ECC椭圆曲线加密其实道理很简单
星火车品
发表于 2022-12-15 10:42:27
84
0
0
当然现在RSA用的不多,而是基于ECC曲线来做签名验签,最大名鼎鼎的莫过于比特币。
+ X$ t4 }$ n2 P, f
可是前两天和别人讲代码,被问了ECC为什么可以用来做验签,发现自己讲不清楚。, \( w6 w- Y7 S b6 X
所以做了点功课,来把这个问题讲清楚。( ^; B& M/ r8 P8 x
首先我们跳过ECC曲线是个啥这个话题。
这部分我觉得对理解这个逻辑,帮助并不大,黑盒掉就好了。
: f, Z% j# l: X: w
因为我们是程序员,有类型这样的表述神器,非常清晰,你一点都不用害怕。
: s5 {6 _! n) w- A5 h
只说原理,非伪代码,比如关于曲线阶数不说不影响理解原理,我就不说了。; y _) K+ ]# t2 W8 @
4 _ m. ?2 ?: s# H8 B f" F. H
ECC曲线加密核心原理) O3 R, G, X1 _! I- L: N
下面我们讲的,都在同一条曲线上,这条曲线上的点支持一种乘法运算1 I6 Z( O, e9 c9 R
设 Q 为曲线上一点
若点R = Q * Q,也可以记为 R=2.Q
7 ?; V- d/ A: d
若点R =QQQ,可以记为 R =3.Q
若点R =QQ……*Q ,一共n个Q,则可以记为R=n.Q4 h! n0 p8 P; l! n+ [
5 o0 V" I7 q3 \! g
然后原理来了1 z) i* E: Y& j
5 W* V5 u- i/ Q7 j2 ], O" Z+ x2 T
给定n 和 Q 求 R 很容易,给定R 和 Q,则非常难求出n
( R! V3 H* ~$ V8 C* [4 s8 P! N
就这一条原理,然后其他的都是证明出来的。
#公钥和私钥# N! ]& L7 q% g( b
先复习一下原理
6 D: V# k K7 L
设Q为曲线上一点,k为一个整数
1 [: [4 p+ t1 ]2 O6 z- O$ T+ B( c
令点K = k.Q,若给定 k 和 Q,很容易求出 K
若给定 K 和 Q ,很难求出k4 k4 D" F% n, J6 B( G
! S/ w6 C8 x3 S4 \# `0 i- t
我换个说法给你看
设G为曲线上一点,k为私钥8 E4 _: h5 |4 w+ c0 D: p# E. s m
令公钥K=k.G, 若给定私钥和G,很容易求出公钥# e2 r/ R! r1 r' ^$ R
2 Q% h: m& E8 h- N/ B
若给定公钥和G,很难求出私钥
是不是有点意思了,从这里我们也可以看出,ECC的私钥就是一个整数,一个很大很大的整数,Int64 别提了,常用的ECC算法,私钥是一个256bit的整数# A6 R5 n2 Z: e/ o+ e% T8 E. b7 Y! }
而ECC的公钥是一个点,虽然平常看到他们不是字符串就是bytearray,但是私钥是整数,公钥是一个点(二维坐标)8 T+ c: O8 \+ Q& ^# ^
' Y# a) s0 @; F) g
ECC曲线有很多应用,最常用的是加密解密和签名验证
#加密原理2 ~2 J* e, E. u6 h _
加密步骤3 D7 G/ a7 u3 i2 X4 v1 c. s3 v
先设 K=k.G,(公钥=约定点G阶乘私钥)。
* D% W- c( O) Q2 X' |
欲传递的数据m,先把他编码为一个坐标点M(怎么编码是你的事,比如一个字符串,你把他先bytes,然后变成大整数,当坐标的x坐标,纯属举例)# d, f1 |2 n, N3 t! Z2 ?. \
) q$ K) h2 m$ L; g* g
整个随机整数r- {- w. W2 [0 H/ Y* K
计算点 C1 = M+r.K看到这里肯定有点晕,这里出现了点的加法,还有r.K,r.K 就是 r 个 K相乘,K是公钥。就是 点C1 等于 r个公钥相乘加上坐标点M! \4 x( V& x0 `* s9 ^
计算点C2 = r.G G是曲线上面约定好的一点,就是k=k.G(公钥=约定点G阶乘私钥)那个G,r是前面的随机整数
+ Y6 e0 K3 v+ Z* ~) V$ X2 u9 Y
加密完成,可以看出加密需要公钥,加密将坐标点M 加密为 C1 C2 两个坐标点! K9 b' o( J% t* {2 T" |9 ~
0 W9 {) `/ X+ W* ]( |* f' b
加密者只需发送C1 C2 给对方, ~% z6 w) N- L: t+ A: a
解密步骤9 j, p" r `2 Y6 z; d
5 O, J! {7 l6 ]/ j, p
由C1=M+r.K 可知 M =C1-r.K4 Z) Q" a! O1 i+ e( a
+ B1 ~! O% `: m' L5 ~# e
由K=k.G(公钥=私钥)将K代入上式可得 M=C1-r.k.G
+ w% c, s% C1 u- c8 Q
由C2=r.G 带入上式,可得 M=C1-k.(r.G)=C1-k.C2 y- K( ~6 C" g* e
据上面推导的结论 M=C1-k.C2,则解密者根据收到的C1,C2,用自己的私钥,可以计算出加密坐标点M m3 Q8 a6 L5 j v$ J, P. q
#签名验证原理( Y, C G- o5 m3 _7 G
签名步骤3 k! i( C1 g/ y4 f, z4 a
% q3 Y. u* p ?6 K2 q
先设 K=k.G,(公钥=约定点G阶乘私钥),设欲签名数据为m,签名用私钥' f# c: s. v" s$ _% s
对欲签名数据进行处理 e=hash(m),e是一个巨大整数,Hash 算法不用解释了吧,m是必选,ECSDA实现中还把一个坐标放进去一起算hash,为了便于理解原理,我就不代入那些了,只说e
整个随机整数r
计算s=r-ek,这个式子纯粹是整数运算,结果s当然也是整数 ,s=随机数减去 hash私钥,就这个意思。
签名完成
) n9 T5 n/ ^6 S% j
通常说签名(signdata)就是指s和r两个整数。% y! u' u3 l' i: l
( g u/ w" W! {, y+ p- ?2 \
签名者发送 s、r、公钥K,欲签名数据m,则任何人可以验签。
验签步骤,验签用公钥
/ z' K6 U7 D O& @. U
对欲签名数据进行处理 e=hash(m)
! ^/ T6 @2 ?( p2 l
计算点V1=r.G(就是算公钥那个点G 阶乘随机数 r)
' O6 Q6 T% ^) X& K
计算点V2=s.G+e.K ( 点G阶乘签名数据s 加上 公钥阶乘 )
* k% h4 k; }; {2 e+ { Y
若V1=V2 则验签成功,接下来证明9 d) }# w+ d5 ~, q6 M6 h
若数据都是对的,则s =r-e*k成立. W3 X' t* s# {6 R. R, S* t
此时设s=r-ek,V2=s.G+e.K 将s展开 得 V2=(r-ek).G+e.K4 \6 t/ x5 s, f6 F8 G
1 W' d" t7 Z- F! n
V2 =r.G-e.k.G+e.K7 u2 T3 S+ L( J
因为K=k.G,代入上式,可得V2 = r.G – e.(k.G)+e.K = r.G -e.K+e.K
上式抵消e.K之后得V2=r.G,可知假设s=r-e*k时,V2=r.G =V1
) T- c, ^5 y) N
反之,当V1=V2时,s=r-e*k成立,数据正确
成为第一个吐槽的人