非对称加密算法知多少:从RSA到ECC,哪种更安全?
第一次写这种专业类的文章,难免会有差错,请各位积极指出,感谢感谢!
啥是非对称加密
想象你在网上购物,输入信用卡信息时,如何确保数据不被窃取?答案就是非对称加密。它使用两把钥匙:公钥像一把公开的锁,任何人都可以用它加密数据;私钥像秘密钥匙,只有持有者能解密。这种机制让安全通信成为可能,广泛用于HTTPS加密(SSL/TLS)、网上银行、电子邮件、区块链和各种虚拟货币(e.g. Bitcoin)。
一句话搞定
如果你不想了解这么多,一句话搞定:对于大多数应用,RSA2048和ECC256(如curve25519、nistp256)足够安全。但若需长期保护(如10年以上),建议用RSA3072/4096或ECC384/512。
非对称加密算法全览
非对称加密算法种类繁多,各有特点和应用场景。以下是主要的几种算法:
RSA (Rivest-Shamir-Adleman)
- 特点:基于大整数分解难题,适合加密和数字签名。
- 用途:SSL/TLS协议、数字证书、VPN。
- 优点:成熟、广泛支持。
- 缺点:需要较长密钥,计算开销大。
ECC (Elliptic Curve Cryptography, 椭圆曲线加密)
- 特点:基于椭圆曲线离散对数问题,密钥短、效率高。
- 用途:移动设备、区块链、IoT设备。
- 优点:同等安全性下密钥更短,计算更快。
- 缺点:实现复杂,需谨慎选择曲线参数。
Diffie-Hellman (DH)
- 特点:用于密钥交换,非直接加密,基于离散对数问题。
- 用途:协商对称加密密钥,如在TLS中。
- 优点:安全交换密钥。
- 缺点:仅限密钥交换。
DSA (Digital Signature Algorithm)
- 特点:专为数字签名设计,基于离散对数问题。
- 用途:验证数据完整性和身份。
- 优点:签名效率高。
- 缺点:不用于加密。
ElGamal
- 特点:基于离散对数,可用于加密和签名。
- 用途:理论研究,某些特定协议。
- 优点:灵活性高。
- 缺点:密文长度是明文两倍,应用较少。
性能与安全选择
ECC通常比RSA快,尤其在资源受限设备上。例如,curve25519在TLS握手中比RSA3072快20-116倍。RSA2048和ECC256(如curve25519)目前够安全,但长期保护建议用RSA3072/4096或ECC384/512。此处数据来源于资料。
安全性比较:
对于大多数应用,RSA2048和ECC256(如curve25519、nistp256)足够安全。但若需长期保护(如10年以上),建议用RSA3072/4096或ECC384/512。
- ECC vs RSA:ECC在相同安全强度下需要更短的密钥。例如,256位ECC(如curve25519、nistp256)约等于3072位RSA的安全性。这使得ECC在移动设备和资源受限场景中更高效。
ECC曲线比较:
- Brainpool:使用随机质数,安全性高但性能较低,适合政府或高安全场景。
- Bernstein曲线(如curve25519):性能和安全性兼顾,易于实现,广泛用于现代协议。
- NIST曲线:性能好,应用广泛,但生成过程争议使其在某些高安全场景中被谨慎对待。
- RSA:2048位是当前最低安全标准,但随着计算能力提升,3072位或4096位更适合未来需求。RSA计算开销大,适合服务器端或非资源受限场景。
量子计算威胁:RSA和ECC都可能受到量子计算机的威胁。量子算法(如Shor算法)可有效破解RSA和ECC,因此未来可能需要转向抗量子算法。
选择算法时需权衡安全性、性能和应用需求:
- 日常使用:ECC256(如curve25519、nistp256)或RSA2048,安全够用,性能良好。
- 高安全需求:ECC384/512或RSA3072/4096,适合长期数据保护。
- 性能优先:curve25519,速度快,适合实时通信。
- 资源受限设备:ECC更适合,如IoT设备。
- 兼容性要求:RSA仍是许多系统的默认选择,但应使用足够大的密钥。
RSA算法:最知名的算法
RSA(Rivest-Shamir-Adleman)是最早也是最知名的非对称加密算法,1978年由Ron Rivest、Adi Shamir和Len Adleman提出,基于大整数分解的数学难题。以下是它的核心流程:
graph TD
A[生成密钥] --> B[加密数据<br>使用公钥]
B --> C[解密数据<br>使用私钥]| 算法 | 公私钥长度 | 安全强度 | 特点 |
|---|---|---|---|
| rsa2048 | 2048位 | ~112位 | 当前最小安全标准,广泛用于SSL/TLS,计算较慢。 |
| rsa3072 | 3072位 | ~128位 | 更安全,推荐用于长期保护数据。 |
| rsa4096 | 4096位 | ~128-192位 | 最高安全级别,计算开销最大,适合极高安全需求。 |
安全强度说明:根据NIST SP 800-57,RSA2048提供约112位安全强度,RSA3072和RSA4096接近128-192位,但实际应用中,4096位通常按128位估算,因为分解算法(如GNFS)效率随密钥长度增加而降低。
RSA算法计算公式
生成密钥:
- 选择两个大质数 $p$ 和 $q$。
- 计算 $n = p \times q$,$n$ 是公钥和私钥的模数。
- 计算欧拉函数 $\phi(n) = (p-1)(q-1)$。
- 选择公钥指数 $e$,满足 $1 < e < \phi(n)$ 且 $\gcd(e, \phi(n)) = 1$。
- 计算私钥 $d$,满足 $d \times e \equiv 1 \pmod{\phi(n)}$。
- 公钥为 $(n, e)$,私钥为 $(n, d)$。
加密:
- 对于明文 $m$(数字表示),计算密文 $c = m^e \mod n$。
解密:
- 对于密文 $c$,计算明文 $m = c^d \mod n$。
RSA的安全性依赖于分解大整数 $n$ 的难度,现代计算机难以在合理时间内破解大质数乘积。
RSA加解密的例子
为了让你能够了解,我这里举了个例子。为了更好地理解RSA的工作原理,让我们用小数字举例(注意:实际应用中,$p$ 和 $q$ 是非常大的质数):
- 选择两个小质数:$p = 3$,$q = 11$。
- 计算 $n = p \times q = 3 \times 11 = 33$。
- 计算欧拉函数 $\phi(n) = (p-1)(q-1) = 2 \times 10 = 20$。
- 选择公钥指数 $e = 7$(因为 $1 < 7 < 20$ 且 $\gcd(7, 20) = 1$)。
- 计算私钥 $d$,满足 $d \times e \equiv 1 \pmod{20}$。通过计算,$d = 3$(因为 $7 \times 3 = 21 \equiv 1 \pmod{20}$)。
- 公钥为 $(n, e) = (33, 7)$,私钥为 $(n, d) = (33, 3)$。
现在,假设明文 $m = 5$:
加密:$c = m^e \mod n = 5^7 \mod 33$。
- 计算 $5^7 = 78125$。
- $78125 \mod 33 = 78125 - 2367 \times 33 = 78125 - 78111 = 14$。
- 因此,密文 $c = 14$。
解密:$m = c^d \mod n = 14^3 \mod 33$。
- 计算 $14^3 = 2744$。
- $2744 \mod 33 = 2744 - 83 \times 33 = 2744 - 2739 = 5$。
- 因此,明文 $m = 5$,与原明文一致。
ok,祝贺你完成了一次加解密。
椭圆曲线加密(ECC)
ECC基于椭圆曲线离散对数问题,相比RSA,ECC用更短的密钥提供同等安全性。Brainpool曲线、Bernstein曲线、NIST曲线都属于这类,下边是具体曲线的分析:
Brainpool曲线
由德国联邦信息安全局(BSI)标准化,使用随机质数以提高安全性,但性能较低。
| 算法 | 公私钥长度 | 安全强度 | 特点 |
|---|---|---|---|
| brainpoolp256r1 | 256位 | ~128位 | 随机质数设计,避免专利问题,性能低于NIST曲线,适合高安全需求场景。 |
| brainpoolp384r1 | 384位 | ~192位 | 安全性更高,计算开销增加,适用于需要更强保护的应用。 |
| brainpoolp512r1 | 512位 | ~256位 | 最高安全级别,性能最慢,适合极高安全需求,如政府系统。 |
Bernstein曲线
由Daniel J. Bernstein设计,注重性能和安全性,广泛用于现代协议。
| 算法 | 公私钥长度 | 安全强度 | 特点 |
|---|---|---|---|
| curve25519 | 256位 | ~128位 | 高性能,广泛用于Signal、WireGuard等协议,易于安全实现。 |
| curve448 | 448位 | ~224位 | 更高安全性,适合长期数据保护,性能仍优于RSA。 |
NIST曲线
由美国国家标准与技术研究院(NIST)标准化,广泛应用于商业和政府系统。
| 算法 | 公私钥长度 | 安全强度 | 特点 |
|---|---|---|---|
| nistp256 (P-256) | 256位 | ~128位 | NIST标准,性能好,广泛用于TLS,但生成过程曾引发争议。 |
| nistp384 (P-384) | 384位 | ~192位 | 安全性更高,适用于高安全场景,如金融系统。 |
| nistp521 (P-521) | 521位 | ~256位 | 最高安全级别,计算开销大,适合极高安全需求。 |
关于NIST曲线的争议:部分专家质疑NIST曲线的随机数生成过程可能存在后门,但无确凿证据,目前仍被广泛使用(SafeCurves)。
这就完了?
其实在非对称加密中,算法还有更多,此处我只列了这几种(其实是懒得再去找资料了)。甚至你自己也可以仿造RSA的算法,造一套你自己的算法,来加密,加油,相信你就是下一个科学家/数学家!!!!!!
参考文献资料
参考文献:
- NIST Special Publication 800-57 Part 1: Recommendation for Key Management, NIST.
- RFC 5639: Elliptic Curve Cryptography (ECC) Brainpool Standard Curves and Curve Generation, IETF.
- SafeCurves: Criteria for selecting curves for use in elliptic-curve cryptography, SafeCurves.
- Sectigo: ECC vs RSA vs DSA - Encryption Differences, Sectigo.
- RSA vs ECC – Which is Better Algorithm for Security?
- RSA vs ECC: A Comprehensive Performance Analysis
- (PDF) RSA and ECC: A comparative analysis
- RSA vs. ECC Comparison for Embedded Systems Microchip
- r/cryptography on Reddit: RSA vs ECC: which one is better, and why? Reddit原帖
以下是Google广告,请注意辨别其内容: