【问题标题】:Generate EC public key from byte array private key in native java (7+)从原生 java (7+) 中的字节数组私钥生成 EC 公钥
【发布时间】:2018-02-16 17:41:16
【问题描述】:

我正在尝试学习一些加密编码,并生成了一个当前保存在字节数组中的 32 字节私钥 (byte[] privatekey)。我知道公钥是使用 secp256k1 命名的椭圆曲线参数和publickey = G * privatekey 的公式生成的,其中 G 是椭圆曲线上的某个点(ECPoint?),但我无法转移将命名参数规范和公式转换为公钥的实际编码。我知道从 java 7 开始,java.security.*java.security.spec.* 包中包含的类可以用简短的代码执行此操作,但我找不到一个很好的示例来说明如何在不使用第三方库的情况下执行此操作。

This bitcoin stackexchange link has all the theoretical answer and great python and C# code, but nothing in Java.

编辑/更新:我尝试使用以下代码获取我需要的内容:

String secp256k1_G_uncompressed_string = "0479BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8";
byte[] secp256k1_G_uncompressed_bytes = DatatypeConverter.parseHexBinary(secp256k1_G_uncompressed_string);
String privatekeystring = "1184CD2CDD640CA42CFC3A091C51D549B2F016D454B2774019C2B2D2E08529FD";
byte[] privatekeybytes = DatatypeConverter.parseHexBinary(privatekeystring);
BigInteger secp256k1_G_num = new BigInteger(1, secp256k1_G_uncompressed_bytes);
BigInteger privatekey_num = new BigInteger(1, privatekeybytes);
BigInteger curvepoint = secp256k1_G_num.multiply(privatekey_num);
byte[] publickeybytes = curvepoint.toByteArray();
System.out.println(DatatypeConverter.printHexBinary(privatekeybytes));
System.out.println(DatatypeConverter.printHexBinary(publickeybytes));

使用正确编码生成的公钥是这样的:

04d0988bfa799f7d7ef9ab3de97ef481cd0f75d2367ad456607647edde665d6f6 fbdd594388756a7beaf73b4822bc22d36e9bda7db82df2b8b623673eefc0b7495

但是正在生成的公钥是这样的:

4E6801418BB6EF9F462F69830F82EB51BB9224219B9D89C8C34FB746297F59779D8B986194181BD7AB99DC7E3086914EA13C4B37E05716CADCA0AE391CE81C4B85E0F09E8628F0F81692B5D08D0D8B9E20615A5D23DE0F591D02C650554BB1D8 P>

【问题讨论】:

  • 也许我应该获取曲线点的 X 和 Y 值并从中创建和 ECPoint 并尝试从 ECPoint 制作公钥?

标签: java public-key elliptic-curve


【解决方案1】:

椭圆曲线点不是整数。将点 (G) 的编码表示放入 BigInteger 并尝试将其用作整数是远非正确的。椭圆曲线点乘法不是整数乘法,远没有BigInteger.multiply那么简单。它是用左边的标量写的,例如kG 不是 Gk。

将比特币 Q 中给出的标准(或至少是传统的)算法转换为 Java 对任何 Java 程序员来说确实应该是一个相当简单的练习。

Scalar Multiplication of Point over elliptic Curve 包含(在答案中)P192 aka secp192r1 的正确实现;它可以通过将 p 和 a 替换为规范中的值(https://www.secg.org 中的 SEC2 或 X9.62,如果你有)或任何现有实现(包括 Java(见下文))中的值并丢弃 P192 来转换为 secp256k1 - 特定的测试数据。实际上你主要需要改变 p;选择 Koblitz 曲线具有 a=0。 Elliptic Curve Multiplication Function 包含一个不完全正确的实现,据称是用于 secp256k1,但实际上不包括任何曲线的常量。

从 java 7 开始,java.security.* 和 java.security.spec.* 包中包含了一些类,可以用简短的代码完成此操作

不是真的。首先,Java 加密将您在java.securityjavax.crypto 中看到的类与实现代码隔离开来,实现代码在一个或多个“提供者”中的完全不同的类中(大部分(仍然)在sun.*com.sun.* 下)是单独的罐子,技术上是可选的;可以在不更改代码中的调用的情况下删除、添加或更改提供程序,尽管大多数人不这样做。自 java 5(称为 1.5)以来,EC 加密的 JCA“外观”类就存在,但标准构建中没有包含实现 EC 算法的提供程序;要使用它们,您必须添加第三方提供商。从 java 7 开始,包含了一个标准的 SunEC 提供程序。但是,JCA(对于所有算法,不仅是 EC)在生成后将私钥和公钥严格分开,特别是它无法访问 EC 内部存在的私有到公共推导逻辑。

它确实包含多个标准曲线的参数,包括 secp256k1,您可以使用它来避免从规范中复制它们的工作。似乎没有直接访问这些数据的方法,但您可以通过生成随机数密钥并丢弃它来间接访问。或者,由于您已经有一个私钥,您可以创建 Java 使用的编码 (PKCS8) 并将其读入,生成相同的曲线参数和一个可用的密钥。一般来说,构建像 PKCS8 这样的 ASN.1 DER 编码相当复杂,但 对于 EC 它被简化了,因为 (1) 每个人都使用将曲线编码为单个 OID 的“命名”形式,以及 (2)该标准规定了对给定曲线长度固定的私有值的编码;因此,给定 EC 曲线的 PKCS8 编码由固定前缀和后跟私钥值组成。示例 sn-ps:

    KeyPairGenerator kg = KeyPairGenerator.getInstance ("EC");
    kg.initialize (new ECGenParameterSpec ("secp256k1"));
    ECParameterSpec p = ((ECPublicKey) kg.generateKeyPair().getPublic()).getParams();
    System.out.println ("p=(dec)" + ((ECFieldFp) p.getCurve().getField()).getP() );
    ECPoint G = p.getGenerator(); 
    System.out.format ("Gx=(hex)%032x%n", G.getAffineX());
    System.out.format ("Gy=(hex)%032x%n", G.getAffineY());
    //
    byte[] privatekey_enc = DatatypeConverter.parseHexBinary(
            "303E020100301006072A8648CE3D020106052B8104000A042730250201010420"+
            "1184CD2CDD640CA42CFC3A091C51D549B2F016D454B2774019C2B2D2E08529FD");
    // note fixed prefix for PKCS8-EC-secp256k1 plus your private value
    KeyFactory kf = KeyFactory.getInstance("EC");
    PrivateKey k1 = kf.generatePrivate(new PKCS8EncodedKeySpec(privatekey_enc));
    ECParameterSpec p2 = ((ECPrivateKey) k1).getParams();
    System.out.println ("again p=(dec)" + ((ECFieldFp) p2.getCurve().getField()).getP() );

产生输出:

p=(dec)115792089237316195423570985008687907853269984665640564039457584007908834671663
Gx=(hex)79be667ef9dcbbac55a06295ce870b07029bfcdb2dce28d959f2815b16f81798
Gy=(hex)483ada7726a3c4655da4fbfc0e1108a8fd17b448a68554199c47d08ffb10d4b8
again p=(dec)115792089237316195423570985008687907853269984665640564039457584007908834671663

请注意,基点 G 的坐标符合您的预期。我显示了十进制和十六进制的混合只是为了显示可能性;这不会影响计算机中的实际数字。

为响应 cmets 添加:

变量 p 和 p2 是 ECParameterSpec 对象,其中包含 EC 曲线的参数(基础字段、曲线系数、基点又名生成器、顺序和辅因子;以及内部的“名称”,尽管 API 没有公开它) .我打印的标记为“p”的值是调用 getP 的结果,它从曲线参数返回 one 项,即基础素数字段的模数,因此您需要在链接帖子中显示的计算在mod(p)modInverse(p)modPow(,p) 的位置。由于这个 p(或 P)是曲线的参数,因此该曲线上的所有键都是相同的;请注意,我打印的两个值是相同的,即使它们来自不同的键。实际上有两种为密码学标准化的椭圆曲线:素数域上的曲线,记为 Fp,以及特征二的扩展域上的曲线,记为 F2m。 secp256k1 是第一种,这就是为什么在调用getP() 之前转换为ECFieldFp

是的,我的固定前缀包含将私钥 (PKCS8) 编码标识为 EC 和 secp256k1 的标头和字段,并且该前缀对于所有 EC secp256k1 私钥都是相同的。 p 值如上所述,而不是私钥或公钥。是的,如果您有公共点,您可以将它与 ECParameterSpec 组合成 ECPublicKeySpec 并将其转换并使用它 - 或者您可以将点编码附加到类似但不同的固定前缀以获得 X509EncodedKeySpec是 Java 用于 publickeys 的编码并转换 that 而不需要提前ECParameterSpec - 但据我所知,你的整个问题是你还没有公共点并且想要推导它,这需要链接帖子中显示的点乘计算。

【讨论】:

  • 戴夫,非常感谢您的精彩解释。真的很有帮助。运行代码后,我只有两个问题……您是如何获得 PKCS8-EC-secp256k1 的固定前缀的?那将始终是静态值还是以任何方式从我的密钥派生而来?如果这些字节仅代表版本和算法标识符,那么对于我正在做的事情来说,这似乎成为一个始终不变的值? p 是十进制格式的 65 字节密钥?再次感谢。很有帮助的答案。
  • 我想我可能已经回答了我自己的问题,因为当你打印这个时: ("p=(dec)" + ((ECFieldFp) p.getCurve().getField()).getP () ),那不是公钥。我认为它需要以这样的方式结束: ECPublicKey k2 = (ECPublicKey)kf.generatePublic (new ECPublicKeySpec (point, p2));然后 p 和 p2 用于获得积分?抱歉,还在为所有数学问题而苦恼。
  • @godeatgod:在 cmets 中响应时间太长,请参阅编辑
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2022-01-13
  • 2019-10-12
  • 2015-05-16
  • 1970-01-01
  • 2019-08-15
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多