我使用OpenSSL(在C ++中)签署文本,但是我的Java程序并不总是验证签名的消息(只有约5个中的1个被验证)。有趣的是https://kjur.github.io/jsrsasign/sample/sample-ecdsa.html不会验证它们中的任何一个:
曲线名称:secp256k1签名算法:SHA256withECDSA
专用密钥
431313701ec60d303fa7d027d5f1579eaa57f0e870b23e3a25876e61bed2caa3
公钥
035bcefc4a6ca257e394e82c20027db2af368474afb8917273713644f11a7cecb3
失败:
text to sign=
pcax2727gRo8M6vf9Vjhr1JDrQ3rdPYu6xx81000pcax273z8kaV5Ugsiqz3tvWGo8Gg6sch6V4912341535867163229
signature=
3044022061dff8e39f9324b0794ec2c58abda971898f694ca980baf3c2a4045a9048b441022054a2fb8ef3d383fd7eeb31425dba440e2fd2053778d4ab3725046385c7845cff0000
成功:
text to sign=
pcax2727gRo8M6vf9Vjhr1JDrQ3rdPYu6xx81000pcax273z8kaV5Ugsiqz3tvWGo8Gg6sch6V4912341535867122614
signature=
3046022100f200d0fb9e86a16bd46ee2dd11f1840a436d0a5c6823001a516e975a44906fcf022100d062a60611fc0f21d81fa3140741c8b6e650fff33d2c48aef69a3a40d7c7b3ca
Java的
private static final String SHA256WITH_ECDSA = "SHA256withECDSA";
public static boolean isValidSignature(PublicKey pub, byte[] dataToVerify, byte[] signature) {
try {
Signature sign = Signature.getInstance(SHA256WITH_ECDSA, BouncyCastleProvider.PROVIDER_NAME);
sign.initVerify(pub);
sign.update(dataToVerify);
return sign.verify(signature);
} catch (Exception e) {
log.error("Error: " + e.getMessage());
}
return false;
}
C ++
std::vector<unsigned char> utils::crypto::sign(std::string& private_key_58, std::string& message) {
auto priv_bytes = utils::base58::decode_base(private_key_58);
auto digest = utils::crypto::sha256(message);
auto key = utils::crypto::ec_new_keypair(priv_bytes);
auto signature = ECDSA_do_sign(digest.data(), digest.size(), key);
auto der_len = ECDSA_size(key);
auto der = (uint8_t*) calloc(der_len, sizeof(uint8_t));
auto der_copy = der;
i2d_ECDSA_SIG(signature, &der_copy);
std::vector<unsigned char> s (der, der+der_len);
return s;
}
std::vector<unsigned char> utils::crypto::sha256(std::string& str) {
unsigned char hash[SHA256_DIGEST_LENGTH];
SHA256_CTX sha256;
SHA256_Init(&sha256);
SHA256_Update(&sha256, str.c_str(), str.size());
SHA256_Final(hash, &sha256);
std::vector<unsigned char> data(hash, hash + SHA256_DIGEST_LENGTH);
return data;
}
EC_KEY *utils::crypto::ec_new_keypair(std::vector<unsigned char>& priv_bytes) {
EC_KEY *key = nullptr;
BIGNUM *priv = nullptr;
BN_CTX *ctx = nullptr;
const EC_GROUP *group = nullptr;
EC_POINT *pub = nullptr;
key = EC_KEY_new_by_curve_name(NID_secp256k1);
if (!key) {
std::cerr << "Can't generate curve secp256k1\n";
std::abort();
}
priv = BN_new();
BN_bin2bn(priv_bytes.data(), 32, priv);
EC_KEY_set_private_key(key, priv);
ctx = BN_CTX_new();
BN_CTX_start(ctx);
group = EC_KEY_get0_group(key);
pub = EC_POINT_new(group);
EC_POINT_mul(group, pub, priv, NULL, NULL, ctx);
EC_KEY_set_public_key(key, pub);
EC_POINT_free(pub);
BN_CTX_end(ctx);
BN_CTX_free(ctx);
BN_clear_free(priv);
return key;
}
Neardupes ECDSA signature length和how to specify signature length for java.security.Signature sign method(以及更多链接)
ASN.1 DER编码对于除了某些非常有限的数据之外的所有数据都是可变大小的,特别是对于ECDSA(或DSA)签名。 ECDSA_size返回给定键可能的最大长度,但每个实际签名可以是该长度或更短,具体取决于签名中值r和s的二进制表示,为了您的目的,可以将其基本上视为随机数。
如果实际签名比ECDSA_size短,您仍然会编码整个缓冲区并将其传递给Java;注意“失败”示例末尾的两个字节零(十六进制中的0000)? DER解码器可以忽略尾随垃圾,当我在较旧的BouncyCastle和SunEC提供商上测试这样的情况时,它实际上工作正常,但是从BouncyCastle 1.54开始失败 - 有一个相当明显的例外,java.security.SignatureException: error decoding signature bytes. - 和SunEC从8u121与java.security.SignatureException: Invalid encoding for signature类似的原因或异常。
在对'松散'编码进行一些成功攻击后,许多实现最近使DER解码更严格,包括比特币中的secp256k1签名 - 请参阅https://bitcoin.stackexchange.com/questions/51706/what-can-be-changed-in-signed-bitcoin-transaction和https://en.bitcoin.it/wiki/Transaction_malleability。这在the Oracle Java 8u121 release notes项目“更多检查添加到DER编码解析代码”中提到,虽然我没有看到任何类似的Bouncy。
由于secp256k1是Certicom / X9'prime'(Fp)曲线组,因此其辅助因子为1,其顺序非常接近于基础字段大小,而后者又非常接近256位,即8的倍数,因此签名为这个组将DER编码到最大长度(和工作)几乎正好1/4(25%)的时间;剩下的时间他们都会失败。
官方和最佳解决方案是使用指针中的更新值,此处为der_copy,由(任意)i2d*例程输出,以确定编码的长度,并使用该长度。如果由于某种原因无法处理可变长度,则可以传输整个缓冲区,但在传递给BouncyCastle(或SunEC)之前使用2+signature[1]作为有效长度进行截断 - 但如果更改为大于约的曲线则不会480位;以上它是不同的,更复杂的。