第二十章  椭圆曲线

20.1 ECC介绍

椭圆曲线(ECC)算法是一种公钥算法，它比流行的RSA算法有很多优点：LUPA开源社区qN4L/du8iYaOR

1）安全性能更高 ， 如160位ECC与1024位RSA、DSA有相同的安全强度。LUPA开源社区!T\*eS D4Xq

2）计算量小，处理速度快， 在私钥的处理速度上（解密和签名），ECC比RSA、DSA快得多。

3）存储空间占用小  ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多， 所以占用的存储空间小得多。

4）带宽要求低。LUPA开源社区)JE7x2D3r3o zQr

20.2 openssl的ECC实现

      Openssl实现了ECC算法。ECC算法系列包括三部分：ECC算法(crypto/ec)、椭圆曲线数字签名算法ECDSA (crypto/ecdsa)以及椭圆曲线密钥交换算法ECDH(crypto/dh)。LUPA开源社区8nV`k?b

      研究椭圆曲线需要注意的有：

1)  密钥数据结构LUPA开源社区b5EI
}"Ji&CC-EGb

主要是公钥和私钥数据结构。椭圆曲线密钥数据结构如下，定义在crypto/ec_lcl.h中，对用户是透明的。LUPA开源社区A4JE ktDy9}Yd

             struct ec_key_stLUPA开源社区8^;v DS9~2i5P

{

                  int               version;LUPA开源社区)Io F1H ]5C+s/K

                   EC_GROUP *group;

                   EC_POINT  *pub_key;LUPA开源社区(zL^] }

                   BIGNUM*priv_key;LUPA开源社区2]J!Fp%O

                    /*其他项*/LUPA开源社区(s d9?N9Bn

}

2)  密钥生成

对照公钥和私钥的表示方法，非对称算法不同有各自的密钥生成过程。椭圆曲线的密钥生成实现在crytpo/ec/ec_key.c中。Openssl中，椭圆曲线密钥生成时，首先用户需要选取一种椭圆曲线(openssl的crypto/ec_curve.c中内置实现了67种，调用EC_get_builtin_curves获取该列表)，然后根据选择的椭圆曲线计算密钥生成参数group，最后根据密钥参数group来生公私钥。LUPA开源社区QEQ0|$Ul}$wZ

3）签名值数据结构LUPA开源社区;F6jg:|%Xxl&C

非对称算法不同，签名的结果表示也不一样。与DSA签名值一样，ECDSA的签名结果表示为两项。ECDSA的签名结果数据结构定义在crypto/ecdsa/ecdsa.h中，如下：

      typedef struct ECDSA_SIG_stLUPA开源社区aI5b/V s v]

{

            BIGNUM *r;LUPA开源社区Y Pu3^'V p/e,mOGw

            BIGNUM *s;

} ECDSA_SIG;

4)   签名与验签

对照签名结果，研究其是如何生成的。crypto/ecdsa/ ecs_sign.c实现了签名算法，crypto/ecdsa/ ecs_vrf.c实现了验签。LUPA开源社区DB8`us!n

      5） 密钥交换

             研究其密钥交换是如何进行的；crypto/ecdh/ech_ossl.c实现了密钥交换算法。

20.3 主要函数

      1） EC_get_builtin_curves

             获取椭圆曲线列表。LUPA开源社区&L+~Tdv@blb

      2） EC_GROUP_new_by_curve_nameLUPA开源社区&^t+q _wa(A~

             根据指定的椭圆曲线来生成密钥参数。LUPA开源社区1RAyc I

      3） int EC_KEY_generate_key

             根据密钥参数生成ECC公私钥。

      4） int EC_KEY_check_keyLUPA开源社区p*j/j&K!wO8K W/Wr

             检查ECC密钥。LUPA开源社区U$F
[4Aj8a&Y3o1l

      5） int    ECDSA_sizeLUPA开源社区^.IM$e;O)eO6I'H

             获取ECC密钥大小字节数。LUPA开源社区.huLjxau$DB$M

      6） ECDSA_sign

             签名，返回1表示成功。LUPA开源社区/rda?N6o [([M|

      7） ECDSA_verify

             验签，返回1表示合法。

      8） EC_KEY_get0_public_key

             获取公钥。

      9） EC_KEY_get0_private_keyLUPA开源社区`/R$j4P4b;?P3as

             获取私钥。LUPA开源社区h"C5q+xmh"e S

10）ECDH_compute_key

             生成共享密钥

20.4 编程示例

下面的例子生成两对ECC密钥，并用它做签名和验签，并生成共享密钥。

#include <string.h>LUPA开源社区p:VP,_%r0G{

#include <stdio.h>LUPA开源社区;Gu?&o"c(RNaWZ

#include <openssl/ec.h>LUPA开源社区@U2N;hy"M2j

#include <openssl/ecdsa.h>LUPA开源社区f V!iy$Tu$LK

#include <openssl/objects.h>

#include <openssl/err.h>LUPA开源社区9}
h CX\ G:s

 LUPA开源社区!Cb"j[:Y3N3x[d

int   main()LUPA开源社区O*}-Y v#O4[SD8V|D

{

      EC_KEY               *key1,*key2;LUPA开源社区+{zP#J8g

      EC_POINT           *pubkey1,*pubkey2;

      EC_GROUP          *group1,*group2;

      int                        ret,nid,size,i,sig_len;LUPA开源社区9J'r1?p'xL

      unsigned char*signature,digest[20];

      BIO                     *berr;

      EC_builtin_curve   *curves;LUPA开源社区,PmZa:EZ*S

      int                               crv_len;

      char              shareKey1[128],shareKey2[128];LUPA开源社区Q9]!mEgj"]

      int                        len1,len2;

      /*构造EC_KEY数据结构*/LUPA开源社区B(\;Yv0I
LRe

      key1=EC_KEY_new();LUPA开源社区
nE"E:R/h0M;s

      if(key1==NULL)LUPA开源社区N7DE3`V"e"H/iT4b,G

      {LUPA开源社区3Ewg{?-q u

             printf("EC_KEY_new err!\n");

             return -1;

      }LUPA开源社区,sopXr1j*\!V.RL

      key2=EC_KEY_new();

      if(key2==NULL)

      {

             printf("EC_KEY_new err!\n");

             return -1;

      }

      /*获取实现的椭圆曲线个数*/

      crv_len = EC_get_builtin_curves(NULL, 0);LUPA开源社区&JT#pu-wOG

      curves = (EC_builtin_curve *)malloc(sizeof(EC_builtin_curve) * crv_len);

      /*获取椭圆曲线列表*/

      EC_get_builtin_curves(curves, crv_len);LUPA开源社区"g-r$F6x(?C.?c

      /*LUPA开源社区3O$FUQ:jD0X

      nid=curves[0].nid;会有错误，原因是密钥太短

      */LUPA开源社区(hhG"W
C7lW

      /*选取一种椭圆曲线*/

      nid=curves[25].nid;

      /*根据选择的椭圆曲线生成密钥参数group */

      group1=EC_GROUP_new_by_curve_name(nid);LUPA开源社区R Vs `Z*^3jPZ

      if(group1==NULL)LUPA开源社区!NpI5o wcH'uTyZ

      {

             printf("EC_GROUP_new_by_curve_name err!\n");

             return -1;LUPA开源社区zXY#pb"B&zS E,G6jrT

      }LUPA开源社区GyC3xB
Uc @)J

      group2=EC_GROUP_new_by_curve_name(nid);

      if(group1==NULL)

      {LUPA开源社区W1_1DfWA

             printf("EC_GROUP_new_by_curve_name err!\n");

             return -1;LUPA开源社区DCy/I/LaXP

      }

      /*设置密钥参数*/

      ret=EC_KEY_set_group(key1,group1);LUPA开源社区/bq
p {2N8RW

      if(ret!=1)LUPA开源社区 ~/F5~'E#w

      {

             printf("EC_KEY_set_group err.\n");LUPA开源社区
Tlg~o!m}'^

             return -1;

      }

      ret=EC_KEY_set_group(key2,group2);

      if(ret!=1)

      {

             printf("EC_KEY_set_group err.\n");

             return -1;

      }

      /*生成密钥*/

      ret=EC_KEY_generate_key(key1);

      if(ret!=1)LUPA开源社区V/YT,j8Ob\c.M

      {

             printf("EC_KEY_generate_key err.\n");

             return -1;LUPA开源社区 B%@!k7p
S*rTHq

      }

      ret=EC_KEY_generate_key(key2);LUPA开源社区3T
z[1[7f-C$oI_ j5Uy

      if(ret!=1)

      {LUPA开源社区Xn U[i~R

             printf("EC_KEY_generate_key err.\n");LUPA开源社区K_H8R)g7\ [

             return -1;LUPA开源社区0x.d^TL h8e

      }

      /*检查密钥*/

      ret=EC_KEY_check_key(key1);LUPA开源社区T-C T8EP;Q$w z7g

      if(ret!=1)

      {LUPA开源社区c4I$Qv G3F-Fjt.C

             printf("check key err.\n");

             return -1;LUPA开源社区]!YxLn~ IH _

      }

      /*获取密钥大小*/LUPA开源社区~#m s%NdK(Gf

      size=ECDSA_size(key1);LUPA开源社区i.YVKsq

      printf("size %d \n",size);

      for(i=0;i<20;i++)

             memset(&digest[i],i+1,1);

      signature=malloc(size);LUPA开源社区9MJ O^9~9ch

      ERR_load_crypto_strings();

      berr=BIO_new(BIO_s_file());

      BIO_set_fp(berr,stdout,BIO_NOCLOSE);

      /*签名数据，本例未做摘要，可将digest中的数据看作是sha1摘要结果*/

      ret=ECDSA_sign(0,digest,20,signature,&sig_len,key1);LUPA开源社区KJ6g^y|

      if(ret!=1)LUPA开源社区&VsB,[j

      {LUPA开源社区xP/e3W.[

             ERR_print_errors(berr);LUPA开源社区]1},Y"s[C'b:f.k

             printf("sign err!\n");

             return -1;LUPA开源社区1k Uyr Bo#H`Ub

      }

      /*验证签名*/LUPA开源社区(]4]0KF%R~X N

      ret=ECDSA_verify(0,digest,20,signature,sig_len,key1);

      if(ret!=1)LUPA开源社区-Mh E
qYditf

      {

             ERR_print_errors(berr);

             printf("ECDSA_verify err!\n");

             return -1;LUPA开源社区B1[Huch4zt3k$Ln

      }LUPA开源社区4W'd#~3aG&V9fL {

      /*获取对方公钥，不能直接引用*/

      pubkey2 = EC_KEY_get0_public_key(key2);

      /*生成一方的共享密钥*/LUPA开源社区n;F S:q.k Qmr

      len1=ECDH_compute_key(shareKey1, 128, pubkey2, key1, NULL);

      pubkey1 = EC_KEY_get0_public_key(key1);LUPA开源社区3fe.f&]m"m]2s)E

      /*生成另一方共享密钥*/LUPA开源社区$t5mJ+Q`

      len2=ECDH_compute_key(shareKey2, 128, pubkey1, key2, NULL);LUPA开源社区9Nr9L'{?(F5{t

      if(len1!=len2)LUPA开源社区(q(K m~!o9V*w

      {LUPA开源社区LNbORc~t

             printf("err\n");LUPA开源社区$Eg,i4[3ZU

      }

      else

      {LUPA开源社区qroU\S"h

             ret=memcmp(shareKey1,shareKey2,len1);

             if(ret==0)

                    printf("生成共享密钥成功\n");

             elseLUPA开源社区DfP
o"V(oVH5l4r

                    printf("生成共享密钥失败\n");LUPA开源社区)DS5Su"f.B

      }LUPA开源社区:sl-d4|p:[N~

      printf("test ok!\n");LUPA开源社区:ose-t/?q-?(vT

      BIO_free(berr);LUPA开源社区"\[,g a*`%|8~

      EC_KEY_free(key1);

      EC_KEY_free(key2);

      free(signature);LUPA开源社区4u
AG/JN(^~4v4Z

      free(curves);

      return 0;

}