RSA算法:非對稱加密算法-中文百科頻道

簡介

RSA公開密鑰密碼體制是一種使用不同的加密密鑰與解密密鑰，“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。

在公開密鑰密碼體制中，加密密鑰（即公開密鑰）PK是公開信息，而解密密鑰（即秘密密鑰）SK是需要保密的。加密算法E和解密算法D也都是公開的。雖然解密密鑰SK是由公開密鑰PK決定的，但卻不能根據PK計算出SK。

正是基于這種理論，1978年出現了著名的RSA算法，它通常是先生成一對RSA密鑰，其中之一是保密密鑰，由用戶保存；另一個為公開密鑰，可對外公開，甚至可在網絡服務器中注冊。為提高保密強度，RSA密鑰至少為500位長。這就使加密的計算量很大。為減少計算量，在傳送信息時，常采用傳統加密方法與公開密鑰加密方法相結合的方式，即信息采用改進的DES或IDEA對話密鑰加密，然後使用RSA密鑰加密對話密鑰和信息摘要。對方收到信息後，用不同的密鑰解密并可核對信息摘要。

RSA是被研究得最廣泛的公鑰算法，從提出到現在已近三十年，經曆了各種攻擊的考驗，逐漸為人們接受，普遍認為是目前最優秀的公鑰方案之一。1983年麻省理工學院在美國為RSA算法申請了專利。

RSA允許你選擇公鑰的大小。512位的密鑰被視為不安全的；768位的密鑰不用擔心受到除了國家安全管理（NSA）外的其他事物的危害；RSA在一些主要産品内部都有嵌入，像 Windows、網景 Navigator、 Quicken和 Lotus Notes。

由于RSA算法1024位密鑰面臨嚴重的安全威脅,為保障電子認證服務安全應用,2016年12月5日,上海市密碼管理局在其官方網站上發布公告,稱從2017年1月1日起停止提供RSA算法1024位密鑰對服務,并配合電子認證服務機構和應用單位做好應對措施,确保平穩過渡。

算法原理

RSA公開密鑰密碼體制的原理是：根據數論，尋求兩個大素數比較簡單，而将它們的乘積進行因式分解卻極其困難，因此可以将乘積公開作為加密密鑰。

算法描述

RSA算法的具體描述如下：

（1）任意選取兩個不同的大素數p和q計算乘積；

（2）任意選取一個大整數e，滿足，整數e用做加密鑰（注意：e的選取是很容易的，例如，所有大于p和q的素數都可用）；

（3）确定的解密鑰d，滿足，即是一個任意的整數；所以，若知道e和，則很容易計算出d；

（4）公開整數n和e，秘密保存d；

（5）将明文m（m

（6）将密文c解密為明文m，解密算法為

然而隻根據n和e（注意：不是p和q）要計算出d是不可能的。因此，任何人都可對明文進行加密，但隻有授權用戶（知道d）才可對密文解密。

安全性

RSA的安全性依賴于大數分解，但是否等同于大數分解一直未能得到理論上的證明，也并沒有從理論上證明破譯。RSA的難度與大數分解難度等價。因為沒有證明破解RSA就一定需要做大數分解。假設存在一種無須分解大數的算法，那它肯定可以修改成為大數分解算法，即RSA的重大缺陷是無法從理論上把握它的保密性能如何，而且密碼學界多數人士傾向于因子分解不是NPC問題。

目前，RSA的一些變種算法已被證明等價于大數分解。不管怎樣，分解n是最顯然的攻擊方法。現在，人們已能分解140多個十進制位的大素數。因此，模數n必須選大些，視具體适用情況而定。

RSA算法的保密強度随其密鑰的長度增加而增強。但是，密鑰越長，其加解密所耗用的時間也越長。因此，要根據所保護信息的敏感程度與攻擊者破解所要花費的代價值不值得以及系統所要求的反應時間來綜合考慮，尤其對于商業信息領域更是如此。

運算速度

由于進行的都是大數計算，使得RSA最快的情況也比DES慢上好幾倍，無論是軟件還是硬件實現。速度一直是RSA的缺陷。一般來說隻用于少量數據加密。RSA的速度比對應同樣安全級别的對稱密碼算法要慢1000倍左右。

算法攻擊

迄今為止，對RSA的攻擊已經很多，但都沒有對它構成真正的威脅。在這裡，我們讨論一些典型的攻擊方法。

選擇密碼攻擊

RSA在選擇密碼攻擊面前顯得很脆弱。一般攻擊者是将某一信息進行下僞裝，讓擁有私鑰的實體簽名；然後，經過計算就可得到它所想要的信息。實際上，攻擊利用的都是同一個弱點，即存在這樣一個事實：乘幂保留了輸入的乘法結構。前面已經提到，這個固有的問題來自于公鑰密碼系統的最基本的特征，即每個人都能使用公鑰加密信息。從算法上無法解決這一問題，改進措施有兩條：是采用好的公鑰協議保證工作過程中實體不對其他實體任意産生的信息解密，不對自己一無所知的信息簽名；二是決不對陌生人送來的随機文檔簽名，或簽名時首先對文檔作Hash處理，或同時使用不同的簽名算法。