学习ECC及Openssl下ECC生成密钥的部分源代码心得

一、ECC的简介

椭圆曲线算法可以看作是定义在特殊集合下数的运算，满足一定的规则。椭圆曲线在如下两个域中定义：Fp域和F2m域。

Fp域，素数域，p为素数；

F2m域：特征为2的有限域，称之为二元域或者二进制扩展域。该域中，元素的个数为2m个。

以下只介绍素数域。

一些术语说明：

1)  椭圆曲线的阶（order of a curve）

椭圆曲线所有点的个数，包含无穷远点；

2)  椭圆曲线上点的阶(order of a point)

P为椭圆曲线上的点，nP=无穷远点，n取最小整数，既是P的阶；

3）基点(base point)

椭圆曲线参数之一，用G表示，是椭圆曲线上都一个点；

4）余因子(cofactor)

椭圆曲线的余因子，用h表示，为椭圆曲线点的个数/基点的阶

5）椭圆曲线参数：

素数域:(p，a，b，G，n，h)

其中，p为素数，确定Fp，a和b确定椭圆曲线方程，G为基点，n为G的阶，h为余因子。

二、Openssl对ECC的实现

Openssl实现ECC算法包括三部分：ECC算法(crypto/ec)、椭圆曲线数字签名算法ECDSA(crypto/ecdsa)以及椭圆曲线密钥交换算法ECDH(crypto/ecdh)。

2.1 数据结构

我们首先来看一下密钥的数据结构（定义在crypto/ec/ec_lcl.h）：

struct ec_key_st {
int version;//版本号
EC_GROUP *group;//密钥参数
EC_POINT *pub_key;//公钥
BIGNUM *priv_key;//大数私钥
//下面的是其他项
unsigned int enc_flag;
point_conversion_form_t conv_form;
int references;
int flags;
EC_EXTRA_DATA *method_data;
};
     初次学习看到这个一头雾水，但没有关系我们一个个来分析，从源代码中找到源头。

首先让我们疑惑的应该是EC_GROUP结构体（crypto/ec/ec_lcl.h）：

struct ec_group_st {
const EC_METHOD *meth; //方法（函数）
EC_POINT *generator; //基向量（基点）
BIGNUM order, cofactor; //基点的阶和余因子
int curve_name; //选择椭圆曲线的名字
BIGNUM a, b;//a和b确定椭圆曲线方程
//其他项此处省去
};
     这里可以看到EC_GROUP结构体包含了一个椭圆曲线的基本参数，是不是感觉到豁然开朗，等等，EC_METHOD结构体又是什么？

别着急，我们再来找一下EC_METHOD在哪里定义。

EC_METHOD结构体定义如下（crypto/ec/ec_lcl.h）

struct ec_method_st {
int flags;
int field_type;
int (*group_init) (EC_GROUP *);
void (*group_finish) (EC_GROUP *);
void (*group_clear_finish) (EC_GROUP *);
int (*group_copy) (EC_GROUP *, const EC_GROUP *);
//其他函数声明此处省去
}；
     当打开源代码看到EC_METHOD的结构体时，映入眼帘的是大段大段的函数声明，由此可以想到这个结构体是用来封装椭圆曲线的一些基本操作的，不用着急等我们需要的时候再来一个个看。

最后要介绍的是点的数据结构：

struct ec_point_st {
const EC_METHOD *meth;
BIGNUM X;
BIGNUM Y;
BIGNUM Z;
int Z_is_one;
}
    
    这个数据结构比较简单了定义了三维坐标X,Y,Z和方法。

当看到这里，终于可以松一口气了，回顾一下密钥的数据结构主要包含了私钥（大数）、公钥（向量）、和EC_GROUP结构体。而EC_GROUP结构体包含了椭圆曲线的参数和EC_METHOD结构体，而EC_METHOD结构体是一些椭圆曲线运算操作函数的封装。

这还没完，密钥的数据结构中是不是还有一个BIGNUM结构体我们不认识。新的学习历程又要开始了。

Openssl的大数表示用BIGNUM结构体，定义如下（crypto/bn/bn.h）

struct bignum_st {
BN_ULONG *d;
int top;
int dmax;
int neg;
int flags;
};
      
     d：BN_ULONG数组指针首地址，大数存放在这里面。（BN_ULONG可能是被声明一种基本类型如int的别名，本人没找到在哪被声明的，希望各位给予指正）

top：用来指明大数占多少个BN_ULONG空间。

dmax：d数组的大小。

neg：是否为负数，如果为1，则是负数，为0，则为正数。

flags：用于存放一些标记，用于区别静态分配和动态分配。

读到这终于对密钥结构体有一个全面的认识了。

2.2 密钥生成源代码

接下来我们进入文章的主题-密钥的生成。

椭圆曲线的密钥生成实现在crytpo/ec/ec_key.c中。在Openssl中，椭圆曲线密钥生成时，首先用户需要选取一种椭圆曲线(openssl的crypto/ec_curve.c中内置实现了67种，调用EC_get_builtin_curves获取该列表)，然后根据选择的椭圆曲线计算密钥生成参数group，最后根据密钥参数group来生公私钥。

我们先来找到密钥生成的源代码，在执行这段函数之前已经选择好椭圆曲线，并生成完密钥生产参数group，并且将group赋值给了密钥结构eckey了，我把我所能理解的内容尽量注释在每行代码之后。

int EC_KEY_generate_key(EC_KEY *eckey)
{
int ok = 0;//判断是否成功
BN_CTX *ctx = NULL;// BN_CTX是在大数那部分定义的一个上下文情景函数，用来存储计算中的中间过程。
//初始化参数
BIGNUM *priv_key = NULL, *order = NULL;
EC_POINT *pub_key = NULL;

#ifdef OPENSSL_FIPS//如果宏定义了OPENSSL_FIPS 则执行下述语句
if (FIPS_mode())
return FIPS_ec_key_generate_key(eckey);
#endif
//判断密钥以密钥生产参数是否为空
if (!eckey || !eckey->group) {
ECerr(EC_F_EC_KEY_GENERATE_KEY, ERR_R_PASSED_NULL_PARAMETER);
return 0;
}
// 分配空间初始化
if ((order = BN_new()) == NULL)
goto err;
if ((ctx = BN_CTX_new()) == NULL)
goto err;
//给priv_key赋初值
if (eckey->priv_key == NULL) {
priv_key = BN_new();
if (priv_key == NULL)
goto err;
} else
priv_key = eckey->priv_key;
//此函数的作用是从group参数中提取椭圆曲线的阶
if (!EC_GROUP_get_order(eckey->group, order, ctx))
goto err;
//为priv_key选取随机数，随机数的范围是两者之间。
do
if (!BN_rand_range(priv_key, order))
goto err;
while (BN_is_zero(priv_key)) ;

//给pub_key分配存储空间
if (eckey->pub_key == NULL) {
pub_key = EC_POINT_new(eckey->group);
if (pub_key == NULL)
goto err;
} else
pub_key = eckey->pub_key;
//这个函数的用途是用来计算点乘，输入的参数依次是椭圆曲线生产参数、运算结果保存处pub_key、大数私钥、null、null和上下文情景函数。
if (!EC_POINT_mul(eckey->group, pub_key, priv_key, NULL, NULL, ctx))
goto err;

eckey->priv_key = priv_key;
eckey->pub_key = pub_key;

ok = 1;
//错误处理
err:
if (order)
BN_free(order);
if (pub_key != NULL && eckey->pub_key == NULL)
EC_POINT_free(pub_key);
if (priv_key != NULL && eckey->priv_key == NULL)
BN_free(priv_key);
if (ctx != NULL)
BN_CTX_free(ctx);
return (ok);
}
    读到这是否感觉其实椭圆曲线生产密钥的源代码很简单？等等，我们好像错过了一个重要函数的实现---- EC_POINT_mul(eckey->group, pub_key, priv_key, NULL,NULL,ctx)；  
       这个函数定义在crytpo/ec/ec_lib.c中

int EC_POINT_mul(const EC_GROUP *group, EC_POINT *r, const BIGNUM *g_scalar,const EC_POINT *point, const BIGNUM *p_scalar, BN_CTX *ctx)
{
const EC_POINT *points[1];
const BIGNUM *scalars[1];
points[0] = point;
scalars[0] = p_scalar;
return EC_POINTs_mul(group, r, g_scalar, (point != NULL
&& p_scalar != NULL), points, scalars, ctx);
}
     我们先从函数的参数来看，只有r和ctx参数没有被const所限制，其他值在此函数运算中不能被改变。ctx好理解，就是相当于一个记录日志。而r就是此函数运算的结果。用函数表示为：

r = g_scalar * G + p_scalar * point

G为此椭圆曲线的基向量，从曲线参数group中获取。

此函数调用了多点相乘函数EC_POINTs_mul（…），这个函数被定义在相同文件下

*scalar,size_t num, const EC_POINT *points[],const BIGNUM *scalars[], BN_CTX *ctx)
{
if (group->meth->mul == 0)//判断是多点还是单点
return ec_wNAF_mul(group, r, scalar, num, points, scalars, ctx);
return group->meth->mul(group, r, scalar, num, points, scalars, ctx);
}
    
    这个函数输入的几个参数与前一个函数差不多，只是从单个点变成了多个点。

我想从简单的两对单点乘来分析，但是找不到源代码在哪，若哪位专业人士知道在哪，恳请留下路径，谢谢谢谢。

历时四天，还处于openssl的初级阶段，是个小白，使用环境为macOS 10.13.1，初次使用时连crypto、demos等目录都找不到，发现编译后就变成了libcrypto.a（静态链接库文件），只能用很笨的方法，在编译过程中终止操作，就保留了crypto、demos等目录，从这里的源代码开始学习。以后的学习方法也要慢慢改进。初次记录学习openssl的点滴，希望大家多批评指正
————————————————
版权声明：本文为CSDN博主「artree_hao」的原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/nanshenyaohaohaode/article/details/79033644