ECC椭圆曲线算法-3

转：https://wonderful.blog.csdn.net/article/details/72850644

在之前的文章中，我们看到了什么是椭圆曲线，并且我们为了做一些数学运算，定义了椭圆曲线上的点为一个群，然后我们约束了曲线的取值范围（即定义在有限域上的群）。有了这个约束，我们也看到了椭圆曲线上的点能够生成循环子群。我们也介绍了基点、解、cofactor的概念。

最后，我们看到了在有限域上的数乘运算是一个简单的操作，但是离散对数问题是比较难的。现在我们来看看ECC算法的应用。

椭圆曲线参数
我们的椭圆曲线算法是工作在循环子群上的。因此我们需要如下几个参数
（1）素数p，这个值定义了有限域的大小
（2）椭圆曲线的系数a、b
（3）基点G（子群的生成元）
（4）子群的阶n
（5）cofactor h (h = N/n)

总的来说，这些参数可以用一个六元组表示(p, a, b, G, n, h)

随机椭圆曲线
我们之前说到离散对数问题是难的，其实不是很准确。有那么一些椭圆曲线是可被弱化的，即可以被特殊的算法来求得离散对数。例如，当p = hn时，换句话说，有限域的大小和椭圆曲线的阶相同时，容易受到smart’s attack 攻击。

现在，假设我给你了一个椭圆曲线参数，以前都是安全的，但是突然现在有针对这个椭圆曲线的攻击，并且没有公布，只有我知道。显然这样是不安全的。为了解决上述这种情况，我们增加一个椭圆曲线参数 seed S.
这个随机数被用来生成系数a、b或者G或者a、b、G。这些参数由S的哈希值得到：


一个由seed生成的椭圆曲线被称为“verifiably random”。使用哈希算法来生成参数被称为“nothing up my sleeve”。

椭圆曲线算法
现在我们终于开始介绍椭圆曲线算法了。

1：私钥是一个随机数d, d的范围是[1, n -1 ], n是子群的阶
2：公钥是点 H = dG，G是子群的生成元，也即 基点。

我们可以看到，如果我们知道了d 和G，计算H是非常方便的，但是我们如果只知道H 和G，计算d是非常难的，因为这就牵扯到了离散对数问题。

现在我介绍ECDH算法，和ECDSA签名算法。

ECDH
ECDH是EC是“ elliptic curves”的意思，DH是“ Diffie-Hellman”的意思。它实际上是密钥协商算法，而不是加解密算法。
该算法可以用来解决如下问题：两端（Alice 和 Bob）想要安全的交换信息并且第三方不能获取到该信息。当然这是TLS协议中的目的之一，我们给出一个例子。
（其实下面的描述其实是ECDHE,而不是ECDH）

（1）Alice 和 Bob 生成他们自己的私钥和公钥，即Alice 有 da、Ha = daG；Bob有db、Hb = db G
（2）Alice把Ha发给Bob，Bob把Hb发给Alice。这样Alice 有da,Ha,Hb，Bob有db,Ha,Hb。
（3）Alice计算S = daHb（即自己的私钥乘上Bob的公钥），同样的，Bob计算S = dbGa（自己的私钥乘上Alice的公钥）。两边计算的S是相同的。

S = da*Hb = da *(db * G) = db *(da G) = dbHb 等式1

中间人支持到Ha和Hb，无法计算出共享密钥S。即离散对数问题为：
中间人 要计算 S，必须通过上述 等式1 中的一个等式来计算。显然必须知道da或者db，而中间人至知道Ha和Hb，即中间人为了获得da或者db需要从H或Hb中分离出da或db，显然这就是之前所说的离散对数问题。
现在Alice和Bob得到了共享密钥，后续可以使用共享密钥进行对称加密进行数据传输。通常情况下，点S中x向量被作为共享密钥。

我们现在给出一个例子，设椭圆曲线为secp256k1（在SECG中被定义），它的
参数如下：

Alice’s 私钥（随机数）:
0xe32868331fa8ef0138de0de85478346aec5e3912b6029ae71691c384237a3eeb
Alice’s 公钥（由Alice的随机数乘上基点）:
(0x86b1aa5120f079594348c67647679e7ac4c365b2c01330db782b0ba611c1d677, 0x5f4376a23eed633657a90f385ba21068ed7e29859a7fab09e953cc5b3e89beba)

Bob’s 私钥（随机数）:
0xcef147652aa90162e1fff9cf07f2605ea05529ca215a04350a98ecc24aa34342
Bob’s公钥（由Bob的随机数乘上基点）:
(0x4034127647bb7fdab7f1526c7d10be8b28174e2bba35b06ffd8a26fc2c20134a, 0x9e773199edc1ea792b150270ea3317689286c9fe239dd5b9c5cfd9e81b4b632)

双方得到的共享密钥:
(0x3e2ffbc3aa8a2836c1689e55cd169ba638b58a3a18803fcf7de153525b28c3cd, 0x43ca148c92af58ebdb525542488a4fe6397809200fe8c61b41a105449507083)

ECDSA签名算法

现在有一个场景：Alice想要用私钥签名一个数据，Bob想要使用Alice的公钥验证这个签名；只有Alice能够进行计算签名然后得到签名，每个人都能验证签名值。

首先Alice和Bob拥有相同的椭圆曲线参数，算法被签名称之为ECDSA，是DSA算法的一个变体。

ECDSA签名算法的输入 是 数据的哈希值，而不是数据的本身，至于哈希算法选用哪一个就取决于自己了。为了使得ECDSA的输入值的比特数和子群的阶n的比特数一样，哈希值可能会被截断。我们把ECDSA输入称之为Z。
算法工作流程如下：
（1）取一个范围在[1, n - 1]的随机数k
（2）计算点P=kG
（3）计算r = xp mod n
（4）如果 r == 0，执行第一步
（5）计算s = k^-1 (z + r*da) mod n （da是Alice的公钥，k^-1 是 k 对n的逆元）
（6）如果s==0，执行第一步
（7）二元组(r, s)就是签名值
（一般情况，最后的结果r和s是用asn1格式封装的，至少的TLS签名和数字证书签名中是这样的，不是简单的r+s这样字节直接拼接）

上图中，Alice使用私钥da对z进行签名，生成二元组(r, s)。
Bob使用Alice的公钥对(r, s)和Z进行验证。

现在我们来看看Bob如何验证的：
（1）计算u1 = s^-1 * z mod n
（2）计算u2 = s^-1 * r mod n
（3）计算P = u1G + u2Ha
（4）如果r == xp mod n，则验证正确

ECDSA原理以及证明

首先，我们计算了P = u1G + u2Ha

代入u1、u2

我们得到这个等式。
然后再看看这个等式：
s = k^-1 (z + rda) mod n
两边乘以(s^-1 * k)
得到 等式 k = s^-1 (z + rda) mod n
两边再乘以G，得到
kG = s^-1*(z + r *da)*G mod n = P
换句话说，如果(r,s)是有客户端私钥签名Z得到，则我们通过u1,u2计算的到的P值得x分量和r相同。

K的重要性

当我们使用ECDSA进行签名的时候，k的保密性非常重要。如果我们对所以的签名操作都用一样的k或者我们的随机数生成器存在可预测性，一个攻击者可能会猜出私钥。

索尼几年前曾犯过这个错误。PlayStation 3 只能运行被索尼的进行ECDSA签名的游戏。如果我想为PlayStation 3开发了一个新的游戏，除非我从索尼获得签名值，否则我及时发布了，也运行不了这个游戏。问题是，索尼签名时用了一个静态的k值而不是随机生成的。

这么获取私钥d和随机数k?

看看这个等式 s = k^-1 (z + r*da) mod n
显然，未知数只有2个，da和k。我们买2份索尼游戏，签名值分别是(r1 , s1)、(r2, s2), 由于k值一样，故r 值也一样

s1 = k^-1 (z1 + rda) mod n等式1
s2= k^-1 (z2 + rda) mod n等式2

等式1-等式2
s1 -s2 = k^-1 (z1 - z2) mod n
z1和z2 可以自己使用哈希算法对软件进行哈希能够获取到。s1和s2能够从前面值中获取到。所以k值就轻松的获取到了
K = (s1 -s2)^-1 * (z1 -z2) mod n
再把k值代入等式1或者等式2，就能计算da了。