RSA加密解密与签名

来源：互联网发布：精子优化处理检查编辑：程序博客网时间：2024/05/18 02:32

著作权归作者所有。
商业转载请联系作者获得授权，非商业转载请注明出处。
作者：刘巍然-学酥
链接：http://www.zhihu.com/question/25912483/answer/31653639
来源：知乎

休息完毕，开始进入答题时间！
在回答之前我看了一下已经有的答案，我个人感觉不太舒服… 首先，题主既然提出了问题，我们还是应该用心来答，而不是打击题主的信心… 其次，题主有这个问题的本质原因是因为RSA体制本身的一个特点决定的。我相信题主在提问前已经进行了很多的资料搜索和查找工作，甚至有可能阅读了RSA那篇原始论文。因此，我们应该更多地考虑：

为什么题主会提出这个问题，这个问题的本质原因来自于哪里？
我们如何进行详细的解答，帮助题主解决这个问题。

最后，一些答案本身可能会误导大家，所以还请仔细斟酌后再进行回答。

=================分割线=================

我们来回顾一下RSA的加密算法。我们从公钥加密算法和签名算法的定义出发，用比较规范的语言来描述这一算法。

RSA公钥加密体制包含如下3个算法：KeyGen（密钥生成算法），Encrypt（加密算法）以及Decrypt（解密算法）。

$(PK, SK)\leftarrow KeyGen(\lambda)$ 。密钥生成算法以安全常数 $\lambda$ 作为输入，输出一个公钥PK，和一个私钥SK。安全常数用于确定这个加密算法的安全性有多高，一般以加密算法使用的质数p的大小有关。 $\lambda$ 越大，质数p一般越大，保证体制有更高的安全性。在RSA中，密钥生成算法如下：算法首先随机产生两个不同大质数p和q，计算N=pq。随后，算法计算欧拉函数 $\varphi(N)=(p-1)(q-1)$ 。接下来，算法随机选择一个小于 $\varphi(N)$ 的整数e，并计算e关于 $\varphi(N)$ 的模反元素d。最后，公钥为PK=(N, e)，私钥为SK=（N, d）。
$CT \leftarrow Encrypt(PK,M)$ 。加密算法以公钥PK和待加密的消息M作为输入，输出密文CT。在RSA中，加密算法如下：算法直接输出密文为 $CT=M^e \mod \varphi(N)$
$M \leftarrow Decrypt(SK,CT)$ 。解密算法以私钥SK和密文CT作为输入，输出消息M。在RSA中，解密算法如下：算法直接输出明文为 $M=CT^d \mod \varphi(N)$ 。由于e和d在 $\varphi(N)$ 下互逆，因此我们有： $CT^d=M^{ed}=M\mod \varphi(N)$

所以，从算法描述中我们也可以看出：公钥用于对数据进行加密，私钥用于对数据进行解密。当然了，这个也可以很直观的理解：公钥就是公开的密钥，其公开了大家才能用它来加密数据。私钥是私有的密钥，谁有这个密钥才能够解密密文。否则大家都能看到私钥，就都能解密，那不就乱套了。

=================分割线=================

我们再来回顾一下RSA签名体制。签名体制同样包含3个算法：KeyGen（密钥生成算法），Sign（签名算法），Verify（验证算法）。

$(PK,SK) \leftarrow KeyGen(\lambda)$ 。密钥生成算法同样以安全常数 $\lambda$ 作为输入，输出一个公钥PK和一个私钥SK。在RSA签名中，密钥生成算法与加密算法完全相同。
$\sigma \leftarrow Sign(SK,M)$ 。签名算法以私钥SK和待签名的消息M作为输入，输出签名 $\sigma$ 。在RSA签名中，签名算法直接输出签名为 $\sigma = M^d \mod \varphi(N)$ 。注意，签名算法和RSA加密体制中的解密算法非常像。
$b \leftarrow Verify(PK,\sigma,M)$ 。验证算法以公钥PK，签名 $\sigma$ 以及消息M作为输入，输出一个比特值b。b=1意味着验证通过。b=0意味着验证不通过。在RSA签名中，验证算法首先计算 $M'=\sigma^e \mod \varphi(N)$ ，随后对比M'与M，如果相等，则输出b=1，否则输出b=0。注意：验证算法和RSA加密体制中的加密算法非常像。

所以，在签名算法中，私钥用于对数据进行签名，公钥用于对签名进行验证。这也可以直观地进行理解：对一个文件签名，当然要用私钥，因为我们希望只有自己才能完成签字。验证过程当然希望所有人都能够执行，大家看到签名都能通过验证证明确实是我自己签的。

=================分割线=================

那么，为什么题主问这么一个问题呢？我们可以看到，RSA的加密/验证，解密/签字过程太像了。同时，RSA体制本身就是对称的：如果我们反过来把e看成私钥，d看成公钥，这个体制也能很好的执行。我想正是由于这个原因，题主在学习RSA体制的时候才会出现这种混乱。那么解决方法是什么呢？建议题主可以学习一下其他的公钥加密体制以及签名体制。其他的体制是没有这种对称性质的。举例来说，公钥加密体制的话可以看一看ElGamal加密，以及更安全的Cramer-Shoup加密。签名体制的话可以进一步看看ElGamal签名，甚至是BLS签名，这些体制可能能够帮助题主更好的弄清加密和签名之间的区别和潜在的联系。

至于题主问的加密和签名是怎么结合的。这种体制叫做签密方案（SignCrypt），RSA中，这种签密方案看起来特别特别像，很容易引起混乱。在此我不太想详细介绍RSA中的加密与签字结合的方案。我想提醒题主的是，加密与签字结合时，两套公私钥是不同的。

如果题主还有进一步的问题，欢迎留言。我个人是衷心希望大家都了解一点密码学的知识，以便了解庞大的计算机网络系统到底是如何保护数据安全性的。希望我的回答能对题主有所帮助。

以上

编辑于 2014-10-1010 条评论感谢

收藏•没有帮助•

• 作者保留权利

知乎用户

纪维康、Figo Zhu、云小泽等人赞同

其实公钥和私钥都可以用来加密或解密---只要能保证用A加密，就用B解密就行。至于A是公钥还是私钥，其实可以根据不同的用途而定。例如说，如果你想把某个消息秘密的发给某人，那你就可以用他的公钥加密。因为只有他知道他的私钥，所以这消息也就只有他本人能…显示全部

其实公钥和私钥都可以用来加密或解密---只要能保证用A加密，就用B解密就行。至于A是公钥还是私钥，其实可以根据不同的用途而定。

例如说，如果你想把某个消息秘密的发给某人，那你就可以用他的公钥加密。因为只有他知道他的私钥，所以这消息也就只有他本人能解开，于是你就达到了你的目的。

但是如果你想发布一个公告，需要一个手段来证明这确实是你本人发的，而不是其他人冒名顶替的。那你可以在你的公告开头或者结尾附上一段用你的私钥加密的内容（例如说就是你公告正文的一段话），那所有其他人都可以用你的公钥来解密，看看解出来的内容是不是相符的。如果是的话，那就说明这公告确实是你发的---因为只有你的公钥才能解开你的私钥加密的内容，而其他人是拿不到你的私钥的。

最后再说一下数字签名。
数字签名无非就两个目的：
证明这消息是你发的；
证明这消息内容确实是完整的---也就是没有经过任何形式的篡改（包括替换、缺少、新增）。

其实，上面关于“公告”那段内容，已经证明了第一点：证明这消息是你发的。
那么要做到第二点，也很简单，就是把你公告的原文做一次哈希（md5或者sha1都行），然后用你的私钥加密这段哈希作为签名，并一起公布出去。当别人收到你的公告时，他可以用你的公钥解密你的签名，如果解密成功，并且解密出来的哈希值确实和你的公告原文一致，那么他就证明了两点：这消息确实是你发的，而且内容是完整的。

0 0