RSA算法原理

若是你问我，哪种算法最重要？

我可能会回答"公钥加密算法"。

由于它是计算机通讯安全的基石，保证了加密数据不会被破解。你能够想象一下，信用卡交易被破解的后果。

进入正题以前，我先简单介绍一下，什么是"公钥加密算法"。

1、一点历史

1976年之前，全部的加密方法都是同一种模式：

　　（1）甲方选择某一种加密规则，对信息进行加密；

　　（2）乙方使用同一种规则，对信息进行解密。

因为加密和解密使用一样规则（简称"密钥"），这被称为"对称加密算法"（Symmetric-key algorithm）。

这种加密模式有一个最大弱点：甲方必须把加密规则告诉乙方，不然没法解密。保存和传递密钥，就成了最头疼的问题。

1976年，两位美国计算机学家Whitfield Diffie 和 Martin Hellman，提出了一种崭新构思，能够在不直接传递密钥的状况下，完成解密。这被称为"Diffie-Hellman密钥交换算法"。这个算法启发了其余科学家。人们认识到，加密和解密可使用不一样的规则，只要这两种规则之间存在某种对应关系便可，这样就避免了直接传递密钥。

这种新的加密模式被称为"非对称加密算法"。

　　（1）乙方生成两把密钥（公钥和私钥）。公钥是公开的，任何人均可以得到，私钥则是保密的。

　　（2）甲方获取乙方的公钥，而后用它对信息加密。

　　（3）乙方获得加密后的信息，用私钥解密。

若是公钥加密的信息只有私钥解得开，那么只要私钥不泄漏，通讯就是安全的。

1977年，三位数学家Rivest、Shamir 和 Adleman 设计了一种算法，能够实现非对称加密。这种算法用他们三我的的名字命名，叫作RSA算法。从那时直到如今，RSA算法一直是最广为使用的"非对称加密算法"。绝不夸张地说，只要有计算机网络的地方，就有RSA算法。

这种算法很是可靠，密钥越长，它就越难破解。根据已经披露的文献，目前被破解的最长RSA密钥是768个二进制位。也就是说，长度超过768位的密钥，还没法破解（至少没人公开宣布）。所以能够认为，1024位的RSA密钥基本安全，2048位的密钥极其安全。

下面，我就进入正题，解释RSA算法的原理。文章共分红两部分，今天是第一部分，介绍要用到的四个数学概念。你能够看到，RSA算法并不难，只须要一点数论知识就能够理解。

2、互质关系

若是两个正整数，除了1之外，没有其余公因子，咱们就称这两个数是互质关系（coprime）。好比，15和32没有公因子，因此它们是互质关系。这说明，不是质数也能够构成互质关系。

关于互质关系，不可贵到如下结论：

　　1. 任意两个质数构成互质关系，好比13和61。

　　2. 一个数是质数，另外一个数只要不是前者的倍数，二者就构成互质关系，好比3和10。

　　3. 若是两个数之中，较大的那个数是质数，则二者构成互质关系，好比97和57。

　　4. 1和任意一个天然数是都是互质关系，好比1和99。

　　5. p是大于1的整数，则p和p-1构成互质关系，好比57和56。

　　6. p是大于1的奇数，则p和p-2构成互质关系，好比17和15。

3、欧拉函数

请思考如下问题：

　　任意给定正整数n，请问在小于等于n的正整数之中，有多少个与n构成互质关系？（好比，在1到8之中，有多少个数与8构成互质关系？）

计算这个值的方法就叫作欧拉函数，以φ(n)表示。在1到8之中，与8造成互质关系的是一、三、五、7，因此 φ(n) = 4。

φ(n) 的计算方法并不复杂，可是为了获得最后那个公式，须要一步步讨论。

第一种状况

若是n=1，则 φ(1) = 1 。由于1与任何数（包括自身）都构成互质关系。

第二种状况

若是n是质数，则 φ(n)=n-1 。由于质数与小于它的每个数，都构成互质关系。好比5与一、二、三、4都构成互质关系。

第三种状况

若是n是质数的某一个次方，即 n = p^k (p为质数，k为大于等于1的整数)，则

好比 φ(8) = φ(2^3) =2^3 - 2^2 = 8 -4 = 4。

这是由于只有当一个数不包含质数p，才可能与n互质。而包含质数p的数一共有p^(k-1)个，即1×p、2×p、3×p、...、p^(k-1)×p，把它们去除，剩下的就是与n互质的数。

上面的式子还能够写成下面的形式：

能够看出，上面的第二种状况是 k=1 时的特例。

第四种状况

若是n能够分解成两个互质的整数之积，

　　n = p1 × p2

则

　　φ(n) = φ(p1p2) = φ(p1)φ(p2)

即积的欧拉函数等于各个因子的欧拉函数之积。好比，φ(56)=φ(8×7)=φ(8)×φ(7)=4×6=24。

这一条的证实要用到"中国剩余定理"，这里就不展开了，只简单说一下思路：若是a与p1互质(a<p1)，b与p2互质(b<p2)，c与p1p2互质(c<p1p2)，则c与数对 (a,b) 是一一对应关系。因为a的值有φ(p1)种可能，b的值有φ(p2)种可能，则数对 (a,b) 有φ(p1)φ(p2)种可能，而c的值有φ(p1p2)种可能，因此φ(p1p2)就等于φ(p1)φ(p2)。

第五种状况

由于任意一个大于1的正整数，均可以写成一系列质数的积。

根据第4条的结论，获得

再根据第3条的结论，获得

也就等于

这就是欧拉函数的通用计算公式。好比，1323的欧拉函数，计算过程以下：

4、欧拉定理

欧拉函数的用处，在于欧拉定理。"欧拉定理"指的是：

若是两个正整数a和n互质，则n的欧拉函数 φ(n) 可让下面的等式成立：

也就是说，a的φ(n)次方被n除的余数为1。或者说，a的φ(n)次方减去1，能够被n整除。好比，3和7互质，而7的欧拉函数φ(7)等于6，因此3的6次方（729）减去1，能够被7整除（728/7=104）。

欧拉定理的证实比较复杂，这里就省略了。咱们只要记住它的结论就好了。

欧拉定理能够大大简化某些运算。好比，7和10互质，根据欧拉定理，

已知 φ(10) 等于4，因此立刻获得7的4倍数次方的个位数确定是1。

所以，7的任意次方的个位数（例如7的222次方），心算就能够算出来。

欧拉定理有一个特殊状况。

假设正整数a与质数p互质，由于质数p的φ(p)等于p-1，则欧拉定理能够写成

这就是著名的费马小定理。它是欧拉定理的特例。

欧拉定理是RSA算法的核心。理解了这个定理，就能够理解RSA。

5、模反元素

还剩下最后一个概念：

若是两个正整数a和n互质，那么必定能够找到整数b，使得 ab-1 被n整除，或者说ab被n除的余数是1。

这时，b就叫作a的"模反元素"。

好比，3和11互质，那么3的模反元素就是4，由于 (3 × 4)-1 能够被11整除。显然，模反元素不止一个， 4加减11的整数倍都是3的模反元素 {...,-18,-7,4,15,26,...}，即若是b是a的模反元素，则 b+kn 都是a的模反元素。

欧拉定理能够用来证实模反元素必然存在。

能够看到，a的 φ(n)-1 次方，就是a的模反元素。

==========================================

好了，须要用到的数学工具，所有介绍完了。RSA算法涉及的数学知识，就是上面这些，下一次我就来介绍公钥和私钥究竟是怎么生成的。

 

 

上一次，我介绍了一些数论知识。

有了这些知识，咱们就能够看懂RSA算法。这是目前地球上最重要的加密算法。

6、密钥生成的步骤

咱们经过一个例子，来理解RSA算法。假设爱丽丝要与鲍勃进行加密通讯，她该怎么生成公钥和私钥呢？

第一步，随机选择两个不相等的质数p和q。

爱丽丝选择了61和53。（实际应用中，这两个质数越大，就越难破解。）

第二步，计算p和q的乘积n。

爱丽丝就把61和53相乘。

　　n = 61×53 = 3233

n的长度就是密钥长度。3233写成二进制是110010100001，一共有12位，因此这个密钥就是12位。实际应用中，RSA密钥通常是1024位，重要场合则为2048位。

第三步，计算n的欧拉函数φ(n)。

根据公式：

　　φ(n) = (p-1)(q-1)

爱丽丝算出φ(3233)等于60×52，即3120。

第四步，随机选择一个整数e，条件是1< e < φ(n)，且e与φ(n) 互质。

爱丽丝就在1到3120之间，随机选择了17。（实际应用中，经常选择65537。）

第五步，计算e对于φ(n)的模反元素d。

所谓"模反元素"就是指有一个整数d，可使得ed被φ(n)除的余数为1。

　　ed ≡ 1 (mod φ(n))

这个式子等价于

　　ed - 1 = kφ(n)

因而，找到模反元素d，实质上就是对下面这个二元一次方程求解。

　　ex + φ(n)y = 1

已知 e=17, φ(n)=3120，

　　17x + 3120y = 1

这个方程能够用"扩展欧几里得算法"求解，此处省略具体过程。总之，爱丽丝算出一组整数解为 (x,y)=(2753,-15)，即 d=2753。

至此全部计算完成。

第六步，将n和e封装成公钥，n和d封装成私钥。

在爱丽丝的例子中，n=3233，e=17，d=2753，因此公钥就是 (3233,17)，私钥就是（3233, 2753）。

实际应用中，公钥和私钥的数据都采用ASN.1格式表达（实例）。

7、RSA算法的可靠性

回顾上面的密钥生成步骤，一共出现六个数字：

　　p
　　q
　　n
　　φ(n)
　　e
　　d

这六个数字之中，公钥用到了两个（n和e），其他四个数字都是不公开的。其中最关键的是d，由于n和d组成了私钥，一旦d泄漏，就等于私钥泄漏。

那么，有无可能在已知n和e的状况下，推导出d？

　　（1）ed≡1 (mod φ(n))。只有知道e和φ(n)，才能算出d。

　　（2）φ(n)=(p-1)(q-1)。只有知道p和q，才能算出φ(n)。

　　（3）n=pq。只有将n因数分解，才能算出p和q。

结论：若是n能够被因数分解，d就能够算出，也就意味着私钥被破解。

但是，大整数的因数分解，是一件很是困难的事情。目前，除了暴力破解，尚未发现别的有效方法。维基百科这样写道：

　　"对极大整数作因数分解的难度决定了RSA算法的可靠性。换言之，对一极大整数作因数分解愈困难，RSA算法愈可靠。

　　假若有人找到一种快速因数分解的算法，那么RSA的可靠性就会极度降低。但找到这样的算法的可能性是很是小的。今天只有短的RSA密钥才可能被暴力破解。到2008年为止，世界上尚未任何可靠的攻击RSA算法的方式。

　　只要密钥长度足够长，用RSA加密的信息其实是不能被解破的。"

举例来讲，你能够对3233进行因数分解（61×53），可是你无法对下面这个整数进行因数分解。

　　12301866845301177551304949
　　58384962720772853569595334
　　79219732245215172640050726
　　36575187452021997864693899
　　56474942774063845925192557
　　32630345373154826850791702
　　61221429134616704292143116
　　02221240479274737794080665
　　351419597459856902143413

它等于这样两个质数的乘积：

　　33478071698956898786044169
　　84821269081770479498371376
　　85689124313889828837938780
　　02287614711652531743087737
　　814467999489
　　　　×
　　36746043666799590428244633
　　79962795263227915816434308
　　76426760322838157396665112
　　79233373417143396810270092
　　798736308917

事实上，这大概是人类已经分解的最大整数（232个十进制位，768个二进制位）。比它更大的因数分解，尚未被报道过，所以目前被破解的最长RSA密钥就是768位。

8、加密和解密

有了公钥和密钥，就能进行加密和解密了。

（1）加密要用公钥 (n,e)

假设鲍勃要向爱丽丝发送加密信息m，他就要用爱丽丝的公钥 (n,e) 对m进行加密。这里须要注意，m必须是整数（字符串能够取ascii值或unicode值），且m必须小于n。

所谓"加密"，就是算出下式的c：

　　m^e ≡ c (mod n)

爱丽丝的公钥是 (3233, 17)，鲍勃的m假设是65，那么能够算出下面的等式：

　　65¹⁷ ≡ 2790 (mod 3233)

因而，c等于2790，鲍勃就把2790发给了爱丽丝。

（2）解密要用私钥(n,d)

爱丽丝拿到鲍勃发来的2790之后，就用本身的私钥(3233, 2753) 进行解密。能够证实，下面的等式必定成立：

　　c^d ≡ m (mod n)

也就是说，c的d次方除以n的余数为m。如今，c等于2790，私钥是(3233, 2753)，那么，爱丽丝算出

　　2790²⁷⁵³ ≡ 65 (mod 3233)

所以，爱丽丝知道了鲍勃加密前的原文就是65。

至此，"加密--解密"的整个过程所有完成。

咱们能够看到，若是不知道d，就没有办法从c求出m。而前面已经说过，要知道d就必须分解n，这是极难作到的，因此RSA算法保证了通讯安全。

你可能会问，公钥(n,e) 只能加密小于n的整数m，那么若是要加密大于n的整数，该怎么办？有两种解决方法：一种是把长信息分割成若干段短消息，每段分别加密；另外一种是先选择一种"对称性加密算法"（好比DES），用这种算法的密钥加密信息，再用RSA公钥加密DES密钥。

9、私钥解密的证实

最后，咱们来证实，为何用私钥解密，必定能够正确地获得m。也就是证实下面这个式子：

　　c^d ≡ m (mod n)

由于，根据加密规则

　　ｍ^e ≡ c (mod n)

因而，c能够写成下面的形式：

　　c = m^e - kn

将c代入要咱们要证实的那个解密规则：

　　(m^e - kn)^d ≡ m (mod n)

它等同于求证

　　m^ed ≡ m (mod n)

因为

　　ed ≡ 1 (mod φ(n))

因此

　　ed = hφ(n)+1

将ed代入：

　　m^hφ(n)+1 ≡ m (mod n)

接下来，分红两种状况证实上面这个式子。

（1）m与n互质。

根据欧拉定理，此时

　　m^φ(n) ≡ 1 (mod n)

获得

　　(m^φ(n))^h × m ≡ m (mod n)

原式获得证实。

（2）m与n不是互质关系。

此时，因为n等于质数p和q的乘积，因此m必然等于kp或kq。

以 m = kp为例，考虑到这时k与q必然互质，则根据欧拉定理，下面的式子成立：

　　(kp)^q-1 ≡ 1 (mod q)

进一步获得

　　[(kp)^q-1]^h(p-1) × kp ≡ kp (mod q)

即

　　(kp)^ed ≡ kp (mod q)

将它改写成下面的等式

　　(kp)^ed = tq + kp

这时t必然能被p整除，即 t=t'p

　　(kp)^ed = t'pq + kp

由于 m=kp，n=pq，因此

　　m^ed ≡ m (mod n)

原式获得证实。

 

 

 

做者：郑一轩
连接：https://www.zhihu.com/question/33645891/answer/57512229
来源：知乎
著做权归做者全部。商业转载请联系做者得到受权，非商业转载请注明出处。

首先，每一个用户都有两把钥匙，一把公钥一把私钥。公钥是对外发布的，全部人都看的到全部人的公钥，私钥是本身保存，每一个人都只知道本身的私钥而不知作别人的。

用该用户的公钥加密后只能该用户的私钥才能解密。这种状况下，公钥是用来加密信息的，确保只有特定的人（用谁的公钥就是谁）才能解密该信息。
下面我拿A银行和小明来举例子吧。
假设这2者之间是用不对称的加密算法来保证信息传输的安全性（不被第三人知道信息的含义及篡改信息）。大体流程以下：
首先小明发了一条信息给A银行“我要存500元”。这条信息小明会根据A银行的对外发布的公钥把这条信息加密了，加密以后，变成“XXXXXXX”发给A银行。中间被第三者截获，因为没有A银行的私钥没法解密，不能知道信息的含义，也没法按正确的方式篡改。因此拿这条加密信息是没办法的。最后被A银行接受，A银行用本身的私钥去解密这条信息，解密成功，读取内容，执行操做。而后得知消息是小明发来的，便去拿小明的公钥，把“操做成功（或失败）”这条信息用小明的公钥加密，发给小明。同理最后小明用本身的私钥解开，得知知乎发来的信息内容。其余人截获由于没有小明的私钥因此也没有用。

还有第二种状况，公钥是用来解密信息的，确保让别人知道这条信息是真的由我发布的，是完整正确的。接收者由此可知这条信息确实来自于拥有私钥的某人，这被称做数字签名，公钥的形式就是数字证书。怎么理解呢？

继续拿小明和银行A举例子。银行A发布了一个银行客户端的补丁供全部用户更新，那为了确保人家下载的是正确完整的客户端，银行A会为这个程序打上一个数字签名（就是用银行A的私钥对这个程序加密而后发布），你须要在你的电脑里装上银行A的数字证书（就是银行对外发布的公钥），而后下载好这个程序，数字证书会去解密这个程序的数字签名，解密成功，补丁得以使用。同时你能知道这个补丁确实是来自这个银行A，是由他发布的，而不是其余人发布的。

若是想了解算法的数学原理,能够看这篇博客：
RSA算法原理（一）
RSA算法原理（二）