RSA算法原理

若是你問我，哪種算法最重要？

我可能會回答"公鑰加密算法"。

由於它是計算機通訊安全的基石，保證了加密數據不會被破解。你能夠想象一下，信用卡交易被破解的後果。

進入正題以前，我先簡單介紹一下，什麼是"公鑰加密算法"。

1、一點歷史

1976年之前，全部的加密方法都是同一種模式：

　　（1）甲方選擇某一種加密規則，對信息進行加密；

　　（2）乙方使用同一種規則，對信息進行解密。

因爲加密和解密使用一樣規則（簡稱"密鑰"），這被稱爲"對稱加密算法"（Symmetric-key algorithm）。

這種加密模式有一個最大弱點：甲方必須把加密規則告訴乙方，不然沒法解密。保存和傳遞密鑰，就成了最頭疼的問題。

1976年，兩位美國計算機學家Whitfield Diffie 和 Martin Hellman，提出了一種嶄新構思，能夠在不直接傳遞密鑰的狀況下，完成解密。這被稱爲"Diffie-Hellman密鑰交換算法"。這個算法啓發了其餘科學家。人們認識到，加密和解密可使用不一樣的規則，只要這兩種規則之間存在某種對應關係便可，這樣就避免了直接傳遞密鑰。

這種新的加密模式被稱爲"非對稱加密算法"。

　　（1）乙方生成兩把密鑰（公鑰和私鑰）。公鑰是公開的，任何人均可以得到，私鑰則是保密的。

　　（2）甲方獲取乙方的公鑰，而後用它對信息加密。

　　（3）乙方獲得加密後的信息，用私鑰解密。

若是公鑰加密的信息只有私鑰解得開，那麼只要私鑰不泄漏，通訊就是安全的。

1977年，三位數學家Rivest、Shamir 和 Adleman 設計了一種算法，能夠實現非對稱加密。這種算法用他們三我的的名字命名，叫作RSA算法。從那時直到如今，RSA算法一直是最廣爲使用的"非對稱加密算法"。絕不誇張地說，只要有計算機網絡的地方，就有RSA算法。

這種算法很是可靠，密鑰越長，它就越難破解。根據已經披露的文獻，目前被破解的最長RSA密鑰是768個二進制位。也就是說，長度超過768位的密鑰，還沒法破解（至少沒人公開宣佈）。所以能夠認爲，1024位的RSA密鑰基本安全，2048位的密鑰極其安全。

下面，我就進入正題，解釋RSA算法的原理。文章共分紅兩部分，今天是第一部分，介紹要用到的四個數學概念。你能夠看到，RSA算法並不難，只須要一點數論知識就能夠理解。

2、互質關係

若是兩個正整數，除了1之外，沒有其餘公因子，咱們就稱這兩個數是互質關係（coprime）。好比，15和32沒有公因子，因此它們是互質關係。這說明，不是質數也能夠構成互質關係。

關於互質關係，不可貴到如下結論：

　　1. 任意兩個質數構成互質關係，好比13和61。

　　2. 一個數是質數，另外一個數只要不是前者的倍數，二者就構成互質關係，好比3和10。

　　3. 若是兩個數之中，較大的那個數是質數，則二者構成互質關係，好比97和57。

　　4. 1和任意一個天然數是都是互質關係，好比1和99。

　　5. p是大於1的整數，則p和p-1構成互質關係，好比57和56。

　　6. p是大於1的奇數，則p和p-2構成互質關係，好比17和15。

3、歐拉函數

請思考如下問題：

　　任意給定正整數n，請問在小於等於n的正整數之中，有多少個與n構成互質關係？（好比，在1到8之中，有多少個數與8構成互質關係？）

計算這個值的方法就叫作歐拉函數，以φ(n)表示。在1到8之中，與8造成互質關係的是一、三、五、7，因此 φ(n) = 4。

φ(n) 的計算方法並不複雜，可是爲了獲得最後那個公式，須要一步步討論。

第一種狀況

若是n=1，則 φ(1) = 1 。由於1與任何數（包括自身）都構成互質關係。

第二種狀況

若是n是質數，則 φ(n)=n-1 。由於質數與小於它的每個數，都構成互質關係。好比5與一、二、三、4都構成互質關係。

第三種狀況

若是n是質數的某一個次方，即 n = p^k (p爲質數，k爲大於等於1的整數)，則

好比 φ(8) = φ(2^3) =2^3 - 2^2 = 8 -4 = 4。

這是由於只有當一個數不包含質數p，纔可能與n互質。而包含質數p的數一共有p^(k-1)個，即1×p、2×p、3×p、...、p^(k-1)×p，把它們去除，剩下的就是與n互質的數。

上面的式子還能夠寫成下面的形式：

能夠看出，上面的第二種狀況是 k=1 時的特例。

第四種狀況

若是n能夠分解成兩個互質的整數之積，

　　n = p1 × p2

則

　　φ(n) = φ(p1p2) = φ(p1)φ(p2)

即積的歐拉函數等於各個因子的歐拉函數之積。好比，φ(56)=φ(8×7)=φ(8)×φ(7)=4×6=24。

這一條的證實要用到"中國剩餘定理"，這裏就不展開了，只簡單說一下思路：若是a與p1互質(a<p1)，b與p2互質(b<p2)，c與p1p2互質(c<p1p2)，則c與數對 (a,b) 是一一對應關係。因爲a的值有φ(p1)種可能，b的值有φ(p2)種可能，則數對 (a,b) 有φ(p1)φ(p2)種可能，而c的值有φ(p1p2)種可能，因此φ(p1p2)就等於φ(p1)φ(p2)。

第五種狀況

由於任意一個大於1的正整數，均可以寫成一系列質數的積。

根據第4條的結論，獲得

再根據第3條的結論，獲得

也就等於

這就是歐拉函數的通用計算公式。好比，1323的歐拉函數，計算過程以下：

4、歐拉定理

歐拉函數的用處，在於歐拉定理。"歐拉定理"指的是：

若是兩個正整數a和n互質，則n的歐拉函數 φ(n) 可讓下面的等式成立：

也就是說，a的φ(n)次方被n除的餘數爲1。或者說，a的φ(n)次方減去1，能夠被n整除。好比，3和7互質，而7的歐拉函數φ(7)等於6，因此3的6次方（729）減去1，能夠被7整除（728/7=104）。

歐拉定理的證實比較複雜，這裏就省略了。咱們只要記住它的結論就好了。

歐拉定理能夠大大簡化某些運算。好比，7和10互質，根據歐拉定理，

已知 φ(10) 等於4，因此立刻獲得7的4倍數次方的個位數確定是1。

所以，7的任意次方的個位數（例如7的222次方），心算就能夠算出來。

歐拉定理有一個特殊狀況。

假設正整數a與質數p互質，由於質數p的φ(p)等於p-1，則歐拉定理能夠寫成

這就是著名的費馬小定理。它是歐拉定理的特例。

歐拉定理是RSA算法的核心。理解了這個定理，就能夠理解RSA。

5、模反元素

還剩下最後一個概念：

若是兩個正整數a和n互質，那麼必定能夠找到整數b，使得 ab-1 被n整除，或者說ab被n除的餘數是1。

這時，b就叫作a的"模反元素"。

好比，3和11互質，那麼3的模反元素就是4，由於 (3 × 4)-1 能夠被11整除。顯然，模反元素不止一個， 4加減11的整數倍都是3的模反元素 {...,-18,-7,4,15,26,...}，即若是b是a的模反元素，則 b+kn 都是a的模反元素。

歐拉定理能夠用來證實模反元素必然存在。

能夠看到，a的 φ(n)-1 次方，就是a的模反元素。

==========================================

好了，須要用到的數學工具，所有介紹完了。RSA算法涉及的數學知識，就是上面這些，下一次我就來介紹公鑰和私鑰究竟是怎麼生成的。

 

 

上一次，我介紹了一些數論知識。

有了這些知識，咱們就能夠看懂RSA算法。這是目前地球上最重要的加密算法。

6、密鑰生成的步驟

咱們經過一個例子，來理解RSA算法。假設愛麗絲要與鮑勃進行加密通訊，她該怎麼生成公鑰和私鑰呢？

第一步，隨機選擇兩個不相等的質數p和q。

愛麗絲選擇了61和53。（實際應用中，這兩個質數越大，就越難破解。）

第二步，計算p和q的乘積n。

愛麗絲就把61和53相乘。

　　n = 61×53 = 3233

n的長度就是密鑰長度。3233寫成二進制是110010100001，一共有12位，因此這個密鑰就是12位。實際應用中，RSA密鑰通常是1024位，重要場合則爲2048位。

第三步，計算n的歐拉函數φ(n)。

根據公式：

　　φ(n) = (p-1)(q-1)

愛麗絲算出φ(3233)等於60×52，即3120。

第四步，隨機選擇一個整數e，條件是1< e < φ(n)，且e與φ(n) 互質。

愛麗絲就在1到3120之間，隨機選擇了17。（實際應用中，經常選擇65537。）

第五步，計算e對於φ(n)的模反元素d。

所謂"模反元素"就是指有一個整數d，可使得ed被φ(n)除的餘數爲1。

　　ed ≡ 1 (mod φ(n))

這個式子等價於

　　ed - 1 = kφ(n)

因而，找到模反元素d，實質上就是對下面這個二元一次方程求解。

　　ex + φ(n)y = 1

已知 e=17, φ(n)=3120，

　　17x + 3120y = 1

這個方程能夠用"擴展歐幾里得算法"求解，此處省略具體過程。總之，愛麗絲算出一組整數解爲 (x,y)=(2753,-15)，即 d=2753。

至此全部計算完成。

第六步，將n和e封裝成公鑰，n和d封裝成私鑰。

在愛麗絲的例子中，n=3233，e=17，d=2753，因此公鑰就是 (3233,17)，私鑰就是（3233, 2753）。

實際應用中，公鑰和私鑰的數據都採用ASN.1格式表達（實例）。

7、RSA算法的可靠性

回顧上面的密鑰生成步驟，一共出現六個數字：

　　p
　　q
　　n
　　φ(n)
　　e
　　d

這六個數字之中，公鑰用到了兩個（n和e），其他四個數字都是不公開的。其中最關鍵的是d，由於n和d組成了私鑰，一旦d泄漏，就等於私鑰泄漏。

那麼，有無可能在已知n和e的狀況下，推導出d？

　　（1）ed≡1 (mod φ(n))。只有知道e和φ(n)，才能算出d。

　　（2）φ(n)=(p-1)(q-1)。只有知道p和q，才能算出φ(n)。

　　（3）n=pq。只有將n因數分解，才能算出p和q。

結論：若是n能夠被因數分解，d就能夠算出，也就意味着私鑰被破解。

但是，大整數的因數分解，是一件很是困難的事情。目前，除了暴力破解，尚未發現別的有效方法。維基百科這樣寫道：

　　"對極大整數作因數分解的難度決定了RSA算法的可靠性。換言之，對一極大整數作因數分解愈困難，RSA算法愈可靠。

　　假若有人找到一種快速因數分解的算法，那麼RSA的可靠性就會極度降低。但找到這樣的算法的可能性是很是小的。今天只有短的RSA密鑰纔可能被暴力破解。到2008年爲止，世界上尚未任何可靠的攻擊RSA算法的方式。

　　只要密鑰長度足夠長，用RSA加密的信息其實是不能被解破的。"

舉例來講，你能夠對3233進行因數分解（61×53），可是你無法對下面這個整數進行因數分解。

　　12301866845301177551304949
　　58384962720772853569595334
　　79219732245215172640050726
　　36575187452021997864693899
　　56474942774063845925192557
　　32630345373154826850791702
　　61221429134616704292143116
　　02221240479274737794080665
　　351419597459856902143413

它等於這樣兩個質數的乘積：

　　33478071698956898786044169
　　84821269081770479498371376
　　85689124313889828837938780
　　02287614711652531743087737
　　814467999489
　　　　×
　　36746043666799590428244633
　　79962795263227915816434308
　　76426760322838157396665112
　　79233373417143396810270092
　　798736308917

事實上，這大概是人類已經分解的最大整數（232個十進制位，768個二進制位）。比它更大的因數分解，尚未被報道過，所以目前被破解的最長RSA密鑰就是768位。

8、加密和解密

有了公鑰和密鑰，就能進行加密和解密了。

（1）加密要用公鑰 (n,e)

假設鮑勃要向愛麗絲髮送加密信息m，他就要用愛麗絲的公鑰 (n,e) 對m進行加密。這裏須要注意，m必須是整數（字符串能夠取ascii值或unicode值），且m必須小於n。

所謂"加密"，就是算出下式的c：

　　m^e ≡ c (mod n)

愛麗絲的公鑰是 (3233, 17)，鮑勃的m假設是65，那麼能夠算出下面的等式：

　　65¹⁷ ≡ 2790 (mod 3233)

因而，c等於2790，鮑勃就把2790發給了愛麗絲。

（2）解密要用私鑰(n,d)

愛麗絲拿到鮑勃發來的2790之後，就用本身的私鑰(3233, 2753) 進行解密。能夠證實，下面的等式必定成立：

　　c^d ≡ m (mod n)

也就是說，c的d次方除以n的餘數爲m。如今，c等於2790，私鑰是(3233, 2753)，那麼，愛麗絲算出

　　2790²⁷⁵³ ≡ 65 (mod 3233)

所以，愛麗絲知道了鮑勃加密前的原文就是65。

至此，"加密--解密"的整個過程所有完成。

咱們能夠看到，若是不知道d，就沒有辦法從c求出m。而前面已經說過，要知道d就必須分解n，這是極難作到的，因此RSA算法保證了通訊安全。

你可能會問，公鑰(n,e) 只能加密小於n的整數m，那麼若是要加密大於n的整數，該怎麼辦？有兩種解決方法：一種是把長信息分割成若干段短消息，每段分別加密；另外一種是先選擇一種"對稱性加密算法"（好比DES），用這種算法的密鑰加密信息，再用RSA公鑰加密DES密鑰。

9、私鑰解密的證實

最後，咱們來證實，爲何用私鑰解密，必定能夠正確地獲得m。也就是證實下面這個式子：

　　c^d ≡ m (mod n)

由於，根據加密規則

　　ｍ^e ≡ c (mod n)

因而，c能夠寫成下面的形式：

　　c = m^e - kn

將c代入要咱們要證實的那個解密規則：

　　(m^e - kn)^d ≡ m (mod n)

它等同於求證

　　m^ed ≡ m (mod n)

因爲

　　ed ≡ 1 (mod φ(n))

因此

　　ed = hφ(n)+1

將ed代入：

　　m^hφ(n)+1 ≡ m (mod n)

接下來，分紅兩種狀況證實上面這個式子。

（1）m與n互質。

根據歐拉定理，此時

　　m^φ(n) ≡ 1 (mod n)

獲得

　　(m^φ(n))^h × m ≡ m (mod n)

原式獲得證實。

（2）m與n不是互質關係。

此時，因爲n等於質數p和q的乘積，因此m必然等於kp或kq。

以 m = kp爲例，考慮到這時k與q必然互質，則根據歐拉定理，下面的式子成立：

　　(kp)^q-1 ≡ 1 (mod q)

進一步獲得

　　[(kp)^q-1]^h(p-1) × kp ≡ kp (mod q)

即

　　(kp)^ed ≡ kp (mod q)

將它改寫成下面的等式

　　(kp)^ed = tq + kp

這時t必然能被p整除，即 t=t'p

　　(kp)^ed = t'pq + kp

由於 m=kp，n=pq，因此

　　m^ed ≡ m (mod n)

原式獲得證實。

 

 

 

做者：鄭一軒
連接：https://www.zhihu.com/question/33645891/answer/57512229
來源：知乎
著做權歸做者全部。商業轉載請聯繫做者得到受權，非商業轉載請註明出處。

首先，每一個用戶都有兩把鑰匙，一把公鑰一把私鑰。公鑰是對外發布的，全部人都看的到全部人的公鑰，私鑰是本身保存，每一個人都只知道本身的私鑰而不知作別人的。

用該用戶的公鑰加密後只能該用戶的私鑰才能解密。這種狀況下，公鑰是用來加密信息的，確保只有特定的人（用誰的公鑰就是誰）才能解密該信息。
下面我拿A銀行和小明來舉例子吧。
假設這2者之間是用不對稱的加密算法來保證信息傳輸的安全性（不被第三人知道信息的含義及篡改信息）。大體流程以下：
首先小明發了一條信息給A銀行「我要存500元」。這條信息小明會根據A銀行的對外發布的公鑰把這條信息加密了，加密以後，變成「XXXXXXX」發給A銀行。中間被第三者截獲，因爲沒有A銀行的私鑰沒法解密，不能知道信息的含義，也沒法按正確的方式篡改。因此拿這條加密信息是沒辦法的。最後被A銀行接受，A銀行用本身的私鑰去解密這條信息，解密成功，讀取內容，執行操做。而後得知消息是小明發來的，便去拿小明的公鑰，把「操做成功（或失敗）」這條信息用小明的公鑰加密，發給小明。同理最後小明用本身的私鑰解開，得知知乎發來的信息內容。其餘人截獲由於沒有小明的私鑰因此也沒有用。

還有第二種狀況，公鑰是用來解密信息的，確保讓別人知道這條信息是真的由我發佈的，是完整正確的。接收者由此可知這條信息確實來自於擁有私鑰的某人，這被稱做數字簽名，公鑰的形式就是數字證書。怎麼理解呢？

繼續拿小明和銀行A舉例子。銀行A發佈了一個銀行客戶端的補丁供全部用戶更新，那爲了確保人家下載的是正確完整的客戶端，銀行A會爲這個程序打上一個數字簽名（就是用銀行A的私鑰對這個程序加密而後發佈），你須要在你的電腦裏裝上銀行A的數字證書（就是銀行對外發布的公鑰），而後下載好這個程序，數字證書會去解密這個程序的數字簽名，解密成功，補丁得以使用。同時你能知道這個補丁確實是來自這個銀行A，是由他發佈的，而不是其餘人發佈的。

若是想了解算法的數學原理,能夠看這篇博客：
RSA算法原理（一）
RSA算法原理（二）