使用 RSA 加密的数据量有什么限制？

Question

通常，建议使用 RSA 来加密对称密钥，然后使用对称密钥来加密“有效负载”。

可以使用 RSA 加密的数据量的实际（或理论）限制是多少（我使用的是 2048 位 RSA 密钥大小）。

特别是，我想知道使用（不同的）RSA 公钥加密 RSA 公钥（256 字节）是否安全？我正在使用 Java 中的 Bouncy Castle 加密库。

Answer 1

对于 n 位 RSA 密钥，直接加密（使用 PKCS#1“旧式”填充）适用于最多 floor(n/8) - 11 字节的任意二进制消息。换句话说，对于 1024 位 RSA 密钥（128 字节），最多为 117 字节。

对于 OAEP（PKCS#1“新式”填充），这会少一些。 OAEP 使用输出长度为 h 位的哈希函数；这意味着大小限制为floor(n/8) - 2*ceil(h/8) - 2。对于使用 SHA-256 作为哈希函数 (h = 256) 的 1024 位 RSA 密钥，这意味着最多 62 字节的二进制消息。

使用另一个 RSA 密钥加密一个 RSA 密钥没有问题（使用 RSA 加密任何字节序列都没有问题，无论这些字节代表什么），但是，当然，“外部”RSA密钥必须更大：使用旧式填充，要加密 256 字节消息，您将需要模数至少为 2136 位的 RSA 密钥。

尽管如此，混合模式（使用随机对称密钥加密数据并使用 RSA 加密该对称密钥）仍然有效推荐作为一般情况，因为它们没有任何实际的大小限制，而且还因为它们使用另一种密钥交换算法（例如 Diffie-Hellman）替换 RSA 部分变得更容易。

Answer 2

该限制或多或少是无限的，但正如您自己所说，这不是应该使用非对称加密的方式。用于实现非对称加密系统的方法比对称加密系统的方法（例如 AES、TripleDES、PRESENT 等）慢几个数量级。那你为什么要这么做呢？使用非对称加密来建立密钥（使用安全密钥建立协议，不要发明一个），然后使用所建立的密钥通过对称算法加密您的数据。

相关说明：为什么要使用另一个公钥加密？顾名思义，它应该是公开的。如果攻击者得到了它，他就无法对它做任何事情。

[编辑] 您绝对应该检查的一件事是您使用的函数是否实现了填充（最好是 RSAES-OAEP）。否则，您的公钥每次都会加密为相同的输出，因此监视您的通信的对手仍然可以知道是您在传输某些内容，即使他看不到您正在传输的公钥。

Answer 3

（理论上）极限是无限的。

对于实际限制，您必须使用特定的硬件/软件实现进行测试，并与您的速度要求进行比较。

---

至于安全性，我会说是的。您的身份（您想要隐藏的身份）与收件人私钥的安全一样安全。

Answer 4

在你问这个问题三年后，我偶然发现了你的帖子，因为我只需要实现类似的东西。在这种情况下，由于存在最大消息长度，您需要一种加密模式来将消息分解为密钥大小的块。您还需要块填充来填充消息的每个块（与通常应用于 DES、3DES、AES 等内容的消息填充相反）。不容易，但有可能。您需要确保每个填充块都小于允许的最大大小。对于块填充，您可以使用例如 OAEP 或 PKCS_V1_5。作为加密模式，您可以使用 ECB（不安全，但有效）或更复杂的东西。 （参见维基百科和加密模式）。

如果你有一个好的加密 API，你应该能够设置加密模式和块/消息填充，然后将消息扔给它。