数据结构与算法之深入解析RSA加密算法的实现原理

Posted 2021-09-19 Forever_wj

一、密码学历史

• 密码学的历史大致可以追溯到两千年前，相传古罗马名将凯撒大帝为了防止敌方截狱情报，用密码传送情报。凯撒的做法很简单，就是对二十几个罗马字母建立一张对应表，这样，如果不知道密码本，即使截获一段信息也看不懂。
• 从凯撒大帝时代到上世纪70年代这段很长的时间里，密码学的发展非常的缓慢，因为设计者基本上靠经验，没有运用数学原理。
• 1976 年以前，所有的加密方法都是同一种模式：
• • 甲方选择某一种加密规则（简称密钥），对信息进行加密；
• • 乙方使用同一种规则，对信息进行解密。
• 由于加密和解密使用同样规则（简称“密钥”），这被称为“对称加密算法”（Symmetric-key algorithm）。这种加密模式有一个最大弱点：甲方必须把加密规则告诉乙方，否则无法解密。保存和传递密钥，就成了最头疼的问题。
• 1976 年，两位美国计算机学家迪菲（W.Diffie）、赫尔曼（ M.Hellman）提出了一种崭新构思，可以在不直接传递密钥的情况下，完成密钥交换，这被称为“Diffie-Hellman密钥交换算法（迪菲赫尔曼密钥交换）”，开创了密码学研究的新方向。人们认识到，加密和解密可以使用不同的规则，只要这两种规则之间存在某种对应关系即可，这样就避免了直接传递密钥，这种新的加密模式被称为“非对称加密算法”：
• • 乙方生成两把密钥（公钥和私钥），公钥是公开的，任何人都可以获得，私钥则是保密的；
• • 甲方获取乙方的公钥，然后用它对信息加密；
• • 乙方得到加密后的信息，用私钥解密；
• • 如果公钥加密的信息只有私钥解得开，那么只要私钥不泄漏，通信就是安全的。
• 1977 年，三位麻省理工学院的数学家罗纳德李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起设计了一种算法，可以实现非对称加密，这个算法用他们三个人的名字命名，叫做“RSA 算法”。从那时直到现在，RSA 算法一直是最广为使用的“非对称加密算法”。毫不夸张地说，只要有计算机网络的地方，就有 RSA 算法。
• 这种算法非常可靠，密钥越长，它就越难破解。根据已经披露的文献，目前被破解的最长 RSA 密钥是 768 个二进制位。也就是说，长度超过 768 位的密钥，还无法破解（至少没人公开宣布）。因此可以认为，1024 位的 RSA 密钥基本安全， 2048 位的密钥极其安全。

二、数学原理

① 离散对数问题

• 如果想要一个加密容易、破解很难的数学运算，方案：3^? mod 17 = 12；
• 例如：
  3¹ mod 17 = 3
  3² mod 17 = 9
  3³ mod 17 = 10
  3⁴ mod 17 = 13
  3⁵ mod 17 = 5
  3⁶ mod 17 = 15
  3⁷ mod 17 = 11
  3⁸ mod 17 = 16
  3⁹ mod 17 = 14
  3¹⁰ mod 17 = 8
  3¹¹ mod 17 = 7
  3¹² mod 17 = 4
  3¹³ mod 17 = 12
  3¹⁴ mod 17 = 2
  3¹⁵ mod 17 = 6
  3¹⁶ mod 17 = 1
• 我们知道 ? 后计算出 12 很容易，但是知道 12 反推 ? 只能通过枚举。若取模的数是质数n，那么可能性就有 n-1 种，比如 17 就有 17-1=16 种可能。如果 n 是特别大的质数，那么反推就基本不可能了。

② 互质关系

• 如果两个正整数，除了 1 以外，没有其他公因子，就称这两个数是互质关系（coprime）。比如，15 和 32 没有公因子，所以它们是互质关系。这说明，不是质数也可以构成互质关系。
• 关于互质关系，不难得到以下结论：
• • 任意两个质数构成互质关系，比如 13 和 61。
• • 一个数是质数，另一个数只要不是前者的倍数，两者就构成互质关系，比如 3 和 10。
• • 如果两个数之中，较大的那个数是质数，则两者构成互质关系，比如 97 和 57 。
• • 1 和任意一个自然数是都是互质关系，比如 1 和 99。
• • p 是大于 1 的整数，则 p 和 p-1 构成互质关系，比如 57 和 56。
• • p 是大于 1 的奇数，则 p 和 p-2 构成互质关系，比如 17 和 15。

③ 欧拉函数

• 思考以下问题：

	任意给定正整数 n，请问在小于等于 n 的正整数之中，有多少个与 n 构成互质关系？（比如，在 1 到 8 之中，有多少个数与 8 构成互质关系？）

• 计算这个值的方法就叫做欧拉函数，以 φ(n) 表示。在 1 到 8 之中，与 8 形成互质关系的是 1、3、5、7，所以 φ(n) = 4。
• φ(n) 的计算方法并不复杂，但是为了得到最后那个公式，需要一步步讨论：
• • 第一种情况：如果 n=1，则 φ(1) = 1，因为 1 与任何数（包括自身）都构成互质关系。
• • 第二种情况：如果 n 是质数，则 φ(n)=n-1，因为质数与小于它的每一个数，都构成互质关系。比如 5 与 1、2、3、4 都构成互质关系。
• • 第三种情况：
• • • 如果 n 是质数的某一个次方，即 n = pk (p 为质数，k 为大于等于 1 的整数)，则：φ(p^k) = p^k - p^k-1。比如 φ(8) = φ(23) = 23 - 22 = 8 - 4 = 4。
• • • 这是因为只有当一个数不包含质数 p，才可能与 n 互质。而包含质数 p 的数一共有 p(k-1) 个，即 1p、2p、3*p、…、p(k-1)*p，把它们去除，剩下的就是与 n 互质的数。
• • • 上面的式子还可以写成下面的形式：φ(p^k) = p^k - p^k-1= p^k(1-1/p)。可以看出，上面的第二种情况是 k=1 时的特例。
• • 第四种情况：
• • • 如果 n 可以分解成两个互质的整数之积 n = p1 * p2，则 φ(n) = φ(p1p2) = φ(p1)φ(p2)；
• • • 即：积的欧拉函数等于各个因子的欧拉函数之积。比如，φ(56) = φ(8*7) = φ(8)φ(7) = 46 = 24。
• • • 这一条的证明要用到中国剩余定理，这里只简单说一下思路：

	如果 a 与 p1 互质（a < p1），b 与 p2 互质（b < p2），c 与 p1p2 互质（c < p1p2），则 c 与数对 (a,b) 是一一对应关系。由于 a 的值有 φ(p1) 种可能，b 的值有 φ(p2) 种可能，则数对 (a,b) 有 φ(p1)φ(p2) 种可能，而 c 的值有 φ(p1p2) 种可能，所以 φ(p1p2) 就等于 φ(p1)φ(p2)。

• • 第五种情况：
• • • 因为任意一个大于 1 的正整数，都可以写成一系列质数的积：

• • • 根据第 4 条的结论，得到：

• • • 再根据第 3 条的结论，得到：

• • • 也就等于：

• • • 这就是欧拉函数的通用计算公式。比如，1323 的欧拉函数，计算过程如下：

④ 欧拉定理

• “欧拉定理”指的是如果两个正整数 a 和 n 互质，则 n 的欧拉函数 φ(n) 可以让下面的等式成立：

• 也就是说，a 的 φ(n) 次方被 n 除的余数为 1，或者说，a 的 φ(n) 次方减去 1，可以被 n 整除。比如，3 和 7 互质，而 7 的欧拉函数 φ(7) 等于 6，所以 3 的 6 次方（729）减去 1，可以被 7 整除（728/7=104）。
• 欧拉定理的证明比较复杂，这里省略，只要记住它的结论就行。
• 欧拉定理可以大大简化某些运算：
• • 比如，7 和 10 互质，根据欧拉定理：

• • 已知 φ(10) 等于 4，所以马上得到 7 的 4 倍数次方的个位数肯定是 1：

• • 因此，7 的任意次方的个位数（例如 7 的 222 次方），心算就可以算出来。
• 欧拉定理有一个特殊情况：假设正整数 a 与质数 p 互质，因为质数 p 的 φ§ 等于 p-1，则欧拉定理可以写成：

• 这就是著名的费马小定理，它是欧拉定理的特例。

⑤ 模反元素

• 如果两个正整数 a 和 n 互质，那么一定可以找到整数 b，使得 ab-1 被 n 整除，或者说 ab 被 n 除的余数是 1，这时 b 就叫做 a 的“模反元素”：

• 比如，3 和 11 互质，那么 3 的模反元素就是 4，因为 (3 × 4)-1 可以被 11 整除。显然，模反元素不止一个，4 加减 11 的整数倍都是 3 的模反元素 {…, -18, -7, 4, 15, 26, …}，即如果 b 是 a 的模反元素，则 b+kn 都是 a 的模反元素。
• 欧拉定理可以用来证明模反元素必然存在，可以看到，a 的 φ(n)-1 次方，就是 a 的模反元素：

三、迪菲赫尔曼秘钥交换

① 实现步骤

• 假设客户端、服务端规定 m=3，n=17，两端的计算公式就是3ⁱ mod 17 = ?；
• 客户端生成一个 key_c = 13，服务端生成一个 key_s = 15；
• 客户端计算 3¹³ mod 17 = 12 发送给服务端，服务端计算 3¹⁵ mod 17 = 6 发送给客户端；
• 客户端通过收到的 6，计算 6¹³ mod 17 = 10，服务端通过收到的 12，计算 12¹⁵ mod 17 = 10。
• 两端就可以实现秘钥交换，而第三方很难破解，它只能拿到 6 和 12，因为没有私密数据 13、15，所以它没法得到结果 10。如下所示：
  

② 原理分析

• 那么发送端 3^15*13 mod 17 = 10 = 3^13*15 mod 17 接收端。
• 迪菲赫尔曼密钥交换最核心的地方如下：

③ RSA 诞生

• 刚刚的秘钥交换，可以看成 m^e*d mod n = x = m^d*e mod n，两端可以得到相同的值。
• 那如果 m^d*e mod n 满足我们上文的推导 m^e*d mod n ≡ m，即满足 d 是 e 的模反元素时，又会发生什么呢？
• 也就是说：
• • 加密：m^e mode n = c
• • 解密：c^d mode n = m
• e 和 n 组成公钥，d 和 n 组成私钥。

四、RSA 秘钥生成的步骤

• 假设爱丽丝要与鲍勃进行加密通信，她该怎么生成公钥和私钥呢？

• 随机选择两个不相等的质数 p 和 q，爱丽丝选择了 61 和 53（实际应用中，这两个质数越大，就越难破解）；
• 计算 p 和 q 的乘积 n，爱丽丝就把 61 和 53 相乘，n = 61×53 = 3233（n 的长度就是密钥长度，3233 写成二进制是 110010100001，一共有 12 位，所以这个密钥就是 12 位，实际应用中，RSA 密钥一般是 1024 位，重要场合则为 2048 位）；
• 计算 n 的欧拉函数 φ(n)，根据公式 φ(n) = (p-1)(q-1)，爱丽丝算出 φ(3233) 等于 60×52，即 3120。
• 随机选择一个整数 e，条件是 1< e < φ(n)，且 e 与 φ(n) 互质，爱丽丝就在 1 到 3120 之间，随机选择了 17（实际应用中，常常选择 65537）；
• 计算 e 对于 φ(n) 的模反元素 d：
• • 所谓“模反元素”就是指有一个整数 d，可以使得 ed 被 φ(n) 除的余数为 1。
• • ed ≡ 1 (mod φ(n)) 等价于 ed - 1 = kφ(n)，于是找到模反元素 d，实质上就是对下面这个二元一次方程求解：ex + φ(n)y = 1；
• • 已知 e = 17，φ(n) = 3120，则 17x + 3120y = 1，这个方程可以用“扩展欧几里得算法”求解，此处省略具体过程。总之，爱丽丝算出一组整数解为 (x,y) = (2753,-15)，即 d = 2753，至此所有计算完成；
• 将 n 和 e 封装成公钥，n 和 d 封装成私钥。在爱丽丝的例子中，n=3233，e=17，d=2753，所以公钥就是 (3233, 17)，私钥就是（3233, 2753）。
• 实际应用中，公钥和私钥的数据都采用 ASN.1 格式表达。

五、加密和解密

• 加密要用公钥 (n, e)
• • 假设鲍勃要向爱丽丝发送加密信息 m，就要用爱丽丝的公钥 (n,e) 对 m 进行加密。这里需要注意，m 必须是整数（字符串可以取 ascii 值或 unicode 值），且 m 必须小于 n。
• • 所谓“加密”，就是算出下式的 c：m^e ≡ c (mod n)；
• • 爱丽丝的公钥是 (3233, 17)，鲍勃的 m 假设是 65，那么可以算出下面的等式：65¹⁷ ≡ 2790 (mod 3233)；
• • 于是，c 等于 2790，鲍勃就把 2790 发给了爱丽丝。
• 解密要用私钥 (n,d)
• • 爱丽丝拿到鲍勃发来的 2790 以后，就用自己的私钥 (3233, 2753) 进行解密。可以证明，下面的等式一定成立：c^d ≡ m (mod n)；
• • 也就是说，c 的 d 次方除以 n 的余数为 m。现在，c 等于2790，私钥是 (3233, 2753)，那么，爱丽丝算出：2790²⁷⁵³ ≡ 65 (mod 3233)；
• • 因此，爱丽丝知道了鲍勃加密前的原文就是 65。
• 至此，“加密–解密”的整个过程全部完成。
• 我们可以看到，如果不知道 d，就没有办法从 c 求出 m。而前面已经说过，要知道 d 就必须分解 n，这是极难做到的，所以 RSA 算法保证了通信安全。
• 你可能会问，公钥 (n,e) 只能加密小于 n 的整数 m，那么如果要加密大于 n 的整数，该怎么办？有两种解决方法：
• • 把长信息分割成若干段短消息，每段分别加密；
• • 先选择一种“对称性加密算法”（比如 DES），用这种算法的密钥加密信息，再用 RSA 公钥加密 DES 密钥。

六、RSA 算法的可靠性

• 回顾上面的密钥生成步骤，一共出现 6 个数字：p、q、n、φ(n)、e、d，这六个数字之中，公钥用到了两个（n 和 e），其余四个数字都是不公开的，其中最关键的是 d，因为 n 和 d 组成了私钥，一旦 d 泄漏，就等于私钥泄漏。
• 那么，有无可能在已知 n 和 e 的情况下，推导出 d？
• • ed≡1 (mod φ(n))，只有知道 e 和 φ(n)，才能算出 d；
• • φ(n)=(p-1)(q-1)，只有知道 p 和 q，才能算出 φ(n)；
• • n = pq，只有将 n 因数分解，才能算出 p 和 q。
• 结论：如果 n 可以被因数分解，d 就可以算出，也就意味着私钥被破解。
• 可是，大整数的因数分解，是一件非常困难的事情，目前，除了暴力破解，还没有发现别的有效方法。维基百科这样写道：

	对极大整数做因数分解的难度决定了 RSA 算法的可靠性。换言之，对一极大整数做因数分解愈困难，RSA 算法愈可靠。
	假如有人找到一种快速因数分解的算法，那么 RSA 的可靠性就会极度下降。但找到这样的算法的可能性是非常小的。今天只有短的 RSA 密钥才可能被暴力破解。到 2008 年为止，世界上还没有任何可靠的攻击 RSA 算法的方式。
	只要密钥长度足够长，用RSA加密的信息实际上是不能被解破的。

• 举例来说，可以对 3233 进行因数分解（61×53），但是没法对下面这个整数进行因数分解：

	12301866845301177551304949
	58384962720772853569595334
	79219732245215172640050726
	36575187452021997864693899
	56474942774063845925192557
	32630345373154826850791702
	61221429134616704292143116
	02221240479274737794080665
	351419597459856902143413

• 它等于这样两个质数的乘积：

	33478071698956898786044169
	84821269081770479498371376
	85689124313889828837938780
	02287614711652531743087737
	814467999489
	　　　　×
	36746043666799590428244633
	79962795263227915816434308
	76426760322838157396665112
	79233373417143396810270092
	798736308917

• 事实上，这大概是人类已经分解的最大整数（232 个十进制位， 768 个二进制位），比它更大的因数分解，还没有被报道过，因此目前被破解的最长 RSA 密钥就是 768 位。

七、终端演示

① 生成公钥与私钥

• 由于 Mac 系统内置 OpenSSL（开源加密库），因此可以直接在终端上使用命令来玩 RSA。
• OpenSSL 中 RSA 算法常用指令主要有三个：
• • genrsa：生成并输入一个 RSA 私钥；
• • rsautl：使用 RSA 密钥进行加密、解密、签名和验证等运算；
• • rsa：处理 RSA 密钥的格式转换等问题。
• 生成一个私钥：

	openssl genrsa -out private.pem 1024
	Generating RSA private key, 1024 bit long modulus
	......++++++
	.................................++++++
	e is 65537 (0x10001)

• 生成一个公钥：

	openssl rsa -in private.pem -pubout -out public.pem
	writing RSA key

• 查看私钥：

	cat private.pem
	-----BEGIN RSA PRIVATE KEY-----
	MIICXAIBAAKBgQDGa9khyVlm9OlpnQ9w7zYe4aywXRCdFQbdQ+lXWzkKzf+Nn6+U
	GFs9dn7ZfiuIDqEHnB3/3kWvebHhr1pvO0mnJSy5YAu4qg5aXIz7MByA3mxOizsC
	Q1vA4Qc/8Jz5xK6Mxi1eKffdcUp7C13UwpeHNwZXu7vCZZ+M798zmYLIXQIDAQAB
	AoGAYiS2IaAWOHarfTHSkWnAu0WkxRdDQG9GFeuhXzQf4thBryttDTN+7cfOtoVR
	wtp5i+oMbKLklQb8lUTG1n3cz5BO5QZeKN46xdP2GeWgc1G0d2l1YSO9wlKLnV8/
	UZVFf+NjhYWtZ2d07guE4L5+ibv+Nm16EneBBU1FUYI6nYECQQDzwiFSQVzLzNGt
	JEADGVTLyUnQFSjSGB8Spa3YHXwzhzqcb4gIxwOj2qfbXo4aYs3pjSKdndw/adhZ
	dinVf0TjAkEA0GLYE1M1vJ2+JPQex3c5UsPMpQ+G2+siTyfTdoi1QR0LleBjUxQw
	0waGnIPauKNZD7+RxYlNn5yV5W0XWkiBvwJBAMArlP93HkRhhhA9GuYWi15Zo4KT
	m+n+MEkQKvzNSgSJoPCBkTpyQ3FjSaBNbDRrHrD4noiqUl///xuQZ6y0OEcCQCN+
	oqVwB/gvukKbHl8FbMsvNL1szqDJBVgMRZWsJYuIwf9ucBynlMVtGCKyxt+qWzI2
	hELsZz9nsZSZp1+meAsCQDZRyxupxsesrmEE0JcUD0uMpceSi4PmE57BB4ttpkwm
	1oj5BuzeORGE6K+RS8+avWlINZ1lKhpWU3FPpTW7tWU=
	-----END RSA PRIVATE KEY-----

• 查看公钥：

	cat public.pem
	-----BEGIN PUBLIC KEY-----
	MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDGa9khyVlm9OlpnQ9w7zYe4ayw
	XRCdFQbdQ+lXWzkKzf+Nn6+UGFs9dn7ZfiuIDqEHnB3/3kWvebHhr1pvO0mnJSy5
	YAu4qg5aXIz7MByA3mxOizsCQ1vA4Qc/8Jz5xK6Mxi1eKffdcUp7C13UwpeHNwZX
	u7vCZZ+M798zmYLIXQIDAQAB
	-----END PUBLIC KEY-----

• 公钥和私钥本身是二进制，这里进行了 base64 编码方便查看而已。如果想查看原始信息可以输入：

	openssl rsa -in private.pem -text -out private.txt

② 加密解密

• 加密：创建一个 txt 文档，比如 msg.txt，数据为密码：123456：

	openssl rsautl -encrypt -in msg.txt -inkey public.pem -pubin -out enc.txt
	cat enc.txt
	���MRnX
	
	       �9��=�P��[�>�T�����b�2j oDڛ�6���u®�"*n3�K�
	���[I��
	        Y����w��c�@Ǔ�cb��.-��   ��x�Aa�C9;۩ ��ECd.!7%

• 解密：

	openssl rsautl -decrypt -in enc.txt -inkey private.pem -out dec.txt
	cat dec.txt
	密码：123456

③ 证书

• csr 证书：

	openssl req -new -key private.pem -out rsacert.csr
	You are about to be asked to enter information that will be incorporated
	into your certificate request.
	What you are about to enter is what is called a Distinguished Name or a DN.
	There are quite a few fields but you can leave some blank
	For some fields there will be a default value,
	If you enter '.', the field will be left blank.
	-----
	Country Name (2 letter code) []:CN
	State or Province Name (full name) []:SICHUAN
	Locality Name (eg, city) []:CHENGDU
	Organization Name (eg, company) []:xxx
	Organizational Unit Name (eg, section) []:xxx
	Common Name (eg, fully qualified host name) []:xxx.com
	Email Address []:xxx@email.com
	
	Please enter the following 'extra' attributes
	to be sent with your certificate request
	A challenge password []:

• 签名，比如 HTTPS 的证书就可以用这个 crt 证书：

	openssl x509 -req -days 3650 -in rsacert.csr -signkey private.pem -out rsacert.crt
	Signature ok
	subject=/C=CN/ST=SICHUAN/L=CHENGDU/O=xxx/OU=xxx/CN=xxx.com/emailAddress=xxx@email.com
	Getting Private key

• crt 导出 p12 证书：

	openssl pkcs12 -export -out p.p12 -inkey private.pem -in rsacert.crt
	Enter Export Password:
	Verifying - Enter Export Password:

• crt 导出 drt 证书（ios 不能使用 crt 证书，所以要进行转换）：

	openssl x509 -outform der -in rsacert.crt -out rsacert.der