白话RSA公私钥加密算法

介绍

RSA加密算法是互联网时代加密通信的重要保障机制，可以说，如果没有RSA加密算法就没有现在互联网的繁荣。RSA的特别之处在于它是第一个大规模使用的非对称加密算法。

1976年以前，所有的加密方法都使用对称加密算法。对称加密算法的安全性依赖于加密方法和加密密钥。在影视剧里经常能够看到的加密电报啊，密码本啊，这些实质上都是采用对称加密的手段，也在一定程度上反应了对称加密的特点。对于对称加密来说，加密方法和加密密钥要通信双方均知晓，一旦密钥泄露，双方的通信将无秘密可言。

1976年，两位美国计算机学家 Whitfield Diffie 和 Martin Hellman，提出了一种崭新构思，可以在不传递密钥的情况下，完成解密。这被称为 Diffie-Hellman密钥交换算法。假如甲要和乙通讯，甲使用公钥加密，将密文传递给乙，乙使用私钥解密得到明文。其中公钥在网络上传递，私钥只有乙自己拥有，不在网络上传递，这样即使窃听者知道了公钥 A 也无法解密。反过来通讯也一样。只要私钥不泄漏，通信就是安全的，这就是非对称加密算法。1977年，三位数学家 Rivest、Shamir 和 Adleman 设计了一种算法，实现了非对称加密。算法用他们三个人的名字命名，就叫做 RSA 算法。

公私钥与数学难题

非对称加密算法的核心是公私钥，关键点有两个：

1. 数学难题：通过私钥可以快速得到公钥，通过公钥很难得到私钥（注意是很难，而不是不可能）；
2. 加解密算法：公钥加密过的数据可以通过私钥快速解密。

数学难题

对于RSA算法来说，这两个点是通过数学的手段解决的。由公钥得到私钥和由私钥得到公钥，本质上来说是一对可逆的数学运算过程，只不过由私钥到公钥速度特别快，由公钥到私钥的过程是一个数学难题，解起来速度特别慢。具体来说，这个数学难题就是大整数的因数分解。因数分解是小学课本上的内容，看起来并不难：
$$15=3\times 5$$
但RSA算法中的使用的是“大”因数分解。有多大呢：

$$155636650525476272250941107365543971170904375374199825050183061215085575698748177779829794849316278349669580362159425488788355290671291116946823104921932013896763421454854196218473729013170728591915926324599322112307117758336370235751933829985979125945769434182241117823508105680221418364473069765884012556827$$
这个数由309个十进制位，非常大，它可以分解为下面两个质数的乘积：

$$13223188034998814716196302313658299908358229697143665948221618271861899376663174211243354421841990950099170356969384006652532594194109709936855452796333339$$
$$11769979381185607031781990566116290591276458128854601747610834470534802268263724437752893308182297485915988968005876272702097766268819294157431422385921793$$

把第一个大整数分解为下面两个质数的乘积是很困难的，虽然不是不可能，但需要很长时间。但把下面两个质数做乘法，得到第一个大整数，是容易的，计算机可以很快算出来。从公私钥的概念上来说，第一个大整数就是公钥，可以对外公布，后两个质数就是私钥，只能保存在自己手里。（这里要说明一下，在RSA中，大整数只是公钥的一部分，为了实现加密功能，公钥还有其他的部分，后面讲详细说明。私钥同理。）

加解密算法

仅有这三个整数还不行，这三个整数仅仅解决了第一个问题，即构造了一个数学难题，还没有解决第二个问题，就是如何利用这个数学难题，来构造一个加密算法。目前为止，用到的数学知识都来自于小学课本，后面要介绍的加密算法，用到的知识虽然小学课本里没有，但一些这些知识也是局限于整数的加减乘除（数论的基本知识）。如果看过网上其他的文章，看完之后一头雾水看不懂数学符号的，建议先快速扫一遍同余定理¹
。这里有一个符号很重要
$$x\equiv y(\mathrm{m}\mathrm{o}\mathrm{d}n)$$
这个的数学表达式的意思是整数$x$和整数$y$在被整数$n$除的时候有相同的余数。例如17和32被5除的时候余数都是2：
$$17\equiv 32(\mathrm{m}\mathrm{o}\mathrm{d}5)$$

为了能够实现加密解密功能，RSA算法结合了上文提到的数学难题设计了一套机制，下面将详细介绍这个机制：

公私钥生成步骤：

1. 选择两个大质数$P$和$Q$。假设这里选择$$P=53,Q=61$$
2. 计算$P$和$Q$的乘积$n$: $$n=53\ast 61=3233$$
3. 计算欧拉数$m$:$$m=(P-1)(Q-1)=3120$$
4. 随机选一个整数与$m$互质的整数$e$，且满足$1<e<\phi (n)$，这里取$$e=17$$
5. 找到另一个整数$d$，使之满足$$e\ast d\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}m)$$代入$e$和$m$的值，将问题转换为求满足下面方程的$$17d-3120y=1$$一组整数解。找到这组解的方法很多，可以验证，$$d=2753,y=15$$是方程的一组解。
6. 至此，我们得到两个新的整数$e$和$d$。在RSA加密算法中，公钥由两个数字即$(n,e)$组成，私钥由其他数字，即$(P,Q,m,n,d)$组成，加密过程会用到$e$，解密过程主要用到$d$。

加密方法：

得到公私钥之后，我们看一下是怎么样用公私钥实现公钥加密、私钥解密这个流程的。要对一段信息进行加密，第一步是要对信息进行编码，所谓编码方式有很多种，把字符串转成ASCII码就是其中一种方式。编码之后的信息变成了数字，RSA算法实际上是对数字进行加密和解密的。

1. 原文编码：如果要发送字符a，a的ASCII码是97，可以视为要发送的原文为97；
2. 公钥加密：用下面的式子计算出密文：$$a^e\equiv c(\mathrm{m}\mathrm{o}\mathrm{d}n)$$其中$a$是原文，$c$是密文，$(n,e)$是上文提到的公钥。具体的演算结果如下：$$97^{17}\equiv 1421(\mathrm{m}\mathrm{o}\mathrm{d}3233)$$于是得到了密文1421

解密方法：

解密时，只需要私钥$(n,d)$就可以解密密文$c$算出原文$a$，计算方法如下：$$c^d\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}n)$$具体演算结果如下：$$1421^{2753}\equiv 97(\mathrm{m}\mathrm{o}\mathrm{d}n)$$ 这个计算看起来很难算，实际上可以使用同余定理快速地计算出来。后面的证明过程也会用到同余定理。

证明

下面，我们来证明，为什么用私钥解密，一定可以正确地得到$a$。也就是证明下面这个式子：
$$c^d\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}n)$$
根据加密规则:
$$a^e\equiv c(\mathrm{m}\mathrm{o}\mathrm{d}n)$$
于是，存在整数$k$，使得：
$$c=a^e-kn$$
将c代入要我们要证明的那个解密规则：
$$(a^e-kn)d\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}n)$$
它等同于求证:
$$a^{ed}\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}n)$$
由于：
$$e\ast d\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}m)$$
其中$m$是欧拉数（这个式子是上文公私钥生成的条件），所以存在整数$h$使：
$$ed=hm+1$$
将$ed$代入：
$$a^{hm+1}\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}n)$$
问题变为求证上面这个式子。接下来，分成两种情况证明这个式子。

（1）$a$与$n$互质。

根据欧拉数论定理²，此时：

$$a^m\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}n)$$

代入，得到：

$$a^{hm+1}\equiv (a^m{)}^h\ast a\equiv 1\ast a\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}n)$$

原式得到证明。

（2）$a$与$n$不互质。
此时，由于$n$等于质数$P$和$Q$的乘积，$a$与$n$又不互质，所以$a$必然等于$kP$或$kQ$。

令$a=kP$，考虑到这时$k$与$Q$必然互质，则根据费马小定理³，下面的式子成立：
$$(kP{)}^{Q-1}\equiv 1(\mathrm{m}\mathrm{o}\mathrm{d}Q)$$
因为上式，可以构造下面的式子：
$$[(kP{)}^{Q-1}{]}^{h(P-1)}\times kP\equiv kP(\mathrm{m}\mathrm{o}\mathrm{d}Q)$$
即：
$$(kP{)}^{h(Q-1)(P-1)+1}\equiv (kP{)}^{hm+1}\equiv (kP{)}^{ed}\equiv kP(\mathrm{m}\mathrm{o}\mathrm{d}Q)$$
进而得到：
$$(kP{)}^{ed}\equiv kP(\mathrm{m}\mathrm{o}\mathrm{d}Q)$$
由于$kP$是余数，所以存在整数$t$，使：
$$(kP{)}^{ed}=tQ+kP$$
因为$k,P,Q,t,e,d$均是整数，所以$t$能被$P$整除，所以存在整数$t^{\prime }$使得：
$$(kP{)}^{ed}=t^{\prime }PQ+kP$$
代入$a=kP，n=PQ$，有：
$$a^{ed}=t^{\prime }n+a$$
即：
$$a^{ed}\equiv a(\mathrm{m}\mathrm{o}\mathrm{d}n)$$
证毕。

通过证明，我们确认了，RSA公钥加密私钥解密是可以得到正确的信息原文的。

小结

RSA加密算法是目前为止应用最为广泛的公私钥加密算法。RSA的核心是利用了大整数质因数分解这一数学难题，选取两个大质数，隐藏了两个大质数的同时，把两个大质数的乘积公开。由于公开乘积之后很难反推两个大质数，利用这一特点，构造了可公开的公钥和私密的私钥。本文进一步说明了RSA算法是如何利用公钥和私钥的数学性质，实现了一套加密和解密的方法，并利用数学知识，逐步证明了加解密算法的正确性。

---

1. 同余定理 ↩︎

2. 欧拉数论定理 ↩︎

3. 费马小定理 ↩︎