RSA加密演算法

假設Alice想要通過不可靠的媒體接收Bob的私人訊息。她可以用以下的方式來產生一個公鑰和一個私鑰：

1. 隨意選擇兩個大的質數${\displaystyle p}$ 和${\displaystyle q}$ ，${\displaystyle p}$ 不等於${\displaystyle q}$ ，計算${\displaystyle N=pq}$ 。
2. 根據歐拉函數，求得${\displaystyle r=\varphi (N)=\varphi (p)\times \varphi (q)=(p-1)(q-1)}$ 
3. 選擇一個小於${\displaystyle r}$ 的整數${\displaystyle e}$ ，使${\displaystyle e}$ 與${\displaystyle r}$ 互質。並求得${\displaystyle e}$ 關於${\displaystyle r}$ 的模反元素，命名為${\displaystyle d}$ （求${\displaystyle d}$ 令${\displaystyle ed\equiv 1{\pmod {r}}}$ ）。（模反元素存在，當且僅當${\displaystyle e}$ 與${\displaystyle r}$ 互質）
4. 將${\displaystyle p}$ 和${\displaystyle q}$ 的記錄銷毀。

${\displaystyle (N,e)}$ 是公鑰，${\displaystyle (N,d)}$ 是私鑰。Alice將她的公鑰${\displaystyle (N,e)}$ 傳給Bob，而將她的私鑰${\displaystyle (N,d)}$ 藏起來。

假設Bob想給Alice送訊息${\displaystyle m}$ ，他知道Alice產生的${\displaystyle N}$ 和${\displaystyle e}$ 。他使用起先與Alice約好的格式將${\displaystyle m}$ 轉換為一個小於${\displaystyle N}$ 的非負整數${\displaystyle n}$ ，比如他可以將每一個字轉換為這個字的Unicode碼，然後將這些數字連在一起組成一個數字。假如他的資訊非常長的話，他可以將這個資訊分為幾段，然後將每一段轉換為${\displaystyle n}$ 。用下面這個公式他可以將${\displaystyle n}$ 加密為${\displaystyle c}$ ：

${\displaystyle c=n^{e}{\bmod {N}}}$ 

這裏的 ${\displaystyle c}$  可以用模冪演算法快速求出來。Bob算出${\displaystyle c}$ 後就可以將它遞移給Alice。

Alice得到Bob的訊息${\displaystyle c}$ 後就可以利用她的金鑰${\displaystyle d}$ 來解碼。她可以用以下這個公式來將${\displaystyle c}$ 轉換為${\displaystyle n}$ ：

${\displaystyle n=c^{d}{\bmod {N}}}$ 

與 Bob 計算 ${\displaystyle c}$  類似，這裏的 ${\displaystyle n}$  也可以用模冪演算法快速求出。得到${\displaystyle n}$ 後，她可以將原來的資訊${\displaystyle m}$ 重新復原。

解碼的原理是

${\displaystyle c^{d}\equiv n^{e\cdot d}\ (\mathrm {mod} \ N)}$ 

已知${\displaystyle ed\equiv 1{\pmod {r}}}$ ，即 ${\displaystyle ed=1+h\varphi (N)}$ 。那麼有

${\displaystyle n^{ed}=n^{1+h\varphi (N)}=n\cdot n^{h\varphi (N)}=n\left(n^{\varphi (N)}\right)^{h}}$ 

若${\displaystyle n}$ 與${\displaystyle N}$ 互質，則由歐拉定理得：

${\displaystyle n^{ed}\equiv n\left(n^{\varphi (N)}\right)^{h}\equiv n(1)^{h}\equiv n{\pmod {N}}}$ 

若${\displaystyle n}$ 與${\displaystyle N}$ 不互質，則不失一般性考慮${\displaystyle n=ph}$ ，以及${\displaystyle ed-1=k(q-1)}$ ，得：

${\displaystyle n^{ed}=(ph)^{ed}\equiv 0\equiv ph\equiv n{\pmod {p}}}$ 

${\displaystyle n^{ed}=n^{ed-1}n=n^{k(q-1)}n=(n^{q-1})^{k}n\equiv 1^{k}n\equiv n{\pmod {q}}}$ 

故 ${\displaystyle n^{ed}\equiv n{\pmod {N}}}$  得證。

RSA也可以用來為一個訊息署名。假如Alice想給Bob遞移一個署名的訊息的話，那麼她可以為她的訊息計算一個雜湊值（Message digest），然後用她的私鑰「加密」（如同前面「加密訊息」的步驟）這個雜湊值並將這個「署名」加在訊息的後面。這個訊息只有用她的公鑰才能被解密。Bob獲得這個訊息後可以用Alice的公鑰「解密」（如同前面「解密訊息」的步驟）這個雜湊值，然後將這個數據與他自己為這個訊息計算的雜湊值相比較。假如兩者相符的話，那麼Bob就可以知道發信人持有Alice的私鑰，以及這個訊息在傳播路徑上沒有被篡改過。

首選取兩個互質數${\displaystyle p}$ 和${\displaystyle q}$ , 乘法計算${\displaystyle p*q}$ 得到${\displaystyle N}$ 。

然後計算出歐拉${\displaystyle \Phi (N)}$ ： ${\displaystyle \Phi }$ 函數${\displaystyle \Phi (N)}$ 是小於或等於${\displaystyle N}$ 的正整數中與${\displaystyle N}$ 互質的數的數目。 根據歐拉公式，由於${\displaystyle p}$ 和${\displaystyle q}$ 都是質數，故

${\displaystyle \Phi (N)=(p-1)(q-1)}$ 

這時候我們隨機選擇一個整數${\displaystyle e}$ ，條件是${\displaystyle 1<e<\Phi (N)}$ ，且${\displaystyle e}$ 與${\displaystyle \Phi (N)}$  互質。 接着我們計算${\displaystyle e}$ 對${\displaystyle \Phi (N)}$ 的模反元素得到${\displaystyle d}$ ：

${\displaystyle e*d\equiv 1(mod\Phi (N))}$ 

這個公式簡單的說就是 ${\displaystyle e*d}$ 除以${\displaystyle \Phi (N)}$ 得到的餘數為1，這個公式可以轉換成

${\displaystyle ed\ \%\ ((p-1)(q-1))=1}$ 

即

${\displaystyle ed=k(p-1)(q-1)+1}$ 

於是，RSA公鑰為${\displaystyle (N,e)}$ ,私鑰為${\displaystyle (N,d)}$ 。

加密原文${\displaystyle m}$ 得到密文

${\displaystyle x=m^{e}\%N}$ 

解密公式為

${\displaystyle m=x^{d}\%N}$ 

證明解密邏輯：

在 ${\displaystyle m<N}$  的狀況下證明${\displaystyle m=x^{d}\%N}$ ，就是證明${\displaystyle x^{d}\%N-m=0}$ 

${\displaystyle x^{d}\%N-m}$ 

${\displaystyle =(m^{e}\%N)^{d}\%N-m}$ 

${\displaystyle =m^{ed}\%N-m\quad \because a^{b}\%p=((a\%p)^{b})\%p}$ 

${\displaystyle =m^{k(p-1)(q-1)+1}\%N-m}$ 

${\displaystyle =m*(m^{k(p-1)(q-1)}-1)\%N}$ 

當m與N互質時，根據費馬小定理公式

${\displaystyle a^{p-1}\equiv 1(mod\ p)}$ 

${\displaystyle \Rightarrow (m^{k(q-1)})^{p-1}\equiv 1(mod\ p)}$ 

${\displaystyle \Rightarrow (m^{k(p-1)})^{q-1}\equiv 1(mod\ q)}$ 

${\displaystyle \Rightarrow m^{k(p-1)(q-1)}\equiv 1(mod\ pq)}$ 

${\displaystyle \Rightarrow m^{k(p-1)(q-1)}\equiv 1(mod\ N)}$ 

${\displaystyle \Rightarrow m*(m^{k(p-1)(q-1)}-1)\%N=0}$ 

當m與N不互質時，不妨設公因子為p，即${\displaystyle m=ph_{1}(h_{1}<q)}$ 

假設q整除m。因此${\displaystyle q\mid ph_{1}}$ ，因為q與p互質，根據歐幾里德引理，${\displaystyle q\mid h_{1}}$ 。所以${\displaystyle q\leq h_{1}}$ ，而這與${\displaystyle h_{1}<q}$ 矛盾，所以q不整除m。

此時m與q互質，根據費馬小定理公式

${\displaystyle a^{p-1}\equiv 1(mod\ p)}$ 

${\displaystyle \Rightarrow m^{q-1}\equiv 1(mod\ q)}$ 

${\displaystyle \Rightarrow m^{k(p-1)(q-1)}\equiv 1(mod\ q)}$ 

${\displaystyle \Rightarrow m^{k(p-1)(q-1)}-1=qh_{2}}$ 

${\displaystyle \Rightarrow m*(m^{k(p-1)(q-1)}-1)\%N=ph_{1}*qh_{2}\%N=Nh_{1}h_{2}\%N=0}$ ,證明完成。

假設偷聽者Eve獲得了Alice的公鑰${\displaystyle N}$ 和${\displaystyle e}$ 以及Bob的加密訊息${\displaystyle c}$ ，但她無法直接獲得Alice的金鑰${\displaystyle d}$ 。要獲得${\displaystyle d}$ ，最簡單的方法是將${\displaystyle N}$ 分解為${\displaystyle p}$ 和${\displaystyle q}$ ，這樣她可以得到同餘方程${\displaystyle de\equiv 1(\mathrm {mod} (p-1)(q-1))}$ 並解出${\displaystyle d}$ ，然後代入解密公式

${\displaystyle c^{d}\equiv n\ (\mathrm {mod} \ N)}$ 

匯出n（破密）。但至今為止還沒有人找到一個多項式時間的演算法來分解一個大的整數的因子，同時也還沒有人能夠證明這種演算法不存在（見因數分解）。

至今為止也沒有人能夠證明對${\displaystyle N}$ 進行因數分解是唯一的從${\displaystyle c}$ 匯出${\displaystyle n}$ 的方法，直到今天也還沒有找到比它更簡單的方法。（至少沒有公開的方法。）

因此今天一般認為只要${\displaystyle N}$ 足夠大，那麼黑客就沒有辦法了。

假如${\displaystyle N}$ 的長度小於或等於256位，那麼用一台個人電腦在幾個小時內就可以分解它的因子了。1999年，數百台電腦合作分解了一個512位元長的${\displaystyle N}$ 。一個由Shamir 和Tromer在2003年從理論上構建的硬件TWIRL^[6]，使人們開始質疑1024位元長的N的安全性，目前推薦${\displaystyle N}$ 的長度至少為2048位元。^[7]

1994年，彼得·秀爾證明一台量子電腦可以在多項式時間內進行因數分解。假如量子電腦有朝一日可以成為一種可行的技術的話，那麼秀爾的演算法可以淘汰RSA和相關的衍生演算法。（即依賴於分解大整數困難性的加密演算法）

假如有人能夠找到一種有效的分解大整數的演算法的話，或者假如量子電腦可行的話，那麼在解密和製造更長的鑰匙之間就會展開一場競爭。但從原理上來說RSA在這種情況下是不可靠的。

首先要使用概率演算法來驗證隨機產生的大的整數是否質數，這樣的演算法比較快而且可以消除掉大多數非質數。假如有一個數通過了這個測試的話，那麼要使用一個精確的測試來保證它的確是一個質數。

除此之外這樣找到的${\displaystyle p}$ 和${\displaystyle q}$ 還要滿足一定的要求，首先它們不能太靠近，此外${\displaystyle p-1}$ 或${\displaystyle q-1}$ 的因子不能太小，否則的話${\displaystyle N}$ 也可以被很快地分解。

此外尋找質數的演算法不能給攻擊者任何資訊，這些質數是怎樣找到的，尤其產生亂數的軟件必須非常好。要求是隨機和不可預測。這兩個要求並不相同。一個隨機過程可能可以產生一個不相關的數的系列，但假如有人能夠預測出（或部分地預測出）這個系列的話，那麼它就已經不可靠了。比如有一些非常好的亂數演算法，但它們都已經被發表，因此它們不能被使用，因為假如一個攻擊者可以猜出${\displaystyle p}$ 和${\displaystyle q}$ 一半的位的話，那麼他們就已經可以輕而易舉地推算出另一半。

此外金鑰${\displaystyle d}$ 必須足夠大，1990年有人證明假如${\displaystyle p}$ 大於${\displaystyle q}$ 而小於${\displaystyle 2q}$ （這是一個很常見的情況）而${\displaystyle d<{\frac {1}{3}}\times N^{\frac {1}{4}}}$ ，那麼從${\displaystyle N}$ 和${\displaystyle e}$ 可以很有效地推算出${\displaystyle d}$ 。此外${\displaystyle e=2}$ 永遠不應該被使用。

比起AES、3DES和其它對稱演算法來說，RSA要慢得多。實際的運用（如TLS）一般結合了對稱加密（如AES）和非對稱加密（如RSA）兩者。

和其它加密過程一樣，對RSA來說分配公鑰的過程是非常重要的。分配公鑰的過程必須能夠抵擋中間人攻擊。假設Eve交給Bob一個公鑰，並使Bob相信這是Alice的公鑰，並且她可以截下Alice和Bob之間的資訊遞移，那麼她可以將她自己的公鑰傳給Bob，Bob以為這是Alice的公鑰。Eve可以將所有Bob遞移給Alice的訊息截下來，將這個訊息用她自己的金鑰解密，讀這個訊息，然後將這個訊息再用Alice的公鑰加密後傳給Alice。理論上Alice和Bob都不會發現Eve在偷聽他們的訊息。今天人們一般用可靠的第三方機構簽發證書來防止這樣的攻擊。

NIST建議的RSA金鑰長度為至少2048位元^[8]。實作上，強制設置金鑰長度為2048位元的稱RSA或RSA2(意即RSA version 2)，而未強制設置的稱RSA1以資區別，兩者差異主要在金鑰長度。

最常見的針對RSA的攻擊是基於大數因數分解。1999年，RSA-155（512 bits）被成功分解，花費五個月時間（約8000 MIPS年）、224 CPU小時，在一台有3.2G中央主記憶體^{[需要解釋]}的Cray C916電腦上完成。^[9]

RSA-155表示如下：

39505874583265144526419767800614481996020776460304936454139376051579355626529450683609
727842468219535093544305870490251995655335710209799226484977949442955603

= 3388495837466721394368393204672181522815830368604993048084925840555281177×
  11658823406671259903148376558383270818131012258146392600439520994131344334162924536139

2009年12月12日，編號為RSA-768（768 bits, 232 digits）數也被成功分解^[10]。這一事件威脅了現通行的1024-bit金鑰的安全性，普遍認為用戶應儘快升級到2048-bit或以上。

RSA-768表示如下：

123018668453011775513049495838496272077285356959533479219732245215172640050726
365751874520219978646938995647494277406384592519255732630345373154826850791702
6122142913461670429214311602221240479274737794080665351419597459856902143413

= 3347807169895689878604416984821269081770479498371376856891
  2431388982883793878002287614711652531743087737814467999489×
  3674604366679959042824463379962795263227915816434308764267
  6032283815739666511279233373417143396810270092798736308917

1995年，丹·博內（英語：Dan Boneh）和大衛·布魯姆利（英語：David Brumley）提出了一種出人意料的攻擊方式：假如Eve（竊密者）對Alice的硬件有充分的了解，而且知道它對一些特定的訊息加密時所需要的時間的話，那麼她可以很快地推導出d。這種攻擊方式之所以會成立，主要是因為在進行加密時所進行的模指數運算是一個位元一個位元進行的，而位元為1所花的運算比位元為0的運算要多很多，因此若能得到多組訊息與其加密時間，就會有機會可以反推出私鑰的內容。^[11]

• 公開金鑰加密
• 橢圓曲線密碼學
• 量子電腦
• 秀爾演算法
• 米勒-拉賓質數判定法
• 迪菲-赫爾曼金鑰交換
• 模冪
• 快速冪
• 擴充歐幾里得演算法

• RSA, The Security Division of EMC（頁面存檔備份，存於互聯網檔案館）
• RSA演算法詳解（頁面存檔備份，存於互聯網檔案館）