簡單聊聊ECDSA與Ethereum的sign message

-
    本篇不會牽涉到數學公式或是算法,只是簡單解釋格式上的差異

    在我們應用中,會有兩個場景需要對訊息做簽章的動作,一個是簽章完送到smart contract裡用ecrecover做身份確認,另一個是單純把訊息(例如:個人資料)做簽章,確保訊息確實是本人的(就像簽名一樣)。
    我們產品中會有iOS, Android或是後端的C#或JAVA,每種語言對ECDSA的使用方式都有所不同,有原生也有third party library,加上Web3也有提供sign message的功能,一開始大家一知半解,不太知道差異,所以在開發的時候,搞得人仰馬翻。本篇就是針對標準ECDSA跟Web3提供的sign message做一點“簡單”的解釋

    首先,你要先知道 r s v,不用知道他背後的意義(因為我也不清楚 XD),但是你需要知道sign(本篇的sign都是指ECDSA)過的message可以被分解為 r s,咦?! 說好的 v 勒?? 先破題,這就是標準ECDSA跟Ethereum用來可以recover signed message的差異(其實Ethereum是沿用Bitcoin的)。
    在ECDSA sign完的訊息可以分解成 r 跟 s ,不過只靠rs所反解的public key會有四組,不過實際上大家都只看兩組,因為另外兩組出現機率很低,這篇解答中的推文有解釋。
27 = lower X even Y. 28 = lower X odd Y. 29 = higher X even Y. 30 = higher X odd Y. Note that 29 and 30 are exceedingly rarely, and will in practice only ever be seen in specifically generated examples. There are only two possible X values if r is between 1 and (p mod n), which has a chance of about 0.000000000000000000000000000000000000373 % to happen randomly. 
    那在Ethereum裡怎麼知道signed的訊息是哪組public key呢?我們可以看一下Web3j 實際的implementation
int headerByte; for(headerByte = 0; headerByte < 4; ++headerByte) { BigInteger k = recoverFromSignature(headerByte, sig, messageHash); if (k != null && k.equals(publicKey)) { recId = headerByte; break; } }

    這是在Sign.signMessage中的片段(org.web3j.crypto package中),我們可以看到這裡的for loop跑四次,把各種可能跑過一次。所以實際出來的值應該會是0,1,2,3,不過如上面所解釋,2跟3出現機率低,所以都只有0跟1。在應用上把對的那組public key的值記成v。這就是 v 的由來,很簡單吧!關於public key recovery這裡還有一篇解釋
    然後Ethereum會把得出來的 v 值加上27,所以在Ethereum中會看到27 or 28,不過!!在EIP155中,把這個值改成v = CHAIN_ID * 2 + 35 or v = CHAIN_ID * 2 + 36,所以在主鏈上會變成37 or 38。 

    再來,會針對格式做一些解釋。首先,先解釋ECDSA所產出的格式,這裡有詳細的解釋。基本上是DER format,長度會是71, 72或73 bytes,可以看Bitcoin wiki的介紹,sign完後的資料會長得像這樣
3045022100d5e90a3ce97af1f9645c46600ba178b9ad6f5b3abb183088d0c0bd881abe054c022030d0de96e fb49474f5aeb64b56a27ac020056f5e8a019e5419a6ccad217cad97

根據連結中的解釋,格式如下
30 + len(z) + 02 + len(r) + r + 02 + len(s) + s
所以可以把訊息拆成這樣
    這也就是為什麼,每次sign完的訊息都是3045, 3046或是3047(47好像比較少見)開頭。再來,有個比較奇怪的是,為什麼r, s是32 bytes,但有時候長度會是33 bytes,因為第一個byte的值如果大於"0x7f"(就是第一個bit 為 1, 0x80),則前面會加上"00"作為判別。以上圖為例,可以看到 02 21 00 d5e9....,"0xde"大於"0x7f",所以前面就多"00"。

接著,我們回來看r s v 的格式,r s v就相對簡單,就 
    r : 32 bytes
    s : 32 bytes
    v : 1 byte

    今天大概就介紹到這裡,我本身沒有數學的基礎,都是統整google來的資訊,所以如果有誤,歡迎也麻煩指正。

留言

  1. Unknown2018年6月25日 清晨7:00

    作者已經移除這則留言。

    回覆刪除
  2. Unknown2019年7月16日 上午9:08

    可以跟你要email問關於ecdsa在ethereum的問題嗎
    因為畢業專題有需要用到

    回覆刪除
    回覆
    1. Kimi' Blog2019年7月16日 晚上7:18

      哈囉. 歡迎給你問, 但是...我不太想公開我的mail...你方便留你的給我嗎? XD

      刪除
    2. Unknown2019年7月17日 清晨5:53

      我的是bbilly870529@hotmail.com

      刪除

張貼留言

這個網誌中的熱門文章

What's New in Ethereum Serenity (2.0)

-
圖片
Ethereum 2.0 已經正式改名為Ethereum Serenity 原本預計在今年(2018)上線的Hybrid POS(Casper FFG)跟sharding,因為遇到一些技術上的困難,所以把Hybrid POS改成單純POS,然後因為sharding跟POS有部份技術是重疊的,所以把POS跟sharding併在一起做(本來是分成兩個team作開發) Beacon Chain 在Ethereum Serenity的規劃中,在原本的POW chain之外多一個鏈叫做 Beacon chain ,是一個POS chain。在Beacon chain中有兩種角色 proposer 跟 attester ,proposer就是產塊的人,attester是驗證的人。而在POW chain上存入32 ETH,可以成為Beacon chain上的 validator ,而validator有權利產塊(proposer),也會有機會被選attester。此外,延續了Casper FFG finality這個概念,也就是在finality之後的狀態就是正確的狀態(不可回復),不像POW一般需要6個塊的時間才能確認交易是不會被更改的(POW的狀態確認是機率,六個塊之後有"很高的機率"是無法被改變的,而finality就像是0跟1一樣,沒有中間)。 聽到這,好像覺得很簡單,但是在實作上會遇到幾個問題,首先,怎麼決定誰是proposer誰是attester,如果亂數的隨機性不夠,就很容易被遭到操控。接下來是,每次驗證都需要做一次簽名,因為32個ETH就可以當validator/attester,每次驗證可能會有10~20幾萬的簽章( 簽章數量的預估方法 ),驗完簽章天都黑了 XD。 RNG 針對亂數產生( RNG , Random Number Generator),使用 RANDAO 跟 VDF ,RANDAO是個利用經濟獎勵的機制來產生亂數,原始的設計是在smart contract上,而在Beacin chain會直接實作這個邏輯。而VDF是一個delay function,因為速度的關係,基金會打算自己開發ASIC晶片。關於這RNG之後會再寫一篇 詳細解釋 。 Signature Aggregatio
閱讀完整內容

瑞士滑雪分享2 - 策馬特

-
圖片
本篇同 上一篇 ,只介紹滑雪資訊,關於觀光資訊,就不在這裡詳述 一樣,我們先來介紹策馬特/馬特洪峰,這裡一樣是分兩區,Zermatt跟International,如下圖,左邊紅色框是 Zermatt ,而 International 是Zermatt+Italy,也就是 全山卷 ,在Zermatt賣的就這兩種票 在這我一樣只有滑兩天,就只買了Zermatt的票,所以不要再問我買International需要不要護照之類的問題,我不知道阿~~ XD 我住在Zermatt,這個鎮還滿大的,所以在挑住宿的時候需要注意一下,Zermatt的住宿非常的貴,比Grindelwald貴上許多,所以也有人選擇住下面的小鎮,再坐火車到Zermatt,至於住哪個小鎮或是便宜多少,我沒有研究,就不知道了。Zermatt火車站一出來,就有往山上的小火車,所以住下面的小鎮要上山滑雪,也算滿方便的。 Zermatt雪場分三區,最左邊Rothorn,中間Gornergrat,最右邊Matterhorn Glacier Paradise。 Rothorn :要搭小火車上山,滿特別的,詳細介紹可參考 這篇網誌 ,離Zermatt火車站約10分鐘的路程。 Gornergrat :一出火車站,對面就是車站了,小火車直接拉到山頂,相當方便 Gornergrat車站 Matterhorn Glacier Paradise :上山纜車離市區相當遠,走路大約要20-25分鐘(有接駁巴士),需要轉2次纜車才能到山頂,要花不少時間,山頂非常冷,滑道很平緩,又冷又不好玩 三座山基本上可以互通,不需要回到小鎮再上山。這裡高度大都在2000-3000公尺,所以雪況比少女峰好很多,不過相當多的平路,對snowborders相當不友善....。 完整的地圖可參考: Zermatt ski map 雪票價格如下,這裡的雪票是用磁卡,所以會有5CHF的押金,最後記得去退(像我就忘了...@@) Zermatt/International ski pass (2014/15) : Zermatt International (Zermatt - Cervinia) Days Adults You
閱讀完整內容

動手實做零知識 - circom

-
圖片
零知識證明在過去一年越來越廣為人知,去年(2019)也有越來越多的專案是基於零知識證明。前年底提出的 zk rollup,目前由  Matter Labs  在開發,Matter Labs更在上個月(2019/12)發表了  ZK Sync ,解決了因為產生證明(proof)而延伸的延遲問題。此外  Iden3  跟 ConsenSys  也有 zk rollup 的專案。在以太坊研究論壇有基於 zk rollup 所衍生的 匿名 zk rollup 。 Semaphore 是一個基於零知識證明的一個訊號系統,發送者可以不揭露身份的狀況下廣播任何訊息(an arbitrary string)。 Semaphorejs 延續 Semaphore 的核心概念,並將整個概念更加完整化,從前端網頁到後端服務。這兩年才發表的 zk-STARKs,也在去年年初跟 0x 合作,推出基於 zk-STARKs 的 去中心化交易所 。 在技術上,去年下半年有新的論文,使用 DARK compiler 可以讓 SNARKs 達到公開性(Transparent)。還有 MARLIN, SONIC, PLONK 等可通用且可更新的可信設定(trusted setup)。STARKs 的 FRI 驗證方式也默默地跟 SNARKs 做結合。(東西越來越多,根本看不完 QQ) 這篇文章沒有要談高深的技術,只會介紹實做所需的知識。這篇會使用到 Iden3 所開發語言  circom  來幫助寫算數迴路 。藉由 circom,可以更輕鬆地實做零知識證明的程式。但在開始之前,先介紹一些基本觀念。 算數迴路 在實做零知識程式跟一般撰寫程式不同,需要先把問題轉成迴路,才去執行(實際上是把 問題 轉成 多項式 再轉成 迴路 )。舉例來說,一個多項式 $x^3 + x +5$,會轉成像這樣的迴路 sym_1 = x * x // sym_1 = x^2 sym_2 = sym_1 * x // sym_2 = x^3 y = sym_2 + x // y = x^3 + x ~out = y + 5 而 circom 就是一個將我們寫的邏輯(程式)轉成迴路的工具,不需要自己處理迴路。若你證明的內容需要雜湊或是簽章, circomlib  已經有實
閱讀完整內容