como el exponente de la clave privada.
o
La clave pública es es
sea el multiplicador modular inverso de es dividido exactamente por
, esto es, el módulo y el exponente de cifrado. La
clave privada
, esto es, el módulo y el exponente de descifrado, que debe mantenerse en secreto.
Nota:
PKCS#1 v2.0 y PKCS#1 v2.1 se especifican mediante la función de Carmichael en vez de la función
de Euler, donde
indica el
mínimo común múltiplo. Para una mayor eficiencia los siguientes valores se calculan de antemano y se almacenan como parte de la clave privada: y : los primos para la generación de las claves, o y
o
,
.
o
[editar] Cifrado
Alicia comunica su clave pública a Bob y guarda la clave privada en secreto. Ahora Bob desea enviar un mensaje a Alicia. Primero, Bob convierte en un número entero menor que mediante un protocolo reversible acordado de antemano. Luego calcula el texto cifrado mediante la operación .
Esto puede hacerse rápido mediante el método de exponenciación binaria. Ahora Bob transmite a Alicia.
[editar] Descifrado
Alicia puede recuperar el siguiente cálculo:
a partir de usando su exponente
de la clave privada mediante
.
Ahora que tiene padding scheme.
en su poder, puede recuperar el mensaje original
invirtiendo el
El procedimiento anterior funciona porque .
Esto es así porque, como hemos elegido
y de forma que
, se cumple .
La última congruencia se sigue directamente del teorema de Euler cuando es coprimo con . Puede demostrarse que las ecuaciones se cumplen para todo usando congruencias y el teorema chino del resto. Esto muestra que se obtiene el mensaje original: .
[editar] Ejemplo Aquí tenemos un ejemplo de cifrado/descifrado con RSA. Los parámetros usados aquí son pequeños y orientativos con respecto a los que maneja el algoritmo, pero podemos usar también OpenSSL para generar y examinar un par de claves reales. p=61
1º nº primo privado
q=53
2º nº primo privado
n=pq=3233 producto p*q e=17
exponente público
d=2753
exponente privado
La clave pública (e, n). La clave privada es (d, n). La función de cifrado es:
Donde m es el texto sin cifrar. La función de descifrado es:
Donde c es el texto cifrado. Para cifrar el valor del texto sin cifrar 123, nosotros calculamos:
Para descifrar el valor del texto cifrado, nosotros calculamos:
Ambos de estos cálculos pueden ser eficientemente usados por el algoritmo de multiplicación cuadrática para exponenciación modular.
[editar] Esquemas de relleno RSA debe ser combinado con algún esquema de relleno, ya que si no el valor de M puede llevar a textos cifrados inseguros.
El valor m=0 o m=1 siempre produce textos cifrados iguales para 0 o 1 respectivamente, debido a propiedades de los exponentes. Cuando ciframos con exponentes pequeños (e=3) y valores pequeños de m, el resultado de m podría ser estrictamente menor que el módulo de n. En este caso, el texto cifrado podría ser fácilmente descifrado, tomando la raíz e-ésima del texto cifrado sin tener en cuenta el módulo. Dado que el cifrado RSA es un algoritmo determinista (no tiene componentes aleatorios) un atacante puede lanzar con éxito un ataque de texto elegido contra el criptosistema, construyendo un diccionario de textos probables con la llave pública, y almacenando el resultado cifrado. Observando los textos cifrados en un canal de comunicación, el atacante puede usar este diccionario para descifrar el contenido del mensaje.
En la práctica, el primero de los dos problemas podría presentarse cuando enviamos pequeños mensajes ASCII donde m es la concatenación de uno o más carácter/es ASCII codificado/s. Un mensaje consiste en un solo carácter ASCII NUL (cuyo valor es 0) se codificaría como m=0, produciendo un texto cifrado de 0 sin importar qué valores de e y N son usados. Probablemente, un solo ASCII SOH (cuyo valor es 1) produciría siempre un
texto cifrado de 1. Para sistemas convencionales al usar valores pequeños de e, como 3, un solo carácter ASCII mensaje codificado usando este esquema sería inseguro, ya que el máximo valor de m sería 255, y 255³ es menor que cualquier módulo razonable. De esta manera los textos sin cifrar podrían ser recuperados simplemente tomando la raíz cúbica del texto cifrado. Para evitar estos problemas, la implementación práctica del RSA se ayuda de algunas estructuras, uso del rellenado aleatorio dentro del valor de m antes del cifrado. Esta técnica asegura que m no caerá en el rango de textos sin cifrar inseguros, y que dado un mensaje, una vez que este rellenado, cifrará uno de los números grandes de los posibles textos cifrados. La última característica es la incrementación del diccionario haciendo este intratable a la hora de realizar un ataque. El esquema de relleno de RSA (en inglés RSA-padding scheme) debe ser cuidadosamente diseñado para prevenir ataques sofisticados los cuales podrían ser facilitados por la predictibilidad de la estructura del mensaje. Ejemplos de esquema de relleno usados con 23 RSA:
RSA-OAEP (Optimal Asymetric Encryption Padding) o su versión moficada RSAOAEP+. Este tipo de relleno es usado por e jemplo en PKCS#1 y en la red de anonimato TOR RSA-SAEP+ (Simplified Asymmetric Encryption Padding) RSA-REACT RSA-PSS (Probabilistic Signature Scheme). Usado por ejemplo en PKCS#1
Algunos de estos esquemas de relleno, por ejemplo RSA-OAEP y RSA-PSS, ecuentran su 'justificación' teórica en el polémico modelo de oráculo aleatorio.
[editar] Autenticación de mensajes RSA puede también ser usado para autenticar un mensaje. Supongamos que Alicia desea enviar un mensaje autentificado a Bob. Ella produce un valor hash del mensaje, lo eleva a la potencia de d≡ mod n (como ella hace cuando descifra mensajes), y lo adjunta al mensaje como una “firma”. Cuando Bob recibe el mensaje autentificado, utiliza el mismo algoritmo hash en conjunción con la clave pública de Alice. Eleva la firma recibida a la potencia de e≡ mod n (como hace cuando cifra mensajes), y compara el resultado hash obtenido con el valor hash del mensaje. Si ambos coinciden, él sabe que el autor del mensaje estaba en posesión de la clave secreta de Alicia, y que el mensaje no ha sido tratado de forzar (no ha sufrido ataques). Se debe observar que la seguridad de los padding-schemes como RSA-PSS son esenciales tanto para la seguridad de la firma como para el cifrado de mensajes, y que nunca se debería usar la misma clave para propósitos de cifrado y de autentificación.
[editar] Seguridad La seguridad del criptosistema RSA está basado en dos problemas matemáticos: el problema de factorizar números grandes y el problema RSA. El descifrado completo de un
texto cifrado con RSA es computacionalmente intratable, no se ha encontrado un algoritmo eficiente todavía para ambos problemas. Proveyendo la seguridad contra el descifrado parcial podría requerir la adición de una seguridad padding scheme. El problema del RSA se define como la tarea de tomar raíces eth módulo a componer n: recuperando un valor m tal que me=c ≡mod n, donde (e, n) es una clave pública RSA y c es el texto cifrado con RSA. Actualmente la aproximación para solventar el problema del RSA es el factor del módulo n. Con la capacidad para recuperar factores primos, un atacante puede computar el exponente secreto d desde una clave pública (e, n), entonces descifra c usando el procedimiento estándar. Para conseguir esto, un atacante factoriza n en p y q, y computa (p-1)(q-1) con lo que le permite determinar d y e. No se ha encontrado ningún método en tiempo polinómico para la factorización de enteros largos. Ver factorización de enteros para la discusión de este problema. La factorización de números grandes por lo general proponen métodos teniendo 663 bits de longitud usando métodos distribuidos avanzados. Las claves RSA son normalmente entre 1024-2048 bits de longitud. Algunos expertos creen que las claves de 1024 bits podrían comenzar a ser débiles en poco tiempo; con claves de 4096 bits podrían ser rotas en un futuro. Por lo tanto, si n es suficientemente grande el algoritmo RSA es seguro. Si n tiene 256 bits o menos, puede ser factorizado en pocas horas con un computador personal, usando software libre. Si n tiene 512 bits o menos, puede ser factorizado por varios cientos de computadoras como en 1999. Un dispositivo hardware teórico llamado TWIRL descrito por Shamir y Tromer en el 2003 cuestionó a la seguridad de claves de 1024 bits. Es actualmente recomendado que n sea como mínimo de 2048 bits de longitud. En 1993, Peter Shor publicó su algoritmo, mostrando que una computadora cuántica podría en principio mejorar la factorización en tiempo polinomial, mostrando RSA como un algoritmo obsoleto. Sin embargo, las computadoras cuánticas no se esperan que acaben su desarrollo hasta dentro de muchos años.
[editar] Consideraciones prácticas [editar] Generación de claves
Buscando números primos grandes p y q por el test de aleatoriedad y realizando tests probabilísticos de primalidad los cuales eliminan virtualmente todos los no-primos (eficientemente). Los números p y q no deberían ser suficientemente cercanos para que la factorización de Fermat para n sea exitosa. Además, si cualquier p-1 o q-1 tiene sólo factores primos pequeños, n puede ser factorizado rápidamente, con lo que estos valores de p o q deben ser descartados. Uno no debería emplear un método de búsqueda de primos con el cual dar alguna información cualquiera sobre los primos al atacante. En particular, un buen generador aleatorio de números primos para el comienzo del valor empleado. Observar que el
requerimiento esta en ambos „aleatorios‟ e „impredecibles‟. Esto no son los mismos criterios; un número podría haber sido elegido por un proceso aleatorio, pero si éste es predecible de cualquier forma (o parcialmente predecible), el método usado resultara una seguridad baja. Por ejemplo: la tabla de números aleatorios de Rand Corp en 1950 podría muy bien ser verdaderamente aleatoria, pero ha sido publicada y a ésta puede acceder el atacante. Si el atacante puede conjeturar la mitad de los dígitos de p o q, él podría rápidamente computar la otra mitad. (Ver Coppersmith en 1997). Es importante que la clave secreta d sea muy grande. Wiener mostró en 1990 que si p está entre q y 2q (es típico) y d
RSA es mucho más lento que DES y que otros criptosistemas simétricos. En la practica, Bob normalmente cifra mensajes con algoritmos simétricos, cifra la clave simétrica con RSA, y transmite a ambos la clave simétrica RSA-cifrada (es decir la transmite cifrada con RSA) y el mensaje simétricamente-cifrado a Alicia. Esto plantea además problemas adicionales de seguridad, por ejemplo, es de gran importancia usar un generador aleatorio fuerte para claves simétricas, porque de otra forma Eve (un atacante que quiera averiguar el contenido del mensaje) podría puentear la clave asimétrica de RSA mediante la adivinación de la clave simétrica.
[editar] Distribución de claves Como todos los cifrados, es importante como se distribuyan las claves públicas del RSA. La distribución de la clave debe ser segura contra un atacante que se disponga a espiar el canal para hacer un ataque de replay. Supongamos Eve (atacante) tiene alguna forma de dar a Bob arbitrariamente claves y hacerle creer que provienen de Alicia. Supongamos que Eve puede interceptar transmisiones entre Alicia y Bob. Eve envía a Bob su propia clave pública, como Bob cree que es de Alicia. Eve puede entonces interceptar cualquier texto cifrado enviado por Bob, descifrarlo con su propia clave secreta, guardar una copia del mensaje, cifrar el mensaje con la clave pública de Alicia, y enviar el nuevo texto cifrado a Alicia. En principio, ni Alicia ni Bob han detectado la presencia de Eve. Contra la defensa de ataques algunos están basados en certificados digitales u otros componentes de infraestructuras de la clave pública. RSA es un algoritmo de criptografía de clave pública que se basa en la pretendida dificultad de factorizar números grandes, el problema d e la factorización . RSA es sinónimo de Ron Rivest , Adi Shamir y Leonard Adleman , que lo describió públicamente por primera vez en 1978.
Un usuario del sistema RSA crea y publica el producto de dos grandes números primos , junto con un valor auxiliar, como su clave pública. Los factores primos deben mantenerse en secreto. Cualquier persona puede utilizar la clave pública para cifrar un mensaje, pero con los métodos actualmente publicados, si la clave pública es lo suficientemente grande, sólo alguien con el conocimiento de los factores primos factible descifrar el mensaje.
Ya sea que romper el cifrado RSA es tan difícil como el factoring es una pregunta abierta conocido como el problema del RSA .
Su descubrimiento, sin embargo, no fue revelado hasta 1998 debido a su alto secreto de clasificación, y Rivest, Shamir y Adleman RSA creado de forma independiente del trabajo de los genios.
Adi Shamir, uno de los autores de RSA: Rivest , Shamir y Adleman El algoritmo RSA fue descrito públicamente en 1978 por Ron Rivest , Adi Shamir y Leonard Adleman en el MIT , las letras RSA son las iniciales de sus apellidos, que figuran en el mismo orden que en el papel. MIT se concedió la patente de EE.UU. 4.405.829 para un "sistema de comunicación cifrado y el método" que utiliza el algoritmo en el año 1983. La patente habría expirado el 21 de septiembre de 2000 (el plazo de la patente era de 17 años en el momento), pero el a lgoritmo fue lanzado al dominio público por RSA Security , el 6 de s eptiembre de 2000, dos semanas antes.
Dado que un documento describe el algoritmo había sido publicado en agosto de 1977, antes de la 12 1977 fecha de presentación de la solicitud de patente , las regulaciones en gran parte del resto de los mundiales impedía patentes en otros lugares y sólo la EE.UU. fue concedida. Si hubiera sido el trabajo de los gallos de conocimiento público, una patente en los EE.UU. no hubiera sido posible. Desde el DWPI abstracta @ s de la patente, El sistema incluye un canal de comunicaciones acoplado a por lo menos un terminal que tiene un dispositivo de codificación y por lo menos a un terminal que tiene un dispositivo de descodificación. Un mensaje-a-ser-se cifra transferida al texto cifrado en el terminal de codificación mediante la codificación del mensaje como un número M en un grupo predeterminado. Ese número se eleva entonces a una primera potencia predeterminada (asociado con el receptor previsto) y calcula finalmente. El resto o residuo, C, es ... calculado cuando el número exponenciada se divide por el producto de dos números primos predeterminados (asociado con el receptor p revisto). Operación El algoritmo RSA consta de tres pasos: clave de la generación, el cifrado y descifrado. La generación de claves RSA consiste en una clave pública y una clave privada . La clave pública puede ser conocida por todos y se utiliza para el cifrado de mensajes. Los mensajes cifrados con la clave pública sólo pueden ser descifrados con la clave privada. Las teclas para el algoritmo RSA se generan de la siguiente manera: Elija dos distintos números primos p y q.
Por razones de seguridad, los enteros p y q deben ser elegidos al azar, y deben ser de similares bits
de longitud. Primeros números enteros pueden ser eficientemente encontrado con un test de primalidad .
Calcular n = pq. n se utiliza como el módulo , t anto para las claves públicas y privadas Calcular φ (n) = (p - 1) (q - 1), donde φ es la función de Euler totient .
Elija un correo número entero tal que 1
Sin embargo, los pequeños valores de correo (por ejemplo, 3) han demostrado ser menos seguro en algunos entornos. Determinar d = e - 1 mod φ (n), es decir, d es el inverso de la multiplicación de φ e mod (n). Esto es más claramente como resolver dada d (d * e) φ mod (n) = 1 Esto a menudo se calcula utilizando el algoritmo de Euclides extendido . d se mantiene como el exponente clave privada.
La clave pública consiste en el módulo n y el público (o cifrado) e exponente. La clave privada consiste en el módulo n y lo privado (o descifrado) exponente d que debe mantenerse en secreto. Notas: Una alternativa, utilizada por PKCS # 1 , es elegir a juego de d ≡ 1 mod con λ λ = mcm (p - 1, q - 1), donde mcm es el mínimo común múltiplo .
Uso de λ en lugar de φ (n) permite más opciones para d. λ también se pueden definir utilizando la función de Carmichael , λ (n).
El ANSI X9.31 norma prescribe, IEEE 1363 describe y PKCS # 1 permite, que p y q coincida con los requisitos adicionales: ser primos fuertes , y ser tan diferentes que la factorización de Fermat no.
Cifrado
Alice envía su clave pública (N, E) a Bob y lo mantiene en secreto la clave privada. Bob entonces quiere enviar mensaje M a Alicia. El primero se convierte en M un entero m, de tal manera que 0
h = Q_ {Inv} * (m_1-m_2) text {(mod p} texto {)} (Si m_1
Esto es más eficiente que la computación m = c ^ d texto {(mod pq} texto {)} a pesar de que dos exponenciación modular tiene que ser calculada. La razón es que estos dos exponenciación modular tanto utilizar un exponente menor y un módulo más pequeño. Un ejemplo de trabajo Aquí está un ejemplo de cifrado y descifrado RSA. Los parámetros utilizados aquí son artificialmente pequeño, pero también se puede usar OpenSSL para generar y examinar un par de claves reales . Elige dos números primos distintos, tales como p = 61 y q = 53 . Calcular n = p q dando n = 61 · 53 = 3233.
Calcular la totient del producto como Phi (n) = (p-1) (q-1) dando Phi (3.233) = (61-1) (53-1) = 3120 .
Elija cualquier número 1
Dejar e = 17 .
Calcular d , El inverso multiplicativo modular de e texto {(mod} phi (n) text {)} dando
d = 2753 .
La clave pública es ( n = 3233 , e = 17 ). Para un acolchado de texto claro mensaje m , La función de encriptación es m ^ {17} text {(mod 3233} text {)} .
La clave privada es ( n = 3233 , d = 2753 ). Para un cifrado cifrado c , La función de descifrado es c ^ {} texto 2753 {(mod 3233} texto {)} . Por ejemplo, con el fin de cifrar m = 65 , Calculamos c = 65 ^ {17} texto {(mod 3233} texto {)} = 2790 . Para descifrar c = 2790 , Calculamos m = 2790 ^ {2753} text {(mod 3233} text {)} = 65 .
Ambos de estos cálculos se puede calcular de manera eficiente con el cuadrado y multiplicar el algoritmo de exponenciación modular . En las situaciones de la vida real los números primos seleccionados sería mucho más grande, en nuestro ejemplo sería relativamente trivial para el factor n , 3 233, que se obtiene de la parte posterior de teclas de libre disposición del público a los números primos p y q . Dado e , También de la clave pública, podríamos calcular d y así adquirir la clave privada. Las implementaciones prácticas utilizar el teorema chino del resto para acelerar el cálculo utilizando el módulo de factores (mod p * q con mod mod p y q). Los valores de DP, DQ y qInv, que forman parte de la clave privada se calcula como sigue: dp = d texto {mod} (p-1) = 2,753 texto {mod} (61-1) = 53 dq = d texto {mod} (q-1) = 2,753 texto {mod} (53-1) = 49 qInv = q ^ {-1} text {} mod p = 53 ^ { -1} text {} mod 61 = 38 (Por lo tanto: qInv * q text {} mod p = 38 * 53 texto {} mod 61 = 1 )
Así es como DP, DQ y qInv se utilizan para la decodificación eficiente. (El cifrado es eficiente por la elección de e exponente público) m1 = c ^ {dp} texto {mod} p = 2,790 ^ {53} text {} mod 61 = 4 m2 = c ^ {dq} text {} mod q = 2790 ^ {49} texto {mod} 53 = 12 h = (qInv * (m1 - m2)) texto {mod} p = (38 * -8) texto {} mod 61 = 1 m = h * m2 + q = 12 + 1 * 53 = 65 (Igual al anterior, pero calcula de manera más eficiente)