理解以太坊的椭圆曲线签名-校验签名

以太坊数字签名和比特币的关系

以太坊数字签名，几乎完全沿用了比特币的数字签名算法ECDSA-secp256k1。只有哈希的生成方式不一样，这个之后会说。ECDSA-secp256k1是一种非对称加密算法。

什么是ECDSA

以太坊数字签名算法使用的是椭圆曲线数字签名算法，英文简称ECDSA。其中EC是“椭圆曲线”的简称，DSA是“数字签名算法”的简称。

什么是secp256k1

椭圆曲线算法简单的说就是用X和Y坐标画一个曲线。这个曲线怎么画，需要很多个参数来确定。以太坊使用了一套叫secp256k1的参数确定了椭圆的形状。所以，以太坊的签名算法全称就是是ECDSA-secp256k1。

什么是非对称加密

什么是对称加密，什么是非对称加密呢？简单的说，只有一个密钥的，就是对称加密，加密解密用它。有两个密钥的，就是非对称加密，加密用一个密钥，解密用另外一个。相对于对称加密算法而言，非对称加密优点是不需要在网络上暴露加密的密钥，从机制上来说更安全；缺点是加密效率比对称加密低很多。所以非对称加密一般只用于诸如数字签名这类数据量较小的加密运算。

常见的非对称加密算法除了椭圆加密算法之外，还有著名的RSA。椭圆加密相比RSA的区别是：

• 椭圆加密的密钥更短

• 椭圆加密计算更快而安全性相当

• RSA的私钥和公钥是何以互换加解密的，但椭圆加密只能私钥加密公钥解密。

私钥

以太坊的私钥是一个32字节的数，取值范围从1~0xFFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFE BAAE DCE6 AF48 A03B BFD2 5E8C D036 4140。这个数可以由伪随机算法(PRNG)产生。其实0也是一个合法的私钥，只不过这是一个特殊私钥，以太坊的创世区块就是这个私钥生成的。

公钥

以太坊的非压缩公钥是一个65字节的数，这个是继承至比特币的。但以太坊只使用了其中64个字节，有一个字节这64个字节中，32字节表示椭圆曲线的X坐标，32字节表示椭圆曲线的Y坐标。这个XY坐标是私钥通过ECDSA-secp256k1推导出来的。所以说，椭圆曲线算法的公钥是通过私钥计算出来的。而反过来，用公钥推导私钥，以现有计算机的计算几乎是不可能的，这也是以太坊和比特币存在的基础。如果哪天计算机技术出现大飞跃，比如量子计算机普及，现有链上所有账户的私钥都会曝光。当然，区块链技术本身也会一定会持续演进的。

哈希

哈希，也可以形象的叫做“摘要”。就是无论消息有多大，都可以生成一个固定长度的“摘要”，这个“摘要”可以用来校验消息是否被篡改。只要消息被修改了一个字节，“摘要”的校验就会失败。

比特币的哈希算法使用的是SHA2-256。相对于SHA1，SHA2只是扩展了哈希的字节数而已。目前SHA1已经被攻破，SHA2被攻破只是时间问题。

以太坊的哈希算法采用的是全新的SHA3-256。和SHA1，SHA2不一样，SHA3并不是单纯扩展字节数，而是采用了新的Keccak算法。同样字节宽度的SHA3比SHA2更安全。

地址

以太坊的地址是公钥经过一系列哈希和变换，在经由Base58编码生成的字符串。过程不述。Base58编码和Base64差不多，都是使用“”可读符号“来表示二进制数据，Base58相对Base64移除了一些容易产生视觉混淆的字母和数字。

签名

签名其实就是用私钥对消息的哈希进行加密。当一个以太坊节点向另一个节点发送消息时，会用自己的私钥将消息的哈希做签名，然后吧签名和消息本身发送给对方。

过程如图：

校验签名

节点收到对方发来的消息和签名后，会先做一个“recover”的动作，用消息和签名推导出对方的公钥。再通过公钥，签名，消息的哈希值计算出一个叫“r”的值，这个r是签名的一部分，校验签名就是拿计算出来的r和签名中携带的r经行对比，如果一致就校验通过。

过程如图：

以太坊项目geth有两套ECDSA-secp256p1的实现。一套是纯go的，一套是基于C库的。底层算法都不是以太坊开发人员写的，采用的是开源世界的拿来主义。

go实现

接口源码在crypto/signature_nocgo.go。这个文件只是一个wrapper，真实的实现调用了一个第三方的比特币的go项目，源码在vendor//github.com/bitcsuite/bitcd。

https://my.oschina.net/u/3782027/blog/1799425

//通过消息的哈希和签名恢复公钥
func Ecrecover(hash, sig []byte) ([]byte, error) {}

//通过哈希和私钥计算ECDSA签名
func Sign(hash []byte, prv *ecdsa.PrivateKey) {}

//通过公钥，哈希校验签名
func VerifySignature(pubkey, hash, signature []byte) bool {}

//将33字节的公钥解压成65字节公钥
func DecompressPubkey(pubkey []byte) (*ecdsa.PublicKey, error) {}

//将65字节非压缩公钥压缩称33字节压缩公钥
func CompressPubkey(pubkey *ecdsa.PublicKey) {}