EdDSA(Edwards-curve Digital Signature Algorithm)

EdDSA是一种基于 Twisted Edwards曲线的数字签名算法。

Twisted Edwards曲线是椭圆曲线的一种, 对应公式:

a x^{2} + y^{2} = 1 + d x^{2} y^{2}

EdDSA的具体实现有Ed25519 (基于Curve25519的Edwards形式), Ed448...

EdDSA不像ECDSA需要随机数nonce, 签名流程中使用了 sha512

Ed25519签名和验签流程:

假设 A和B两个用户, A 签名信息 B验证信息

通信双方A和B, 已知信息有:

- Ed25519椭圆曲线

- x^{2} + y^{2} \equiv 1 - \frac{121665}{121666} x^{2} y^{2} mod (2^{255} - 19)

- 基点 G

- G 的阶 n

2^{252} + 27742317777372353535851937790883648493

- 要签名的消息 m

1. A 生成自己的公钥私钥, 随机生成 K_A，然后

h = H a s h 512 (K_{A})

其中 h 是 64 字节: 前32字节(scalar)用于计算公钥, 后32字节(prefix)用于后续生成签名使用
...
经过计算得到A的公钥 H_A

2. 计算随机数“r”,

r = l i ttl e E n d ian (H a s h 512 (p re f i x ∣∣ m)) mod n

, 哈希后转小端字节序再模n
prefix为私钥hash后32位, m签名的消息, n 为G 的阶

3. 计算“R”坐标,

R = r * G

,
G为基点, r为第2步计算的结果

4. 计算“k”

k = l i ttl e E n d ian (H a s h 512 (R ∣∣ H_{A} ∣∣ m)) mod n

, 哈希后转小端字节序再模n
R为第3步计算的结果, H_A为A的公钥, m签名的消息, n 为G 的阶

5. 计算 "S",

S = (r + k * s) mod n

r为第2步计算的结果, k为第4步的结果, s为 scalar私钥hash后的前32字节, n 为G 的阶

6. 生成最后的signature = R + littleEndian(S)

1. 解析签名得到 R和S,

R = sign的前32个字节

s = littleEndian(sign的后32个字节), 此时S是小端字节序转回正常序

2. 计算SB

SB = G * s

(s第1步得到, G为基点)

3. 计算k

k = ha s h 512 (R ∣∣ H_{A} ∣∣ m)

其中R为第1步中前32个字节, H_A为 A的公钥, m签名的消息

4. 计算RKA

R K A = R + H_{A} * k

其中R为第1步中前32个字节, H_A为 A的公钥, k为第3步的结果

5. 验证签名 RKA === SB 相等则验签成功

Ed25519 — 生成签名

使用私钥签名消息，使用公钥进行验证

私钥:

公钥:

message(Hex):

message输入类型:

数据hex数据utf-8

Signature

使用私钥签名消息，使用公钥进行验证

公钥:

message:

Signature: