一、ECC的简介
椭圆曲线算法可以看作是定义在特殊集合下数的运算,满足一定的规则。椭圆曲线在如下两个域中定义:Fp域和F2m域。
Fp域,素数域,p为素数;
F2m域:特征为2的有限域,称之为二元域或者二进制扩展域。该域中,元素的个数为2m个。
以下只介绍素数域。
一些术语说明:
1) 椭圆曲线的阶(order of a curve)
椭圆曲线所有点的个数,包含无穷远点;
2) 椭圆曲线上点的阶(order of a point)
P为椭圆曲线上的点,nP=无穷远点,n取最小整数,既是P的阶;
3)基点(base point)
椭圆曲线参数之一,用G表示,是椭圆曲线上都一个点;
4)余因子(cofactor)
椭圆曲线的余因子,用h表示,为椭圆曲线点的个数/基点的阶
5)椭圆曲线参数:
素数域:(p,a,b,G,n,h)
其中,p为素数,确定Fp,a和b确定椭圆曲线方程,G为基点,n为G的阶,h为余因子。
二、Openssl对ECC的实现
Openssl实现ECC算法包括三部分:ECC算法(crypto/ec)、椭圆曲线数字签名算法ECDSA(crypto/ecdsa)以及椭圆曲线密钥交换算法ECDH(crypto/ecdh)。
2.1 数据结构
我们首先来看一下密钥的数据结构(定义在crypto/ec/ec_lcl.h):
struct ec_key_st {
int version;//版本号
EC_GROUP *group;//密钥参数
EC_POINT *pub_key;//公钥
BIGNUM *priv_key;//大数私钥
//下面的是其他项
unsigned int enc_flag;
point_conversion_form_t conv_form;
int references;
int flags;
EC_EXTRA_DATA *method_data;
};
初次学习看到这个一头雾水,但没有关系我们一个个来分析,从源代码中找到源头。
首先让我们疑惑的应该是EC_GROUP结构体(crypto/ec/ec_lcl.h):
struct ec_group_st {
const EC_METHOD *meth; //方法(函数)
EC_POINT *generator; //基向量(基点)
BIGNUM order, cofactor; //基点的阶和余因子
int curve_name; //选择椭圆曲线的名字
BIGNUM a, b;//a和b确定椭圆曲线方程
//其他项此处省去
};
这里可以看到EC_GROUP结构体包含了一个椭圆曲线的基本参数,是不是感觉到豁然开朗,等等,EC_METHOD结构体又是什么?
别着急,我们再来找一下EC_METHOD在哪里定义。
EC_METHOD结构体定义如下(crypto/ec/ec_lcl.h)
struct ec_method_st {
int flags;
int field_type;
int (*group_init) (EC_GROUP *);
void (*group_finish) (EC_GROUP *);
void (*group_clear_finish) (EC_GROUP *);
int (*group_copy) (EC_GROUP *, const EC_GROUP *);
//其他函数声明此处省去
};
当打开源代码看到EC_METHOD的结构体时,映入眼帘的是大段大段的函数声明,由此可以想到这个结构体是用来封装椭圆曲线的一些基本操作的,不用着急等我们需要的时候再来一个个看。
最后要介绍的是点的数据结构:
struct ec_point_st {
const EC_METHOD *meth;
BIGNUM X;
BIGNUM Y;
BIGNUM Z;
int Z_is_one;
}
这个数据结构比较简单了定义了三维坐标X,Y,Z和方法。
当看到这里,终于可以松一口气了,回顾一下密钥的数据结构主要包含了私钥(大数)、公钥(向量)、和EC_GROUP结构体。而EC_GROUP结构体包含了椭圆曲线的参数和EC_METHOD结构体,而EC_METHOD结构体是一些椭圆曲线运算操作函数的封装。
这还没完,密钥的数据结构中是不是还有一个BIGNUM结构体我们不认识。新的学习历程又要开始了。
Openssl的大数表示用BIGNUM结构体,定义如下(crypto/bn/bn.h)
struct bignum_st {
BN_ULONG *d;
int top;
int dmax;
int neg;
int flags;
};
d:BN_ULONG数组指针首地址,大数存放在这里面。(BN_ULONG可能是被声明一种基本类型如int的别名,本人没找到在哪被声明的,希望各位给予指正)
top:用来指明大数占多少个BN_ULONG空间。
dmax:d数组的大小。
neg:是否为负数,如果为1,则是负数,为0,则为正数。
flags:用于存放一些标记,用于区别静态分配和动态分配。
读到这终于对密钥结构体有一个全面的认识了。
2.2 密钥生成源代码
接下来我们进入文章的主题-密钥的生成。
椭圆曲线的密钥生成实现在crytpo/ec/ec_key.c中。在Openssl中,椭圆曲线密钥生成时,首先用户需要选取一种椭圆曲线(openssl的crypto/ec_curve.c中内置实现了67种,调用EC_get_builtin_curves获取该列表),然后根据选择的椭圆曲线计算密钥生成参数group,最后根据密钥参数group来生公私钥。
我们先来找到密钥生成的源代码,在执行这段函数之前已经选择好椭圆曲线,并生成完密钥生产参数group,并且将group赋值给了密钥结构eckey了,我把我所能理解的内容尽量注释在每行代码之后。
int EC_KEY_generate_key(EC_KEY *eckey)
{
int ok = 0;//判断是否成功
BN_CTX *ctx = NULL;// BN_CTX是在大数那部分定义的一个上下文情景函数,用来存储计算中的中间过程。
//初始化参数
BIGNUM *priv_key = NULL, *order = NULL;
EC_POINT *pub_key = NULL;
#ifdef OPENSSL_FIPS//如果宏定义了OPENSSL_FIPS 则执行下述语句
if (FIPS_mode())
return FIPS_ec_key_generate_key(eckey);
#endif
//判断密钥以密钥生产参数是否为空
if (!eckey || !eckey->group) {
ECerr(EC_F_EC_KEY_GENERATE_KEY, ERR_R_PASSED_NULL_PARAMETER);
return 0;
}
// 分配空间初始化
if ((order = BN_new()) == NULL)
goto err;
if ((ctx = BN_CTX_new()) == NULL)
goto err;
//给priv_key赋初值
if (eckey->priv_key == NULL) {
priv_key = BN_new();
if (priv_key == NULL)
goto err;
} else
priv_key = eckey->priv_key;
//此函数的作用是从group参数中提取椭圆曲线的阶
if (!EC_GROUP_get_order(eckey->group, order, ctx))
goto err;
//为priv_key选取随机数,随机数的范围是两者之间。
do
if (!BN_rand_range(priv_key, order))
goto err;
while (BN_is_zero(priv_key)) ;
//给pub_key分配存储空间
if (eckey->pub_key == NULL) {
pub_key = EC_POINT_new(eckey->group);
if (pub_key == NULL)
goto err;
} else
pub_key = eckey->pub_key;
//这个函数的用途是用来计算点乘,输入的参数依次是椭圆曲线生产参数、运算结果保存处pub_key、大数私钥、null、null和上下文情景函数。
if (!EC_POINT_mul(eckey->group, pub_key, priv_key, NULL, NULL, ctx))
goto err;
eckey->priv_key = priv_key;
eckey->pub_key = pub_key;
ok = 1;
//错误处理
err:
if (order)
BN_free(order);
if (pub_key != NULL && eckey->pub_key == NULL)
EC_POINT_free(pub_key);
if (priv_key != NULL && eckey->priv_key == NULL)
BN_free(priv_key);
if (ctx != NULL)
BN_CTX_free(ctx);
return (ok);
}
读到这是否感觉其实椭圆曲线生产密钥的源代码很简单?等等,我们好像错过了一个重要函数的实现---- EC_POINT_mul(eckey->group, pub_key, priv_key,
NULL
,
NULL
,ctx)
;
这个函数定义在crytpo/ec/ec_lib.c中
int EC_POINT_mul(const EC_GROUP *group, EC_POINT *r, const BIGNUM *g_scalar,const EC_POINT *point, const BIGNUM *p_scalar, BN_CTX *ctx)
{
const EC_POINT *points[1];
const BIGNUM *scalars[1];
points[0] = point;
scalars[0] = p_scalar;
return EC_POINTs_mul(group, r, g_scalar, (point != NULL
&& p_scalar != NULL), points, scalars, ctx);
}
我们先从函数的参数来看,只有r和ctx参数没有被const所限制,其他值在此函数运算中不能被改变。ctx好理解,就是相当于一个记录日志。而r就是此函数运算的结果。用函数表示为:
r = g_scalar * G + p_scalar * point
G为此椭圆曲线的基向量,从曲线参数group中获取。
此函数调用了多点相乘函数EC_POINTs_mul(…),这个函数被定义在相同文件下
*scalar,size_t num, const EC_POINT *points[],const BIGNUM *scalars[], BN_CTX *ctx)
{
if (group->meth->mul == 0)//判断是多点还是单点
return ec_wNAF_mul(group, r, scalar, num, points, scalars, ctx);
return group->meth->mul(group, r, scalar, num, points, scalars, ctx);
}
这个函数输入的几个参数与前一个函数差不多,只是从单个点变成了多个点。
我想从简单的两对单点乘来分析,但是找不到源代码在哪,若哪位专业人士知道在哪,恳请留下路径,谢谢谢谢。
历时四天,还处于openssl的初级阶段,是个小白,使用环境为macOS 10.13.1,初次使用时连crypto、demos等目录都找不到,发现编译后就变成了libcrypto.a(静态链接库文件),只能用很笨的方法,在编译过程中终止操作,就保留了crypto、demos等目录,从这里的源代码开始学习。以后的学习方法也要慢慢改进。初次记录学习openssl的点滴,希望大家多批评指正。