RSA 可以做私钥加密，公钥解密吗？解密的结果还是加密之前的明文吗？

RSA 公钥跟私钥的作用是互逆的

先了解 RSA 的原理再来讨论有没有意义

数字签名了解一下

可不可以做？ 可以做

现实中有没有人这么做？ 没有

为啥呢？ 因为加解密的对象不同。私钥持有者解密之后得到明文。公钥持有者解密之后得到摘要。不确切滴说，明文是肉眼看得懂的，摘要是肉眼看不懂的。

rsa 有两种应用，加密和签名，加密很有意义的，很多游戏数据加密就是用 RSA 配合 aes 来做的。

可以，有意义，可以验证是否是私钥加密的

rsa 算法秘钥有公钥和私钥，公钥是公开的，私钥是不公开的
公钥加密的只有私钥持有者才能查看原文
私钥加密的对应的公钥就能解开，但是公钥是公开的，所以所有持有公钥的人都能解开，这个严格意义上不算加密解密，而是私钥签名，公钥验签的过程

@LxExExl 诶？我试过，私钥加密，公钥解密，解密出来的是明文而不是摘要
是加密的算法和签名的算法不一样导致的吧

当然可以。
明文--公钥加密---密文--私钥解密---明文
明文--私钥加密---密文--公钥解密---明文

明文的哈希--私钥加密---签名---公钥解密----明文的哈希，若哈希值和明文的哈希值相同，则证明 明文的发送者，是私钥的持有者。

不知道楼主看懂了没。 rsa 本身公钥 和 私钥 在加解密时，是可以互逆的。 根据加密的内容 和 方向不同，形成了 加密和 签名等用法。

@3dwelcome 签名其实也是加密，只是加密的对象是数字摘要。

就 RSA 算法而言，私钥公钥是完全对等的，一个用作加密，另一个就可以解密。但实际应用中，为了性能考虑，对私钥公钥有不同的要求，比如 openssl 的公钥中的 e 就简单取了 65537，就是为了计算方便。这时候公钥私钥就最好不要互换。否者安全性得不到保证。

@weyou 据我了解，签名和加密是不太一样的。加密过程会填充随机 padding，以确保同一个数据，每次 RSA 加密的结果不同，提高破解难度。而签名刚好相反，需要每次结果都有一致性，已判断保护的数据块是否被篡改。

@3dwelcome 你可以试试 明文使用私钥进行加密，每次加密的结果是一样的，使用公钥加密，加密的结果是不一样的

在俺的理解里，公钥和私钥并没有本质上的不同，当你选择了其中一把作为私钥，另一把自动成为公钥，反之亦然

确实可以私钥加密，公钥解密。但是从 RSA 方案的设计角度来说，私钥加密，公钥解密这种方式安全性并无法得到保证，具体的你可以搜一下

楼主培训班出身？

搜一下可好？这个问题论坛里讨论不止一次了

@vinguo 虽然我不是 但我觉得培训班出身的人应该比你强

@CEBBCAT #14 好吧，我查了查（ https://segmentfault.com/q/1010000002932436 ），本质上是一样的，但是 openssl 会把还多隐秘性的要素存进私钥的 pem，所以不能像我说的那样随意互换

@weyou 你说的没错，但是规范就是规范，对于符合 PKCS#1 V2.1 标准的 padding 类型有好多种，都是有严格限定，不能混用的。
PADTYPE_SIGN 专用于签名报文，PADTYPE_ENCRYPT 专用于加密，PADTYPE_OAEP 结合 SHA256 算法，各司其职，各个 RSA 软件才能相互兼容。

@3dwelcome 是的，在实际应用中，公钥用来加密，私钥用来签名，不能互换，这是规范。但就楼主所问问题而言，RSA 算法在数学上公钥私钥其实没什么不同，任选一个作为公钥，另外一个就是私钥。任选一个用来加密另一个就可以用来解密。

@weyou #22 其实不是任选一个作公钥的 非对称加密还有一个特点就是 从私钥计算公钥很简单 从公钥计算私钥很困难 这也是保证公钥加密算法安全的一个因素

原理上没有问题。非对称密钥的本质就是用一个 key 加密，就能用另外一个 key 解密。

不过一般都是，
公钥加密，私钥签名。
公钥加密，私钥签名。
公钥加密，私钥签名。

因为你公开了的就是公钥，没公开的就是私钥。


@3dwelcome @weyou 签名是可以加上 padding 的，而且是有必要的。加了 padding 以后，保证每次生成的签名都不相同，但是都可以用同一个公钥进行验证。参考 PKCS#1 V2.2 RSASSA-PSS。

@dryadent 私钥签名（加密）和公钥验证签名（解密）是数字签名的基础，必然是可以保证安全性的。如果真不能保证，那么我们现有的数字签名体系早就崩塌了。

@andyhuzhill 不是吧，一般来说 rsa 的公私钥，只有一个的话另一个是算不出来的吧

@luckyuro #25 由私钥是可以计算出公钥的，所以一般只需要好好保存私钥就可以了

这帖子一发出来就看到了，半天后回复除了 @sadan9 基本上都没抓住重点

公钥加密系统两种用法

op 提问的这个用法，叫数字签名，用私钥(加密)签名，公钥(解密)验证

另外一个就是非对称加密，用公钥加密，用私钥解密

反过来这样加密就是签名算法的原理。但实际上不推荐用同一把。有可能存在如下攻击：通过观察签名数据的明文和密文之间的关系（公钥），即使不知道私钥，但也推测加密数据的明文和密文的关系（私钥），或者缩小可能的范围。目前没听说有可操作的攻击不代表以后没有。
所以 gpg 就是建议加密、鉴权、签名三种密钥不同。

@CEBBCAT 实现上是有不同的。n 和 d 组成私钥。n 和 e 组成公钥。e 可以随机选取，但一般都用 65537。也就是说，知道私钥就可以知道公钥。

@luckyuro 实际上只要你用的是常见的软件生成，比如 OpenSSL，那就是默认 65537

@ryd994 太感谢了

其实我感觉私钥和公钥完全是可以互换的，生成一组之后，把哪个公开那个就是公钥，自己保留的那个就是私钥。
私钥加密公钥解密通常都是签名的作用。通过公钥来验证一段内容是由私钥持有人发布的。不过现在通常签名都是用私钥加密哈希值而不是加密原文。但本质上你加密的是原文解密出来就是原文，加密的是哈希值，解密处理就是哈希值，解密结果与未加密的是一样的。

可以是可以，但公钥长度一般都不长，甚至本身是公开的。安全性不佳

楼上一堆瞎说的。。。。。。

我在工作中经常使用这些东西，我来说说我的理解吧。

# RSA 可以用于加解密，也可以用于消息签名。

RSA 使用一对不同的密钥：公钥和私钥。公钥是公开的，你知道，别人也知道，别人也需要知道；私钥是只能持有者知道，不能泄露了，不然很麻烦。

# 加解密

A 和 B 通信，A 使用 B 的公钥和 RSA 加密算法对消息进行加密，得到密文，密文扔出去后，只有 B 使用自己的私钥才能解。
B 回复 A，B 使用 A 的公钥和 RSA 加密算法对响应数据进行加密，加密后的密文只有 A 能够解。这就保证了，数据不会被第三方获取。

当然这里面还有一些其他的问题，比如怎样获取对方的公钥，怎样确定获取到的公钥就是对方的公钥而不是中间人伪造的公钥。可以了解下 https 握手的过程，https 主要通过对称加密（比如 AES 等）方式通信，但是对称加密密钥是通过 RSA 加密传输的。

# 签名验签

RSA 可以用于消息签名，用于消息接收方确认消息发送方身份，防止伪造的消息。
A 将原始数据使用 A 的私钥进行 RSA 签名得到 Sign，原始数据附带签名一起发送给消息接收方，消息接收方 B 使用 A 的公钥、原始数据、Sign 三个要素进行验签过程，也就是使用 A 的公钥和 RSA 算发对 Sign 进行处理，用处理的结果与原始数据进行对比，如果一致，说明是 A 发送的，而且只能是 A 发送的，除非 A 的私钥泄露了。

由于 RSA 算法比较慢，而且原始数据的大小不确定，消息签名的计算和传输可能会造成很大的 cpu 和网络开销，消息签名一般是对原始数据的摘要进行签名，比如 MD5 消息摘要算法（ MD5 长度固定，且不同消息 MD5 冲突的可能性很小），对应的，验签的时候对比的不不是原始数据，而是消息摘要。使用指定的消息摘要进行签名时，签名过程计算较快，而且签名结果长度也相对固定。



总之，加解密和消息签名使用 RSA 时，目的不同，一个是为了防止明文消息被第三方获取（私密性），一个是为了方便消息接收方确认消息没有被篡改（完整性）。

如有错误，烦请指出。

所以，加密是不用使用私钥的，公钥公开了，任何人只要获取到你的公钥就能解了。签名也不能使用公钥，没有人有办法验证，因为别人都不知道签名者的私钥。

@andyhuzhill 在数学意义上私钥（ d，n ）并不能很容易的计算出公钥（ e，n ），或者说从私钥计算公钥和从公钥计算私钥的复杂度是完全一样的。之所以你实际操作中从私钥可以能计算出公钥是因为现有的 rsa 库（比如 openssl ）都是选取 e 为 3 或者 65537 （为了效率考虑），私钥的 n 你知道了，e 只有两种可能，所以公钥自然就知道了。所以这不代表 rsa 算法中的公钥私钥不是对等的。

打个比方，道路右行和左行其实没有区别，但是我国交通法规定必须右行，你在实际中硬要左行，那出事故的概率肯定要大大高于右行，但你得出个结论说因为左行事故发生率高所以我们必须右行，这就是本末倒置了。

非对称加密算法公私钥都可用来加解密。
但是主流用法如 tls 是非对称算法签名，即私钥加密公钥解密，其对象是对称算法的密钥。
然而高安全的应用会在 tls 链接之上再做一层认证和密钥交换，比如 tor 的 NTOR 握手。

另外，rsa 是被怀疑有后门的虽然没有人找出来，
所以建议选择非对称算法时考虑下 curve25519，golang，erlang，openssl 等也都已支持。
本人就毕设是做过 rsa，但是在看过 tor 的设计文档后感觉已经初入门道了，感兴趣的朋友强烈建议阅读参考。

另外，公私钥是有区别的，私钥能轻易推导出公钥，但是公钥却几乎不可能“破解”出私钥，以至于某些实现的私钥数据结构中就包含公钥。

https://blog.x86.men/blog/rsa-faq

专门写了一篇短文把知识点撸一下。

这一楼里大家对名词的定义全是乱的，比如私钥和私钥文件不分清，导致各种上下矛盾但又都正确的帖子层出不穷。32 楼的 @tangweihua163 更是把私钥和事实私钥概念混在一起，写得完全正确，但是完全文不对题。

@msg7086 我只是指出楼主搞反了啊，加密不能用私钥，签名不能用公钥。另外，我说的公钥私钥是表层逻辑上的概念，并不包含底层算法原理和具体数据关系数据结构。我不知道到底是谁文不对题……我提到事实私钥这个概念了吗？

@tangweihua163 逻辑层上的私钥和公钥是事实私钥和事实公钥。
底层算法原理中的公钥和私钥才是原始的公钥和私钥。

算法原理中的公钥和私钥是对等的，而上层因为种种原因（例如实际代码实现，参数选择，存储方式等因素）才导致了你说的这些东西。这些不是“ RSA ”的限制，而是“某种 RSA 的实现”的限制。所以我才说，针对楼主说的“ RSA ”的疑问，你的回答，内容正确但是并不对题。你回答的并不是楼主问的。

@msg7086 你可能理解错了我的意思了，我已经说过了，签名是用私钥处理，公钥验证。公私钥在数学上对等的，只是个选择问题，但是，用私钥处理数据不能称为是加密，因为没有私密性，用公钥处理不能称为签名，可伪造。至于你说的什么事实私钥事实公钥，我觉得是多余的概念，一对密钥生成后，定下一个做公钥，一个做私钥，以后也不能改，那今后公就是公，私就是私，没有什么事实的说法，多余…

@tangweihua163 可以再谈谈公钥交换

@msg7086 感兴趣公钥交换

@pythonee 你说的是 Key Exchange 算法吗？

@msg7086 算法和交换过程

@pythonee https://tls.ulfheim.net/

@pythonee 维基百科上的 DHE 词条写得非常详细了，建议直接读那个。

@andyhuzhill
@henglinli

https://crypto.stackexchange.com/questions/8701/given-a-private-rsa-key-how-do-we-get-the-public-key

小白弱弱地问下，如果公钥解不出私钥加密的数据，那服务器返回给客户端的数据要怎么得到……

@kangzai50136 RSA 不用与传输实际数据
确认身份已经协商一个对称加密密钥，之后都是用对称
原因是不对称加密太慢了