1. 程式人生 > >RSA的公鑰和私鑰到底哪個才是用來加密和哪個用來解密?

RSA的公鑰和私鑰到底哪個才是用來加密和哪個用來解密?

我們來回顧一下RSA的加密演算法。我們從公鑰加密演算法和簽名演算法的定義出發,用比較規範的語言來描述這一演算法。

RSA公鑰加密體制包含如下3個演算法:KeyGen(金鑰生成演算法),Encrypt(加密演算法)以及Decrypt(解密演算法)。

  • (PK, SK)\leftarrow KeyGen(\lambda)。金鑰生成演算法以安全常數\lambda作為輸入,輸出一個公鑰PK,和一個私鑰SK。安全常數用於確定這個加密演算法的安全性有多高,一般以加密演算法使用的質數p的大小有關。\lambda越大,質數p一般越大,保證體制有更高的安全性。在RSA中,金鑰生成演算法如下:演算法首先隨機產生兩個不同大質數p和q,計算N=pq。隨後,演算法計算尤拉函式\varphi(N)=(p-1)(q-1)。接下來,演算法隨機選擇一個小於\varphi(N)的整數e,並計算e關於\varphi(N)
    的模反元素d。最後,公鑰為PK=(N, e),私鑰為SK=(N, d)。
  • CT \leftarrow Encrypt(PK,M)。加密演算法以公鑰PK和待加密的訊息M作為輸入,輸出密文CT。在RSA中,加密演算法如下:演算法直接輸出密文為CT=M^e \bmod N
  • M \leftarrow Decrypt(SK,CT)。解密演算法以私鑰SK和密文CT作為輸入,輸出訊息M。在RSA中,解密演算法如下:演算法直接輸出明文為M=CT^d \bmod N。由於e和d在\varphi(N)下互逆,因此我們有:CT^d=M^{ed}=M \bmod N

所以,從演算法描述中我們也可以看出:公鑰用於對資料進行加密,私鑰用於對資料進行解密。當然了,這個也可以很直觀的理解:公鑰就是公開的金鑰,其公開了大家才能用它來加密資料。私鑰是私有的金鑰,誰有這個金鑰才能夠解密密文。否則大家都能看到私鑰,就都能解密,那不就亂套了。


=================分割線=================

我們再來回顧一下RSA簽名體制。簽名體制同樣包含3個演算法:KeyGen(金鑰生成演算法),Sign(簽名演算法),Verify(驗證演算法)。

  • (PK,SK) \leftarrow KeyGen(\lambda)。金鑰生成演算法同樣以安全常數\lambda作為輸入,輸出一個公鑰PK和一個私鑰SK。在RSA簽名中,金鑰生成演算法與加密演算法完全相同。
  • \sigma \leftarrow Sign(SK,M)。簽名演算法以私鑰SK和待簽名的訊息M作為輸入,輸出簽名\sigma。在RSA簽名中,簽名演算法直接輸出簽名為\sigma = M^d \bmod N。注意,簽名演算法和RSA加密體制中的解密演算法非常像
  • b \leftarrow Verify(PK,\sigma,M)。驗證演算法以公鑰PK,簽名\sigma以及訊息M作為輸入,輸出一個位元值b。b=1意味著驗證通過。b=0意味著驗證不通過。在RSA簽名中,驗證演算法首先計算M'=\sigma^e \bmod N,隨後對比M'與M,如果相等,則輸出b=1,否則輸出b=0。注意:驗證演算法和RSA加密體制中的加密演算法非常像

所以,在簽名演算法中,私鑰用於對資料進行簽名,公鑰用於對簽名進行驗證。這也可以直觀地進行理解:對一個檔案簽名,當然要用私鑰,因為我們希望只有自己才能完成簽字。驗證過程當然希望所有人都能夠執行,大家看到簽名都能通過驗證證明確實是我自己籤的。


=================分割線=================

那麼,為什麼題主問這麼一個問題呢?我們可以看到,RSA的加密/驗證,解密/簽字過程太像了。同時,RSA體制本身就是對稱的:如果我們反過來把e看成私鑰,d看成公鑰,這個體制也能很好的執行。我想正是由於這個原因,題主在學習RSA體制的時候才會出現這種混亂。那麼解決方法是什麼呢?建議題主可以學習一下其他的公鑰加密體制以及簽名體制。其他的體制是沒有這種對稱性質的。舉例來說,公鑰加密體制的話可以看一看ElGamal加密,以及更安全的Cramer-Shoup加密。簽名體制的話可以進一步看看ElGamal簽名,甚至是BLS簽名,這些體制可能能夠幫助題主更好的弄清加密和簽名之間的區別和潛在的聯絡。

至於題主問的加密和簽名是怎麼結合的。這種體制叫做籤密方案(SignCrypt),RSA中,這種籤密方案看起來特別特別像,很容易引起混亂。在此我不太想詳細介紹RSA中的加密與簽字結合的方案。我想提醒題主的是,加密與簽字結合時,兩套公私鑰是不同的。