EdDSA数字签名算法

翁才杰

已于 2024-05-22 21:23:07 修改

阅读量2.1k

点赞数 33

分类专栏：密码技术文章标签：密码学网络安全算法

于 2024-05-22 21:13:52 首次发布

本文链接：https://blog.csdn.net/realcjweng/article/details/139128529

版权

密码技术专栏收录该内容

8 篇文章 0 订阅

订阅专栏

1. 算法简介

EdDSA签名算法由Schnorr签名发展变化而来，EdDSA也属于椭圆曲线密码学，不同的是它采用扭曲爱德华兹曲线（Twisted Edwards curves）作为椭圆曲线和不同于ECDSA算法的签名机制。根据曲线和参数的选择不同有Ed25519和Ed448等算法，它们分别基于curve25519和curve448等曲线。其中，由著名密码学家Daniel J.Bernstein等人设计实现的Ed25519算法，由于采用的曲线参数完全公开，并说明了曲线选取意义，保证曲线中未内置后门，具有运算速度快、密钥较短、安全性高等优点，使用得较多。

2. 算法原理

Ed25519公私钥生成与签名验证的方式如下：

2.1 公私钥生成

设Ed25519的私钥 $d_{A}$ 的长度为 $l$ 比特（一般取 $l=256$ ），选取生成元 $G$ ， $n$ 为生成元 $G$ 的阶，使用输出长度为 $2l$ 的哈希函数（一般选择 $SHA-512$ ）， $M$ 为待签名消息。

（1）随机选取一个长度为 $l$ 比特的二进制数作为私钥 $s$ ；

（2）计算 $d_{A}$ 的哈希值，产生一个长度为 $2l$ 比特的值 $H\left ( d_{A} \right )$ ，取 $H\left ( d_{A} \right )$ 的前 $l$ 比特（二进制表示）记为 $h$ ，并置 $h_{0}$ 、 $h_{1}$ 、 $h_{l-1}$ 为0，置 $h_{l-2}$ 为1，将置位后的结果作为 $x$ ，将 $H\left ( d_{A} \right )$ 的后 $l$ 比特作为 $y$ ；

（3）计算公钥 $P_{A}=\left [x \right ]G$ 。

2.2 签名流程

签名时，需要持有私钥 $d_{A}$ ，执行公钥生成算法后得到公钥 $P_{A}$ 和参数 $y$ ，具体步骤如下：

（1）计算哈希值 $r=H\left ( y,M \right )$ ；

（2）计算倍点 $R=\left [ r \right ]G$ ；

（3）计算 $s=\left ( r+H\left ( R,P_{A},M \right )x \right )\,mod\,n$ ，得到数字签名 $\left ( R,s \right )$ 。

2.3 验证流程

验证签名时，验证者只需知道公钥 $P_{A}$ 、签名 $\left ( R,s \right )$ 和消息 $M$ ，验证方式如下：

（1）计算倍点 $\left [s \right ]G$ ；

（2）计算 $R+H\left ( R,P_{A},M \right )P_{A}$ ；

（3）判断 $\left [s \right ]G$ 是否等于 $R+H\left ( R,P_{A},M \right )P_{A}$ ，相等则验证通过，否则验证不通过。

3.总结

EdDSA算法使用相同的私钥 $d_{A}$ 对同一待签名消息 $M$ 进行签名，得到的签名信息 $\left ( R,s \right )$ 是固定的，也就是说EdDSA是一种确定性的签名算法，不同于SM2和ECDSA算法每次签名都会因使用的随机数不同而变化，EdDSA的安全性不依赖于随机数生成器。