简介
数字签名算法(DSA)在联邦信息处理标准FIPS中有详细论述,称为数字签名标准。它的安全性基于素域上的离散对数问题。椭圆曲线密码(ECC)由Neal Koblitz和Victor Miller于1985年发明。它可以看作是椭圆曲线对先前基于离散对数问题(DLP)的密码系统的模拟,只是群元素由素域中的元素数换为有限域上的椭圆曲线上的点。椭圆曲线密码体制的安全性基于椭圆曲线离散对数问题(ECDLP)的难解性。椭圆曲线离散对数问题远难于离散对数问题,椭圆曲线密码系统的单位比特强度要远高于传统的离散对数系统。因此在使用较短的密钥的情况下,ECC可以达到于DL系统相同的安全级别。这带来的好处就是计算参数更小,密钥更短,运算速度更快,签名也更加短小。因此椭圆曲线密码尤其适用于处理能力、存储空间、带宽及功耗受限的场合。
原理
ECDSA是ECC与DSA的结合,整个签名过程与DSA类似,所不一样的是签名中采取的算法为ECC,最后签名出来的值也是分为r,s。
椭圆曲线的参数
椭圆曲线算法是工作在循环子群上的,因此需要如下几个参数:
- 素数p,这个值定义了有限域的大小
- 椭圆曲线的系数a、b
- 基点G,也称生成元
- 子群的阶n
- cofactor h (h = N/n)
KeyGen
- G为椭圆曲线上的点,q是由G所组成的有限循环群的阶
- 选取随机数x,x属于[1,q-1]
- 计算Q=xG
- 私钥为:x,公钥为:Q
Sign对消息m签名
- 选取随机数k,k属于[1,q-1]
- 计算R=kG=(Rx,Ry)以及r=Rx mod q
- 计算s=k^-1(H(m)+rx) mod q,若r=0或s=0,则另选随机数k,重新执行上面的过程
- 消息m的签名为(r,s)
Verif
- 计算u=s^-1H(m) mod q, v=rs^-1 mod q
- 计算(x1,y1)=uG+vQ,r1=x1 mod q
- 判断r和r1的关系,如果r=r1,则签名有效,否则签名无效
小结
不太会用Markdown的公式,所以先凑活写一下,以后会用了,再更新!
ECDSA在Bitcoin中的应用
主要应用于,transaction的签名,签名存放在解锁脚本的ScriptSig中,所以在签名中存在两个字段r,s。下面我们来具体分析下今天我看的东西。
Signature
- 选取一个随机数d,计算Publickey=dG
- e=hash(message)
- 选取一个随机数k
- (x,y)=kG,r=x
- s=(e+rd)/k
sig:(r,s)
看着似乎没有什么问题,但是我们如果使用同一个随机数k,即k1=k2
- (x1,y1)=k1G
- (x2,y2)=k2G
因为k1=k2,所以x1=x2,y1=y2,所以r1=r2
- sig1:[r,(e1+rd)/k]
- sig2:[r,(e2+rd)/k]
- s1=(e1+rd)/k,s2=(e2+rd)/k
- 两个等式左右同时相减得到:s1-s2=(e1-e2)/k,即:k=(e1-e2)/(s1-s2)
- 得到k之后就可以计算:d=(s1k-e1)/r
小结
综上所述,即可以得到私钥d,所以如果同一用户下的交易签名r字段相等,就可以得到私钥,进而造成账户金额被盗等重大问题,索尼以前就犯过这样的错误:PlayStation 3 只能运行被索尼的进行ECDSA签名的游戏。如果我想为PlayStation 3开发了一个新的游戏,除非我从索尼获得签名值,否则我及时发布了,也运行不了这个游戏。问题是,索尼签名时用了一个静态的k值而不是随机生成的。所以k的保密性非常重要,且random number也保证其唯一性。它只是介绍的在Bitcoin中,在其他的与Bitcoin相关的加密货币中是否也存在这样的情况,我还要进一步的研究,并且它只是考虑了在同一个用户下会出现这样的情况,那么在不同的用户呢,或者不仅仅是签名r相等呢!