科普—为什么要用ECDSA加签及其数学上的验签证明

　　在上文介绍了ECDSA算法流程及模块划分，为了帮助一些小白弄懂啥是ECDSA，特此开一篇科普博文。

一、首先为啥要进行数字签名？

　　假设Alice要将一份合同m传输给Bob，合同上附有Alice的电子纸质签名。这份合同关乎着Boss Bob跟打工人Alice谈好的打工加钱。Alice合同上表明我要月薪10个w不溜，而Alice有个黑客仇敌johor要搞Alice，

于是在合同m传输的过程中截获合同，并进行篡改，把10个w不溜改为1k。Boss Bob一看，好家伙，咋回事？请了一个免费的劳动力。

　　　　　　　　　　　　　　　　　　　　　　 

　　为啥会造成这样的局面？首先是合同在通过网络传输的过程中，容易遭受到第三方的截获；其次，Alice没有对这份合同做任何防护就签上了自己的电子纸质签名或着说盖上公章，不过这也没办法，Alice和Bob分居两地，

只能这样操作。

　　那么数字签名就是要防止这种情况的发生，Alice通过自己的私钥对合同m进行加密，然后把公钥公开，这样可以使用公钥对合同m进行验签，查看合同是否被篡改，如果验签失败，那就说明合同被篡改了。也就是说，

数字签名不保护合同m的隐私性，只保护合同m自身的安全性，其最大的目的就是防篡改。

　　　　　　　　　　　　　　　　

二、ECDSA是如何保护消息m的？

　　首先先看我之前讲的ECDSA算法流程：

　　　　　　

　　一大堆东西，不看也罢。反正作为FPGAer，一定要有模块化的思想。就看Alice最后要输出什么东西就行了。

　　Alice对合同m签名完，要给出（D,r,s,m,Q）,其中D为椭圆曲线参数组，当然随机数种子不用给，不过给了也没事，反正第三方也不知道我用的啥方法产生随机数的(●'◡'●)

（r,s）为消息m的签名，m也合同，Q为公钥且Q=kG。k为私钥，也是Alice在区间0-n之间随便选的一个数，G为椭圆曲线基点。

　　看完Alice的输出，再来看看Bob拿到这些信息做了啥。。。

　　也是一大堆算法，还是看最后一步吧。Bob那边要计算到v = r才算验签成功，即合同m没有被篡改。

　　即要证明v = r，在签名那里知道r = dG的x坐标，而验签那里v=X的x坐标，也就是要证明X = dG即可，

　　而X=u₁G+u₂Q=u₁G + u₂kG=（u₁+u₂k)G。

　　带入u₁与 u₂得：X =（ew+rwk）G=(e+rk) *wG。

　　而w = s^-1 mod n ，带入得：X = （e+rk）* s^-1G。

　　在签名部分，s=d^-1（e+kr）mod n  带入之后，X = dG了。

　　也就是一顿操作之后，只要v = r，就证明了X = dG，而消息m对于签名（r,s）及哈希值e特别敏感，只要有一点变动，这三种都随随之变动，那验签自然就失败了。

这样干说太抽象了，举个简单例子。Alice对合同m签名完，要给出（D,r,s,m,Q），johor对消息m篡改为m1，那么Bob得到得信息组为（D,r,s,m1,Q）,当然其他参数也可以篡改，但是更容易被识破。

Bob拿着m1进行验签，首先生成的哈希值e1就对不上了签名生成的哈希值e，当然Bob得到的信息组没有提供哈希值，Bob在这一步还不知道消息被篡改。

验签第二步和第三步，计算w，u₁，u_{2 ，}这一步（r,s）没有被篡改，生成的w和u₂没有问题，而因为消息被篡改，哈希值变为e1了，所以u₁也跟着变了。

验签第四步，计算X，由于u₁变了，那X自然也变了，也就会导致验签失败。