rsa非对称加密理论基础

A. RSA加密原理

RSA加密是一种非对称加密。可以在不直接传递密钥的情况下，完成解密。这能够确保信息的安全性，避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程，分别称为公钥和私钥。公钥加密--私钥解密，私钥加密--公钥解密

在 整数 中， 离散对数 是一种基于 同余 运算和 原根 的一种 对数 运算。而在实数中对数的定义 log _b a 是指对于给定的 a 和 b ，有一个数 x ，使得 b ^x = a 。相同地在任何群 G 中可为所有整数 k 定义一个幂数为 b ^K ，而 离散对数 log _b a 是指使得 b ^K = a 的整数 k 。

当3为17的 原根 时，我们会发现一个规律

对 正整数 n，欧拉函数是小于或等于n的正整数中与n 互质 的数的数目（因此φ(1)=1）。有以下几个特点

服务端根据生成一个随机数15，根据 3 ¹⁵ _mod 17 计算出6，服务端将6传递给客户端，客户端生成一个随机数13，根据 3 ¹³ _mod 17 计算出12后，将12再传回给服务端，客户端收到服务端传递的6后，根据 6 ¹³ _mod 17 计算出 10 ，服务端收到客户端传递的12后，根据 12 ¹⁵ _mod 17 计算出 10 ，我们会发现我们通过 迪菲赫尔曼密钥交换 将 10 进行了加密传递

说明：

安全性：
除了 公钥 用到 n 和 e ，其余的4个数字是 不公开 的（p1、p2、φ(n)、d）
目前破解RSA得到的方式如下：

缺点
RSA加密 效率不高 ，因为是纯粹的数学算法，大数据不适合RSA加密，所以我们在加密大数据的时候，我们先用 对称加密 算法加密大数据得到 KEY ，然后再用 RSA 加密 KEY ，再把大数据和KEY一起进行传递

因为Mac系统内置了OpenSSL（开源加密库），所以我们开源直接在终端进行RSA加密解密

生成RSA私钥，密钥名为private.pem,密钥长度为1024bit

因为在iOS中是无法使用 .pem 文件进行加密和解密的，需要进行下面几个步骤

生成一个10年期限的crt证书

crt证书格式转换成der证书

B. 加密基础知识二 非对称加密RSA算法和对称加密

上述过程中，出现了公钥(3233,17)和私钥(3233,2753)，这两组数字是怎么找出来的呢？参考 RSA算法原理（二）
首字母缩写说明：E是加密（Encryption）D是解密（Decryption）N是数字（Number）。

1.随机选择两个不相等的质数p和q。
alice选择了61和53。（实际应用中，这两个质数越大，就越难破解。）

2.计算p和q的乘积n。
n = 61×53 = 3233
n的长度就是密钥长度。3233写成二进制是110010100001，一共有12位，所以这个密钥就是12位。实际应用中，RSA密钥一般是1024位，重要场合则为2048位。

3.计算n的欧拉函数φ(n)。称作L
根据公式φ(n) = (p-1)(q-1)
alice算出φ(3233)等于60×52，即3120。

4.随机选择一个整数e，也就是公钥当中用来加密的那个数字
条件是1< e < φ(n)，且e与φ(n) 互质。
alice就在1到3120之间，随机选择了17。（实际应用中，常常选择65537。）

5.计算e对于φ(n)的模反元素d。也就是密钥当中用来解密的那个数字
所谓"模反元素"就是指有一个整数d，可以使得ed被φ(n)除的余数为1。ed ≡ 1 (mod φ(n))
alice找到了2753，即17*2753 mode 3120 = 1

6.将n和e封装成公钥，n和d封装成私钥。
在alice的例子中，n=3233，e=17，d=2753，所以公钥就是 (3233,17)，私钥就是（3233, 2753）。

上述故事中，blob为了偷偷地传输移动位数6，使用了公钥做加密，即6^17 mode 3233 = 824。alice收到824之后，进行解密，即824^2753 mod 3233 = 6。也就是说，alice成功收到了blob使用的移动位数。

再来复习一下整个流程：
p=17,q=19
n = 17 19 = 323
L = 16 18 = 144
E = 5(E需要满足以下两个条件：1<E<144,E和144互质)
D = 29(D要满足两个条件，1<D<144,D mode 144 = 1)
假设某个需要传递123，则加密后：123^5 mode 323 = 225
接收者收到225后，进行解密，225^ 29 mode 323 = 123

回顾上面的密钥生成步骤，一共出现六个数字：
p
q
n
L即φ(n)
e
d
这六个数字之中，公钥用到了两个（n和e），其余四个数字都是不公开的。其中最关键的是d，因为n和d组成了私钥，一旦d泄漏，就等于私钥泄漏。那么，有无可能在已知n和e的情况下，推导出d？
（1）ed≡1 (mod φ(n))。只有知道e和φ(n)，才能算出d。
（2）φ(n)=(p-1)(q-1)。只有知道p和q，才能算出φ(n)。
（3）n=pq。只有将n因数分解，才能算出p和q。
结论：如果n可以被因数分解，d就可以算出，也就意味着私钥被破解。
可是，大整数的因数分解，是一件非常困难的事情。目前，除了暴力破解，还没有发现别的有效方法。维基网络这样写道："对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之，对一极大整数做因数分解愈困难，RSA算法愈可靠。假如有人找到一种快速因数分解的算法，那么RSA的可靠性就会极度下降。但找到这样的算法的可能性是非常小的。今天只有短的RSA密钥才可能被暴力破解。到2008年为止，世界上还没有任何可靠的攻击RSA算法的方式。只要密钥长度足够长，用RSA加密的信息实际上是不能被解破的。"

然而，虽然RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价。即RSA的重大缺陷是无法从理论上把握它的保密性能如何。此外，RSA的缺点还有：
A)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。
B)分组长度太大，为保证安全性，n 至少也要 600bits以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。因此， 使用RSA只能加密少量数据，大量的数据加密还要靠对称密码算法 。

加密和解密是自古就有技术了。经常看到侦探电影的桥段，勇敢又机智的主角，拿着一长串毫无意义的数字苦恼，忽然灵光一闪，翻出一本厚书，将第一个数字对应页码数，第二个数字对应行数，第三个数字对应那一行的某个词。数字变成了一串非常有意义的话：
Eat the beancurd with the peanut. Taste like the ham.

这种加密方法是将原来的某种信息按照某个规律打乱。某种打乱的方式就叫做密钥(cipher code)。发出信息的人根据密钥来给信息加密，而接收信息的人利用相同的密钥，来给信息解密。 就好像一个带锁的盒子。发送信息的人将信息放到盒子里，用钥匙锁上。而接受信息的人则用相同的钥匙打开。加密和解密用的是同一个密钥，这种加密称为对称加密（symmetric encryption）。

如果一对一的话，那么两人需要交换一个密钥。一对多的话，比如总部和多个特工的通信，依然可以使用同一套密钥。 但这种情况下，对手偷到一个密钥的话，就知道所有交流的信息了。 二战中盟军的情报战成果，很多都来自于破获这种对称加密的密钥。

为了更安全，总部需要给每个特工都设计一个不同的密钥。如果是FBI这样庞大的机构，恐怕很难维护这么多的密钥。在现代社会，每个人的信用卡信息都需要加密。一一设计密钥的话，银行怕是要跪了。

对称加密的薄弱之处在于给了太多人的钥匙。如果只给特工锁，而总部保有钥匙，那就容易了。特工将信息用锁锁到盒子里，谁也打不开，除非到总部用唯一的一把钥匙打开。只是这样的话，特工每次出门都要带上许多锁，太容易被识破身份了。总部老大想了想，干脆就把造锁的技术公开了。特工，或者任何其它人，可以就地取材，按照图纸造锁，但无法根据图纸造出钥匙。钥匙只有总部的那一把。

上面的关键是锁和钥匙工艺不同。知道了锁，并不能知道钥匙。这样，银行可以将“造锁”的方法公布给所有用户。 每个用户可以用锁来加密自己的信用卡信息。即使被别人窃听到，也不用担心：只有银行才有钥匙呢！这样一种加密算法叫做非对称加密(asymmetric encryption)。非对称加密的经典算法是RSA算法。它来自于数论与计算机计数的奇妙结合。

1976年，两位美国计算机学家Whitfield Diffie 和 Martin Hellman，提出了一种崭新构思，可以在不直接传递密钥的情况下，完成解密。这被称为"Diffie-Hellman密钥交换算法"。这个算法启发了其他科学家。人们认识到，加密和解密可以使用不同的规则，只要这两种规则之间存在某种对应关系即可，这样就避免了直接传递密钥。这种新的加密模式被称为"非对称加密算法"。

1977年，三位数学家Rivest、Shamir 和 Adleman 设计了一种算法，可以实现非对称加密。这种算法用他们三个人的名字命名，叫做RSA算法。从那时直到现在，RSA算法一直是最广为使用的"非对称加密算法"。毫不夸张地说，只要有计算机网络的地方，就有RSA算法。

1.能“撞”上的保险箱（非对称/公钥加密体制，Asymmetric / Public Key Encryption）

数据加密解密和门锁很像。最开始的时候，人们只想到了那种只能用钥匙“锁”数据的锁。如果在自己的电脑上自己加密数据，当然可以用最开始这种门锁的形式啦，方便快捷，简单易用有木有。

但是我们现在是通信时代啊，双方都想做安全的通信怎么办呢？如果也用这种方法，通信就好像互相发送密码保险箱一样…而且双方必须都有钥匙才能进行加密和解密。也就是说，两个人都拿着保险箱的钥匙，你把数据放进去，用钥匙锁上发给我。我用同样的钥匙把保险箱打开，再把我的数据锁进保险箱，发送给你。

这样看起来好像没什么问题。但是，这里面 最大的问题是：我们两个怎么弄到同一个保险箱的同一个钥匙呢？ 好像仅有的办法就是我们两个一起去买个保险箱，然后一人拿一把钥匙，以后就用这个保险箱了。可是，现代通信社会，绝大多数情况下别说一起去买保险箱了，连见个面都难，这怎么办啊？

于是，人们想到了“撞门”的方法。我这有个可以“撞上”的保险箱，你那里自己也买一个这样的保险箱。通信最开始，我把保险箱打开，就这么开着把保险箱发给你。你把数据放进去以后，把保险箱“撞”上发给我。撞上以后，除了我以外，谁都打不开保险箱了。这就是RSA了，公开的保险箱就是公钥，但是我有私钥，我才能打开。

2.数字签名
这种锁看起来好像很不错，但是锁在运输的过程中有这么一个严重的问题：你怎么确定你收到的开着的保险箱就是我发来的呢？对于一个聪明人，他完全可以这么干：
(a)装作运输工人。我现在把我开着的保险箱运给对方。运输工人自己也弄这么一个保险箱，运输的时候把保险箱换成他做的。
(b)对方收到保险箱后，没法知道这个保险箱是我最初发过去的，还是运输工人替换的。对方把数据放进去，把保险箱撞上。
(c)运输工人往回运的时候，用自己的钥匙打开自己的保险箱，把数据拿走。然后复印也好，伪造也好，弄出一份数据，把这份数据放进我的保险箱，撞上，然后发给我。
从我的角度，从对方的角度，都会觉得这数据传输过程没问题。但是，运输工人成功拿到了数据，整个过程还是不安全的，大概的过程是这样：

这怎么办啊？这个问题的本质原因是，人们没办法获知，保险箱到底是“我”做的，还是运输工人做的。那干脆，我们都别做保险箱了，让权威机构做保险箱，然后在每个保险箱上用特殊的工具刻上一个编号。对方收到保险箱的时候，在权威机构的“公告栏”上查一下编号，要是和保险箱上的编号一样，我就知道这个保险箱是“我”的，就安心把数据放进去。大概过程是这样的：

如何做出刻上编号，而且编号没法修改的保险箱呢？这涉及到了公钥体制中的另一个问题：数字签名。
要知道，刻字这种事情吧，谁都能干，所以想做出只能自己刻字，还没法让别人修改的保险箱确实有点难度。那么怎么办呢？这其实困扰了人们很长的时间。直到有一天，人们发现：我们不一定非要在保险箱上刻规规矩矩的字，我们干脆在保险箱上刻手写名字好了。而且，刻字有点麻烦，干脆我们在上面弄张纸，让人直接在上面写，简单不费事。具体做法是，我们在保险箱上嵌进去一张纸，然后每个出产的保险箱都让权威机构的CEO签上自己的名字。然后，CEO把自己的签名公开在权威机构的“公告栏”上面。比如这个CEO就叫“学酥”，那么整个流程差不多是这个样子：

这个方法的本质原理是，每个人都能够通过笔迹看出保险箱上的字是不是学酥CEO签的。但是呢，这个字体是学酥CEO唯一的字体。别人很难模仿。如果模仿我们就能自己分辨出来了。要是实在分辨不出来呢，我们就请一个笔迹专家来分辨。这不是很好嘛。这个在密码学上就是数字签名。

上面这个签字的方法虽然好，但是还有一个比较蛋疼的问题。因为签字的样子是公开的，一个聪明人可以把公开的签字影印一份，自己造个保险箱，然后把这个影印的字也嵌进去。这样一来，这个聪明人也可以造一个相同签字的保险箱了。解决这个问题一个非常简单的方法就是在看保险箱上的签名时，不光看字体本身，还要看字体是不是和公开的字体完全一样。要是完全一样，就可以考虑这个签名可能是影印出来的。甚至，还要考察字体是不是和其他保险柜上的字体一模一样。因为聪明人为了欺骗大家，可能不影印公开的签名，而影印其他保险箱上的签名。这种解决方法虽然简单，但是验证签名的时候麻烦了一些。麻烦的地方在于我不仅需要对比保险箱上的签名是否与公开的笔迹一样，还需要对比得到的签名是否与公开的笔迹完全一样，乃至是否和所有发布的保险箱上的签名完全一样。有没有什么更好的方法呢？

当然有，人们想到了一个比较好的方法。那就是，学酥CEO签字的时候吧，不光把名字签上，还得带上签字得日期，或者带上这个保险箱的编号。这样一来，每一个保险箱上的签字就唯一了，这个签字是学酥CEO的签名+学酥CEO写上的时间或者编号。这样一来，就算有人伪造，也只能伪造用过的保险箱。这个问题就彻底解决了。这个过程大概是这么个样子：

3 造价问题（密钥封装机制，Key Encapsulation Mechanism）
解决了上面的各种问题，我们要考虑考虑成本了… 这种能“撞”门的保险箱虽然好，但是这种锁造价一般来说要比普通的锁要高，而且锁生产时间也会变长。在密码学中，对于同样“结实”的锁，能“撞”门的锁的造价一般来说是普通锁的上千倍。同时，能“撞”门的锁一般来说只能安装在小的保险柜里面。毕竟，这么复杂的锁，装起来很费事啊！而普通锁安装在多大的保险柜上面都可以呢。如果两个人想传输大量数据的话，用一个大的保险柜比用一堆小的保险柜慢慢传要好的多呀。怎么解决这个问题呢？人们又想出了一个非常棒的方法：我们把两种锁结合起来。能“撞”上的保险柜里面放一个普通锁的钥匙。然后造一个用普通的保险柜来锁大量的数据。这样一来，我们相当于用能“撞”上的保险柜发一个钥匙过去。对方收到两个保险柜后，先用自己的钥匙把小保险柜打开，取出钥匙。然后在用这个钥匙开大的保险柜。这样做更棒的一个地方在于，既然对方得到了一个钥匙，后续再通信的时候，我们就不再需要能“撞”上的保险柜了啊，在以后一定时间内就用普通保险柜就好了，方便快捷嘛。

以下参考 数字签名、数字证书、SSL、https是什么关系？
4.数字签名（Digital Signature）
数据在浏览器和服务器之间传输时，有可能在传输过程中被冒充的盗贼把内容替换了，那么如何保证数据是真实服务器发送的而不被调包呢，同时如何保证传输的数据没有被人篡改呢，要解决这两个问题就必须用到数字签名，数字签名就如同日常生活的中的签名一样，一旦在合同书上落下了你的大名，从法律意义上就确定是你本人签的字儿，这是任何人都没法仿造的，因为这是你专有的手迹，任何人是造不出来的。那么在计算机中的数字签名怎么回事呢？数字签名就是用于验证传输的内容是不是真实服务器发送的数据，发送的数据有没有被篡改过，它就干这两件事，是非对称加密的一种应用场景。不过他是反过来用私钥来加密，通过与之配对的公钥来解密。
第一步：服务端把报文经过Hash处理后生成摘要信息Digest，摘要信息使用私钥private-key加密之后就生成签名，服务器把签名连同报文一起发送给客户端。
第二步：客户端接收到数据后，把签名提取出来用public-key解密，如果能正常的解密出来Digest2，那么就能确认是对方发的。
第三步：客户端把报文Text提取出来做同样的Hash处理，得到的摘要信息Digest1，再与之前解密出来的Digist2对比，如果两者相等，就表示内容没有被篡改，否则内容就是被人改过了。因为只要文本内容哪怕有任何一点点改动都会Hash出一个完全不一样的摘要信息出来。

5.数字证书（Certificate Authority）
数字证书简称CA，它由权威机构给某网站颁发的一种认可凭证，这个凭证是被大家（浏览器）所认可的，为什么需要用数字证书呢，难道有了数字签名还不够安全吗？有这样一种情况，就是浏览器无法确定所有的真实服务器是不是真的是真实的，举一个简单的例子：A厂家给你们家安装锁，同时把钥匙也交给你，只要钥匙能打开锁，你就可以确定钥匙和锁是配对的，如果有人把钥匙换了或者把锁换了，你是打不开门的，你就知道肯定被窃取了，但是如果有人把锁和钥匙替换成另一套表面看起来差不多的，但质量差很多的，虽然钥匙和锁配套，但是你却不能确定这是否真的是A厂家给你的，那么这时候，你可以找质检部门来检验一下，这套锁是不是真的来自于A厂家，质检部门是权威机构，他说的话是可以被公众认可的（呵呵）。
同样的， 因为如果有人（张三）用自己的公钥把真实服务器发送给浏览器的公钥替换了，于是张三用自己的私钥执行相同的步骤对文本Hash、数字签名，最后得到的结果都没什么问题，但事实上浏览器看到的东西却不是真实服务器给的，而是被张三从里到外（公钥到私钥）换了一通。那么如何保证你现在使用的公钥就是真实服务器发给你的呢？我们就用数字证书来解决这个问题。数字证书一般由数字证书认证机构（Certificate Authority）颁发，证书里面包含了真实服务器的公钥和网站的一些其他信息，数字证书机构用自己的私钥加密后发给浏览器，浏览器使用数字证书机构的公钥解密后得到真实服务器的公钥。这个过程是建立在被大家所认可的证书机构之上得到的公钥，所以这是一种安全的方式。

常见的对称加密算法有DES、3DES、AES、RC5、RC6。非对称加密算法应用非常广泛，如SSH,
HTTPS, TLS，电子证书，电子签名，电子身份证等等。
参考 DES/3DES/AES区别

C. 非对称加密之-RSA加密

对一个大整数进行因数分解，在高等数学中叫做费马大定理，至今没有被破解
RSA算法是最流行的公钥密码算法，使用长度可以变化的密钥。RSA是第一个既能用于数据加密也能用于数字签名的算法。

这是目前地球上最重要的加密算法

至此，所有计算完成。
将 n和e封装成公钥 ， n和d封装成私钥 。

回顾上面的密钥生成步骤，一共出现六个数字：

这六个数字之中，公钥用到了两个（n和e），其余四个数字都是不公开的。其中最关键的是d，因为n和d组成了私钥，一旦d泄漏，就等于私钥泄漏。
那么， 有无可能在已知n和e的情况下，推导出d？

最终转换成->结论： 如果n可以被因数分解，d就可以算出，也就意味着私钥被破解。

第一步 ：首先生成秘钥对

第二步 ：公钥加密

第三步 ：私钥解密

几个全局变量解说：

关于加密填充方式：之前以为上面这些操作就能实现rsa加解密，以为万事大吉了，呵呵，这事还没完，悲剧还是发生了， android这边加密过的数据，服务器端死活解密不了， ，这造成了在android机上加密后无法在服务器上解密的原因，所以在实现的时候这个一定要注意

实现分段加密：搞定了填充方式之后又自信的认为万事大吉了，可是意外还是发生了，RSA非对称加密内容长度有限制，1024位key的最多只能加密127位数据，否则就会报错(javax.crypto.IllegalBlockSizeException: Data must not be longer than 117 bytes) ，RSA 是常用的非对称加密算法。最近使用时却出现了“不正确的长度”的异常，研究发现是由于待加密的数据超长所致。RSA 算法规定：待加密的字节数不能超过密钥的长度值除以 8 再减去 11（即：KeySize / 8 - 11），而加密后得到密文的字节数，正好是密钥的长度值除以 8（即：KeySize / 8）。

爱丽丝选择了61和53。（实际应用中，这两个质数越大，就越难破解。）

爱丽丝就把61和53相乘

n的长度就是密钥长度。3233写成二进制是110010100001，一共有12位，所以这个密钥就是12位。实际应用中，RSA密钥一般是1024位，重要场合则为2048位

爱丽丝算出φ(3233)等于60×52，即3120。

爱丽丝就在1到3120之间，随机选择了17。（实际应用中，常常选择65537。）

所谓 "模反元素" 就是指有一个整数d，可以使得ed被φ(n)除的余数为1。

这个式子等价于

于是，找到模反元素d，实质上就是对下面这个二元一次方程求解。

已知 e=17, φ(n)=3120，

至此所有计算完成

在爱丽丝的例子中，n=3233，e=17，d=2753，所以公钥就是 (3233,17)，私钥就是（3233, 2753）。

实际应用中，公钥和私钥的数据都采用 ASN.1 格式表达

回顾上面的密钥生成步骤，一共出现六个数字：

这六个数字之中，公钥用到了两个（n和e），其余四个数字都是不公开的。其中最关键的是d，因为n和d组成了私钥，一旦d泄漏，就等于私钥泄漏。
那么，有无可能在已知n和e的情况下，推导出d？

结论：如果n可以被因数分解，d就可以算出，也就意味着私钥被破解。

可是，大整数的因数分解，是一件非常困难的事情。目前，除了暴力破解，还没有发现别的有效方法。维基网络这样写道

举例来说，你可以对3233进行因数分解（61×53），但是你没法对下面这个整数进行因数分解。

它等于这样两个质数的乘积

事实上，RSA加密的方式原理是一个高等数学中没有被解决的难题，所有没有可靠的RSA的破解方式

D. 密码学基础（三）：非对称加密（RSA算法原理）

加密和解密使用的是两个不同的秘钥，这种算法叫做非对称加密。非对称加密又称为公钥加密，RSA只是公钥加密的一种。

现实生活中有签名，互联网中也存在签名。签名的作用有两个，一个是身份验证，一个是数据完整性验证。数字签名通过摘要算法来确保接收到的数据没有被篡改，再通过签名者的私钥加密，只能使用对应的公钥解密，以此来保证身份的一致性。

数字证书是将个人信息和数字签名放到一起，经由CA机构的私钥加密之后生成。当然，不经过CA机构，由自己完成签名的证书称为自签名证书。CA机构作为互联网密码体系中的基础机构，拥有相当高级的安全防范能力，所有的证书体系中的基本假设或者前提就是CA机构的私钥不被窃取，一旦 CA J机构出事，整个信息链将不再安全。

CA证书的生成过程如下：

证书参与信息传递完成加密和解密的过程如下：

互质关系：互质是公约数只有1的两个整数，1和1互质，13和13就不互质了。
欧拉函数：表示任意给定正整数 n，在小于等于n的正整数之中，有多少个与 n 构成互质关系，其表达式为：

其中，若P为质数，则其表达式可以简写为：

情况一：φ(1)=1
1和任何数都互质，所以φ(1)=1；

情况二：n 是质数， φ(n)=n-1
因为 n 是质数，所以和小于自己的所有数都是互质关系，所以φ(n)=n-1；

情况三：如果 n 是质数的某一个次方，即 n = p^k ( p 为质数，k 为大于等于1的整数)，则φ(n)=(p-1)p^(k-1)
因为 p 为质数，所以除了 p 的倍数之外，小于 n 的所有数都是 n 的质数；

情况四：如果 n 可以分解成两个互质的整数之积，n = p1 × p2，则φ(n) = φ(p1p2) = φ(p1)φ(p2)

情况五：基于情况四，如果 p1 和 p2 都是质数，且 n=p1 × p2，则φ(n) = φ(p1p2) = φ(p1)φ(p2)=(p1-1)(p2-1)

而 RSA 算法的基本原理就是欧拉函数中的第五种情况，即： φ(n)=(p1-1)(p2-1);

如果两个正整数 a 和 n 互质，那么一定可以找到整数 b，使得 ab-1 被 n 整除，或者说ab被n除的余数是1。这时，b就叫做a的“模反元素”。欧拉定理可以用来证明模反元素必然存在。

可以看到，a的 φ(n)-1 次方，就是a对模数n的模反元素。

n=p x q = 3233，3233写成二进制是110010100001，一共有12位，所以这个密钥就是12位。

在实际使用中，一般场景下选择1024位长度的数字，更高安全要求的场景下，选择2048位的数字，这里作为演示，选取p=61和q=53；

因为n、p、q都为质数，所以φ(n) = (p-1)(q-1)=60×52= 3120

注意，这里是和φ(n) 互互质而不是n！假设选择的值是17，即 e=17；

模反元素就是指有一个整数 d，可以使得 ed 被 φ(n) 除的余数为1。表示为：(ed-1)=φ(n) y --> 17d=3120y+1，算出一组解为(2753,15)，即 d=2753，y=-15，也就是(17 2753-1)/3120=15。

注意，这里不能选择3119，否则公私钥相同？？

公钥：(n,e)=(3233,2753)
私钥：(n,d)=(3233,17)

公钥是公开的，也就是说m=p*q=3233是公开的，那么怎么求e被？e是通过模反函数求得，17d=3120y+1，e是公开的等于17，这时候想要求d就要知道3120，也就是φ(n)，也就是φ(3233)，说白了，3233是公开的，你能对3233进行因数分解，你就能知道d，也就能破解私钥。

正常情况下，3233我们可以因数分解为61*53，但是对于很大的数字，人类只能通过枚举的方法来因数分解，所以RSA安全性的本质就是：对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之，对一极大整数做因数分解愈困难，RSA算法愈可靠。

人类已经分解的最大整数是：

这个人类已经分解的最大整数为232个十进制位，768个二进制位，比它更大的因数分解，还没有被报道过，因此目前被破解的最长RSA密钥就是768位。所以实际使用中的1024位秘钥基本安全，2048位秘钥绝对安全。

网上有个段子：

已经得出公私钥的组成：
公钥：(n,e)=(3233,2753)
私钥：(n,d)=(3233,17)
加密的过程就是

解密过程如下：

其中 m 是要被加密的数字，c 是加密之后输出的结果，且 m < n ，其中解密过程一定成立可以证明的，这里省略证明过程。

总而言之，RSA的加密就是使用模反函数对数字进行加密和求解过程，在实际使用中因为 m < n必须成立，所以就有两种加密方法：

对称加密存在虽然快速，但是存在致命的缺点就是秘钥需要传递。非对称加密虽然不需要传递秘钥就可以完成加密和解密，但是其致命缺点是速度不够快，不能用于高频率，高容量的加密场景。所以才有了两者的互补关系，在传递对称加密的秘钥时采用非对称加密，完成秘钥传送之后采用对称加密，如此就可以完美互补。

E. 图文彻底搞懂非对称加密（公钥密钥）

前文详细讲解了对称加密及算法原理。那么是不是对称加密就万无一失了呢？对称加密有一个天然的缺点，就是加密方和解密方都要持有同样的密钥。你可以能会提出疑问：既然要加、解密，当然双方都要持有密钥，这有什么问题呢？别急，我们继续往下看。

我们先看一个例子，小明和小红要进行通信，但是不想被其他人知道通信的内容，所以双方决定采用对称加密的方式。他们做了下面的事情：

1、双方商定了加密和解密的算法

2、双方确定密钥

3、通信过程中采用这个密钥进行加密和解密

这是不是一个看似完美的方案？但其中有一个步骤存在漏洞！

问题出在步骤2：双方确定密钥！

你肯定会问，双方不确定密钥，后面的加、解密怎么做？

问题在于确定下来的密钥如何让双方都知道。密钥在传递过程中也是可能被盗取的！这里引出了一个经典问题：密钥配送问题。

小明和小红在商定密钥的过程中肯定会多次沟通密钥是什么。即使单方一次确定下来，也要发给对方。加密是为了保证信息传输的安全，但密钥本身也是信息，密钥的传输安全又该如何保证呢？难不成还要为密钥的传输再做一次加密？这样不就陷入了死循环？

你是不是在想，密钥即使被盗取，不还有加密算法保证信息安全吗？如果你真的有这个想法，那么赶紧复习一下上一篇文章讲的杜绝隐蔽式安全性。任何算法最终都会被破译，所以不能依赖算法的复杂度来保证安全。

小明和小红现在左右为难，想加密就要给对方发密钥，但发密钥又不能保证密钥的安全。他们应该怎么办呢？

有如下几种解决密钥配送问题的方案：

非对称加密也称为公钥密码。我更愿意用非对称加密这种叫法。因为可以体现出加密和解密使用不同的密钥。

对称加密中，我们只需要一个密钥，通信双方同时持有。而非对称加密需要4个密钥。通信双方各自准备一对公钥和私钥。其中公钥是公开的，由信息接受方提供给信息发送方。公钥用来对信息加密。私钥由信息接受方保留，用来解密。既然公钥是公开的，就不存在保密问题。也就是说非对称加密完全不存在密钥配送问题！你看，是不是完美解决了密钥配送问题？

回到刚才的例子，小明和下红经过研究发现非对称加密能解决他们通信的安全问题，于是做了下面的事情：

1、小明确定了自己的私钥 mPrivateKey，公钥 mPublicKey。自己保留私钥，将公钥mPublicKey发给了小红

2、小红确定了自己的私钥 hPrivateKey，公钥 hPublicKey。自己保留私钥，将公钥 hPublicKey 发给了小明

3、小明发送信息 “周六早10点soho T1楼下见”，并且用小红的公钥 hPublicKey 进行加密。

4、小红收到信息后用自己的私钥 hPrivateKey 进行解密。然后回复 “收到，不要迟到” 并用小明的公钥mPublicKey加密。

5、小明收到信息后用自己的私钥 mPrivateKey 进行解密。读取信息后心里暗想：还提醒我不迟到？每次迟到的都是你吧？

以上过程是一次完整的request和response。通过这个例子我们梳理出一次信息传输的非对称加、解密过程：

1、消息接收方准备好公钥和私钥

2、私钥接收方自己留存、公钥发布给消息发送方

3、消息发送方使用接收方公钥对消息进行加密

4、消息接收方用自己的私钥对消息解密

公钥只能用做数据加密。公钥加密的数据，只能用对应的私钥才能解密。这是非对称加密的核心概念。

下面我用一个更为形象的例子来帮助大家理解。

我有下图这样一个信箱。

由于我只想接收我期望与之通信的朋友信件。于是我在投递口加了一把锁，这把锁的钥匙（公钥）我可以复制n份，发给我想接受其信件的人。只有这些人可以用这把钥匙打开寄信口，把信件投入。

相信通过这个例子，可以帮助大家彻底理解公钥和私钥的概念。

RSA 是现在使用最为广泛的非对称加密算法，本节我们来简单介绍 RSA 加解密的过程。

RSA 加解密算法其实很简单：

密文=明文^E mod N

明文=密文^D mod N

RSA 算法并不会像对称加密一样，用玩魔方的方式来打乱原始信息。RSA 加、解密中使用了是同样的数 N。公钥是公开的，意味着 N 也是公开的。所以私钥也可以认为只是 D。

我们接下来看一看 N、E、D 是如何计算的。

1、求 N

首先需要准备两个很大质数 a 和 b。太小容易破解，太大计算成本太高。我们可以用 512 bit 的数字，安全性要求高的可以使用 1024，2048 bit。

N=a*b

2、求 L

L 只是生成密钥对过程中产生的数，并不参与加解密。L 是 (a-1) 和 (b-1) 的最小公倍数

3、求 E（公钥）

E 有两个限制：

1<E<

E和L的最大公约数为1

第一个条件限制了 E 的取值范围，第二个条件是为了保证有与 E 对应的解密时用到的 D。

4、求 D（私钥）

D 也有两个限制条件：

1<D<L

E*D mod L = 1

第二个条件确保密文解密时能够成功得到原来的明文。

由于原理涉及很多数学知识，这里就不展开细讲，我们只需要了解这个过程中用到这几个数字及公式。这是理解RSA 安全性的基础。

由于 N 在公钥中是公开的，那么只需要破解 D，就可以解密得到明文。

在实际使用场景中，质数 a,b 一般至少1024 bit，那么 N 的长度在 2048 bit 以上。D 的长度和 N 接近。以现在计算机的算力，暴力破解 D 是非常困难的。

公钥是公开的，也就是说 E 和 N 是公开的，那么是否可以通过 E 和 N 推断出 D 呢？

E*D mod L = 1

想要推算出 D 就需要先推算出 L。L 是 (a-1) 和 (b-1) 的最小公倍数。想知道 L 就需要知道质数 a 和 b。破解者并不知道这两个质数，想要破解也只能通过暴力破解。这和直接破解 D 的难度是一样的。

等等，N 是公开的，而 N = a*b。那么是否可以对 N 进行质因数分解求得 a 和 b 呢？好在人类还未发现高效进行质因数分解的方法，因此可以认为做质因数分解非常困难。

但是一旦某一天发现了快速做质因数分解的算法，那么 RSA 就不再安全

我们可以看出大质数 a 和 b 在 RSA 算法中的重要性。保证 a 和 b 的安全也就确保了 RSA 算法的安全性。a 和 b 是通过伪随机生成器生成的。一旦伪随机数生成器的算法有问题，导致随机性很差或者可以被推断出来。那么 RSA 的安全性将被彻底破坏。

中间人攻击指的是在通信双方的通道上，混入攻击者。他对接收方伪装成发送者，对放送放伪装成接收者。

他监听到双方发送公钥时，偷偷将消息篡改，发送自己的公钥给双方。然后自己则保存下来双方的公钥。

如此操作后，双方加密使用的都是攻击者的公钥，那么后面所有的通信，攻击者都可以在拦截后进行解密，并且篡改信息内容再用接收方公钥加密。而接收方拿到的将会是篡改后的信息。实际上，发送和接收方都是在和中间人通信。

要防范中间人，我们需要使用公钥证书。这部分内容在下一篇文章里会做介绍。

和对称加密相比较，非对称加密有如下特点：

1、非对称加密解决了密码配送问题

2、非对称加密的处理速度只有对称加密的几百分之一。不适合对很长的消息做加密。

3、1024 bit 的 RSA不应该在被新的应用使用。至少要 2048 bit 的 RSA。

RSA 解决了密码配送问题，但是效率更低。所以有些时候，根据需求可能会配合使用对称和非对称加密，形成混合密码系统，各取所长。

最后提醒大家，RSA 还可以用于签名，但要注意是私钥签名，公钥验签。发信方用自己的私钥签名，收信方用对方公钥验签。关于签名，后面的文章会再详细讲解。

F. 非对称加密、SSH加密算法、数字签名简介

非对称加密算法的核心源于数学问题，它存在公钥和私钥的概念，要完成加解密操作，需要两个密钥同时参与。我们常说的“公钥加密，私钥加密”或“私钥加密， 公钥解密”都属于非对称加密的范畴。公钥加密的数据必须使用私钥才可以解密，同样，私钥加密的数据也 只能通过公钥进行解密。
  相比对称加密，非对称加密的安全性得到了提升，但是也存在明显的缺点，非对称加解密的效率要远远小于对称加解密。所以非对称加密往往被用在一些安全性要求比较高的应用或领域中。

RSA加密算法是一种典型的非对称加密算法，它基于大数的因式分解数学难题，它也是应用最广泛的非对称加密算法，于1978年由美国麻省理工学院（MIT）的三位学者：Ron Rivest、Adi Shamir 和 Leonard Adleman 共同提出。
  它的原理较为简单，我们假设有消息发送方A和消息接收方B，通过下面的几个步骤，我们就可以完成消息的加密传递：
 （1）消息发送方A在本地构建密钥对，公钥和私钥；
 （2）消息发送方A将产生的公钥发送给消息接收方B；
 （3）B向A发送数据时，通过公钥进行加密，A接收到数据后通过私钥进行解密，完成一次通信；
 （4）反之，A向B发送数据时，通过私钥对数据进行加密，B接收到数据后通过公钥进行解密。
  由于公钥是消息发送方A暴露给消息接收方B的，所以这种方式也存在一定的安全隐患，如果公钥在数据传输过程中泄漏，则A通过私钥加密的数据就可能被解密。
  如果要建立更安全的加密消息传递模型，需要消息发送方和消息接收方各构建一套密钥对，并分别将各自的公钥暴露给对方，在进行消息传递时，A通过B的公钥对数据加密，B接收到消息通过B的私钥进行解密，反之，B通过A的公钥进行加密，A接收到消息后通过A的私钥进行解密。
  当然，这种方式可能存在数据传递被模拟的隐患，我们可以通过数字签名等技术进行安全性的进一步提升。由于存在多次的非对称加解密，这种方式带来的效率问题也更加严重。可以详读这两篇文章：RSA 算法原理 （一） （二）

在SSH安全协议的原理中， 是一种非对称加密与对称加密算法的结合，先看下图：

这里进行一下说明：
（1）首先服务端会通过非对称加密，产生一个 公钥 和 私钥
（2）在客户端发起请求时，服务端将 公钥 暴露给客户端，这个 公钥 可以被任意暴露；
（3）客户端在获取 公钥 后，会先产生一个由256位随机数字组成的会话密钥，这里称为口令；
（4）客户端通过 公钥 将这个口令加密，发送给服务器端；
（5）服务器端通过 私钥 进行解密，获取到通讯口令；
 之后，客户端和服务端的信息传递，都通过这个口令进行对称的加密。
 这样的设计在一定程度上提高了加解密的效率，不过，与客户端服务端各构建一套密钥对的加解密方式相比，在安全性上可能有所下降。在上面所述的通过口令进行加密的过程中，数据也是可以被窃听的，不过由于密钥是256个随机数字，有10的256次方中组合方式，所以破解难度也很大。相对还是比较安全的。服务端和客户端都提前知道了密钥，SSH的这种方式，服务端是通过解密获取到了密钥。

现在知道了有非对称加密这东西，那数字签名是怎么回事呢？
 数字签名的作用是我对某一份数据打个标记，表示我认可了这份数据（签了个名），然后我发送给其他人，其他人可以知道这份数据是经过我认证的，数据没有被篡改过。
 有了上述非对称加密算法，就可以实现这个需求：

G. RAS加密的数学原理

RSA算法是现今使用最广泛的公钥密码算法，也是号称地球上最安全的加密算法。在了解RSA算法之前，先熟悉下几个术语根据密钥的使用方法，可以将密码分为对称密码和公钥密码

对称加密：加密和解密使用同一种密钥的方式

非对称加密：加密和解密使用不同的密码的方式，因此公钥密码通常也称为非对称密码。

好多人都知道RSA加密的数学公式，但是不知道其的内部运作，那么我们以下就详细分析一波！

图1，mod就是取余的意思，上面公式的意思是3的多少次方除以17余数为12。由图2可知道3的13次方的时候就满足图1的公式。由图2的可知，公式后面的余数都是不一样的，而且是1-16。当我们好奇试试3^17%17时候，结果就是3，好明显等于了3^1%17的结果，那么我们称 3为17的原根 。

思考：任意给定正整数n，请问在小于等于n的正整数之中，有多少个与n构成互质关系？

计算这个值的方式叫做欧拉函数，使用：Φ(n)表示

计算8的欧拉函数，和8互质的 1 、2、 3 、4、 5 、6、 7 、8    所以 φ(8) = 4

计算7的欧拉函数，和7互质的  1、2、3、4、5、6 、7  所以  φ(7) = 6

计算56的欧拉函数：φ(56) = φ(8)*  φ(7) = 4 * 6 = 24

如果两个正整数，除了1以外，没有其他公因数，我们就称这两个数是 互质关系 （coprime）。

一、当n是质数的时候，φ(n)=n-1。

二、如果n可以分解成两个互质的整数之积，如n=A*B则： φ(A*B)=φ(A)*φ(B)

根据以上两点得到：如果N是两个质数P1 和 P2的乘积则：φ(N)=φ(P1)* φ(P2)=(P1-1)*(P2-1)

如果两个正整数m和n互质，那么m的φ(n)次方减去1，可以被n整除。如图3所示：

我们可以设置互质的数如m=5和n=3，那么φ(3) = 3-1=2，5^2%3=1。所以上面的公式是成立的。（有兴趣的可以试多一点数字，注意是互质的两个数）

欧拉定理的特殊情况：如果两个正整数m和n互质，而且n为质数！那么φ(n)结果就是n-1。如图4所示：

注意：满足第3步的时候，m必须要小于n。

如果两个正整数e和x互质，那么一定可以找到整数d，使得 ed-1 被x整除。那么d就是e对于x的“模反元素”。如图6所示：

公钥： n和e

私钥： n和d

明文:   m

密文:    c

1、n会非常大，长度一般为1024个二进制位。（目前人类已经分解的最大整数，232个十进制位，768个二进制位）

2、由于需要求出φ(n)，所以根据欧函数特点，最简单的方式n ，由两个质数相乘得到:

质数：p1、p2  Φ(n) = (p1 -1) * (p2 - 1)

3、最终由φ(n)得到e 和 d 。

总共生成6个数字：p1、p2、n、φ(n)、e、d

除了公钥用到了n和e其余的4个数字是不公开的。目前破解RSA得到d的方式如下：

1、要想求出私钥 d  。由于e*d = φ(n)*k + 1。要知道e和φ(n);

2、e是知道的，但是要得到 φ(n)，必须知道p1和 p2。

3、由于 n=p1*p2。只有将n因数分解才能算出。

H. 7 Go密码学（四） 非对称加密之RSA

对称加举铅密有非常好的安全性，其加解密计算的性能也较高，但其有两个重要缺点：

在如今开放的信息社会，秘钥的管理愈加困难，非公开的秘钥机制虽然破解较难，但还是有遭到攻击的可能性，由于对称加密需要加解密双方共同握有私钥，所有生成秘钥的一方必须分发给含轿另一方才能进行安全通行，这就难免秘钥在网络中传输，网络是不可靠的，其有可能被拦截或篡改。于是就产生了公开秘钥体制，即服务方根据特定算法产生一对钥匙串，自己持有私钥小心保存，而公钥公开分发，在通信中，由公钥加密进行网络传输，而传输的信息只正老好能由私钥解密，这就解决了秘钥分发的问。公开秘钥体制就是非对称加密，非对称加密一般有两种用途：

如今的非对称加密比较可靠的有RSA算法和ECC算法（椭圆曲线算法），RSA的受众最多，但近年来随着比特币、区块链的兴起，ECC加密算法也越来越受到青睐。下面我们先介绍一下RSA加密算法的使用，ECC我们下一讲展开。

公钥密码体系都是要基于一个困难问题来保证其安全性的，RSA是基于大数分解，将一个即使是计算机也无能为力的数学问题作为安全壁垒是现代密码学的实现原理。讲述这类数学问题需要庞杂的数论基础，此相关部分在此不再展开，感兴趣的请出门右拐搜索欧几里得证明、欧拉函数等数论部分知识。

Go标准库中crypto/rsa包实现了RSA加解密算法，并通过crypto/x509包实现私钥序列化为ASN.1的DER编码字符串的方法，我们还使用编解码包encoding/pem（实现了PEM数据编码，该格式源自保密增强邮件协议，目前PEM编码主要用于TLS密钥和证书。）将公私钥数据编码为pem格式的证书文件。

使用以上加解密方法：

I. RSA加密、解密、签名、验签的原理及方法

RSA加密是一种非对称加密。可以在不直接传递密钥的情况下，完成解密。这能够确保信息的安全性，避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程，分别称为公钥和私钥。两者之间有数学相关，该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。通常个人保存私钥，公钥是公开的（可能同时多人持有）。

加密和签名都是为了安全性考虑，但略有不同。常有人问加密和签名是用私钥还是公钥？其实都是对加密和签名的作用有所混淆。简单的说，加密是为了防止信息被泄露，而签名是为了防止信息被篡改。这里举2个例子说明。

RSA的加密过程如下：

RSA签名的过程如下：

总结：公钥加密、私钥解密、私钥签名、公钥验签。

RSA加密对明文的长度有所限制，规定需加密的明文最大长度=密钥长度-11（单位是字节，即byte），所以在加密和解密的过程中需要分块进行。而密钥默认是1024位，即1024位/8位-11=128-11=117字节。所以默认加密前的明文最大长度117字节，解密密文最大长度为128字。那么为啥两者相差11字节呢？是因为RSA加密使用到了填充模式（padding），即内容不足117字节时会自动填满，用到填充模式自然会占用一定的字节，而且这部分字节也是参与加密的。