在文章比特幣的交易-數(shù)字簽名(一)中,講清楚數(shù)字簽名的整體流程荆萤。本文在此基礎(chǔ)上繼續(xù)深入討論,比特幣數(shù)字簽名的底層原理:ECDSA 橢圓曲線數(shù)字簽名算法。
整體流程
數(shù)字簽名有三要素:簽名者的私鑰剿涮、簽名者的公鑰、交易信息攻人。私鑰是一串字符串取试,是通過(guò)密碼學(xué)安全偽隨機(jī)數(shù)生成器生成的一個(gè)超級(jí)大的數(shù)字。公鑰用橢圓曲線上的一個(gè)點(diǎn)來(lái)表示怀吻,點(diǎn)是由兩個(gè)數(shù)字組成瞬浓,分別表示點(diǎn)的 x 和 y 軸的值。公鑰是通過(guò)私鑰“乘以”(橢圓曲線乘法)橢圓曲線上的一個(gè)常亮點(diǎn)蓬坡。我們稱私鑰和通過(guò)該私鑰生成的公鑰為一對(duì)鑰匙猿棉。
需要注意 點(diǎn) 代表的兩個(gè) 數(shù)字磅叛,而所有數(shù)字都是整數(shù)。
橢圓曲線
公鑰是橢圓曲線上的某個(gè)整數(shù)點(diǎn)萨赁,該橢圓曲線的方程為:
y^2 mod p = (x^3 + 7) mod p
mod 的意思就是求余宪躯,比如 7 mod 3 = 1,就是 7 除以 3 商 2 余 1位迂。p 是一個(gè)非常大的素?cái)?shù)访雪,p = 2^256 – 2^32 – 2^9 – 2^8 – 2^7 – 2^6 – 2^4 – 1。對(duì) p 取模表明該曲線是在素?cái)?shù) p 的有限域內(nèi)掂林,也就是說(shuō) y^2 和 x^3 +7 都不會(huì)超過(guò) p臣缀。
可以使用desmos 畫一個(gè)簡(jiǎn)單的橢圓曲線。該橢圓曲線沿著 x 軸對(duì)稱泻帮,一個(gè) x 值精置,對(duì)應(yīng)著兩個(gè) y 值。
y^2 = x^3 + 7
在使用橢圓曲線數(shù)字簽名算法時(shí)锣杂,只考慮整數(shù)點(diǎn)脂倦,所以比特幣橢圓曲線是曲線上的整數(shù)點(diǎn)的集合,而不是曲線本身元莫。
橢圓曲線的 “二則運(yùn)算”
橢圓曲線有點(diǎn)與點(diǎn)的“加法”赖阻,還有數(shù)字與點(diǎn)的“乘法”,但是沒(méi)有逆運(yùn)算踱蠢,“減法”和“除法”火欧。
在橢圓曲線上,任意一個(gè)點(diǎn)可以表示為 D(x,y)茎截。也就是說(shuō)點(diǎn)是由數(shù)字 x 和數(shù)字 y 組成的苇侵,x 和 y 是坐標(biāo)軸上的值。
點(diǎn)與點(diǎn)之間可以使用“加法”企锌。在橢圓曲線中榆浓,是這樣定義“加法”的:在橢圓曲線的點(diǎn) P 和點(diǎn) Q “相加”。即連接點(diǎn) P 和 點(diǎn)Q撕攒,并做延長(zhǎng)線陡鹃。延長(zhǎng)線交橢圓曲線于點(diǎn) R,點(diǎn) R 與 y 軸的對(duì)稱點(diǎn)為點(diǎn) -R打却,點(diǎn) -R 即點(diǎn) P 與點(diǎn) Q “相加”的“和”杉适。可以表示為:
-R = P + Q
在橢圓曲線上“乘法”柳击,可以基于“加法”來(lái)定義猿推。那么 2 “乘以” P 可以如下定義:
Q = P
Q + P = P + P
2*P = P + P
隨著 Q 向 P 的不斷靠近,當(dāng) Q 等于 P 時(shí),最終產(chǎn)生的線跟橢圓曲線是切線關(guān)系蹬叭。
公鑰與私鑰
公鑰是利用橢圓曲線“乘法”來(lái)定義的藕咏。私鑰是一個(gè)隨機(jī)數(shù)字,記作 dA秽五。G 是橢圓曲線上的一個(gè)常量點(diǎn)孽查,二者“相乘”得出公鑰。
Qa = dA * G
由于橢圓曲線只有“乘法”坦喘,沒(méi)有“除法”盲再,所以只能通過(guò)私鑰計(jì)算出公鑰,倒過(guò)來(lái)卻是不行的瓣铣。
安全性
生成一個(gè)比特幣私鑰在本質(zhì)上與“在 1 ~ 2^256 之間隨機(jī)選一個(gè)數(shù)字”無(wú)異答朋。而 2^256 ,這是一個(gè)非常大的數(shù)字棠笑。用十進(jìn)制表示的話梦碗,大約是 10^77 ,而目前世界上最快的計(jì)算機(jī)的理論運(yùn)算效能為 10^17 次/s蓖救,而宇宙誕生到現(xiàn)在也不過(guò)才 10^10 s洪规,因此暴力破解私鑰,更本上不可能循捺。
參考文章
