安全（一）— 完全理解RSA加密算法_rsa安全协议是什么-CSDN博客

本文链接：https://blog.csdn.net/qq_32331073/article/details/103443552

RSA加密算法

RSA加密算法 是一种 非对称加密算法，在公开密钥加密和电子商业中被广泛使用。例如：

在HTTPS协议的加密层（SSL/TLS）作为密钥交换的方法
支付宝支付API作为签名算法
银联支付API作为签名算法
Secure Shell（安全外壳协议，简称SSH）是一种加密的网络传输协议

非对称加密算法

公开密钥密码学 （英语：Public-key cryptography，也称 非对称式密码学 ）是密码学的一种算法，它需要两个密钥，一个是公开密钥，另一个是私有密钥；一个用作加密，另一个则用作解密。使用其中一个密钥把明文加密后所得的密文，只能用相对应的另一个密钥才能解密得到原本的明文；甚至连最初用来加密的密钥也不能用作解密。由于加密和解密需要两个不同的密钥，故被称为非对称加密；不同于加密和解密都使用同一个密钥的对称加密。虽然两个密钥在数学上相关，但如果知道了其中一个，并不能凭此计算出另外一个；因此其中一个可以公开，称为公钥，任意向外发布；不公开的密钥为私钥，必须由用户自行严格秘密保管，绝不透过任何途径向任何人提供，也不会透露给被信任的要通信的另一方。
在这里插入图片描述

工作原理

本质就是依赖于三个自然数： $n, e, d$ ， $n$ 和 $d$ 构成一个密钥， $n$ 和 $e$ 构成另一个密钥。对于 $（ n, d ）$ 与 $（ n, e ）$ 这两个密钥，无论用哪个密钥加密出来的密文都可以用另一个密钥解开，所以不必强调哪个用于加密，哪个用于解密，只要把一个公布出去（称为公钥），另一个自己藏着（称为私钥）就行了。

根据这种特性，通常，

使用 公钥加密 ， 私钥解密 ，实现加密。
使用 私钥加密 ， 公钥解密 ，实现 数字签名 。
代替 密码散列函数+Token，比如MD5、SHA2，做 消息认证。
（关于加密、数字签名，消息认证可以期待下篇文章。）

关于

如何确定 $n, e, d$ 这三个自然数？
如何进行加密解密？
已知公钥如何破解私钥？

我们需要了解RSA加解密的数学原理，主要包括

互质
欧拉函数
同余
欧拉定理
模反元素
扩展欧几里得算法

数学原理

你可以快速浏览这些定理和性质，然后进入下一章节，笔者在下一章节回答上述三个问题的同时，尽可能地将所需定理和性质做出了明确标注，阅读过程中可以随时回过头来确认。

因子

一个整数被另一整数整除，后者即是前者的因子，如1、2、4、8都为8的因子。

质数

大于1的自然数，除1和本身外没有其他正因子，称为质数。

互质

两个自然数，除1以外没有其他公因子，则称它们为互质。

互质性质

根据以上定理可以得出以下几个性质（并不止于以下性质）

任意两个不相等质数一定互质（因为质数的因子只有1和本身，如果不相等则公因子只有1）
1和任意自然数都互质（只有1是公因子）
一个数是质数，另一个数只要不是前者的倍数，则二者互质（质数的因子只有1和本身，如果后者的因子不包含这个前者，那么二者公因子只有1）
两个数，较大的数是质数，那么二者互质（可由 互质性质3 得到）
两个不等质数之积的因子有4个，即，1，两个不等质数以及积本身（由 质数定理 和组合可以得到）

欧拉函数

我们把用来表示“ 小于或等于 $n$ 的正整数中与 $n$ 互质的数的数目 ”的函数，称为欧拉函数，计作 $\varphi(n)$

欧拉函数性质

若 $n$ 是质数，那么
$\varphi(n)=n-1$
由 互质性质4 可得。
若 $n = p q$ ，且 $p$ ， $q$ 是 两个不相等的质数，那么
$\varphi(n)=(p-1)(q-1)$
证明：
1. 求 $\varphi(n)$ ，即求：小于等于的 $n$ 的正整数，有多少数与 $n$ 互质
2. 逆向思考，可以先求：小于等于的 $n$ 的正整数，有多少数与 $n$ 不互质
3. 由于 $p 、 q$ 为 $n$ 的质因子，所以，如果一个数不与 $n$ 互质，那么这个数一定是 $p$ 或 $q$ 的整数倍（由 互质性质5 得）
4. 由于 $n = p q$ ，所以， $(n - 1)$ 中包含 $1 q, 2 q, 3 q . . . (p - 1) q$ ，一共 $(p - 1)$ 个 $q$ 的倍数；同时包含 $1 p, 2 p, 3 p . . . (q - 1) p$ ，一共 $(q - 1)$ 个 $p$ 的倍数
5. 又因为 $p 、 q$ 是 $n$ 的质因子，所以， $n$ 是 $p 、 q$ 的最小公倍数，即，在小于等于 $n$ 的正整数中不存在 $p 、 q$ 的其它公倍数
6. 所以，小于等于的 $n$ 的正整数，有 $(p - 1) + (q - 1)$ 个数与 $n$ 不互质
7. 所以，小于等于的 $n$ 的正整数，与 $n$ 互质的数有
  $\varphi(n)=n-1-((p-1)+(q-1))\\ \varphi(n)=pq-p-q+1\\ \varphi(n)=(p-1)(q-1)$

同余

两个整数 $a$ ， $b$ ，若它们除以正整数 $m$ 所得的余数相等，则称 $a$ ， $b$ 对于模 $m$ 同余，记作
$a\%m=b\%m\implies a\equiv b(\bmod m)$

同余性质

当 $b < m$ 时， $b=a\%m$
整除性 ， $a\equiv b{(\bmod {m})}\Rightarrow a-b=c*m,c\in \mathbb {Z}$ ，（即是说 a 和 b 之差是 m 的整数倍）
保持基本运算 ， $\left.{\begin{matrix}a\equiv b{(\bmod {m})}\\c\equiv d{(\bmod {m})}\end{matrix}}\right\}\Rightarrow \left\{{\begin{matrix}a\pm c\equiv b\pm d{(\bmod {m})}\\ac\equiv bd{(\bmod {m})}\end{matrix}}\right.$
这性质更可进一步引申成为这样：
$a\equiv b{(\bmod {m})}\Rightarrow {\begin{cases}an\equiv bn{(\bmod {m})},\forall n\in \mathbb {Z} \\a^{n}\equiv b^{n}{(\bmod {m})},\forall n\in \mathbb {N} ^{0}\end{cases}}$
放大缩小底数 ，k为整数，n为正整数， $(km\pm a)^{n}\equiv (\pm a)^{n}{(\bmod {m})}$

同余性质3、4 可以根据 同余性质2 整除性来证明。

例如，证明： $a\equiv b{(\bmod {m})}\Rightarrow an\equiv bn{(\bmod {m})}$
$a=c*m+b,c\in \mathbb {Z}\\ a*n=(c*m+b)*n\\ an=cn*m+bn\\ an\equiv bn(\bmod m)$

其它可同理证明。

同余性质 是证明RSA加解密的关键。

欧拉定理

对任何两个互质的正整数 $a$ 、 $n$ ， $n\geq2$ ，有
$a^{\phi(n)} \equiv 1(\bmod n)$

费马小定理

如果n是质数p，那么
$a^{p-1} \equiv 1(\bmod p)$
由 欧拉函数性质1 可得

模反元素

如果两个正整数 $a$ 和 $n$ 互质，那么一定可以找到整数 $b$ ，使得 $a b - 1$ 被 $n$ 整除
$\equiv 1(\bmod n)$
此时 $b$ 就是 $a$ 关于 $n$ 的 模反元素。由 欧拉定理 可证， $b$ 一定存在。
$a^{\phi(n)}=a \times a^{\phi(n)-1} \equiv 1(\bmod n)$
$a^{\phi(n)-1}$ 就是 $a$ 关于 $n$ 的 模反元素 $b$ 。模反元素可以通过 扩展欧几里得算法 求得。

欧几里得算法

定义

又称 辗转相除法 ，是求最大公约数（最大公因子）的算法。两个整数 $a, b$ 的最大公约数，记作 $\gcd(a,b)$

计算过程

将前两次余数分别作为被除数与除数，得到新的余数，
$r_{i+1}=r_{i-1}-q_{i} r_{i},(r_{0}= a,r_{1}=b)$
递归计算，直到 $r_{i+1}=0$ ，那么此时 最大公约数 为 $gcd(a,b)=r_{i}$

证明

证明， $r_{i+1}=0$ 时， $r_{i}$ 是 $a, b$ 的 最大公因子 （ $g=\gcd(a,b)$ ）

因为 $a = m g, b = n g$ ,所以 $r_{2}=r_{0}-r_{1}=a-q_{1}b=mg-q_{1}ng$ ，所以 $r_{0},r_{1},r_{2}$ 可以被 $g$ 整除，同理（递降归纳）可求所有余数 $r_{0},r_{1}...r_{i-1},r_{i}$ 都可以被 $g$ 整除，所以 $g\leq r_{i}$
当 $r_{i+1}=0$ ，有 $0=r_{i-1}-q_{i} r_{i}$ ，即 $r_{i}$ 整除 $r_{i-1}$
又当 $r_{i}=r_{i-2}-q_{i-1} r_{i-1},(r_{0}= a,r_{1}=b)$ ，又因为 $r_{i}$ 整除 $r_{i-1}$ ，那么 $r_{i}$ 可以整除 $r_{i-2}$ ，同理（递降归纳）， $r_{i}$ 可以整除所有余数 $r_{0},r_{1}...r_{i-2},r_{i-1}$
又因为 $r_{0}= a,r_{1}=b$ ，所以，此时 $r_{i}\leq g$
结论，由于 $g\leq r_{i}$ ，当 $r_{i+1}=0$ 时， $r_{i}\leq g$ ，所以当 $r_{i+1}=0$ 时， $r_{i}= g$

扩展欧几里得算法

定义

顾名思义是 欧几里得算法 的扩展。已知整数 $a 、 b$ ，扩展欧几里得算法 可以在求得 $a 、 b$ 的最大公约数的同时，能找到整数 $x 、 y$ （其中一个很可能是负数），使它们满足 贝祖等式
$\gcd(a, b)$
在欧几里得算法中，我们仅仅利用了每步带余除法所得的余数。扩展欧几里得算法还利用了带余除法所得的商，在辗转相除的同时也能得到 贝祖等式

计算过程

扩展欧几里得算法 在 欧几里得算法 的基础上增加了两个递归等式的计算
$r_{i+1}=r_{i-1}-q_{i} r_{i},(r_{0}= a,r_{1}=b)\\ s_{i+1}=s_{i-1}-q_{i} s_{i},(s_{0}= 1,s_{1}=0)\\ t_{i+1}=t_{i-1}-q_{i} t_{i},(t_{0}= 0,t_{1}=1)$

递归计算，直到 $r_{i+1}=0$ ，那么此时
$gcd(a,b)=r_{i}=as_{i}+bt_{i}$

证明

证明， $r_{i}=as_{i}+bt_{i}，i\in\N$ （已知条件为上述三等式），使用 完整归纳法

当 $i = 0$ ， $r_{0}=as_{0}+bt_{0}=a*1+b*0=a$
当 $i = 1$ ， $r_{1}=as_{1}+bt_{1}=a*0+b*1=b$
假设 $r_{i}=as_{i}+bt_{i}，r_{i-1}=as_{i-1}+bt_{i-1}$ 成立，那么
$r_{i+1}=r_{i-1}-q_{i} r_{i}\\ =(as_{i-1}+bt_{i-1})-q_{i}(as_{i}+bt_{i})\\ =a*(s_{i-1}-q_{i}s_{i})+b*(t_{i-1}-q_{i}t_{i})\\ =as_{i+1}+bt_{i+1}$

所以 $r_{i}=as_{i}+bt_{i}，i\in\N成立$ ， $s_{i},t_{i}$ 满足 贝祖等式。

Python实现

 #python3.7
 def ext_euclid(a, b):
    r0, r1 = a, b
    s0, s1 = 1, 0
    t0, t1 = 0, 1

    if a * b == 0:
        raise Exception("a,b must be nonzero!")
    while r1 != 0:
        q = r0 // r1
        r0, r1 = r1, r0 - q * r1
        s0, s1 = s1, s0 - q * s1
        t0, t1 = t1, t0 - q * t1
    return r0, s0, t0

Java实现

  public BigInteger[] extEuclid(String a, String  b) {
        BigInteger r0 = new BigInteger(a), r1 = new BigInteger(b),
                s0 = BigInteger.ONE, s1 = BigInteger.ZERO,
                t0 = BigInteger.ZERO, t1 = BigInteger.ONE;
        if(r0.multiply(r1).equals(BigInteger.ZERO))
            throw new IllegalArgumentException("a,b must be nonzero!");

        BigInteger q;
        BigInteger intermediate;
        while (!r1.equals(BigInteger.ZERO)){
            BigInteger[] quotientAndRemainder = r0.divideAndRemainder(r1);
            q = quotientAndRemainder[0];
            r0 = r1;r1 =quotientAndRemainder[1];
            intermediate = s0 ;s0 = s1;s1=intermediate.subtract(s1.multiply(q));
            intermediate = t0 ;t0 = t1;t1=intermediate.subtract(t1.multiply(q));
        }
        return new BigInteger[]{r0,s0,t0};
    }

确定 $n, e, d$

选择两个 不等质数 $p, q$ ，让 $n = p q$ 。假设 $p = 17, q = 23$ ，那么 $n = 17 * 23 = 391$
由上述 欧拉函数性质2 得， $\varphi(n)=(p-1)(q-1)$ 。我们随机选择一个数 $e$ ，保证 $1<e<\varphi(n)$ ，同时保证， $e$ 与 $\varphi(n)$ 互质。那么 $\varphi(n)=(17-1)*(23-1)=352$ ，随机选择 $e = 57$
求 $e$ 关于 $\varphi(n)$ 的 模反元素 $d$ ，即， $ed\equiv1(\bmod\varphi(n))\Rightarrow ed-k*\varphi(n)=1，k,d\in\Z$ ，
$57d + 352k_{1}=1$
根据 扩展欧几里得算法 可求， $d,k_{1})=(105,-17),d=105$

加密解密

计算过程

设 明文 为 $m$ ，密文 为 $c$ ，如果用 $(n, e)$ 加密， $(n, d)$ 解密，过程如下：

加密公式 $m^e\equiv c(\bmod n),m<n \xRightarrow{c<n} c=m^e\%n$
解密公式 $c^d\equiv m(\bmod n),m<n \Rightarrow m=c^d\%n$
已知 明文 为 $m = 38$ ，用 $(n, e) = (391, 57)$ 加密 $c=m^e\%n=38^{57}\%391=327$
已知 密文 为 $c = 327$ ，用 $(n, d) = (391, 105)$ 解密 $m=c^d\%n=327^{105}\%391=38$

Python实现

#python3.7 注意，pow()当包含第三个参数时，指数不可为负值
print(pow(38, 57, 391))
print(pow(327, 105, 391))

Java实现

System.out.println(BigInteger.valueOf(38).modPow(BigInteger.valueOf(57), BigInteger.valueOf(391)));
System.out.println(BigInteger.valueOf(327).modPow(BigInteger.valueOf(105), BigInteger.valueOf(391)));

证明

证明，已知加密公式 $m^e\equiv c(\bmod n),m<n$ ，证明解密公式 $c^d\equiv m(\bmod n),m<n$ 成立。

根据已知条件，得出公式
$m^e\equiv c(\bmod n),m<n\xRightarrow{同余性质3，保持基本运算}m^{ed}\equiv c^d(\bmod n)\\ \implies c^d\equiv m^{ed}(\bmod n)\\ \xRightarrow{ed\equiv1(\bmod\varphi(n))}c^d\equiv m^{1+k\varphi(n)}(\bmod n)\\ \implies c^d\equiv m*m^{k\varphi(n)}(\bmod n)$
当 $m 与 n$ 互质， $m^{\varphi(n)}\equiv 1{(\bmod {n})}$ （根据 欧拉定理）
$\left.{\begin{matrix}1 \equiv m^{\varphi(n)}{(\bmod {n})}\\c^d\equiv m*m^{k\varphi(n)}(\bmod n) \end{matrix}}\right\}\xRightarrow{同余性质3，保持基本运算}c^d\equiv m(\bmod n)$
当 $m 与 n$ 不互质
1. 因为 $m 与 n$ 不互质，所以 $m 与 n$ ，除1外有额外公共因子（根据互质定理）
2. 因为 $n = p q$ ，所以 $n$ 有四个因子， $1 、 n 、 p 、 q$ （根据 互质性质5）
3. 又因为 $m < n$ ，所以 $m=hp，h<q,h\in\N^*$ 或 $m=hq，h<p,h\in\N^*$
4. 假设 $m=hp，h<q,h\in\N^*$ ，此时 $h 与 q$ 互质（根据 互质性质4 ），同时因为 $p 与 q$ 互质，所以 $m 与 q$ 互质。
5. $c^d\equiv m*m^{k\varphi(n)}(\bmod n)\\ \xRightarrow{欧拉函数性质2}m*m^{k(p-1)(q-1)}(\bmod n)\\ \implies m*(m^{q-1})^{k(p-1)}(mod n)$
6. $m与q互质\xRightarrow{欧拉定理} m^{\varphi(q)}\equiv 1(\bmod q)\\ \xRightarrow{欧拉函数性质1}m^{q-1}\equiv1(\bmod q)\\ \xRightarrow{同余性质3}(m^{q-1})^{k(p-1)}\equiv 1^{k(p-1)}(\bmod q)\\ \xRightarrow{同余性质2，整除性} (m^{q-1})^{k(p-1)}=1+tq,t\in\N$
7. 由4，5，6可得
  $\left.{\begin{matrix}c^d\equiv m*(m^{q-1})^{k(p-1)}(mod n)\\ (m^{q-1})^{k(p-1)}=1+tq,t\in\N \\ m=hp,h\in\N^*\end{matrix}}\right\}\implies c^d\equiv [hp*(1+tq)](\bmod n)\\ \implies c^d\equiv (hp+th*pq)(\bmod n),th\in\N\\ \implies c^d\equiv (hp+th*n)(\bmod n),th\in\N\\ \xRightarrow{同余性质4,放大缩小底数 }c^d\equiv hp(\bmod n)\\ \implies c^d\equiv m(\bmod n)$

破解私钥

假如我们已知公钥 $(n, e)$ ，所谓破解私钥 $(n, d)$ ，就是通过 $n, e$ ，求出 $d$ 。
已知 $ed\equiv 1(\bmod \varphi(n))$ ，所以要求 $d$ ，先求 $\varphi(n)$ ，
加密时我们通过 $p, q$ 计算出 $\varphi(n)$ ，而破解时我们根本不知道 $p, q$ ，需要通过对 $n$ 进行 因数分解 求出 $\varphi(n)$ 。
所以，要破解私钥，就要对 $n$ 进行 因数分解 ， $n$ 越大破解越困难。
目前已破解748-bit的密钥，如果你觉得1024-bit还不够安全，你可以使用2048-bit的密钥，如果未来它们也被破解了，你只需要增加到更大。