VRF00—Python实现 

        VRF基于公钥体系,从目录可以看出有RSAEC两个版本,本文带大家走一遍RSA版本的实现,由于算法持续更新,本文采用最早的00版本进行讲解,并以Python实现。

整个体系涉及如下7个函数:

1RSAFDHVRF_prove(K,alpha)

2MGF1(mgfSeed,maskLen)

3OS2IP(x)I2OSP(x)

4RSASP1(K,m)

5RSAFDHVRF_proof2hash(pi)

6RSAFDHVRF_verify((n,e),alpha,pi)

7RSAVP1((n, e), s)


  •         RSAFDHVRF_prove(K,alpha)

        可以看到函数的定义 


        输入:密钥和待签名的消息。注意,密钥在代码中的表现形式通常是类或对象,而不是字符串,那么该对象中哪些具体的属性参与计算呢,稍后介绍。 


  •         MGF1(mgfSeed,maskLen)

 

Hash默认算法是SHA1


  •         OS2IP(x)I2OSP(x)

        这两个函数就没必要按照论文中定义的逻辑写了,每个语言都有类似的系统自带方法可以简单实现,知道它俩做什么即可。  

  •         RSASP1(K,m) 


        看似复杂,其实你会发现如果是形式a一行代码就能实现。所以本文开篇提到的RSA密钥对象,只要存储(n,d,e)就够了。所以这个算法需要定义alpha输入,生成RSA密钥,定义Hash算法,如图: 


  •         RSAFDHVRF_proof2hash(pi) 


这个就比较简单了,一行代码足以。 


  •         RSAFDHVRF_verify((n,e),alpha,pi)

        基本和prove就是个逆运算


  •         RSAVP1((n, e), s) 

        也比较简单,你会发现和前面的RSAVP1类似,RSA密钥(n,d,e)的运算都比较直接。


        以上就是RSAVRF最简版实现,完整代码如下:

import math

import struct

import hashlib

import binascii

from Crypto.PublicKey import RSA



def rsasp1(K, m):

    if not (0 <= m <= K['n']-1):

        raise Exception("message representative out of range")

    return pow(m, K['d'], K['n'])


def rsavp1(K,s):

    if not (0 <= s <= K['n']-1):

        raise Exception("message representative out of range")

    return pow(s, K['e'], K['n'])    


def i2osp(x):

    try:

        return struct.pack('I',x)

    except:

        return binascii.unhexlify( len(hex(x)[2:])%2*'0' + hex(x)[2:])


def os2ip(x):

    return int(binascii.hexlify(x), 16)


def mgf1(mgf_seed, mask_len,Hash=hashlib.sha1):

    T = b''

    for i in range(math.ceil(mask_len/Hash().digest_size)):

        C = i2osp(i)

        T = T + Hash(mgf_seed.encode() + C).digest()

    return T[:mask_len]


def rsafdhvrf_prove(K, alpha):

    EM = mgf1(alpha, k-1)

    m = os2ip(EM)

    s = rsasp1(K, m)

    pi = i2osp(s)

    return pi


def rsafdhvrf_proof2hash(pi, Hash=hashlib.sha1):

    beta = Hash(pi).digest()

    return beta


def rsafdhvrf_verify(K, alpha, pi):

    s = os2ip(pi)

    m = rsavp1(K, s)

    EM = i2osp(m)

    EM_ = mgf1(alpha, k-1)

    if EM == EM_:

        return "VALID"

    else:

        return "INVALID"


alpha = 'YOUCHAIN'

k = hashlib.sha1().digest_size

rsa = RSA.generate(1024)

K = {'e':rsa.e, 'n':rsa.n, 'd':rsa.d}

pi = rsafdhvrf_prove(K, alpha)

beta = rsafdhvrf_proof2hash(pi)

result = rsafdhvrf_verify(K, alpha, pi)

print(result)