rsa加密填充方式

--选择padding模式需要注意的问题。。。 最近在做一个项目中需要，在android对一个密码字段首先进行一次md5加密后再进行一次rsa加密，然后把加密的结果通过json协议传输给nginx服务器进行解密。在android中，可以直接使用java提供Cipher类来进行加密，nginx服务器使用openssl来进行解密。android客户端使用RSA加密的字段，要使nginx服务器能正常解密，这里需要客户端和服务器统一RSA加密所用的填充方式。

RSA加密常用的填充方式有下面3种：

1.RSA_PKCS1_PADDING 填充模式，最常用的模式

要求: 输入：必须 比 RSA 钥模长(modulus) 短至少11个字节也就是　RSA_size(rsa)–11,如果输入的明文过长，必须切割，　然后填充 输出：和modulus一样长 根据这个要求，对于512bit的密钥，　block length = 512/8 – 11 = 53 字节

2.RSA_PKCS1_OAEP_PADDING

输入：RSA_size(rsa) – 41 输出：和modulus一样长

3.for RSA_NO_PADDING　　不填充

输入：可以和RSA钥模长一样长，如果输入的明文过长，必须切割，　然后填充 输出：和modulus一样长 跟DES，AES一样，　RSA也是一个块加密算法（ block cipher lgorithm），总是在一个固定长度的块上进行操作。但跟AES等不同的是，　block length是跟key length有关的。每次RSA加密的明文的长度是受RSA填充模式限制的，但是RSA每次加密的块长度就是key length。

4.需要注意：

假如你选择的秘钥长度为1024bit共128个byte： 1.当你在客户端选择RSA_NO_PADDING填充模式时，如果你的明文不够128字节,加密的时候会在你的明文前面，前向的填充零。解密后的明文也会包括前面填充的零，这是服务器需要注意把解密后的字段前向填充的零去掉，才是真正之前加密的明文。

2.当你选择RSA_PKCS1_PADDING填充模式时，如果你的明文不够128字节加密的时候会在你的明文中随机填充一些数据，所以会导致对同样的明文每次加密后的结果都不一样。

对加密后的密文，服务器使用相同的填充方式都能解密。解密后的明文也就是之前加密的明文。

3.RSA_PKCS1_OAEP_PADDING填充模式没有使用过， 他是PKCS#1推出的新的填充方式，安全性是最高的，

RSA 需要注意的地方

1. 加密的系统不要具备解密的功能，否则 RSA 可能不太合适

公钥加密，私钥解密。加密的系统和解密的系统分开部署，加密的系统不应该同时具备解密的功能，这样即使黑客攻破了加密系统，他拿到的也只是一堆无法破解的密文数据。否则的话，你就要考虑你的场景是否有必要用 RSA 了。

2. 可以通过修改生成密钥的长度来调整密文长度

生成密文的长度等于密钥长度。密钥长度越大，生成密文的长度也就越大，加密的速度也就越慢，而密文也就越难被破解掉。著名的"安全和效率总是一把双刃剑"定律，在这里展现的淋漓尽致。我们必须通过定义密钥的长度在"安全"和"加解密效率"之间做出一个平衡的选择。

3. 生成密文的长度和明文长度无关，但明文长度不能超过密钥长度

不管明文长度是多少，RSA 生成的密文长度总是固定的。但是明文长度不能超过密钥长度。比如 Java 默认的 RSA 加密实现不允许明文长度超过密钥长度减去 11(单位是字节，也就是 byte)。也就是说，如果我们定义的密钥(我们可以通过 java.security.KeyPairGenerator.initialize(int keysize) 来定义密钥长度)长度为 1024(单位是位，也就是 bit)，生成的密钥长度就是 1024位 / 8位/字节 = 128字节，那么我们需要加密的明文长度不能超过128字节-11字节=117字节。也就是说，我们最大能将117字节长度的明文进行加密，否则会出问题(抛诸如 javax.crypto.IllegalBlockSizeException: Data must not be longer than 53 bytes 的异常)。 而 BC 提供的加密算法能够支持到的 RSA 明文长度最长为密钥长度。

5. 字符串用以保存文本信息，字节数组用以保存二进制数据

java.lang.String 保存明文，byte 数组保存二进制密文，在 java.lang.String 和 byte[] 之间不应该具备互相转换。如果你确实必须得使用 java.lang.String 来持有这些二进制数据的话，最安全的方式是使用 Base64(推荐 Apache 的 commons-codec 库的 org.apache.commons.codec.binary.Base64)

6. 每次生成的密文都不一致证明你选用的加密算法很安全

一个优秀的加密必须每次生成的密文都不一致，即使每次你的明文一样、使用同一个公钥。因为这样才能把明文信息更安全地隐藏起来。 Java 默认的 RSA 实现是 "RSA/None/PKCS1Padding"(比如 Cipher cipher = Cipher.getInstance("RSA");句，这个 Cipher 生成的密文总是不一致的)，Bouncy Castle 的默认 RSA 实现是 "RSA/None/NoPadding"。 为什么 Java 默认的 RSA 实现每次生成的密文都不一致呢，即使每次使用同一个明文、同一个公钥？这是因为 RSA 的 PKCS #1 padding 方案在加密前对明文信息进行了随机数填充。 你可以使用以下办法让同一个明文、同一个公钥每次生成同一个密文，但是你必须意识到你这么做付出的代价是什么。比如，你可能使用 RSA 来加密传输，但是由于你的同一明文每次生成的同一密文，攻击者能够据此识别到同一个信息都是何时被发送。

7. 可以通过调整算法提供者来减小密文长度

Java 默认的 RSA 实现 "RSA/None/PKCS1Padding" 要求最小密钥长度为 512 位(否则会报 java.security.InvalidParameterException: RSA keys must be at least 512 bits long 异常)，也就是说生成的密钥、密文长度最小为 64 个字节。如果你还嫌大，可以通过调整算法提供者来减小密文长度：

Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
final KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA", "BC");
keyGen.initialize(128);

8. Cipher 是有状态的，而且是线程不安全的

javax.crypto.Cipher 是有状态的，不要把 Cipher 当做一个静态变量，除非你的程序是单线程的，也就是说你能够保证同一时刻只有一个线程在调用 Cipher。否则你可能会像笔者似的遇到 java.lang.ArrayIndexOutOfBoundsException: too much data for RSA block 异常。遇见这个异常，你需要先确定你给 Cipher 加密的明文(或者需要解密的密文)是否过长；排除掉明文(或者密文)过长的情况，你需要考虑是不是你的 Cipher 线程不安全了。

注意 java 默认的RSA 是:"RSA/ECB/PKCS1Padding";

private static String RSA_ANDROID = "RSA/ECB/PKCS1Padding"; private static String RSA_JAVA = "RSA"; Cipher cipher = Cipher.getInstance(RSA_ANDROID); Cipher cipher = Cipher.getInstance(RSA_JAVA);

公钥与私钥

RSA的安全基于大数分解的难度。其公钥和私钥是一对大素数（100到200位十进制数或更大）的函数。从一个公钥和密文恢复出明文的难度，等价于分解两个大素数之积（这是公认的数学难题）。

一、 什么是“素数”？

　　素数是这样的整数，它除了能表示为它自己和1的乘积以外，不能表示为任何其它两个整数的乘积。例如，15＝3＊5，所以15不是素数；又如，12＝6＊2＝4＊3，所以12也不是素数。另一方面，13除了等于13＊1以外，不能表示为其它任何两个整数的乘积，所以13是一个素数。素数也称为“质数”。

二、什么是“互质数”（或“互素数”）？

　　小学数学教材对互质数是这样定义的：“公约数只有1的两个数，叫做互质数。”这里所说的“两个数”是指自然数。 　　判别方法主要有以下几种（不限于此）： （1）两个质数一定是互质数。例如，2与7、13与19。 （2）一个质数如果不能整除另一个合数，这两个数为互质数。例如，3与10、5与 26。 （3）1不是质数也不是合数，它和任何一个自然数在一起都是互质数。如1和9908。 （4）相邻的两个自然数是互质数。如 15与 16。 （5）相邻的两个奇数是互质数。如 49与 51。 （6）大数是质数的两个数是互质数。如97与88。 （7）小数是质数，大数不是小数的倍数的两个数是互质数。如 7和 16。 （8）两个数都是合数（二数差又较大），小数所有的质因数，都不是大数的约数，这两个数是互质数。如357与715，357=3×7×17，而3、7和17都不是715的约数，这两个数为互质数。等等。

三、什么是模指数运算？

　　指数运算谁都懂，不必说了，先说说模运算。模运算是整数运算，有一个整数m，以n为模做模运算，即m mod n。怎样做呢？让m去被n整除，只取所得的余数作为结果，就叫做模运算。例如，10 mod 3=1；26 mod 6=2；28 mod 2 =0等等。 　　模指数运算就是先做指数运算，取其结果再做模运算。如 5^3 mod 7=125 mod 7=6 　　好，现在开始正式讲解RSA加密算法。 算法描述： （1）选择一对不同的、足够大的素数p，q。 （2）计算n=pq。 （3）计算f(n)=(p-1)(q-1)，同时对p, q严加保密，不让任何人知道。 （4）找一个与f(n)互质的数e，且1<e<f(n)。 （5）计算d，使得de≡1 mod f(n)。这个公式也可以表达为d ≡e-1 mod f(n) 这里要解释一下，≡是数论中表示同余的符号。公式中，≡符号的左边必须和符号右边同余，也就是两边模运算结果相同。显而易见，不管f(n)取什么值，符号右边1 mod f(n)的结果都等于1；符号的左边d与e的乘积做模运算后的结果也必须等于1。这就需要计算出d的值，让这个同余等式能够成立。 （6）公钥KU=(e,n)，私钥KR=(d,n)。 （7）加密时，先将明文变换成0至n-1的一个整数M。若明文较长，可先分割成适当的组，然后再进行交换。设密文为C，则加密过程为：。 （8）解密过程为:M≡C^d (mod n)。