数据的签名及验证过程是密码学在区块链项目里一个非常重要的应用。本文基于MOAC区块链实现数据签名及验证。
1 S' e, a& c* l/ ~' x本文使用智能合约完成对签名的验证，使用chain3.js完成对数据的签名以及和智能合约的交互。3 B% Q; O/ g) k6 P
环境：% `/ ^1 ^1 o! K: K& J
MOAC版本：nuwa1.0.6.win.zip（本文在mainnet进行）；; B& D' H' p# Y1 h+ r- c
操作系统：64位Windows 10家庭版。! S& w; _; y* s
10 K: P2 O) t" o
签名
: R; r: Y8 @) q3 \7 N实施签名需要两个部分：待签名的数据 + 实施签名的账户。签名过程可以使用chain3.mc.sign()来实现，具体代码为：
0 A8 \6 P3 |, I2 Z" W; Wvar Chain3 = require(‘chain3’);7 X" V* `1 x3 D/ z! \2 y) ^
var chain3 = new Chain3(new Chain3.providers.HttpProvider(‘http://localhost:8545’));. r* j5 y4 y9 Q  q8 O2 [' u, d: h
chain3.personal.unlockAccount(chain3.mc.accounts[0], “xxxxxxxxxxxx”, 1000);  //实施签名要求解锁账户- @1 t0 }9 g; a; {1 w
var account = chain3.mc.accounts[0];; n! Y8 e, f9 j1 l; h. v
var sha3Msg = chain3.sha3(“HELLO MOAC!”);% Y$ h. |( B+ m4 ~/ @3 s" Y  Y% F
var signedData = chain3.mc.sign(account, sha3Msg);4 [7 R7 s; f3 p% ]
console.log("account: " + account);9 B, f6 Z3 D, W$ v% T' G4 h- c
console.log("sha3Msg: " + sha3Msg);4 P: ~4 M, C4 A1 F/ a9 w) c; x. E/ F( p
console.log("Signed data: " + signedData);" z1 h" Q: S, X& s$ m: z: H
在上面的代码中，先将要签名的数据"HELLO MOAC!"生成哈希串，使用chain3.sha3(“HELLO MOAC!”)。接着我们使用当前连接节点的第一个默认帐户进行签名。此时需要chain3.personal.unlockAccount(chain3.mc.accounts[0], “xxxxxxxxxxxx”, 1000)来打开数据签名所使用帐户。需要注意的是，当你打开你的帐户时，可能有安全风险。因为其它程序也可以通过访问节点进行类似的sign，这意味着，他们可以伪造你的数据，包括以你的名义发起交易，转走你的钱。
. s3 I+ G, r7 F) R1 i- p1 o- ~0 C运行的结果：
9 v6 Z7 C8 A3 {' ^5 Z! k& E7 v6 L# S' b9 Y. F: k/ j1 F
返回值Signed data总共132字节（去掉前面的’0x’的话是130字节）。在ECDSA（EC是“椭圆曲线”的简称，DSA是“数字签名算法”的简称）签名算法中，返回值可以分为三个部分：r, s, v。其中前0~66个字节为r， 66~130之间的字节为s， 130~132的字节为v。
$ j/ A. N1 w4 K2 j" R接下来我们可以将它打印出来，在接下来验证签名的部分会用到。该部分完整的代码如下：
" ~: [, W. V% o# p7 _5 E; Rvar Chain3 = require(‘chain3’);! C/ i0 k& }% g9 g1 k
var chain3 = new Chain3(new Chain3.providers.HttpProvider(‘http://localhost:8545’));
& i% u& R/ J' P' i6 b+ v- Qchain3.personal.unlockAccount(chain3.mc.accounts[0], “xxxxxxxxxxxx”, 1000);  //实施签名要求解锁账户
5 s' f: E4 T% ?, Xvar account = chain3.mc.accounts[0];
4 h5 S" L6 M6 h, X# [var sha3Msg = chain3.sha3(“HELLO MOAC!”);
, L* M/ w4 ~" s0 N; n9 _+ {var signedData = chain3.mc.sign(account, sha3Msg);: ^& X/ r& V  b: c2 T" M
console.log("account: " + account);
- J8 c: W0 T" F6 e  |$ Pconsole.log("sha3Msg: " + sha3Msg);
. J. X; O8 |5 i6 W  d  x( _) Sconsole.log("Signed data: " + signedData);9 |! W$ {  l  T# B; ^  W2 f
let r = signedData.slice(0, 66);
6 Q4 \9 ~+ Q% Y! S3 klet s = ‘0x’ + signedData.slice(66, 130);
& l3 _9 G- s; g( nlet v = ‘0x’ + signedData.slice(130, 132);
2 Y) A6 d; Z1 ?. Yv = chain3.toDecimal(v);- e, c  k( R* p; W! t- q
console.log();$ Z# z& w8 D  J
console.log(‘r:’, r);1 q; q9 `2 ~' }+ T* ?& `$ B, }7 g
console.log(‘s:’, s);
" h' U' s% m3 q4 q$ Zconsole.log(‘v:’, v);$ _5 i2 D% g# d% M1 k$ Y& a
运行的结果：
7 H$ _7 ^" L4 Q8 Q! P9 e8 z5 P3 n) }7 j! t6 B
2- W, L* `$ C6 o# z
验证
, W% m1 Z8 z: f4 [  S: t签名完成了，我们如何验证某些签名后的数据是哪个账户签名的呢？
- z! a: o& {* \; U# r本例中，验证签名通过智能合约的ecrecover函数来实现。
* A; o: Q& \7 H; A6 Cecrecover接收原始数据的哈希值（就是上面输出的sha3Msg）以及r/s/v等参数作为输入，返回实施该签名的账户地址。
5 y9 c" i2 K2 r% F! M1 y因此我们只需要通过合约拿到实施签名的地址，和真正的地址进行对比，如果地址一致，就说明验证通过了。
- S1 Y4 b: e, M/ S智能合约代码如下：6 o5 @7 C- V* |
pragma solidity ^0.4.15;- Y+ p2 R6 Q5 u: q0 k
contract Auth {
& A9 l2 ?; S% q4 O# R3 Wfunction verify( bytes32 hash, uint8 v, bytes32 r, bytes32 s) constant returns(address retAddr) {0 d4 `& R$ }: q/ z9 l& y/ q4 ^
bytes memory prefix = “\x19MoacNode Signed Message:\n32”;4 f& ]2 s9 v$ p' h* R2 H7 V# z
bytes32 prefixedHash = sha3(prefix, hash);- w0 \: |7 N: b1 l
return ecrecover(prefixedHash, v, r, s);
! W5 t" ^7 A  k4 U  [! f}
! V! N* w- t# C0 Z}, p0 o5 |; Y! l
合约会为要签名的消息加上"\x19MoacNode Signed Message:\n32"前缀，所以实际上真正的被签名的数据并不是message的哈希值，而是message的哈希值加上前缀后再次哈希的值。要非常注意这一点，否则后期验证签名会不成功。
- e, a1 m$ p) U) O! R将该智能合约部署到墨客区块链mainnet，拿到合约的地址以及abiString，用于接下来和合约进行交互的代码。( h# V! o$ y2 }- x. @; p% H( T' |
const contract=chain3.mc.contract(abiString).at(contractAddr);: a# C, K% U: l1 X% b
console.log(contract.verify(sha3Msg, v, r, s));
6 ?4 z2 b; h( F* g5 U/ j! k8 d& ?console.log(account);
8 {. K5 \4 W  F6 w运行的结果：
& P5 b% @' G0 s5 h8 W$ X可以看到实施签名的地址和验证后返回的地址一致，签名通过验证。
; L/ l+ V. u2 f+ n将合约的abiString保存为文件./Auth-abi.json；# |, H- l+ _/ T. C1 e7 g9 ?
本部分完整代码 moacAuth.js：7 x7 R7 ^( a! y2 |6 g2 q7 `
var Chain3 = require(‘chain3’);- J1 ?) A0 n9 k6 j  ]2 ^  G% n2 O
var chain3 = new Chain3(new Chain3.providers.HttpProvider(‘http://localhost:8545’));8 n- Y* m9 K; U$ V" w  z
var contractAddr = “0x273C467c9404e6867D873203805aaFFAd20aAc93”;
8 {# z7 T  b+ W3 A  fconst account = chain3.mc.accounts[0];% z/ n  K) h' V" i( {  n# R
const abiString = require(’./Auth-abi.json’);' p! G2 @5 L+ @1 h5 x. y
chain3.personal.unlockAccount(chain3.mc.accounts[0], “XXXXXXXXXXX”, 1000);! |, z1 N, x+ _5 c+ s0 T
let sha3Msg = chain3.sha3(“HELLO MOAC!”);# J6 J' E& ~+ x
let signedData = chain3.mc.sign(account, sha3Msg);
8 Q4 g5 n# k6 S4 q( g; y: }9 }let r = signedData.slice(0, 66);
/ |% D* r! F6 w6 E$ S; B, |+ f) }$ d: Clet s = ‘0x’ + signedData.slice(66, 130);
/ q  N% [  j( k; H: |$ ulet v = ‘0x’ + signedData.slice(130, 132);; s+ M% O* t! B" t5 W* J9 I% y
v = chain3.toDecimal(v);: p' ^5 i. m* k7 Y7 H
const contract=chain3.mc.contract(abiString).at(contractAddr);
. o, l# Q0 g. Kconsole.log(contract.verify(sha3Msg, v, r, s));5 ~  s; \! h- L/ F% N% z3 G+ J
console.log(account);
. _2 m2 e* J- `6 `- q可以看到，在区块链中使用智能合约完成对数据的签名和验证还是比较简单的。逻辑图如下：
& H  B, ~, o+ e3 K( O% ~; ]( j, h8 W$ F# o
3* M! w4 ~; U! p5 l; p7 b
直接签名与验证  {9 P; S: N, K' p* \) ]1 Z" k
步骤1和步骤2，通过部署智能合约进行验证。
. |1 B9 S" `) l+ C也可以直接使用私钥签名，然后通过解析签名信息得到公钥或者地址，这样就不需要部署智能合约。
' Q) X, x  ?$ z. x' Y//run ‘npm install eth-crypto --save’
3 r& Z# p' I  iconst EthCrypto = require(‘eth-crypto’);& b: x+ \  k' J
const identity = EthCrypto.createIdentity();
) `: X, O5 s. [1 D: u  @* W- F% ^" D. g//显示私钥、公钥和地址8 _3 }9 x* ]' w& b
console.log(‘privateKey:’+identity.privateKey);7 W/ ]  Y5 L4 |( `+ F& A5 u
console.log('publicKey: '+identity.publicKey);
  q& _# e* x& D& ^console.log('address:   '+identity.address);
  [7 E; i9 U: Q. J$ D//用私钥给明文签名; B( v3 Y/ `$ ~( l' Z. S. u8 M; L
const message = ‘Hello World’;
  F; p$ @9 x3 h, Xconst messageHash = EthCrypto.hash.keccak256(message);2 E) U$ @+ j: n  [& O; B9 R
const signature = EthCrypto.sign(
  v' F+ u. ~" u) E5 B+ Q$ Didentity.privateKey, // privateKey1 k! M; J1 ^' F
messageHash // hash of message
( @. |: S  ?4 A( S& C);, k/ s& S6 ^; ~8 C4 ~
console.log();
5 V+ }; j3 F0 J* mconsole.log('signature: '+signature);% k' @; {9 J* t7 ?' ?
//使用签名信息+明文
4 ^" W5 A' @/ Z6 L5 B. k& @; {! u//解析出签名者地址
5 y  f0 Q- m6 D) ~: O& qconst signerAddress = EthCrypto.recover(
/ x" @7 Q0 [$ e5 ^' Gsignature,( l8 N: [; l3 h, f5 Y% G- G
EthCrypto.hash.keccak256(message) // signed message hash* c3 R7 A: I% P
);! {! c5 C0 l5 F
console.log();
9 r# D, H# q) t! ]8 h) Mconsole.log('signerAddress: '+signerAddress);! k' T2 w; g1 D% g& \5 t
//使用签名信息+明文
: x( {- R$ ]3 o5 Z5 D8 E//解析出签名者公钥
# d- @/ T) p& s- w7 f" W1 zconst signerPublic = EthCrypto.recoverPublicKey(
3 n- o: N# d% \. ?7 }$ W- \signature, // signature
6 G4 M0 I9 y8 I/ eEthCrypto.hash.keccak256(message) // message hash/ g  {7 @! X& H+ l1 A* ^# _3 A
);
, w: u0 u# p: O1 Xconsole.log();
. J  x3 N+ [; ^! J8 h* Dconsole.log('signerPublic: '+signerPublic);
. d2 F6 P) a: J) @运行结果：