区块链的椭圆加密算法区块链的椭圆加密算法是什么

皕利分享 2023年01月11日 16:20 126 0

本篇文章主要给网友们分享区块链的椭圆加密算法的知识，其中更加会对区块链的椭圆加密算法是什么进行更多的解释，如果能碰巧解决你现在面临的问题，记得关注本站！

ECC椭圆曲线加密算法(一)

btc address: 1FmWXNJT3jVKaHBQs2gAs6PLGVWx1zPPHf

eth address: 0xd91c747b4a76B8013Aa336Cbc52FD95a7a9BD3D9

随着区块链的大热，椭圆曲线算法也成了密码学的热门话题。在Bitcoin 生成地址中使用到了椭圆曲线加密算法。

椭圆曲线的一般表现形式：

椭圆曲线其实不是椭圆形的，而是下面的图形：

Bitcoin使用了 secp256k1 这条特殊的椭圆曲线，公式是：

这个东西怎么加密的呢？

19世纪挪威青年尼尔斯·阿贝尔从普通的代数运算中，抽象出了加群（也叫阿贝尔群或交换群），使得在加群中，实数的算法和椭圆曲线的算法得到了统一。是什么意思呢？

我们在实数中，使用的加减乘除，同样可以用在椭圆曲线中！

对的，椭圆曲线也可以有加法、乘法运算。

数学中的群是一个集合，我们为它定义了一个二元运算，我们称之为“加法”，并用符号 + 表示。假定我们要操作的群用𝔾表示，要定义的加法必须遵循以下四个特性：

如果在增加第5个条件：

交换律：a + b = b + a

那么，称这个群为阿贝尔群。根据这个定义整数集是个阿贝尔群。

岔开一下话题，伽罗瓦与阿贝尔分别独立的提出了群论，他们并称为现代群论的创始人，可惜两位天才都是英年早逝。

如上文所说，我们可以基于椭圆曲线定义一个群。具体地说：

在椭圆曲线上有不重合且不对称的 A 、B两点，两点与曲线相交于X点, X与 x轴的对称点为R，R即为 A+B 的结果。这就是椭圆曲线的加法定义。

因为椭圆曲线方程存在项，因此椭圆曲线必然关于x轴对称

曲线：，

坐标：A=(2,5)，B=(3,7)

A、B正好在曲线上，因为坐标满足曲线公式

那如何找到相交的第三个点呢？

通过 A、B两点确定直线方程，

设直线方程：，m为直线的斜率

进一步得到c=1。

联立方程：

X(-1,-1)的x坐标-1代入方式正好满足方程，所以A、B两点所在直线与曲线相交于 X(-1,-1)，则点X的关于x轴的对称点为R(-1,1)，即A(2,5)+B(3,5)=R(-1,1)。

根据椭圆曲线的群律(GROUP LAW) 公式，我们可以方便的计算R点。

曲线方程：

当A=(x1,y1)，B=(x2,y2) ，R=A+B=(x3,y3)，x1≠x2时,

， m是斜率

x3=

y3=m(x1-x3)-y1

A=(2,5), B=(3,7) , R=(-1,1) 符合上面的公式。

椭圆曲线加法符合交换律么？

先计算(A+B)，在计算 A+B+C

先计算B+C，在计算 B+C+A

看图像，计算结果相同，大家手动算下吧。

那 A + A 呢，怎么计算呢？

当两点重合时候，无法画出 “过两点的直线”，在这种情况下，

过A点做椭圆曲线的切线，交于X点，X点关于 x轴的对称点即为 2A ，这样的计算称为 “椭圆曲线上的二倍运算”。

下图即为椭圆曲线乘法运算：

我们将在 ECC椭圆曲线加密算法(二) 介绍有限域，椭圆曲线的离散对数问题，椭圆曲线加密就是应用了离散对数问题。

参考：

区块链的椭圆加密算法区块链的椭圆加密算法是什么

比特币源码研读一:椭圆曲线在比特币密码中的加密原理

参加比特币源码研读班后首次写作，看到前辈black写的有关密钥，地址写的很好了，就选了他没有写的椭圆曲线，斗胆写这一篇。

在密码学上有两种加密方式，分别是对称密钥加密和非对称密钥加密。

对称加密：加密和解密使用的同样的密钥。

非对称加密：加密和解密是使用的不同的密钥。

二战中图灵破解德军的恩尼格码应该就是用的对称加密，因为他的加密和解密是同一个密钥。比特币的加密是非对称加密，而且用的是破解难度较大的椭圆曲线加密，简称ECC。

非对称加密的通用原理就是用一个难以解决的数学难题做到加密效果，比如RSA加密算法。RSA加密算法是用求解一个极大整数的因数的难题做到加密效果的。就是说两个极大数相乘，得到乘积很容易，但是反过来算数一个极大整数是由哪两个数乘积算出来的就非常困难。

下面简要介绍一下椭圆曲线加密算法ECC。

首先椭圆曲线的通式是这个样子的：

一般简化为这个样子：

()发公式必须吐槽一下，太麻烦了。)

其中

这样做就排除了带有奇点的椭圆曲线，可以理解为所有的点都有一条切线。

图像有几种，下面列举几个：[1]

椭圆曲线其实跟椭圆关系不大，也不像圆锥曲线那样，是有圆锥的物理模型为基础的。在计算椭圆曲线的周长时，需要用到椭圆积分，而椭圆曲线的简化通式：

，周长公式在变换后有一项是这样的：，平方之后两者基本一样。

我们大体了解了椭圆曲线，就会有一个疑问，这个东西怎么加密的呢？也就是说椭圆曲线是基于怎样的数学难题呢？在此之前还得了解一些最少必要知识：椭圆曲线加法，离散型椭圆曲线。

椭圆曲线加法

数学家门从普通的代数运算中，抽象出了加群（也叫阿贝尔群或交换群），使得在加群中，实数的算法和椭圆曲线的算法得到统一。

数学中的“群”是一个由我们定义了一种二元运算的集合，二元运算我们称之为“加法”，并用符号“+”来表示。为了让一个集合G成为群，必须定义加法运算并使之具有以下四个特性：

1. 封闭性：如果a和b是集合G中的元素，那么（a + b)也是集合G中的元素。

2. 结合律：(a + b) + c = a + (b + c);

3. 存在单位元0，使得a + 0 = 0 + a =a;

4. 每个元素都有逆元，即：对于任意a，存在b，使得a + b = 0.

如果我们增加第5个条件：

5. 交换律： a + b = b + a

那么，称这个群为阿贝尔群。[1]

运算法则：任意取椭圆曲线上两点P、Q （若P、Q两点重合，则做P点的切线）做直线交于椭圆曲线的另一点R’，过R’做y轴的平行线交于R。我们规定P+Q=R。（如图）[2]

特别的，当P和Q重合时，P+Q=P+P=2P，对于共线的三点，P，Q，R’有P+Q+R’=0∞.

这里的0∞不是实数意义的0，而是指的无穷远点(这里的无穷远点就不细说了，你可以理解为这个点非常遥远，遥远到两条平行线都在这一点相交了。具体介绍可以看参考文献[2])。

注意这里的R与R’之间的区别，P+Q=R，R并没有与P，Q共线，是R’与P，Q共线，不要搞错了。

法则详解：

这里的+不是实数中普通的加法，而是从普通加法中抽象出来的加法，他具备普通加法的一些性质，但具体的运算法则显然与普通加法不同。

根据这个法则，可以知道椭圆曲线无穷远点O∞与椭圆曲线上一点P的连线交于P’，过P’作y轴的平行线交于P，所以有无穷远点 O∞+ P = P 。这样，无穷远点 O∞的作用与普通加法中零的作用相当（0+2=2），我们把无穷远点 O∞ 称为零元。同时我们把P’称为P的负元（简称，负P；记作，-P）。（参见下图）

离散型椭圆曲线

上面给出的很好看的椭圆曲线是在实数域上的连续曲线，这个是不能用来加密的，原因我没有细究，但一定是连续曲线上的运算太简单。真正用于加密的椭圆曲线是离散型的。要想有一个离散型的椭圆曲线，先得有一个有限域。

域：在抽象代数中，域（Field）之一种可进行加、减、乘、除运算的代数结构。它是从普通实数的运算中抽像出来的。这一点与阿贝尔群很类似。只不过多了乘法，和与乘法相关的分配率。

域有如下性质[3]：

1.在加法和乘法上封闭，即域里的两个数相加或相乘的结果也在这个域中。

2.加法和乘法符合结合律，交换率，分配率。

3.存在加法单位，也可以叫做零元。即存在元素0，对于有限域内所有的元素a，有a+0=a。

4.存在乘法单位，也可以叫做单位元。即存在元素1，对于有限域内所有的元素a，有1*a=a。

5.存在加法逆元，即对于有限域中所有的元素a，都存在a+(-a)=0.

6.存在乘法逆元，即对于有限域中所有的元素a，都存在a*=0.

在掌握了这些知识后，我们将椭圆曲线离散化。我们给出一个有限域Fp，这个域只有有限个元素。Fp中只有p(p为素数)个元素0,1,2 …… p-2,p-1；

Fp 的加法（a+b）法则是 a+b≡c (mod p)；它的意思是同余，即（a+b）÷p的余数与c÷p的余数相同。

Fp 的乘法(a×b)法则是 a×b≡c (mod p)；

Fp 的除法(a÷b)法则是 a/b≡c (mod p)；即 a×b∧-1≡c (mod p)；（也是一个0到p-1之间的整数，但满足b×b∧-1≡1 (mod p)；

Fp 的单位元是1，零元是 0（这里的0就不是无穷远点了，而是真正的实数0）。

下面我们就试着把

这条曲线定义在Fp上：

选择两个满足下列条件的小于p(p为素数)的非负整数a、b，且a，b满足

则满足下列方程的所有点(x,y)，再加上无穷远点O∞ ，构成一条椭圆曲线。

其中 x,y属于0到p-1间的整数，并将这条椭圆曲线记为Ep(a,b)。

图是我手画的，大家凑合看哈。不得不说，p取7时，别看只有10个点，但计算量还是很大的。

Fp上的椭圆曲线同样有加法，法则如下：

1. 无穷远点 O∞是零元，有O∞+ O∞= O∞，O∞+P=P

2. P(x,y)的负元是 (x,-y)，有P+(-P)= O∞

3. P(x1,y1),Q(x2,y2)的和R(x3,y3) 有如下关系：

x3≡-x1-x2(mod p)

y3≡k(x1-x3)-y1(mod p)

其中若P=Q 则 k=(3+a)/2y1 若P≠Q，则k=(y2-y1)/(x2-x1)

通过这些法则，就可以进行离散型椭圆曲线的计算。

例：根据我画的图，（1，1）中的点P（2，4），求2P。

解：把点带入公式k=(3*x∧2+a)/2y1

有（3*2∧2+1）/2*4=6（mod 7）.

(注意，有些小伙伴可能算出13/8,这是不对的，这里是模数算数，就像钟表一样，过了12点又回到1点，所以在模为7的世界里，13=6，8=1).

x=6*6-2-2=4（mod 7）

y=6*（2-4）-4=2 （mod 7）

所以2P的坐标为（2，4）

那椭圆曲线上有什么难题呢？在模数足够大的情况下，上面这个计算过程的逆运算就足够难。

给出如下等式：

K=kG （其中 K,G为Ep(a,b)上的点，k为小于n（n是点G的阶）的整数）不难发现，给定k和G，根据加法法则，计算K很容易；但给定K和G，求k就相对困难了。

这就是椭圆曲线加密算法采用的难题。我们把点G称为基点（base point），k称为私钥，K称为公钥。

现在我们描述一个利用椭圆曲线进行加密通信的过程[2]：

1、用户A选定一条椭圆曲线Ep(a,b)，并取椭圆曲线上一点，作为基点G。

2、用户A选择一个私钥k，并生成公钥K=kG。

3、用户A将Ep(a,b)和点K，G传给用户B。

4、用户B接到信息后，将待传输的明文编码到Ep(a,b)上一点M（编码方法很多，这里不作讨论），并产生一个随机整数r（rn）。

5、用户B计算点C1=M+rK；C2=rG。

6、用户B将C1、C2传给用户A。

7、用户A接到信息后，计算C1-kC2，结果就是点M。因为

C1-kC2=M+rK-k(rG)=M+rK-r(kG)=M

　再对点M进行解码就可以得到明文。

整个过程如下图所示：

密码学中，描述一条Fp上的椭圆曲线，常用到六个参量：

T=(p,a,b,G,n,h)，p 、a 、b 用来确定一条椭圆曲线，G为基点，n为点G的阶，h 是椭圆曲线上所有点的个数m与n相除的整数部分

这几个参量取值的选择，直接影响了加密的安全性。参量值一般要求满足以下几个条件：

1、p 当然越大越安全，但越大，计算速度会变慢，200位左右可以满足一般安全要求；

2、p≠n×h；

3、pt≠1 (mod n)，1≤t20；

4、4a3+27b2≠0 (mod p)；

5、n 为素数；

6、h≤4。

200位位的一个数字，那得多大？而且还是素数，所以这种方式是非常安全的。而且再一次交易中，区块被记录下来只有10分钟的时间，也就是说要想解决这个难题必须在10分钟以内。即便有技术能够在10分钟以内破解了现在这个难度的加密算法，比特币社区还可以予以反制，提高破解难度。所以比特币交易很安全，除非自己丢掉密钥，否则不存在被破解可能。

第一次写一个完全陌生的数学领域的知识，也许我有错误的地方，也许有没讲明白的地方，留言讨论吧。总之写完后对比特比系统的安全性表示很放心。

参考文献

[1] 椭圆曲线密码学简介

[2] 什么是椭圆曲线加密（ECC）

[3] 域（数学）维基百科

区块链研习社源码研读班高若翔

区块链的加密技术

数字加密技能是区块链技能使用和开展区块链的椭圆加密算法的关键。一旦加密办法被破解区块链的椭圆加密算法，区块链的数据安全性将受到挑战区块链的椭圆加密算法，区块链的可篡改性将不复存在。加密算法分为对称加密算法和非对称加密算法。区块链首要使用非对称加密算法。非对称加密算法中的公钥暗码体制依据其所依据的问题一般分为三类:大整数分化问题、离散对数问题和椭圆曲线问题。第一，引进区块链加密技能加密算法一般分为对称加密和非对称加密。非对称加密是指集成到区块链中以满意安全要求和所有权验证要求的加密技能。非对称加密通常在加密和解密进程中使用两个非对称暗码，称为公钥和私钥。非对称密钥对有两个特点:一是其间一个密钥(公钥或私钥)加密信息后，只能解密另一个对应的密钥。第二，公钥可以向别人揭露，而私钥是保密的，别人无法通过公钥计算出相应的私钥。非对称加密一般分为三种首要类型:大整数分化问题、离散对数问题和椭圆曲线问题。大整数分化的问题类是指用两个大素数的乘积作为加密数。由于素数的出现是没有规律的，所以只能通过不断的试算来寻找解决办法。离散对数问题类是指基于离散对数的困难性和强单向哈希函数的一种非对称分布式加密算法。椭圆曲线是指使用平面椭圆曲线来计算一组非对称的特殊值，比特币就采用区块链的椭圆加密算法了这种加密算法。非对称加密技能在区块链的使用场景首要包含信息加密、数字签名和登录认证。(1)在信息加密场景中，发送方(记为A)用接收方(记为B)的公钥对信息进行加密后发送给

B，B用自己的私钥对信息进行解密。比特币交易的加密就属于这种场景。(2)在数字签名场景中，发送方A用自己的私钥对信息进行加密并发送给B，B用A的公钥对信息进行解密，然后确保信息是由A发送的。(3)登录认证场景下，客户端用私钥加密登录信息并发送给服务器，服务器再用客户端的公钥解密认证登录信息。请注意上述三种加密计划之间的差异:信息加密是公钥加密和私钥解密，确保信息的安全性；数字签名是私钥加密，公钥解密，确保区块链的椭圆加密算法了数字签名的归属。认证私钥加密，公钥解密。以比特币体系为例，其非对称加密机制如图1所示:比特币体系一般通过调用操作体系底层的随机数生成器生成一个256位的随机数作为私钥。比特币的私钥总量大，遍历所有私钥空间获取比特币的私钥极其困难，所以暗码学是安全的。为便于辨认，256位二进制比特币私钥将通过SHA256哈希算法和Base58进行转化，构成50个字符长的私钥，便于用户辨认和书写。比特币的公钥是私钥通过Secp256k1椭圆曲线算法生成的65字节随机数。公钥可用于生成比特币交易中使用的地址。生成进程是公钥先通过SHA256和RIPEMD160哈希处理，生成20字节的摘要成果(即Hash160的成果)，再通过SHA256哈希算法和Base58转化，构成33个字符的比特币地址。公钥生成进程是不可逆的，即私钥不能从公钥推导出来。比特币的公钥和私钥通常存储在比特币钱包文件中，其间私钥最为重要。丢掉私钥意味着丢掉相应地址的所有比特币财物。在现有的比特币和区块链体系中，现已依据实践使用需求衍生出多私钥加密技能，以满意多重签名等愈加灵敏杂乱的场景。

【深度知识】区块链之加密原理图示(加密,签名)

先放一张以太坊的架构图区块链的椭圆加密算法：

在学习的过程中主要是采用单个模块了学习了解的，包括P2P,密码学，网络，协议等。直接开始总结：

秘钥分配问题也就是秘钥的传输问题，如果对称秘钥，那么只能在线下进行秘钥的交换。如果在线上传输秘钥，那就有可能被拦截。所以采用非对称加密，两把钥匙，一把私钥自留，一把公钥公开。公钥可以在网上传输。不用线下交易。保证数据的安全性。

如上图，A节点发送数据到B节点，此时采用公钥加密。A节点从自己的公钥中获取到B节点的公钥对明文数据加密，得到密文发送给B节点。而B节点采用自己的私钥解密。

2、无法解决消息篡改。

如上图，A节点采用B的公钥进行加密，然后将密文传输给B节点。B节点拿A节点的公钥将密文解密。

1、由于A的公钥是公开的，一旦网上黑客拦截消息，密文形同虚设。说白了，这种加密方式，只要拦截消息，就都能解开。

2、同样存在无法确定消息来源的问题，和消息篡改的问题。

如上图，A节点在发送数据前，先用B的公钥加密，得到密文1，再用A的私钥对密文1加密得到密文2。而B节点得到密文后，先用A的公钥解密，得到密文1，之后用B的私钥解密得到明文。

1、当网络上拦截到数据密文2时，由于A的公钥是公开的，故可以用A的公钥对密文2解密，就得到了密文1。所以这样看起来是双重加密，其实最后一层的私钥签名是无效的。一般来讲，我们都希望签名是签在最原始的数据上。如果签名放在后面，由于公钥是公开的，签名就缺乏安全性。

2、存在性能问题，非对称加密本身效率就很低下，还进行了两次加密过程。

如上图，A节点先用A的私钥加密，之后用B的公钥加密。B节点收到消息后，先采用B的私钥解密，然后再利用A的公钥解密。

1、当密文数据2被黑客拦截后，由于密文2只能采用B的私钥解密，而B的私钥只有B节点有，其他人无法机密。故安全性最高。

2、当B节点解密得到密文1后，只能采用A的公钥来解密。而只有经过A的私钥加密的数据才能用A的公钥解密成功，A的私钥只有A节点有，所以可以确定数据是由A节点传输过来的。

经两次非对称加密，性能问题比较严重。

基于以上篡改数据的问题，我们引入了消息认证。经过消息认证后的加密流程如下：

当A节点发送消息前，先对明文数据做一次散列计算。得到一个摘要, 之后将照耀与原始数据同时发送给B节点。当B节点接收到消息后，对消息解密。解析出其中的散列摘要和原始数据，然后再对原始数据进行一次同样的散列计算得到摘要1, 比较摘要与摘要1。如果相同则未被篡改，如果不同则表示已经被篡改。

在传输过程中，密文2只要被篡改，最后导致的hash与hash1就会产生不同。

无法解决签名问题，也就是双方相互攻击。A对于自己发送的消息始终不承认。比如A对B发送了一条错误消息，导致B有损失。但A抵赖不是自己发送的。

在(三)的过程中，没有办法解决交互双方相互攻击。什么意思呢区块链的椭圆加密算法？有可能是因为A发送的消息，对A节点不利，后来A就抵赖这消息不是它发送的。

为了解决这个问题，故引入了签名。这里我们将(二)-4中的加密方式，与消息签名合并设计在一起。

在上图中，我们利用A节点的私钥对其发送的摘要信息进行签名，然后将签名+原文，再利用B的公钥进行加密。而B得到密文后，先用B的私钥解密，然后对摘要再用A的公钥解密，只有比较两次摘要的内容是否相同。这既避免了防篡改问题，有规避了双方攻击问题。因为A对信息进行了签名，故是无法抵赖的。

为了解决非对称加密数据时的性能问题，故往往采用混合加密。这里就需要引入对称加密，如下图:

在对数据加密时，我们采用了双方共享的对称秘钥来加密。而对称秘钥尽量不要在网络上传输，以免丢失。这里的共享对称秘钥是根据自己的私钥和对方的公钥计算出的，然后适用对称秘钥对数据加密。而对方接收到数据时，也计算出对称秘钥然后对密文解密。

以上这种对称秘钥是不安全的，因为A的私钥和B的公钥一般短期内固定，所以共享对称秘钥也是固定不变的。为了增强安全性，最好的方式是每次交互都生成一个临时的共享对称秘钥。那么如何才能在每次交互过程中生成一个随机的对称秘钥，且不需要传输呢区块链的椭圆加密算法？

那么如何生成随机的共享秘钥进行加密呢？

对于发送方A节点，在每次发送时，都生成一个临时非对称秘钥对，然后根据B节点的公钥和临时的非对称私钥可以计算出一个对称秘钥(KA算法-Key Agreement)。然后利用该对称秘钥对数据进行加密，针对共享秘钥这里的流程如下：

对于B节点，当接收到传输过来的数据时，解析出其中A节点的随机公钥，之后利用A节点的随机公钥与 B节点自身的私钥计算出对称秘钥(KA算法)。之后利用对称秘钥机密数据。

对于以上加密方式，其实仍然存在很多问题，比如如何避免重放攻击(在消息中加入 Nonce )，再比如彩虹表(参考 KDF机制解决 )之类的问题。由于时间及能力有限，故暂时忽略。

那么究竟应该采用何种加密呢？

主要还是基于要传输的数据的安全等级来考量。不重要的数据其实做好认证和签名就可以，但是很重要的数据就需要采用安全等级比较高的加密方案了。

密码套件是一个网络协议的概念。其中主要包括身份认证、加密、消息认证(MAC)、秘钥交换的算法组成。

在整个网络的传输过程中，根据密码套件主要分如下几大类算法：

秘钥交换算法：比如ECDHE、RSA。主要用于客户端和服务端握手时如何进行身份验证。

消息认证算法：比如SHA1、SHA2、SHA3。主要用于消息摘要。

批量加密算法：比如AES, 主要用于加密信息流。

伪随机数算法：例如TLS 1.2的伪随机函数使用MAC算法的散列函数来创建一个主密钥 ——连接双方共享的一个48字节的私钥。主密钥在创建会话密钥（例如创建MAC）时作为一个熵来源。

在网络中，一次消息的传输一般需要在如下4个阶段分别进行加密，才能保证消息安全、可靠的传输。

握手/网络协商阶段：

在双方进行握手阶段，需要进行链接的协商。主要的加密算法包括RSA、DH、ECDH等

身份认证阶段：

身份认证阶段，需要确定发送的消息的来源来源。主要采用的加密方式包括RSA、DSA、ECDSA(ECC加密，DSA签名)等。

消息加密阶段：

消息加密指对发送的信息流进行加密。主要采用的加密方式包括DES、RC4、AES等。

消息身份认证阶段/防篡改阶段：

主要是保证消息在传输过程中确保没有被篡改过。主要的加密方式包括MD5、SHA1、SHA2、SHA3等。

ECC ：Elliptic Curves Cryptography，椭圆曲线密码编码学。是一种根据椭圆上点倍积生成公钥、私钥的算法。用于生成公私秘钥。

ECDSA ：用于数字签名,是一种数字签名算法。一种有效的数字签名使接收者有理由相信消息是由已知的发送者创建的，从而发送者不能否认已经发送了消息(身份验证和不可否认)，并且消息在运输过程中没有改变。ECDSA签名算法是ECC与DSA的结合，整个签名过程与DSA类似，所不一样的是签名中采取的算法为ECC，最后签名出来的值也是分为r,s。主要用于身份认证阶段。

ECDH ：也是基于ECC算法的霍夫曼树秘钥，通过ECDH，双方可以在不共享任何秘密的前提下协商出一个共享秘密，并且是这种共享秘钥是为当前的通信暂时性的随机生成的，通信一旦中断秘钥就消失。主要用于握手磋商阶段。

ECIES：是一种集成加密方案,也可称为一种混合加密方案，它提供了对所选择的明文和选择的密码文本攻击的语义安全性。ECIES可以使用不同类型的函数：秘钥协商函数(KA)，秘钥推导函数(KDF)，对称加密方案(ENC)，哈希函数(HASH), H-MAC函数(MAC)。

ECC 是椭圆加密算法，主要讲述了按照公私钥怎么在椭圆上产生，并且不可逆。 ECDSA 则主要是采用ECC算法怎么来做签名， ECDH 则是采用ECC算法怎么生成对称秘钥。以上三者都是对ECC加密算法的应用。而现实场景中，我们往往会采用混合加密(对称加密，非对称加密结合使用，签名技术等一起使用)。 ECIES 就是底层利用ECC算法提供的一套集成(混合)加密方案。其中包括了非对称加密，对称加密和签名的功能。

meta charset="utf-8"

这个先订条件是为了保证曲线不包含奇点。

所以，随着曲线参数a和b的不断变化，曲线也呈现出了不同的形状。比如:

所有的非对称加密的基本原理基本都是基于一个公式 K = k G。其中K代表公钥，k代表私钥，G代表某一个选取的基点。非对称加密的算法就是要保证该公式不可进行逆运算( 也就是说G/K是无法计算的 )。 *

ECC是如何计算出公私钥呢？这里我按照我自己的理解来描述。

我理解，ECC的核心思想就是：选择曲线上的一个基点G，之后随机在ECC曲线上取一个点k(作为私钥)，然后根据k G计算出我们的公钥K。并且保证公钥K也要在曲线上。*

那么k G怎么计算呢？如何计算k G才能保证最后的结果不可逆呢？这就是ECC算法要解决的。

首先，我们先随便选择一条ECC曲线，a = -3, b = 7 得到如下曲线：

在这个曲线上，我随机选取两个点，这两个点的乘法怎么算呢？我们可以简化下问题，乘法是都可以用加法表示的，比如2 2 = 2+2，3 5 = 5+5+5。那么我们只要能在曲线上计算出加法，理论上就能算乘法。所以，只要能在这个曲线上进行加法计算，理论上就可以来计算乘法，理论上也就可以计算k*G这种表达式的值。

曲线上两点的加法又怎么算呢？这里ECC为了保证不可逆性，在曲线上自定义了加法体系。

现实中，1+1=2，2+2=4，但在ECC算法里，我们理解的这种加法体系是不可能。故需要自定义一套适用于该曲线的加法体系。

ECC定义，在图形中随机找一条直线，与ECC曲线相交于三个点(也有可能是两个点)，这三点分别是P、Q、R。

那么P+Q+R = 0。其中0 不是坐标轴上的0点，而是ECC中的无穷远点。也就是说定义了无穷远点为0点。

同样，我们就能得出 P+Q = -R。由于R 与-R是关于X轴对称的，所以我们就能在曲线上找到其坐标。

P+R+Q = 0, 故P+R = -Q , 如上图。

以上就描述了ECC曲线的世界里是如何进行加法运算的。

从上图可看出，直线与曲线只有两个交点，也就是说直线是曲线的切线。此时P,R 重合了。

也就是P = R, 根据上述ECC的加法体系，P+R+Q = 0, 就可以得出 P+R+Q = 2P+Q = 2R+Q=0

于是乎得到 2 P = -Q (是不是与我们非对称算法的公式 K = k G 越来越近了)。

于是我们得出一个结论，可以算乘法，不过只有在切点的时候才能算乘法，而且只能算2的乘法。

假若 2 可以变成任意个数进行想乘，那么就能代表在ECC曲线里可以进行乘法运算，那么ECC算法就能满足非对称加密算法的要求了。

那么我们是不是可以随机任何一个数的乘法都可以算呢？答案是肯定的。也就是点倍积计算方式。

选一个随机数 k, 那么k * P等于多少呢？

我们知道在计算机的世界里，所有的都是二进制的，ECC既然能算2的乘法，那么我们可以将随机数k描述成二进制然后计算。假若k = 151 = 10010111

由于2 P = -Q 所以这样就计算出了k P。这就是点倍积算法。所以在ECC的曲线体系下是可以来计算乘法，那么以为这非对称加密的方式是可行的。

至于为什么这样计算是不可逆的。这需要大量的推演，我也不了解。但是我觉得可以这样理解：

我们的手表上，一般都有时间刻度。现在如果把1990年01月01日0点0分0秒作为起始点，如果告诉区块链的椭圆加密算法你至起始点为止时间流逝了整1年，那么我们是可以计算出现在的时间的，也就是能在手表上将时分秒指针应该指向00：00：00。但是反过来，我说现在手表上的时分秒指针指向了00：00：00,你能告诉我至起始点算过了有几年了么？

ECDSA签名算法和其他DSA、RSA基本相似，都是采用私钥签名，公钥验证。只不过算法体系采用的是ECC的算法。交互的双方要采用同一套参数体系。签名原理如下：

在曲线上选取一个无穷远点为基点 G = (x,y)。随机在曲线上取一点k 作为私钥， K = k*G 计算出公钥。

签名过程：

生成随机数R, 计算出RG.

根据随机数R,消息M的HASH值H,以及私钥k, 计算出签名S = (H+kx)/R.

将消息M,RG,S发送给接收方。

签名验证过程：

接收到消息M, RG,S

根据消息计算出HASH值H

根据发送方的公钥K,计算 HG/S + xK/S, 将计算的结果与 RG比较。如果相等则验证成功。

公式推论：

HG/S + xK/S = HG/S + x(kG)/S = (H+xk)/GS = RG