ECDSA（Elliptic Curve Digital Signature Algorithm）是一种基于椭圆曲线密码学的数字签名算法。它用于确保数字数据的完整性和身份验证，通常在信息安全和加密通信中使用。在日常使用中，通常会使用一些函数库来实现完成这个算法的功能，但是有部分情况是需要自高度自定义ECDSA相关逻辑的，这里分享JavaScript语言在不借助第三方库的前提下纯手写的ECDSA算法代码，并对其实现原理进行解释。

---

---

1.ECDSA算法原理

这里我直接copy之前自己文章中对其的详细描述。

ECDSA(Elliptic Curve Digital Signature Algorithm) 是使用椭圆曲线密码（ECC）对数字签名算法（DSA）的模拟。

ECDSA安全性依赖于基于椭圆曲线的有限群上的离散对数难题。与基于RSA的数字签名和基于有限域离散对数的数字签名相比，在相同的安全强度条件下,ECDSA方案具有如下特点:

• 签名长度短
• 密钥存储空间小
• 特别适用于存储空间有限、带宽受限、要求高速实现的场合(如在智能卡中应用)。

1.密钥生成算法

设$GF(p)$为有限域，$E$是有限域上$GF(p)$上的椭圆曲线。选择$E$上一点$G\in E$，$G$的阶为满足安全要求的素数$n$，即$nG=O$（$O$为无穷远点）。选择一个随机数$d$，$d\in [1,n-1]$，计算$Q$，使得$Q=dG$，那么公钥为$(n,Q)$，私钥为$(d)$。

2.签名算法

签名者$Alice$对消息$m$签名的过程如下：

• （1）随机选取整数$k$，$k\in [1,n-1]$，计算$kG=(x,y)$，$r\equiv x(modn)$；
• （2）计算$e=h(m)$，$h$为安全的散列函数；
• （3）计算$s\equiv (e+rd)k^{-1}(modn)$。如果$r=0$或$s=0$，则令选取随机数$k$，重新执行上面的过程。消息$m$的签名为$(r,s)$。

3.验证算法

签名接收者$Bob$对消息$m$签名$(r,s)$的验证过程如下：

• （1）计算$e=h(m)$；
• （2）计算$u\equiv s^{-1}e(modn)$，$v\equiv s^{-1}r(modn)$，$(x_1,y_1)=uG+vQ$，$r_1\equiv x_1(modn)$；
• （3）若$r=r_1$，则签名有效；否则，签名无效。

4.正确性证明

由于
$$\begin{gathered} Q=dG \\ s\equiv (e+rd)k^{-1}(modn) \\ kG=(x,y) \\ u\equiv s^{-1}e(modn) \\ v\equiv s^{-1}r(modn) \\ (x_1,y_1)=uG+vQ \end{gathered}$$
则有：
$$\begin{gathered} k\equiv (e+rd)s^{-1}\equiv s^{-1}e+s^{-1}\equiv u+vd(modn) \\ (x,y)=kG=uG+vdG=uG+vQ=(x_1,y_1) \\ {r}_1=x_{1}modn=xmodn=r \end{gathered}$$

2.纯手写ECDSA 应用场景说明

从头开始手写的ECDSA算法毫无疑问在算法的效率上以及拓展性上要比封装好的函数库低不少，那么为什么还需要自己纯手写实现ECDSA的逻辑呢？如果存在以下需求，从头手写是一个好的选择。

• 1.如果需要对算法的逻辑进行高度的定制，常见的函数库提供的拓展功能都无法满足需求。例如需要高度定义其随机数的产生（部分函数库提供对随机数函数的拓展，但是拓展能力有限）、需要取到中间变量做一些其他的操作。
• 2.想在客户端隐蔽的使用ECDSA算法，不想直接使用三方包（这样特征太明显）。从攻击的角度来看，对着一个经过混淆后纯手写的ECDSA算法代码，如果不是对算法特别熟悉，分析难度还是不小的。

当你想使用自己手写的ECDSA的时候，就必须接受不能将其作为一个广泛应用、高频调用的算法包，因为算法的效率会差不少。

3.JS实现的几大主要问题

我们回顾下上面算法的细节，发现在JavaScript中实现，主要有两个方面的问题需要解决：

• 1.大数运算如何实现。
• 2.如何做椭圆曲线群上的加法和乘法操作。

1.大数运算

对于第一个问题，自从ECMAScript 2020（ES11）引入BigInt类型以来，JavaScript原生支持大整数运算。BigInt类型用于表示任意精度的整数，可以执行标准的算术操作。不需要额外的库，但在一些老版本的浏览器中可能不受支持。

2.椭圆曲线群上的加法和乘法

对于第二个问题，我们尝试推导下。

首先明确，椭圆曲线上加法的定义，假设有一根椭圆曲线$E:y^2=x^3+ax+b$，其中，$a$ 和 $b$ 是曲线的参数，$x$ 和$y$ 是曲线上的点坐标。在椭圆曲线上的加法操作定义如下：

• 点加法：给定曲线上的两个点$P$和$Q$，点加法操作$P+Q$的结果是曲线上另一个点$R$。
• 加法规则：
  • 如果$P$和$Q$是相同的点，那么点加法操作是对$P$的倍乘，即$P+P$。
  • 如果$P$和$Q$是不同的点，并且它们不是垂直于 x 轴的，那么点加法操作的步骤是：连接$P$和$Q$，计算直线$L$，找到直线与曲线$E$的交点$R$，$R$关于x轴的对称点$-R$就是$P+Q$的结果。
  • 特殊情况：在某些情况下，点加法操作可能会遇到特殊情况，例如 $P$ 与 $Q$ 垂直于 x 轴，或$P$ 与$Q$ 是互为相反元素。这些情况需要根据具体的椭圆曲线参数和实现进行处理。

从上可以看出，我们主要需要处理的情况就是找到两点所确定的直线和曲线的交点，对于这个交点，我们尝试建立方程进行解出。

设$P$的坐标为$(x_1,y_1)$，$Q$的坐标为$(x_2,y_2)$，两点所确立的直线为：$y-y_1=k(x-x_1)+b$，$k=\frac{x_1-x2}{y_1-y_2}$。

通过求导的方式计算出$E$上某点的斜率：

$$\begin{gathered} F(x)=x^3+ax+b-y^2 \\ {F}_x^{\prime }=3x^2+a \\ {F}_y^{\prime }=-2y \\ k=-\frac{F_y^{\prime }}{F_x^{\prime }}=\frac{3x^2+a}{2y} \end{gathered}$$

联立上式子，可以解得直线$L$与曲线$E$的交点：
$$\begin{gathered} x_3=k^2-x_1-x_2 \\ {y}_3=y_1+k(x_2-x_1) \end{gathered}$$

椭圆曲线上的乘法，只需采用快速幂的方式进行加法运算即可。

至此，用JS纯手写的两大核心问题都解决了，具体细节处理见代码。

4.完整代码（以secp256k1为例）

• 下面代码已经过完整测试并以用于具体生产项目中。
• 其中签名产生的v值为以太坊中相关约定，不需要可以去除。
• 签名值保证了s一定小于n的一半（以太坊相关约定），所以提取随机数的时候是会有两种可能。不需要该处逻辑可以去除。

// 椭圆曲线点定义
class Point{constructor(x,y){this.x = BigInt(x);this.y = BigInt(y);}
}
// secp256k1曲线
const secp_p = BigInt('0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F'); // 2n ** 256n - 2n ** 32n - 977n;
const secp_n = BigInt('0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141'); // 2n ** 256n - 432420386565659656852420866394968145599n;
const secp_a = BigInt(0);
const Gx = BigInt('0x79BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798');
const Gy = BigInt('0x483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8');
const secp_G = new Point(Gx, Gy);function get_inv(x, y, p){return x === 1n ? 1n : get_inv(y % x, y, p) * (y - y / x) % p;
}// 求模逆元
function modInverse(b,p){return get_inv(b%p,p,p);
}// 最大公约数
function get_gcd(x,y){return y ? get_gcd(y,x%y):x;
}// 在有限域下计算的求模
function mod(a, b) {const result = a % b;return result >= 0n ? result : b + result;
}// 椭圆曲线点加法
function point_add(pa, pb, p){// 零点相加if(pa.x === 0n && pa.y === 0n || pb.x === 0n && pb.y === 0n){return new Point(pa.x+pb.x, pa.y+pb.y);}// 对称点相加if(pa.x === pb.x && pa.y !== pb.y){return new Point(0, 0);}// 定义斜率k的分母和分子let k, k_num, k_den;// k的分子分母计算if(pa.x === pb.x && pa.y === pb.y){// 自己和自己相加 斜率为该点切线k_num = 3n * pa.x * pa.x + secp_a;k_den = 2n * pa.y;} else {// 两点确定斜率k_num = pa.y - pb.y;k_den = pa.x - pb.x;}// k符号记载let neg = 0;if(k_num * k_den < 0n){neg = 1;k_num = k_num > 0n ? k_num : -k_num;k_den = k_den > 0n ? k_den : -k_den;}// k化简分子分母let gcd = get_gcd(k_num, k_den);k_num /= gcd;k_den /= gcd;// 分母不为1，计算逆元if(k_den !== 1n){k_den = modInverse(k_den, p);}k = k_num * k_den % p;if(neg === 1) {k = -k;}// 计算最终结果let x3 = mod(k * k - pa.x - pb.x, p);let y3 = mod(k * (pa.x - x3) - pa.y, p);return new Point(x3, y3);
}// 椭圆曲线点快速乘法
function point_mul(n, g, p){n = BigInt(n)let ans = new Point(0, 0);while(n > 0n){if(n & 1n){ans = point_add(ans, g, p);}g = point_add(g, g, p);n >>= 1n;}return ans;
}export default {// 由私钥生成公钥generatePublicKey(privateKey) {// 私钥类型校验if(typeof privateKey != 'bigint') {throw new Error("私钥不是BigInt类型");}const publicKey = point_mul(privateKey, secp_G, secp_p);return publicKey;},ecSign(privateKey, msgHash, k) {// k类型校验if(typeof k != 'bigint') {throw new Error("随机数k不是BigInt类型");}// k大小校验if(k < 1n || k > secp_n - 1n) {throw new Error("随机数k不符合要求");}// 私钥类型校验if(typeof privateKey != 'bigint') {throw new Error("私钥不是BigInt类型");}// msg校验// if(typeof msg != 'string') {// 	throw new Error("msg不是string类型");// }const d = privateKey;//const e = keccak256Int(msg);const e = BigInt("0x" + msgHash);const kG = point_mul(k, secp_G, secp_p);const r = kG.x;var s = modInverse(k, secp_n) * (e + r * d) % secp_n;if(r === 0n || s === 0n) {throw new Error("随机数k不符合要求");}const v = (kG.y % 2n) ^ (s * 2n < secp_n ? 0n : 1n);if(s * 2n >= secp_n) {s = secp_n - s;}return [r, s, v];},ecVerify(publicKey, msgHash, sign) {// msg校验// if(typeof msg != 'string') {// 	throw new Error("msg不是string类型");// }const r = sign[0];const s = sign[1];const Q = publicKey;//const e = keccak256Int(msg);const e = BigInt("0x" + msgHash);const s_inv = modInverse(s, secp_n);const u = s_inv * e % secp_n;const v = s_inv * r % secp_n;const uG = point_mul(u, secp_G, secp_p);const vQ = point_mul(v, Q, secp_p);const uG_add_vQ = point_add(uG, vQ, secp_p);const r1 = uG_add_vQ.x;return r === r1;},// 提取ECDSA随机数 s有两个可能，会产生两个可能的k// privateKey msgHash 都是bigint  sign = [r, s]extractRandomK(privateKey, msgHash, sign) {// 私钥类型校验if(typeof privateKey != 'bigint') {throw new Error("私钥不是BigInt类型");}// msg校验// if(typeof msg != 'string') {// 	throw new Error("msg不是string类型");// }function recoverK(s) {const d = privateKey;const r = sign[0];//const s = secp_n - sign[1];//const e = keccak256Int(msg);const e = BigInt("0x" + msgHash);const s_inv = modInverse(s, secp_n);const k = s_inv * (e + r * d) % secp_n;return k;}return [recoverK(sign[1]), recoverK(secp_n - sign[1])];},
}

---

ATFWUS 2023-09-02

---