从对称加密算法到非对称加密算法

对称加密算法：信息的收发方会通过事先商定好的密钥对数据加密和解密。这种加密算法会导致

• 每两个人相互交流就需要一个密钥，随着用户增多，密钥管理愈加困难。
• 网络传输密钥也需要加密，而没有密钥则无法解密，所以密钥必须通过见面协商。

非对称加密算法：用不同的密钥对数据进行加密和解密，加密的密钥（公钥）是公开的，而解密的密钥（私钥）仅接收者持有。

模运算 Modular Arithmetic

由于模运算（取余运算）正向计算非常容易，且不可逆的特性，我们可以保证用公钥加密之后的明文不会被轻易破解。

考虑算式$3^3\%7$，可以很容易得出答案为6。而已知$3^x\%7=6$时，反向推算$x$就只能逐一代入验证了。鉴于此例数量级较小，还是很容易就可以推算出答案。

而如果改为$3^x\%984426289703667782113631386235633223212587=6$，再一一尝试就不太现实了。因为有对大数来说求模运算非常困难的特性，模运算也被冠以“单向函数”（One-way Function）之名。

RSA公钥加密算法

假设要加密的信息为m (message)，对其求 e 次幂，此处 e (encrypt)代表加密用的公钥。随后对N取模，得到密文c (cipher)：
$$m^e\mathrm{m}\mathrm{o}\mathrm{d}N=c$$
显然，由m得到c的正向计算很简单，但由c推算m是非常困难的。
解密的过程与加密类似：
$$c^d\mathrm{m}\mathrm{o}\mathrm{d}N=m$$
其中d (decrypt)代表解密用的私钥。

将两个式子合并，得
$$m^{ed}\mathrm{m}\mathrm{o}\mathrm{d}N=m$$

到此为止，问题变为如何选取合适的 e 和 d 。

欧拉定理(Euler’s theorem)：
m，n互质时，取m的$?(n)$次方，并对n取余数，结果恒等于1，即：
$$m^{?(n)}\equiv 1(modn)$$
其中，$?(n)$为欧拉函数，它代表小于等于n的数中，有几个数与n互质，例如 $?(6)=2$。

对$m^{?(N)}\mathrm{m}\mathrm{o}\mathrm{d}n=1$等式两端同取k次幂，并乘以m，可以写成
$$m^{k?(N)+1}\mathrm{m}\mathrm{o}\mathrm{d}N=m$$

经过变换，这个式子形式上与上面的 $m^{ed}\mathrm{m}\mathrm{o}\mathrm{d}N=m$ 相同，可以得到
$$ed=k?(N)+1$$

将e移到式子右边，得：
$$d=\frac{k?(N)+1}{e}$$

所以我们可以通过选取此处k、N、e的值来确定私钥d。

问题在于$?(n)$的计算是十分困难的。它只能够根据定义计算，即对n做质因数分解。而对上百位的大数做质因数分解几乎可以看做计算上不可行的(computational infeasible)。但如果n本身就是一个质数，我们可以很容易得到$?(n)=n?1$。即n只与自己存在非1公因数。

且$?(n)$还有一个重要的性质：积性函数。即对任意互质的数p, q，总有$?(p?q)=?(p)??(q)$。例如选取$p=17q=23$，就有$?(17?23)=?(17)??(23)=16?22$，也即$?(391)=352$。

例如我们选取$k=5N=391e=3$（e应选与$?(N)$互质的数，而k的选取较为随意，保证d为整数即可），代入上式，得$d=\frac{5?352+2}{3}=587$
计算出d后，我们就不再需要p和q，将e和N作为加密的公钥(public key)公布，而d作为解密的私钥(private key)。

其他人因为不知道p，q两个互质数，无法计算出$?(N)$，也就无法破解私钥d

举例

利用上面得到的参数，加密字符’a’(ascii编码97)
加密：$97^3\mathrm{m}\mathrm{o}\mathrm{d}391=79$
解密：$79^{587}\mathrm{m}\mathrm{o}\mathrm{d}391=97$
成功解密字符a

参考 reference

https://www.bilibili.com/video/BV14y4y1272w