2025年6月27日·1 分钟
阿迪·沙密尔的突破:RSA、秘密共享与实际安全
探索阿迪·沙密尔关于 RSA 与秘密共享的核心思想,了解优雅的数学如何塑造现实世界的安全、风险与密钥处理。
探索阿迪·沙密尔关于 RSA 与秘密共享的核心思想,了解优雅的数学如何塑造现实世界的安全、风险与密钥处理。
阿迪·沙密尔是那类少有的研究者:他的想法没有仅仅停留在论文和会议上——它们成为了日常安全的基石。如果你曾使用过 HTTPS、验证软件更新,或依赖数字签名来建立在线信任,那么你已经受益于他参与塑造的工作。
沙密尔共同发明了 RSA,这是一种公钥密码系统,使得陌生人之间大规模地交换安全消息并证明身份成为可能。他还创建了 Shamir 的秘密共享,一种将秘密(比如加密密钥)分割为多个片段的方法,使得任何单个人或单台服务器都不会完全掌控秘密。
这两种思想有一个共同主题:一个干净的数学洞见可以解锁可被组织实际部署的实用安全能力。
本文关注的是从优雅概念到支持真实系统的工具的桥梁。你将看到 RSA 如何促成签名和安全通信,以及秘密共享如何帮助团队使用“k-of-n”规则分散信任(例如任何 5 人中任意 3 人可批准关键操作)。
我们会解释核心思想而不做繁重的方程或高级数论。目标是清晰:理解这些系统试图实现什么、设计为何巧妙、以及它们的锋利边界在哪里。
但也有局限。强大的数学并不自动意味着强大的安全。真实的失败通常来自实现错误、糟糕的密钥管理、不良的运维程序,或对威胁的非现实假设。沙密尔的工作让我们看到两面:良好密码学设计的力量——以及谨慎、务实执行的必要性。
真正的密码学突破不仅仅是“我们让加密更快”。它是一种改变人们可以安全做的事情的新能力。把它看作扩展了安全工具能解决问题的集合——尤其是在规模、陌生人之间,以及在不可靠网络和人为失误等现实约束下。
经典的“秘密代码”专注于隐藏消息。现代密码学目标更广、更实用:
这种转变很重要,因为许多失败并非来自窃听——而是来自篡改、冒充以及关于“谁做了什么”的争议。
使用对称密码学时,双方共享相同的秘密密钥。它高效并且仍被广泛使用(例如加密大文件或网络流量)。难点在于:双方如何在事前没有见面的情况下安全地共享该密钥?
公钥密码学将密钥分为两部分:一个可以公开分享的公钥和一个需要保密的私钥。人们可以用你的公钥加密消息,只有你的私钥能解密;或者你用私钥签名,任何人都能用公钥验证。
当公钥变得实用,安全通信不再需要预先共享秘密或依赖可信的快递。这使得互联网级别的系统更安全:安全登录、加密的网页流量、可验证的软件更新,以及支持身份和问责的数字签名。
这正是被称为突破的新能力类型。
RSA 有着密码学领域最好的成名故事之一:三位研究者——Ron Rivest、Adi Shamir 和 Leonard Adleman——试图把一个新想法(公钥密码学)变成可实际使用的方案。
1977 年,他们发表了一个很快成为回答“如何在不先共享秘密的情况下让两个人安全通信”的最著名实用方案。他们的名字组合成了首字母缩写 RSA。
RSA 的重大变革用日常术语很容易描述。你可以发布一个锁给任何人使用(你的公钥),同时把唯一能打开它的钥匙保给自己(你的私钥)。
因此,如果有人想给你发送一条秘密消息,他们不需要先见到你。他们拿你的公钥把消息上锁并发送;只有你拥有能解锁的私钥。
“发布锁、隐藏钥匙”的承诺正是当时让人觉得神奇,并成为现代信任基础的原因。
RSA 依赖一种特殊的难题:
在 RSA 中,公钥允许任何人“混合颜料”来保护消息,而私钥就是让“还原”可行的隐藏配方。
RSA 在几个关键角色中出现:
即便新工具变得流行,RSA 那句“公钥是锁、私钥是钥匙”的直白比喻仍解释了许多互联网信任的构建方式。
RSA 看起来神秘,直到你把注意力放在两种日常思想上:把数字绕回固定范围和依赖一个看似极难逆转的问题。
模运算发生在数字“绕回”时,就像钟表上的小时数。在 12 小时制中,10 + 5 不是 15,而是回到 3。
RSA 使用同样的绕回概念,只是把“钟表”做得非常大。你选择一个大数(称为模数),在计算时所有结果都被约化回 0 到模数减一的范围内。
重要性在于:模运算让你能做出在一个方向上容易而在另一个方向上困难的运算——这正是密码学所需要的不对称性。
密码学通常依赖于一个任务:
对 RSA 来说,那个“特定信息”就是私钥。没有它,攻击者面对的是一个随着数字规模增长变得极其昂贵的问题。
RSA 的安全性基于因式分解的难度:将一个大数分解成构成它的两个大素数的乘积。
把两个大素数相乘很容易,但如果别人只告诉你乘积而要你找回原始素数,随着数字变大,这个逆向步骤显得极其费时。
因此,因式分解的困难是 RSA 可行的核心原因:公开信息可以安全共享,而私钥便于实际使用但难以重构。
RSA 并不是基于一个证明分解质因数不可能的数学结论。它是基于数十年的经验:聪明的研究者尝试过许多方法,而已知的最好方法在合理的密钥大小下仍需太多时间。
“假定困难”意味着:不是永远无法破解,而是被信任为难以用可行资源有效破解,直到出现重大发现。
密钥长度控制那个模“钟表”的大小。更大的密钥通常使因式分解代价成倍增长,将攻击推到不切实际的时间与预算之外。这也是旧的、较短的 RSA 密钥被弃用的原因——密钥长度实际上是对攻击者付出代价的选择。
数字签名回答的问题与加密不同。加密保护机密性:“只有预期收件人能读到吗?”签名保护信任:“谁创建了这份内容?它是否被修改?”
数字签名通常证明两件事:
使用 RSA,签名者用他们的私钥生成与消息绑定的一段短数据——签名。任何拥有对应公钥的人都可以校验它。
重要的是,实际系统并不直接“签署整个文件”。通常对文件的哈希(紧凑指纹)进行签名。因此无论是小消息还是多 GB 的下载,签名机制都同样适用。
RSA 签名出现在需要大规模验证身份的地方:
直接“做 RSA 运算”并不足够。真实世界的 RSA 签名依赖标准化的填充与编码规则(例如 PKCS#1 或 RSA-PSS)。把它们看作防止微妙攻击并使签名明确的护栏。
你可以在不证明发送者身份的情况下加密,也可以在不隐藏消息的情况下签名。许多安全系统同时使用两者,但它们解决的是不同的问题。
RSA 是一个强有力的理念,但大多数现实中的“被攻破”并非击败了底层数学,而是利用了周边的混乱部分:密钥如何生成、消息如何填充、设备如何表现、以及人们如何运维系统。
当头条写“RSA 被破解”时,故事通常关于实现错误或部署捷径。RSA 很少以“裸 RSA”形式使用;它嵌入在协议中,被填充方案包裹,并与哈希与随机数结合。如果任一部分出错,系统可能垮掉,即便核心算法依然健壮。
反复导致事故的漏洞类型包括:
现代加密库与标准是团队从血淋淋教训中总结出来的。它们内建安全默认值、恒定时间操作、经过审查的填充,以及协议级的护栏。自己“写 RSA”或改动已确立的方案风险极大,因为小偏离就可能创造新的攻击路径。
这在团队快速交付时尤为重要。如果你使用快速开发工作流——无论是传统 CI/CD 还是像 Koder.ai 这样的 vibe-coding 平台——速度优势只有在安全默认也被标准化的情况下才成立。Koder.ai 能生成并部署全栈应用(网页端 React、后端 Go + PostgreSQL、移动端 Flutter),能缩短到上生产的路径,但你仍需严谨的密钥处理:TLS 证书、秘密管理与发布签名应被视为一等运维资产,而不是事后补救。
如需超出数学的更多实用安全指南,请浏览 /blog 获取相关指南。
依赖一个“主秘密”是运行安全的令人不安的方式。如果单个人持有密钥(或单台设备存储它),你会面临常见的现实失败:意外丢失、被盗、内部滥用,甚至胁迫。秘密可能被完美加密,但仍脆弱,因为它只有一个所有者和一个故障点。
Shamir 的秘密共享通过把一个秘密分成 n 个独立份额 并设置规则来解决这个问题:任意 k 个份额 可以重建原始秘密——而少于 k 个不会泄露任何有用信息。
所以问题从“谁有主密码?”变成了:“在真正需要时我们能召集到 k 个被授权的人/设备吗?”
阈值安全将信任分散到多个持有者:
这对高影响秘密尤为有价值,如恢复密钥、证书颁发机构材料或关键基础设施的根凭证。
Shamir 的洞见不仅在于数学优雅——更是把信任从单一赌注变为可度量、可审计的规则的实用方法。
Shamir 的秘密共享解决了一个非常实用的问题:你不希望一个人、一个服务器或一个 U 盘成为“钥匙”。相反,你把秘密拆分成片段,使一群人必须合作才能恢复它。
想象你在方格纸上画一条光滑曲线。如果你只看到一两个点,可以画出无数条经过它们的不同曲线。但如果你看到足够多的点,曲线就唯一确定了。
这就是多项式插值的核心思想:Shamir 把秘密编码为曲线的一部分,然后发放曲线上的点。足够多的点可以重建曲线并读出秘密;点数不足时,你面对许多可能的曲线——秘密仍被隐藏。
一个份额只是那条隐藏曲线上的一个点:单独看起来像随机的数据包。
通常称为 k-of-n 方案:
秘密共享只有在份额不在同一处或同一控制下时才有效。最佳做法是把它们分散到人、设备和地点(例如:一个存在硬件令牌里,一个交给法律顾问,一个放在安全金库)。
选择 k 是个权衡:
数学的优雅在于它把“共享信任”变成了精确且可执行的规则。
把秘密共享理解为分权控制的工具,而不是普通意义上的“安全存储”手段。它是治理工具:你刻意要求多个人(或系统)在重建密钥前必须协作。
这些工具都能降低风险,但降低的是不同种类的风险:
当“秘密”价值极高且你希望强检查与平衡时,秘密共享最有用:
如果你的主要问题是“我可能删掉文件”或“我需要重置用户密码”,秘密共享通常显得过度。它也不能替代良好的运维安全:如果攻击者能欺骗足够多的份额持有人(或攻破他们的设备),阈值仍可被满足。
明显的失败模式是可用性:丢失过多份额会导致无法恢复秘密。更微妙的风险是人为的:
把流程文件化,分配明确角色,并定期演练恢复——就像火灾演习一样。如果没有经过测试,秘密共享计划更像是希望而非真正的控制措施。
RSA 与 Shamir 的秘密共享以“算法”著称,但它们的真正影响出现在被嵌入到人和组织实际运行的系统中:证书颁发机构、审批工作流、备份与事故恢复。
RSA 签名支撑了“公钥可以代表身份”的观念。在实践中,这成为了 PKI:证书、证书链,以及谁被允许签名什么的策略。公司不仅在选“RSA 还是别的”,还要决定谁能颁发证书、密钥多久轮换一次、以及一旦怀疑密钥泄露如何处理。
密钥轮换是 RSA 的运维伙伴:计划变化。短生命周期证书、定期替换和清晰的撤销流程能减少不可避免错误的影响范围。
秘密共享把“一个密钥、一个所有者”变成了一种信任模型。你可以要求 k-of-n 的人(或系统)来重建恢复秘密、批准敏感配置更改或解锁离线备份。它支持更安全的恢复:没有单个管理员可以悄然接管,也没有单个丢失的凭证会导致永久锁死。
好的安全要问:谁能签署发布?谁能恢复账户?谁能批准策略更改?职责分离通过让高影响操作需要独立同意来减少欺诈与意外损害。
这也是运维工具重要的地方。例如,像 Koder.ai 这样的平台包含快照与回滚功能,可以减少错误部署的影响——但这些防护在配合有纪律的签名、最小权限访问与清晰的“谁能批准什么”规则时才最有效。
对于提供不同安全等级的团队——比如基础访问与阈值审批——请把选择写清楚(参见 /pricing)。
一个密码学算法在理论上“安全”,但一旦遇到真实的人、设备和工作流可能就会失败。安全总是相对的:相对于可能攻击你的人、他们能做的事情、你在保护什么、以及失败会带来怎样的代价。
先把可能的威胁方列出来:
每类威胁推动你采用不同防御。如果你最担心外部攻击者,可能优先强化服务器、使用安全默认并快速打补丁。如果内部人员是更大风险,你可能需要职责分离、审计日志与审批流程。
RSA 和秘密共享说明了“好的数学”只是起点:
一个实用习惯:把你的威胁模型写成一份简短的假设清单——你在保护什么、对谁、能容忍哪些失败。条件变化时复查它:新成员、迁移到云、并购或新监管要求。
如果你全球部署,还要添加地点与合规假设:密钥存放在哪、数据在哪里处理、跨境约束是什么。(例如 Koder.ai 在全球的 AWS 上运行并可在不同国家部署应用以帮助满足区域隐私与数据传输要求——但定义模型并正确配置的责任仍在团队。)
阿迪·沙密尔的工作提醒我们一个简单规则:优秀的密码学想法使安全成为可能,但把它变成现实依赖你日常的流程。RSA 与秘密共享是优雅的构建模块。你实际得到的保护取决于密钥如何被创建、存储、使用、轮换、备份与恢复。
把密码学当作工程而非魔法。一个算法可以在理论上是可靠的,但周边系统可能脆弱——因为匆忙交付、职责不清、缺乏备份或“临时”捷径变成永久做法。
如需更多关于密钥管理与运维安全的实用指南,请浏览 /blog 的相关文章。
一个突破带来了新的能力——不仅仅是速度提升。在现代实践中,这通常意味着在事先不共享密钥的情况下,实现各方之间的机密性、完整性和不可否认性,并能在互联网规模上运行。
对称加密速度快,但假设双方已经共享同一个秘密密钥。公钥密码学引入了一个可以公开分发的公钥和一个必须保密的私钥,从而解决了陌生人或大规模系统间的密钥分发问题。
RSA 让你发布一个“锁”(公钥),任何人都能用它锁住消息,而只有你持有能开锁的“钥匙”(私钥)。今天它广泛用于数字签名,并且在历史上用于密钥传输/交换,在安全协议中支持建立信任。
它依赖于模运算(“钟表数学”)和一个假设:将一个非常大的数分解成两个大素数的乘积(即分解质因数)在适当密钥长度下计算上不可行。它是“假定困难”的问题,而不是已被证明不可能解决,因此参数和最佳实践很重要。
加密回答的是:“谁能阅读此内容?”,而签名回答的是:“谁创建/批准了这份内容,以及它是否被篡改?”在实际系统中通常对数据的哈希签名,验证者用公钥来校验签名。
大多数实际故障来自RSA 周围的系统,例如:
请使用经过验证的库和现代填充方案,而不是“裸 RSA”。
Shamir 的秘密共享把一个秘密拆成 n 个份额,使得任意 k 个份额可以重建原密钥,而少于 k 个份额不会泄露有用信息。它将“单一主密钥持有者”替换为受控的阈值合作方。
当你想要没有单点失效且单人无法独自操作时使用它,例如:
对于日常备份或低价值秘密,运维开销往往超过收益,可能显得过度设计。
根据现实约束选择 k:
还要确保份额分散在不同的人、设备与地点;否则你会重新创建原先要消除的单点故障。
安全依赖于威胁模型和运维,而不仅仅是算法。实用步骤包括:
更多实现指导可以参见 /blog 的相关文章。