本文结构：

• 一些基本的数学知识
• RSA的具体过程
• 为什么RSA的私钥解密一定能得到明文
• RSA算法可靠吗
• RSA算法的一些其他特征

假设alice想要通过rsa算法在公网上，将消息加密传递给bob，他们应该怎么做呢？
分为以下几个步骤：
1.bob生成一堆共私钥，将公钥在网上公开，私钥自己保存
2.alice通过bob的公钥加密明文消息m，得到密文c，并将密文c传递给bob
3.bob用自己的私钥解密密文c，得到明文m

一些基本的数学知识

• 质数（素数）p：只有1和他本身能被自己整除。
• 互质：如果两个正整数，除了1以外，没有其他公因子，我们就称这两个数是互质关系
  比如，15和32没有公因子，所以它们是互质关系。这说明，不是质数也可以构成互质关系。
• 欧拉函数φ(n)：小于n的正整数中，与n互质的整数的个数。例如φ(8)=4（因为小于8的正整数中只有1,3,5,7与8互质）
• 若n为质数，则φ(n)=n-1
• n如果可以分为两个质数（p,q）的乘积，则φ(n)=φ(p*q)=φ(p)φ(q)=(p-1)(q-1)
• 欧拉定理：如果两个正整数a和n互质，则：

a^φ(n)≡1 mod n。

特别的，当n为质数时： a^(n-1)≡1 mod n

• 模反元素: 如果两个正整数a和n互质，那么一定可以找到整数b，满足：

a×b≡1 mod n

（ab-1 被n整除，或者说ab被n除的余数是1）
这时，b就叫做a的“模反元素”。

RSA的具体过程：

秘钥的产生

• bob选择两个保密的大质数p和q（这里假设是p=61,q=53）
• 计算n=p×q=61×53=3233，φ(n)=φ(p*q)=φ(p)φ(q)=(p-1)(q-1)=60×52=3120
  这里 n的长度就是秘钥的长度 。3233写成二进制是110010100001，一共有12位，所以这个密钥就是12位。
• 选一个整数e，满足1< e < φ(n)，且e与φ(n) 互质。
  bob就在1到3120之间，随机选择了17。（实际应用中，常常选择65537。）
• 求解e关于φ(n)的模反元素d（由于e与φ(n)互质，所以d一定存在）

ed ≡ 1 (mod φ(n)) 等价于 ed – 1 = kφ(n)，这里就是17d-1 =3120k
很容易求得(d,k)=(2753,-15)，即 d=2753。

• n和e封装成公钥，n和d封装成私钥
  这个例子中 n=3233，e=17，d=2753，所以公钥就是 (3233,17)，私钥就是（3233, 2753）。

加密

假设alice要向bob发送明文信息m，则用bob的公钥 (n,e) 对m进行加密。
并且加密时必须将明文进行比特串分组，保证每个分组对应的十进制数小于n，即保证m<n。

c ≡ m^e (mod n)

这里m假设是65，那么可以算出下面的等式：65^17 ≡ 2790 (mod 3233)
于是，c等于2790，alice就把2790发给了bob。

解密

bob拿到2790以后，就用自己的私钥(n=3233, d=2753) 进行解密。

m ≡ c^d (mod n)

现在，c等于2790，私钥是(3233, 2753)，那么，bob算出
2790^2753 ≡ 65 (mod 3233)
因此，bob知道了alice加密前的原文就是65。

为什么RSA的私钥解密一定能得到明文

对于密文的解密运算为：

m ≡ c^d (mod n)

现在来证明上面的公式恒成立。将c ≡ m^e (mod n)代入右边，可得

右边=c^d (mod n)=(m^e )^d(mod n) = m^(ed)(mod n)

又由于ed ≡ 1 (mod φ(n))可知必有ed=kφ(n)+1，故有

右边=m^(ed)(mod n) = m^(kφ(n)+1)(mod n)

下面分两种情况证明 m^(kφ(n)+1)(mod n) = m：
1）明文m与n互质。那么由欧拉定理知

m^φ(n) ≡ 1 mod n
于是 m^( kφ(n) ) ≡ 1 mod n
于是 m^( kφ(n) + 1 ) ≡ m mod n = m

2）明文m与n不互质：
m与n不互质，说明m与n有公因子。
又因为n=pq，且p和q都为质数，所以n的因子只有p,q，那么m与n的公因子只能是p或者q。所以m为p或q的倍数。
假设m=tp,(t为一正整数),且t与q互质（若t与q不互质，假设t=kq，则m=tp=kpq=kn，违反了m<n）
因为m=tp与q互质，由欧拉定理知

m^φ(q)≡ 1 mod q

两边同时取kφ(p)次方，得

[m^φ(q) ]^(kφ(p)) ≡ 1 mod q
==> m^[kφ(q)φ(p)] ≡ 1 mod q
==> m^(kφ(n)) ≡ 1 mod q
==> m^(kφ(n)) = 1 + rq (r为一正整数)
==> m^(kφ(n)+1) = tp(1 + rq) = tp + tprq = m + trn (两边同时乘上m=tp)
==> m^(kφ(n)+1) ≡ m mod n

m ≡ c^d (mod n) 得证。

RSA算法可靠吗

回顾上面的密钥生成步骤，一共出现六个数字：

　　p(保密)
　　q(保密)
　　n(公开)
　　φ(n)(保密)
　　e(公开)
　　d(保密)

公钥用到了两个（n和e），私钥用到了两个（n和d）。
那么，有无可能在已知n和e的情况下，推导出d？

（1）ed≡1 (mod φ(n))。只有知道e和φ(n)，才能算出d。
（2）φ(n)=(p-1)(q-1)。只有知道p和q，才能算出φ(n)。
（3）n=pq。只有将n因数分解，才能算出p和q。

结论：如果n可以被因数分解，d就可以算出，也就意味着私钥被破解
但是大整数的因数分解是非常困难的，n越大，算法约安全，目前推荐用的rsa秘钥长度为2018及上。

“对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之，对一极大整数做因数分解愈困难，RSA算法愈可靠。

RSA算法的一些其他特征

同秘钥RSA有乘法同态。
简单来说：

假设：明文m=m1 * m2 , 且c1位m1对应的密文，c2位m2对应密文。
则：m对应的密文m=c1 * c2

原理：

若： A * B = C mod n
则 ：A^d ∗ B^d=Cd mod n

同价加密的一些相关知识：https://yeasy.gitbooks.io/blockchain_guide/content/crypto/homoencryption.html