椭圆曲线原理:
椭圆曲线的图像并不是椭圆形,椭圆曲线源自于求椭圆弧长的椭圆积分的反函数。
定义:
椭圆曲线可用下列方程来表示,其中a,b,c,d为系数。
E: y2 =ax3 + bx2 +cx +d
椭圆曲线运算:(相当于交换群)
A+B:
过曲线上两点A,B画一条直线,找到直线与椭圆曲线的的交点,将该交点关于x轴对称位置的点定义为A+B。
A+A:
画出曲线在A点的切线,找到该切线与椭圆曲线的交点,将该交点关于x轴对称位置的点定义为A+A,即2A。
-A:
A点关于X轴对称位置的点定义为-A。
那A+(-A)怎样定义?
认为A和-A间的这条直线在无穷远处相交,这个点图像上画不出来,记为O。
基于上边的运算,如果有椭圆曲线上一个点G,可以求2G,3G,。。。点的坐标。就是说给定G,求xG并不困难。但反过来很难!(椭圆曲线上的离散对数问题)
椭圆曲线上的离散对数问题
本质上就是“已知点xG求数x的问题”。
密码学中的椭圆曲线
密码学中的椭圆曲线运算不是在光滑曲线上进行,并不能使用上面的实数域上的椭圆曲线,因为
1. 实数域上的椭圆曲线是连续的,有无限个点,密码学要求有限点。
2. 实数域上的椭圆曲线的运算有误差,不精确。密码学要求精确。
所以我们需要引入有限域上的椭圆曲线。就是说不是在实数域R上,而是在有限域Fp上。
(x,y坐标的取值只能在有限域Fp中取)
Fp中只有p(p为素数)个元素0,1,2 …… p-2,p-1;
Fp 的加法(a+b)法则是 a+b≡c (mod p);即,(a+c)÷p的余数 和c÷p的余数相同。
比特币中ECDSA使用的椭圆曲线参数:secp256k1
有限域Fp定义:
p = FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F
= 2256 - 232 - 29 - 28 - 27 - 26 - 24 - 1
Fp上的曲线E:y2 = x3 + ax + b定义如下:
a = 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000
b = 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000007
压缩形式(1字节压缩标志位+32字节x坐标)的基点G是:
G = 02 79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798
未压缩形式(1字节压缩标志位+32字节x坐标+32字节y坐标):
G = 04 79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798 483ADA77 26A3C465 5DA4FBFC 0E1108A8 FD17B448 A6855419 9C47D08F FB10D4B8
参数n,它是使得 nG=0 的最小正整数:
n = FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE BAAEDCE6 AF48A03B BFD25E8C D0364141
参数h,它是椭圆曲线群的阶跟由G生成的子群的阶的比值。是设计secp256k1时使用的参数,在具体实现中使用这个参数主要是出于安全性考虑,忽略它不影响理解。
h = 01

私钥公钥地生成过程:
用户随机生成一个小于 n 的大整数 k ,这就是私钥。
然后计算 Q=kG ,这就是公钥(注意,公钥是椭圆曲线上的一个点)。
ECDH过程:
假设公私钥是用于密钥交换,那么步骤如下(这里的乘法是指椭圆曲线上点的乘法):
part1:
小红生成私钥kA,将它乘以基点G得到公钥QA,即 kA *G=QA
小明生成私钥kB,将它乘以基点G得到公钥QB,即 kB *G=QB
part2:
小红计算 ( xk, yk ) = kA *QB, xk即为交换得到的密钥。
小明计算 ( xk, yk ) = kB *QA, xk即为交换得到的密钥。
最后,小红跟小明得到的密钥是相同的。
由以上过程,ECDH的part2部分最终交换得到的密钥是只用到曲线上的点32字节的x坐标值,是没用到y坐标的。
而part1部分,这个公钥QA则必须是全的xy坐标都有。
注:ledger源码中由32字节ECC私钥生成65字节(1+32x+32y)ECC公钥的过程实际只用到了part1,只要得到Q的x和y坐标。
javacard中的ECDH
javacard.security.KeyAgreement
KeyAgreement类是密钥协商算法的基类,例如Diffie-Hellman和EC Diffie-Hellman [IEEE P1363]。 KeyAgreement算法的实现必须扩展此类并实现所有抽象方法。撕裂或卡重置事件将初始化的KeyAgreement对象重置为先前通过调用init()初始化时所处的状态。
在用这个类实现ECDH时,
首先,
private KeyAgreement keyAgreement;
keyAgreement=KeyAgreement.getInstance(KeyAgreement.ALG_EC_SVDP_DH_PLAIN_XY,false);
getInstance
功能是创建所选算法的KeyAgreement对象实例。
public static final KeyAgreement getInstance(byte algorithm,
boolean externalAccess)
throws CryptoException
algorithm - 所需的密钥协商算法:例如:ALG_EC_SVDP_DH_PLAIN_XY

externalAccess - 如果为true,则表示实例将在多个applet实例之间共享,并且当KeyAgreement实例的所有者不是当前选定的applet时,也将访问KeyAgreement实例(通过Shareable接口)。如果为true,则实现不得为内部数据分配CLEAR_ON_DESELECT瞬态空间。
然后,
keyAgreement.init(privateKey)
privateKey存了对应于小红的私钥kA
注意:
这个privateKey一定要在之前设定好secp256k1对应的参数(ledger源码中定义了Secp256k1类,只需调用Secp256k1.setCommonCurveParameters(privateKey)设置参数),
并且也放入了私钥值kA(调用setS()来存)
init()
功能是使用给定的私钥初始化对象。
检查密钥与KeyAgreement算法的一致性。例如,密钥类型必须匹配。对于椭圆曲线算法,key必须表示曲线域参数上的有效点。其他关键组件/域参数强度检查是特定于实现的。
接着,就是流程中小红生成QA(QA结果存放在publicPoint中),
keyAgreement.generateSecret(Secp256k1.SECP256K1_G, (short)0,
(short)Secp256k1.SECP256K1_G.length, publicPoint, publicPointOffset);
generateSecret
函数generateSecret就是实现密钥交换中的这两部分的曲线上乘法,例如kA*G=QA
输出的结果根据所选择的算法不同是不同的,具体的:
带有_PLAIN:输出结果就是原始的,与之对应不带有PLAIN的则是输出将原始结果通过SHA-1散列后得到的20字节的结果。
带有_XY:输出结果是未压缩完整的结果QA(65字节),与之对应的不带有_XY的则是压缩形式的结果(只有QA的x坐标,即32字节)
带有_DHC:和带有_DH的输出是一样的,只是DHC是 with cofactor multiplication and compatibility mode
注:综上,ledger中源码应选择同时带有_PLAIN和_XY的算法,即 ALG_EC_SVDP_DH_PLAIN_XY