rsa非對稱加密理論基礎

A. RSA加密原理

RSA加密是一種非對稱加密。可以在不直接傳遞密鑰的情況下，完成解密。這能夠確保信息的安全性，避免了直接傳遞密鑰所造成的被破解的風險。是由一對密鑰來進行加解密的過程，分別稱為公鑰和私鑰。公鑰加密--私鑰解密，私鑰加密--公鑰解密

在 整數 中， 離散對數 是一種基於 同餘 運算和 原根 的一種 對數 運算。而在實數中對數的定義 log _b a 是指對於給定的 a 和 b ，有一個數 x ，使得 b ^x = a 。相同地在任何群 G 中可為所有整數 k 定義一個冪數為 b ^K ，而 離散對數 log _b a 是指使得 b ^K = a 的整數 k 。

當3為17的 原根 時，我們會發現一個規律

對 正整數 n，歐拉函數是小於或等於n的正整數中與n 互質 的數的數目（因此φ(1)=1）。有以下幾個特點

服務端根據生成一個隨機數15，根據 3 ¹⁵ _mod 17 計算出6，服務端將6傳遞給客戶端，客戶端生成一個隨機數13，根據 3 ¹³ _mod 17 計算出12後，將12再傳回給服務端，客戶端收到服務端傳遞的6後，根據 6 ¹³ _mod 17 計算出 10 ，服務端收到客戶端傳遞的12後，根據 12 ¹⁵ _mod 17 計算出 10 ，我們會發現我們通過 迪菲赫爾曼密鑰交換 將 10 進行了加密傳遞

說明：

安全性：
除了 公鑰 用到 n 和 e ，其餘的4個數字是 不公開 的（p1、p2、φ(n)、d）
目前破解RSA得到的方式如下：

缺點
RSA加密 效率不高 ，因為是純粹的數學演算法，大數據不適合RSA加密，所以我們在加密大數據的時候，我們先用 對稱加密 演算法加密大數據得到 KEY ，然後再用 RSA 加密 KEY ，再把大數據和KEY一起進行傳遞

因為Mac系統內置了OpenSSL（開源加密庫），所以我們開源直接在終端進行RSA加密解密

生成RSA私鑰，密鑰名為private.pem,密鑰長度為1024bit

因為在iOS中是無法使用 .pem 文件進行加密和解密的，需要進行下面幾個步驟

生成一個10年期限的crt證書

crt證書格式轉換成der證書

B. 加密基礎知識二 非對稱加密RSA演算法和對稱加密

上述過程中，出現了公鑰(3233,17)和私鑰(3233,2753)，這兩組數字是怎麼找出來的呢？參考 RSA演算法原理（二）
首字母縮寫說明：E是加密（Encryption）D是解密（Decryption）N是數字（Number）。

1.隨機選擇兩個不相等的質數p和q。
alice選擇了61和53。（實際應用中，這兩個質數越大，就越難破解。）

2.計算p和q的乘積n。
n = 61×53 = 3233
n的長度就是密鑰長度。3233寫成二進制是110010100001，一共有12位，所以這個密鑰就是12位。實際應用中，RSA密鑰一般是1024位，重要場合則為2048位。

3.計算n的歐拉函數φ(n)。稱作L
根據公式φ(n) = (p-1)(q-1)
alice算出φ(3233)等於60×52，即3120。

4.隨機選擇一個整數e，也就是公鑰當中用來加密的那個數字
條件是1< e < φ(n)，且e與φ(n) 互質。
alice就在1到3120之間，隨機選擇了17。（實際應用中，常常選擇65537。）

5.計算e對於φ(n)的模反元素d。也就是密鑰當中用來解密的那個數字
所謂"模反元素"就是指有一個整數d，可以使得ed被φ(n)除的余數為1。ed ≡ 1 (mod φ(n))
alice找到了2753，即17*2753 mode 3120 = 1

6.將n和e封裝成公鑰，n和d封裝成私鑰。
在alice的例子中，n=3233，e=17，d=2753，所以公鑰就是 (3233,17)，私鑰就是（3233, 2753）。

上述故事中，blob為了偷偷地傳輸移動位數6，使用了公鑰做加密，即6^17 mode 3233 = 824。alice收到824之後，進行解密，即824^2753 mod 3233 = 6。也就是說，alice成功收到了blob使用的移動位數。

再來復習一下整個流程：
p=17,q=19
n = 17 19 = 323
L = 16 18 = 144
E = 5(E需要滿足以下兩個條件：1<E<144,E和144互質)
D = 29(D要滿足兩個條件，1<D<144,D mode 144 = 1)
假設某個需要傳遞123，則加密後：123^5 mode 323 = 225
接收者收到225後，進行解密，225^ 29 mode 323 = 123

回顧上面的密鑰生成步驟，一共出現六個數字：
p
q
n
L即φ(n)
e
d
這六個數字之中，公鑰用到了兩個（n和e），其餘四個數字都是不公開的。其中最關鍵的是d，因為n和d組成了私鑰，一旦d泄漏，就等於私鑰泄漏。那麼，有無可能在已知n和e的情況下，推導出d？
（1）ed≡1 (mod φ(n))。只有知道e和φ(n)，才能算出d。
（2）φ(n)=(p-1)(q-1)。只有知道p和q，才能算出φ(n)。
（3）n=pq。只有將n因數分解，才能算出p和q。
結論：如果n可以被因數分解，d就可以算出，也就意味著私鑰被破解。
可是，大整數的因數分解，是一件非常困難的事情。目前，除了暴力破解，還沒有發現別的有效方法。維基網路這樣寫道："對極大整數做因數分解的難度決定了RSA演算法的可靠性。換言之，對一極大整數做因數分解愈困難，RSA演算法愈可靠。假如有人找到一種快速因數分解的演算法，那麼RSA的可靠性就會極度下降。但找到這樣的演算法的可能性是非常小的。今天只有短的RSA密鑰才可能被暴力破解。到2008年為止，世界上還沒有任何可靠的攻擊RSA演算法的方式。只要密鑰長度足夠長，用RSA加密的信息實際上是不能被解破的。"

然而，雖然RSA的安全性依賴於大數的因子分解，但並沒有從理論上證明破譯RSA的難度與大數分解難度等價。即RSA的重大缺陷是無法從理論上把握它的保密性能如何。此外，RSA的缺點還有：
A)產生密鑰很麻煩，受到素數產生技術的限制，因而難以做到一次一密。
B)分組長度太大，為保證安全性，n 至少也要 600bits以上，使運算代價很高，尤其是速度較慢，較對稱密碼演算法慢幾個數量級；且隨著大數分解技術的發展，這個長度還在增加，不利於數據格式的標准化。因此， 使用RSA只能加密少量數據，大量的數據加密還要靠對稱密碼演算法 。

加密和解密是自古就有技術了。經常看到偵探電影的橋段，勇敢又機智的主角，拿著一長串毫無意義的數字苦惱，忽然靈光一閃，翻出一本厚書，將第一個數字對應頁碼數，第二個數字對應行數，第三個數字對應那一行的某個詞。數字變成了一串非常有意義的話：
Eat the beancurd with the peanut. Taste like the ham.

這種加密方法是將原來的某種信息按照某個規律打亂。某種打亂的方式就叫做密鑰(cipher code)。發出信息的人根據密鑰來給信息加密，而接收信息的人利用相同的密鑰，來給信息解密。 就好像一個帶鎖的盒子。發送信息的人將信息放到盒子里，用鑰匙鎖上。而接受信息的人則用相同的鑰匙打開。加密和解密用的是同一個密鑰，這種加密稱為對稱加密（symmetric encryption）。

如果一對一的話，那麼兩人需要交換一個密鑰。一對多的話，比如總部和多個特工的通信，依然可以使用同一套密鑰。 但這種情況下，對手偷到一個密鑰的話，就知道所有交流的信息了。 二戰中盟軍的情報戰成果，很多都來自於破獲這種對稱加密的密鑰。

為了更安全，總部需要給每個特工都設計一個不同的密鑰。如果是FBI這樣龐大的機構，恐怕很難維護這么多的密鑰。在現代社會，每個人的信用卡信息都需要加密。一一設計密鑰的話，銀行怕是要跪了。

對稱加密的薄弱之處在於給了太多人的鑰匙。如果只給特工鎖，而總部保有鑰匙，那就容易了。特工將信息用鎖鎖到盒子里，誰也打不開，除非到總部用唯一的一把鑰匙打開。只是這樣的話，特工每次出門都要帶上許多鎖，太容易被識破身份了。總部老大想了想，乾脆就把造鎖的技術公開了。特工，或者任何其它人，可以就地取材，按照圖紙造鎖，但無法根據圖紙造出鑰匙。鑰匙只有總部的那一把。

上面的關鍵是鎖和鑰匙工藝不同。知道了鎖，並不能知道鑰匙。這樣，銀行可以將「造鎖」的方法公布給所有用戶。 每個用戶可以用鎖來加密自己的信用卡信息。即使被別人竊聽到，也不用擔心：只有銀行才有鑰匙呢！這樣一種加密演算法叫做非對稱加密(asymmetric encryption)。非對稱加密的經典演算法是RSA演算法。它來自於數論與計算機計數的奇妙結合。

1976年，兩位美國計算機學家Whitfield Diffie 和 Martin Hellman，提出了一種嶄新構思，可以在不直接傳遞密鑰的情況下，完成解密。這被稱為"Diffie-Hellman密鑰交換演算法"。這個演算法啟發了其他科學家。人們認識到，加密和解密可以使用不同的規則，只要這兩種規則之間存在某種對應關系即可，這樣就避免了直接傳遞密鑰。這種新的加密模式被稱為"非對稱加密演算法"。

1977年，三位數學家Rivest、Shamir 和 Adleman 設計了一種演算法，可以實現非對稱加密。這種演算法用他們三個人的名字命名，叫做RSA演算法。從那時直到現在，RSA演算法一直是最廣為使用的"非對稱加密演算法"。毫不誇張地說，只要有計算機網路的地方，就有RSA演算法。

1.能「撞」上的保險箱（非對稱/公鑰加密體制，Asymmetric / Public Key Encryption）

數據加密解密和門鎖很像。最開始的時候，人們只想到了那種只能用鑰匙「鎖」數據的鎖。如果在自己的電腦上自己加密數據，當然可以用最開始這種門鎖的形式啦，方便快捷，簡單易用有木有。

但是我們現在是通信時代啊，雙方都想做安全的通信怎麼辦呢？如果也用這種方法，通信就好像互相發送密碼保險箱一樣…而且雙方必須都有鑰匙才能進行加密和解密。也就是說，兩個人都拿著保險箱的鑰匙，你把數據放進去，用鑰匙鎖上發給我。我用同樣的鑰匙把保險箱打開，再把我的數據鎖進保險箱，發送給你。

這樣看起來好像沒什麼問題。但是，這裡面 最大的問題是：我們兩個怎麼弄到同一個保險箱的同一個鑰匙呢？ 好像僅有的辦法就是我們兩個一起去買個保險箱，然後一人拿一把鑰匙，以後就用這個保險箱了。可是，現代通信社會，絕大多數情況下別說一起去買保險箱了，連見個面都難，這怎麼辦啊？

於是，人們想到了「撞門」的方法。我這有個可以「撞上」的保險箱，你那裡自己也買一個這樣的保險箱。通信最開始，我把保險箱打開，就這么開著把保險箱發給你。你把數據放進去以後，把保險箱「撞」上發給我。撞上以後，除了我以外，誰都打不開保險箱了。這就是RSA了，公開的保險箱就是公鑰，但是我有私鑰，我才能打開。

2.數字簽名
這種鎖看起來好像很不錯，但是鎖在運輸的過程中有這么一個嚴重的問題：你怎麼確定你收到的開著的保險箱就是我發來的呢？對於一個聰明人，他完全可以這么干：
(a)裝作運輸工人。我現在把我開著的保險箱運給對方。運輸工人自己也弄這么一個保險箱，運輸的時候把保險箱換成他做的。
(b)對方收到保險箱後，沒法知道這個保險箱是我最初發過去的，還是運輸工人替換的。對方把數據放進去，把保險箱撞上。
(c)運輸工人往回運的時候，用自己的鑰匙打開自己的保險箱，把數據拿走。然後復印也好，偽造也好，弄出一份數據，把這份數據放進我的保險箱，撞上，然後發給我。
從我的角度，從對方的角度，都會覺得這數據傳輸過程沒問題。但是，運輸工人成功拿到了數據，整個過程還是不安全的，大概的過程是這樣：

這怎麼辦啊？這個問題的本質原因是，人們沒辦法獲知，保險箱到底是「我」做的，還是運輸工人做的。那乾脆，我們都別做保險箱了，讓權威機構做保險箱，然後在每個保險箱上用特殊的工具刻上一個編號。對方收到保險箱的時候，在權威機構的「公告欄」上查一下編號，要是和保險箱上的編號一樣，我就知道這個保險箱是「我」的，就安心把數據放進去。大概過程是這樣的：

如何做出刻上編號，而且編號沒法修改的保險箱呢？這涉及到了公鑰體制中的另一個問題：數字簽名。
要知道，刻字這種事情吧，誰都能幹，所以想做出只能自己刻字，還沒法讓別人修改的保險箱確實有點難度。那麼怎麼辦呢？這其實困擾了人們很長的時間。直到有一天，人們發現：我們不一定非要在保險箱上刻規規矩矩的字，我們乾脆在保險箱上刻手寫名字好了。而且，刻字有點麻煩，乾脆我們在上面弄張紙，讓人直接在上面寫，簡單不費事。具體做法是，我們在保險箱上嵌進去一張紙，然後每個出產的保險箱都讓權威機構的CEO簽上自己的名字。然後，CEO把自己的簽名公開在權威機構的「公告欄」上面。比如這個CEO就叫「學酥」，那麼整個流程差不多是這個樣子：

這個方法的本質原理是，每個人都能夠通過筆跡看出保險箱上的字是不是學酥CEO簽的。但是呢，這個字體是學酥CEO唯一的字體。別人很難模仿。如果模仿我們就能自己分辨出來了。要是實在分辨不出來呢，我們就請一個筆跡專家來分辨。這不是很好嘛。這個在密碼學上就是數字簽名。

上面這個簽字的方法雖然好，但是還有一個比較蛋疼的問題。因為簽字的樣子是公開的，一個聰明人可以把公開的簽字影印一份，自己造個保險箱，然後把這個影印的字也嵌進去。這樣一來，這個聰明人也可以造一個相同簽字的保險箱了。解決這個問題一個非常簡單的方法就是在看保險箱上的簽名時，不光看字體本身，還要看字體是不是和公開的字體完全一樣。要是完全一樣，就可以考慮這個簽名可能是影印出來的。甚至，還要考察字體是不是和其他保險櫃上的字體一模一樣。因為聰明人為了欺騙大家，可能不影印公開的簽名，而影印其他保險箱上的簽名。這種解決方法雖然簡單，但是驗證簽名的時候麻煩了一些。麻煩的地方在於我不僅需要對比保險箱上的簽名是否與公開的筆跡一樣，還需要對比得到的簽名是否與公開的筆跡完全一樣，乃至是否和所有發布的保險箱上的簽名完全一樣。有沒有什麼更好的方法呢？

當然有，人們想到了一個比較好的方法。那就是，學酥CEO簽字的時候吧，不光把名字簽上，還得帶上簽字得日期，或者帶上這個保險箱的編號。這樣一來，每一個保險箱上的簽字就唯一了，這個簽字是學酥CEO的簽名+學酥CEO寫上的時間或者編號。這樣一來，就算有人偽造，也只能偽造用過的保險箱。這個問題就徹底解決了。這個過程大概是這么個樣子：

3 造價問題（密鑰封裝機制，Key Encapsulation Mechanism）
解決了上面的各種問題，我們要考慮考慮成本了… 這種能「撞」門的保險箱雖然好，但是這種鎖造價一般來說要比普通的鎖要高，而且鎖生產時間也會變長。在密碼學中，對於同樣「結實」的鎖，能「撞」門的鎖的造價一般來說是普通鎖的上千倍。同時，能「撞」門的鎖一般來說只能安裝在小的保險櫃裡面。畢竟，這么復雜的鎖，裝起來很費事啊！而普通鎖安裝在多大的保險櫃上面都可以呢。如果兩個人想傳輸大量數據的話，用一個大的保險櫃比用一堆小的保險櫃慢慢傳要好的多呀。怎麼解決這個問題呢？人們又想出了一個非常棒的方法：我們把兩種鎖結合起來。能「撞」上的保險櫃裡面放一個普通鎖的鑰匙。然後造一個用普通的保險櫃來鎖大量的數據。這樣一來，我們相當於用能「撞」上的保險櫃發一個鑰匙過去。對方收到兩個保險櫃後，先用自己的鑰匙把小保險櫃打開，取出鑰匙。然後在用這個鑰匙開大的保險櫃。這樣做更棒的一個地方在於，既然對方得到了一個鑰匙，後續再通信的時候，我們就不再需要能「撞」上的保險櫃了啊，在以後一定時間內就用普通保險櫃就好了，方便快捷嘛。

以下參考 數字簽名、數字證書、SSL、https是什麼關系？
4.數字簽名（Digital Signature）
數據在瀏覽器和伺服器之間傳輸時，有可能在傳輸過程中被冒充的盜賊把內容替換了，那麼如何保證數據是真實伺服器發送的而不被調包呢，同時如何保證傳輸的數據沒有被人篡改呢，要解決這兩個問題就必須用到數字簽名，數字簽名就如同日常生活的中的簽名一樣，一旦在合同書上落下了你的大名，從法律意義上就確定是你本人簽的字兒，這是任何人都沒法仿造的，因為這是你專有的手跡，任何人是造不出來的。那麼在計算機中的數字簽名怎麼回事呢？數字簽名就是用於驗證傳輸的內容是不是真實伺服器發送的數據，發送的數據有沒有被篡改過，它就干這兩件事，是非對稱加密的一種應用場景。不過他是反過來用私鑰來加密，通過與之配對的公鑰來解密。
第一步：服務端把報文經過Hash處理後生成摘要信息Digest，摘要信息使用私鑰private-key加密之後就生成簽名，伺服器把簽名連同報文一起發送給客戶端。
第二步：客戶端接收到數據後，把簽名提取出來用public-key解密，如果能正常的解密出來Digest2，那麼就能確認是對方發的。
第三步：客戶端把報文Text提取出來做同樣的Hash處理，得到的摘要信息Digest1，再與之前解密出來的Digist2對比，如果兩者相等，就表示內容沒有被篡改，否則內容就是被人改過了。因為只要文本內容哪怕有任何一點點改動都會Hash出一個完全不一樣的摘要信息出來。

5.數字證書（Certificate Authority）
數字證書簡稱CA，它由權威機構給某網站頒發的一種認可憑證，這個憑證是被大家（瀏覽器）所認可的，為什麼需要用數字證書呢，難道有了數字簽名還不夠安全嗎？有這樣一種情況，就是瀏覽器無法確定所有的真實伺服器是不是真的是真實的，舉一個簡單的例子：A廠家給你們家安裝鎖，同時把鑰匙也交給你，只要鑰匙能打開鎖，你就可以確定鑰匙和鎖是配對的，如果有人把鑰匙換了或者把鎖換了，你是打不開門的，你就知道肯定被竊取了，但是如果有人把鎖和鑰匙替換成另一套表面看起來差不多的，但質量差很多的，雖然鑰匙和鎖配套，但是你卻不能確定這是否真的是A廠家給你的，那麼這時候，你可以找質檢部門來檢驗一下，這套鎖是不是真的來自於A廠家，質檢部門是權威機構，他說的話是可以被公眾認可的（呵呵）。
同樣的， 因為如果有人（張三）用自己的公鑰把真實伺服器發送給瀏覽器的公鑰替換了，於是張三用自己的私鑰執行相同的步驟對文本Hash、數字簽名，最後得到的結果都沒什麼問題，但事實上瀏覽器看到的東西卻不是真實伺服器給的，而是被張三從里到外（公鑰到私鑰）換了一通。那麼如何保證你現在使用的公鑰就是真實伺服器發給你的呢？我們就用數字證書來解決這個問題。數字證書一般由數字證書認證機構（Certificate Authority）頒發，證書裡麵包含了真實伺服器的公鑰和網站的一些其他信息，數字證書機構用自己的私鑰加密後發給瀏覽器，瀏覽器使用數字證書機構的公鑰解密後得到真實伺服器的公鑰。這個過程是建立在被大家所認可的證書機構之上得到的公鑰，所以這是一種安全的方式。

常見的對稱加密演算法有DES、3DES、AES、RC5、RC6。非對稱加密演算法應用非常廣泛，如SSH,
HTTPS, TLS，電子證書，電子簽名，電子身份證等等。
參考 DES/3DES/AES區別

C. 非對稱加密之-RSA加密

對一個大整數進行因數分解，在高等數學中叫做費馬大定理，至今沒有被破解
RSA演算法是最流行的公鑰密碼演算法，使用長度可以變化的密鑰。RSA是第一個既能用於數據加密也能用於數字簽名的演算法。

這是目前地球上最重要的加密演算法

至此，所有計算完成。
將 n和e封裝成公鑰 ， n和d封裝成私鑰 。

回顧上面的密鑰生成步驟，一共出現六個數字：

這六個數字之中，公鑰用到了兩個（n和e），其餘四個數字都是不公開的。其中最關鍵的是d，因為n和d組成了私鑰，一旦d泄漏，就等於私鑰泄漏。
那麼， 有無可能在已知n和e的情況下，推導出d？

最終轉換成->結論： 如果n可以被因數分解，d就可以算出，也就意味著私鑰被破解。

第一步 ：首先生成秘鑰對

第二步 ：公鑰加密

第三步 ：私鑰解密

幾個全局變數解說：

關於加密填充方式：之前以為上面這些操作就能實現rsa加解密，以為萬事大吉了，呵呵，這事還沒完，悲劇還是發生了， android這邊加密過的數據，伺服器端死活解密不了， ，這造成了在android機上加密後無法在伺服器上解密的原因，所以在實現的時候這個一定要注意

實現分段加密：搞定了填充方式之後又自信的認為萬事大吉了，可是意外還是發生了，RSA非對稱加密內容長度有限制，1024位key的最多隻能加密127位數據，否則就會報錯(javax.crypto.IllegalBlockSizeException: Data must not be longer than 117 bytes) ，RSA 是常用的非對稱加密演算法。最近使用時卻出現了「不正確的長度」的異常，研究發現是由於待加密的數據超長所致。RSA 演算法規定：待加密的位元組數不能超過密鑰的長度值除以 8 再減去 11（即：KeySize / 8 - 11），而加密後得到密文的位元組數，正好是密鑰的長度值除以 8（即：KeySize / 8）。

愛麗絲選擇了61和53。（實際應用中，這兩個質數越大，就越難破解。）

愛麗絲就把61和53相乘

n的長度就是密鑰長度。3233寫成二進制是110010100001，一共有12位，所以這個密鑰就是12位。實際應用中，RSA密鑰一般是1024位，重要場合則為2048位

愛麗絲算出φ(3233)等於60×52，即3120。

愛麗絲就在1到3120之間，隨機選擇了17。（實際應用中，常常選擇65537。）

所謂 "模反元素" 就是指有一個整數d，可以使得ed被φ(n)除的余數為1。

這個式子等價於

於是，找到模反元素d，實質上就是對下面這個二元一次方程求解。

已知 e=17, φ(n)=3120，

至此所有計算完成

在愛麗絲的例子中，n=3233，e=17，d=2753，所以公鑰就是 (3233,17)，私鑰就是（3233, 2753）。

實際應用中，公鑰和私鑰的數據都採用 ASN.1 格式表達

回顧上面的密鑰生成步驟，一共出現六個數字：

這六個數字之中，公鑰用到了兩個（n和e），其餘四個數字都是不公開的。其中最關鍵的是d，因為n和d組成了私鑰，一旦d泄漏，就等於私鑰泄漏。
那麼，有無可能在已知n和e的情況下，推導出d？

結論：如果n可以被因數分解，d就可以算出，也就意味著私鑰被破解。

可是，大整數的因數分解，是一件非常困難的事情。目前，除了暴力破解，還沒有發現別的有效方法。維基網路這樣寫道

舉例來說，你可以對3233進行因數分解（61×53），但是你沒法對下面這個整數進行因數分解。

它等於這樣兩個質數的乘積

事實上，RSA加密的方式原理是一個高等數學中沒有被解決的難題，所有沒有可靠的RSA的破解方式

D. 密碼學基礎（三）：非對稱加密（RSA演算法原理）

加密和解密使用的是兩個不同的秘鑰，這種演算法叫做非對稱加密。非對稱加密又稱為公鑰加密，RSA只是公鑰加密的一種。

現實生活中有簽名，互聯網中也存在簽名。簽名的作用有兩個，一個是身份驗證，一個是數據完整性驗證。數字簽名通過摘要演算法來確保接收到的數據沒有被篡改，再通過簽名者的私鑰加密，只能使用對應的公鑰解密，以此來保證身份的一致性。

數字證書是將個人信息和數字簽名放到一起，經由CA機構的私鑰加密之後生成。當然，不經過CA機構，由自己完成簽名的證書稱為自簽名證書。CA機構作為互聯網密碼體系中的基礎機構，擁有相當高級的安全防範能力，所有的證書體系中的基本假設或者前提就是CA機構的私鑰不被竊取，一旦 CA J機構出事，整個信息鏈將不再安全。

CA證書的生成過程如下：

證書參與信息傳遞完成加密和解密的過程如下：

互質關系：互質是公約數只有1的兩個整數，1和1互質，13和13就不互質了。
歐拉函數：表示任意給定正整數 n，在小於等於n的正整數之中，有多少個與 n 構成互質關系，其表達式為：

其中，若P為質數，則其表達式可以簡寫為：

情況一：φ(1)=1
1和任何數都互質，所以φ(1)=1；

情況二：n 是質數， φ(n)=n-1
因為 n 是質數，所以和小於自己的所有數都是互質關系，所以φ(n)=n-1；

情況三：如果 n 是質數的某一個次方，即 n = p^k ( p 為質數，k 為大於等於1的整數)，則φ(n)=(p-1)p^(k-1)
因為 p 為質數，所以除了 p 的倍數之外，小於 n 的所有數都是 n 的質數；

情況四：如果 n 可以分解成兩個互質的整數之積，n = p1 × p2，則φ(n) = φ(p1p2) = φ(p1)φ(p2)

情況五：基於情況四，如果 p1 和 p2 都是質數，且 n=p1 × p2，則φ(n) = φ(p1p2) = φ(p1)φ(p2)=(p1-1)(p2-1)

而 RSA 演算法的基本原理就是歐拉函數中的第五種情況，即： φ(n)=(p1-1)(p2-1);

如果兩個正整數 a 和 n 互質，那麼一定可以找到整數 b，使得 ab-1 被 n 整除，或者說ab被n除的余數是1。這時，b就叫做a的「模反元素」。歐拉定理可以用來證明模反元素必然存在。

可以看到，a的 φ(n)-1 次方，就是a對模數n的模反元素。

n=p x q = 3233，3233寫成二進制是110010100001，一共有12位，所以這個密鑰就是12位。

在實際使用中，一般場景下選擇1024位長度的數字，更高安全要求的場景下，選擇2048位的數字，這里作為演示，選取p=61和q=53；

因為n、p、q都為質數，所以φ(n) = (p-1)(q-1)=60×52= 3120

注意，這里是和φ(n) 互互質而不是n！假設選擇的值是17，即 e=17；

模反元素就是指有一個整數 d，可以使得 ed 被 φ(n) 除的余數為1。表示為：(ed-1)=φ(n) y --> 17d=3120y+1，算出一組解為(2753,15)，即 d=2753，y=-15，也就是(17 2753-1)/3120=15。

注意，這里不能選擇3119，否則公私鑰相同？？

公鑰：(n,e)=(3233,2753)
私鑰：(n,d)=(3233,17)

公鑰是公開的，也就是說m=p*q=3233是公開的，那麼怎麼求e被？e是通過模反函數求得，17d=3120y+1，e是公開的等於17，這時候想要求d就要知道3120，也就是φ(n)，也就是φ(3233)，說白了，3233是公開的，你能對3233進行因數分解，你就能知道d，也就能破解私鑰。

正常情況下，3233我們可以因數分解為61*53，但是對於很大的數字，人類只能通過枚舉的方法來因數分解，所以RSA安全性的本質就是：對極大整數做因數分解的難度決定了RSA演算法的可靠性。換言之，對一極大整數做因數分解愈困難，RSA演算法愈可靠。

人類已經分解的最大整數是：

這個人類已經分解的最大整數為232個十進制位，768個二進制位，比它更大的因數分解，還沒有被報道過，因此目前被破解的最長RSA密鑰就是768位。所以實際使用中的1024位秘鑰基本安全，2048位秘鑰絕對安全。

網上有個段子：

已經得出公私鑰的組成：
公鑰：(n,e)=(3233,2753)
私鑰：(n,d)=(3233,17)
加密的過程就是

解密過程如下：

其中 m 是要被加密的數字，c 是加密之後輸出的結果，且 m < n ，其中解密過程一定成立可以證明的，這里省略證明過程。

總而言之，RSA的加密就是使用模反函數對數字進行加密和求解過程，在實際使用中因為 m < n必須成立，所以就有兩種加密方法：

對稱加密存在雖然快速，但是存在致命的缺點就是秘鑰需要傳遞。非對稱加密雖然不需要傳遞秘鑰就可以完成加密和解密，但是其致命缺點是速度不夠快，不能用於高頻率，高容量的加密場景。所以才有了兩者的互補關系，在傳遞對稱加密的秘鑰時採用非對稱加密，完成秘鑰傳送之後採用對稱加密，如此就可以完美互補。

E. 圖文徹底搞懂非對稱加密（公鑰密鑰）

前文詳細講解了對稱加密及演算法原理。那麼是不是對稱加密就萬無一失了呢？對稱加密有一個天然的缺點，就是加密方和解密方都要持有同樣的密鑰。你可以能會提出疑問：既然要加、解密，當然雙方都要持有密鑰，這有什麼問題呢？別急，我們繼續往下看。

我們先看一個例子，小明和小紅要進行通信，但是不想被其他人知道通信的內容，所以雙方決定採用對稱加密的方式。他們做了下面的事情：

1、雙方商定了加密和解密的演算法

2、雙方確定密鑰

3、通信過程中採用這個密鑰進行加密和解密

這是不是一個看似完美的方案？但其中有一個步驟存在漏洞！

問題出在步驟2：雙方確定密鑰！

你肯定會問，雙方不確定密鑰，後面的加、解密怎麼做？

問題在於確定下來的密鑰如何讓雙方都知道。密鑰在傳遞過程中也是可能被盜取的！這里引出了一個經典問題：密鑰配送問題。

小明和小紅在商定密鑰的過程中肯定會多次溝通密鑰是什麼。即使單方一次確定下來，也要發給對方。加密是為了保證信息傳輸的安全，但密鑰本身也是信息，密鑰的傳輸安全又該如何保證呢？難不成還要為密鑰的傳輸再做一次加密？這樣不就陷入了死循環？

你是不是在想，密鑰即使被盜取，不還有加密演算法保證信息安全嗎？如果你真的有這個想法，那麼趕緊復習一下上一篇文章講的杜絕隱蔽式安全性。任何演算法最終都會被破譯，所以不能依賴演算法的復雜度來保證安全。

小明和小紅現在左右為難，想加密就要給對方發密鑰，但發密鑰又不能保證密鑰的安全。他們應該怎麼辦呢？

有如下幾種解決密鑰配送問題的方案：

非對稱加密也稱為公鑰密碼。我更願意用非對稱加密這種叫法。因為可以體現出加密和解密使用不同的密鑰。

對稱加密中，我們只需要一個密鑰，通信雙方同時持有。而非對稱加密需要4個密鑰。通信雙方各自准備一對公鑰和私鑰。其中公鑰是公開的，由信息接受方提供給信息發送方。公鑰用來對信息加密。私鑰由信息接受方保留，用來解密。既然公鑰是公開的，就不存在保密問題。也就是說非對稱加密完全不存在密鑰配送問題！你看，是不是完美解決了密鑰配送問題？

回到剛才的例子，小明和下紅經過研究發現非對稱加密能解決他們通信的安全問題，於是做了下面的事情：

1、小明確定了自己的私鑰 mPrivateKey，公鑰 mPublicKey。自己保留私鑰，將公鑰mPublicKey發給了小紅

2、小紅確定了自己的私鑰 hPrivateKey，公鑰 hPublicKey。自己保留私鑰，將公鑰 hPublicKey 發給了小明

3、小明發送信息 「周六早10點soho T1樓下見」，並且用小紅的公鑰 hPublicKey 進行加密。

4、小紅收到信息後用自己的私鑰 hPrivateKey 進行解密。然後回復 「收到，不要遲到」 並用小明的公鑰mPublicKey加密。

5、小明收到信息後用自己的私鑰 mPrivateKey 進行解密。讀取信息後心裡暗想：還提醒我不遲到？每次遲到的都是你吧？

以上過程是一次完整的request和response。通過這個例子我們梳理出一次信息傳輸的非對稱加、解密過程：

1、消息接收方准備好公鑰和私鑰

2、私鑰接收方自己留存、公鑰發布給消息發送方

3、消息發送方使用接收方公鑰對消息進行加密

4、消息接收方用自己的私鑰對消息解密

公鑰只能用做數據加密。公鑰加密的數據，只能用對應的私鑰才能解密。這是非對稱加密的核心概念。

下面我用一個更為形象的例子來幫助大家理解。

我有下圖這樣一個信箱。

由於我只想接收我期望與之通信的朋友信件。於是我在投遞口加了一把鎖，這把鎖的鑰匙（公鑰）我可以復制n份，發給我想接受其信件的人。只有這些人可以用這把鑰匙打開寄信口，把信件投入。

相信通過這個例子，可以幫助大家徹底理解公鑰和私鑰的概念。

RSA 是現在使用最為廣泛的非對稱加密演算法，本節我們來簡單介紹 RSA 加解密的過程。

RSA 加解密演算法其實很簡單：

密文=明文^E mod N

明文=密文^D mod N

RSA 演算法並不會像對稱加密一樣，用玩魔方的方式來打亂原始信息。RSA 加、解密中使用了是同樣的數 N。公鑰是公開的，意味著 N 也是公開的。所以私鑰也可以認為只是 D。

我們接下來看一看 N、E、D 是如何計算的。

1、求 N

首先需要准備兩個很大質數 a 和 b。太小容易破解，太大計算成本太高。我們可以用 512 bit 的數字，安全性要求高的可以使用 1024，2048 bit。

N=a*b

2、求 L

L 只是生成密鑰對過程中產生的數，並不參與加解密。L 是 (a-1) 和 (b-1) 的最小公倍數

3、求 E（公鑰）

E 有兩個限制：

1<E<

E和L的最大公約數為1

第一個條件限制了 E 的取值范圍，第二個條件是為了保證有與 E 對應的解密時用到的 D。

4、求 D（私鑰）

D 也有兩個限制條件：

1<D<L

E*D mod L = 1

第二個條件確保密文解密時能夠成功得到原來的明文。

由於原理涉及很多數學知識，這里就不展開細講，我們只需要了解這個過程中用到這幾個數字及公式。這是理解RSA 安全性的基礎。

由於 N 在公鑰中是公開的，那麼只需要破解 D，就可以解密得到明文。

在實際使用場景中，質數 a,b 一般至少1024 bit，那麼 N 的長度在 2048 bit 以上。D 的長度和 N 接近。以現在計算機的算力，暴力破解 D 是非常困難的。

公鑰是公開的，也就是說 E 和 N 是公開的，那麼是否可以通過 E 和 N 推斷出 D 呢？

E*D mod L = 1

想要推算出 D 就需要先推算出 L。L 是 (a-1) 和 (b-1) 的最小公倍數。想知道 L 就需要知道質數 a 和 b。破解者並不知道這兩個質數，想要破解也只能通過暴力破解。這和直接破解 D 的難度是一樣的。

等等，N 是公開的，而 N = a*b。那麼是否可以對 N 進行質因數分解求得 a 和 b 呢？好在人類還未發現高效進行質因數分解的方法，因此可以認為做質因數分解非常困難。

但是一旦某一天發現了快速做質因數分解的演算法，那麼 RSA 就不再安全

我們可以看出大質數 a 和 b 在 RSA 演算法中的重要性。保證 a 和 b 的安全也就確保了 RSA 演算法的安全性。a 和 b 是通過偽隨機生成器生成的。一旦偽隨機數生成器的演算法有問題，導致隨機性很差或者可以被推斷出來。那麼 RSA 的安全性將被徹底破壞。

中間人攻擊指的是在通信雙方的通道上，混入攻擊者。他對接收方偽裝成發送者，對放送放偽裝成接收者。

他監聽到雙方發送公鑰時，偷偷將消息篡改，發送自己的公鑰給雙方。然後自己則保存下來雙方的公鑰。

如此操作後，雙方加密使用的都是攻擊者的公鑰，那麼後面所有的通信，攻擊者都可以在攔截後進行解密，並且篡改信息內容再用接收方公鑰加密。而接收方拿到的將會是篡改後的信息。實際上，發送和接收方都是在和中間人通信。

要防範中間人，我們需要使用公鑰證書。這部分內容在下一篇文章里會做介紹。

和對稱加密相比較，非對稱加密有如下特點：

1、非對稱加密解決了密碼配送問題

2、非對稱加密的處理速度只有對稱加密的幾百分之一。不適合對很長的消息做加密。

3、1024 bit 的 RSA不應該在被新的應用使用。至少要 2048 bit 的 RSA。

RSA 解決了密碼配送問題，但是效率更低。所以有些時候，根據需求可能會配合使用對稱和非對稱加密，形成混合密碼系統，各取所長。

最後提醒大家，RSA 還可以用於簽名，但要注意是私鑰簽名，公鑰驗簽。發信方用自己的私鑰簽名，收信方用對方公鑰驗簽。關於簽名，後面的文章會再詳細講解。

F. 非對稱加密、SSH加密演算法、數字簽名簡介

非對稱加密演算法的核心源於數學問題，它存在公鑰和私鑰的概念，要完成加解密操作，需要兩個密鑰同時參與。我們常說的「公鑰加密，私鑰加密」或「私鑰加密， 公鑰解密」都屬於非對稱加密的范疇。公鑰加密的數據必須使用私鑰才可以解密，同樣，私鑰加密的數據也 只能通過公鑰進行解密。
  相比對稱加密，非對稱加密的安全性得到了提升，但是也存在明顯的缺點，非對稱加解密的效率要遠遠小於對稱加解密。所以非對稱加密往往被用在一些安全性要求比較高的應用或領域中。

RSA加密演算法是一種典型的非對稱加密演算法，它基於大數的因式分解數學難題，它也是應用最廣泛的非對稱加密演算法，於1978年由美國麻省理工學院（MIT）的三位學者：Ron Rivest、Adi Shamir 和 Leonard Adleman 共同提出。
  它的原理較為簡單，我們假設有消息發送方A和消息接收方B，通過下面的幾個步驟，我們就可以完成消息的加密傳遞：
 （1）消息發送方A在本地構建密鑰對，公鑰和私鑰；
 （2）消息發送方A將產生的公鑰發送給消息接收方B；
 （3）B向A發送數據時，通過公鑰進行加密，A接收到數據後通過私鑰進行解密，完成一次通信；
 （4）反之，A向B發送數據時，通過私鑰對數據進行加密，B接收到數據後通過公鑰進行解密。
  由於公鑰是消息發送方A暴露給消息接收方B的，所以這種方式也存在一定的安全隱患，如果公鑰在數據傳輸過程中泄漏，則A通過私鑰加密的數據就可能被解密。
  如果要建立更安全的加密消息傳遞模型，需要消息發送方和消息接收方各構建一套密鑰對，並分別將各自的公鑰暴露給對方，在進行消息傳遞時，A通過B的公鑰對數據加密，B接收到消息通過B的私鑰進行解密，反之，B通過A的公鑰進行加密，A接收到消息後通過A的私鑰進行解密。
  當然，這種方式可能存在數據傳遞被模擬的隱患，我們可以通過數字簽名等技術進行安全性的進一步提升。由於存在多次的非對稱加解密，這種方式帶來的效率問題也更加嚴重。可以詳讀這兩篇文章：RSA 演算法原理 （一） （二）

在SSH安全協議的原理中， 是一種非對稱加密與對稱加密演算法的結合，先看下圖：

這里進行一下說明：
（1）首先服務端會通過非對稱加密，產生一個 公鑰 和 私鑰
（2）在客戶端發起請求時，服務端將 公鑰 暴露給客戶端，這個 公鑰 可以被任意暴露；
（3）客戶端在獲取 公鑰 後，會先產生一個由256位隨機數字組成的會話密鑰，這里稱為口令；
（4）客戶端通過 公鑰 將這個口令加密，發送給伺服器端；
（5）伺服器端通過 私鑰 進行解密，獲取到通訊口令；
 之後，客戶端和服務端的信息傳遞，都通過這個口令進行對稱的加密。
 這樣的設計在一定程度上提高了加解密的效率，不過，與客戶端服務端各構建一套密鑰對的加解密方式相比，在安全性上可能有所下降。在上面所述的通過口令進行加密的過程中，數據也是可以被竊聽的，不過由於密鑰是256個隨機數字，有10的256次方中組合方式，所以破解難度也很大。相對還是比較安全的。服務端和客戶端都提前知道了密鑰，SSH的這種方式，服務端是通過解密獲取到了密鑰。

現在知道了有非對稱加密這東西，那數字簽名是怎麼回事呢？
 數字簽名的作用是我對某一份數據打個標記，表示我認可了這份數據（簽了個名），然後我發送給其他人，其他人可以知道這份數據是經過我認證的，數據沒有被篡改過。
 有了上述非對稱加密演算法，就可以實現這個需求：

G. RAS加密的數學原理

RSA演算法是現今使用最廣泛的公鑰密碼演算法，也是號稱地球上最安全的加密演算法。在了解RSA演算法之前，先熟悉下幾個術語根據密鑰的使用方法，可以將密碼分為對稱密碼和公鑰密碼

對稱加密：加密和解密使用同一種密鑰的方式

非對稱加密：加密和解密使用不同的密碼的方式，因此公鑰密碼通常也稱為非對稱密碼。

好多人都知道RSA加密的數學公式，但是不知道其的內部運作，那麼我們以下就詳細分析一波！

圖1，mod就是取余的意思，上面公式的意思是3的多少次方除以17餘數為12。由圖2可知道3的13次方的時候就滿足圖1的公式。由圖2的可知，公式後面的余數都是不一樣的，而且是1-16。當我們好奇試試3^17%17時候，結果就是3，好明顯等於了3^1%17的結果，那麼我們稱 3為17的原根 。

思考：任意給定正整數n，請問在小於等於n的正整數之中，有多少個與n構成互質關系？

計算這個值的方式叫做歐拉函數，使用：Φ(n)表示

計算8的歐拉函數，和8互質的 1 、2、 3 、4、 5 、6、 7 、8    所以 φ(8) = 4

計算7的歐拉函數，和7互質的  1、2、3、4、5、6 、7  所以  φ(7) = 6

計算56的歐拉函數：φ(56) = φ(8)*  φ(7) = 4 * 6 = 24

如果兩個正整數，除了1以外，沒有其他公因數，我們就稱這兩個數是 互質關系 （coprime）。

一、當n是質數的時候，φ(n)=n-1。

二、如果n可以分解成兩個互質的整數之積，如n=A*B則： φ(A*B)=φ(A)*φ(B)

根據以上兩點得到：如果N是兩個質數P1 和 P2的乘積則：φ(N)=φ(P1)* φ(P2)=(P1-1)*(P2-1)

如果兩個正整數m和n互質，那麼m的φ(n)次方減去1，可以被n整除。如圖3所示：

我們可以設置互質的數如m=5和n=3，那麼φ(3) = 3-1=2，5^2%3=1。所以上面的公式是成立的。（有興趣的可以試多一點數字，注意是互質的兩個數）

歐拉定理的特殊情況：如果兩個正整數m和n互質，而且n為質數！那麼φ(n)結果就是n-1。如圖4所示：

注意：滿足第3步的時候，m必須要小於n。

如果兩個正整數e和x互質，那麼一定可以找到整數d，使得 ed-1 被x整除。那麼d就是e對於x的「模反元素」。如圖6所示：

公鑰： n和e

私鑰： n和d

明文:   m

密文:    c

1、n會非常大，長度一般為1024個二進制位。（目前人類已經分解的最大整數，232個十進制位，768個二進制位）

2、由於需要求出φ(n)，所以根據歐函數特點，最簡單的方式n ，由兩個質數相乘得到:

質數：p1、p2  Φ(n) = (p1 -1) * (p2 - 1)

3、最終由φ(n)得到e 和 d 。

總共生成6個數字：p1、p2、n、φ(n)、e、d

除了公鑰用到了n和e其餘的4個數字是不公開的。目前破解RSA得到d的方式如下：

1、要想求出私鑰 d  。由於e*d = φ(n)*k + 1。要知道e和φ(n);

2、e是知道的，但是要得到 φ(n)，必須知道p1和 p2。

3、由於 n=p1*p2。只有將n因數分解才能算出。

H. 7 Go密碼學（四） 非對稱加密之RSA

對稱加舉鉛密有非常好的安全性，其加解密計算的性能也較高，但其有兩個重要缺點：

在如今開放的信息社會，秘鑰的管理愈加困難，非公開的秘鑰機制雖然破解較難，但還是有遭到攻擊的可能性，由於對稱加密需要加解密雙方共同握有私鑰，所有生成秘鑰的一方必須分發給含轎另一方才能進行安全通行，這就難免秘鑰在網路中傳輸，網路是不可靠的，其有可能被攔截或篡改。於是就產生了公開秘鑰體制，即服務方根據特定演算法產生一對鑰匙串，自己持有私鑰小心保存，而公鑰公開分發，在通信中，由公鑰加密進行網路傳輸，而傳輸的信息只正老好能由私鑰解密，這就解決了秘鑰分發的問。公開秘鑰體制就是非對稱加密，非對稱加密一般有兩種用途：

如今的非對稱加密比較可靠的有RSA演算法和ECC演算法（橢圓曲線演算法），RSA的受眾最多，但近年來隨著比特幣、區塊鏈的興起，ECC加密演算法也越來越受到青睞。下面我們先介紹一下RSA加密演算法的使用，ECC我們下一講展開。

公鑰密碼體系都是要基於一個困難問題來保證其安全性的，RSA是基於大數分解，將一個即使是計算機也無能為力的數學問題作為安全壁壘是現代密碼學的實現原理。講述這類數學問題需要龐雜的數論基礎，此相關部分在此不再展開，感興趣的請出門右拐搜索歐幾里得證明、歐拉函數等數論部分知識。

Go標准庫中crypto/rsa包實現了RSA加解密演算法，並通過crypto/x509包實現私鑰序列化為ASN.1的DER編碼字元串的方法，我們還使用編解碼包encoding/pem（實現了PEM數據編碼，該格式源自保密增強郵件協議，目前PEM編碼主要用於TLS密鑰和證書。）將公私鑰數據編碼為pem格式的證書文件。

使用以上加解密方法：

I. RSA加密、解密、簽名、驗簽的原理及方法

RSA加密是一種非對稱加密。可以在不直接傳遞密鑰的情況下，完成解密。這能夠確保信息的安全性，避免了直接傳遞密鑰所造成的被破解的風險。是由一對密鑰來進行加解密的過程，分別稱為公鑰和私鑰。兩者之間有數學相關，該加密演算法的原理就是對一極大整數做因數分解的困難性來保證安全性。通常個人保存私鑰，公鑰是公開的（可能同時多人持有）。

加密和簽名都是為了安全性考慮，但略有不同。常有人問加密和簽名是用私鑰還是公鑰？其實都是對加密和簽名的作用有所混淆。簡單的說，加密是為了防止信息被泄露，而簽名是為了防止信息被篡改。這里舉2個例子說明。

RSA的加密過程如下：

RSA簽名的過程如下：

總結：公鑰加密、私鑰解密、私鑰簽名、公鑰驗簽。

RSA加密對明文的長度有所限制，規定需加密的明文最大長度=密鑰長度-11（單位是位元組，即byte），所以在加密和解密的過程中需要分塊進行。而密鑰默認是1024位，即1024位/8位-11=128-11=117位元組。所以默認加密前的明文最大長度117位元組，解密密文最大長度為128字。那麼為啥兩者相差11位元組呢？是因為RSA加密使用到了填充模式（padding），即內容不足117位元組時會自動填滿，用到填充模式自然會佔用一定的位元組，而且這部分位元組也是參與加密的。