Привет arulbero,

Мне нравится этот вопрос. Короткий ответ, что сообщения не кодируются как точки кривые, но как скаляры. Есть способы кодирования данных в виде точек кривых, как предположительно описан в статье Köblitz, и некоторые криптосистемы требуют, но ECDSA не делает.

Более длинный ответ, что есть три типа объектов, используемых в ECDSA: групповые элементы, скаляры а также элементы поля. Элементы группы являются точками на кривой, которые образуют математическая группа, который просто означает, что любая пара элементов может быть добавлена ​​или вычитается согласованным образом. (Обратите внимание, что "прибавление" а также "вычитание" для точек кривой является Очень разные сложения и вычитания чисел! Для добавления двух точек кривых, вы бежите через ряд алгебраических преобразований на их координатах; они имеют глубокие причины алгебраических быть то, что они есть, но они технические и unenlightening выписывать) Скаляры просто целые числа. полевые элементы являются элементами математическое поле над которой группа определена. Они действуют так же, как числа, являются деталями реализации группы, и это, как правило, OK, чтобы забыть, что они существуют.

Указанные элементы группы, которые могут быть добавлены, для любого элемента G в группе вы можете посмотреть на G, G + G, G + G + G, и т.д., и в целом "п раз G" для любого целого п. Эти числа являются скаляры, и они не имеют никакой структуры за пределами этого. Криптографическое свойство эллиптических кривых групп является то, что эти скаляры как-то скрыты в процессе умножения. То есть, для любого п и G, можно вычислить Нг довольно легко, но, учитывая G и Нг, это очень трудно понять, п. (Это, как подписание (тайна) и проверка (открытые ключи) связаны, кстати:. Подписывающий ключ некоторая скалярная d, и ее верификация ключ является дО для конкретного G, которая является свойством Bitcoin)

Алгоритм ECDSA интерпретирует H (M) как скаляр, а не curvepoint. Он делает это самым простым способом: путем чтения хэш как тупоконечника 256-битного числа.

Если вам интересно, полный алгоритм выглядит следующим образом: дан секретный ключ д, сообщение хэш-ч, а случайные скалярные к, он выводит подпись (R, S), состоящий из двух элементов поля:

• г является й-координата curvepoint кГс
• s является (Л + дг) * INV (к)

(При расчете с, мы рассматриваем все скаляры как полевые элементы, которые могут быть сделаны, принимая их по модулю размера поля. Тогда "INV (к)" означает, что элемент поля J такое, что к * у = 1 в поле.)


Это немного более технический, чем я имел в виду, чтобы это было, но я надеюсь, что это помогает прояснить некоторые вещи.

Андрей