AlegsaOnline.com

RSA (Rivest-Shamir-Adleman): algoritmo di crittografia a chiave pubblica

Scopri RSA: come funziona la crittografia a chiave pubblica, generazione di chiavi e sicurezza basata sulla fattorizzazione dei numeri primi.

Autore: Leandro Alegsa

04-03-2026

RSA (Rivest-Shamir-Adleman) è un algoritmo usato dai computer moderni per criptare e decriptare i messaggi. È un algoritmo crittografico asimmetrico. Asimmetrico significa che ci sono due chiavi diverse. Questa è anche chiamata crittografia a chiave pubblica, perché una delle chiavi può essere data a chiunque. L'altra chiave deve essere tenuta privata. L'algoritmo si basa sul fatto che trovare i fattori di un grande numero composto è difficile: quando i fattori sono numeri primi, il problema è chiamato fattorizzazione dei primi. È anche un generatore di coppie di chiavi (chiave pubblica e privata).

Principio di funzionamento

RSA sfrutta proprietà dell'aritmetica modulare e della difficoltà pratica della fattorizzazione di numeri molto grandi. In termini semplici: si scelgono due numeri primi grandi e, a partire da essi, si costruisce una coppia di chiavi (pubblica e privata). La chiave pubblica serve per cifrare o verificare firme, la chiave privata per decifrare o generare firme.

Generazione delle chiavi (procedura base)

Scegliere due numeri primi grandi, p e q (devono restare segreti).
Calcolare n = p × q. Il modulo n fa parte sia della chiave pubblica sia di quella privata.
Calcolare φ(n) = (p − 1) × (q − 1) (funzione totiente di Eulero).
Scegliere un esponente pubblico e tale che 1 < e < φ(n) e gcd(e, φ(n)) = 1 (spesso si usa e = 65537 per efficienza e sicurezza).
Calcolare l'esponente privato d, cioè l'inverso moltiplicativo di e modulo φ(n): d ≡ e^(−1) (mod φ(n)).
La chiave pubblica è (n, e). La chiave privata è (n, d) — in implementazioni pratiche si conservano anche p e q per accelerare le operazioni.

Crittografia e decifratura

Per utilizzare RSA i messaggi devono essere rappresentati come numeri m con 0 ≤ m < n. Le formule fondamentali sono:

Crittografia: c ≡ m^e (mod n)
Decifratura: m ≡ c^d (mod n)

Per le firme digitali si usano le stesse operazioni ma invertite:

Firma: s ≡ m^d (mod n)
Verifica: m ≡ s^e (mod n)

Esempio didattico con numeri piccoli (NON sicuro per uso reale): p = 3, q = 11 → n = 33, φ(n) = 20. Se si sceglie e = 3 allora d = 7 (perché 3×7 ≡ 1 mod 20). Per un messaggio m = 4: c = 4^3 mod 33 = 31; decifrando c^7 mod 33 si ottiene nuovamente 4.

Sicurezza: su cosa si basa e quali sono le minacce

Assunzione fondamentale: la sicurezza pratica di RSA si basa sulla difficoltà di fattorizzare n in p e q quando n è molto grande (tipicamente 2048 bit o più).
Attacchi noti: fattorizzazione diretta (algoritmi come General Number Field Sieve), attacchi dovuti a scelte errate di e, attacchi legati a padding inadeguato (es. senza padding si hanno vulnerabilità), attacchi laterali (side-channel) che sfruttano informazioni di tempo o consumo energetico, attacchi contro implementazioni che usano CRT senza protezioni).
Quantum-risk: algoritmi quantistici come l'algoritmo di Shor spezzeranno RSA combinando p e q in tempo polinomiale su un computer quantistico sufficientemente grande. Per questo motivo si stanno sviluppando e adottando alternative post-quantistiche.

Pratiche moderne e raccomandazioni

Non usare RSA da solo per cifrare grandi quantità di dati: è molto più comune l'uso ibrido — RSA per cifrare una chiave simmetrica (es. AES) e AES per i dati.
Usare sempre schemi di padding sicuri (es. OAEP per la cifratura, PSS per le firme) per prevenire attacchi legati alla struttura del messaggio.
Scegliere dimensioni delle chiavi adeguate: oggi 2048 bit è il minimo raccomandato per molte applicazioni; per sicurezza a lungo termine si preferiscono 3072 bit o 4096 bit in contesti sensibili.
Usare generatori di numeri casuali crittograficamente sicuri per la generazione di p e q; proteggere con cura la chiave privata (hardware security module, smart card, file cifrati protetti da passphrase robuste).
Affidarsi a librerie e standard consolidati (es. OpenSSL, RFC relativi a PKCS#1, PKCS#11) invece di implementare la crittografia da zero.

Applicazioni tipiche

Cifratura di chiavi (scambio di chiavi): RSA viene spesso usato per cifrare una chiave simmetrica che poi viene usata per cifrare i dati veri.
Autenticazione e firme digitali: firme RSA (con padding adeguato) verificano l'integrità e l'autenticità di documenti e messaggi.
Certificati X.509 e TLS/SSL: RSA è storicamente molto usato nei certificati e nei protocolli TLS, anche se oggi è affiancato o talvolta sostituito da algoritmi a curva ellittica (ECDSA, ECDH) o da soluzioni post-quantistiche.

Limiti e considerazioni finali

RSA è uno degli algoritmi di crittografia a chiave pubblica più famosi e diffusi, ma richiede attenzione nell'implementazione: scelte errate su dimensioni delle chiavi, padding o gestione delle chiavi possono rendere il sistema insicuro. Per applicazioni nuove o a lungo termine è opportuno valutare la migrazione verso algoritmi resistenti ai futuri computer quantistici o l'uso di alternative più efficienti in termini di prestazioni (es. crittografia a curva ellittica).

Per approfondire dal punto di vista matematico e tecnico, consultare risorse e specifiche aggiornate e utilizzare implementazioni standardizzate e ben mantenute.

Crittografia del messaggio

Alice dà la sua chiave pubblica ( n {displaystyle n\,} $n\,$ & e {displaystyle e\,} ) a $e\,$ Bob e tiene segreta la sua chiave privata. Bob vuole inviare il messaggio M ad Alice.

Prima trasforma M in un numero m {displaystyle m} più piccolo di n {displaystyle n} usando un protocollo reversibile concordato noto come schema di imbottitura. Poi calcola il testo cifrato c {displaystyle c\,} $c\,$ corrispondente a:

c = m e mod n {displaystyle c=m^{e}mod {n}} $c=m^{e}\mod {n}$

Questo può essere fatto rapidamente usando il metodo dell'esponenziazione per quadratura. Bob invia quindi c {displaystyle c\,} $c\,$ ad Alice.

Decrittazione del messaggio

Alice può recuperare m {displaystyle m\,} $m\,$ da c {displaystyle c\,} $c\,$ usando la sua chiave privata d {displaystyle d\,} $d\,$ nella seguente procedura:

m = c d mod n {displaystyle m=c^{d}{bmod {n}} $m=c^{d}{\bmod {n}}$

Dato m {displaystyle m\,} $m\,$ , può recuperare i numeri primi distinti originali, applicando il teorema del resto cinese a queste due congruenze si ottiene

m e d ≡ m mod p q {displaystyle m^{ed}equiv m{bmod {pq}} $m^{ed}\equiv m{\bmod {pq}}$ .

Così,

c d ≡ m mod n {displaystyle c^{d}equiv m{bmod {n}} $c^{d}\equiv m{\bmod {n}}$ .

Un esempio di lavoro

Ecco un esempio di crittografia e decrittografia RSA. I parametri usati qui sono artificialmente piccoli, ma potete anche usare OpenSSL per generare ed esaminare un vero keypair.

Scegli due numeri primi a caso.
: p = 61 {displaystyle p=61} $p=61$ e q = 53 ; {displaystyle q=53;} $q=53;$ Calcolare n = p q {\displaystyle n=pq\,} $n=pq\,$
: n = 61 ∗ 53 = 3233 {displaystyle n=61*53=3233} $n=61*53=3233$
Calcolare il totiente ϕ ( n ) = ( p - 1 ) ( q - 1 ) {\displaystyle \phi (n)=(p-1)(q-1)\, } $\phi (n)=(p-1)(q-1)\,$
: ϕ ( n ) = ( 61 - 1 ) ( 53 - 1 ) = 3120 {\displaystyle \phi (n)=(61-1)(53-1)=3120} $\phi (n)=(61-1)(53-1)=3120$
Scegliere e > 1 {displaystyle e>1} coprime $e>1$ a 3120
: e = 17 {\displaystyle e=17} $e=17$
Scegliere d {displaystyle d\,} $d\,$ per soddisfare d e mod ϕ ( n ) ≡ 1 {displaystyle de{bmod {\phi (n) }equiv 1\,} $de{\bmod {\phi (n)}}\equiv 1\,$
: d = 2753 {\displaystyle d=2753} $d=2753$
: 17 ∗ 2753 = 46801 = 1 + 15 ∗ 3120 {\displaystyle 17*2753=46801=1+15*3120} $17*2753=46801=1+15*3120$ .

La chiave pubblica è ( n = 3233 {displaystyle n=3233} $n=3233$ , e = 17 {displaystyle e=17} $e=17$ ). Per un messaggio imbottito m {displaystyle m\,} $m\,$ la funzione di crittografia c = m e mod n {displaystyle c=m^{e}{bmod {n}} $c=m^{e}{\bmod {n}}$ diventa:

c = m 17 mod 3 233 {displaystyle c=m^{17}{bmod {3}}233\,} $c=m^{17}{\bmod {3}}233\,$

La chiave privata è ( n = 3233 {displaystyle n=3233} $n=3233$ , d = 2753 {displaystyle d=2753} $d=2753$ ). La funzione di decrittazione m = c d mod n {displaystyle m=c^{d}{bmod {n}} $m=c^{d}{\bmod {n}}$ diventa:

m = c 2753 mod 3 233 {displaystyle m=c^{2753}{bmod {3}}233\,} $m=c^{2753}{\bmod {3}}233\,$

Per esempio, per criptare m = 123 {displaystyle m=123} $m=123$ calcoliamo

c = 123 17 mod 3 233 = 855 {displaystyle c=123^{17}{bmod {3}}233=855} $c=123^{17}{\bmod {3}}233=855$

Per decifrare c = 855 {displaystyle c=855} $c=855$ , calcoliamo

m = 855 2753 mod 3 233 = 123 {displaystyle m=855^{2753}{bmod {3}233=123} $m=855^{2753}{\bmod {3}}233=123$

Entrambi questi calcoli possono essere calcolati in modo efficiente usando l'algoritmo square-and-multiply per l'esponenziazione modulare [it].

Derivazione dell'equazione RSA dal teorema di Eulero

RSA può essere facilmente derivato usando il teorema di Eulero e la funzione totiente di Eulero.

A partire dal teorema di Eulero,

m ϕ ( n ) ≡ 1 ( mod n ) {\displaystyle m^{\phi (n)}equiv 1{\pmod {n}} $m^{\phi (n)}\equiv 1{\pmod {n}}$

dobbiamo dimostrare che decifrando un messaggio cifrato, con la chiave corretta, si ottiene il messaggio originale. Dato un messaggio imbottito m, il testo cifrato c è calcolato da

c ≡ m e ( mod n ) {displaystyle c\equiv m^{e}{pmod {n}}} $c\equiv m^{e}{\pmod {n}}$

Sostituendo nell'algoritmo di decrittazione, abbiamo

c d ≡ ( m e ) d ≡ m e d ( mod n ) {displaystyle c^{d}equiv (m^{e})^{d}equiv m^{ed}{pmod {n}} $c^{d}\equiv (m^{e})^{d}\equiv m^{ed}{\pmod {n}}$

Vogliamo dimostrare che questo valore è anche congruente a m. I valori di e e d sono stati scelti per soddisfare,

e d ≡ 1 ( mod ϕ ( n ) ) 1{pmod {\phi (n)}}} $ed\equiv 1{\pmod {\phi (n)}}$

Vale a dire che esiste un certo numero intero k, tale che

e d = k × ϕ ( n ) + 1 {displaystyle ed=k\times \phi (n)+1} $ed=k\times \phi (n)+1$

Ora sostituiamo nel messaggio criptato e poi decriptato,

m e d ≡ m k ϕ ( n ) + 1 ≡ m × m k ϕ ( n ) ≡ m × ( m ϕ ( n ) ) k ( mod n ) {\displaystyle {begin{aligned}m^{ed}&\equiv m^{k\phi (n)+1}&equiv m\times m^{k\phi (n)}&equiv m\times \left(m^{\phi (n)}destra)^{k}{pmod {n}}end{aligned}}} ${\begin{aligned}m^{ed}&\equiv m^{k\phi (n)+1}\\&\equiv m\times m^{k\phi (n)}\\&\equiv m\times \left(m^{\phi (n)}\right)^{k}{\pmod {n}}\end{aligned}}$

Applichiamo il teorema di Eulero e otteniamo il risultato.

m × ( 1 ) k ≡ m ( mod n ) {displaystyle m\times (1)^{k}equiv m{pmod {n}} $m\times (1)^{k}\equiv m{\pmod {n}}$

Schemi di imbottitura

Quando viene usato in pratica, RSA deve essere combinato con qualche forma di schema di imbottitura, in modo che nessun valore di M risulti in testi cifrati insicuri. RSA usato senza imbottitura può avere alcuni problemi:

I valori m = 0 o m = 1 producono sempre cifrari uguali a 0 o 1 rispettivamente, a causa delle proprietà dell'esponenziazione.
Quando si cripta con piccoli esponenti di crittografia (ad esempio, e = 3) e piccoli valori di m, il risultato (non modulare) di m e {displaystyle m^{e}} $m^{e}$ può essere strettamente inferiore al modulo n. In questo caso, i testi cifrati possono essere facilmente decifrati prendendo la radice etica del testo cifrato senza considerare il modulo.
La crittografia RSA è un algoritmo di crittografia deterministico. Non ha componenti casuali. Pertanto, un attaccante può lanciare con successo un attacco con testo in chiaro scelto contro il sistema crittografico. Può creare un dizionario criptando probabili testi in chiaro sotto la chiave pubblica, e memorizzando i testi cifrati risultanti. L'attaccante può quindi osservare il canale di comunicazione. Non appena vede dei testi cifrati che corrispondono a quelli del suo dizionario, l'attaccante può usare questo dizionario per imparare il contenuto del messaggio.

In pratica, i primi due problemi possono sorgere quando vengono inviati brevi messaggi ASCII. In tali messaggi, m potrebbe essere la concatenazione di uno o più caratteri codificati ASCII. Un messaggio che consiste in un singolo carattere ASCII NUL (il cui valore numerico è 0) sarebbe codificato come m = 0, che produce un testo cifrato di 0 indipendentemente dai valori di e ed N utilizzati. Allo stesso modo, un singolo carattere ASCII SOH (il cui valore numerico è 1) produrrebbe sempre un testo cifrato di 1. Per i sistemi che usano convenzionalmente piccoli valori di e, come 3, tutti i messaggi ASCII a carattere singolo codificati usando questo schema sarebbero insicuri, poiché il più grande m avrebbe un valore di 255, e 2553 è meno di qualsiasi modulo ragionevole. Tali testi in chiaro potrebbero essere recuperati semplicemente prendendo la radice del cubo del testo cifrato.

Per evitare questi problemi, le implementazioni pratiche di RSA tipicamente incorporano qualche forma di imbottitura strutturata e randomizzata nel valore m prima di cifrarlo. Questa imbottitura assicura che m non cada nella gamma dei testi in chiaro insicuri, e che un dato messaggio, una volta imbottito, verrà criptato in uno di un gran numero di diversi possibili testi cifrati. Quest'ultima proprietà può aumentare il costo di un attacco a dizionario oltre le capacità di un attaccante ragionevole.

Standard come il PKCS sono stati attentamente progettati per imbottire in modo sicuro i messaggi prima della crittografia RSA. Poiché questi schemi imbottiscono il testo in chiaro m con un certo numero di bit aggiuntivi, la dimensione del messaggio non imbottito M deve essere un po' più piccola. Gli schemi di imbottitura RSA devono essere attentamente progettati in modo da prevenire attacchi sofisticati. Questo può essere reso più facile da una struttura prevedibile del messaggio. Le prime versioni dello standard PKCS usavano costruzioni ad-hoc, che in seguito si sono rivelate vulnerabili ad un pratico attacco adattativo al cifrario scelto. Le costruzioni moderne usano tecniche sicure come l'Optimal Asymmetric Encryption Padding (OAEP) per proteggere i messaggi e prevenire questi attacchi. Lo standard PKCS ha anche schemi di elaborazione progettati per fornire ulteriore sicurezza per le firme RSA, ad esempio, lo schema di firma probabilistica per RSA (RSA-PSS).

Firma dei messaggi

Supponiamo che Alice usi la chiave pubblica di Bob per inviargli un messaggio criptato. Nel messaggio, lei può affermare di essere Alice, ma Bob non ha modo di verificare che il messaggio provenga effettivamente da Alice, poiché chiunque può usare la chiave pubblica di Bob per inviargli messaggi criptati. Quindi, per verificare l'origine di un messaggio, RSA può anche essere usato per firmare un messaggio.

Supponiamo che Alice voglia inviare un messaggio firmato a Bob. Produce un valore di hash del messaggio, lo eleva alla potenza di d mod n (proprio come quando si decifra un messaggio), e lo attacca come "firma" al messaggio. Quando Bob riceve il messaggio firmato, eleva la firma alla potenza di e mod n (proprio come quando si cripta un messaggio), e confronta il valore hash risultante con il valore hash effettivo del messaggio. Se i due concordano, egli sa che l'autore del messaggio era in possesso della chiave segreta di Alice, e che il messaggio non è stato manomesso da allora.

Si noti che gli schemi di imbottitura sicura come RSA-PSS sono essenziali per la sicurezza della firma dei messaggi come lo sono per la cifratura dei messaggi, e che la stessa chiave non dovrebbe mai essere usata sia per la cifratura che per la firma.

Domande e risposte

D: Cos'è l'RSA?

R: RSA (Rivest-Shamir-Adleman) è un algoritmo utilizzato dai computer moderni per criptare e decriptare i messaggi. Si tratta di un algoritmo crittografico asimmetrico.

D: Cosa significa asimmetrico?

R: Asimmetrico significa che ci sono due chiavi diverse: una chiave pubblica e una chiave privata.

D: Qual è la base dell'algoritmo RSA?

R: L'algoritmo si basa sul fatto che trovare i fattori di un grande numero composito è difficile - quando i fattori sono numeri primi, questo problema si chiama fattorizzazione dei primi.

D: Come funziona l'RSA?

R: L'RSA prevede una chiave pubblica e una chiave privata. La chiave pubblica può essere conosciuta da tutti - viene utilizzata per criptare i messaggi. I messaggi crittografati con la chiave pubblica possono essere decifrati solo con la chiave privata, che deve essere mantenuta segreta. Calcolare la chiave privata dalla chiave pubblica è molto difficile.

D: Esiste un altro nome per questo tipo di crittografia?

R: Questo tipo di crittografia si chiama anche crittografia a chiave pubblica, perché una delle chiavi può essere data a chiunque, mantenendo l'altra privata.

D: L'RSA genera una coppia di chiavi?

R: Sì, RSA genera una coppia di chiavi - una chiave pubblica e una privata - che vengono utilizzate rispettivamente per la crittografia e la decrittografia.