ECDSA数字签名算法

ECDSA数字签名算法

2018年05月09日 10:42:19 jacky_jin1 阅读数：5349

一、ECDSA概述
椭圆曲线数字签名算法（ECDSA）是使用椭圆曲线密码（ECC）对数字签名算法（DSA）的模拟。ECDSA于1999年成为ANSI标准，并于2000年成为IEEE和NIST标准。

它在1998年既已为ISO所接受，并且包含它的其他一些标准亦在ISO的考虑之中。与普通的离散对数问题（discrete logarithm problem DLP）和大数分解问题（integer factorization problem IFP）不同，椭圆曲线离散对数问题（elliptic curve discrete logarithm problem ECDLP）没有亚指数时间的解决方法。因此椭圆曲线密码的单位比特强度要高于其他公钥体制。

数字签名算法（DSA）在联邦信息处理标准FIPS中有详细论述，称为数字签名标准。它的安全性基于素域上的离散对数问题。椭圆曲线密码（ECC）由Neal Koblitz和Victor Miller于1985年发明。它可以看作是椭圆曲线对先前基于离散对数问题（DLP）的密码系统的模拟，只是群元素由素域中的元素数换为有限域上的椭圆曲线上的点。

椭圆曲线密码体制的安全性基于椭圆曲线离散对数问题（ECDLP）的难解性。椭圆曲线离散对数问题远难于离散对数问题，椭圆曲线密码系统的单位比特强度要远高于传统的离散对数系统。因此在使用较短的密钥的情况下，ECC可以达到于DL系统相同的安全级别。这带来的好处就是计算参数更小，密钥更短，运算速度更快，签名也更加短小。因此椭圆曲线密码尤其适用于处理能力、存储空间、带宽及功耗受限的场合。

二、ECDSA原理
ECDSA是ECC与DSA的结合，整个签名过程与DSA类似，所不一样的是签名中采取的算法为ECC，最后签名出来的值也是分为r,s。

签名过程如下：
1、选择一条椭圆曲线Ep(a,b)，和基点G；
2、选择私有密钥k（k 3、产生一个随机整数r（r 4、将原数据和点R的坐标值x,y作为参数，计算SHA1做为hash，即Hash=SHA1(原数据,x,y)；
5、计算s≡r - Hash * k (mod n)
6、r和s做为签名值，如果r和s其中一个为0，重新从第3步开始执行

验证过程如下：
1、接受方在收到消息(m)和签名值(r,s)后，进行以下运算
2、计算：sG+H(m)P=(x1,y1), r1≡ x1 mod p。
3、验证等式：r1 ≡ r mod p。
4、如果等式成立，接受签名，否则签名无效。

三、JDK中对于ECDSA的实现
特别注意的是：ECDSA签名算法，只是在JDK1.7之后才有实现，最常见的场景是在微软的产品的安装的产品密钥的设计

1、KeyPairGenerator
KeyPairGenerator 类用于生成公钥和私钥对。密钥对生成器是使用 getInstance 工厂方法（返回一个给定类的实例的静态方法）构造的。

特定算法的密钥对生成器可以创建能够与此算法一起使用的公钥/私钥对。它还可以将特定于算法的参数与每个生成的密钥关联。

有两种生成密钥对的方式：与算法无关的方式和特定于算法的方式。

下面我们将按照指定ECDSA算法去生成秘钥KeyPairGenerator.getInstance("EC");

2、ECDSAPublicKey
ECDSA公用密钥的接口

3、ECDSAPublicKey
ECDSA 专用密钥的接口

4、PKCS8EncodedKeySpec
PKCS8EncodedKeySpec类继承EncodedKeySpec类，以编码格式来表示私钥。
PKCS8EncodedKeySpec类使用PKCS#8标准作为密钥规范管理的编码格式

5、Signature
Signature 类用来为应用程序提供数字签名算法功能。数字签名用于确保数字数据的验证和完整性。

在所有算法当中，数字签名可以是 NIST 标准的 ECDSA，它使用 ECDSA 和 SHA-1。可以将使用 SHA-1 消息摘要算法的 ECDSA 算法指定为SHA1withECDSA。

四、实现
其中ECDSA的实现步骤类似于我们之前学习的RSA数字签名算法。

实现步骤
第一步：初始化化秘钥组，生成ECDSA算法的公钥和私钥
第二步：执行私钥签名， 使用私钥签名，生成私钥签名
第三步：执行公钥签名，生成公钥签名
第四步：使用公钥验证私钥签名 
备注：所谓的公钥与私钥匙成对出现。 遵从的原则就是“私钥签名、公钥验证”。

示例代码如下：

1. import java.security.KeyFactory;

2. import java.security.KeyPair;

3. import java.security.KeyPairGenerator;

4. import java.security.PrivateKey;

5. import java.security.PublicKey;

6. import java.security.Signature;

7. import java.security.interfaces.ECPrivateKey;

8. import java.security.interfaces.ECPublicKey;

9. import java.security.spec.PKCS8EncodedKeySpec;

10. import java.security.spec.X509EncodedKeySpec;

11.  

12. /**

13. * 椭圆曲线签名算法

14. *

15. * 速度快 强度高 签名短

16. *

17. * 实现方 JDK1.7/BC

18. */

19. public class ECDSAUtil {

20.  

21. private static String str = "hello";

22.  

23. public static void main(String[] args) {

24. jdkECDSA();

25. }

26.  

27. public static void jdkECDSA() {

28.  

29. try {

30. KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("EC");

31. keyPairGenerator.initialize(256);

32.  

33. KeyPair keyPair = keyPairGenerator.generateKeyPair();

34. ECPublicKey ecPublicKey = (ECPublicKey) keyPair.getPublic();

35. ECPrivateKey ecPrivateKey = (ECPrivateKey) keyPair.getPrivate();

36.  

37. // 2.执行签名

38. PKCS8EncodedKeySpec pkcs8EncodedKeySpec = new PKCS8EncodedKeySpec(ecPrivateKey.getEncoded());

39. KeyFactory keyFactory = KeyFactory.getInstance("EC");

40.  

41. PrivateKey privateKey = keyFactory.generatePrivate(pkcs8EncodedKeySpec);

42. Signature signature = Signature.getInstance("SHA1withECDSA");

43. signature.initSign(privateKey);

44.  

45. signature.update(str.getBytes());

46. byte[] sign = signature.sign();

47.  

48. // 验证签名

49. X509EncodedKeySpec x509EncodedKeySpec = new X509EncodedKeySpec(ecPublicKey.getEncoded());

50. keyFactory = KeyFactory.getInstance("EC");

51. PublicKey publicKey = keyFactory.generatePublic(x509EncodedKeySpec);

52. signature = Signature.getInstance("SHA1withECDSA");

53. signature.initVerify(publicKey);

54. signature.update(str.getBytes());

55.  

56. boolean bool = signature.verify(sign);

57. System.out.println(bool);

58.  

59. } catch (Exception e) {

60. e.printStackTrace();

61. }

62. }

63. }

五、ECDSA标准
ECDSA的标准和标准草案有很多，其中已经过颁发部门批准的有：ANSI X9.62 ,FIPS 186-2,IEEE 1363-2000,ISO 14888-3。ECDSA也被密码标准化组织（SECG，这是一个从事密码标准通用性潜力研究的组织）加以标准化。

主要的ECDSA标准如下：

1.ANSI X9.62
该项目始于1995年，并于1999年正式作为ANSI标准颁布。ANSI X9.62具有高安全性和通用性。它的基域可以是Fp，也可以是F2m。F2m中的元素可以以多项式形式或正规基形式来表示。若用多项式形式，ANSI X9.62要求模多项式为不可约三项式，标准中提供了一些不可约三项式，另外还给出了一个不可约五项式。为了提高通用性，针对每一个域提供了一个模多项式。若使用正规基表示方法，ANSI X9.62规定使用高斯正规基。椭圆曲线最主要的安全因素是n，即基点阶，ANSI X9.62的n大于2160。椭圆曲线是使用随机方法选取的。ANSI X9.62规定使用以字节为单位的字符串形式来表示曲线上的点，ASN.1语法可以清楚地描述域参数，公钥和签名。

2.FIPS 186-2
1997年，NIST开始制定包括椭圆曲线和RSA签名算法的FIPS 186标准。1998年，NIST推出了FIPS186，它包括RSA与DSA数字签名方案，这个方案也称为FIPS 186-1。1999年NIST又面向美国G0vment推出了15种椭圆曲线。这些曲线都遵循ANSI X9.62和IEEE 1363-2000的形式。2000年，包含ANSI X9.62中说明的ECDSA，使用上述曲线的FIPS 186-2问世。

3、IEEE 1363-2000
该标准于2000年作为IEEE标准问世。IEEE 1363的覆盖面很广，包括公钥加密，密钥协商，基于IFP、DLP、ECDLP的数字签名。它与ANSI X9.62和FIPS 186完全不同，它没有最低安全性限制（比如不再对基点阶进行限制），用户可以有充分的自由。
因此IEEE 1363-2000并不是一个安全标准，也不具有良好的通用性，它的意义在于给各种应用提供参照。它的基域可以是，也可以是。 中的元素可以以多项式形式或正规基形式来表示。中元素表示形式是整数，中元素表示形式是字符串。这与ANSI X9. 62和FIPS 186是一致的。

4.ISO/IEC 14888-3
这个标准包含若干签名算法，其中ECDSA部分与ANSI X9.62一致。
如果大家有兴趣可以研究下，ECDSA算法在比特币中用法。