Hello，密码学：第三部分，公钥密码（非对称密码）算法

在 《Hello，密码学：第二部分，对称密码算法》 中讲述了对称密码的概念，以及DES和AES两种经典的对称密码算法原理。既然有对称密码的说法，自然也就有非对称密码，也叫做公钥密码算法。 对称密码和非对称密码两种算法的本质区别在于，加密密钥和解密密钥是否相同 ：

公钥密码产生的初衷就是为了解决 密钥配送 的问题。

Alice 给远方的 Bob 写了一封情意慢慢的信，并使用强悍的 AES-256 进行了加密，但她很快就意识到，光加密内容不行，必须要想一个安全的方法将加密密钥告诉 Bob，如果将密钥也通过网络发送，很可能被技术高手+偷窥癖的 Eve 窃听到。

既要发送密钥，又不能发送密钥，这就是对称密码算法下的“密钥配送问题” 。

解决密钥配送问题可能有这样几种方法：

这种方法比较高效，但有局限性：

与方法一不同，密钥不再由通信个体来保存，而由密钥分配中心（KDC）负责统一的管理和分配。 双方需要加密通信时，由 KDC 生成一个用于本次通信的通信密钥交由双方，通信双方只要与 KDC 事先共享密钥即可 。这样就大大减少密钥的存储和管理问题。

因此，KDC 涉及两类密钥：

领略下 KDC 的过程：

KDC 通过中心化的手段，确实能够有效的解决方法一的密钥管理和分配问题，安全性也还不错。但也存在两个显著的问题：

使用公钥密码，加密密钥和解密密钥不同，只要拥有加密密钥，所有人都能进行加密，但只有拥有解密密钥的人才能进行解密。于是就出现了这个过程：

密钥配送的问题天然被解决了。当然，解密密钥丢失而导致信息泄密，这不属于密钥配送的问题。

下面，再详细看下这个过程。

公钥密码流程的核心，可以用如下四句话来概述：

既然加密密钥是公开的，因此也叫做 “公钥（Public Key）” 。

既然解密密钥是私有的，因此也叫做 “私钥（Private Key） 。

公钥和私钥是一一对应的，称为 “密钥对” ，他们好比相互纠缠的量子对， 彼此之间通过严密的数学计算关系进行关联 ，不能分别单独生成。

在公钥密码体系下，再看看 Alice 如何同 Bob 进行通信。

在公钥密码体系下，通信过程是由 Bob 开始启动的：

过程看起来非常简单，但为什么即使公钥被窃取也没有关系？这就涉及了上文提到的严密的数学计算关系了。如果上一篇文章对称密钥的 DES 和 AES 算法进行概述，下面一节也会对公钥体系的数学原理进行简要说明。

自从 Diffie 和 Hellman 在1976年提出公钥密码的设计思想后，1978年，Ron Rivest、Adi Shamir 和 Reonard Adleman 共同发表了一种公钥密码算法，就是大名鼎鼎的 RSA，这也是当今公钥密码算法事实上的标准。其实，公钥密码算法还包括ElGamal、Rabin、椭圆曲线等多种算法，这一节主要讲述 RSA 算法的基本数学原理。

一堆符号，解释下，E 代表 Encryption，D 代表 Decryption，N 代表 Number。

从公式种能够看出来，RSA的加解密数学公式非常简单（即非常美妙）。 RSA 最复杂的并非加解密运算，而是如何生成密钥对 ，这和对称密钥算法是不太一样的。 而所谓的严密的数学计算关系，就是指 E 和 D 不是随便选择的 。

密钥对的生成，是 RSA 最核心的问题，RSA 的美妙与奥秘也藏在这里面。

1 求N

求 N 公式：N = p × q

其中， p 和 q 是两个质数 ，而且应该是很大又不是极大的质数。如果太小的话，密码就容易被破解；如果极大的话，计算时间就会很长。比如 512 比特的长度（155 位的十进制数字）就比较合适。

这样的质数是如何找出来的呢？ 需要通过 “伪随机数生成器（PRNG）” 进行生成，然后再判断其是否为质数 。如果不是，就需要重新生成，重新判断。

2 求L

求 L 公式：L = lcm(p-1, q-1)

lcm 代表 “最小公倍数（least common multiple）” 。注意，L 在加解密时都不需要， 仅出现在生成密钥对的过程中 。

3 求E

E 要满足两个条件：

1）1 < E < L

2）gcd(E,L) = 1

gcd 代表 “最大公约数（greatest common divisor）” 。gcd(E,L) = 1 就代表 “E 和 L 的最大公约数为1，也就是说， E 和 L 互质 ”。

L 在第二步已经计算出来，而为了找到满足条件的 E， 第二次用到 “伪随机数生成器（PRNG）” ，在 1 和 L 之间生成 E 的候选，判断其是否满足 “gcd(E,L) = 1” 的条件。

经过前三步，已经能够得到密钥对种的 “公钥：{E, N}” 了。

4 求D

D 要满足两个条件：

1）1 < D < L

2）E × D mod L = 1

只要 D 满足上面的两个条件，使用 {E, N} 进行加密的报文，就能够使用 {D, N} 进行解密。

至此，N、L、E、D 都已经计算出来，再整理一下

模拟实践的过程包括两部分，第一部分是生成密钥对，第二部分是对数据进行加解密。为了方便计算，都使用了较小的数字。

第一部分：生成密钥对

1 求N

准备两个质数，p = 5，q = 7，N = 5 × 7 = 35

2 求L

L = lcm(p-1, q-1) = lcm (4, 6) = 12

3 求E

gcd(E, L) = 1，即 E 和 L 互质，而且 1 < E < L，满足条件的 E 有多个备选：5、7、11，选择最小的 5 即可。于是，公钥 = {E, N} = {5, 35}

4 求D

E × D mod L = 1，即 5 × D mod 12 = 1，满足条件的 D 也有多个备选：5、17、41，选择 17 作为 D（如果选择 5 恰好公私钥一致了，这样不太直观），于是，私钥 = {D, N} = {17, 35}

至此，我们得到了公私钥对：

第二部分：模拟加解密

明文我们也使用一个比较小的数字 -- 4，利用 RSA 的加密公式：

密文 = 明文 ^ E mod N = 4 ^ 5 mod 35 = 9

明文 = 密文 ^ D mod N = 9 ^ 17 mod 35 = 4

从这个模拟的小例子能够看出，即使我们用了很小的数字，计算的中间结果也是超级大。如果再加上伪随机数生成器生成一个数字，判断其是否为质数等，这个过程想想脑仁儿就疼。还好，现代芯片技术，让计算机有了足够的运算速度。然而，相对于普通的逻辑运算，这类数学运算仍然是相当缓慢的。这也是一些非对称密码卡/套件中，很关键的性能规格就是密钥对的生成速度

公钥密码体系中，用公钥加密，用私钥解密，公钥公开，私钥隐藏。因此：

加密公式为：密文 = 明文 ^ E mod N

破译的过程就是对该公式进行逆运算。由于除了对明文进行幂次运算外， 还加上了“模运算” ，因此在数学上， 该逆运算就不再是简单的对数问题，而是求离散对数问题，目前已经在数学领域达成共识，尚未发现求离散对数的高效算法 。

暴力破解的本质就是逐个尝试。当前主流的 RSA 算法中，使用的 p 和 q 都是 1024 位以上，这样 N 的长度就是 2048 位以上。而 E 和 D 的长度和 N 差不多，因此要找出 D，就需要进行 2048 位以上的暴力破解。即使上文那个简单的例子，算出（ 蒙出 ） “9 ^ D mod 35 = 4” 中的 D 也要好久吧。

因为 E 和 N 是已知的，而 D 和 E 在数学上又紧密相关（通过中间数 L），能否通过一种反向的算法来求解 D 呢？

从这个地方能够看出，p 和 q 是极为关键的，这两个数字不泄密，几乎无法通过公式反向计算出 D。也就是说， 对于 RSA 算法，质数 p 和 q 绝不能被黑客获取，否则等价于交出私钥 。

既然不能靠抢，N = p × q，N是已知的，能不能通过 “质因数分解” 来推导 p 和 q 呢？或者说， 一旦找到一种高效的 “质因数分解” 算法，就能够破解 RSA 算法了 。

幸运的是，这和上述的“离散对数求解”一样，当下在数学上还没有找到这种算法，当然，也无法证明“质因数分解”是否真的是一个困难问题 。因此只能靠硬算，只是当前的算力无法在可现实的时间内完成。 这也是很多人都提到过的，“量子时代来临，当前的加密体系就会崩溃”，从算力的角度看，或许如此吧 。

既不能抢，也不能算，能不能猜呢？也就是通过 “推测 p 和 q 进行破解” 。

p 和 q 是通过 PRNG（伪随机数生成器）生成的，于是，又一个关键因素，就是采用的 伪随机数生成器算法要足够随机 。

随机数对于密码学极为重要，后面会专门写一篇笔记 。

前三种攻击方式，都是基于 “硬碰硬” 的思路，而 “中间人攻击” 则换了一种迂回的思路，不去尝试破解密码算法，而是欺骗通信双方，从而获取明文。具体来说，就是： 主动攻击者 Mallory 混入发送者和接收者之间，面对发送者伪装成接收者，面对接收者伪装成发送者。

这个过程可以重复多次。需要注意的是，中间人攻击方式不仅能够针对 RSA，还可以针对任何公钥密码。能够看到，整个过程中，公钥密码并没有被破译，密码体系也在正常运转，但机密性却出现了问题，即 Alice 和 Bob 之间失去了机密性，却在 Alice 和 Mallory 以及 Mallory 和 Bob 之间保持了机密性。即使公钥密码强度再强大 N 倍也无济于事。也就是说，仅仅依靠密码算法本身，无法防御中间人攻击 。

而能够抵御中间人攻击的，就需要用到密码工具箱的另一种武器 -- 认证 。在下面一篇笔记中，就将涉及这个话题。

好了，以上就是公钥密码的基本知识了。

公钥密码体系能够完美的解决对称密码体系中 “密钥配送” 这个关键问题，但是抛开 “中间人攻击” 问题不谈，公钥密码自己也有个严重的问题：

公钥密码处理速度远远低于对称密码。不仅体现在密钥对的生成上，也体现在加解密运算处理上。

因此，在实际应用场景下，往往会将对称密码和公钥密码的优势相结合，构建一个 “混合密码体系” 。简单来说： 首先用相对高效的对称密码对消息进行加密，保证消息的机密性；然后用公钥密码加密对称密码的密钥，保证密钥的机密性。

下面是混合密码体系的加解密流程图。整个体系分为左右两个部分：左半部分加密会话密钥的过程，右半部分是加密原始消息的过程。原始消息一般较长，使用对称密码算法会比较高效；会话密钥一般比较短（十几个到几十个字节），即使公钥密码算法运算效率较低，对会话密钥的加解密处理也不会非常耗时。

著名的密码软件 PGP、SSL/TLS、视频监控公共联网安全建设规范（GB35114） 等应用，都运用了混合密码系统。

好了，以上就是公钥密码算法的全部内容了，拖更了很久，以后还要更加勤奋一些。

为了避免被傻啦吧唧的审核机器人处理，后面就不再附漂亮姑娘的照片（也是为了你们的健康），改成我的摄影作品，希望不要对收视率产生影响，虽然很多小伙儿就是冲着姑娘来的。

就从喀纳斯之旅开始吧。

就不给定义了，我简单解释下，就是我的信息不想让别人知道，使用 秘钥（key） 对我的信息进行 加密（encrypt） ，变成鬼符一样的 秘文（ciphertext） 。别人就算看到了，也无法识别，只有有了秘钥，把秘文 解密（decrypt） 后才能看懂信息，秘钥呢？一般人我不告诉他。我的秘钥是私密信息，所以也叫 私钥（private key） ，加密和解密用的秘钥是相同的，所以叫 “对称加密” ，也叫 “私钥加密” 。

对于明文plaintext，和对称秘钥key

加密过程 E(plaintext, key) = ciphertext

解密过程 D(ciphertext, key) = plaintext

对称加密的分为 分组密码（block cipher） 和 流密码（stream cipher） 两种类型。本文只介绍分组密码。

分组密码是每次只能处理特定长度的一块（block）数据的一类加解密算法。AES就是一种分组密码算法。AES加密算法每次可以加密的块长度是128位（bit）。

ECB模式

使用AES加密算法ECB模式，每次能加密128位数据，即16个字节。如果要加密48个字节内容，我们需要把数据分为3组，每组16个字节，分别为P1、P2、P3。P1、P2、P3加密后形成的秘文分别为C1、C2、C3，我们把C1、C2、C3依次拼接起来就成为最终的加密结果。

CBC模式

《对称加密之对称加密二》正在写作，会包含分组密码的更多模式，流密码及AES的更多知识。

DES加密：旧的加密算法，NIST规定仅能用于遗留系统和TDEA。（参考文献[CNS] 32章）

TDEA（Triple DEA）加密：很多资料也叫3DES（Triple DES）。（参考文献[SP800-67]）

Python 可以使用 pycrypto 模块进行AES加解密。安装 pycrypto 可使用命令 pip install pycrypto 安装。

下面AES演示第一版，先看下，紧接着就会升级到第二版本。

运行一下，能正常加解密。但是，如果你把要加密的文本，从 aesAlgorithmDemo 改为 hello ，就会运行报错：

这是因为，AES的分组长度是128位，即16个字节。有些AES实现，要加密的消息长度不是16个字节的倍数需要填充。

填充的方法一般是按照PKCS#7填充标准。

如果要数据的长度不是分组的整数倍，需要填充数据到分组的倍数，如果数据的长度是分组的倍数，需要填充分组长度的数据，填充的每个字节值为填充的长度。PKCS#7支持的分组长度为1到255个字节。

举一些例子：

AES的分组长度为16个字节，不管秘钥是128位、192位还是256位。如果要加密的数据长度是5个字节，你需要填充11个字节，填充的内容位填充的长度0x0b。填充后类似下面表示

如果数据长度是30个字节，需要填充2个字节，每个字节的内容为0x02，如果数据成都恰好为16的倍数，需要填充16个字节，每个字节的内容为0x10。

弄明白填充的概念后，我们重写加解密函数如下：

这样填充后会不会可其它系统不兼容？不会。一般的AES程序都是支持PKCS#7填充的。

密码学基础之RSA与不对称秘钥

密码学基础系列

[CNS] 《密码编码学与网络安全》（第六版）

[SP800-67] NIST Special Publication 800-67 Revision 1, Recommendation for Triple Data Encryption Algorithm (TDEA) Block Cipher, January 2012

[SSH] OpenSSH CBC模式信息泄露漏洞

[NIST SP 800-57 Part 1 Rev 4] Recommendation for Key Management, Part 1: General

一、无需任何PHP扩展的加密

此类加密的代表有 威盾PHP加密专家、PHP在线加密平台、PHP神盾 等。

此类加密都是以eval函数为核心，辅以各式各样的字符串混淆和各种小技巧，来达到加密目的（更准确的说，应该算是混淆）。下面以一个简单的hello world为例来说明此类加密的大体过程。

<php

echo "hello world";

首先 ，我们把这段代码变为通过eval执行的

<php

eval('echo "hello world";');

然后 ，我们再进行一些转换，比如说base64编码

<php

eval(base64_decode('ZWNobyAiaGVsbG8gd29ybGQiOw=='));

就这样子，我们的第一个加密过的php代码新鲜出炉了。。。

上面这个例子非常非常简单，基本上任何有一点php语言基础甚至别的语言基础的人都能轻松的看懂并解密。因此，我们需要一些方法让这个加密至少看上去不是那么简单。

二、同时采用多种编码函数

除了刚才提到的base64，php还有许多内置的编码函数，例如urlencode、gzcompress等。把这些函数混合使用可以提高解密的复杂度（不是难度），此外还可以使用strtr来制定自己的编码规则。 使用变量来代替函数名 使用特定字符来命名变量

这儿所说的特定字符是一些极其相似的字符，如I和1，0和O。试想一下满屏都是O和0组成的变量，并且每一个的名字长度都在10个字符以上。。。 判断文件自身是否被修改

这个功能看似容易，对文件做一下摘要再进行下对比即可知道是否被修改了，但是如何才能在文件内把摘要嵌入进去呢？我没有找到完美的方案，但一个变通的方案还是很容易的。。。

<php

$code = substr(file_get_contents(__FILE__), 0, -32);

$hash = substr(file_get_contents(__FILE__), -32);

if (md5($code) !== $hash) {

exit('file edited');

}

ACBC41F727E00F85BEB3440D751BB4E3

当然，你可以把这个校验字符串放在别的位置来提高破解的难度。有了这个，别人想破解你的程序可就得多费一点功夫了。。。

既然知道了原理，那解密自然也就非常简单了，总体来说就三步：

把eval替换为输出，比如echo 根据编码规则把字符串还原 如果文件未解密完全，从第一步开始继续

当然，实际上的解密过程并没有这么简单，比如说如果加密的时候使用了gzcompress，那得到的数据将会包含一些二进制数据，而采用一般的文本编辑器打开时这些数据都会显示为乱码，并且在保存时丢失部分数据。解决方法很简单也很麻烦，那就是使用二进制（16进制）方式打开、修改和保存。

以上就是关于Hello，密码学：第三部分，公钥密码（非对称密码）算法全部的内容，包括:Hello，密码学：第三部分，公钥密码（非对称密码）算法、密码学基础之对称加密（一）、php源码怎么加密等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！