EC基本方案

ECDH(密钥交换)

密钥生成

私钥生成

私钥 $d$ 是一个随机整数，满足：

$$1\le d\le n-1$$

公钥生成

公钥 $Q$ 通过标量乘法计算：

$$Q=d\cdot G$$

密钥交换

Alice 和 Bob 通过以下步骤交换密钥：

1. Alice 生成私钥 $d_A$ 和公钥 $Q_A=d_A\cdot G$，将 $Q_A$ 发送给 Bob。
2. Bob 生成私钥 $d_B$ 和公钥 $Q_B=d_B\cdot G$，将 $Q_B$ 发送给 Alice。
3. Alice 接收到 $Q_B$ 后，计算共享密钥：$$K_A=d_A\cdot Q_B=d_A\cdot (d_B\cdot G)=(d_A\cdot d_B)\cdot G$$
4. Bob 接收到 $Q_A$ 后，计算共享密钥：$$K_B=d_B\cdot Q_A=d_B\cdot (d_A\cdot G)=(d_B\cdot d_A)\cdot G$$
5. 最终得到相同共享密钥 $K=(d_A\cdot d_B)\cdot G$。

ECIES(公钥加密)

密钥生成

私钥生成

私钥 $d$ 是一个随机整数，满足：

$$1\le d\le n-1$$

公钥生成

公钥 $Q$ 通过标量乘法计算：

$$Q=d\cdot G$$

加密过程

给定消息 $M$ 和公钥 $Q$，ECIES加密过程如下：

1. 生成随机数 $k$，满足 $1\le k\le n-1$。
2. 计算点 $P=k\cdot G=(x_1,y_1)$。
3. 计算公钥 $K=k\cdot Q=k\cdot d\cdot G$。
4. 生成对称密钥 $K_{sym}=H(K)$，其中 $H$ 是哈希函数。
5. 加密消息 $C=M\oplus K_{sym}$。
6. 输出密文 $(C,P)$。
7. 发送密文 $(C,P)$ 给接收方。

解密过程

给定密文 $(C,P)$ 和私钥 $d$，ECIES解密过程如下：

1. 计算共享密钥 $K=d\cdot P=d\cdot k\cdot G$。
2. 生成对称密钥 $K_{sym}=H(K)$。
3. 解密消息 $M=C\oplus K_{sym}$。
4. 输出明文 $M$。

ECDSA(签名)

域参数

• $p$：有限域的大小
• $a,b$：椭圆曲线参数
• $G$：基点（生成元）
• $n$：基点的阶（即 $n\cdot G=O$）

密钥生成

私钥生成

私钥 $d$ 是一个随机整数，满足：

$$1\le d\le n-1$$

公钥生成

公钥 $Q$ 通过标量乘法计算：

$$Q=d\cdot G$$

其中 $G$ 是椭圆曲线的基点。

签名生成

给定消息的哈希值 $h$ 和私钥 $d$，ECDSA签名过程如下：

步骤1：生成随机数

生成一个随机数 $k$，满足：

$$1\le k\le n-1$$

!!!：这里是简化的，具体参照这里，简单说就是$Hash(h||d)$

步骤2：计算点

计算椭圆曲线点：

$$P=k\cdot G=(x_1,y_1)$$

步骤3：计算 r

$$r=x_{1}modn$$

!!!：取点 $P$ 的 $x$ 坐标模 $n$，作为签名的第一部分。如果 $r=0$，则重新选择 $k$。

步骤4：计算 s

$$s=k^{-1}(h+r\cdot d)modn$$

!!!：

• $k^{-1}$ 是 $k$ 在模 $n$ 下的乘法逆元
• $(h+r\cdot d)$ 将消息哈希与私钥信息结合
• 整个表达式确保了签名与私钥和消息的绑定关系

如果 $s=0$，则重新选择 $k$。

步骤5：输出签名

签名为 $(r,s)$。

签名验证

给定消息哈希 $h$、签名 $(r,s)$ 和公钥 $Q$，验证过程如下：

步骤1：参数验证

验证 $r$ 和 $s$ 在有效范围内：

$$1\le r\le n-1$$$$1\le s\le n-1$$

步骤2：计算逆元

计算 $s$ 的乘法逆元：

$$w=s^{-1}modn$$

步骤3：计算标量

$$u_1=h\cdot wmodn$$$$u_2=r\cdot wmodn$$

步骤4：计算验证点

$$P^{{}^{\prime }}=u_1\cdot G+u_2\cdot Q=({x_1}^{{}^{\prime }},{y_1}^{{}^{\prime }})$$

步骤5：验证结果

如果 ${x_1}^{{}^{\prime }}modn=r$，则签名有效；否则无效。

数学原理

从签名生成有：

$$s=k^{-1}(h+r\cdot d)modn$$

重排得到：

$$k=s^{-1}(h+r\cdot d)modn(\alpha )$$

在验证过程中：

$$P^{{}^{\prime }}=u_1\cdot G+u_2\cdot Q$$

替换 $u_1$ 和 $u_2$：

$$P^{{}^{\prime }}=(h\cdot s^{-1})\cdot G+(r\cdot s^{-1})\cdot Q$$

由于 $Q=d\cdot G$：

$$P^{{}^{\prime }}=(h\cdot s^{-1})\cdot G+(r\cdot s^{-1})\cdot (d\cdot G)$$$$P^{{}^{\prime }}=s^{-1}(h+r\cdot d)\cdot G$$

根据签名生成中(式$\alpha$)的关系：

$$P^{{}^{\prime }}=k\cdot G=P$$

这证明了验证点 $P^{{}^{\prime }}$ 的 $x$ 坐标确实等于 $r$，从而验证了签名的有效性。

Add-On: v的生成与公钥恢复

由于压缩传输空间的需要以及ECDSA可以从签名恢复公钥的性质，往往只传输 $(r,s)$ ，而不传输公钥 $Q$ 。

在以太坊中，需要一个 $v$（也叫 recovery id，记作 $\mathrm{recId}$）与 $(r,s)$ 一起传输，使得验证者可以从签名中恢复出公钥 $Q$（进而得到地址）。

1) $v/\mathrm{recId}$ 到底在表达什么

ECDSA 签名里有中间点：

$$R=k\cdot G=(x_R,y_R)$$

而签名的

$$r\equiv x_R(\mathrm{mod}n)$$

因此仅凭 $r$ 并不能唯一确定 $R$：

• 同一个 $x$ 往往对应两个点（$y$ 与 $-y$），需要 1 bit 表示 $y$ 的奇偶性（或“是否取较大/较小根”）。
• 由于 $x_R$ 是在有限域 ${\mathbb{F}}_p$ 上的坐标，而 $r$ 是模 $n$ 的结果，可能存在$$x_R=r+jn(j\in \{0,1\})$$需要再用 1 bit 表示 $j$。

所以常见的恢复标识是：

$$\mathrm{recId}\in \{0,1,2,3\}$$

其中通常可理解为：

• $\mathrm{recId}mod2$：选择 $y$ 的奇偶性（对应两种 $R$）
• $\lfloor \mathrm{recId}/2\rfloor$：表示是否使用 $x=r+n$（即 $j$）

---

2) 以太坊里的 $v$

历史上（黄皮书/早期实现）以太坊把 $\mathrm{recId}$ 平移为：

$$v\in \{27,28\},v=\mathrm{recId}+27(\mathrm{recId}\in \{0,1\})$$

引入 EIP-155（防重放）后，交易签名里常见：

$$v=\mathrm{recId}+35+2\cdot \mathrm{chainId}$$

因此从交易的 $v$ 还原 $\mathrm{recId}$ 通常是：

• 若 $v\in \{27,28\}$：$\mathrm{recId}=v-27$
• 否则（EIP-155）：$\mathrm{recId}=v-(35+2\cdot \mathrm{chainId})$

备注：不同库/链的编码细节可能略有差异，但核心都是携带“恢复所需的那几 bit”。

---

3) 从 $(r,s,v)$ 恢复公钥 $Q$

ECDSA 有：

$$s\equiv k^{-1}(h+rd)(\mathrm{mod}n)$$

两边乘以 $k$：

$$sk\equiv h+rd(\mathrm{mod}n)$$

又因为 $R=kG$，于是：

$$sR=s(kG)=(sk)G\equiv (h+rd)G=hG+r(dG)=hG+rQ$$

移项得到：

$$rQ\equiv sR-hG(\mathrm{mod}n)$$

从而：

$$Q\equiv r^{-1}(sR-hG)(\mathrm{mod}n)$$

这就是“公钥恢复”的核心：只要能确定 $R$，就能算出 $Q$。
而 $v/\mathrm{recId}$ 的作用，就是帮助从 $r$ 选出正确的 $R$。

---

4) 具体步骤

给定曲线参数 $(p,a,b,G,n)$、消息哈希 $h$、签名 $(r,s)$ 与 $\mathrm{recId}$：

1. 范围检查$$1\le r,s\le n-1$$
2. 由 $r$ 构造候选 $x$
   令 $j=\lfloor \mathrm{recId}/2\rfloor \in \{0,1\}$，取$$x=r+jn$$若 $x\ge p$ 则该候选无效（这一分支失败）。
3. 在曲线上解出点 $R$
   计算$$y^2\equiv x^3+ax+b(\mathrm{mod}p)$$若无解则该候选无效；若有两解 $\pm y$，用 $\mathrm{recId}mod2$ 决定取哪个（例如选与奇偶性匹配的那个），得到$$R=(x,y)$$
4. 计算公钥$$Q=r^{-1}(sR-hG)$$得到候选公钥 $Q$。
5. 校验
   用恢复出来的 $Q$ 对 $(r,s)$ 做一次标准 ECDSA 验签；通过则恢复成功，否则尝试其他候选（在实现里就是不同的 $\mathrm{recId}$ 分支）。