蒙哥馬利乘法原理

引子

加密算法中，有很多大數(shù)（256bits~2048bits）的運(yùn)算急凰，基礎(chǔ)之一便是類似于求 $A\cdot B\pmod N$ 的值。在這個(gè)運(yùn)算中猜年，有乘法和取模抡锈，而取模需要除法，這在計(jì)算機(jī)中是極為耗時(shí)的乔外，為了讓計(jì)算機(jī)可以快速的執(zhí)行取模運(yùn)算床三，我們需要將除法轉(zhuǎn)變?yōu)橛?jì)算機(jī)擅長(zhǎng)的運(yùn)算。

普通人的思路

在計(jì)算機(jī)的世界里杨幼，首先一個(gè)很自然的想法就是將數(shù)據(jù)表示成二進(jìn)制：
$A=\sum_{i=0}^{k-1} a_i\cdot 2^i$
則 $A\cdot B\pmod N$ 可寫為：
$A\cdot B\pmod N=(\sum_{i=0}^{k-1} a_i\cdot2^i\cdot B)\pmod N$
如此撇簿，便可用如下程序?qū)崿F(xiàn)該過(guò)程：

for k-1 to 0
    C*=2;
    C+=a[i]*B;
endfor
return C % N;

上述過(guò)程只是將大數(shù)的乘法簡(jiǎn)化為乘2和加法聂渊，乘2即左移。但是還有一個(gè)問(wèn)題四瘫，因?yàn)檠h(huán)中有乘2的操作汉嗽，所以循環(huán)運(yùn)算的中間值會(huì)超過(guò)k比特，會(huì)占用更多的資源找蜜。利用取模運(yùn)算的性質(zhì)饼暑，我們可以把取模運(yùn)算放入循環(huán)體中：

for k-1 to 0
    C*=2;
    C=C%N;
    C+=a[i]*B;
    C=C%N;
endfor
return C;

如此中間值就不會(huì)超過(guò)k+1比特，這樣就剩下取模運(yùn)算沒有化簡(jiǎn)了洗做」眩考慮到我們的數(shù)是以二進(jìn)制表示的，在運(yùn)算過(guò)程中诚纸，不論是 $C*=2$ 還是 $C+=a[i]*B$ 撰筷， $C$ 的值都小于 $2N$ ，因此取模運(yùn)算可以變成一個(gè)比較和減法：

for k-1 to 0
    C*=2;
    C=(C>=N)? C-N,C;
    C+=a[i]*B;
    C=(C>=N)? C-N,C;
endfor
return C;

事情看起來(lái)非常美好咬清，取模沒有了闭专，乘法也變成了移位。但是該方法需要循環(huán)的次數(shù)太多旧烧。如想要減少循環(huán)次數(shù)影钉，就不能用二進(jìn)制表示，而如果我們用 $r$ 進(jìn)制表示 $(r>2)$ 掘剪，那么循環(huán)體中的取模就不能再用減法取代了平委，因?yàn)?img class="math-inline" src="https://math.jianshu.com/math?formula=C" alt="C" mathimg="1">可能大于 $2N$ 。前方是一條死路夺谁，要想獲得更好的性能廉赔，只有另辟蹊徑。

蒙哥馬利的想法

考慮到 $A\pmod N$ 的化簡(jiǎn)最簡(jiǎn)單的就是減法匾鸥，而這需要 $A\in[0,2N)$ 蜡塌。想要減少循環(huán)次數(shù)，就需要 $r$ 進(jìn)制表示 $(r>2)$ 勿负。為了滿足這兩個(gè)條件馏艾，我們考慮這樣一種算法：
$A\cdot B\cdot r^{-k}\pmod N$
其中
$A=\sum_{i=0}^{k-1} a_i\cdot r^i$
$k$ 為 $N$ 以 $r$ 進(jìn)制表示時(shí)的位數(shù)
代入上式即得：
$A\cdot B\cdot r^{-k}\pmod N=(\sum_{i=0}^{k-1} a_i\cdot r^i\cdot B\cdot r^{-k})\pmod N$
程序?qū)崿F(xiàn)：

for k-1 to 0
    C+=a[i]*B;
    C/=r;
endfor
return C % N;

這樣的實(shí)現(xiàn)是不準(zhǔn)確的，因?yàn)镃不一定是r的倍數(shù)奴愉，當(dāng)C/=r時(shí)琅摩，會(huì)得到不準(zhǔn)確的結(jié)果。因此锭硼，在計(jì)算C/=r的之前房资，需要先加上一個(gè)值，使C可以被r整除檀头，但加上的值又能不影響取模的最終結(jié)果轰异，因此這個(gè)值應(yīng)為N的整數(shù)倍岖沛。
不妨設(shè)其為 $qN$ ，則:

for k-1 to 0
    C+=a[i]*B+q*N;
    C/=r;
endfor
return C % N;

我們的要求是 $(C+a[i]*B+q*N)\pmod r\equiv0$ 搭独，即 $(C_0+a[i]*B_0+q*N_0)\pmod r\equiv0$ 烫止，其中 $C_0,B_0和N_0$ 為 $C，B戳稽，N$ 以 $r$ 進(jìn)制表示時(shí)的個(gè)位數(shù)的值馆蠕。很容易看出其中一個(gè)q的解為 $(C_0+a[i]*B_0)*(-N_0^{-1})\pmod r$ ，因此上述程序可改為：

c0= 0;
b0= B % r;
n0= N % r;
w = -n0^(-1) % r;
for k-1 to 0
    q=(c0+a[i]*b0)*w;
    q=q % r;
    C+=a[i]*B+q*N;
    C/=r;
    c0=C % r;
endfor
return C % N;

最后跳出循環(huán)時(shí)惊奇，C的值小于2N互躬，因此：

c0= 0;
b0= B % r;
n0= N % r;
w = -n0^(-1) % r;
for k-1 to 0
    q=(c0+a[i]*b0)*w;
    q=q % r;
    C+=a[i]*B+q*N;
    C/=r;
    c0=C % r;
endfor
return (C>=N)? C-N,C;

這樣，我們就把取模運(yùn)算變換成了移位颂郎，乘法和加減吼渡。b0，n0和w都可以預(yù)計(jì)算乓序，循環(huán)次數(shù)k也可以調(diào)整寺酪，例如數(shù)據(jù)A,B為1024bits，用二進(jìn)制表示計(jì)算時(shí)k=1024替劈，用 $r=2^{64}$ 進(jìn)制表示時(shí)寄雀，k=16，只不過(guò)循環(huán)中的乘法變成了64位與1024位的乘法陨献。在對(duì)該算法進(jìn)行優(yōu)化的時(shí)候可以選取適當(dāng)?shù)膋和r盒犹。
這個(gè)計(jì)算機(jī)可以較為輕松的處理的算法， $A\cdot B\cdot r^{-k}\pmod N$ 眨业，就是廣泛使用的蒙哥馬利算法急膀，我們記為 $mont\_prod(A,B)$ ，那么怎么把它和 $A\cdot B\pmod N$ 聯(lián)系起來(lái)呢龄捡？很簡(jiǎn)單卓嫂，多用幾次就行了：

$\hat A=mont\_prod(A,r^{2k})$
$\hat B=mont\_prod(B,r^{2k})$
$\hat C=mont\_prod(\hat A,\hat B)$
$C=mont\_prod(\hat C,1)$

前兩步稱為進(jìn)入蒙哥馬利域，最后一步稱為退出蒙哥馬利域聘殖，又叫蒙哥馬利約減晨雳。從步驟上看，我們好像把事情搞復(fù)雜了就斤，本來(lái)一個(gè)乘法取模的運(yùn)算悍募，我們用了四個(gè)蒙哥馬利乘法蘑辑，其實(shí)不然洋机，一方面蒙哥馬利乘法是針對(duì)計(jì)算機(jī)操作優(yōu)化過(guò)的，另一方面洋魂，在RSA中绷旗，需要用到 $A^E\pmod N$ 這樣的模冪運(yùn)算喜鼓，也就是多次的模乘運(yùn)算，這時(shí)蒙哥馬利乘法相較于直接的模乘就會(huì)提升更多的性能衔肢。

結(jié)語(yǔ)

上面簡(jiǎn)單介紹了蒙哥馬利乘法的原理和應(yīng)用庄岖，針對(duì)該算法的硬件和軟件實(shí)現(xiàn)，前人進(jìn)行了大量的優(yōu)化研究工作角骤，基本方向是優(yōu)化循環(huán)體中的乘法運(yùn)算隅忿，加法運(yùn)算以及循環(huán)體外的減法運(yùn)算，但是萬(wàn)變不離其宗邦尊，只要理解了原理背桐，再去看論文就會(huì)輕松許多。

最后編輯于：2019.10.21 15:27:55

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末蝉揍，一起剝皮案震驚了整個(gè)濱河市链峭，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌又沾，老刑警劉巖弊仪，帶你破解...
沈念sama閱讀 212,718評(píng)論 6贊 492
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場(chǎng)離奇詭異杖刷，居然都是意外死亡励饵，警方通過(guò)查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 90,683評(píng)論 3贊 385
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門滑燃，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)曲横，“玉大人，你說(shuō)我怎么就攤上這事不瓶『碳担” “怎么了？”我有些...
開封第一講書人閱讀 158,207評(píng)論 0贊 348
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵蚊丐，是天一觀的道長(zhǎng)熙参。經(jīng)常有香客問(wèn)我，道長(zhǎng)麦备，這世上最難降的妖魔是什么孽椰？我笑而不...
開封第一講書人閱讀 56,755評(píng)論 1贊 284
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮凛篙，結(jié)果婚禮上黍匾，老公的妹妹穿的比我還像新娘。我一直安慰自己呛梆，他們只是感情好锐涯，可當(dāng)我...
茶點(diǎn)故事閱讀 65,862評(píng)論 6贊 386
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開白布。她就那樣靜靜地躺著填物，像睡著了一般纹腌。火紅的嫁衣襯著肌膚如雪霎终。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 50,050評(píng)論 1贊 291
城市分裂傳說(shuō)
那天升薯，我揣著相機(jī)與錄音莱褒，去河邊找鬼。笑死涎劈，一個(gè)胖子當(dāng)著我的面吹牛广凸，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播蛛枚，決...
沈念sama閱讀 39,136評(píng)論 3贊 410
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼炮障，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來(lái)了坤候？” 一聲冷哼從身側(cè)響起胁赢，我...
開封第一講書人閱讀 37,882評(píng)論 0贊 268
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎白筹，沒想到半個(gè)月后智末，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 44,330評(píng)論 1贊 303
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡徒河，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 36,651評(píng)論 2贊 327
?白月光啟示錄
正文我和宋清朗相戀三年系馆，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片顽照。...
茶點(diǎn)故事閱讀 38,789評(píng)論 1贊 341
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡由蘑，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出代兵，到底是詐尸還是另有隱情尼酿，我是刑警寧澤，帶...
沈念sama閱讀 34,477評(píng)論 4贊 333
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布植影，位于F島的核電站裳擎，受9級(jí)特大地震影響，放射性物質(zhì)發(fā)生泄漏思币。R本人自食惡果不足惜鹿响，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 40,135評(píng)論 3贊 317
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望谷饿。院中可真熱鬧惶我，春花似錦、人聲如沸博投。這莊子的主人今日做“春日...
開封第一講書人閱讀 30,864評(píng)論 0贊 21
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)。三九已至恃轩，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間黎做，已是汗流浹背叉跛。一陣腳步聲響...
開封第一講書人閱讀 32,099評(píng)論 1贊 267
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留蒸殿，地道東北人筷厘。一個(gè)月前我還...
沈念sama閱讀 46,598評(píng)論 2贊 362
代替公主和親
正文我出身青樓，卻偏偏與公主長(zhǎng)得像宏所，于是被迫代替她去往敵國(guó)和親酥艳。傳聞我的和親對(duì)象是個(gè)殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 43,697評(píng)論 2贊 351

蒙哥馬利乘法原理

引子

普通人的思路

蒙哥馬利的想法

結(jié)語(yǔ)

推薦閱讀更多精彩內(nèi)容