摘要:既然我們已經(jīng)可以產(chǎn)生橢圓曲線密鑰對�����,我們接下來就用使用它來進(jìn)行消息的簽名和驗(yàn)證����。簽名橢圓曲線簽名算法就是在中,各方必須約定一個(gè)共同的哈希函數(shù)因?yàn)槲覀儗⒁灻膶ο笫窍?�,而不是消息本身���。這種行為也是造成交易可塑性的原因之一�����。
既然我們已經(jīng)可以產(chǎn)生橢圓曲線密鑰對���,我們接下來就用使用它來進(jìn)行消息的簽名和驗(yàn)證�。我所指的消息是任何形式���,無論是文本還是二進(jìn)制形式���,只要它們有被驗(yàn)證合法性的需要。特別的是�����,bitcoin客戶端通過簽名來證明交易的有效性�����,反之����,礦工則是通過驗(yàn)證這樣的簽名���,來批準(zhǔn)并廣播合法的交易。
ECDSA 簽名
橢圓曲線簽名算法就是ECDSA(Elliptic-Curve Digital Signature Algorithm).在ECDSA中����,各方必須約定一個(gè)共同的哈希函數(shù)H, 因?yàn)槲覀儗⒁灻膶ο笫?em>H(消息),而不是消息本身����。值得注意的是,只有簽名方S有私鑰的權(quán)限�,驗(yàn)證方V只需要拿到相應(yīng)的公鑰就可以進(jìn)行驗(yàn)證。本文中����,我將使用上一章所創(chuàng)建的密鑰對。
下面的案例中����,我們簽名的對象是SHA-256摘要�����。但bitcoin中指定的H函數(shù)是HASH256�����,也就是指雙重SHA-256。
簽名
第一步把我們的消息存入文件���,命名ex-message.txt����。
This is a very confidential message
之后���,我們用私鑰對其SHA-256摘要進(jìn)行簽名���。
$ openssl dgst -sha256 -sign ec-priv.pem ex-message.txt >ex-signature.der
ex-signature.der文件是簽名的DER格式。OpenSSL使用DER編碼任何二進(jìn)制輸出����,但這里我們忽略這個(gè)細(xì)節(jié)。你不需要了解ECDSA簽名的語法���,只需要記住它僅僅是一組的大數(shù)對(r,s)����。
你可能會(huì)注意到�����,每一次你執(zhí)行程序,簽名都發(fā)生變化���,也就是說默認(rèn)的簽名過程是不具有確定性的����。這就給序列化區(qū)塊鏈交易時(shí)帶來了問題����,因?yàn)楹灻?b>交易字節(jié)序列中的一部分,并且你一定知道txid是對交易進(jìn)行哈希得來的��。因此����,每當(dāng)你簽名一筆交易,txid就會(huì)隨之變化�。這種行為也是造成交易可塑性的原因之一。
為了顯示十六進(jìn)制編碼的簽名���,只需添加-hex參數(shù)。
$ openssl dgst -sha256 -hex -sign ec-priv.pem ex-message.txt
為了重用剛剛輸出的結(jié)果��,最好使用hexdup已生成的DER文件。
$ hexdump ex-signature.der
驗(yàn)證
無論什么時(shí)候?qū)⒑戏ㄏl(fā)布到網(wǎng)絡(luò)���,接收者都希望能夠得到一個(gè)附件的簽名�。在假設(shè)我們已經(jīng)得到作者公鑰的情況下�����,無論是原消息還是簽名��,都必須作為驗(yàn)證流程的輸入數(shù)據(jù):
$ openssl dgst -sha256 -verify ec-pub.pem -signature ex-signature.der ex-message.txt
代碼版本
我們使用代碼來完成上文中在命令行中完成的同樣的工作���。
簽名
OpenSSL使簽名流程變得簡單�,這一部分可以在 ex-ecdsa-sign.c中查看��。
uint8_t priv_bytes[32] = { ... };
const char message[] = "This is a very confidential message
";
EC_KEY *key;
uint8_t digest[32];
ECDSA_SIG *signature;
uint8_t *der, *der_copy;
size_t der_len;
...
key = bbp_ec_new_keypair(priv_bytes);
bbp_sha256(digest, (uint8_t *)message, strlen(message));
signature = ECDSA_do_sign(digest, sizeof(digest), key);
ECDSA_SIG是一個(gè)簡單的結(jié)構(gòu)�����,用于存儲上文所說的(r,s)對:
struct {
BIGNUM *r;
BIGNUM *s;
} ECDSA_SIG;
使用i2d_ECDSA_SIG函數(shù)���,我們也可以得到DER編碼的簽名:
der_len = ECDSA_size(key);
der = calloc(der_len, sizeof(uint8_t));
der_copy = der;
i2d_ECDSA_SIG(signature, &der_copy);
驗(yàn)證
驗(yàn)證同樣很簡單�����,可以在ex-ecdsa-verify.c中查看:
uint8_t pub_bytes[33] = { ... };
uint8_t der_bytes[] = { ... };
const char message[] = "This is a very confidential message
";
EC_KEY *key;
const uint8_t *der_bytes_copy;
ECDSA_SIG *signature;
uint8_t digest[32];
int verified;
...
key = bbp_ec_new_pubkey(pub_bytes);
der_bytes_copy = der_bytes;
signature = d2i_ECDSA_SIG(NULL, &der_bytes_copy, sizeof(der_bytes));
因?yàn)闊o法得到私鑰�����,我們利用使用下面的輔助函數(shù)將pub_bytes解碼為壓縮形式�。
EC_KEY *bbp_ec_new_pubkey(const uint8_t *pub_bytes, size_t pub_len);
另一方面,der_bytes是簽名程序返回的DER格式的簽名���。我們將解碼DER簽名到更方便的ECDSA_SIG結(jié)構(gòu)中��,然后與消息摘要比較進(jìn)行驗(yàn)證�����。
ECDSA_do_verify函數(shù)的返回值:
1����,簽名合法
0����,簽名不合法
-1,出現(xiàn)未知錯(cuò)誤
注意:使用ECDSA_verify可以跳過簽名的解碼過程�,因?yàn)樗枰妮斎胫凳?b>DER形式的簽名。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/23965.html
