• 椭圆曲线ECC ECDH原理&& javacard实现


    椭圆曲线原理:

    椭圆曲线的图像并不是椭圆形,椭圆曲线源自于求椭圆弧长的椭圆积分的反函数。

    定义:

    椭圆曲线可用下列方程来表示,其中a,b,c,d为系数。

    E: y2 =ax3 + bx2 +cx +d

    椭圆曲线运算:(相当于交换群)

    A+B:

    过曲线上两点A,B画一条直线,找到直线与椭圆曲线的的交点,将该交点关于x轴对称位置的点定义为A+B。

    A+A:

    画出曲线在A点的切线,找到该切线与椭圆曲线的交点,将该交点关于x轴对称位置的点定义为A+A,即2A。

    -A:

    A点关于X轴对称位置的点定义为-A。

    A+(-A)怎样定义?

    认为A和-A间的这条直线在无穷远处相交,这个点图像上画不出来,记为O。

    基于上边的运算,如果有椭圆曲线上一个点G,可以求2G,3G,。。。点的坐标。就是说给定G,求xG并不困难。但反过来很难!(椭圆曲线上的离散对数问题)

    椭圆曲线上的离散对数问题

    本质上就是“已知点xG求数x的问题”。

    密码学中的椭圆曲线

    密码学中的椭圆曲线运算不是在光滑曲线上进行,并不能使用上面的实数域上的椭圆曲线,因为
    1. 实数域上的椭圆曲线是连续的,有无限个点,密码学要求有限点。
    2. 实数域上的椭圆曲线的运算有误差,不精确。密码学要求精确。

    所以我们需要引入有限域上的椭圆曲线。就是说不是在实数域R上,而是在有限域Fp上。
    (x,y坐标的取值只能在有限域Fp中取)

    Fp中只有p(p为素数)个元素0,1,2 …… p-2,p-1;
    Fp 的加法(a+b)法则是 a+b≡c (mod p);即,(a+c)÷p的余数 和c÷p的余数相同。

    比特币中ECDSA使用的椭圆曲线参数:secp256k1

    有限域Fp定义:
    p = FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F
    = 2256 - 232 - 29 - 28 - 27 - 26 - 24 - 1

    Fp上的曲线E:y2 = x3 + ax + b定义如下:

    a = 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000
    b = 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000007

    压缩形式(1字节压缩标志位+32字节x坐标)的基点G是:

    G = 02 79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798

    未压缩形式(1字节压缩标志位+32字节x坐标+32字节y坐标):

    G = 04 79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798 483ADA77 26A3C465 5DA4FBFC 0E1108A8 FD17B448 A6855419 9C47D08F FB10D4B8

    参数n,它是使得 nG=0 的最小正整数:

    n = FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE BAAEDCE6 AF48A03B BFD25E8C D0364141

    参数h,它是椭圆曲线群的阶跟由G生成的子群的阶的比值。是设计secp256k1时使用的参数,在具体实现中使用这个参数主要是出于安全性考虑,忽略它不影响理解。

    h = 01

    屏幕快照 2018-07-28 上午10.48.40

    私钥公钥地生成过程:

    用户随机生成一个小于 n 的大整数 k ,这就是私钥。
    然后计算 Q=kG ,这就是公钥(注意,公钥是椭圆曲线上的一个点)。

    ECDH过程:

    假设公私钥是用于密钥交换,那么步骤如下(这里的乘法是指椭圆曲线上点的乘法):

    part1:

    小红生成私钥kA,将它乘以基点G得到公钥QA,即 kA *G=QA
    小明生成私钥kB,将它乘以基点G得到公钥QB,即 kB *G=QB

    part2:

    小红计算 ( xk, yk ) = kA *QB, xk即为交换得到的密钥。
    小明计算 ( xk, yk ) = kB *QA, xk即为交换得到的密钥。

    最后,小红跟小明得到的密钥是相同的。

    由以上过程,ECDH的part2部分最终交换得到的密钥是只用到曲线上的点32字节的x坐标值,是没用到y坐标的。
    而part1部分,这个公钥QA则必须是全的xy坐标都有。

    注:ledger源码中由32字节ECC私钥生成65字节(1+32x+32y)ECC公钥的过程实际只用到了part1,只要得到Q的x和y坐标。

    javacard中的ECDH

    javacard.security.KeyAgreement

    KeyAgreement类是密钥协商算法的基类,例如Diffie-Hellman和EC Diffie-Hellman [IEEE P1363]。 KeyAgreement算法的实现必须扩展此类并实现所有抽象方法。撕裂或卡重置事件将初始化的KeyAgreement对象重置为先前通过调用init()初始化时所处的状态。

    在用这个类实现ECDH时,
    首先,

    private KeyAgreement keyAgreement;
    
    keyAgreement=KeyAgreement.getInstance(KeyAgreement.ALG_EC_SVDP_DH_PLAIN_XY,false);
    
    getInstance

    功能是创建所选算法的KeyAgreement对象实例。

    public static final KeyAgreement getInstance(byte algorithm,
                           boolean externalAccess)
                                          throws CryptoException
    

    algorithm - 所需的密钥协商算法:例如:ALG_EC_SVDP_DH_PLAIN_XY
    屏幕快照 2018-07-28 下午12.42.24

    externalAccess - 如果为true,则表示实例将在多个applet实例之间共享,并且当KeyAgreement实例的所有者不是当前选定的applet时,也将访问KeyAgreement实例(通过Shareable接口)。如果为true,则实现不得为内部数据分配CLEAR_ON_DESELECT瞬态空间。

    然后,

    keyAgreement.init(privateKey)
    

    privateKey存了对应于小红的私钥kA

    注意:
    这个privateKey一定要在之前设定好secp256k1对应的参数(ledger源码中定义了Secp256k1类,只需调用Secp256k1.setCommonCurveParameters(privateKey)设置参数),
    并且也放入了私钥值kA(调用setS()来存)

    init()

    功能是使用给定的私钥初始化对象。
    检查密钥与KeyAgreement算法的一致性。例如,密钥类型必须匹配。对于椭圆曲线算法,key必须表示曲线域参数上的有效点。其他关键组件/域参数强度检查是特定于实现的。

    接着,就是流程中小红生成QA(QA结果存放在publicPoint中),

    keyAgreement.generateSecret(Secp256k1.SECP256K1_G, (short)0, 
    (short)Secp256k1.SECP256K1_G.length, publicPoint, publicPointOffset);
    
    generateSecret

    函数generateSecret就是实现密钥交换中的这两部分的曲线上乘法,例如kA*G=QA

    输出的结果根据所选择的算法不同是不同的,具体的:
    带有_PLAIN:输出结果就是原始的,与之对应不带有PLAIN的则是输出将原始结果通过SHA-1散列后得到的20字节的结果。

    带有_XY:输出结果是未压缩完整的结果QA(65字节),与之对应的不带有_XY的则是压缩形式的结果(只有QA的x坐标,即32字节)
    带有_DHC:和带有_DH的输出是一样的,只是DHC是 with cofactor multiplication and compatibility mode

    注:综上,ledger中源码应选择同时带有_PLAIN和_XY的算法,即 ALG_EC_SVDP_DH_PLAIN_XY

  • 相关阅读:
    20145310《信息安全系统设计基础》第二周学习总结
    20145310《信息安全系统设计基础》第一周学习总结
    20145310 第0周《信息安全系统设计基础》学习总结
    课程总结
    20145310《Java程序设计》第5次实验报告
    20145310 《Java程序设计》第10周学习总结
    20145310 《Java程序设计》第9周学习总结
    20145310《Java程序设计》第4次实验报告
    20145310《Java程序设计》第3次实验报告
    git的安装以及遇到的问题
  • 原文地址:https://www.cnblogs.com/10zhang/p/9381897.html
Copyright © 2020-2023  润新知