背景

RSA 加密算法是一种非对称加密算法，在公开密钥加密和电子商业中被广泛使用。RSA 是由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）在 1977 年一起提出的。当时他们三人都在麻省理工学院工作。RSA 就是他们三人姓氏开头字母拼在一起组成的。

数学原理

我们先回顾一下，对称加密 DES 算法 和 AES 算法数学原理异或运算：对一个数同时异或两次就能恢复。

m = m ^ e ^ e

接下来看一下 RSA 算法的数学原理

m^e ≡ c ( mod n )

c^d ≡ m ( mod n )

其中正整数 e, d, n 要满足以下条件

• n = pq (p 和 q 为两个质数)
• 1 < e < φ(n)
• e 与 φ(n) 互质
• ed ≡ 1 ( mod φ(n) )

在推导上面结论之前，先了解一些数学概念。

互质关系

如果两个正整数，除了1以外，没有其他公因子，我们就称这两个数是互质关系（coprime）。比如，15和32没有公因子，所以它们是互质关系。这说明，不是质数也可以构成互质关系。

关于互质关系，不难得到以下结论：

• 任意两个质数构成互质关系，比如13和61。
• 一个数是质数，另一个数只要不是前者的倍数，两者就构成互质关系，比如3和10。
• 如果两个数之中，较大的那个数是质数，则两者构成互质关系，比如97和57。
• 1和任意一个自然数是都是互质关系，比如1和99。
• p是大于1的整数，则p和p-1构成互质关系，比如57和56。
• p是大于1的奇数，则p和p-2构成互质关系，比如17和15。

欧拉函数

正整数 n，欧拉函数 φ(n) 是小于 n 的正整数中 n 互质的数的数目。

如果 n = 1，则 φ(1) = 1 （小于等于 1 的正整数中唯一和1互质的数就是 1 本身）。

如果 n = p^k（p 为质数），则 φ(n) = φ(p^k) = p^k - p^k-1 = p^k(1 - 1/p) （除了 p 的倍数外，其他数都跟 n 互质）。

如果 m, n 互质，则 φ(n * m) = φ(n) * φ(m) 。

如果 n = p₁^k1p₂^k2...p_r^kr，则 φ(n) = φ(p₁^k1p₂^k2...p_r^kr) = φ(p₁^k1)φ(p₂^k2)...φ(p_r^kr) = p₁^k1p₂^k2...p_r^kr(1 - 1/p₁)(1 - 1/p₂)...(1 - 1/p_r) = n(1 - 1/p₁)(1 - 1/p₂)...(1 - 1/p_r)。

所以欧拉函数为：φ(n) = n(1 - 1/p₁)(1 - 1/p₂)...(1 - 1/p_r)。

欧拉定理

如果两个正整数 a 和 n 互质，则 n 的欧拉函数 φ(n) 满足：a^φ(n) ≡ 1 ( mod n )。

当 n 为质数的时候：a^n-1 ≡ 1 ( mod n )。

这就是著名的费马小定理。

模反元素

如果两个正整数 a 和 n 互质，那么一定可以找到整数 b，使得 ab-1 被 n 整除。

ab ≡ 1(mod n)

可以根据欧拉定理来证明其一定存在：a^φ(n) = a * a^φ(n)-1 ≡ 1(mod n)

于是，b = a^φ(n)-1

RSA 算法的证明过程

如果 m^e ≡ c ( mod n )，则有 c^d ≡ m ( mod n )。

其中正整数 e, d, n 要满足以下条件

• n = pq (p 和 q 为两个质数)
• 1 < e < φ(n)
• e 与 φ(n) 互质
• ed ≡ 1 ( mod φ(n) )

因为 m^e ≡ c ( mod n )

所以 c = m^e - kn，其中 k 为整数

所以 c^d % n = (m^e - kn)^d % n

分解多项式 (m^e - kn)^d 只有 m^ed 这一项不含 kn 的乘积，其他项至少包含一个 kn 的乘积，因为 kn 倍数模 n 都等于 0，所以上面等价于

c^d % n = (m^e - kn)^d % n = m^ed % n

因为 ed ≡ 1 ( mod φ(n) )，ed = kφ(n) + 1，其中 k 为整数，所以 m^ed % n = m^{kφ(n) + 1} % n

于是只要证明：m^{kφ(n) + 1} ≡ m ( mod n ) 即可

第一种情况：如果 n 和 m 互质，根据欧拉定理：m^φ(n) ≡ 1 ( mod n )

可以得到 m^{kφ(n) + 1} = m(m^φ(n))^k ≡ m ( mod n )

于是 m^{kφ(n) + 1} ≡ m ( mod n )，即 c^d ≡ m ( mod n )

第二种情况：如果 n 和 m 不互质

由于 n = pq（p 和 q）为质数，那么 m 要么是 p 的倍数，要么是 q 的倍数，假设 m 等于 i 倍 q，即 m = i * q（ i 为整数），同时 m 和 p 一定是互质关系。

因为 m 和 p 是互质关系，跟欧拉定理得 m^φ(p) ≡ 1 ( mod p )

所以 m^{kφ(n) + 1} = m(m^φ(n))^k ≡ m ( mod p )

所以 m^kφ(n)+1 = jp + m，其中 j 为整数

把上面的假设 m = iq 代入得到 (iq)^kφ(n)+1 = jp + iq

等式左边可以被 q 整除，因为 p 和 q 是互质关系，所以 j 一定是 q 的倍数，假设 j = k' * q，其中 k' 为整数，把 n = pq 代入其中

得到 m^kφ(n)+1 = (iq)^kφ(n)+1 = k'pq + iq = k'n + m

所以 m^kφ(n)+1 = m^ed = k'n + m ≡ m ( mod n )

于是 m^{kφ(n) + 1} ≡ m ( mod n )，即 c^d ≡ m ( mod n )

密钥生成

根据上面数学原理，我们可以知道公钥为 (n, e) 用来加密，私钥 (n, d) 用来解密。

1. 随机两个质数 p 和 q，n = pq
2. 计算 n 的欧拉函数，φ(n) = φ(pq) = φ(p)φ(q) = (p - 1)(q - 1)
3. 随机选择一个正整数 e 满足 1 < e < φ(n)，满足 e 与 φ(n) 互质
4. 通过 ed ≡ 1 ( mod φ(n) ) 计算出 d （模逆元 d 存在，当且仅当 e 与 φ(n) 互质）

于是公钥 (n, e) 和 私钥 (n, d) 生成完成。

密钥安全

想要通过公钥 (n, e) 逆推出 (n, d)，则需要先知道 φ(n)，也就是要对 n 进行因式分解出 p 和 q。目前没有找到快速因式分解的方法，所以只要 n 足够的大，就会足够的安全。

NIST 建议的 RSA 密钥长度为至少 2048 位。

参考资料

• RSA算法原理1-阮一峰老师
• RSA算法原理2-阮一峰老师
• RSA算法原理
• RSA加密算法-维基百科
• 欧拉函数-维基百科