RSA加密算法是怎么回事？难懂吗？

RSA加密算法

RSA加密算法非常有名，在计算机领域的应用非常广泛，几乎是一般用户在信息加密时的首选。

它是一种非对称加密演算法，名字来源于它的三个发明人——罗纳德·李维斯特（RonRivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）——名字的首字母缩写。

这三人在1977年一起提出了RSA算法，当时他们都在麻省理工学院工作。

虽然已经被发明了四十多年，然而至今世界上没有可靠的攻击它的方法。在技术瞬息万变的今天，这样的稳定性尤其难能可贵。

RSA为什么这么保险呢？当然和它的实现原理有关系，我们要了解RSA，就需要掌握它的理论基础。

作为加密算法，RSA的原理实际上就是一系列非常严格的数学推导过程。一说到数学可能有人又要头疼了，数学啊，很难吧？

其实，并不难。

RSA算法背后的数学概念

最近笔者给一位小学生检查数学作业，由此得知他们们已经在学习下面这些概念：

余数：如果有两个整数a和b，a除以b不能除尽，那么a中不能除尽的部分就是。比如11除以5，商是2，余数是1。

MOD函数：求余数的函数，mod(11,5)就是对11除以5求余数。

约数：又称因数，如果有两个整数a和b，a除以b能除尽，那么b就是a的约数，比如，2÷1=2，2÷2=1，2的约数就是1和2。

因数分解：把一个正整数写成几个约数的乘积。

公约数：有几个整数，它们都有一个相同的约数，那么这个约数就是这几个整数的公约数，比如2的约数是1和2，4的约数是1、2和4，6的约数是1、2、3、6，2、4和6的公约数就是1和2。

质数：一个大于1的自然数，除了1和它本身，再没有别的约数了，那么这个数就是质数。比如2，它大于1，只有1和2两个约数，它就是质数。

互质：两个整数，只有1一个公约数，这两个整数就是互质整数。比如2和3，它们的公约数只有1，它们就是互质的。

有了这些概念做基础，其实就已经可以看懂RSA算法的推导过程了。现在我们一起来看一看吧——

RSA算法原理

RSA算法包括四个阶段：密钥生成，密钥发布，加密和解密。前两个阶段属于加密算法准备，后两个阶段则属于加密算法使用。

下面我们分别来看这四个阶段：

1. 密钥生成

这里说的密钥又分为公钥和私钥两个部分，各对应两个数字，公钥为 n 和 e，私钥为 n 和 d。

因为公钥和私钥的 n 是同一个 n，因此，其实RSA的密钥总共涉及三个数字：n，e 和 d，它们都是非常非常大的正整数。

它们是通过以下步骤生成的：

Step1.1：选择两个质数 p 和 q.

Step1.2：计算出 p 和 q 的积 n：n = p·q。

Step1.3：计算n的卡迈克尔函数λ(n)。

卡迈克尔函数，n 的卡迈克尔函数计作 λ(n)，定义为：对任意正整数 n，它的卡迈克尔函数λ(n) 是满足如下条件的最小的正整数：这个正整数 m 使得 am ≡ 1 (mod n)，其中 a 是 1 到 m 之间任意一个与 m 互质的整数。

这里的 ≡ 是同余符号——同余是数论中的一种等价关系，当两个整数除以同一个正整数，若得相同余数，则二整数同余。

所以式子 am ≡ 1 (mod n) 表示：a的m次幂除以n之后的余数为1，又可以称作：am 和1对于模n同余。

在这里还需要了解另一个函数：

欧拉函数，n的欧拉函数计作φ(n)，定义为：对任意正整数n，它的欧拉函数就是在小于或等于n的正整数里与n互质的数字的个数。

φ(n) 分不同情况来看：

a） 如果n=1，那么φ(1)=1 b） 如果n是质数，那么φ(n)=n-1 c）如果n是一个质数p的k次方，即n=pk，那么φ(n)=φ(pk)= pk- pk-1 d）如果n是两个互质的数p和q的乘积，那么φ(n)=φ(p) ⋅φ(q)

当 n 为1、2、4、奇质数的次幂、奇质数的次幂的两倍时，λ(n) 为 φ(n)，当 n 为2、4以外的2的次幂时，λ(n) 为 φ(n) 的一半：

因为：

（i） 欧拉函数的情况 c）；

（ii）正整数 n 可写作它的质因数的积。

因此对于任意正整数n，它的卡迈克尔函数 λ(n )是 n 的质因数的卡迈克尔函数的最小公倍数，记作：

其中：p1 < p2 <... < pk 是质数，而 r1, r2,..., rk 是正整数。

还有，因为 n 为两个质数 p 和 q 的积，所以 n 的卡迈克尔函数等于 p 和 q 的卡迈克尔函数的最小公倍数，计作 λ(n) = lcm(λ(p), λ(q)) 。

又因为根据 欧拉函数的情况 c）可得：λ(p) = φ(p) = p – 1且 λ(q) = φ(q) = q − 1。因此，λ(n) = lcm(p − 1, q − 1)。

也就是说，这一步要计算 p-1 和 q-1 的最小公倍数。

Step1.4：选择一个正整数e，满足：1 < e < λ(n) ，并且 e 和 λ(n) 互质。

Step1.5：确定 e 的模反元素 d。

模反元素：如果有两个互质的正整数a和n，那一定可以找到一个整数b，能让 ab - 1 能被 n 整除，也就是说ab除以n的余数是1，记作 ab ≡ 1(mod n)。数学家们已经利用欧拉定理也能证明模反元素的存在。

也就是说 d 满足：d ≡ e−1 (mod λ(n)) ，即 ed ≡ 1 (mod λ(n))。

至此，第一阶段完成。在这一阶段，Step1.2 生成的 n 和 Step1.4 生成的 e 组成了公钥：（n，e）；而 Step1.2 生成的 n 和 Step1.5 生成的 d 组成了私钥：（n，d）。

2. 密钥发布

密钥生成之后，公钥被公之于众，任何人都可以获取并使用，而私钥则被保留在特定的，被允许解读加密信息的人手中。

3. 加密

加密只需要用到公钥（n，e），当人们想要用RSA算法加密一段信息时，需要按以下步骤进行：

Step 3.1：将信息按照约定的方法转化为一个正整数m，满足 0 ≤ m < n 。

此处的将信息转化为数字的方法也是公开的，如果信息实在太多也可以考虑分段，每段分别转化为一个大于等于0，小于n的正整数。

Step 3.2：计算c = mod（me， n），c就是加密后的密文。

加密完成，将生成的密文传递给要送达的人。

4. 解密

收到密文的人，如果手中有私钥（n，d），就可以开始解密了，方法如下：

Step 4.1：计算 m = mod（cd， n），m就是原本的原文。

RSA加密全过程实例

下面我们来看一个例子：

1. 密钥生成

1.1：我们选择 p = 61 和 q = 53.

1.2：计算n = 61 × 53 =3233.

1.3：计算λ(n) = λ(3233) = Icm(60, 52) = 780.

1.4： 选择 e，需满足 1 < e <780，且 e 和780互质。

我们选择 e = 17.

1.5：求e的模反元素d，使得 ed ≡ 1 mod λ(n)，也就是17d ≡ 1 mod 780.

求 17d = 780 h + 1 ，其中h为正整数。

求得d = 413，验算：413 ×17 = 780 × 9 + 1，d成立。

我们生成了公钥 (n = 3233, e =17)，和私钥 (n = 3233, d =413).

2. 密钥发布

公布公钥，将密钥交给我们要通信的朋友。

3. 加密

原文为m（正整数），计算：c = mod(me, n).

假设m = 65， 则c = mod(6517, 3233) = 2790.

原文 65，通过公钥加密得到密文 2790。将其交给有私钥的人。

4. 解密

计算m = mod (cd, n) 得到原文。

密文为2790，则m = mod（2790413, 3233） = 65

密文为2790，通过私钥解密得到原文65。

以上就是RSA的整个运作过程。

RSA算法原理推导

为什么这个加密解密过程能够有效？为什么当 c = mod (me,n) 时，就一定有m = mod(cd, n)呢？

首先， 根据 Step 3.2 可知：me ≡ c (mod n)，根据同余关系保持基本运算的性质，有 cd ≡ (me)d = med (mod n)，也就是 cd ≡ med (mod n)

其次，因为 ed ≡ 1 (mod λ(n))，即 ed - 1 ≡ 0 (mod λ(n))，也就是说ed - 1 可以被λ(n) 整除。

又因为 λ(n) = lcm(p − 1, q − 1) ，也就是 λ(n) 可以被 p -1 和 q-1 整除，因此有 ed - 1 = h(p -1) = k(q-1)， h和k都是非负整数。

于是有：med = m⋅m (ed-1)= m (m (p-1) ) h

根据Step1.3 中 φ(p) = p – 1，med = m (m (p-1) ) h = m (mφ (p) ) h

因为 p 是质数，所以如果 m 要么是 p 的倍数，要么与 p 互质——

i）若 m 是 p 的倍数，则 med 也是 p 的倍数， med ≡ 0 ≡ m (mod p) ；

ii）若 m 与 p 互质，根据欧拉定理则有 mφ(p) ≡ 1 (mod p)

欧拉定理：两个互质的正整数 a 和 b， aφ(b) ≡1 (mod b)。

于是，有 med = m · mφ (p) ≡ m (mod p)，即 med ≡ m (mod p)

综合i）和ii）有：med ≡ m (mod p) .

同理，可证明 med ≡ m (mod q).

根据中国剩余定理，med ≡ m (mod p) 和 med ≡ m (mod q) 同时成立，等同于 med ≡ m (mod pq) 成立，又因为 pq = n，因此，我们得以证明：med ≡ m (mod n)

然后，根据同余的传递性，有 cd ≡ med ≡ m (mod n)。且已知 m < n，所以mod（cd ， n）= m，这也就是为什么 Step 4.1 能够求出m的原因。

为什么RSA难于破解？

这件事我们不妨反过来想，如果我们要破解RSA加密文件，我们需要什么？

我们需要私钥，私钥包括两个部分：n 和 d，n 就是公钥中的 n，所以我们唯一需要知道的就是 d。

那么我们能不能自己把 d 求出来呢？理论上是可行的。

因为 ed ≡ 1 mod λ(n)，e 是已知的，且 λ(n) = lcm(p − 1, q − 1)，因此，我们只需要知道 p - 1 和 q - 1 就好了。

n = p·q，那么我们只要对 n 进行质因数分解，找到它的最大质因数就可以了。

可是，实际操作起来，却不那么容易。

如果 p 和 q 很大，n 就会更大。而大整数的因数分解，是一件非常困难的事情。目前，除了暴力破解，还没有发现别的有效方法。

只有短的 RSA 钥匙才可能被暴力方式破解。迄今为止，世界上还没有任何可靠的攻击RSA算法的方式。

只要其钥匙的长度足够长，用 RSA 加密的信息，就可以认为在事实上是不能被破解的。

没想到吧，小学数学课上就学过的质数、余数、质因数分解竟然这么有用，居然就在生活中时时处处保护着我们的信息安全。