Dsa

Secp256k1 簽名中的“無窮遠點”的 x 座標是如何編碼的?

  • October 21, 2013

我正在測試比特幣的實現,它使用 ECDSA 的曲線 Secp256k1,我想看看它如何處理無窮遠點( $ 0 $ ) 如果出現在簽名中。例如,r 可以是無窮遠點編碼的 x 座標。

怎麼樣 $ 0 $ 編碼?可以編碼嗎?

我發現 bouncycastle 用 0x00 為 0 的編碼添加前綴,並定義了一些其他前綴ECCurve.decodePoint()( $ (r,s) $ . 此資訊似乎在 X9.62 標準中。

無窮遠點的標準編碼是值 0x00 的單個字節(它在 P1363 中至少定義為,也可能在 X9.62 中定義)。可能存在其他表示(例如許多字節的值為 0x00),但實際上,“無限遠點”沒有明確定義的XY座標。

在 ECDSA 的情況下,您生成一個隨機值k,它必須位於1r-1之間,其中r是正常生成點G的(素數)階。因此,kG 不能是無窮大的點——如果是,那麼實現就出錯了,或者密鑰不正確。由於kG不是無窮遠處的點,那麼它總是有一個明確定義的X座標,問題就不存在了。類似地,如果在驗證算法期間獲得了無窮大點,那麼肯定會發生一些可疑的事情,因此應該拒絕簽名(這不會發生在有效簽名中)。

橢圓曲線 Diffie-Hellman 也是如此。總而言之,如果無限點的編碼開始變得重要,那麼就出現了問題,最好的辦法是聲明失敗(例如,將簽名拒絕為無效)。

好吧,“無限點”最常見的表示是一個僅由零組成的值;也就是說,如果正常點被編碼為一系列 64 字節,那麼無窮遠處的點將被編碼為 64 00 字節。

另一方面,它似乎不適用於 ECDSA。ECDSA 簽名由 1 和曲線階數之間的兩個整數組成,而不是一個點。ECDSA 公鑰確實包含一個點;然而,無窮大點被明確排除在法律可能性之外。

引用自:https://crypto.stackexchange.com/questions/6156