libsecp256k1位元幣演算法密碼開源庫（四）

2021SC@SDUSC

本篇博客參考了JIMMY Song的著作《區塊鏈編程》

目錄

一、備用鑰匙中的定義的資料結構和函式

1、指向函式的指標，該函式散列EC點以獲取ECDH秘密

如果點已成功散列，則回傳1；0將導致secp256k1_ecdh失敗并回傳0，不允許使用其他回傳值，并且對于其他回傳值，secp256k1_ecdh未定義，
Out:output：指向要由函式填充的陣列的指標
In:x32:指向32位元組x坐標的指標
y32：指向32位元組y坐標的指標
資料：通過的任意資料指標

2、應用于壓縮公鑰的SHA256哈希函式的實作，用32位元組填充輸出引數，

3、默認ECDH哈希函式（當前secp256k1_ECDH_hash_函式_sha256），用32位元組填充輸出引數，
4、在恒定時間內計算EC-Diffie-Hellman密鑰

回傳：
1:求冪成功
0:標量無效（零或溢位）或hashfp回傳0
Args:ctx：指向背景關系物件的指標，
Out:output：指向要由hashfp填充的陣列的指標，
In:pubkey：指向包含初始化公鑰的secp256k1_pubkey的指標，
seckey：與點相乘的32位元組標量，
hashfp：指向散列函式的指標，如果為空，則使用secp256k1_ecdh_哈希_函式_sha256
（在這種情況下，將向輸出寫入32個位元組），
資料：傳遞給hashfp的任意資料指標
（secp256k1_ecdh_哈希_函式_sha256可以為空），

5、一種不透明的資料結構，保存一個已決議且有效的“x-only”公鑰，

x-only公鑰對Y坐標為偶數的點進行編碼，它僅使用其X坐標（32位元組）進行序列化，內部資料的精確表示是由實作定義的，不能保證在不同平臺或版本之間可移植，但是，它的大小保證為64位元組，并且可以安全地復制/移動，

6、一種不透明的資料結構，包含一個由秘密和公鑰組成的密鑰對，

內部資料的精確表示由實作定義，不能保證在不同的平臺或版本之間可移植，但是，它的大小保證為96位元組，并且可以安全地復制/移動，

7、將32位元組序列決議為xonly_pubkey物件，

如果公鑰完全有效，則回傳：1，
如果無法分析公鑰或公鑰無效，則回傳0，
Args:ctx:secp256k1背景關系物件，
Out:pubkey：指向pubkey物件的指標，如果回傳1，則將其設定為輸入的決議版本，如果不是，則設定為無效值，
In:input32：指向序列化xonly_pubkey的指標，

8、將xonly_pubkey物件序列化為32位元組序列，

回傳：1始終，
Args:ctx:secp256k1背景關系物件，
Out:output32：指向32位元組陣列的指標，用于將序列化鍵放入其中，
In:pubkey：指向包含初始化公鑰的secp256k1_xonly_pubkey的指標，

9、使用字典順序比較xonly的公鑰

回傳：
如果第一個公鑰小于第二個公鑰,則回傳<0；
如果第一個公鑰大于第二個公鑰,則回傳>0
如果兩個公鑰相等，則為0
Args:ctx:secp256k1背景關系物件，
In:
pubkey1:要比較的第一個公鑰
pubkey2：要比較的第二個公鑰

10、通過將生成器與tweak32相乘來調整x-only公鑰，

請注意，結果點通常不能用僅x的公鑰表示，因為它可能具有奇數Y坐標，相反，輸出_pubkey是正常的secp256k1_pubkey，如果引數無效或生成的公鑰無效，則回傳0（僅當調整是對應密鑰的否定時），否則回傳1，
Args:ctx：指向為驗證而初始化的背景關系物件的指標，
Out:
output\u pubkey：指向存盤結果的公鑰的指標，如果此函式回傳0，則將設定為無效值，
In:
internal_pubkey：指向要應用調整的x-only pubkey的指標，
tweak32：指向32位元組調整的指標，如果根據secp256k1_ec_seckey_verify，調整無效，則此函式回傳0，對于均勻隨機的32位元組陣列無效的幾率可以忽略不計（約為1/2^128），

11、計算密鑰的密鑰對，

回傳：
1:密碼有效，密鑰對已準備好使用
0:密碼無效，請使用其他機密重試
Args:ctx：指向背景關系物件的指標，已初始化用于簽名，
Out:keypair：指向創建的密鑰對的指標，
In:seckey：指向32位元組密鑰的指標，

12、從密鑰對獲取密鑰，

回傳：
如果引數無效，則回傳0，有效回傳1，
Args:ctx：指向背景關系物件的指標，
Out:seckey：指向密鑰的32位元組緩沖區的指標，
In:keypair：指向鍵對的指標，

13、從密鑰對獲取公鑰，

回傳：
如果引數無效，則回傳0,否則回傳1，
Args:ctx：指向背景關系物件的指標，
Out:pubkey：指向pubkey物件的指標，如果回傳1，則將其設定為密鑰對公鑰，如果不是，則設定為無效值，
In:keypair：指向鍵對的指標，

14、從密鑰對獲取x-only公鑰，

這與呼叫secp256k1_keypair_pub，然后從_pubkey呼叫secp256k1_xonly_pubkey_相同，
如果引數無效，則回傳0；否則回傳1.
Args:ctx：指向背景關系物件的指標，
Out:pubkey：指向xonly_pubkey物件的指標，如果回傳1，則在將其轉換為xonly_公鑰后將其設定為密鑰對公鑰，如果不是，則設定為無效值，
pk_奇偶校驗：如果為空，則忽略，否則，指向一個整數的指標，該整數將被設定為secp256k1_xonly_pubkey_from_pubkey的pk_奇偶校驗引數，
In:keypair：指向鍵對的指標，

15、通過向密鑰添加tweak32并相應地更新公鑰來調整密鑰對，

回傳：
如果引數無效或生成的密鑰對無效，則回傳0（僅當調整是密鑰對秘密密鑰的否定時），否則回傳1.
Args:ctx：指向為驗證而初始化的背景關系物件的指標，
輸入/輸出：鍵對：指向要應用調整的鍵對的指標，如果此函式回傳0，則將設定為無效值，
In:tweak32：指向32位元組調整的指標，如果根據secp256k1_ec_seckey_verify，調整無效，則此函式回傳0，對于均勻隨機的32位元組陣列，無效的可能性可以忽略不計（約為1/2^128），

二、lipsecp256k1演算法整體梳理

1、一個好的hash演算法需要具備的特點：

(1) 正向快速：對于給定的明文，能在有限的時間和資源內得到hash值；

(2)逆向困難：對于給定的hash值，想逆向推匯出明文基本不可能；

(3)輸入敏感：明文發生變化，新的hash值會有很大的不同；

(3)抗碰撞性：很難找到兩段不同的明文能夠產生相同的hash值；

2、加密就是將明文和密鑰，通過加密演算法生成密文，解密是加密的反程序：密文和密鑰通過解密演算法，還原出明文，其中數字簽名用來驗證真身，證明發送者是真正的發送者，有利于防偽和抗抵賴，此外，還有測驗，資料擦除等一些細節，

3、libsecp256k1演算法利用橢圓曲線的演算法，但是使用了固定的引數：

secp256k1（2^256-232-977）下有限域的素數階 ：
P = 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F

橢圓曲線secp256k1:y^2 =x^3+7：這是a=0，b=7的曲線；C=橢圓曲線（[F（0），F（7）]），

secp256k1的基點：
G = C.lift_x(0x79BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798)

secp256k1非平凡自同態的Beta值：lambda*（x，y）=（Beta*x，y） ；Beta = F(2)^((P-1)/3)

secp256k1非平凡自同態的Lambda值：Lambda*（x，y）=（beta*x，y） ；LAMBDA = Z(3)^((N-1)/3)

4、在定義引數、資料結構、函式以后，我們湊齊了公鑰密碼學的工具，核心運算P=eG（e為私鑰、P為公鑰，注意私鑰是一個256位的數字，公鑰是一個坐標（x，y），x和y也是256位的數字）是一個非對稱方程，如果知道e和G，可以很輕易地計算出p，但是已知P和G，則很難推匯出E，這就是離散對數問題，離散對數問題是我們理解簽名和驗證演算法的核心知識，

三、雕刻靶坐標技術（數字簽名）

雕刻靶坐標依賴簽名演算法，我們使用的是橢圓曲線數字簽名演算法，
演算法需要保護的秘密e滿足下面的等式：
eG=p
p是公鑰，e是私鑰，
我們選定的靶是一個256位的亂數k，并且有：
kG=R
于是R替換為新的靶，實際上我們只關心R的x軸坐標，其命名為r（random），
那么下面的方程就等價于離散對數問題：
uG+vP=kG
k是隨機選取的，u和v由簽名者提供且均不等于0，G和p是已知的，這個命題成立是因為：
uG+vp=kG->vp=(k-u)G
由于v !=0，所以我們可以通過除以標量乘法的系數v得到：
P=（（k-u）/v)G
如果e已知，則有：
eG=（（k-u）/v)G或者e=（k-u）/v
這意味著任何（u，v）組合，只要滿足上述方程，將足以證明其為e的持有者，如果我們不知道e，則不得不窮舉（u，v）知道e=（k-u）/v，如果我們提供滿足方程的任意（u，v）組合，這意味著我們在只知道p和G的情況下，已經解決了p=eG的離散對數問題，

反過來說，如果我們能提供正確的（u，v）組合，要么我們已經解決了離散對數問題，要么掌握了私鑰e，因為我們假設離散對數問題是難以計算的，因此，對于得出u和v的人來說，e是已知的，

在簽名和驗證的語境下，射擊者的動機應該被雕刻在箭頭上，這被命名為簽名哈希，哈希函式是確定性函式，接受任意資料并轉化為定長資料，簽名哈希是包含射擊者意圖的訊息指紋，任何驗證訊息的人都會接受，用字母z表示，可以通過如下方式把它雕刻在uG+vp的計算中，
u=z/s,v=r/s
我們知道r參與了v的計算，所以箭頭已經雕刻了目標，通過u的計算，我們也雕刻了射擊的目的，所以射擊的靶和射擊的原因都已經在方程中了，

為了使方程成立，接下來計算s：
uG+vp=r=kG
uG+veG=kG
u+ve=k
z/s+re/s=k
(z+re)/s=k
s=(z+re)/k
這就是基礎的簽名演算法，簽名的數字是r和s，

驗證的程序也直接明了：
uG+vp,其中u，v！=0
uG+vp=（z/s）G+（re/s）G=((z+re)/s)G=((z+re)/(z+re)/k))G=kG=(r,y)

問題：為什么不公開k？
答：如果公開k，則會出現：
uG+vp=R
uG+veG=kG
kG-uG=veG
(k-u)G=veG
(k-u)=ve
(k-u)/v=e
這意味著我們的私鑰內容是可破解的，這完全違背了簽名的目的，

確保你選擇k時使用的是真亂數，同時，意外泄漏一個已知的簽名k等同于泄露你的私鑰并失去你的資產！! ！

四、驗證的細節

我們的簽名限定了只對固定長度（32位元組）的值簽名，32位元組等于256位并不是巧合，因為簽名的內容應當是G的一個標量，

為了保證簽名的訊息是32位元組，我們需要對檔案進行哈希運算，位元幣采用的哈希函式是sha256（兩輪），這保證了簽名的訊息可以轉換成定長的32位元組，我們把計算結果命名為簽名哈希（z），

待驗證的簽名包括兩個引數（r，s），r是點R的x軸坐標，s的公式為：s=(z+re)/k
作為簽名者，我們已知e，k和z，我們要驗證我們掌握了e且p=eG，k是簽名者選定的亂數且kG=R，接下來我們用公式R=uG+vp來計算u和v：
u=z/s
v=r/s
因此
uG+vp=(z/s)G+(r/s)P=(z/s)G+(re/s)G=((z+re)/s)G
已知s=(z+re)/k，則：
uG+vp=((z+re)/((z+re)/k))G=kG=R
我們已經計算出u和v，繼而計算出我們想要的R，更進一步，我們在計算v時使用了r，證明我們知道R的值，而知道R的前提是掌握密鑰e，

總結一下，我們需要的步驟：
1、接受簽名者提供的（r，s）作為簽名，z是被簽名的內容的哈希值，p是簽名者的公鑰
2、計算u=z/s和v=r/s
3、計算uG+vp=R
4、如果R的x坐標等于r，則簽名是有效的，

問題：為什么需要兩輪sha256？
答：確實，一輪sha256就可以生成256位的數字了，這是出于安全考慮，例如，生日攻擊就是一個非常出名的針對hash-1的哈希碰撞攻擊，雖然兩輪哈希并不能完全阻止可能的攻擊，但是這是一個修補潛在漏洞的防御方法，

五、簽名的細節

簽名程序：
1、我們已知z和滿足eG=P的e，
2、隨機選擇k，
3、計算R=kG，及其x軸坐標r，
4、計算s=（z+re）/k，
5、(r,s）即為簽名結果，

公鑰P會傳遞給所有希望驗證簽名的人，驗證者還必須知道z的值，