ecdsa JAVA 私钥推导公钥_ECDSA(椭圆曲线数字签名算法)

ECDSA(Elliptic Curve Digital Signature Algorithm)

一、学习背景--数字签名

在现实工作和生活中,我们使用签名的方式表达对一份文件的认可,其他人可以识别出你的签名并且无法伪造你的签名。数字签名就是对显示签名的一种电子实现,它不仅可以完全达到现实签名的特点,甚至能够做的更好。

常用的数字签名算法有RSA(Rivest-Shamir-Adleman Scheme)、DSS(Digital Signature Standard)等。比特币使用ECDSA来生成账户的公私钥以及对交易和区块进行验证。

二、简单说一下数字签名的工作原理

1.Alice(密码学中常用A到Z开头的人名代替甲乙丙丁等,字母越靠后出现频率越低)生成一对密钥,一个是sk(signing key),是非公开的;另一个是vk(verification key),是公开的。

这一对密钥同时生成,并且在数学上是相互关联的,同时,根据vk无法推测出关于sk的任何信息。

2.数字签名算法接收两个输出:信息M和sk,生成一个数字签名Sm

3.验证函数接收信息M、Sm以及vk作为输入,,返回结果是yes或者no。这一步的目的是为了验证你看到的针对信息M的数字签名确实是由Alice的sk来签发的,用于确认信息与签名是否相符。

与手写签名不同,手写签名基本都是相似的,但是数字签名却受输入影响很大。对输入轻微的改变都会产生一个完全不同的数字签名。一般不会对信息直接进行数字签名,而是对信息的哈希值进行签名。由加密哈希函数的无碰撞性可知,这样和对原信息进行签名一样安全。

899077117ff8?utm_campaign=hugo

以md5加密算法为例

三、ECDSA算法

写在开头:为什么使用ECDSA算法?

两个优点

1.在已知公钥的情况下,无法推导出该公钥对应的私钥。

2.可以通过某些方法来证明某人拥有一个公钥所对应的私钥,而此过程不会暴露关于私钥的任何信息。

证明将在后面给出。

在数学上,任何满足以下方程的点所形成的曲线称为随机椭圆曲线:

math?formula=y%5E2%3Dx%5E3%2Bax%2Bb并且

math?formula=4a%5E3%2B27b%5E2%E2%89%A00,a和b可以为任意值。下面展示几个随机椭圆函数的示例:

899077117ff8?utm_campaign=hugo

y^2 =x^3−x+1

899077117ff8?utm_campaign=hugo

y^2=x^3-1

从图中可以看出,随机椭圆曲线都是关于x轴对称的。

ECDSA算法通过随机椭圆曲线方程的性质产生密钥,有很多的实现方案。其中比特币、以太坊以及其他一些的区块链项目使用的标准为secp256k1,它的公式为:曲线如下图:

899077117ff8?utm_campaign=hugo

secp256k1的曲线图

1.点的加法

在了解如何通过基于secp256k1椭圆曲线的ECDSA算法生成公私钥之前,我们需要了解在随机椭圆曲线里,点的加法是如何实现的。

首先定义椭圆曲线上点的加法。设椭圆曲线上有两点,A和B点,那么作过这两点的直线与该曲线相交于第三点(C点),然后关于X轴对称得到D点,则D为这两个点的和,记作D=A+BD=A+BD=A+B。很明显,D点也在该曲线上。所以椭圆曲线上两点之和也是曲线上的点。

899077117ff8?utm_campaign=hugo

加法图示

特例:

1.如果两点重合,则做该点的切线,与曲线相交点的对称点为和,即A+A=C

如图:

899077117ff8?utm_campaign=hugo

两点为同一点

2.如果两点关于X轴对称,定义A+B=0

2.点的乘法

有了加法以后,乘法实现是不过是进行多次加法运算。有了一个基准点P以后,我们可以对其进行乘法运算,最后可以得到曲线上的另外一个点。

设PPP是椭圆曲线上的一个点,那么正整数kkk乘以点PPP的结果由下面的式子定义,注意式子中的加法是上面提到的椭圆曲线上点的加法:

math?formula=1%E2%88%97P%3DP

math?formula=2%E2%88%97P%3DP%2BP

math?formula=3%E2%88%97P%3D2%E2%88%97P%2BP

math?formula=%E2%80%A6

math?formula=k%E2%88%97P%3D(k%E2%88%921)%E2%88%97P%2BP

3.公钥和私钥的生成

点的运算满足结合律:

math?formula=n%5Ccdot%20P%2Br%5Ccdot%20P%3D(n%2Br)%5Ccdot%20P

很显然,通过累加

math?formula=k%E2%88%921的方式计算

math?formula=k%E2%88%97P是一种很笨的办法,其时间复杂度是线性的。上面我们提到过,椭圆曲线上点的加法是满足结合律的,即

math?formula=(A%2BB)%2BC%3DA%2B(B%2BC),扩展一下,就有

math?formula=P%2BP%2BP%2BP%3D(P%2BP)%2B(P%2BP)%3D2P%2B2P

于是就有这么一种骚操作,比如计算

math?formula=16P,我们可以先计算

math?formula=2P%3DP%2BP;然后计算

math?formula=4P%3DP%2BP%2BP%2BP%3D2P%2B2P;再计算

math?formula=8P%3DP%2BP...%2BP%3D4P%2B4P;最后计算

math?formula=16P%3D8P%2B8P。这里我们把15次加法减少到了4次。

当然,k的值不可能总是2的幂。实际上上面的操作可以推广到k为任意正整数的情况。比如计算23P,首先计算

math?formula=2P%3DP%2BP,然后

math?formula=4P%3D2P%2B2P

math?formula=8P%3D4P%2B4P

math?formula=16P%3D8P%2B8P

因为

math?formula=23%3D16%2B4%2B2%2B1,所以

math?formula=23P%3D16P%2B4P%2B2P%2BP。总共只需要7次加法。

分析一下,对于任意正整数k,我们都可以利用这个方法将计算k∗P所需的加法计算次数降低到

math?formula=2%E2%8B%85%E2%8C%8Alog2k%E2%8C%8B%E2%88%921

也就是说,从时间复杂度的角度来看,这个算法是一个

math?formula=O(logk)的算法。

这个方法被称为快速幂算法,原本常用于快速计算某个数的k次幂,这里将其推广到椭圆曲线点乘的快速计算中。

为什么要在介绍了椭圆曲线上点的乘法后突然冒出一个快速幂算法?快速幂算法对于椭圆曲线加密有什么意义?因为数学家/密码学家发现,利用快速幂算法计算

math?formula=k%E2%88%97P的时间复杂度是对数级的,但是要在知道

math?formula=k%E2%88%97P

math?formula=P的前提下,倒推出

math?formula=k的值,没有比挨个尝试

math?formula=k的值快太多的算法。于是椭圆曲线加密依赖的数学难题就这么诞生了。

math?formula=k为正整数,

math?formula=P是椭圆曲线上的点(称为基点),已知

math?formula=k%E2%88%97P

math?formula=P,计算

math?formula=k

如果我们改一种记法,把椭圆曲线上点的加法记作乘法,原来的乘法就变成了幂运算,那么上述难题的形式跟离散对数问题应该是一致的。即:

math?formula=k为正整数,

math?formula=P是椭圆曲线上的点,已知

math?formula=P%5Ek

math?formula=P,计算

math?formula=k%3Dlog_PP%5Ek

所以这个难题叫椭圆曲线上的离散对数问题。

尽管两者形式一致,但是他们并不等价。实际上这个问题比大整数质因子分解(RSA)和离散对数(DH)难题都要难得多,目前还没有出现亚指数级时间复杂度的算法(大整数质因子分解和离散对数问题都有),以致于同样的安全强度下,椭圆曲线加密的密钥比RSA和DH的短不少,这是椭圆曲线加密的一大优势。

优点1的证明

1.在已知公钥的情况下,无法推导出该公钥对应的私钥。

假设随机取一个

math?formula=0~

math?formula=256位之间的值x,计算

math?formula=x*P,最后的结果一定会落在曲线上的一点。假设该点为

math?formula=X,在公开

math?formula=X以及具体曲线的方程的情况下,能否反推出最初的随机值

math?formula=x

证:寻找

math?formula=x的过程只能通过暴力计算,

math?formula=x的可能值为

math?formula=0~

math?formula=2%5E%7B256%7D-1中的一个,平均来说需要计算

math?formula=2%5E%7B128%7D次能够找到一次

math?formula=x值。那么问题来了,运行一次

math?formula=2%5E%7B128%7D的计算需要多长的时间呢?

假设我们使用的是超级计算机,主频为

math?formula=1THz(一秒钟可以进行一万亿次运算),从宇宙诞生的那一刻开始计算,到现在也就进行了

math?formula=2%5E%7B98%7D次。找到

math?formula=x值的概率为

math?formula=%5Cfrac%20%7B2%5E%7B98%7D%7D%7B2%5E%7B128%7D%7D%3D%5Cfrac%201%7B1073741824%7D。这个概率和下一秒地球被巨型陨石撞击而毁灭的概率接近,既然我们读到了这里,那么说明这件事没有发生。

在上面的案例中,

math?formula=x

math?formula=0~

math?formula=256位的一个随机数,可以作为私钥。

math?formula=X是随机椭圆曲线上的一个点,也就是由私钥生成的公钥,因此优点可以1得证。

但是密码学中,并不能使用上面介绍的实数域上的椭圆曲线。因为

1.实数域上的椭圆曲线是连续的,有无限个点,密码学要求有限点。

2.实数域上的椭圆曲线的运算有误差,不精确。密码学要求精确。

所以我们需要引入有限域上的椭圆曲线。

要证明优点2,还需要将随机椭圆曲线做一些改动:为了保证最后计算出来的点的坐标值相加是512位,secp256k1引入了一个对质数取模的机制。具体来说,随机椭圆曲线从

math?formula=y%5E2%3Dx%5E3%2Bax%2Bb变为了

math?formula=y%5E2%20mod%5C%20p%3D(x%5E3%2Bax%2Bb)mod%5C%20p其中

math?formula=p%3D2256-232-29-28-27-26-24-1,是小于

math?formula=2%5E%7B256%7D的最大质数。

此时的随机椭圆曲线函数图如下:

899077117ff8?utm_campaign=hugo

有限域中的函数图像

4.数字签名

优点2的证明

2.可以通过某些方法来证明某人拥有一个公钥所对应的私钥,而此过程不会暴露关于私钥的任何信息。

具体来说,就是向别人证明我知道

math?formula=x,但不暴露

math?formula=x的任何信息。(有些类似于零知识证明)

证:前面介绍过结合律:

math?formula=n%5Ccdot%20P%2Br%5Ccdot%20P%3D(n%2Br)%5Ccdot%20P添加一个hash函数,简单修改可以得出:

math?formula=hash(m%2Cr%5Ccdot%20P)%5Ccdot%20n%5Ccdot%20P%2Br%5Ccdot%20P%3D(hash(m%2Cr%5Ccdot%20P)*(n%2Br))%5Ccdot%20P使

math?formula=n*P%3DX,那么可知

math?formula=n

math?formula=x。此时方程为:

math?formula=hash(m%2Cr%5Ccdot%20P)%5Ccdot%20X%2Br%5Ccdot%20P%3D(hash(m%2Cr%5Ccdot%20P)*(x%2Br))%5Ccdot%20P为了简单起见,我们记

math?formula=R%3Dr%5Ccdot%20P

math?formula=s%3Dhash(m%2CR)*x%2Br。此时方程化简为:

math?formula=hash(m%2CR)%5Ccdot%20X%2BR%3Ds%5Ccdot%20P上面这个方程是什么意思呢?

可以这样假设:在已知

math?formula=m的情况下,如果能够提供一个

math?formula=s

math?formula=R满足上面的方程,就可以证明一个人拥有

math?formula=x。这个假设有一个前提,如果一个人不知道x,那么他就无法提供

math?formula=R

math?formula=s满足上面的等式。

详细探讨这个前提:如果一个人不知道x,又想计算出

math?formula=s

math?formula=R,能够办到吗?结论是不能,首先我们无法从

math?formula=hash(m%2CR)计算出

math?formula=R(在有限时间内)。

还有一个问题:在已知

math?formula=R

math?formula=s的情况下,能否计算出关于

math?formula=x的任何信息?

根据公式:

math?formula=s%3Dhash(m%2CR)*x%2Br只要解出

math?formula=x%3D%5Cfrac%20%7Bs-r%7D%7Bhash(m%2CR)%7D就可以了。

要想计算出x,就需要知道r,但是在r没有公开的情况下,有什么办法可以计算r吗?我们知道R=r*P;但是根据这个公式无法倒推出r(刚才介绍的那个数学难题),所以x也是安全的。

至此,可以证明算法的第二个优点。


版权声明:本文为weixin_34019786原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。