RSA算法（一）

RSA非对称加密算法：

         最近自己接触到的两种密钥体制：对称密钥体制和非对称密钥体制。对称密钥体制就是加密和解密用同一个密钥。非对称密钥体制就是加密和解密不是同一个密钥。也就是说一个密钥所加密的数据要用另一个密钥解密。

         RSA通过算法生成一对密钥：公钥和私钥。要加密和解密数据，两个密钥都需要使用，所以其中一个可以公开而不会危害安全性。这个密钥就是公钥。另一个则称之为私钥。我们用公钥加密数据，用私钥解密数据。

         RSA的安全性依赖于大数分解，但是否等同于大数分解一直未能得到理论上的证明，因为没有证明破解RSA就一定需要作大数分解。假设存在一种无须分解大数的算法，那它肯定可以修改成为大数分解算法。RSA的一些变种算法已被证明等价于大数分解。不管怎样，分解n是最显然的攻击方法。

一个简单的加解密流程：

         （1）乙方生成两把密钥（公钥和私钥）。公钥是公开的，任何人都可以获得，私钥则由乙方保存。

　　（2）甲方获取乙方的公钥，然后用它对信息加密。

　　（3）乙方得到加密后的信息，用私钥解密。

下面是关于RSA的一些介绍：

         密钥的初始化长度为1024位，密钥的长度越长，安全性就越好，但是加密解密所用的时间就会越多。而一次能加密的密文长度也与密钥的长度成正比。一次能加密的密文长度为：密钥的长度/8-11。所以1024bit长度的密钥一次可以加密的密文为1024/8-11=117bit。所以非对称加密一般都用于加密对称加密算法的密钥，而不是直接加密内容。对于小文件可以使用RSA加密，但加密过程仍可能会使用分段加密

         加一点说明，虽然RSA加密算法相对安全，但是由于密钥程度较长，加解密的效率相比对称加解密较低，所以在实际应用需要在效率和安全性上做一个权衡，比较常用的一种方式是用对称密钥进行明文的加解密操作，而用非对称密钥对对称密钥进行加解密操作。

一、密钥长度

1、密钥是指谁？

         首先我们说的“密钥”是指谁？由于RSA密钥是（公钥+模值）、（私钥+模值）分组分发的，单独给对方一个公钥或私钥是没有任何用处，所以我们说的“密钥”其实是它们两者中的其中一组。但我们说的“密钥长度”一般只是指模值的位长度。目前主流可选值：1024、2048、3072、4096...

2、模值主流长度是多少？

         目前主流密钥长度至少都是1024bits以上，低于1024bit的密钥已经不建议使用（安全问题）。那么上限在哪里？没有上限，多大都可以使用。所以，主流的模值是1024位，实际运算结果可能会略小于1024bits，注意，这个值不是绝对的，跟素数的生成算法有关系，只是告诉素数生成器“帮我生成一个接近1024位的素数而已”，然后生成器“好，给您一个，这个差不多1024位”。素数生成器这么厉害？说生成1024位就会出个1024位的大整数？真实的情况是素数生成器也只是在1024bits对应的整数附近进行“摸索”而已，大家其实都不容易，又要快又要准确又要随机性，那么素数生成器也只能应付一下，找到1024位的算是好运，没找到1024位，1023位也照样送出来：）。

3、公钥指数如何确定？

         公钥指数是随意选的，但目前行业上公钥指数普遍选的都是65537（0x10001，5bits），该值是除了1、3、5、17、257之外的最小素数， 为什么不选的大一点？当然可以，只是考虑到既要满足相对安全、又想运算的快一点（加密时），PKCS#1的一个建议值而已。有意的把公钥指数选的小一点，但是对应私钥指数肯定很大，意图也很明确，大家都要用公钥加密，所以大家时间很宝贵，需要快一点，您一个人私钥解密，时间长一点就多担待，少数服从多数的典型应用。

4、私钥指数如何确定？

         公钥指数随意选，那么私钥就不能再随意选了，只能根据算法公式（ed%k=1，k=(p-1)(q-1)）进行运算出来。那么私钥指数会是多少位？根据 ed关系，私钥d=(x*k+1)/e，所以单看这个公式，私钥指数似乎也不是唯一结果，可能大于也可能小于1024bits的，但我们习惯上也是指某个小于1024bits的大整数。包括前文的公钥指数，在实际运算和存储时为方便一般都是按照标准位长进行使用，前面不足部分补0填充，所以，使用保存和转换这些密钥需要注意统一缓冲区的长度。

二、明文长度

         网上有说明文长度小于等于密钥长度（Bytes）-11，这说法本身不太准确，会给人感觉RSA 1024只能加密117字节长度明文。实际上，RSA算法本身要求加密内容也就是明文长度m必须0<m<n，也就是说内容这个大整数不能超过n，否则就出错。那么如果m=0是什么结果？普遍RSA加密器会直接返回全0结果。所以，RSA实际可加密的明文长度最大也是1024bits，但问题就来了：如果小于这个长度怎么办？就需要进行padding，因为如果没有padding，用户无法确分解密后内容的真实长度，字符串之类的内容问题还不大，以0作为结束符，但对二进制数据就很难理解，因为不确定后面的0是内容还是内容结束符。只要用到padding，那么就要占用实际的明文长度，于是才有117字节的说法。我们一般使用的padding标准有NoPPadding、OAEPPadding、PKCS1Padding等，其中PKCS#1建议的padding就占用了11个字节。如果大于这个长度怎么办？很多算法的padding往往是在后边的，但PKCS的padding则是在前面的，此为有意设计，有意的把第一个字节置0以确保m的值小于n。这样，128字节（1024bits）-减去11字节正好是117字节，但对于RSA加密来讲，padding也是参与加密的，所以，依然按照1024bits去理解，但实际的明文只有117字节了。

         关于PKCS#1padding规范可参考：RFC2313 chapter 8.1，我们在把明文送给RSA加密器前，要确认这个值是不是大于n，也就是如果接近n位长，那么需要先padding再分段加密。除非我们是“定长定量自己可控可理解”的加密不需要padding。

三、密文长度

         密文长度就是给定符合条件的明文加密出来的结果位长，这个可以确定，加密后的密文位长跟密钥的位长度是相同的，因为加密公式：C=(m^e)%n所以，C最大值就是n-1，所以不可能超过n的位数。尽管可能小于n的位数，但从传输和存储角度，仍然是按照标准位长来进行的，所以，即使我们加密一字节的明文，运算出来的结果也要按照标准位长来使用（当然了，除非我们能再采取措施区分真实的位长，一般不在考虑）。至于明文分片多次加密，自然密文长度成倍增长，但已不属于一次加密的问题，不能放到一起考虑。