椭圆曲线密码学(ECC)与椭圆曲线数字签名算法(ECDSA)详解

1. ECC概述

椭圆曲线密码学(Elliptic Curve Cryptography, ECC)是一种基于椭圆曲线数学的公开密钥加密算法。与RSA相比，ECC具有以下优势：

• 安全性高：160位的椭圆密钥与1024位的RSA密钥安全性相当
• 处理速度快：在私钥的加密解密速度上比RSA、DSA更快
• 存储空间占用小
• 带宽要求低

ECC被广泛认为是在给定密钥长度情况下最强大的非对称算法，特别适合带宽要求严格的连接场景。

2. ECC相关密码系统

基于椭圆曲线的密码系统包括：

1. 椭圆曲线迪菲-赫尔曼密钥交换(ECDH)
2. ECMQV(Menezes-Qu-Vanstone)
3. ECElGamal(椭圆曲线ElGamal离散对数密码体制)
4. 椭圆曲线数字签名算法(ECDSA)

3. ECDSA详解

3.1 基本概念

椭圆曲线数字签名算法(ECDSA)是使用椭圆曲线密码(ECC)对数字签名算法(DSA)的模拟。其主要特点：

• 通过公钥无法逆向获得私钥
• 主要用于数据(如文件)的数字签名创建和验证
• 不同于AES加密，ECDSA不加密数据，而是确保数据未被篡改

3.2 数学基础

ECDSA基于椭圆曲线数学方程，基本原理：

1. 选择一条椭圆曲线并在曲线上随机选取一个原点(point of origin)
2. 生成一个随机数作为私钥(Private key)
3. 通过数学方程从随机数和原点得到曲线上第二个点，即公钥(Public key)

ECDSA只使用整数数学，没有浮点数。通常使用160比特，可以表示非常大的数(约49位数字)。

3.3 签名与验证过程

签名生成：

1. 使用私钥(随机数)和文件哈希值通过数学方程生成签名
2. 签名分为两部分：R和S

签名验证：

1. 使用公钥和签名的一部分S代入特定数学方程
2. 如果方程给出签名的另一部分R，则签名有效

3.4 实际应用

ECDSA的典型应用场景包括：

1. 文件/合同数字签名
2. 应用程序完整性验证(如游戏官方地图)
3. 设备固件验证(如只允许安装官方应用的手机)

在这些场景中：

• 相关文件用ECDSA签名
• 公钥随应用程序/设备一起分发
• 私钥在安全环境中保存

4. ECDSA签名过程技术细节

4.1 密钥生成

1. 选择一条椭圆曲线，曲线上的点用(x, y)坐标表示(x和y通常是256位整数)
2. 私钥是一个随机整数
3. 公钥是私钥乘以曲线上的固定"生成点"得到的点

公钥通常可以压缩：

• 原始公钥：64字节(两个256位坐标)
• 压缩公钥：33字节(1字节表示y的正负号 + 32字节x坐标)

4.2 签名生成步骤

1. 对要签名的信息进行哈希(如ECDSA-SHA256得到32字节哈希值)
2. 生成随机数k(或使用RFC6979规定的确定性方法)
3. 计算k × 生成点G得到随机点R
4. 取R的x坐标作为签名的第一部分r
5. 计算签名的第二部分s = (哈希值 + r × 私钥)/k
6. 组合(r, s)形成完整签名

4.3 签名验证步骤

1. 使用信息哈希值、s和公钥计算出一个点R'
2. 比较R'的x坐标与签名中的r
3. 如果匹配，则签名有效

5. Java中的ECDSA实现

5.1 关键类与接口

1. KeyPairGenerator：生成公钥/私钥对

   • 使用KeyPairGenerator.getInstance("EC")获取ECDSA实例

2. ECDSAPublicKey：ECDSA公钥接口

3. ECDSAPrivateKey：ECDSA私钥接口

4. PKCS8EncodedKeySpec：表示PKCS#8编码格式的私钥

5. Signature：提供数字签名算法功能

   • 支持的算法：如SHA1withECDSA、SHA256withECDSA等

5.2 签名与验证代码示例

// 生成签名
public static byte[] signData(String algorithm, byte[] data, PrivateKey key) throws Exception {
    Signature signer = Signature.getInstance(algorithm);
    signer.initSign(key);
    signer.update(data);
    return (signer.sign());
}

// 验证签名
public static boolean verifySign(String algorithm, byte[] data, PublicKey key, byte[] sig) throws Exception {
    Signature signer = Signature.getInstance(algorithm);
    signer.initVerify(key);
    signer.update(data);
    return (signer.verify(sig));
}

5.3 测试用例分析

测试用例展示了ECDSA的以下特性：

1. 随机性：同一私钥对相同数据多次签名会产生不同但都有效的签名
2. 数据敏感性：数据被篡改会导致验证失败
3. 签名敏感性：签名被篡改会导致验证失败
4. 密钥配对：只有正确的公钥才能验证对应私钥生成的签名

6. 安全注意事项

1. 随机数k：必须保密且每次不同，否则可能导致私钥泄露
2. 签名格式：ECDSA签名为DER格式，修改前三个字节(标识和数据长度)会导致无效签名
3. 密钥长度：建议使用足够长的密钥(如256位)以确保安全性

7. 参考资料

1. 椭圆曲线密码学(ECC)研究 - FreeBuf
2. RFC6979 - 确定性ECDSA
3. Java安全标准名称
4. 看雪学院 - ECC加密算法入门