在文章比特币的交易-数字签名(一)中,讲清楚数字签名的整体流程。本文在此基础上继续深入讨论,比特币数字签名的底层原理:ECDSA 椭圆曲线数字签名算法。
整体流程
数字签名有三要素:签名者的私钥、签名者的公钥、交易信息。私钥是一串字符串,是通过密码学安全伪随机数生成器生成的一个超级大的数字。公钥用椭圆曲线上的一个点来表示,点是由两个数字组成,分别表示点的 x 和 y 轴的值。公钥是通过私钥“乘以”(椭圆曲线乘法)椭圆曲线上的一个常亮点。我们称私钥和通过该私钥生成的公钥为一对钥匙。
需要注意 点 代表的两个 数字,而所有数字都是整数。
椭圆曲线
公钥是椭圆曲线上的某个整数点,该椭圆曲线的方程为:
y^2 mod p = (x^3 + 7) mod p
mod 的意思就是求余,比如 7 mod 3 = 1,就是 7 除以 3 商 2 余 1。p 是一个非常大的素数,p = 2^256 – 2^32 – 2^9 – 2^8 – 2^7 – 2^6 – 2^4 – 1。对 p 取模表明该曲线是在素数 p 的有限域内,也就是说 y^2 和 x^3 +7 都不会超过 p。
可以使用desmos 画一个简单的椭圆曲线。该椭圆曲线沿着 x 轴对称,一个 x 值,对应着两个 y 值。
y^2 = x^3 + 7
在使用椭圆曲线数字签名算法时,只考虑整数点,所以比特币椭圆曲线是曲线上的整数点的集合,而不是曲线本身。
椭圆曲线的 “二则运算”
椭圆曲线有点与点的“加法”,还有数字与点的“乘法”,但是没有逆运算,“减法”和“除法”。
在椭圆曲线上,任意一个点可以表示为 D(x,y)。也就是说点是由数字 x 和数字 y 组成的,x 和 y 是坐标轴上的值。
点与点之间可以使用“加法”。在椭圆曲线中,是这样定义“加法”的:在椭圆曲线的点 P 和点 Q “相加”。即连接点 P 和 点Q,并做延长线。延长线交椭圆曲线于点 R,点 R 与 y 轴的对称点为点 -R,点 -R 即点 P 与点 Q “相加”的“和”。可以表示为:
-R = P + Q
在椭圆曲线上“乘法”,可以基于“加法”来定义。那么 2 “乘以” P 可以如下定义:
Q = P
Q + P = P + P
2*P = P + P
随着 Q 向 P 的不断靠近,当 Q 等于 P 时,最终产生的线跟椭圆曲线是切线关系。
公钥与私钥
公钥是利用椭圆曲线“乘法”来定义的。私钥是一个随机数字,记作 dA。G 是椭圆曲线上的一个常量点,二者“相乘”得出公钥。
Qa = dA * G
由于椭圆曲线只有“乘法”,没有“除法”,所以只能通过私钥计算出公钥,倒过来却是不行的。
安全性
生成一个比特币私钥在本质上与“在 1 ~ 2^256 之间随机选一个数字”无异。而 2^256 ,这是一个非常大的数字。用十进制表示的话,大约是 10^77 ,而目前世界上最快的计算机的理论运算效能为 10^17 次/s,而宇宙诞生到现在也不过才 10^10 s,因此暴力破解私钥,更本上不可能。
参考文章
Understanding How ECDSA Protects Your Data。
椭圆曲线算法:入门(1)