ECC椭圆曲线加密其实道理很简单
星火车品
发表于 2022-12-15 10:42:27
120
0
0
2 y7 \2 c: N, ?4 v9 r' Y O0 d
当然现在RSA用的不多,而是基于ECC曲线来做签名验签,最大名鼎鼎的莫过于比特币。
9 `1 G" I" J1 E7 A% j8 \2 q
可是前两天和别人讲代码,被问了ECC为什么可以用来做验签,发现自己讲不清楚。
所以做了点功课,来把这个问题讲清楚。" m# ?4 P, p2 _& @4 C3 G% k0 g
首先我们跳过ECC曲线是个啥这个话题。$ ]! z# q$ O P+ X
这部分我觉得对理解这个逻辑,帮助并不大,黑盒掉就好了。7 k, d- A* e0 x! B9 O# w
/ H7 C1 Y: j1 f. V0 g. F5 a
因为我们是程序员,有类型这样的表述神器,非常清晰,你一点都不用害怕。
/ p8 \0 F! B C4 x( h% e" P
只说原理,非伪代码,比如关于曲线阶数不说不影响理解原理,我就不说了。3 N5 {+ Z8 }3 y3 q4 ~
ECC曲线加密核心原理
下面我们讲的,都在同一条曲线上,这条曲线上的点支持一种乘法运算
设 Q 为曲线上一点/ m2 v2 Q+ q4 V8 P" I, E
1 h" v& |( d' _8 k5 o
若点R = Q * Q,也可以记为 R=2.Q
若点R =QQQ,可以记为 R =3.Q" F; q) d7 @# j: j& d! v
' f! b v8 v: r V' W) r
若点R =QQ……*Q ,一共n个Q,则可以记为R=n.Q
然后原理来了2 T2 k/ t0 S, x [- Z' L! J
7 {7 D8 N1 T! S; O2 d) T: r: l
给定n 和 Q 求 R 很容易,给定R 和 Q,则非常难求出n
就这一条原理,然后其他的都是证明出来的。5 r+ B ?. b( x7 x
#公钥和私钥
; F- h5 u1 q3 z# }6 U" C, c
先复习一下原理. V. W4 k- V, a. k0 v4 Z/ h
设Q为曲线上一点,k为一个整数4 r1 v) S8 W9 d) c/ p* ]4 M0 c* b! ~
) O8 @; e/ x& O$ q6 D6 v1 `* s
令点K = k.Q,若给定 k 和 Q,很容易求出 K
: ~* ^; p2 L& H
若给定 K 和 Q ,很难求出k6 j7 [6 p) t9 C! |+ I7 K: s$ h
我换个说法给你看
设G为曲线上一点,k为私钥; Z5 J* L/ d& m, @
; A( S* ^' {' ]6 J9 _ D) B
令公钥K=k.G, 若给定私钥和G,很容易求出公钥
若给定公钥和G,很难求出私钥: ~3 X( u1 x" D' \% [
' _, M2 m# F, C7 D' A
是不是有点意思了,从这里我们也可以看出,ECC的私钥就是一个整数,一个很大很大的整数,Int64 别提了,常用的ECC算法,私钥是一个256bit的整数
而ECC的公钥是一个点,虽然平常看到他们不是字符串就是bytearray,但是私钥是整数,公钥是一个点(二维坐标)4 ~1 h' p$ o3 H* U
ECC曲线有很多应用,最常用的是加密解密和签名验证
* ]1 o4 a8 U; h4 T+ w% \) p! h
#加密原理) |( ~) G& X8 P9 D5 M* z1 P
加密步骤
先设 K=k.G,(公钥=约定点G阶乘私钥)。! I4 {+ g0 e2 E7 j' n6 j
欲传递的数据m,先把他编码为一个坐标点M(怎么编码是你的事,比如一个字符串,你把他先bytes,然后变成大整数,当坐标的x坐标,纯属举例)% ^ M( u/ n9 O/ X+ z
: u! v/ B) \) N
整个随机整数r
计算点 C1 = M+r.K看到这里肯定有点晕,这里出现了点的加法,还有r.K,r.K 就是 r 个 K相乘,K是公钥。就是 点C1 等于 r个公钥相乘加上坐标点M2 c& a- U" F. N4 a8 P: n2 D: z
计算点C2 = r.G G是曲线上面约定好的一点,就是k=k.G(公钥=约定点G阶乘私钥)那个G,r是前面的随机整数
9 j: Z0 B+ \2 x+ I/ W
加密完成,可以看出加密需要公钥,加密将坐标点M 加密为 C1 C2 两个坐标点) H/ z' ?6 j' X. R$ |
加密者只需发送C1 C2 给对方& v3 n/ C) J& V, w, [- B0 z
解密步骤& ^1 b4 {* X+ j. F7 R+ l, v6 o
由C1=M+r.K 可知 M =C1-r.K
由K=k.G(公钥=私钥)将K代入上式可得 M=C1-r.k.G
由C2=r.G 带入上式,可得 M=C1-k.(r.G)=C1-k.C2# p6 {4 B% Q' V* M4 @2 _
据上面推导的结论 M=C1-k.C2,则解密者根据收到的C1,C2,用自己的私钥,可以计算出加密坐标点M b$ c5 S+ ]4 Q, |* f8 [7 c1 u
2 F1 @# L# m. }- g0 q
#签名验证原理/ t+ h3 ~$ c2 s& S# H
" S9 b" [0 h/ i7 {0 r/ B% W. B; n
签名步骤0 Y+ M) _/ ^/ M4 R- O p) a, l
先设 K=k.G,(公钥=约定点G阶乘私钥),设欲签名数据为m,签名用私钥# }; R0 S. ^, e: p" _/ ]
$ H" k3 O/ s7 f
对欲签名数据进行处理 e=hash(m),e是一个巨大整数,Hash 算法不用解释了吧,m是必选,ECSDA实现中还把一个坐标放进去一起算hash,为了便于理解原理,我就不代入那些了,只说e, D$ f' R/ T! j
整个随机整数r) M7 O! s$ J, z& b
计算s=r-ek,这个式子纯粹是整数运算,结果s当然也是整数 ,s=随机数减去 hash私钥,就这个意思。8 `+ \0 f/ t. i. Z- C# ~
8 |# Y$ I9 L" n9 D; o
签名完成
通常说签名(signdata)就是指s和r两个整数。: g3 ~, m5 V7 f& F' u
签名者发送 s、r、公钥K,欲签名数据m,则任何人可以验签。/ t; D8 @" P3 J% m
8 R, V3 o7 H2 ]6 g
验签步骤,验签用公钥
对欲签名数据进行处理 e=hash(m)
计算点V1=r.G(就是算公钥那个点G 阶乘随机数 r)
计算点V2=s.G+e.K ( 点G阶乘签名数据s 加上 公钥阶乘 )
若V1=V2 则验签成功,接下来证明
若数据都是对的,则s =r-e*k成立
此时设s=r-ek,V2=s.G+e.K 将s展开 得 V2=(r-ek).G+e.K% V. [& x; A% |
V2 =r.G-e.k.G+e.K! P. @" y5 c* {1 U! _1 d R l- `6 @
因为K=k.G,代入上式,可得V2 = r.G – e.(k.G)+e.K = r.G -e.K+e.K
) Q; P7 p1 M! s( [9 z/ K0 P! J
上式抵消e.K之后得V2=r.G,可知假设s=r-e*k时,V2=r.G =V1
反之,当V1=V2时,s=r-e*k成立,数据正确
成为第一个吐槽的人