作者： 阮一峰

日期： 2013年6月27日

如果你問我，哪一種算法最重要？

我可能會回答"公鑰加密算法"。

因為它是計算機通信安全的基石，保證了加密數據不會被破解。你可以想象一下，信用卡交易被破解的后果。

進入正題之前，我先簡單介紹一下，什么是"公鑰加密算法"。

一、一點歷史

1976年以前，所有的加密方法都是同一種模式：

　　（1）甲方選擇某一種加密規則，對信息進行加密；

　　（2）乙方使用同一種規則，對信息進行解密。

由于加密和解密使用同樣規則（簡稱"密鑰"），這被稱為"對稱加密算法"（Symmetric-key algorithm）。

這種加密模式有一個最大弱點：甲方必須把加密規則告訴乙方，否則無法解密。保存和傳遞密鑰，就成了最頭疼的問題。

1976年，兩位美國計算機學家Whitfield Diffie 和 Martin Hellman，提出了一種嶄新構思，可以在不直接傳遞密鑰的情況下，完成解密。這被稱為"Diffie-Hellman密鑰交換算法"。這個算法啟發了其他科學家。人們認識到，加密和解密可以使用不同的規則，只要這兩種規則之間存在某種對應關系即可，這樣就避免了直接傳遞密鑰。

這種新的加密模式被稱為"非對稱加密算法"。

　　（1）乙方生成兩把密鑰（公鑰和私鑰）。公鑰是公開的，任何人都可以獲得，私鑰則是保密的。

　　（2）甲方獲取乙方的公鑰，然后用它對信息加密。

　　（3）乙方得到加密后的信息，用私鑰解密。

如果公鑰加密的信息只有私鑰解得開，那么只要私鑰不泄漏，通信就是安全的。

1977年，三位數學家Rivest、Shamir 和 Adleman 設計了一種算法，可以實現非對稱加密。這種算法用他們三個人的名字命名，叫做RSA算法。從那時直到現在，RSA算法一直是最廣為使用的"非對稱加密算法"。毫不夸張地說，只要有計算機網絡的地方，就有RSA算法。

這種算法非?？煽?#xff0c;密鑰越長，它就越難破解。根據已經披露的文獻，目前被破解的最長RSA密鑰是768個二進制位。也就是說，長度超過768位的密鑰，還無法破解（至少沒人公開宣布）。因此可以認為，1024位的RSA密鑰基本安全，2048位的密鑰極其安全。

下面，我就進入正題，解釋RSA算法的原理。文章共分成兩部分，今天是第一部分，介紹要用到的四個數學概念。你可以看到，RSA算法并不難，只需要一點數論知識就可以理解。

二、互質關系

如果兩個正整數，除了1以外，沒有其他公因子，我們就稱這兩個數是互質關系（coprime）。比如，15和32沒有公因子，所以它們是互質關系。這說明，不是質數也可以構成互質關系。

關于互質關系，不難得到以下結論：

　　1. 任意兩個質數構成互質關系，比如13和61。

　　2. 一個數是質數，另一個數只要不是前者的倍數，兩者就構成互質關系，比如3和10。

　　3. 如果兩個數之中，較大的那個數是質數，則兩者構成互質關系，比如97和57。

　　4. 1和任意一個自然數是都是互質關系，比如1和99。

　　5. p是大于1的整數，則p和p-1構成互質關系，比如57和56。

　　6. p是大于1的奇數，則p和p-2構成互質關系，比如17和15。

三、歐拉函數

請思考以下問題：

　　任意給定正整數n，請問在小于等于n的正整數之中，有多少個與n構成互質關系？（比如，在1到8之中，有多少個數與8構成互質關系？）

計算這個值的方法就叫做歐拉函數，以φ(n)表示。在1到8之中，與8形成互質關系的是1、3、5、7，所以 φ(n) = 4。

φ(n) 的計算方法并不復雜，但是為了得到最后那個公式，需要一步步討論。

第一種情況

如果n=1，則 φ(1) = 1 。因為1與任何數（包括自身）都構成互質關系。

第二種情況

如果n是質數，則 φ(n)=n-1 。因為質數與小于它的每一個數，都構成互質關系。比如5與1、2、3、4都構成互質關系。

第三種情況

如果n是質數的某一個次方，即 n = p^k (p為質數，k為大于等于1的整數)，則

比如 φ(8) = φ(2^3) =2^3 - 2^2 = 8 -4 = 4。

這是因為只有當一個數不包含質數p，才可能與n互質。而包含質數p的數一共有p^(k-1)個，即1×p、2×p、3×p、...、p^(k-1)×p，把它們去除，剩下的就是與n互質的數。

上面的式子還可以寫成下面的形式：

可以看出，上面的第二種情況是 k=1 時的特例。

第四種情況

如果n可以分解成兩個互質的整數之積，

　　n = p1 × p2

則

　　φ(n) = φ(p1p2) = φ(p1)φ(p2)

即積的歐拉函數等于各個因子的歐拉函數之積。比如，φ(56)=φ(8×7)=φ(8)×φ(7)=4×6=24。

這一條的證明要用到"中國剩余定理"，這里就不展開了，只簡單說一下思路：如果a與p1互質(a<p1)，b與p2互質(b<p2)，c與p1p2互質(c<p1p2)，則c與數對 (a,b) 是一一對應關系。由于a的值有φ(p1)種可能，b的值有φ(p2)種可能，則數對 (a,b) 有φ(p1)φ(p2)種可能，而c的值有φ(p1p2)種可能，所以φ(p1p2)就等于φ(p1)φ(p2)。

第五種情況

因為任意一個大于1的正整數，都可以寫成一系列質數的積。

根據第4條的結論，得到

再根據第3條的結論，得到

也就等于

這就是歐拉函數的通用計算公式。比如，1323的歐拉函數，計算過程如下：

四、歐拉定理

歐拉函數的用處，在于歐拉定理。"歐拉定理"指的是：

如果兩個正整數a和n互質，則n的歐拉函數 φ(n) 可以讓下面的等式成立：

也就是說，a的φ(n)次方被n除的余數為1?；蛘哒f，a的φ(n)次方減去1，可以被n整除。比如，3和7互質，而7的歐拉函數φ(7)等于6，所以3的6次方（729）減去1，可以被7整除（728/7=104）。

歐拉定理的證明比較復雜，這里就省略了。我們只要記住它的結論就行了。

歐拉定理可以大大簡化某些運算。比如，7和10互質，根據歐拉定理，

已知 φ(10) 等于4，所以馬上得到7的4倍數次方的個位數肯定是1。

因此，7的任意次方的個位數（例如7的222次方），心算就可以算出來。

歐拉定理有一個特殊情況。

假設正整數a與質數p互質，因為質數p的φ(p)等于p-1，則歐拉定理可以寫成

這就是著名的費馬小定理。它是歐拉定理的特例。

歐拉定理是RSA算法的核心。理解了這個定理，就可以理解RSA。

五、模反元素

還剩下最后一個概念：

如果兩個正整數a和n互質，那么一定可以找到整數b，使得 ab-1 被n整除，或者說ab被n除的余數是1。

這時，b就叫做a的"模反元素"。

比如，3和11互質，那么3的模反元素就是4，因為 (3 × 4)-1 可以被11整除。顯然，模反元素不止一個， 4加減11的整數倍都是3的模反元素 {...,-18,-7,4,15,26,...}，即如果b是a的模反元素，則 b+kn 都是a的模反元素。

歐拉定理可以用來證明模反元素必然存在。

可以看到，a的 φ(n)-1 次方，就是a的模反元素。

==========================================

好了，需要用到的數學工具，全部介紹完了。RSA算法涉及的數學知識，就是上面這些，下一次我就來介紹公鑰和私鑰到底是怎么生成的。

（完）

留言（61條）

bigeagle 說：

建議公式用透明背景看著舒服些，mathjax更好～

// mod 作為運算符不該用斜體呀，強迫癥犯了

2013年6月27日 22:35 | # | 引用

roywoo 說：

歐拉這位數學家真的很厲害

2013年6月27日 23:31 | # | 引用

Du 說：

峰哥的技術文章寫的總是這么深入淺出，大贊

2013年6月28日 03:48 | # | 引用

小白 說：

記得看到說1024位也不安全了，估計已經或者接近被破解了。
而且政府和法院可以命令企業提供私鑰的吧。

2013年6月28日 11:05 | # | 引用

danny 說：

快點出二！我正期待這類文章呢！

2013年6月28日 15:15 | # | 引用

Frank 說：

建議使用 MathJax，瀏覽器中顯示數學公式會好看得多。樣例： http://www.mathjax.org/demos/mathml-samples/。

2013年6月28日 21:53 | # | 引用

chaoc 說：

期待下一篇。樓主很專業。希望馬上看到樓主的下一篇。

2013年6月29日 11:55 | # | 引用

米格 說：

很喜歡、很佩服你講解技術的方式，深入淺出，娓娓道來。也很喜歡你的博客網站的風格，樸素但是有內容，非常實在。

順便請教一下，你的博客是采用哪個平臺呢？還是自己開發的？就像你的關于github和Jekll搭建博客的文章，你的博客也是按照這個方式組織的嗎？

謝謝！

2013年6月30日 00:01 | # | 引用

稀飯 說：

＂這是因為只有當一個數不包含質數p，才可能與n互質。而包含質數p的數一共有p^(k-1)個，即1×p、2×p、3×p、...、p^(k-1)×p，把它們去除，剩下的就是與n互質的數。＂
雖然很容易推導，但是這句話這樣說應該是有邏輯問題。前面是＂可能＂，后面是＂就是＂。

2013年7月 1日 00:45 | # | 引用

Jak Wings 說：

歐拉定理找本高等數學的書就能知道了，的確有點復雜，感覺不必在這里詳細介紹，囧。

我以前也寫過一篇簡單的筆記：http://jakwings.is-programmer.com/posts/29107.html
公鑰和私鑰的來源簡單來說就是下面這樣吧，當然具體是怎么把它們復雜化我就不清楚了，希望下次你能詳細講到。:)
公鑰：w, n
私鑰：p, q, Φ(n), d

2013年7月 1日 12:08 | # | 引用

malasang 說：

深入淺出，我當時做網絡安全的時候還專門研究了這個東西呢，現在忘了很多，不過看起來依然很親切。

2013年7月 2日 13:15 | # | 引用

銀色Blues 說：

早上查看微信,看到推薦的這篇文章.下午查詢https相關知識,又來到博主這里,實在是太巧了.
謝謝樓主的分享,非常詳細,很是受用.

2013年7月 5日 17:32 | # | 引用

Viko 說：

有點疑問

第五種情況中 “再根據第3條的結論，得到”使用第3條的條件應為“P(k1,1)為質數的某一個次方，且次冪大于1”，即P(k1,1)不是質數

但第五條的題設是“因為任意一個大于1的正整數，都可以寫成一系列質數的積。”

則P(k1,1)為質數，與第三條的條件不符，不能用第三條吧？

2013年7月 5日 22:03 | # | 引用

Viko 說：

再看了一下感覺歐拉函數中第三條“k為大于1的整數”可以改為“k為大于或等于1的整數”

2013年7月 5日 22:19 | # | 引用

阮一峰 說：

To Viko:

謝謝指出，已經改過來了。

2013年7月 6日 06:44 | # | 引用

hilojack 說：

您好博主，對于第四種情況，我也有點疑問：

"由于a的值有φ(p1)種可能，b的值有φ(p2)種可能，則數對 (a,b) 有φ(p1)φ(p2)種可能，而c的值有φ(p1p2)種可能，所以φ(p1p2)就等于φ(p1)φ(p2)。"

這里我不太理解的是，9與8是互質的：
φ(8)有4種a可能：1 3 5 7
φ(9)有6種b可能:1 2 4 5 7 8
φ(8*9) = φ(72)真的有24(4*6)種c(對應[a,b])可能嗎？
如果取a=3 b=2 而c=a*b=3*2=6 并非是8×9=72的互質數呀

2013年7月 9日 21:21 | # | 引用

holys 說：

引用米格的發言：

很喜歡、很佩服你講解技術的方式，深入淺出，娓娓道來。也很喜歡你的博客網站的風格，樸素但是有內容，非常實在。

順便請教一下，你的博客是采用哪個平臺呢？還是自己開發的？就像你的關于github和Jekll搭建博客的文章，你的博客也是按照這個方式組織的嗎？

謝謝！

風格是stylesheet決定的, 內容是作者的, 與平臺何關呢?

2013年7月10日 15:40 | # | 引用

阮一峰 說：

To hilojack:

c 是（a，b）的函數，但不一定等于 a*b ，比如c可以等于2a+b。

2013年7月10日 18:46 | # | 引用

shyixiu 說：

我想請問，因為e和d都非常大，那對于加解密的冪運算取模是不是速度都很慢呢？

2013年7月11日 11:14 | # | 引用

軟件局局長 說：

沒完全看懂，看來我得再加強理論學習。

2013年7月17日 09:32 | # | 引用

xfq 說：

有點疑問

第三種情況中說“只有當一個數不包含質數p，才可能與n互質”，這個好理解，但是為什么把它們去除后，剩下的就是與n互質的數呢？

2013年7月22日 21:58 | # | 引用

huaxingmaster 說：

引用xfq的發言：

有點疑問

第三種情況中說“只有當一個數不包含質數p，才可能與n互質”，這個好理解，但是為什么把它們去除后，剩下的就是與n互質的數呢？

這個情況是針對n=p^k形式，n只包含質因子p，如果一個數不包含質因子p，那顯然不會和n有共同的質因子，當然互質了

2013年8月16日 13:37 | # | 引用

趙三 說：

“因此，7的任意次方的個位數（例如7的222次方），心算就可以算出來”
7的222次方=7的2次方*7的（4*55）次方，下面該怎么算呢？謝謝~

2014年1月 2日 13:55 | # | 引用

any 說：

引用趙三的發言：

“因此，7的任意次方的個位數（例如7的222次方），心算就可以算出來”
7的222次方=7的2次方*7的（4*55）次方，下面該怎么算呢？謝謝~

7的2次方個位數9, 7的（4*55）次方 個位數1（1^55） 9×1=9

2014年1月 2日 16:09 | # | 引用

gk 說：

我高等數學中沒有這個歐拉定理啊，歐拉定理有很多?？戳诉@篇文章我才知道費馬小定理原來是歐拉定理中的特殊情況，真高端！

2014年2月18日 21:08 | # | 引用

zhangyuqin 說：

圖片大多數掛掉了！

2014年3月 3日 11:15 | # | 引用

劉婷 說：

我是今年的應屆畢業生，畢業論文就是關于RSA算法的，在網頁上看到阮先生的這篇文章，受益匪淺。因為本身對于數學并不擅長，希望可以借鑒一下阮先生的這篇文章。希望能夠得到您的許可。

2014年3月 5日 10:43 | # | 引用

Seraph256 說：

謝謝一峰！想了解 RSA 很長時間了，一直不得要領，今天看到了這篇文章和后續的（二），馬上看完記筆記，醍醐灌頂，受益匪淺！

謝謝一峰！

2014年3月18日 17:02 | # | 引用

Dude 說：

引用小白的發言：

記得看到說1024位也不安全了，估計已經或者接近被破解了。
而且政府和法院可以命令企業提供私鑰的吧。

現在都有人急著用2048了。當然量子計算機一出現RSA就是浮云了。

2014年5月13日 14:38 | # | 引用

Z10 說：

已經看暈了.

2014年7月 3日 10:44 | # | 引用

Z00 說：

公式圖片好像都不顯示了...

2014年10月15日 10:55 | # | 引用

C860 說：

你好，這篇文章的圖片貌似都掛掉了，影響了閱讀質量哦。

2014年10月17日 10:11 | # | 引用

Asn 說：

引用Viko的發言：

第五種情況中 “再根據第3條的結論，得到”使用第3條的條件應為“P(k1,1)為質數的某一個次方，且次冪大于1”，即P(k1,1)不是質數

但第五條的題設是“因為任意一個大于1的正整數，都可以寫成一系列質數的積?！?/p>

則P(k1,1)為質數，與第三條的條件不符，不能用第三條吧？

那如果該數不是某個質數的次方呢，即不符合第三種情況的條件呢？根據3和5推出的式子還成立么(。?д?。)。

PS：感謝博主的耐心解釋~(???)~

2014年10月18日 18:09 | # | 引用

王發康 說：

公式不顯示啦~~~~

2014年11月24日 14:03 | # | 引用

Rigg在路上 說：

圖掛啦~~

2014年11月26日 22:31 | # | 引用

Rigg在路上 說：

我有直覺，只要翻墻那些圖就會出來

2014年11月27日 13:30 | # | 引用

Rigg在路上 說：

剛試了一下，翻墻后確實出來了

昨天晚上看到最后，最關鍵的地方，結果圖全部都是X

現在才看到，有種非常不爽的感覺。

2014年11月27日 13:40 | # | 引用

亮黑色書脊 說：

引用Dude的發言：

現在都有人急著用2048了。當然量子計算機一出現RSA就是浮云了。

用8192bit是不是喪心病狂的表現

2014年12月12日 06:09 | # | 引用

WT 說：

阮哥，為什么圖片沒有了

2015年1月24日 13:19 | # | 引用

clpszpp 說：

引用WT的發言：

阮哥，為什么圖片沒有了

圖片在這個網站上，http://chart.googleapis.com/chart，看到URL中的google你就知道為什么了

2015年2月 3日 18:07 | # | 引用

jeffyang 說：

>> 任意給定正整數n，請問在小于等于n的正整數之中，有多少個與n構成互質關系？（比如，在1到8之中，有多少個數與8構成互質關系？）
計算這個值的方法就叫做歐拉函數

--
>> 如果n是質數，則 φ(n)=n-1 。因為質數與小于它的每一個數，都構成互質關系。

這兩處定義出入

2015年2月13日 22:05 | # | 引用

謝飛 說：

太棒了！很有心得！感謝分享！

2015年3月16日 06:01 | # | 引用

出體 說：

看了感覺可以 不錯的文章

2015年3月18日 13:52 | # | 引用

eomer 說：

引用clpszpp的發言：

圖片在這個網站上，http://chart.googleapis.com/chart，看到URL中的google你就知道為什么了

天朝上國！悲哀

2015年4月 1日 11:06 | # | 引用

adele 說：

歐拉定理的公式看不到了！_(:з」∠)_

2015年4月 2日 22:57 | # | 引用

小白 說：

看著看著就暈了的飄過

2015年4月 8日 15:25 | # | 引用

waldenpond 說：

發明非對稱加密的科學家 好像甘道夫

2015年4月26日 09:11 | # | 引用

gxin 說：

果然需要翻墻才能看圖片。好文章贊一個。

2015年5月25日 16:23 | # | 引用

冒菜 說：

下次再來繼續看。。。

2015年6月 6日 10:04 | # | 引用

lenina 說：

今天在看到，原來早在1973年和RSA等效的算法已經被一個英國情報部門工作的數學家Clifford Cocks弄出來了，只是由于工作性質，知道1997年他的這部分工作才解密，4年后RSA三人才獨立重新發明這個算法，還是Whitfield Diffie 和 Martin Hellman兩個人的前期工作下（而這兩人的“前期”工作也后于Clifford Cocks），這樣Cocks的工作雖然沒有直接帶來革命，但作為一個數學家的成就，還有這個故事本身的趣味性，感覺都值得一提，如果阮先生以后要更新這篇文章或者RSA相關內容的不妨看看

2015年8月 3日 16:37 | # | 引用

錢俊 說：

看來你的文章，對RSA算法講解很到位，準備在公司培訓采用你的資料，謝謝你。

2015年8月22日 22:42 | # | 引用

N 說：

_(:зゝ∠)_ 看《離散數學》看到這里，不太明白，謝謝博主的文章

2015年9月29日 21:21 | # | 引用

Jasper 說：

條理很清晰，十分感謝！！

2015年10月 4日 16:09 | # | 引用

wuxinliulei 說：

圖掛了

2016年1月21日 18:47 | # | 引用

gxy 說：

阮哥，既然這個私鑰那么重要，那么在開發中怎樣保護私鑰呢？

2016年3月18日 14:35 | # | 引用

apple 說：

要翻墻可以把圖片顯示出來。。翻墻怎么辦？自己想辦法

2016年3月30日 09:37 | # | 引用

Hanse 說：

講得真好，本來以為加密都是高大上的東西，原來核心原理并不復雜，再次感慨數學的神奇！

2016年4月22日 12:29 | # | 引用

沖浪板 說：

有人說量子計算機出現將使得它失效,可是他沒想到,量子計算機同樣可以出題目,它算出來的題目,它自己解起來要多久....

2016年5月 2日 17:40 | # | 引用

ddc 說：

有一個相關的問題，publickey 和 publickey token 是否有對應關系，或者通過某個工具可否查看兩者是否匹配？

2016年5月15日 22:25 | # | 引用

jack 說：

第二種情況：
“而包含質數p的數一共有p^(k-1)個，即1×p、2×p、3×p、...、p^(k-1)×p，把它們去除，剩下的就是與n互質的數”
這里有錯誤，有p^(k-1)個質數是對的，但是1×p、2×p、...應該是p、p^2...

2016年5月30日 17:42 | # | 引用

acerpeanut 說：

包含質數p的數，也就是說p是這個數的因數。毫無疑問，p都是1*p, 2*p, 3*p的因數。所以原文并沒有錯。

2016年6月15日 10:13 | # | 引用

總結

以上是生活随笔為你收集整理的RSA算法原理1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。