密码学 | 椭圆曲线数字签名方法 ECDSA(下)

已于 2024-04-17 18:15:00 修改
阅读量1.3k 收藏 30
点赞数 17
分类专栏: 密码学 文章标签: 密码学 椭圆曲线
于 2024-04-15 23:44:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64140451/article/details/137797128
版权

目录

10  ECDSA 算法

11  创建签名

12  验证签名

13  ECDSA 的安全性

14  随机 k 值的重要性

15  结语

⚠️ 原文:Understanding How ECDSA Protects Your Data.

⚠️ 写在前面:本文属于搬运博客,自己留着学习。同时,经过几天的折磨后,我对椭圆曲线已经有点基础了,因此删除了一些我认为无关紧要的原文。

10  ECDSA 算法

现在让我们来谈谈 ECDSA 签名算法。

对于 ECDSA,你首先需要知道你的曲线参数,即 a、b、p、N 和 G。你已经知道 a 和 b 是曲线函数的参数:

y^2=(x^3+ax+b)\ \mathrm{mod}\ p

还知道 p 是模数,N 是曲线的点数。但还需要知道 G 是什么。G 代表一个 “参考点” 或者说一个 “原点”,参考点可以是曲线上的任何一点。

NIST(美国国家标准与技术研究院)和 SECG(高效加密标准组)提供了预先制作和标准化的曲线参数,这些参数被认为是有保障且高效的。

私钥是一个 160 位的随机数,而公钥是曲线上的一个点,它是私钥与参考点 G 的点乘结果。设 dA 为私钥,Qa 为公钥,则有:Qa = dA * G,其中 G 是曲线参数中的参考点。

不懂 dA 和 Qa 为什么要这样大小写 😇

11  创建签名

一个签名的长度是 40 个字节,它由两个 20 字节的值组成,第一个称为 R,第二个称为 S,所以 (R, S) 共同构成 ECDSA 签名。具体流程如下:

首先,您必须生成一个随机值 k(20 字节),并使用 “点乘法” 计算 P 点:

P=k*G

P 点的 x 坐标值即为 R,它的长度是 20 个字节。

为了计算 S,您必须对消息进行 SHA1 散列,得到一个长为 20 个字节的值,我们将称之为 z 。现在您可以使用以下方程计算 S:

S = k^{-1}(z + dA * R)\ \mathrm{mod}\ p

请注意 k^{-1},它是 k 的 “模乘逆”。虽然 k^{-1} 本质上是 k 的倒数,但由于我们处理的是整数,所以这是不可能的。因此要求 k^{-1} 是一个整数,它能够使得 (k^{-1} * k) mod p 等于 1

暂时还没有学 “模乘逆”,应该就是一个求模数的方法。

再次提醒您,k 是用于生成 R 的随机数,z 是要被签署的消息的散列,dA 是私钥,R 是 k*G 的 x 坐标值,其中 G 是曲线参数的参考点。

12  验证签名

既然您已经有了签名,您想要验证它,这也是相当简单的。

您使用这个方程来计算一个点 P:

P = S^{-1}*z*G + S^{-1} * R * Qa

只要 P 点的 x 坐标值等于 R,就意味着签名是有效的,否则它就不是。

按照上述方程把 P 点计算出来,只要这个 P 点的 x 坐标值等于 R,就说明签名有效。

很简单,对吧?现在让我们看看为什么成立,这需要一些数学来验证。

我们有:

P = S^{-1}*z*G + S^{-1} * R * Qa

可以看出,算 P 点的时候只需要使用一些公开的数据,而不会涉及私钥。

其中

Qa = dA*G

因此

P = S^{-1}*z*G + S^{-1} * R * dA*G = S^{-1}(z + dA* R) * G

我们代入 P 点的坐标值有:

k*G = S^{-1} (z + dA * R) *G

我们可以通过消除 G 来简化,得到:

k = S^{-1}(z + dA * R)

通过求 k 和 S 的逆,我们得到:

S = k^{-1}(z + dA *R)

这正是用于生成签名的方程,因此等号左右两边的式子是相等的。这就是为什么您可以使用上面的第一个方程来验证签名。

签名的时候会需要使用私钥 dA,验证的时候只需要使用公钥 Qa,这就是所谓的零知识证明吧。

13  ECDSA 的安全性

因为 Qa=dA*G、P=k*G,又因为 ECDSA 的 “点乘法” 是一个陷门函数 —— 在第 9 步中解释过 —— 所以我们不能根据 Qa 和 P 来倒推 dA 或 k,这使得 ECDSA 算法是安全的。

我们没有办法找到私钥,也没有办法在不知道私钥的情况下伪造签名。

为什么 “也没有办法在不知道私钥的情况下伪造签名”?

14  随机 k 值的重要性

现在让我们讨论一下索尼在 Playstation 3 上使用的 ECDSA 签名是如何出现缺陷的,以及这是如何允许黑客获取 PS3 的 ECDSA 私钥的。

生成签名所需的方程如下:

S = k^{-1}(z + dA*R)\ \mathrm{mod}\ p,\ \ R = k*G

S 方程的强度在于它一个方程含有两个未知数,即 k 和 dA,因此无法进行求解。

然而,算法的安全性基于其实现,即确保 “k 是随机生成的” 非常重要,确保没有任何人能够猜测、计算,或者使用时序攻击或其他任何类型的攻击来找到随机值 k 。

索尼

但是索尼在实现上犯了一个巨大的错误,他们在任何地方都使用相同的 k 值。

这意味着如果你有两个签名,它们都有相同的 k,那么它们都会有相同的 R 值。同时这意味着,只要你拥有同一个人的两个签名 S 和 S',就能计算出 k 值。

首先让 S 和 S' 相减:

S-S'= k^{-1} (z+dA*R)-k^{-1} (z'+ dA*R)

整理得到

S-S'= k^{-1}(z + dA*R -z'-dA*R)= k^{-1}(z-z')

从而有

k = (z - z') / (S - S')

其中,z 和 z'、S 和 S' 都是已知的。

一旦得到了 k,那么 S 方程就只含一个未知数了,从而可以很容易地解出 dA:

dA = (S*k - z) / R

一旦得到了私钥 dA,你可以用它来签署自己的文件,而 PS3 将会认为它是索尼签名的合法文件。这就是为什么确保用于生成签名的随机数实际上是 “密码学上随机” 的非常重要的原因。

比特币

另一个例子是当一些比特币客户端在某些浏览器和某些 Android 客户端上使用非密码学随机数生成器时,这导致它们用相同的 k 值签署交易,恶意人士能够找到他们的比特币钱包私钥并盗取他们的资金。

小结

这显示了每次制作签名时使用真正随机数的重要性,因为如果你签名对的 (R, S) 中的 R 值在两个不同的签名中相同,你就会暴露私钥。

理论上,ECDSA 算法非常安全,不可能找到私钥。当然,它的前提是 “算法实现是正确的”。如果有一种方法可以找到私钥,那么每个计算机、网站、系统的安全性都可能受到威胁。

15  结语

最后!我希望这能让很多人更清楚地理解这个算法。我知道这仍然非常复杂和难以理解。我通常试图让非技术人士更容易理解事物,但这个算法太复杂了,无法用更简单的术语来解释。

但是,如果您是一名开发人员或数学家,或者您对学习此内容感兴趣,因为您想帮助或简单地获取知识,那么我相信这为您提供了开始学习或至少理解这个被称为 “ECDSA” 的未知野兽的概念的信息。

附言:在本文中,我使用了 “160位” 来讨论 ECDSA 签名,因为它通常与 160 位的 SHA1 散列值(20 字节)匹配,而且 PS3 安全机制就是使用的这种组合。但是,该算法本身可以使用任何大小的数字。本文可能存在其他不准确之处,但就像我说的,我不是专家,而且我已经尽可能地将内容简化,同时没有删除关于算法的任何信息。

狂放不羁霸
关注
  • 17
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
椭圆曲线数字签名算法ECDSA)中文版
11-02
椭圆曲线数字签名算法ECDSA)是使用椭圆曲线数字签名算法(DSA)的模拟,与普通的离散对数问题(discrete logarithm problem DLP)和大数分解问题(integer factorization problem IFP)不同,椭圆曲线离散对数问题(elliptic curve discrete logarithm problem ECDLP)没有亚指数时间的解决方法。因此椭圆曲线密码的单位比特强度要高于其他公钥体制。本文将详细论述ANSI X9.62标准及其协议和实现方面的问题。
椭圆曲线数字签名算法ECDSA)英文版
11-02
椭圆曲线数字签名算法ECDSA)是使用椭圆曲线数字签名算法(DSA)的模拟 与普通的离散对数问题(discrete logarithm problem DLP)和大数分解问题(integer factorization problem IFP)不同,椭圆曲线离散对数...
椭圆曲线数字签名算法ECDSA
热门推荐
weixin_43586667的博客
02-01 1万+
一. 椭圆曲线加密算法 简称ECC,是基于椭圆曲线数学理论实现的一种非对称加密算法。相比RSA,ECC优势是可以使用更短的密钥,来实现与RSA相当或更高的安全,RSA加密算法也是一种非对称加密算法,在公开密钥加密和电子商业中RSA被广泛使用。据研究,160位ECC加密安全性相当于1024位RSA加密,210位ECC加密安全性相当于2048位RSA加密(有待考证) 二. 什么是椭圆曲线 Wolfram MathWorld给出了个准确非凡的定义椭圆曲线椭圆曲线可以暂时简单的理解为描述了特定点的集合的公式:
椭圆曲线介绍(三):椭圆曲线密码学,ECDH和ECDSA
AdijeShen的博客
05-15 2826
本文是椭圆曲线介绍中的第三篇:ECDH和ECDSA。 在之前的博客中已经说明了椭圆曲线是什么,并证明了椭圆曲线作为群的性质。然后我们将椭圆曲线限定到有限域中。通过这种限制,椭圆曲线中的点可以生成循环子群。后面又介绍了base point,order,cofactor这些术语的概念。 最后提出了椭圆曲线上面的离散对..........
密码学系列 - 椭圆曲线签名的基本原理
搬砖魁首的博客
11-22 3838
ECDSA 涉及到三个重要的概念 第一个是私钥,私钥是一个只有我自己知道的数字,我可以用私钥去生成签名,比特币使用的私钥是一个256 bit 的整数。 第二个是公钥,公钥是跟私钥配对的一个数,是根据私钥运算得出的,我会把公钥公布给所有人,目的是让大家去验证我的签名。比特币的公钥有65个字节,包括一个前缀加上两个256 bit 的整数,这两个整数就对应椭圆曲线上的一个点的 x 值和 y 值。 第三个是签名,签名就是一个证明我的确执行了签署操作的数字。签名主要由两项内容运算得出,一项是被签署数据的哈希,另外一项
密码学 | 椭圆曲线数字签名方法 ECDSA(上)
狂放不羁霸的博客
04-15 1506
1 ECDSA 是什么? 2 理解基础知识 3 为什么使用 ECDSA? 4 基础数学和二进制 5 哈希 6 ECDSA 方程 7 点加法 8 点乘法 9 陷阱门函数!
密码学系列 - 椭圆曲线 ECDSA - 签名与验签
搬砖魁首的博客
01-06 4565
数字签名的生成 数字签名验证 公钥恢复
密码学 | 椭圆曲线密码学 ECC 入门(三)
狂放不羁霸的博客
04-12 940
7 这一切意味着什么? 8 椭圆曲线密码学的应用 9 椭圆曲线密码学的缺点 10 展望未来
密码学 | 数字签名方法:Schnorr 签名
狂放不羁霸的博客
04-16 1366
假设你有密钥对xXx∗GxXx∗G,那么消息mmm的 Schnorr 签名Rs( R, s )RsRk∗GR = k * GRk∗GskHRm∗xskHRm∗x其中kkk是随机私钥。这里作者假定你已经有一点密码学基础了,以防万一,还是说明一下xxx是私钥,XXX是公钥。让我们分解一下上述过程。对于每个签名,签名者都会生成一个随机值kkk,它是该签名的一次性私钥;签名者计算RRR,即kkk的公钥,称RRR。
椭圆曲线密码学导论+其他资料.rar
05-21
椭圆曲线密码学导论 基于ECC的门限密码体制及其应用的研究—在入侵容忍中应用的探索 基于ECC的门限数字签名方案及其安全性 模幂与点乘m_ary算法中窗口大小的最优化估计 SM2_ECDSA 椭圆曲线ECC加密算法入门介绍
ECC:椭圆曲线密码学在C++中的实现
06-04
该项目实现了以下—— 1-有限域算术(具有任意精度的特征) 2- 椭圆曲线算术3- 进攻- Pollard Rho, Pohlig Hellman 4- 椭圆曲线密码系统- Diffie-Hellman 密钥交换、数字签名方案(ECDSA、ELGAMAL)、公钥加密...
libecc:椭圆曲线密码学
08-04
该软件实现了一个基于椭圆曲线密码学 (ECC) 库。 API 支持标准中指定的签名算法,具有以下特定曲线和哈希函数: 签名:ECDSA、ECKCDSA、ECGDSA、ECRDSA、EC{,O}SDSA、ECFSDSA。 曲线:SECP{224,256,384,521}R1,...
现代密码学-国密算法
积跬步,至千里
06-04 1581
商用密码算法数字签名、证书-公钥密码、散列类算法消息验证码-对称密码 ,散列类机密性--对称密码、公钥密码完整性--散列类算法可用性--散列类、公钥密码真实性--公钥密码不可否认--公钥密码。
SM3国密算法:优秀的密码散列函数
jiamisoft的博客
06-12 408
SM3算法是中国国家密码管理局于2010年发布的一种密码散列函数,旨在为信息安全提供保障。该算法基于密码学原理,能够生成固定长度的散列值,用于验证数据的完整性和真实性。SM3算法的提出,标志着中国在密码学领域迈出了重要的一步,为国家信息安全提供了有力的技术支持。SM3国密算法是中国密码学领域的重要成果,它不仅体现了中国在密码学领域的自主创新能力和技术水平,也为全球信息安全提供了新的解决方案。
国内移动端APP月活跃(MAU)Top5000 数据整理
06-16
国内移动端APP月活跃(MAU)Top5000 时间范围:2020年-2022年 具有一定参考价值 csv格式
和平巨魔跨进成免费.ipa
最新发布
06-16
和平巨魔跨进成免费.ipa
数据库管理工具:dbeaver-ce-23.0.4-macos-aarch64.dmg
06-16
1.DBeaver是一款通用数据库工具,专为开发人员和数据库管理员设计。 2.DBeaver支持多种数据库系统,包括但不限于MySQL、PostgreSQL、Oracle、DB2、MSSQL、Sybase、Mimer、HSQLDB、Derby、SQLite等,几乎涵盖了市场上所有的主流数据库。 3.支持的操作系统:包括Windows(2000/XP/2003/Vista/7/10/11)、Linux、Mac OS、Solaris、AIX、HPUX等。 4.主要特性: 数据库管理:支持数据库元数据浏览、元数据编辑(包括表、列、键、索引等)、SQL语句和脚本的执行、数据导入导出等。 用户界面:提供图形界面来查看数据库结构、执行SQL查询和脚本、浏览和导出数据,以及处理BLOB/CLOB数据等。用户界面设计简洁明了,易于使用。 高级功能:除了基本的数据库管理功能外,DBeaver还提供了一些高级功能,如数据库版本控制(可与Git、SVN等版本控制系统集成)、数据分析和可视化工具(如图表、统计信息和数据报告)、SQL代码自动补全等。
椭圆曲线数字签名算法(ECDSA)的 java实现公钥签名私钥验签
03-25
ECDSA的Java实现需要使用Java密码学库,比如Java Cryptography Extension (JCE)。以下是示例代码: 生成密钥对: ``` KeyPairGenerator keyGen = KeyPairGenerator.getInstance("EC"); SecureRandom random = new SecureRandom(); keyGen.initialize(256, random); KeyPair keyPair = keyGen.generateKeyPair(); PrivateKey privateKey = keyPair.getPrivate(); PublicKey publicKey = keyPair.getPublic(); ``` 用私钥对消息进行签名: ``` Signature ecdsaSign = Signature.getInstance("SHA256withECDSA"); ecdsaSign.initSign(privateKey); ecdsaSign.update(message.getBytes(StandardCharsets.UTF_8)); byte[] signature = ecdsaSign.sign(); ``` 用公钥对签名进行验证: ``` Signature ecdsaVerify = Signature.getInstance("SHA256withECDSA"); ecdsaVerify.initVerify(publicKey); ecdsaVerify.update(message.getBytes(StandardCharsets.UTF_8)); boolean verified = ecdsaVerify.verify(signature); ``` 注意,这只是简单的示例代码,实际应用中需要更多的安全措施,比如使用更长的密钥大小和更强的哈希算法

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值