详解Node.js 中使用 ECDSA 签名遇到的坑
最近有个朋友问我关于Node.js下使用ECDSA的问题,主要是使用Node.js的Crypto模块无法校验网络传输过来的签名结果。在踩坑无数后,终于搞清楚了原因。
坑0x00:签名输出格式
在排除了证书、消息不一致的可能之后,我开始对比使用Node.js签名的结果与网络传输过来的签名,发现长度不一致,大约差了5~7个字节。于是去网上搜索了一下,才知道原来Node.js(基于OpenSSL)签名得到的是DER格式的内容,而网络上常用的ECDSA签名结果是IEEEP1363格式的。(也可以写作R|S)
参考:https://stackoverflow.com/a/39575576
知道问题了就好解决了。但是,DER和IEEEP1363两个格式互转也不是那么容易的。
简单科普一下,ECDSA是指基于ECC椭圆加密算法的签名方式,签名结果是两个整数R和S。R和S一般长度相同,或者接近。如果长度不同,在各自前面补字节0x00直到等长。把R和S以大头字节序表示,然后依次前后拼接,就是所谓IEEEP1363格式。
坑0x01:DER的整数问题
先来了解一下ECDSA的DER输出格式,大概如下:
SEQUENCEINTEGER #整数R INTEGER #整数S
其中
SEQUENCE是DER数组(串?)标头,用一个字节0x30表示
INTEGER是整数标头,用一个字节0x02表示
另一个坑我也已经写出来了,不知道有人发现没有?没想到的话,继续往下。
IEEEP1363格式下,R和S都是等长的。所以只要把IEEEP1363格式的签名从中间切分就可以得到R和S的内容了。而且IEEEP1363格式下,R和S也是以大头字节序表示的,因此没有字节序转换问题了。现在,只需要按上面的格式构造一个DER即可。
坑0x01.0:缺少整数前置字节0x00
我第一次尝试将IEEEP1363格式的签名转换成DER格式,并没有失败,但是当我换一个签名结果,却失败了……我对比了DER和IEEEP1363的区别,发现了一个特点,在DER格式下,R和S偶尔会有前置字节0x00,但不是一定的。
查资料后才明白,DER下没有“无符号整数”之说,也就是说整数都是有符号的。如果INTEGER所表示的整数最高字节大于0x7F,也就是最高位(符号位)为1,则表示负数。如果要表示正数,必须在前面补一个字节0x00……
参考https://bitcointalk.org/index.php?topic=215205.msg2258789#msg2258789
坑0x01.1:多余的整数前置字节0x00
在我修改代码后,虽然提高了成功率,可仍然有失败的情况,仔细看了下,原来是因为IEEEP1363格式里,R和S可能被补了不止1个字节0x00……
而DER下虽然要求补字节0x00,却是有且只能有一个字节0x00。
到此,问题都解决了——直到我测试了521-bit(是的,你没看错,不是512)长度的密钥时,完全失败,毫无例外。
坑0x02:DERSEQUENCE的长度超过0x7F
前面说了,
即是说,ECDSA签名使用DER输出格式时,如果使用521-bit(是的,你没看错,不是512)长度的密钥时,DER的长度将超出0x7F,使得
而解决方案不是补字节0x00,而是用字节0x81填充
参考:https://stackoverflow.com/a/47099047
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。