RSA加密演算法的場合

『壹』 非對稱加密、SSH加密演算法、數字簽名簡介

非對稱加密演算法的核心源於數學問題，它存在公鑰和私鑰的概念，要完成加解密操作，需要兩個密鑰同時參與。我們常說的「公鑰加密，私鑰加密」或「私鑰加密， 公鑰解密」都屬於非對稱加密的范疇。公鑰加密的數據必須使用私鑰才可以解密，同樣，私鑰加密的數據也 只能通過公鑰進行解密。
  相比對稱加密，非對稱加密的安全性得到了提升，但是也存在明顯的缺點，非對稱加解密的效率要遠遠小於對稱加解密。所以非對稱加密往往被用在一些安全性要求比較高的應用或領域中。

RSA加密演算法是一種典型的非對稱加密演算法，它基於大數的因式分解數學難題，它也是應用最廣泛的非對稱加密演算法，於1978年由美國麻省理工學院（MIT）的三位學者：Ron Rivest、Adi Shamir 和 Leonard Adleman 共同提出。
  它的原理較為簡單，我們假設有消息發送方A和消息接收方B，通過下面的幾個步驟，我們就可以完成消息的加密傳遞：
 （1）消息發送方A在本地構建密鑰對，公鑰和私鑰；
 （2）消息發送方A將產生的公鑰發送給消息接收方B；
 （3）B向A發送數據時，通過公鑰進行加密，A接收到數據後通過私鑰進行解密，完成一次通信；
 （4）反之，A向B發送數據時，通過私鑰對數據進行加密，B接收到數據後通過公鑰進行解密。
  由於公鑰是消息發送方A暴露給消息接收方B的，所以這種方式也存在一定的安全隱患，如果公鑰在數據傳輸過程中泄漏，則A通過私鑰加密的數據就可能被解密。
  如果要建立更安全的加密消息傳遞模型，需要消息發送方和消息接收方各構建一套密鑰對，並分別將各自的公鑰暴露給對方，在進行消息傳遞時，A通過B的公鑰對數據加密，B接收到消息通過B的私鑰進行解密，反之，B通過A的公鑰進行加密，A接收到消息後通過A的私鑰進行解密。
  當然，這種方式可能存在數據傳遞被模擬的隱患，我們可以通過數字簽名等技術進行安全性的進一步提升。由於存在多次的非對稱加解密，這種方式帶來的效率問題也更加嚴重。可以詳讀這兩篇文章：RSA 演算法原理 （一） （二）

在SSH安全協議的原理中， 是一種非對稱加密與對稱加密演算法的結合，先看下圖：

這里進行一下說明：
（1）首先服務端會通過非對稱加密，產生一個 公鑰 和 私鑰
（2）在客戶端發起請求時，服務端將 公鑰 暴露給客戶端，這個 公鑰 可以被任意暴露；
（3）客戶端在獲取 公鑰 後，會先產生一個由256位隨機數字組成的會話密鑰，這里稱為口令；
（4）客戶端通過 公鑰 將這個口令加密，發送給伺服器端；
（5）伺服器端通過 私鑰 進行解密，獲取到通訊口令；
 之後，客戶端和服務端的信息傳遞，都通過這個口令進行對稱的加密。
 這樣的設計在一定程度上提高了加解密的效率，不過，與客戶端服務端各構建一套密鑰對的加解密方式相比，在安全性上可能有所下降。在上面所述的通過口令進行加密的過程中，數據也是可以被竊聽的，不過由於密鑰是256個隨機數字，有10的256次方中組合方式，所以破解難度也很大。相對還是比較安全的。服務端和客戶端都提前知道了密鑰，SSH的這種方式，服務端是通過解密獲取到了密鑰。

現在知道了有非對稱加密這東西，那數字簽名是怎麼回事呢？
 數字簽名的作用是我對某一份數據打個標記，表示我認可了這份數據（簽了個名），然後我發送給其他人，其他人可以知道這份數據是經過我認證的，數據沒有被篡改過。
 有了上述非對稱加密演算法，就可以實現這個需求：

『貳』 秘鑰、公鑰匙、認證之間的關系 DES、RSA、AES 數據加密傳輸

對稱加密是最快速、最簡單的一種加密方式，加密（encryption）與解密（decryption）用的是同樣的密鑰（secret key）。對稱加密有很多種演算法，由於它效率很高，所以被廣泛使用在很多加密協議的核心當中。

對稱加密通常使用的是相對較小的密鑰，一般小於256 bit。因為密鑰越大，加密越強，但加密與解密的過程越慢。如果你只用1 bit來做這個密鑰，那黑客們可以先試著用0來解密，不行的話就再用1解；但如果你的密鑰有1 MB大，黑客們可能永遠也無法破解，但加密和解密的過程要花費很長的時間。密鑰的大小既要照顧到安全性，也要照顧到效率，是一個trade-off。

對稱加密的一大缺點是密鑰的管理與分配，換句話說，如何把密鑰發送到需要解密你的消息的人的手裡是一個問題。在發送密鑰的過程中，密鑰有很大的風險會被黑客們攔截。現實中通常的做法是將對稱加密的密鑰進行非對稱加密，然後傳送給需要它的人。

常用的有：DES、AES

非對稱加密為數據的加密與解密提供了一個非常安全的方法，它使用了一對密鑰，公鑰（public key）和私鑰（private key）。私鑰只能由一方安全保管，不能外泄，而公鑰則可以發給任何請求它的人。非對稱加密使用這對密鑰中的一個進行加密，而解密則需要另一個密鑰。比如，你向銀行請求公鑰，銀行將公鑰發給你，你使用公鑰對消息加密，那麼只有私鑰的持有人--銀行才能對你的消息解密。與對稱加密不同的是，銀行不需要將私鑰通過網路發送出去，因此安全性大大提高。

常用的有：RSA

（1） 對稱加密加密與解密使用的是同樣的密鑰，所以速度快，但由於需要將密鑰在網路傳輸，所以安全性不高。

（2） 非對稱加密使用了一對密鑰，公鑰與私鑰，所以安全性高，但加密與解密速度慢。

（3） 解決的辦法是將對稱加密的密鑰使用非對稱加密的公鑰進行加密，然後發送出去，接收方使用私鑰進行解密得到對稱加密的密鑰，然後雙方可以使用對稱加密來進行溝通。

在現代密碼體制中加密和解密是採用不同的密鑰（公開密鑰），也就是非對稱密鑰密碼系統，每個通信方均需要兩個密鑰，即公鑰和私鑰，這兩把密鑰可以互為加解密。公鑰是公開的，不需要保密，而私鑰是由個人自己持有，並且必須妥善保管和注意保密。

公鑰私鑰的原則：

非對稱密鑰密碼的主要應用就是公鑰加密和公鑰認證，而公鑰加密的過程和公鑰認證的過程是不一樣的，下面我就詳細講解一下兩者的區別。

比如有兩個用戶Alice和Bob，Alice想把一段明文通過雙鑰加密的技術發送給Bob，Bob有一對公鑰和私鑰，那麼加密解密的過程如下：

上面的過程可以用下圖表示，Alice使用Bob的公鑰進行加密，Bob用自己的私鑰進行解密。

身份認證和加密就不同了，主要用戶鑒別用戶的真偽。這里我們只要能夠鑒別一個用戶的私鑰是正確的，就可以鑒別這個用戶的真偽。

還是Alice和Bob這兩個用戶，Alice想讓Bob知道自己是真實的Alice，而不是假冒的，因此Alice只要使用公鑰密碼學對文件簽名發送 給Bob，Bob使用Alice的公鑰對文件進行解密，如果可以解密成功，則證明Alice的私鑰是正確的，因而就完成了對Alice的身份鑒別。整個身 份認證的過程如下：

上面的過程可以用下圖表示，Alice使用自己的私鑰加密，Bob用Alice的公鑰進行解密。

DES是Data Encryption Standard（數據加密標准）的縮寫，DES演算法為密碼體制中的對稱密碼體制。它是由IBM公司研製的一種加密演算法，美國國家標准局於1977年公布把它作為非機要部門使用的數據加密標准，二十年來，它一直活躍在國際保密通信的舞台上，扮演了十分重要的角色。
DES是一個分組加密演算法，他以64位為分組對數據加密。同時DES也是一個對稱演算法：加密和解密用的是同一個演算法。它的密匙長度是56位（因為每個第8位都用作奇偶校驗），密匙可以是任意的56位的數，而且可以任意時候改變。其中有極少量的數被認為是弱密匙，但是很容易避開他們。所以保密性依賴於密鑰。
特點：分組比較短、密鑰太短、密碼生命周期短、運算速度較慢。 DES演算法具有極高安全性，到目前為止，除了用窮舉搜索法對DES演算法進行攻擊外，還沒有發現更有效的辦法。而56位長的密鑰的窮舉空間為256，這意味著如果一台計算機的速度是每一秒種檢測一百萬個密鑰，則它搜索完全部密鑰就需要將近2285年的時間。

DES現在已經不視為一種安全的加密演算法，因為它使用的56位秘鑰過短，以現代計算能力，24小時內即可能被破解。也有一些分析報告提出了該演算法的理論上的弱點，雖然實際情況未必出現。該標准在最近已經被 高級加密標准 （AES）所取代。

高級加密標准（Advanced Encryption Standard，AES），又稱Rijndael加密法，是美國聯邦政府採用的一種區塊加密標准。這個標准用來替代原先的 DES ，已經被多方分析且廣為全世界所使用。經過五年的甄選流程，高級加密標准由美國國家標准與技術研究院（NIST）於2001年11月26日發布於FIPS PUB 197，並在2002年5月26日成為有效的標准。2006年，高級加密標准已然成為對稱密鑰加密中最流行的演算法之一。

AES的區塊長度固定為128 位元 ，密鑰長度則可以是128，192或256位元。

RSA加密演算法是一種 非對稱加密演算法 。在 公鑰加密標准 和 電子商業 中RSA被廣泛使用。RSA是 1977年 由 羅納德·李維斯特 （Ron Rivest）、 阿迪·薩莫爾 （Adi Shamir）和 倫納德·阿德曼 （Leonard Adleman）一起提出的。當時他們三人都在 麻省理工學院 工作。RSA就是他們三人姓氏開頭字母拼在一起組成的。

RSA演算法利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質數再相乘來解密。但要用一個 質數來求出另一個質數，則是十分困難的。因此將這一對質數稱為密鑰對(Key Pair)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發信的人員將信息用其公共密鑰加密後發給該用戶，而一旦信息加密後，只有用該用戶一個人知道 的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到，亦可在請對方發信息時主動將公共密鑰傳給對方，這樣保證在Internet上傳輸信 息的保密和安全。

開發中：

客戶端發送的敏感數據時需要加密處理，客戶端數據採用公鑰加密，伺服器用對應的秘鑰解密，客戶端保存公鑰，伺服器保存秘鑰

伺服器發送的數據也要加密時，伺服器端數據採用秘鑰加密，客戶端數據用對應的公鑰加密，客戶端保存公鑰，伺服器保存秘鑰

伺服器要認證客戶端時，客戶端數據採用秘鑰加密，伺服器用對應的公鑰解密，客戶端保留秘鑰，伺服器保留公鑰

常用加解密方案：

如果想要更加安全一點，可以在仿照微信的通信，每次都在傳輸數據上加上一個32為隨機數和並將數據按照一定的規則生成一個校驗sign

『叄』 Rsa是什麼意思

RSA加密演算法是一種非對稱加密演算法。在公開密鑰加密和電子商業中RSA被廣泛使用。RSA是1977年由羅納德·李維斯特（Ron Rivest）、阿迪·薩莫爾（Adi Shamir）和倫納德·阿德曼（Leonard Adleman）一起提出的。當時他們三人都在麻省理工學院工作。RSA就是他們三人姓氏開頭字母拼在一起組成的。

1973年，在英國政府通訊總部工作的數學家克利福德·柯克斯（Clifford Cocks）在一個內部文件中提出了一個相同的演算法，但他的發現被列入機密，一直到1997年才被發表。

(3)RSA加密演算法的場合擴展閱讀

RSA的安全性依賴於大數分解，但是否等同於大數分解一直未能得到理論上的證明，因為沒有證明破解RSA就一定需要作大數分解。

假設存在一種無須分解大數的演算法，那它肯定可以修改成為大數分解演算法。 RSA 的一些變種演算法已被證明等價於大數分解。不管怎樣，分解n是最顯然的攻擊方法。人們已能分解多個十進制位的大素數。因此，模數n必須選大一些，因具體適用情況而定。

『肆』 RSA演算法加密

RSA加密演算法是一種典型的非對稱加密演算法，它基於大數的因式分解數學難題，它也是應用最廣泛的非對稱加密演算法，於1978年由美國麻省理工學院（MIT）的三位學著：Ron Rivest、Adi Shamir 和 Leonard Adleman 共同提出。

它的原理較為簡單，假設有消息發送方A和消息接收方B，通過下面的幾個步驟，就可以完成消息的加密傳遞：
消息發送方A在本地構建密鑰對，公鑰和私鑰；
消息發送方A將產生的公鑰發送給消息接收方B；
B向A發送數據時，通過公鑰進行加密，A接收到數據後通過私鑰進行解密，完成一次通信；
反之，A向B發送數據時，通過私鑰對數據進行加密，B接收到數據後通過公鑰進行解密。
由於公鑰是消息發送方A暴露給消息接收方B的，所以這種方式也存在一定的安全隱患，如果公鑰在數據傳輸過程中泄漏，則A通過私鑰加密的數據就可能被解密。
如果要建立更安全的加密消息傳遞模型，需要消息發送方和消息接收方各構建一套密鑰對，並分別將各自的公鑰暴露給對方，在進行消息傳遞時，A通過B的公鑰對數據加密，B接收到消息通過B的私鑰進行解密，反之，B通過A的公鑰進行加密，A接收到消息後通過A的私鑰進行解密。
當然，這種方式可能存在數據傳遞被模擬的隱患，但可以通過數字簽名等技術進行安全性的進一步提升。由於存在多次的非對稱加解密，這種方式帶來的效率問題也更加嚴重。

『伍』 RSA演算法有哪些用途

RSA公鑰加密演算法是1977年由Ron
Rivest、Adi
Shamirh和LenAdleman在（美國麻省理工學院）開發的。RSA取名來自開發他們三者的名字。RSA是目前最有影響力的公鑰加密演算法，它能夠抵抗到目前為畝裂止已知的所有密碼攻擊，已被ISO推薦為公鑰數據卜耐冊加密標准。RSA演算法型宏基於一個十分簡單的數論事實：將兩個大素數相乘十分容易，但那時想要對其乘積進行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰。

『陸』 以rsa為代表的公鑰密碼演算法的主要用途有哪些

RSA公鑰密碼
RSA公鑰密碼是1977年由Ron Rivest、Adi Shamirh和LenAdleman在MIT(美國麻省理工學院〉開發的,1978年首次公布[RIVE78]。它是目前最有影響的公鑰加密演算法,它能夠抵抗到目前為止已知的所有密碼攻擊。目前它已被ISO推薦為公鑰數據加密標准。RSA演算法基於一個十分簡單的數論事實:將兩個大素數相乘十分容易,但是想分解它們的乘積卻極端困難,因此可以將乘積公開作為加密密鑰。

RSA的演算法結構相當簡單,整個演算法可以描述如下:

(1)選取兩個大素數p和q(保密)；

(2)計算n=pq(公開),γ=(p一1〉(q-1)(保密)；

(3)隨機選取整數e(公開,加密密鑰),使得ed(ear)=1

(4)計算d(保密,私人密鑰),使得ed≡1(mod r),即d=e-1(mod r);

（5)加密:c=me mod n

(6)解密:m=cd mod n。

利用RSA對被加密的信息m (長度小於log2n的整數)進行加密得到相應的密文c=me mod n;解密演算法則是計算m=cd modn RSA的優點是不需要密鑰分配,但缺點是速度慢。RSA公鑰密碼 RSA 公鑰 密碼

『柒』 RSA和DES演算法的優缺點、比較

DES演算法：

優點：密鑰較短，加密處理簡單，加解密速度快，適用於加密大量數據的場合。

缺點：密鑰單一，不能由其中一個密鑰推導出另一個密鑰。

RSA演算法升啟知：

優點：應用廣泛，加密密鑰和解密密鑰不一樣，一般加密密鑰稱為私鑰。解密密鑰稱為公鑰，私鑰加密後只能用公鑰解密,，當然也可以用公鑰加密，用私鑰解密。

缺點：密鑰尺寸大，加解密速度慢，一般用來加密少量數據，比如DES的密鑰。

(7)RSA加密演算法的場合擴展閱讀：

安全性

RSA的安全性依賴於大數分解，但是否等同於大數分解一直未能得到理論上的證明，因為沒有證明破解RSA就旁祥一定需要作大數分解。假設存在一種無須分解大數的演算法，那它肯定可以修改成為大數分解演算法。RSA的一些變種演算法已被證明等價於大數分解。

不管怎樣，分解n是最顯然的攻擊方法。人們已能分解多個十進制位的大素數。因此，模數n必須選大一些吵消，因具體適用情況而定。

『捌』 理解RSA演算法

如果公鑰加密的信息只有私鑰解得開,只要私鑰不泄露,通信就是安全的.

歐拉函數 ,在數論中，對正整數n，歐拉函數φ(n)是小於或等於n的正整數中與n互質的數的數目.例如:φ(8) = 4,因為1,3,5,7均與8互質.

通式:

如果n=1，則 φ(1) = 1 。因為1與任何數（包括自身）都構成互質關系。

如果n是質數，則 φ(n)=n-1 。因為質數與小於它的每一個數，都構成互質關系。比如5與1、2、3、4都構成互質關系。

如果n是質數的某一個次方，即 n = p^k (p為質數，k為大於等於1的整數)，則

如果n可以分解成兩個互質的整數之積
n = p1 × p2 則 φ(n) = φ(p1p2) = φ(p1)φ(p2)

如果兩個正整數a和n互質，則n的歐拉函數 φ(n) 可以讓下面的等式成立：

如果兩個正整數a和n互質，那麼一定可以找到整數b，使得 ab-1 被n整除，或者說ab被n除的余數是1。

這時，b就叫做a的"模反元素"。
比如，3和11互質，那麼3的模反元素就是4，因為 (3 × 4)-1 可以被11整除。顯然，模反元素不止一個， 4加減11的整數倍梁磨都是3的模反元素 {...,-18,-7,4,15,26,...}，即如果b是a的模反元素，則 b+kn 都是a的模反元素。

比如,老張和老王是兩名地下工作者,老張要向老王傳達一個機密的文件.這時老張想到了RSA演算法.
(1) 隨機選擇兩個不相等的質數p,q.
這時拆渣肆,老張選擇了61和53.
(2) 計算p和q的乘積n.

n的長度就是密鑰長度。3233寫成二進制是110010100001，一共有12位，所以這個密鑰就是12位。實際應用中，RSA密鑰一般是1024位，重要場合則為2048位。
(3) 計算n的歐拉函數φ(n).
根據上面所介紹的歐拉定理第四種情況:

(4) 隨機選擇一個整數e，條件是1< e < φ(n)，且e與φ(n) 互質.
這時,老張從1-3120之間,隨機選擇了17.（實際應用中，常常選擇65537）.
(5) 計算e對於φ(n)的模反元素d
所謂"模反元素"就是指有一個整數d，可以使得ed被φ(n)除的余數為1。

這個公式等價於

於是，找到模反元素d，實質上就是對下面這個二旅轎元一次方程求解。

那麼,已知e = 17,φ(n) = 3120 ,求x的值

這個方程可以用"擴展歐幾里得演算法"求解，此處省略具體過程。總之，老張算出一組整數解為 (x,y)=(2753,15)，即 d=2753。
(6) 將n和e封裝成公鑰，n和d封裝成私鑰
n=3233，e=17，d=2753，所以公鑰就是 (3233,17)，私鑰就是（3233, 2753）,即公鑰為( n,e ),私鑰為( n,d )。
實際應用中，公鑰和私鑰的數據都採用 ASN.1 格式表達。

老張進行了這些計算後,整理了下上面所提到的數字:

這六個數字之中，公鑰用到了兩個（n和e），其餘四個數字都是不公開的。其中最關鍵的是d，因為n和d組成了私鑰，一旦d泄漏，就等於私鑰泄漏。
老張想,有沒有可能在已知n和e的情況下,也就是知道公鑰的情況下,推導出d?

結論：如果n可以被因數分解，d就可以算出，也就意味著私鑰被破解。可是，大整數的因數分解，是一件非常困難的事情.

有了公鑰和密鑰，就能進行加密和解密了。
1.加密要用公鑰 (n,e)
假設老張要向老王發送加密信息m，他就要用老王的公鑰 (n,e) 對m進行加密。這里需要注意，m必須是整數（字元串可以取ascii值或unicode值），且m必須小於n。
所謂"加密"，就是算出下式的c：

老王的公鑰是 (3233, 17)，老張的m假設是65，那麼可以算出下面的等式：

於是，c等於2790，老張就把2790發給了老王。

2.解密要用私鑰(n,d)
老王拿到老張發來的2790以後，就用自己的私鑰(3233, 2753) 進行解密。可以證明，下面的等式一定成立：（證明過程略，有興趣可以看阮一峰的博客）

也就是說，c的d次方除以n的余數為m。現在，c等於2790，私鑰是(3233, 2753)，那麼，老王算出

因此，老王知道了老張加密前的原文就是65。

我們可以看到，如果不知道d，就沒有辦法從c求出m。而前面已經說過，要知道d就必須分解n，這是極難做到的，所以RSA演算法保證了通信安全。
你可能會問，公鑰(n,e) 只能加密小於n的整數m，那麼如果要加密大於n的整數，該怎麼辦？有兩種解決方法：一種是把長信息分割成若干段短消息，每段分別加密；另一種是先選擇一種"對稱性加密演算法"（比如DES），用這種演算法的密鑰加密信息，再用RSA公鑰加密DES密鑰。

『玖』 加密基礎知識二 非對稱加密RSA演算法和對稱加密

上述過程中，出現了公鑰(3233,17)和私鑰(3233,2753)，這兩組數字是怎麼找出來的呢？參考 RSA演算法原理（二）
首字母縮寫說明：E是加密（Encryption）D是解密（Decryption）N是數字（Number）。

1.隨機選擇兩個不相等的質數p和q。
alice選擇了61和53。（實際應用中，這兩個質數越大，就越難破解。）

2.計算p和q的乘積n。
n = 61×53 = 3233
n的長度就是密鑰長度。3233寫成二進制是110010100001，一共有12位，所以這個密鑰就是12位。實際應用中，RSA密鑰一般是1024位，重要場合則為2048位。

3.計算n的歐拉函數φ(n)。稱作L
根據公式φ(n) = (p-1)(q-1)
alice算出φ(3233)等於60×52，即3120。

4.隨機選擇一個整數e，也就是公鑰當中用來加密的那個數字
條件是1< e < φ(n)，且e與φ(n) 互質。
alice就在1到3120之間，隨機選擇了17。（實際應用中，常常選擇65537。）

5.計算e對於φ(n)的模反元素d。也就是密鑰當中用來解密的那個數字
所謂"模反元素"就是指有一個整數d，可以使得ed被φ(n)除的余數為1。ed ≡ 1 (mod φ(n))
alice找到了2753，即17*2753 mode 3120 = 1

6.將n和e封裝成公鑰，n和d封裝成私鑰。
在alice的例子中，n=3233，e=17，d=2753，所以公鑰就是 (3233,17)，私鑰就是（3233, 2753）。

上述故事中，blob為了偷偷地傳輸移動位數6，使用了公鑰做加密，即6^17 mode 3233 = 824。alice收到824之後，進行解密，即824^2753 mod 3233 = 6。也就是說，alice成功收到了blob使用的移動位數。

再來復習一下整個流程：
p=17,q=19
n = 17 19 = 323
L = 16 18 = 144
E = 5(E需要滿足以下兩個條件：1<E<144,E和144互質)
D = 29(D要滿足兩個條件，1<D<144,D mode 144 = 1)
假設某個需要傳遞123，則加密後：123^5 mode 323 = 225
接收者收到225後，進行解密，225^ 29 mode 323 = 123

回顧上面的密鑰生成步驟，一共出現六個數字：
p
q
n
L即φ(n)
e
d
這六個數字之中，公鑰用到了兩個（n和e），其餘四個數字都是不公開的。其中最關鍵的是d，因為n和d組成了私鑰，一旦d泄漏，就等於私鑰泄漏。那麼，有無可能在已知n和e的情況下，推導出d？
（1）ed≡1 (mod φ(n))。只有知道e和φ(n)，才能算出d。
（2）φ(n)=(p-1)(q-1)。只有知道p和q，才能算出φ(n)。
（3）n=pq。只有將n因數分解，才能算出p和q。
結論：如果n可以被因數分解，d就可以算出，也就意味著私鑰被破解。
可是，大整數的因數分解，是一件非常困難的事情。目前，除了暴力破解，還沒有發現別的有效方法。維基網路這樣寫道："對極大整數做因數分解的難度決定了RSA演算法的可靠性。換言之，對一極大整數做因數分解愈困難，RSA演算法愈可靠。假如有人找到一種快速因數分解的演算法，那麼RSA的可靠性就會極度下降。但找到這樣的演算法的可能性是非常小的。今天只有短的RSA密鑰才可能被暴力破解。到2008年為止，世界上還沒有任何可靠的攻擊RSA演算法的方式。只要密鑰長度足夠長，用RSA加密的信息實際上是不能被解破的。"

然而，雖然RSA的安全性依賴於大數的因子分解，但並沒有從理論上證明破譯RSA的難度與大數分解難度等價。即RSA的重大缺陷是無法從理論上把握它的保密性能如何。此外，RSA的缺點還有：
A)產生密鑰很麻煩，受到素數產生技術的限制，因而難以做到一次一密。
B)分組長度太大，為保證安全性，n 至少也要 600bits以上，使運算代價很高，尤其是速度較慢，較對稱密碼演算法慢幾個數量級；且隨著大數分解技術的發展，這個長度還在增加，不利於數據格式的標准化。因此， 使用RSA只能加密少量數據，大量的數據加密還要靠對稱密碼演算法 。

加密和解密是自古就有技術了。經常看到偵探電影的橋段，勇敢又機智的主角，拿著一長串毫無意義的數字苦惱，忽然靈光一閃，翻出一本厚書，將第一個數字對應頁碼數，第二個數字對應行數，第三個數字對應那一行的某個詞。數字變成了一串非常有意義的話：
Eat the beancurd with the peanut. Taste like the ham.

這種加密方法是將原來的某種信息按照某個規律打亂。某種打亂的方式就叫做密鑰(cipher code)。發出信息的人根據密鑰來給信息加密，而接收信息的人利用相同的密鑰，來給信息解密。 就好像一個帶鎖的盒子。發送信息的人將信息放到盒子里，用鑰匙鎖上。而接受信息的人則用相同的鑰匙打開。加密和解密用的是同一個密鑰，這種加密稱為對稱加密（symmetric encryption）。

如果一對一的話，那麼兩人需要交換一個密鑰。一對多的話，比如總部和多個特工的通信，依然可以使用同一套密鑰。 但這種情況下，對手偷到一個密鑰的話，就知道所有交流的信息了。 二戰中盟軍的情報戰成果，很多都來自於破獲這種對稱加密的密鑰。

為了更安全，總部需要給每個特工都設計一個不同的密鑰。如果是FBI這樣龐大的機構，恐怕很難維護這么多的密鑰。在現代社會，每個人的信用卡信息都需要加密。一一設計密鑰的話，銀行怕是要跪了。

對稱加密的薄弱之處在於給了太多人的鑰匙。如果只給特工鎖，而總部保有鑰匙，那就容易了。特工將信息用鎖鎖到盒子里，誰也打不開，除非到總部用唯一的一把鑰匙打開。只是這樣的話，特工每次出門都要帶上許多鎖，太容易被識破身份了。總部老大想了想，乾脆就把造鎖的技術公開了。特工，或者任何其它人，可以就地取材，按照圖紙造鎖，但無法根據圖紙造出鑰匙。鑰匙只有總部的那一把。

上面的關鍵是鎖和鑰匙工藝不同。知道了鎖，並不能知道鑰匙。這樣，銀行可以將「造鎖」的方法公布給所有用戶。 每個用戶可以用鎖來加密自己的信用卡信息。即使被別人竊聽到，也不用擔心：只有銀行才有鑰匙呢！這樣一種加密演算法叫做非對稱加密(asymmetric encryption)。非對稱加密的經典演算法是RSA演算法。它來自於數論與計算機計數的奇妙結合。

1976年，兩位美國計算機學家Whitfield Diffie 和 Martin Hellman，提出了一種嶄新構思，可以在不直接傳遞密鑰的情況下，完成解密。這被稱為"Diffie-Hellman密鑰交換演算法"。這個演算法啟發了其他科學家。人們認識到，加密和解密可以使用不同的規則，只要這兩種規則之間存在某種對應關系即可，這樣就避免了直接傳遞密鑰。這種新的加密模式被稱為"非對稱加密演算法"。

1977年，三位數學家Rivest、Shamir 和 Adleman 設計了一種演算法，可以實現非對稱加密。這種演算法用他們三個人的名字命名，叫做RSA演算法。從那時直到現在，RSA演算法一直是最廣為使用的"非對稱加密演算法"。毫不誇張地說，只要有計算機網路的地方，就有RSA演算法。

1.能「撞」上的保險箱（非對稱/公鑰加密體制，Asymmetric / Public Key Encryption）

數據加密解密和門鎖很像。最開始的時候，人們只想到了那種只能用鑰匙「鎖」數據的鎖。如果在自己的電腦上自己加密數據，當然可以用最開始這種門鎖的形式啦，方便快捷，簡單易用有木有。

但是我們現在是通信時代啊，雙方都想做安全的通信怎麼辦呢？如果也用這種方法，通信就好像互相發送密碼保險箱一樣…而且雙方必須都有鑰匙才能進行加密和解密。也就是說，兩個人都拿著保險箱的鑰匙，你把數據放進去，用鑰匙鎖上發給我。我用同樣的鑰匙把保險箱打開，再把我的數據鎖進保險箱，發送給你。

這樣看起來好像沒什麼問題。但是，這裡面 最大的問題是：我們兩個怎麼弄到同一個保險箱的同一個鑰匙呢？ 好像僅有的辦法就是我們兩個一起去買個保險箱，然後一人拿一把鑰匙，以後就用這個保險箱了。可是，現代通信社會，絕大多數情況下別說一起去買保險箱了，連見個面都難，這怎麼辦啊？

於是，人們想到了「撞門」的方法。我這有個可以「撞上」的保險箱，你那裡自己也買一個這樣的保險箱。通信最開始，我把保險箱打開，就這么開著把保險箱發給你。你把數據放進去以後，把保險箱「撞」上發給我。撞上以後，除了我以外，誰都打不開保險箱了。這就是RSA了，公開的保險箱就是公鑰，但是我有私鑰，我才能打開。

2.數字簽名
這種鎖看起來好像很不錯，但是鎖在運輸的過程中有這么一個嚴重的問題：你怎麼確定你收到的開著的保險箱就是我發來的呢？對於一個聰明人，他完全可以這么干：
(a)裝作運輸工人。我現在把我開著的保險箱運給對方。運輸工人自己也弄這么一個保險箱，運輸的時候把保險箱換成他做的。
(b)對方收到保險箱後，沒法知道這個保險箱是我最初發過去的，還是運輸工人替換的。對方把數據放進去，把保險箱撞上。
(c)運輸工人往回運的時候，用自己的鑰匙打開自己的保險箱，把數據拿走。然後復印也好，偽造也好，弄出一份數據，把這份數據放進我的保險箱，撞上，然後發給我。
從我的角度，從對方的角度，都會覺得這數據傳輸過程沒問題。但是，運輸工人成功拿到了數據，整個過程還是不安全的，大概的過程是這樣：

這怎麼辦啊？這個問題的本質原因是，人們沒辦法獲知，保險箱到底是「我」做的，還是運輸工人做的。那乾脆，我們都別做保險箱了，讓權威機構做保險箱，然後在每個保險箱上用特殊的工具刻上一個編號。對方收到保險箱的時候，在權威機構的「公告欄」上查一下編號，要是和保險箱上的編號一樣，我就知道這個保險箱是「我」的，就安心把數據放進去。大概過程是這樣的：

如何做出刻上編號，而且編號沒法修改的保險箱呢？這涉及到了公鑰體制中的另一個問題：數字簽名。
要知道，刻字這種事情吧，誰都能幹，所以想做出只能自己刻字，還沒法讓別人修改的保險箱確實有點難度。那麼怎麼辦呢？這其實困擾了人們很長的時間。直到有一天，人們發現：我們不一定非要在保險箱上刻規規矩矩的字，我們乾脆在保險箱上刻手寫名字好了。而且，刻字有點麻煩，乾脆我們在上面弄張紙，讓人直接在上面寫，簡單不費事。具體做法是，我們在保險箱上嵌進去一張紙，然後每個出產的保險箱都讓權威機構的CEO簽上自己的名字。然後，CEO把自己的簽名公開在權威機構的「公告欄」上面。比如這個CEO就叫「學酥」，那麼整個流程差不多是這個樣子：

這個方法的本質原理是，每個人都能夠通過筆跡看出保險箱上的字是不是學酥CEO簽的。但是呢，這個字體是學酥CEO唯一的字體。別人很難模仿。如果模仿我們就能自己分辨出來了。要是實在分辨不出來呢，我們就請一個筆跡專家來分辨。這不是很好嘛。這個在密碼學上就是數字簽名。

上面這個簽字的方法雖然好，但是還有一個比較蛋疼的問題。因為簽字的樣子是公開的，一個聰明人可以把公開的簽字影印一份，自己造個保險箱，然後把這個影印的字也嵌進去。這樣一來，這個聰明人也可以造一個相同簽字的保險箱了。解決這個問題一個非常簡單的方法就是在看保險箱上的簽名時，不光看字體本身，還要看字體是不是和公開的字體完全一樣。要是完全一樣，就可以考慮這個簽名可能是影印出來的。甚至，還要考察字體是不是和其他保險櫃上的字體一模一樣。因為聰明人為了欺騙大家，可能不影印公開的簽名，而影印其他保險箱上的簽名。這種解決方法雖然簡單，但是驗證簽名的時候麻煩了一些。麻煩的地方在於我不僅需要對比保險箱上的簽名是否與公開的筆跡一樣，還需要對比得到的簽名是否與公開的筆跡完全一樣，乃至是否和所有發布的保險箱上的簽名完全一樣。有沒有什麼更好的方法呢？

當然有，人們想到了一個比較好的方法。那就是，學酥CEO簽字的時候吧，不光把名字簽上，還得帶上簽字得日期，或者帶上這個保險箱的編號。這樣一來，每一個保險箱上的簽字就唯一了，這個簽字是學酥CEO的簽名+學酥CEO寫上的時間或者編號。這樣一來，就算有人偽造，也只能偽造用過的保險箱。這個問題就徹底解決了。這個過程大概是這么個樣子：

3 造價問題（密鑰封裝機制，Key Encapsulation Mechanism）
解決了上面的各種問題，我們要考慮考慮成本了… 這種能「撞」門的保險箱雖然好，但是這種鎖造價一般來說要比普通的鎖要高，而且鎖生產時間也會變長。在密碼學中，對於同樣「結實」的鎖，能「撞」門的鎖的造價一般來說是普通鎖的上千倍。同時，能「撞」門的鎖一般來說只能安裝在小的保險櫃裡面。畢竟，這么復雜的鎖，裝起來很費事啊！而普通鎖安裝在多大的保險櫃上面都可以呢。如果兩個人想傳輸大量數據的話，用一個大的保險櫃比用一堆小的保險櫃慢慢傳要好的多呀。怎麼解決這個問題呢？人們又想出了一個非常棒的方法：我們把兩種鎖結合起來。能「撞」上的保險櫃裡面放一個普通鎖的鑰匙。然後造一個用普通的保險櫃來鎖大量的數據。這樣一來，我們相當於用能「撞」上的保險櫃發一個鑰匙過去。對方收到兩個保險櫃後，先用自己的鑰匙把小保險櫃打開，取出鑰匙。然後在用這個鑰匙開大的保險櫃。這樣做更棒的一個地方在於，既然對方得到了一個鑰匙，後續再通信的時候，我們就不再需要能「撞」上的保險櫃了啊，在以後一定時間內就用普通保險櫃就好了，方便快捷嘛。

以下參考 數字簽名、數字證書、SSL、https是什麼關系？
4.數字簽名（Digital Signature）
數據在瀏覽器和伺服器之間傳輸時，有可能在傳輸過程中被冒充的盜賊把內容替換了，那麼如何保證數據是真實伺服器發送的而不被調包呢，同時如何保證傳輸的數據沒有被人篡改呢，要解決這兩個問題就必須用到數字簽名，數字簽名就如同日常生活的中的簽名一樣，一旦在合同書上落下了你的大名，從法律意義上就確定是你本人簽的字兒，這是任何人都沒法仿造的，因為這是你專有的手跡，任何人是造不出來的。那麼在計算機中的數字簽名怎麼回事呢？數字簽名就是用於驗證傳輸的內容是不是真實伺服器發送的數據，發送的數據有沒有被篡改過，它就干這兩件事，是非對稱加密的一種應用場景。不過他是反過來用私鑰來加密，通過與之配對的公鑰來解密。
第一步：服務端把報文經過Hash處理後生成摘要信息Digest，摘要信息使用私鑰private-key加密之後就生成簽名，伺服器把簽名連同報文一起發送給客戶端。
第二步：客戶端接收到數據後，把簽名提取出來用public-key解密，如果能正常的解密出來Digest2，那麼就能確認是對方發的。
第三步：客戶端把報文Text提取出來做同樣的Hash處理，得到的摘要信息Digest1，再與之前解密出來的Digist2對比，如果兩者相等，就表示內容沒有被篡改，否則內容就是被人改過了。因為只要文本內容哪怕有任何一點點改動都會Hash出一個完全不一樣的摘要信息出來。

5.數字證書（Certificate Authority）
數字證書簡稱CA，它由權威機構給某網站頒發的一種認可憑證，這個憑證是被大家（瀏覽器）所認可的，為什麼需要用數字證書呢，難道有了數字簽名還不夠安全嗎？有這樣一種情況，就是瀏覽器無法確定所有的真實伺服器是不是真的是真實的，舉一個簡單的例子：A廠家給你們家安裝鎖，同時把鑰匙也交給你，只要鑰匙能打開鎖，你就可以確定鑰匙和鎖是配對的，如果有人把鑰匙換了或者把鎖換了，你是打不開門的，你就知道肯定被竊取了，但是如果有人把鎖和鑰匙替換成另一套表面看起來差不多的，但質量差很多的，雖然鑰匙和鎖配套，但是你卻不能確定這是否真的是A廠家給你的，那麼這時候，你可以找質檢部門來檢驗一下，這套鎖是不是真的來自於A廠家，質檢部門是權威機構，他說的話是可以被公眾認可的（呵呵）。
同樣的， 因為如果有人（張三）用自己的公鑰把真實伺服器發送給瀏覽器的公鑰替換了，於是張三用自己的私鑰執行相同的步驟對文本Hash、數字簽名，最後得到的結果都沒什麼問題，但事實上瀏覽器看到的東西卻不是真實伺服器給的，而是被張三從里到外（公鑰到私鑰）換了一通。那麼如何保證你現在使用的公鑰就是真實伺服器發給你的呢？我們就用數字證書來解決這個問題。數字證書一般由數字證書認證機構（Certificate Authority）頒發，證書裡麵包含了真實伺服器的公鑰和網站的一些其他信息，數字證書機構用自己的私鑰加密後發給瀏覽器，瀏覽器使用數字證書機構的公鑰解密後得到真實伺服器的公鑰。這個過程是建立在被大家所認可的證書機構之上得到的公鑰，所以這是一種安全的方式。

常見的對稱加密演算法有DES、3DES、AES、RC5、RC6。非對稱加密演算法應用非常廣泛，如SSH,
HTTPS, TLS，電子證書，電子簽名，電子身份證等等。
參考 DES/3DES/AES區別

『拾』 什麼是RSA用於何種場合

RSA
RSA演算法是第一個能同時用於加密和數字簽名的演算法，也易於理解和操作。 RSA是被研究得最廣泛的公鑰演算法，從提出到現在已近二十年，經歷了各種攻擊的考驗，逐漸為人們接受，普遍認為是目前最優秀的公鑰方案之一。RSA的安全性依賴於大數的因子分解，但並沒有從理論上證明破譯RSA的難度與大數分解難度等價。即RSA的重大缺陷是無法從理論上把握它的保密性能如何，而且密碼學界多數人士傾向於因子分解不是NPC問題。RSA的缺點主要有：A)產生密鑰很麻煩，受到素數產生技術的限制，因而難以做到一次一密。B)分組長度太大，為保證安全性，n 至少也要 600 bits以上，使運算代價很高，尤其是速度較慢，較對稱密碼演算法模空慢幾個數量級；且隨著大數分解技術的發展，這個長度還在增加，不利於數據格式的標准化。目前，SET(Secure Electronic Transaction)協議中要求CA採用2048比特長的密鑰，其他實體使用1024比特的密鑰。

這種演算法1978年辯碼穗就出現了，它是第一個既能用於數據加密也能用於數字簽名的演算法。它易於理解和操作，也很流行。演算法的名字以發明者的名字命名：Ron Rivest, AdiShamir 和Leonard Adleman。但RSA的安全性一直未能得到理論上的證明。

RSA的安全性依賴於大數分解。公鑰和私鑰都是兩個大素數（ 大於 100個十進制位）的函數。據猜測，從一個密鑰和密文推斷出明文的難度等同於分解兩個大素數的積。

密鑰對的產生。選擇兩個大素數，p 和q 。計算：

n = p * q

然後隨機選擇加密密鑰e，要求 e 和 ( p - 1 ) * ( q - 1 ) 互質。最後，利用Euclid 演算法計算解密密鑰d, 滿足

e * d = 1 ( mod ( p - 1 ) * ( q - 1 ) )

其中n和d也要互質。數e和n是公鑰，d是私鑰。兩個素數p和q不再需要，應該丟棄，不要讓任何人知道。

加密信息 m（二進製表示）時，首先把m分成等長數據塊 m1 ,m2,..., mi ，塊長s，其中 2^s <= n, s 盡可能的大。對應的密文是：

ci = mi^e ( mod n ) ( a )

解密時作如下計算：

mi = ci^d ( mod n ) ( b )

RSA 可用於數字簽名，方案是用 ( a ) 式簽名， ( b )式驗證。具體操作時考慮到安全性和 m信息量較大等因素，一般是先作 HASH 運算。

RSA 的安全性。

RSA的安全性依賴於大數分解，但是否等同於大數分解一直未能得到理論上的證明，因為沒有證明破解RSA就一定需要作大數分解。假設存在一種無須分解大數的演算法，那它肯定可以修改成為大數分解演算法。目前， RSA的一些變種演算法已被證明等價於大數分解。不管怎樣，分解n是最顯然的攻擊方法。現在，人們已能分解140多個十進制位的大素數。因此，模數n必須選大一些，因具體適用情況而定。

RSA的速度。

由於進行的都是大數計算，使得RSA最快的情況也比DES慢上100倍，無論是軟體還是硬體實現。速度一直是RSA的缺陷。一般來說只用於少量數據加密。

RSA的選擇密文攻擊。

RSA在選擇密文攻擊面前很脆弱。一般攻擊者是將某一信息作一下偽裝(Blind)，讓擁有私鑰的實體簽署。然後，經過計算就可得到它所想要的信息。實際上，攻擊利用的都是同一個弱點，即存在這樣一個事實：乘冪保留了輸入的乘法結構：

( XM )^d = X^d *M^d mod n

前面已經提到，這個固有的問題來自於公鑰密碼系統的最有用的特徵--每個人都能使用公鑰。但從演算法上無法解決這一問題，主要措施有兩條：一條是採用好的公鑰協議，保證工作過程中實體不對其他實體任意產生的信息解密，不對自己一無所知的信息簽名；另一條是攜卜決不對陌生人送來的隨機文檔簽名，簽名時首先使用One-Way Hash Function對文檔作HASH處理，或同時使用不同的簽名演算法。在中提到了幾種不同類型的攻擊方法。

RSA的公共模數攻擊。

若系統中共有一個模數，只是不同的人擁有不同的e和d，系統將是危險的。最普遍的情況是同一信息用不同的公鑰加密，這些公鑰共模而且互質，那末該信息無需私鑰就可得到恢復。設P為信息明文，兩個加密密鑰為e1和e2，公共模數是n，則：

C1 = P^e1 mod n

C2 = P^e2 mod n

密碼分析者知道n、e1、e2、C1和C2，就能得到P。

因為e1和e2互質，故用Euclidean演算法能找到r和s，滿足：

r * e1 + s * e2 = 1

假設r為負數，需再用Euclidean演算法計算C1^(-1)，則

( C1^(-1) )^(-r) * C2^s = P mod n

另外，還有其它幾種利用公共模數攻擊的方法。總之，如果知道給定模數的一對e和d，一是有利於攻擊者分解模數，一是有利於攻擊者計算出其它成對的e』和d』，而無需分解模數。解決辦法只有一個，那就是不要共享模數n。

RSA的小指數攻擊。 有一種提高RSA速度的建議是使公鑰e取較小的值，這樣會使加密變得易於實現，速度有所提高。但這樣作是不安全的，對付辦法就是e和d都取較大的值。