我使用OpenSSL(在C ++中)对文本进行签名,但是我的Java程序并不总是验证签名的消息(每5个中只有1个得到验证)。有趣的是,https://kjur.github.io/jsrsasign/sample/sample-ecdsa.html并未验证其中任何一个:
曲线名称: secp256k1 签名算法: SHA256withECDSA
私人密钥
431313701ec60d303fa7d027d5f1579eaa57f0e870b23e3a25876e61bed2caa3
公钥
035bcefc4a6ca257e394e82c20027db2af368474afb8917273713644f11a7cecb3
失败:
text to sign=
pcax2727gRo8M6vf9Vjhr1JDrQ3rdPYu6xx81000pcax273z8kaV5Ugsiqz3tvWGo8Gg6sch6V4912341535867163229
signature=
3044022061dff8e39f9324b0794ec2c58abda971898f694ca980baf3c2a4045a9048b441022054a2fb8ef3d383fd7eeb31425dba440e2fd2053778d4ab3725046385c7845cff0000
成功:
text to sign=
pcax2727gRo8M6vf9Vjhr1JDrQ3rdPYu6xx81000pcax273z8kaV5Ugsiqz3tvWGo8Gg6sch6V4912341535867122614
signature=
3046022100f200d0fb9e86a16bd46ee2dd11f1840a436d0a5c6823001a516e975a44906fcf022100d062a60611fc0f21d81fa3140741c8b6e650fff33d2c48aef69a3a40d7c7b3ca
Java
private static final String SHA256WITH_ECDSA = "SHA256withECDSA";
public static boolean isValidSignature(PublicKey pub, byte[] dataToVerify, byte[] signature) {
try {
Signature sign = Signature.getInstance(SHA256WITH_ECDSA, BouncyCastleProvider.PROVIDER_NAME);
sign.initVerify(pub);
sign.update(dataToVerify);
return sign.verify(signature);
} catch (Exception e) {
log.error("Error: " + e.getMessage());
}
return false;
}
C ++
std::vector<unsigned char> utils::crypto::sign(std::string& private_key_58, std::string& message) {
auto priv_bytes = utils::base58::decode_base(private_key_58);
auto digest = utils::crypto::sha256(message);
auto key = utils::crypto::ec_new_keypair(priv_bytes);
auto signature = ECDSA_do_sign(digest.data(), digest.size(), key);
auto der_len = ECDSA_size(key);
auto der = (uint8_t*) calloc(der_len, sizeof(uint8_t));
auto der_copy = der;
i2d_ECDSA_SIG(signature, &der_copy);
std::vector<unsigned char> s (der, der+der_len);
return s;
}
std::vector<unsigned char> utils::crypto::sha256(std::string& str) {
unsigned char hash[SHA256_DIGEST_LENGTH];
SHA256_CTX sha256;
SHA256_Init(&sha256);
SHA256_Update(&sha256, str.c_str(), str.size());
SHA256_Final(hash, &sha256);
std::vector<unsigned char> data(hash, hash + SHA256_DIGEST_LENGTH);
return data;
}
EC_KEY *utils::crypto::ec_new_keypair(std::vector<unsigned char>& priv_bytes) {
EC_KEY *key = nullptr;
BIGNUM *priv = nullptr;
BN_CTX *ctx = nullptr;
const EC_GROUP *group = nullptr;
EC_POINT *pub = nullptr;
key = EC_KEY_new_by_curve_name(NID_secp256k1);
if (!key) {
std::cerr << "Can't generate curve secp256k1\n";
std::abort();
}
priv = BN_new();
BN_bin2bn(priv_bytes.data(), 32, priv);
EC_KEY_set_private_key(key, priv);
ctx = BN_CTX_new();
BN_CTX_start(ctx);
group = EC_KEY_get0_group(key);
pub = EC_POINT_new(group);
EC_POINT_mul(group, pub, priv, NULL, NULL, ctx);
EC_KEY_set_public_key(key, pub);
EC_POINT_free(pub);
BN_CTX_end(ctx);
BN_CTX_free(ctx);
BN_clear_free(priv);
return key;
}
答案 0 :(得分:3)
Neardupes ECDSA signature length和how to specify signature length for java.security.Signature sign method(还有更多链接)
除了某些非常有限的数据外, ASN.1 DER编码的大小是可变的,尤其是对于ECDSA(或DSA)签名。 ECDSA_size
返回给定密钥可能的最大长度,但是每个实际签名都可以是该长度或更短,具体取决于签名中值r和s的二进制表示。出于您的目的,基本上可以将其视为随机数。
在实际签名短于ECDSA_size
的情况下,您仍然会对整个缓冲区进行编码并将其传递给Java;注意“失败”示例末尾的两个零字节(0000
,十六进制)吗? DER解码器 可以忽略尾随的垃圾,当我在较旧的BouncyCastle和SunEC提供程序上测试这种情况时,它实际上是可以的,但是对于BouncyCastle 1.54来说,它对我来说是失败的-显然,
java.security.SignatureException: error decoding signature bytes.
-和SunEC从8u121开始,其原因或异常类似于java.security.SignatureException: Invalid encoding for signature
。
在对“宽松”编码(包括比特币中的secp256k1签名)进行了一些成功的攻击之后,许多实现最近使DER解码更加严格-参见https://bitcoin.stackexchange.com/questions/51706/what-can-be-changed-in-signed-bitcoin-transaction和https://en.bitcoin.it/wiki/Transaction_malleability。在the Oracle Java 8u121 release notes项目“向DER编码解析代码中添加了更多检查”中对此进行了提及,尽管我没有发现Bouncy有任何类似的东西。
由于secp256k1是Certicom / X9'prime'(Fp)曲线组,因此其辅因子为1,其阶次非常接近基础字段大小,而基础字段大小又非常接近256位,是8的倍数。因此,该组中的签名将几乎完全在时间的1/4(25%)中进行DER编码(并起作用);其余时间他们将失败。
官方的最佳解决方案是使用der_copy
(任何)例程输出的指针中的更新值(此处为i2d*
)来确定编码的长度并使用该长度。如果由于某种原因无法处理可变长度,则可以传输整个缓冲区,然后在将其传递给BouncyCastle(或SunEC)之前将其截断,方法是使用2+signature[1]
作为有效长度-但如果更改为a曲线大于约480位;除此之外,它是不同的并且更加复杂。