多少种公钥密码及数学类型

1. 公钥密码→RSA详解

在对称密码中，由于加密和解密的密钥是相同的，因此必须向接收者配送密钥。用于解密的密钥必须被配送给接收者，这一问题称为 密钥配送问题 ，如果使用公钥密码，则无需向接收者配送用于解密的密钥，这样就解决了密钥配送问题。可以说公钥密码是密码学历史上最伟大的发明。

解决密钥配送问题的方法

在人数很多的情况下，通信所需要的密钥数量会增大，例如：1000名员工中每一个人都可以和另外999个进行通信，则每个人需要999个通信密钥，整个密钥数量：
1000 x 999 ÷ 2 = 499500
很不现实，因此此方法有一定的局限性

在Diffic-Hellman密钥交换中，进行加密通信的双方需要交换一些信息，而这些信息即便被窃听者窃听到也没有问题（后续文章会进行详解）。

在对称密码中，加密密钥和解密密钥是相同的，但公钥密码中，加密密钥和解密密钥却是不同的。只要拥有加密密钥，任何人都可以加密，但没有解密密钥是无法解密的。

公钥密码中，密钥分为加密密钥（公钥）和解密密钥（私钥）两种。

公钥和私钥是一一对应的，一对公钥和私钥统称为密钥对，由公钥进行加密的密文，必须使用与该公钥配对的私钥才能够解密。密钥对中的两个密钥之间具有非常密切的关系——数学上的关系——因此公钥和私钥是不能分别单独生成的。

发送者：Alice      接收者：Bob      窃听者：Eve
通信过程是由接收者Bob来启动的

公钥密码解决了密钥配送的问题，但依然面临着下面的问题

RSA是目前使用最广泛的公钥密码算法，名字是由它的三位开发者，即Ron Rivest、Adi Shamir和Leonard Adleman的姓氏的首字母组成的（Rivest-Shamir-Adleman）。RSA可以被使用公钥密码和数字签名（此文只针对公钥密码进行探讨，数字签名后续文章敬请期待）1983年在美国取得了专利，但现在该专利已经过期。

在RSA中，明文、密钥和密文都是数字，RSA加密过程可以用下列公式来表达

密文 = 明文 ^E mod N

简单的来说，RSA的密文是对代表明文的数字的 E 次方求mod N 的结果，换句话说：将明文和自己做 E 次乘法，然后将结果除以 N 求余数，这个余数就是密文。

RSA解密过程可以用下列公式来表达

明文 = 密文 ^D mod N
对表示密文的数字的 D 次方求mod N 就可以得到明文，换句话说：将密文和自己做 D 次乘法，在对其结果除以 N 求余数，就可以得到明文
此时使用的数字 N 和加密时使用的数字 N 是相同的，数 D 和数 N 组合起来就是RSA的解密密钥，因此 D 和 N 的组合就是私钥 。只要知道 D 和 N 两个数的人才能够完成解密的运算

根据加密和解密的公式可以看出，需要用到三个数—— E 、 D 和 N 求这三个数就是 生成密钥对 ，RSA密钥对的生成步骤如下：

准备两个很大的质数 p 和 q ，将这两个数相乘，结果就是 N
N = p x q

L 是 p-1 和 q-1 的最小公倍数，如果用lcm( X , Y )来表示 “ X 和 Y 的最小公倍数” 则L可以写成下列形式
L = lcm ( p - 1， q - 1)

E 是一个比1大、比 L 小的数。 E 和 L 的最大公约数必须为1，如果用gcd( X , Y )来表示 X 和 Y 的最大公约数，则 E 和 L 之间存在下列关系：
1 < E < L
gcd( E , L ) = 1 （是为了保证一定存在解密时需要使用的数 D ）

1 < D < L
E x D mod L = 1

p = 17
q = 19
N = p x q = 17 x 19 = 323

L = lcm ( p - 1， q - 1) = lcm (16,18) = 144

gcd( E , L ) = 1
满足条件的 E 有很多：5，7，11，13，17，19，23，25，29，31...
这里选择5来作为 E ,到这里我们已经知道 E = 5    N = 323 这就是公钥

E x D mod L = 1
D = 29 可以满足上面的条件，因此：
公钥： E = 5     N = 323
私钥： D = 29    N = 323

要加密的明文必须是小于 N 的数，这是因为在加密运算中需要求 mod N 假设加密的明文是123
明文 ^E mod N = 123 ⁵ mod 323 = 225（密文）

对密文225进行解密
密文 ^D mod N = 225 ²⁹ mod 323 = 225 ¹⁰ x 225 ¹⁰ x 225 ⁹ mod 323 = (225 ¹⁰ mod 323) x (225 ¹⁰ mod 323) x (225 ⁹ mod 323) = 16 x 16 x 191 mod 323 = 48896 mod 323 = 123（明文）

如果没有mod N 的话，即：

明文 = 密文 ^D mod N

通过密文求明文的难度不大，因为这可以看作是一个求对数的问题。
但是，加上mod N 之后，求明文就变成了求离散对数的问题，这是非常困难的，因为人类还没有发现求离散对数的高效算法。

只要知道 D ，就能够对密文进行解密，逐一尝试 D 来暴力破译RSA，暴力破解的难度会随着D的长度增加而加大，当 D 足够长时，就不能再现实的时间内通过暴力破解找出数 D

目前，RSA中所使用的 p 和 q 的长度都是1024比特以上， N 的长度为2048比特以上，由于 E 和 D 的长度可以和N差不多，因此要找出 D ，就需要进行2048比特以上的暴力破解。这样的长度下暴力破解找出 D 是极其困难的

E x D mod L = 1           L = lcm ( p - 1， q - 1)
由 E 计算 D 需要使用 p 和 q ，但是密码破译者并不知道 p 和 q

对于RSA来说，有一点非常重要，那就是 质数 p 和 q 不能被密码破译这知道 。把 p 和 q 交给密码破译者与把私钥交给密码破译者是等价的。

p 和 q 不能被密码破译者知道，但是 N = p x q 而且 N 是公开的， p 和 q 都是质数，因此由 N 求 p 和 q 只能通过 将 N 进行质因数分解 ，所以说：
一旦发现了对大整数进行质因数分解的高效算法，RSA就能够被破译

这种方法虽然不能破译RSA，但却是一种针对机密性的有效攻击。

所谓中间人攻击，就是主动攻击者Mallory混入发送者和接收者的中间，对发送者伪装成接收者，对接收者伪装成发送者的攻击，在这里，Mallory就是“中间人”

这种攻击不仅针对RSA，而是可以针对任何公钥密码。在这个过程中，公钥密码并没有被破译，所有的密码算法也都正常工作并确保了机密性。然而，所谓的机密性并非在Alice和Bob之间，而是在Alice和Mallory之间，以及Mallory和Bob之间成立的。 仅靠公钥密码本身，是无法防御中间人攻击的。

要防御中间人攻击，还需要一种手段来确认所收到的公钥是否真的属于Bob，这种手段称为认证。在这种情况下，我们可以使用公钥的 证书 (后面会陆续更新文章来进行探讨)

网络上很多服务器在收到格式不正确的数据时都会向通信对象返回错误消息，并提示“这里的数据有问题”，然而，这种看似很贴心的设计却会让攻击者有机可乘。 攻击者可以向服务器反复发送自己生成的伪造密文，然后分析返回的错误消息和响应时间获得一些关于密钥和明文的信息。

为了抵御这种攻击，可以对密文进行“认证”，RSA-OAEP(最优非对称加密填充)正是基于这种思路设计的一种RSA改良算法。

RSA-OAEP在加密时会在明文前面填充一些认证信息，包括明文的散列值以及一定数量的0，然后用RSA进行加密，在解密的过程中，如果解密后的数据的开头没有找到正确的认证信息，则可以判定有问题，并返回固定的错误消息（重点是，不能将具体的错误内容告知开发者）
RSA-OAEP在实际应用中，还会通过随机数使得每次生成的密文呈现不同的排列方式，从而进一步提高安全性。

随着计算机技术的进步等，以前被认为是安全的密码会被破译，这一现象称为 密码劣化 ，针对这一点：

2. 什么是公钥加密

什么是公钥加密

公钥加密，也叫非对称（密钥）加密（public key encryption），属于通信科技下的网络安全二级学科，指的是由对应的一对唯一性密钥（即公开密钥和私有密钥）组成的加密方法。它解决了密钥的发布和管理问题，是目前商业密码的核心。在公钥加密体制中，没有公开的是明文，公开的是密文，公钥，算法。
常见算法
RSA、ElGamal、背包算法、Rabin(Rabin的加密法可以说是RSA方法的特例)、Diffie-Hellman (D-H) 密钥交换协议中的公钥加密算法、Elliptic Curve Cryptography(ECC,椭圆曲线加密算法)。使用最广泛的是RSA算法(由发明者Rivest、Shmir和Adleman姓氏首字母缩写而来)是着名的公开金钥加密算法，ElGamal是另一种常用的非对称加密算法。

缘起
该思想最早由雷夫·莫寇(Ralph C. Merkle)在1974年提出，之后在1976年。狄菲(Whitfield Diffie)与赫尔曼(Martin Hellman)两位学者以单向函数与单向暗门函数为基础，为发讯与收讯的两方创建金钥。

非对称
是指一对加密密钥与解密密钥，这两个密钥是数学相关，用某用户密钥加密后所得的信息，只能用该用户的解密密钥才能解密。如果知道了其中一个，并不能计算出另外一个。因此如果公开了一对密钥中的一个，并不会危害到另外一个的秘密性质。称公开的密钥为公钥;不公开的密钥为私钥。

如果加密密钥是公开的，这用于客户给私钥所有者上传加密的数据，这被称作为公开密钥加密(狭义)。例如，网络银行的客户发给银行网站的账户操作的加密数据。

如果解密密钥是公开的，用私钥加密的信息，可以用公钥对其解密，用于客户验证持有私钥一方发布的数据或文件是完整准确的，接收者由此可知这条信息确实来自于拥有私钥的某人，这被称作数字签名，公钥的形式就是数字证书。例如，从网上下载的安装程序，一般都带有程序制作者的数字签名，可以证明该程序的确是该作者(公司)发布的而不是第三方伪造的且未被篡改过(身份认证/验证)。

3. 公开密钥密码体系的算法

公开密钥算法是在1976年由当时在美国斯坦福大学的迪菲（Diffie）和赫尔曼(Hellman)两人首先发明的（论文New Direction in Cryptography）。但目前最流行的RSA是1977年由MIT教授Ronald L.Rivest,Adi Shamir和Leonard M.Adleman共同开发的,分别取自三名数学家的名字的第一个字母来构成的。
1976年提出的公开密钥密码体制思想不同于传统的对称密钥密码体制，它要求密钥成对出现，一个为加密密钥(e)，另一个为解密密钥(d)，且不可能从其中一个推导出另一个。自1976年以来，已经提出了多种公开密钥密码算法，其中许多是不安全的， 一些认为是安全的算法又有许多是不实用的，它们要么是密钥太大，要么密文扩展十分严重。多数密码算法的安全基础是基于一些数学难题， 这些难题专家们认为在短期内不可能得到解决。因为一些问题(如因子分解问题)至今已有数千年的历史了。
公钥加密算法也称非对称密钥算法，用两对密钥：一个公共密钥和一个专用密钥。用户要保障专用密钥的安全；公共密钥则可以发布出去。公共密钥与专用密钥是有紧密关系的，用公共密钥加密的信息只能用专用密钥解密，反之亦然。由于公钥算法不需要联机密钥服务器，密钥分配协议简单，所以极大简化了密钥管理。除加密功能外，公钥系统还可以提供数字签名。 公钥加密算法中使用最广的是RSA。RSA使用两个密钥，一个公共密钥，一个专用密钥。如用其中一个加密，则可用另一个解密，密钥长度从40到2048bit可变，加密时也把明文分成块，块的大小可变，但不能超过密钥的长度，RSA算法把每一块明文转化为与密钥长度相同的密文块。密钥越长，加密效果越好，但加密解密的开销也大，所以要在安全与性能之间折衷考虑，一般64位是较合适的。RSA的一个比较知名的应用是SSL，在美国和加拿大SSL用128位RSA算法，由于出口限制，在其它地区（包括中国）通用的则是40位版本。
RSA算法研制的最初理念与目标是努力使互联网安全可靠，旨在解决DES算法秘密密钥的利用公开信道传输分发的难题。而实际结果不但很好地解决了这个难题；还可利用RSA来完成对电文的数字签名以抗对电文的否认与抵赖；同时还可以利用数字签名较容易地发现攻击者对电文的非法篡改，以保护数据信息的完整性。 通常信息安全的目标可以概括为解决信息的以下问题：
保密性(Confidentiality)保证信息不泄露给未经授权的任何人。
完整性（Integrity）防止信息被未经授权的人篡改。
可用性（Availability）保证信息和信息系统确实为授权者所用。
可控性（Controllability）对信息和信息系统实施安全监控，防止非法利用信息和信息系统。
密码是实现一种变换，利用密码变换保护信息秘密是密码的最原始的能力，然而，随着信息和信息技术发展起来的现代密码学，不仅被用于解决信息的保密性，而且也用于解决信息的完整性、可用性和可控性。可以说，密码是解决信息安全的最有效手段，密码技术是解决信息安全的核心技术。
公用密钥的优点就在于，也许你并不认识某一实体，但只要你的服务器认为该实体的CA是可靠的，就可以进行安全通信，而这正是Web商务这样的业务所要求的。例如信用卡购物。服务方对自己的资源可根据客户CA的发行机构的可靠程度来授权。目前国内外尚没有可以被广泛信赖的CA。美国Natescape公司的产品支持公用密钥，但把Natescape公司作为CA。由外国公司充当CA在中国是一件不可想象的事情。
公共密钥方案较保密密钥方案处理速度慢，因此，通常把公共密钥与专用密钥技术结合起来实现最佳性能。即用公共密钥技术在通信双方之间传送专用密钥，而用专用密钥来对实际传输的数据加密解密。另外，公钥加密也用来对专用密钥进行加密。
在这些安全实用的算法中，有些适用于密钥分配，有些可作为加密算法，还有些仅用于数字签名。多数算法需要大数运算，所以实现速度很慢，不能用于快的数据加密。以下将介绍典型的公开密钥密码算法-RSA。
RSA算法很好的完成对电文的数字签名以抗对数据的否认与抵赖；利用数字签名较容易地发现攻击者对电文的非法篡改，以保护数据信息的完整性。目前为止，很多种加密技术采用了RSA算法，比如PGP（PrettyGoodPrivacy）加密系统，它是一个工具软件，向认证中心注册后就可以用它对文件进行加解密或数字签名，PGP所采用的就是RSA算法。由此可以看出RSA有很好的应用。

4. 公钥和私钥加密主要算法有哪些，其基本思想是什么

加密算法

加密技术是对信息进行编码和解码的技术，编码是把原来可读信息（又称明文）译成代码形式（又称密文），其逆过程就是解码（解密）。加密技术的要点是加密算法，加密算法可以分为对称加密、不对称加密和不可逆加密三类算法。

对称加密算法 对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES。

不对称加密算法不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。不对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自己保留私钥。由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。

不可逆加密算法 不可逆加密算法的特征是加密过程中不需要使用密钥，输入明文后由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。显然，在这类加密过程中，加密是自己，解密还得是自己，而所谓解密，实际上就是重新加一次密，所应用的“密码”也就是输入的明文。不可逆加密算法不存在密钥保管和分发问题，非常适合在分布式网络系统上使用，但因加密计算复杂，工作量相当繁重，通常只在数据量有限的情形下使用，如广泛应用在计算机系统中的口令加密，利用的就是不可逆加密算法。近年来，随着计算机系统性能的不断提高，不可逆加密的应用领域正在逐渐增大。在计算机网络中应用较多不可逆加密算法的有RSA公司发明的MD5算法和由美国国家标准局建议的不可逆加密标准SHS(Secure Hash Standard:安全杂乱信息标准)等。

加密技术

加密算法是加密技术的基础，任何一种成熟的加密技术都是建立多种加密算法组合，或者加密算法和其他应用软件有机结合的基础之上的。下面我们介绍几种在计算机网络应用领域广泛应用的加密技术。

非否认（Non-repudiation）技术 该技术的核心是不对称加密算法的公钥技术，通过产生一个与用户认证数据有关的数字签名来完成。当用户执行某一交易时，这种签名能够保证用户今后无法否认该交易发生的事实。由于非否认技术的操作过程简单，而且直接包含在用户的某类正常的电子交易中，因而成为当前用户进行电子商务、取得商务信任的重要保证。

PGP（Pretty Good Privacy）技术 PGP技术是一个基于不对称加密算法RSA公钥体系的邮件加密技术，也是一种操作简单、使用方便、普及程度较高的加密软件。PGP技术不但可以对电子邮件加密，防止非授权者阅读信件；还能对电子邮件附加数字签名，使收信人能明确了解发信人的真实身份；也可以在不需要通过任何保密渠道传递密钥的情况下，使人们安全地进行保密通信。PGP技术创造性地把RSA不对称加密算法的方便性和传统加密体系结合起来，在数字签名和密钥认证管理机制方面采用了无缝结合的巧妙设计，使其几乎成为最为流行的公钥加密软件包。

数字签名（Digital Signature）技术 数字签名技术是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在公钥与私钥管理方面，数字签名应用与加密邮件PGP技术正好相反。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。

PKI（Public Key Infrastructure）技术 PKI技术是一种以不对称加密技术为核心、可以为网络提供安全服务的公钥基础设施。PKI技术最初主要应用在Internet环境中，为复杂的互联网系统提供统一的身份认证、数据加密和完整性保障机制。由于PKI技术在网络安全领域所表现出的巨大优势，因而受到银行、证券、政府等核心应用系统的青睐。PKI技术既是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务等活动缺少物理接触，因而使得利用电子方式验证信任关系变得至关重要，PKI技术恰好能够有效解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系还必须充分考虑互操作性和可扩展性。PKI体系所包含的认证中心（CA）、注册中心（RA）、策略管理、密钥与证书管理、密钥备份与恢复、撤销系统等功能模块应该有机地结合在一起。

加密的未来趋势

尽管双钥密码体制比单钥密码体制更为可靠，但由于计算过于复杂，双钥密码体制在进行大信息量通信时，加密速率仅为单钥体制的1/100，甚至是 1/1000。正是由于不同体制的加密算法各有所长，所以在今后相当长的一段时期内，各类加密体制将会共同发展。而在由IBM等公司于1996年联合推出的用于电子商务的协议标准SET（Secure Electronic Transaction）中和1992年由多国联合开发的PGP技术中，均采用了包含单钥密码、双钥密码、单向杂凑算法和随机数生成算法在内的混合密码系统的动向来看，这似乎从一个侧面展示了今后密码技术应用的未来。

在单钥密码领域，一次一密被认为是最为可靠的机制，但是由于流密码体制中的密钥流生成器在算法上未能突破有限循环，故一直未被广泛应用。如果找到一个在算法上接近无限循环的密钥流生成器，该体制将会有一个质的飞跃。近年来，混沌学理论的研究给在这一方向产生突破带来了曙光。此外，充满生气的量子密码被认为是一个潜在的发展方向，因为它是基于光学和量子力学理论的。该理论对于在光纤通信中加强信息安全、对付拥有量子计算能力的破译无疑是一种理想的解决方法。

由于电子商务等民用系统的应用需求，认证加密算法也将有较大发展。此外，在传统密码体制中，还将会产生类似于IDEA这样的新成员，新成员的一个主要特征就是在算法上有创新和突破，而不仅仅是对传统算法进行修正或改进。密码学是一个正在不断发展的年轻学科，任何未被认识的加/解密机制都有可能在其中占有一席之地。

目前，对信息系统或电子邮件的安全问题，还没有一个非常有效的解决方案，其主要原因是由于互联网固有的异构性，没有一个单一的信任机构可以满足互联网全程异构性的所有需要，也没有一个单一的协议能够适用于互联网全程异构性的所有情况。解决的办法只有依靠软件代理了，即采用软件代理来自动管理用户所持有的证书（即用户所属的信任结构）以及用户所有的行为。每当用户要发送一则消息或一封电子邮件时，代理就会自动与对方的代理协商，找出一个共同信任的机构或一个通用协议来进行通信。在互联网环境中，下一代的安全信息系统会自动为用户发送加密邮件，同样当用户要向某人发送电子邮件时，用户的本地代理首先将与对方的代理交互，协商一个适合双方的认证机构。当然，电子邮件也需要不同的技术支持，因为电子邮件不是端到端的通信，而是通过多个中间机构把电子邮件分程传递到各自的通信机器上，最后到达目的地。

5. Hello，密码学：第三部分，公钥密码（非对称密码）算法

在 《Hello，密码学：第二部分，对称密码算法》 中讲述了对称密码的概念，以及DES和AES两种经典的对称密码算法原理。既然有对称密码的说法，自然也就有非对称密码，也叫做公钥密码算法。 对称密码和非对称密码两种算法的本质区别在于，加密密钥和解密密钥是否相同 ：

公钥密码产生的初衷就是为了解决 密钥配送 的问题。

Alice 给远方的 Bob 写了一封情意慢慢的信，并使用强悍的 AES-256 进行了加密，但她很快就意识到，光加密内容不行，必须要想一个安全的方法将加密密钥告诉 Bob，如果将密钥也通过网络发送，很可能被技术高手+偷窥癖的 Eve 窃听到。

既要发送密钥，又不能发送密钥，这就是对称密码算法下的“密钥配送问题” 。

解决密钥配送问题可能有这样几种方法：

这种方法比较高效，但有局限性：

与方法一不同，密钥不再由通信个体来保存，而由密钥分配中心（KDC）负责统一的管理和分配。 双方需要加密通信时，由 KDC 生成一个用于本次通信的通信密钥交由双方，通信双方只要与 KDC 事先共享密钥即可 。这样就大大减少密钥的存储和管理问题。

因此，KDC 涉及两类密钥：

领略下 KDC 的过程：

KDC 通过中心化的手段，确实能够有效的解决方法一的密钥管理和分配问题，安全性也还不错。但也存在两个显着的问题：

使用公钥密码，加密密钥和解密密钥不同，只要拥有加密密钥，所有人都能进行加密，但只有拥有解密密钥的人才能进行解密。于是就出现了这个过程：

密钥配送的问题天然被解决了。当然，解密密钥丢失而导致信息泄密，这不属于密钥配送的问题。

下面，再详细看下这个过程。

公钥密码流程的核心，可以用如下四句话来概述：

既然加密密钥是公开的，因此也叫做 “公钥（Public Key）” 。
既然解密密钥是私有的，因此也叫做 “私钥（Private Key） 。

公钥和私钥是一一对应的，称为 “密钥对” ，他们好比相互纠缠的量子对， 彼此之间通过严密的数学计算关系进行关联 ，不能分别单独生成。

在公钥密码体系下，再看看 Alice 如何同 Bob 进行通信。

在公钥密码体系下，通信过程是由 Bob 开始启动的：

过程看起来非常简单，但为什么即使公钥被窃取也没有关系？这就涉及了上文提到的严密的数学计算关系了。如果上一篇文章对称密钥的 DES 和 AES 算法进行概述，下面一节也会对公钥体系的数学原理进行简要说明。

自从 Diffie 和 Hellman 在1976年提出公钥密码的设计思想后，1978年，Ron Rivest、Adi Shamir 和 Reonard Adleman 共同发表了一种公钥密码算法，就是大名鼎鼎的 RSA，这也是当今公钥密码算法事实上的标准。其实，公钥密码算法还包括ElGamal、Rabin、椭圆曲线等多种算法，这一节主要讲述 RSA 算法的基本数学原理。

一堆符号，解释下，E 代表 Encryption，D 代表 Decryption，N 代表 Number。

从公式种能够看出来，RSA的加解密数学公式非常简单（即非常美妙）。 RSA 最复杂的并非加解密运算，而是如何生成密钥对 ，这和对称密钥算法是不太一样的。 而所谓的严密的数学计算关系，就是指 E 和 D 不是随便选择的 。

密钥对的生成，是 RSA 最核心的问题，RSA 的美妙与奥秘也藏在这里面。

1. 求N

求 N 公式：N = p × q

其中， p 和 q 是两个质数 ，而且应该是很大又不是极大的质数。如果太小的话，密码就容易被破解；如果极大的话，计算时间就会很长。比如 512 比特的长度（155 位的十进制数字）就比较合适。

这样的质数是如何找出来的呢？ 需要通过 “伪随机数生成器（PRNG）” 进行生成，然后再判断其是否为质数 。如果不是，就需要重新生成，重新判断。

2. 求L

求 L 公式：L = lcm(p-1, q-1)

lcm 代表 “最小公倍数（least common multiple）” 。注意，L 在加解密时都不需要， 仅出现在生成密钥对的过程中 。

3. 求E

E 要满足两个条件：
1）1 < E < L
2）gcd(E,L) = 1

gcd 代表 “最大公约数（greatest common divisor）” 。gcd(E,L) = 1 就代表 “E 和 L 的最大公约数为1，也就是说， E 和 L 互质 ”。

L 在第二步已经计算出来，而为了找到满足条件的 E， 第二次用到 “伪随机数生成器（PRNG）” ，在 1 和 L 之间生成 E 的候选，判断其是否满足 “gcd(E,L) = 1” 的条件。

经过前三步，已经能够得到密钥对种的 “公钥：{E, N}” 了。

4. 求D

D 要满足两个条件：
1）1 < D < L
2）E × D mod L = 1

只要 D 满足上面的两个条件，使用 {E, N} 进行加密的报文，就能够使用 {D, N} 进行解密。

至此，N、L、E、D 都已经计算出来，再整理一下

模拟实践的过程包括两部分，第一部分是生成密钥对，第二部分是对数据进行加解密。为了方便计算，都使用了较小的数字。

第一部分：生成密钥对

1. 求N
准备两个质数，p = 5，q = 7，N = 5 × 7 = 35

2. 求L
L = lcm(p-1, q-1) = lcm (4, 6) = 12

3. 求E
gcd(E, L) = 1，即 E 和 L 互质，而且 1 < E < L，满足条件的 E 有多个备选：5、7、11，选择最小的 5 即可。于是，公钥 = {E, N} = {5, 35}

4. 求D
E × D mod L = 1，即 5 × D mod 12 = 1，满足条件的 D 也有多个备选：5、17、41，选择 17 作为 D（如果选择 5 恰好公私钥一致了，这样不太直观），于是，私钥 = {D, N} = {17, 35}

至此，我们得到了公私钥对：

第二部分：模拟加解密

明文我们也使用一个比较小的数字 -- 4，利用 RSA 的加密公式：

密文 = 明文 ^ E mod N = 4 ^ 5 mod 35 = 9
明文 = 密文 ^ D mod N = 9 ^ 17 mod 35 = 4

从这个模拟的小例子能够看出，即使我们用了很小的数字，计算的中间结果也是超级大。如果再加上伪随机数生成器生成一个数字，判断其是否为质数等，这个过程想想脑仁儿就疼。还好，现代芯片技术，让计算机有了足够的运算速度。然而，相对于普通的逻辑运算，这类数学运算仍然是相当缓慢的。这也是一些非对称密码卡/套件中，很关键的性能规格就是密钥对的生成速度

公钥密码体系中，用公钥加密，用私钥解密，公钥公开，私钥隐藏。因此：

加密公式为：密文 = 明文 ^ E mod N

破译的过程就是对该公式进行逆运算。由于除了对明文进行幂次运算外， 还加上了“模运算” ，因此在数学上， 该逆运算就不再是简单的对数问题，而是求离散对数问题，目前已经在数学领域达成共识，尚未发现求离散对数的高效算法 。

暴力破解的本质就是逐个尝试。当前主流的 RSA 算法中，使用的 p 和 q 都是 1024 位以上，这样 N 的长度就是 2048 位以上。而 E 和 D 的长度和 N 差不多，因此要找出 D，就需要进行 2048 位以上的暴力破解。即使上文那个简单的例子，算出（ 蒙出 ） “9 ^ D mod 35 = 4” 中的 D 也要好久吧。

因为 E 和 N 是已知的，而 D 和 E 在数学上又紧密相关（通过中间数 L），能否通过一种反向的算法来求解 D 呢？

从这个地方能够看出，p 和 q 是极为关键的，这两个数字不泄密，几乎无法通过公式反向计算出 D。也就是说， 对于 RSA 算法，质数 p 和 q 绝不能被黑客获取，否则等价于交出私钥 。

既然不能靠抢，N = p × q，N是已知的，能不能通过 “质因数分解” 来推导 p 和 q 呢？或者说， 一旦找到一种高效的 “质因数分解” 算法，就能够破解 RSA 算法了 。

幸运的是，这和上述的“离散对数求解”一样，当下在数学上还没有找到这种算法，当然，也无法证明“质因数分解”是否真的是一个困难问题 。因此只能靠硬算，只是当前的算力无法在可现实的时间内完成。 这也是很多人都提到过的，“量子时代来临，当前的加密体系就会崩溃”，从算力的角度看，或许如此吧 。

既不能抢，也不能算，能不能猜呢？也就是通过 “推测 p 和 q 进行破解” 。

p 和 q 是通过 PRNG（伪随机数生成器）生成的，于是，又一个关键因素，就是采用的 伪随机数生成器算法要足够随机 。

随机数对于密码学极为重要，后面会专门写一篇笔记 。

前三种攻击方式，都是基于 “硬碰硬” 的思路，而 “中间人攻击” 则换了一种迂回的思路，不去尝试破解密码算法，而是欺骗通信双方，从而获取明文。具体来说，就是： 主动攻击者 Mallory 混入发送者和接收者之间，面对发送者伪装成接收者，面对接收者伪装成发送者。

这个过程可以重复多次。需要注意的是，中间人攻击方式不仅能够针对 RSA，还可以针对任何公钥密码。能够看到，整个过程中，公钥密码并没有被破译，密码体系也在正常运转，但机密性却出现了问题，即 Alice 和 Bob 之间失去了机密性，却在 Alice 和 Mallory 以及 Mallory 和 Bob 之间保持了机密性。即使公钥密码强度再强大 N 倍也无济于事。也就是说，仅仅依靠密码算法本身，无法防御中间人攻击 。

而能够抵御中间人攻击的，就需要用到密码工具箱的另一种武器 -- 认证 。在下面一篇笔记中，就将涉及这个话题。

好了，以上就是公钥密码的基本知识了。

公钥密码体系能够完美的解决对称密码体系中 “密钥配送” 这个关键问题，但是抛开 “中间人攻击” 问题不谈，公钥密码自己也有个严重的问题：

公钥密码处理速度远远低于对称密码。不仅体现在密钥对的生成上，也体现在加解密运算处理上。

因此，在实际应用场景下，往往会将对称密码和公钥密码的优势相结合，构建一个 “混合密码体系” 。简单来说： 首先用相对高效的对称密码对消息进行加密，保证消息的机密性；然后用公钥密码加密对称密码的密钥，保证密钥的机密性。

下面是混合密码体系的加解密流程图。整个体系分为左右两个部分：左半部分加密会话密钥的过程，右半部分是加密原始消息的过程。原始消息一般较长，使用对称密码算法会比较高效；会话密钥一般比较短（十几个到几十个字节），即使公钥密码算法运算效率较低，对会话密钥的加解密处理也不会非常耗时。

着名的密码软件 PGP、SSL/TLS、视频监控公共联网安全建设规范（GB35114） 等应用，都运用了混合密码系统。

好了，以上就是公钥密码算法的全部内容了，拖更了很久，以后还要更加勤奋一些。

为了避免被傻啦吧唧的审核机器人处理，后面就不再附漂亮姑娘的照片（也是为了你们的健康），改成我的摄影作品，希望不要对收视率产生影响，虽然很多小伙儿就是冲着姑娘来的。

就从喀纳斯之旅开始吧。

6. 常用的加密算法有哪些

对称密钥加密

对称密钥加密 Symmetric Key Algorithm 又称为对称加密、私钥加密、共享密钥加密：这类算法在加密和解密时使用相同的密钥，或是使用两个可以简单的相互推算的密钥，对称加密的速度一般都很快。

• 分组密码

分组密码 Block Cipher 又称为“分块加密”或“块加密”，将明文分成多个等长的模块，使用确定的算法和对称密钥对每组分别加密解密。这也就意味着分组密码的一个优点在于可以实现同步加密，因为各分组间可以相对独立。

与此相对应的是流密码：利用密钥由密钥流发生器产生密钥流，对明文串进行加密。与分组密码的不同之处在于加密输出的结果不仅与单独明文相关，而是与一组明文相关。

• DES、3DES

数据加密标准 DES Data Encryption Standard 是由IBM在美国国家安全局NSA授权下研制的一种使用56位密钥的分组密码算法，并于1977年被美国国家标准局NBS公布成为美国商用加密标准。但是因为DES固定的密钥长度，渐渐不再符合在开放式网络中的安全要求，已经于1998年被移出商用加密标准，被更安全的AES标准替代。

DES使用的Feistel Network网络属于对称的密码结构，对信息的加密和解密的过程极为相似或趋同，使得相应的编码量和线路传输的要求也减半。

DES是块加密算法，将消息分成64位，即16个十六进制数为一组进行加密，加密后返回相同大小的密码块，这样，从数学上来说，64位0或1组合，就有2^64种可能排列。DES密钥的长度同样为64位，但在加密算法中，每逢第8位，相应位会被用于奇偶校验而被算法丢弃，所以DES的密钥强度实为56位。

3DES Triple DES，使用不同Key重复三次DES加密，加密强度更高，当然速度也就相应的降低。

• AES

高级加密标准 AES Advanced Encryption Standard 为新一代数据加密标准，速度快，安全级别高。由美国国家标准技术研究所NIST选取Rijndael于2000年成为新一代的数据加密标准。

AES的区块长度固定为128位，密钥长度可以是128位、192位或256位。AES算法基于Substitution Permutation Network代换置列网络，将明文块和密钥块作为输入，并通过交错的若干轮代换"Substitution"和置换"Permutation"操作产生密文块。

AES加密过程是在一个4*4的字节矩阵（或称为体State）上运作，初始值为一个明文区块，其中一个元素大小就是明文区块中的一个Byte，加密时，基本上各轮加密循环均包含这四个步骤：



• ECC

ECC即 Elliptic Curve Cryptography 椭圆曲线密码学，是基于椭圆曲线数学建立公开密钥加密的算法。ECC的主要优势是在提供相当的安全等级情况下，密钥长度更小。

ECC的原理是根据有限域上的椭圆曲线上的点群中的离散对数问题ECDLP，而ECDLP是比因式分解问题更难的问题，是指数级的难度。而ECDLP定义为：给定素数p和椭圆曲线E，对Q＝kP，在已知P，Q 的情况下求出小于p的正整数k。可以证明由k和P计算Q比较容易，而由Q和P计算k则比较困难。

• 数字签名

数字签名 Digital Signature 又称公钥数字签名是一种用来确保数字消息或文档真实性的数学方案。一个有效的数字签名需要给接收者充足的理由来信任消息的可靠来源，而发送者也无法否认这个签名，并且这个消息在传输过程中确保没有发生变动。

数字签名的原理在于利用公钥加密技术，签名者将消息用私钥加密，然后公布公钥，验证者就使用这个公钥将加密信息解密并对比消息。一般而言，会使用消息的散列值来作为签名对象。

7. 什么是公钥密码

自从1976年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制。用抽象的观点来看,公钥密码就是一种陷门单向函数。
我们说一个函数f是单向函数,即若对它的定义域中的任意x都易于计算f(x),而对f的值域中的几乎所有的y,即使当f为已知时要计算f-l(y)在计算上也是不可行的。若当给定某些辅助信息(陷门信息)时则易于计算f-l(y),就称单向函数f是一个陷门单向函数。公钥密码体制就是基于这一原理而设计的,将辅助信息(陷门信息)作为秘密密钥。这类密码的安全强度取决于它所依据的问题的计算复杂度。

目前比较流行的公钥密码体制主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA体制。另一类是基于离散对数问题的,如ElGamal公钥密码体制和影响比较大的椭圆曲线公钥密码体制。

公钥密码
一般要求：
1、加密解密算法相同，但使用不同的密钥
2、发送方拥有加密或解密密钥，而接收方拥有另一个密钥
安全性要求：
1、两个密钥之一必须保密
2、无解密密钥，解密不可行
3、知道算法和其中一个密钥以及若干密文不能确定另一个密钥

8. 什么是公钥密码体制

自从1976年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制。用抽象的观点来看,公钥密码就是一种陷门单向函数。
我们说一个函数f是单向函数,即若对它的定义域中的任意x都易于计算f(x),而对f的值域中的几乎所有的y,即使当f为已知时要计算f-l(y)在计算上也是不可行的。若当给定某些辅助信息(陷门信息)时则易于计算f-l(y),就称单向函数f是一个陷门单向函数。公钥密码体制就是基于这一原理而设计的,将辅助信息(陷门信息)作为秘密密钥。这类密码的安全强度取决于它所依据的问题的计算复杂度。

目前比较流行的公钥密码体制主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA体制。另一类是基于离散对数问题的,如ElGamal公钥密码体制和影响比较大的椭圆曲线公钥密码体制。

公钥密码
一般要求：
1、加密解密算法相同，但使用不同的密钥
2、发送方拥有加密或解密密钥，而接收方拥有另一个密钥
安全性要求：
1、两个密钥之一必须保密
2、无解密密钥，解密不可行
3、知道算法和其中一个密钥以及若干密文不能确定另一个密钥

9. 公钥和私钥加密主要算法有哪些，其基本思想是什么

加密算法nbsp;nbsp;nbsp;nbsp;加密技术是对信息进行编码和解码的技术，编码是把原来可读信息（又称明文）译成代码形式（又称密文），其逆过程就是解码（解密）。加密技术的要点是加密算法，加密算法可以分为对称加密、不对称加密和不可逆加密三类算法。nbsp;nbsp;nbsp;nbsp;对称加密算法nbsp;nbsp;对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES。nbsp;nbsp;nbsp;nbsp;不对称加密算法不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。不对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自己保留私钥。由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。nbsp;nbsp;nbsp;nbsp;不可逆加密算法nbsp;nbsp;不可逆加密算法的特征是加密过程中不需要使用密钥，输入明文后由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。显然，在这类加密过程中，加密是自己，解密还得是自己，而所谓解密，实际上就是重新加一次密，所应用的“密码”也就是输入的明文。不可逆加密算法不存在密钥保管和分发问题，非常适合在分布式网络系统上使用，但因加密计算复杂，工作量相当繁重，通常只在数据量有限的情形下使用，如广泛应用在计算机系统中的口令加密，利用的就是不可逆加密算法。近年来，随着计算机系统性能的不断提高，不可逆加密的应用领域正在逐渐增大。在计算机网络中应用较多不可逆加密算法的有RSA公司发明的MD5算法和由美国国家标准局建议的不可逆加密标准SHS(Securenbsp;Hashnbsp;Standard:安全杂乱信息标准)等。加密技术nbsp;nbsp;nbsp;nbsp;加密算法是加密技术的基础，任何一种成熟的加密技术都是建立多种加密算法组合，或者加密算法和其他应用软件有机结合的基础之上的。下面我们介绍几种在计算机网络应用领域广泛应用的加密技术。nbsp;nbsp;nbsp;nbsp;非否认（Non-repudiation）技术nbsp;nbsp;该技术的核心是不对称加密算法的公钥技术，通过产生一个与用户认证数据有关的数字签名来完成。当用户执行某一交易时，这种签名能够保证用户今后无法否认该交易发生的事实。由于非否认技术的操作过程简单，而且直接包含在用户的某类正常的电子交易中，因而成为当前用户进行电子商务、取得商务信任的重要保证。nbsp;nbsp;nbsp;nbsp;PGP（Prettynbsp;Goodnbsp;Privacy）技术nbsp;nbsp;PGP技术是一个基于不对称加密算法RSA公钥体系的邮件加密技术，也是一种操作简单、使用方便、普及程度较高的加密软件。PGP技术不但可以对电子邮件加密，防止非授权者阅读信件；还能对电子邮件附加数字签名，使收信人能明确了解发信人的真实身份；也可以在不

10. 非对称加密算法 (RSA、DSA、ECC、DH)

非对称加密需要两个密钥：公钥(publickey) 和私钥 (privatekey)。公钥和私钥是一对，如果用公钥对数据加密，那么只能用对应的私钥解密。如果用私钥对数据加密，只能用对应的公钥进行解密。因为加密和解密用的是不同的密钥，所以称为非对称加密。

非对称加密算法的保密性好，它消除了最终用户交换密钥的需要。但是加解密速度要远远慢于对称加密，在某些极端情况下，甚至能比对称加密慢上1000倍。

算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂，而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥，并且是非公开的，如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全，而非对称密钥体制有两种密钥，其中一个是公开的，这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。

RSA、Elgamal、背包算法、Rabin、D-H、ECC (椭圆曲线加密算法)。使用最广泛的是 RSA 算法，Elgamal 是另一种常用的非对称加密算法。

收信者是唯一能够解开加密信息的人，因此收信者手里的必须是私钥。发信者手里的是公钥，其它人知道公钥没有关系，因为其它人发来的信息对收信者没有意义。

客户端需要将认证标识传送给服务器，此认证标识 (可能是一个随机数) 其它客户端可以知道，因此需要用私钥加密，客户端保存的是私钥。服务器端保存的是公钥，其它服务器知道公钥没有关系，因为客户端不需要登录其它服务器。

数字签名是为了表明信息没有受到伪造，确实是信息拥有者发出来的，附在信息原文的后面。就像手写的签名一样，具有不可抵赖性和简洁性。

简洁性：对信息原文做哈希运算，得到消息摘要，信息越短加密的耗时越少。

不可抵赖性：信息拥有者要保证签名的唯一性，必须是唯一能够加密消息摘要的人，因此必须用私钥加密 (就像字迹他人无法学会一样)，得到签名。如果用公钥，那每个人都可以伪造签名了。

问题起源：对1和3，发信者怎么知道从网上获取的公钥就是真的？没有遭受中间人攻击？

这样就需要第三方机构来保证公钥的合法性，这个第三方机构就是 CA (Certificate Authority)，证书中心。

CA 用自己的私钥对信息原文所有者发布的公钥和相关信息进行加密，得出的内容就是数字证书。

信息原文的所有者以后发布信息时，除了带上自己的签名，还带上数字证书，就可以保证信息不被篡改了。信息的接收者先用 CA给的公钥解出信息所有者的公钥，这样可以保证信息所有者的公钥是真正的公钥，然后就能通过该公钥证明数字签名是否真实了。

RSA 是目前最有影响力的公钥加密算法，该算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥，即公钥，而两个大素数组合成私钥。公钥是可发布的供任何人使用，私钥则为自己所有，供解密之用。

A 要把信息发给 B 为例，确定角色：A 为加密者，B 为解密者。首先由 B 随机确定一个 KEY，称之为私钥，将这个 KEY 始终保存在机器 B 中而不发出来；然后，由这个 KEY 计算出另一个 KEY，称之为公钥。这个公钥的特性是几乎不可能通过它自身计算出生成它的私钥。接下来通过网络把这个公钥传给 A，A 收到公钥后，利用公钥对信息加密，并把密文通过网络发送到 B，最后 B 利用已知的私钥，就能对密文进行解码了。以上就是 RSA 算法的工作流程。

由于进行的都是大数计算，使得 RSA 最快的情况也比 DES 慢上好几倍，无论是软件还是硬件实现。速度一直是 RSA 的缺陷。一般来说只用于少量数据加密。RSA 的速度是对应同样安全级别的对称密码算法的1/1000左右。

比起 DES 和其它对称算法来说，RSA 要慢得多。实际上一般使用一种对称算法来加密信息，然后用 RSA 来加密比较短的公钥，然后将用 RSA 加密的公钥和用对称算法加密的消息发送给接收方。

这样一来对随机数的要求就更高了，尤其对产生对称密码的要求非常高，否则的话可以越过 RSA 来直接攻击对称密码。

和其它加密过程一样，对 RSA 来说分配公钥的过程是非常重要的。分配公钥的过程必须能够抵挡中间人攻击。假设 A 交给 B 一个公钥，并使 B 相信这是A 的公钥，并且 C 可以截下 A 和 B 之间的信息传递，那么 C 可以将自己的公钥传给 B，B 以为这是 A 的公钥。C 可以将所有 B 传递给 A 的消息截下来，将这个消息用自己的密钥解密，读这个消息，然后将这个消息再用 A 的公钥加密后传给 A。理论上 A 和 B 都不会发现 C 在偷听它们的消息，今天人们一般用数字认证来防止这样的攻击。

(1) 针对 RSA 最流行的攻击一般是基于大数因数分解。1999年，RSA-155 (512 bits) 被成功分解，花了五个月时间（约8000 MIPS 年）和224 CPU hours 在一台有3.2G 中央内存的 Cray C916计算机上完成。

RSA-158 表示如下：

2009年12月12日，编号为 RSA-768 (768 bits, 232 digits) 数也被成功分解。这一事件威胁了现通行的1024-bit 密钥的安全性，普遍认为用户应尽快升级到2048-bit 或以上。

RSA-768表示如下：

(2) 秀尔算法
量子计算里的秀尔算法能使穷举的效率大大的提高。由于 RSA 算法是基于大数分解 (无法抵抗穷举攻击)，因此在未来量子计算能对 RSA 算法构成较大的威胁。一个拥有 N 量子位的量子计算机，每次可进行2^N 次运算，理论上讲，密钥为1024位长的 RSA 算法，用一台512量子比特位的量子计算机在1秒内即可破解。

DSA (Digital Signature Algorithm) 是 Schnorr 和 ElGamal 签名算法的变种，被美国 NIST 作为 DSS (DigitalSignature Standard)。 DSA 是基于整数有限域离散对数难题的。

简单的说，这是一种更高级的验证方式，用作数字签名。不单单只有公钥、私钥，还有数字签名。私钥加密生成数字签名，公钥验证数据及签名，如果数据和签名不匹配则认为验证失败。数字签名的作用就是校验数据在传输过程中不被修改，数字签名，是单向加密的升级。

椭圆加密算法（ECC）是一种公钥加密算法，最初由 Koblitz 和 Miller 两人于1985年提出，其数学基础是利用椭圆曲线上的有理点构成 Abel 加法群上椭圆离散对数的计算困难性。公钥密码体制根据其所依据的难题一般分为三类：大整数分解问题类、离散对数问题类、椭圆曲线类。有时也把椭圆曲线类归为离散对数类。

ECC 的主要优势是在某些情况下它比其他的方法使用更小的密钥 (比如 RSA)，提供相当的或更高等级的安全。ECC 的另一个优势是可以定义群之间的双线性映射，基于 Weil 对或是 Tate 对；双线性映射已经在密码学中发现了大量的应用，例如基于身份的加密。不过一个缺点是加密和解密操作的实现比其他机制花费的时间长。

ECC 被广泛认为是在给定密钥长度的情况下，最强大的非对称算法，因此在对带宽要求十分紧的连接中会十分有用。

比特币钱包公钥的生成使用了椭圆曲线算法，通过椭圆曲线乘法可以从私钥计算得到公钥， 这是不可逆转的过程。

https://github.com/esxgx/easy-ecc

Java 中 Chipher、Signature、KeyPairGenerator、KeyAgreement、SecretKey 均不支持 ECC 算法。

https://www.jianshu.com/p/58c1750c6f22

DH，全称为"Diffie-Hellman"，它是一种确保共享 KEY 安全穿越不安全网络的方法，也就是常说的密钥一致协议。由公开密钥密码体制的奠基人 Diffie 和 Hellman 所提出的一种思想。简单的说就是允许两名用户在公开媒体上交换信息以生成"一致"的、可以共享的密钥。也就是由甲方产出一对密钥 (公钥、私钥)，乙方依照甲方公钥产生乙方密钥对 (公钥、私钥)。

以此为基线，作为数据传输保密基础，同时双方使用同一种对称加密算法构建本地密钥 (SecretKey) 对数据加密。这样，在互通了本地密钥 (SecretKey) 算法后，甲乙双方公开自己的公钥，使用对方的公钥和刚才产生的私钥加密数据，同时可以使用对方的公钥和自己的私钥对数据解密。不单单是甲乙双方两方，可以扩展为多方共享数据通讯，这样就完成了网络交互数据的安全通讯。

具体例子可以移步到这篇文章： 非对称密码之DH密钥交换算法

参考：
https://blog.csdn.net/u014294681/article/details/86705999

https://www.cnblogs.com/wangzxblog/p/13667634.html

https://www.cnblogs.com/taoxw/p/15837729.html

https://www.cnblogs.com/fangfan/p/4086662.html

https://www.cnblogs.com/utank/p/7877761.html

https://blog.csdn.net/m0_59133441/article/details/122686815

https://www.cnblogs.com/muliu/p/10875633.html

https://www.cnblogs.com/wf-zhang/p/14923279.html

https://www.jianshu.com/p/7a927db713e4

https://blog.csdn.net/ljx1400052550/article/details/79587133

https://blog.csdn.net/yuanjian0814/article/details/109815473