ECDSA算法#
前言#
我今天简单查了查ECDSA的流程,发现一大堆人瞎写,私钥写成公钥,随机数k写成d,真是令人尴尬。所以写个这个,额,差不多可以说是维基百科的翻译版。
ECDSA算法的讲解#
场景假设还是经典的Alice,Bob场景,他们一开始只协商好了椭圆曲线ID,基点G,和基点G的阶n(multiplicative order)。
基本参数定义#
场景假设还是经典的ALICE,BOB场景,他们一开始只协商好了椭圆曲线ID,基点G,和基点G的阶n(multiplicative order)。在TLS1.3中,选定了椭圆曲线就标识对应的基点和基点的阶了。我们下面定义具体的参数。
| 参数名(英文) | 含义 |
|---|---|
| Curve | 选定的曲线和有限域,一般写作y^2 = x^3 + ax + b,这里面a & b都是系数 |
| G | 基点,使用基点在曲线上生成子群 |
| n | 基点的阶,n * G = O,O为基础元 |
| d(A) | Alice的私钥,对应于一个大素数 |
| Q(A) | Alice的公钥,对应于d(A)的公钥,即d(A)*G(椭圆曲线的加乘) |
| m | 要签名的消息,对于ECDSA这里应该是握手消息的hash输出 |
| k` | k在n的整数域上的逆 |
基点G的阶必须是素数,我们这里假设计算是基于整数域也就是Z/nZ的。此外,上面的d(A)是随机生成的私钥,注意d(A)并不是临时密钥(Ephemeral Key)。
ECDSA计算流程#
现在假设Alice要开始对消息做签名了,除了第四步是加乘,其他都是正常的整数域乘法。流程如下:
- 先对消息做$$hash$$,在TLS1.3中称之为transcrpthash(m)。具体体现为$$e = HASH(m)$$,将输出转换为整数
- 假设$$L(n)$$是基点$$G$$的阶$$n$$的bit长度,取z为上一步计算结果e的最左端$$L(n)$$位,实际上就是个截断操作,毕竟这个要参与运算的
- 从$$[1,n-1]$$中随机的选取一个随机数$$k$$,该随机数应当满足密码学安全性
- 计算新的点$$(x(1),y(1))=k*G$$,这里的*依然是椭圆曲线上的加乘
- 取上一步结果的横坐标$$x(1)$$,计算$$r = x(1) mod n$$,如果$$r==0$$,回退到第三步。
- 计算$s=k`*(z+rd(A)) modn$,如果s==0,再次回退到第三步,这里的k`就是k的逆
ECDSA的验签#
验签的流程并不难,对Bob而言,验签过程首先要验证的就是公钥是合法的。这点不多说了。具体流程如下:
- 验证r和s在[1,n-1]之间,如果不在,则签名无效
- 计算 $$e=hash(m)$$,保存e的最左端$$L(n)$$位为$$z$$
- 计算$$u(1)=zs`mod n$$与$$u(2)=rs`mod n$$,s`指代s在n整数域上的逆
- 计算点$$(x(1),y(1))=u(1)*G+u(2)*Q(A)$$,这里的两个乘都是椭圆曲线的加乘
- 验证$$r==x(1)mod n$$,成立则说明签名有效,反之无效。
ECDSA验签的证明#
证明就不多说了,本身将计算流程带入然后结合律搞一下就完了。ECDSA本身需要依靠椭圆曲线逆推难的结论,这点也没啥好说的。
结语#
国内好多文章不知道为啥要自己改来改去,如何定义一个标准的正确的竟然成为了难题。奇葩
结尾的闲言碎语#
写到这里差不多就可以结束了,就不多说了。TLS这块还有啥不明白的直接告诉我就成了