ECDSA签名-椭圆曲线数字签名算法

# 0.参考
[1]  [blog-ECDSA签名算法](https://segmentfault.com/a/1190000012288285)
[2] 杨波,现代密码学[M],清华大学出版社,2017
[3] [密码学基础2--椭圆曲线密码学原理解析](https://juejin.cn/post/6844903900961570823)
[4] [Substrlde分椭圆曲线签名介绍](https://www.bilibili.com/video/BV1AK411n7GZ?spm_id_from=333.337.search-card.all.click)
# 1. SM2椭圆曲线公钥密码签名算法

## 1.1 基本参数
 - Fp的特征p为m比特长的素数，p要尽可能大，但太大会影响计算速度
 - 长度不小于192比特的比特串SEED
 - Fp上的2个元素a、b满足，4a3 + 27 b2 ≠ 0，定义曲线y2 = x2 + ax + b
 - 基点G=(xG,yG)
 - G的阶n为m比特长的素数，满足 n > 2191且n > 4 $\sqrt p$
 - h=$\frac{|E(F_{p})|}{n}$,h称为余因子，其中${|E(F_{p})|}$是曲线E(Fp)的点数
 
## 1.2 密钥产生
 - A的密钥与公钥 dA和PA=(xA,yA)
 - IDA是A的长度为entlenA比特的标识
 - ENTLA是由entlenA转换而成的两个字节
 - ZA=H256( ENTLA || IDA || a || b || xG || yG || xA || yA)
 
 ---

tips:
 验证方B验证签名时也需要计算ZA

---
 
## 1.3 签名算法
设待签名的消息M，A做以下运算：

- (1) 取$\overline{M}$= ZA || M 
 - (2) 计算e=Hv($\overline{M}$),将e转换为整数，Hv输出为v比特长的哈希函数
 - (3)用随机数发生器产生随机数k←R{1,2,...,n-1};
 - (4)计算椭圆曲线点C1=(x1,y1);
 - (5)计算r=(e + x1) mod n,若r=0或r+k=n，则返回(3)
 - (6)计算s=((1+dA)-1 · (k-r·dA)) mod n,若s=0,则返回(3)
 - (7) 消息M的签名(r,s)
<center>
![SM2签名算法](https://leanote.com/api/file/getImage?fileId=627a1156ab64412e450b9fb6)
</center>
## 1.4 验证签名算法
B收到消息M'及其签名(r',s'),B执行以下运算：

- (1)检验r'∈[1,n-1]是否成立，若不成立,验证不通过
 - (2)检验s'是否成立，若不成立,验证不通过
 - (3)置$\overline{M'}=Z_A || M'$
 - (4)计算$e'=H_v(\overline{M'})$,将e'换成整数
 - (5)计算t=(r' + s') mod n,若t=0，则验证不通过
 - (6)计算椭圆曲线点(x'1,y'1) = s'G + tPA;
 - (7)计算R=(e' + x'1) mod n,检验R=r'是否成立
 
<center>
 ![验证签名算法](https://leanote.com/api/file/getImage?fileId=627a1156ab64412e450b9fb7)
</center>

## 1.5 正确性验证
如果$\overline{M'} = \overline {M},(r',s') =(r,s)$,则e' = e,要证R = r'=r,只需证明x'1 = x1

x'1 = s'xG + txA = sxG + (r+s) xA = sxG+(r+s)dAxG
=(s+rdA+sdA)xG
=(s(1+dA) + rdA)xG
=(k-rdA+rdA)xG
=x1

<center>
![计算x1](https://leanote.com/api/file/getImage?fileId=627a1156ab64412e450b9fb5)
</center>

信息安全从业人员^_^

导航

最近发表

友情链接