比特币dsapython

❶ (p+1)(p-4)+7p+8公式法

导语

本课堂用通俗易懂的系列内容为大家呈现区块链与密码学领域相关知识。这里有知识也有故事，从感兴趣到有乐趣，点宽课堂等你来学。

这个系列中的课程内容首先从比特币着手进行入门介绍，再延伸至区块链的相关技术原理与发展趋势，然后深入浅出地依次介绍在区块链中应用的各类密码学技术。欢迎大家订阅本公众号，持续进行学习。

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】

6.3

其他数字签名算法

EIGamal算法

数字签名一般利用公钥密码技术来实现，其中私钥用来签名，公钥用来验证签名。ElGamal公钥密码算法是在密码协议中有着重要应用的一类公钥密码算法，其安全性是基于有限域上离散对数学问题的难解性。它至今仍是一个安全性良好的公钥密码算法。它既可用于加密又可用于数字签名的公钥密码体制。

假设p是一个大素数，g是GF(p)的生成元。Alice的公钥为y = gx mod p, g，p私钥为x。

签名算法：

• Alice用H将消息m进行处理，得h=H(m).

• Alice选择秘密随机数k，满足

0

计算

r=gk (mod p)

s=(h－ x · r) · k-1(mod (p－1))

• Alice将(m，r，s)发送给Bob

验证签名过程：

接收方收到M与其签名(r，s)后：

• 计算消息M的Hash值H(M)

• 验证公式

成立则确认为有效签名，否则认为签名是伪造的

PSS算法的编码操作过程

上述方案的安全性是基于如下离散对数问题的：已知大素数p、GF(p的生成元g和非零元素y∈GF(p)，求解唯一的整数k, 0≤k≤p – 2，使得y≡gk (mod p)，k称为y对g的离散对数。

在1996年的欧洲密码学会(Proceedings of EUROCRYPT 96)上，David Pointcheval和Jacques Stern给出一个ElGamal签名的变体，并基于所谓分叉技术证明了在随机预言模型下所给方案是安全的(在自适应选择消息攻击下能抗击存在性伪造)。

Schnorr算法

Schnorr签名方案是一个短签名方案，它是ElGamal签名方案的变形，其安全性是基于离散对数困难性和哈希函数的单向性的。

假设p和q是大素数，是q能被p-1整除，q是大于等于160 bit的整数，p是大于等于512 bit的整数，保证GF(p)中求解离散对数困难；g是GF(p)中元素，且gq≡1mod p。

密钥生成：

Alice选择随机数x为私钥，其中1

Alice计算公钥y≡gx (mod p)

签名算法：

①Alice首先随机数k，这里1

②Alice计算e=h(M, gk mod p)

③Alice计算s=k-x·e(mod q)

④Alice输出签名(e, s)

验证算法：

Bob计算gkmod p=gs·ye mod p

Bob验证e = h(M, gk mod p)是否成立，如果成立则输出「Accept」，否则输出「Reject」。

Schnorr签名与ElGamal签名的不同点：

安全性比较：在ElGamal体制中，g为域GF(p)的本原元素；而在Schnorr体制中， g只是域GF(p)的阶为q的元素，而非本原元素。因此，虽然两者都是基于离散对数的困难性，然而ElGamal的离散对数阶为p-1， Schnorr的离散对数阶为q

签名长度比较：Schnorr比ElGamal签名长度短

ElGamal：(m，r，s)，其中r的长度为|p|， s的长度为|p-1|

Schnorr：(m，e，s)，其中e的长度为|q|， s的长度为|q|


DSA算法

1991年，美国政府颁布了数字签名标准(Digital Signature Standard, DSS)，也称为数字签名算法(Digital Signature Algorithm, DSA) 。

和DES一样，DSS也引起了激烈的争论，反对者认为：密钥太短、效率不如RSA高、不能实现数据加密并怀疑NIST在DSS中留有后门。

随后，美国政府对其做了一些改进，目前DSS的应用已经十分广泛，并被一些国际标准化组织采纳为国际标准。2000年，美国政府将RSA和椭圆曲线密码引入到数字签名标准中，进一步丰富了DSA算法。

DSA的主要参数：

全局公开密钥分量，可以为用户公用

p：素数，要求2L-1

q : (p-1)的素因子，2159

g : =h(p-1)/q mod p.其中h是一整数，11

用户私有密钥

x：随机或伪随机整数，要求0

用户公开密钥

y：=gx mod p

随机数k

随机或伪随机整数，要求0

DSA签名过程：

• 用户随机选取k

• 计算e=h(M)；

• 计算r=(gk mod p) mod q

• 计算s=k-1(e+x · r) mod q

• 输出(r, s)，即为消息M的数字签名
  

DSA验证过程：

• 接收者收到M, r, s后，首先验证0

• 计算e=h(M)；

• 计算w=(s)-1 mod q

• 计算u1=e · w mod q

• 计算u2=r · w mod q

• 计算①v=[(gu1 · yu2) mod p] mod q

• 如果v=r，则确认签名正确，否则拒绝

DSA算法的工作流程

今天的课程就到这里啦，下一堂课我们将学习基于椭圆曲线的数字签名算法，带大家继续了解数字签名，敬请期待！


关注点宽学园，每周持续更新区块链系列课程，小宽带你进入区块链世界。我们下节课见啦。

【区块链与密码学】课堂回顾：

FOLLOW US

© DigQuant


点击“阅读原文”，登录官网www.digquant.com，一起解锁更多金融科技姿势：涵盖 Python 、 金融基础 、 量化投资 、 区块链 、 大数据 、 人工智能 。 Dig More, Learn More！

❷ 美联储称无意争先央行数字货币 比特币成为世界第一风险避风港

政策法规

美联储副主席：美联储的重点并不在于在数字货币上领先

据金十消息，美联储副主席克拉里达表示，美联储正在积极地研究央行数字货币，美联储的重点并不在于在数字货币上领先。

FATF计划对P2P加密货币交易平台进行监管

吉尔吉斯斯坦央行正起草法律草案以规范加密货币行业

据Cointelegraph消息，中亚国家吉尔吉斯斯坦中央银行正在起草一项法律草案，以规范该国的加密货币行业。根据公告，央行表示，该法律草案将规范加密货币的买卖，目的是打击欺诈性加密货币计划和金融犯罪，以及保障消费者和投资者的权利。该行还预计，加密立法也会遇到自身的障碍，许多私人加密货币的跨境性质将使法律在没有适当的监测和基础设施下难以执行。

数字金融

对冲基金天桥资本向美国SEC申请投资比特币

加密研究员Kevin Rooke在推特分享的图片显示，美国知名对冲基金公司天桥资本（Skybridge Capital）在11月13日向SEC提交了一份修正案，寻求允许其36亿美元的基金开始投资比特币。Skybridge Capital创始人Anthony Scaramucci为前美国白宫通讯联络主任，曾多次公开表示看好数字资产和区块链。据了解，Skybridge Capital是一家全球另类投资机构，主要从事对冲基金产品的多策略混合基金，定制独立账户投资组合和对冲基金解决方案，以满足从个人认可的投资者到大型机构的广泛市场参与者的需求，目前管理总资产超过120亿美元。

Uniswap社区讨论延长流动性挖矿计划 UNI每月总额降至500万枚

11月17日，根据Uniswap官方社区治理论坛内容，已有成员提交提案讨论延长Uniswap流动性挖矿计划。该提案具体内容为，维持Uniswap初始流动性挖矿计划，即维持现有四大池：ETH/USDT、ETH/USDC、ETH/DAI、ETH/WBTC。不过该提案最大变化为，将每月UNI分配总额减少一半，即从每月1000万UNI减少到每月500万UNI，借此再延长两个月流动性挖矿计划，届时四大池每个资金池每月将分配125万UNI。

目前该提案已从讨论阶段过渡到民意测验，若测验获得至少25000 UNI的支持，则可以进行下步治理投票计划。此前消息，根据官方计划，Uniswap流动性挖矿计划将于11月17日20:00正式结束。

灰度BTC信托增持3153 BTC 灰度ETH信托持仓增长0.21%

AICoin指数行情显示，美东时间11月15日，灰度比特币信托持仓量增加3153 BTC，增长0.62%，总持仓量已达509581 BTC。灰度ETH信托持仓量增长0.21%至2580879 ETH。

与此同时，灰度LTC信托总持仓量为770980 LTC，增持0.18%。此外，灰度BCH信托和ETC信托均减持0.02%。

Willy Woo：比特币是世界上第一个风险避风港

Peter Schiff晚间发推称，最近比特币相对于黄金的上涨并不能证明比特币是一种优越的价值存储手段。热情高涨的投资者正纷纷涌向风险资产，避开全球的避险天堂。作为所有资产中风险最高的资产，人们购买比特币是出于交易风险的一部分。对此加密货币分析师Willy Woo分析称，比特币是世界上第一个风险避风港。这意味着，在传统的繁荣周期它会上升，当投资者涌向安全港时它也会上升。前者是由于采用曲线，后者是由于其技术设计。

资金动向&企业合作

韩媒：火币或欲收购韩国交易所Bithumb

11月17日，韩国最大投资界媒体The bell报道称，火币或将收购韩国最大虚拟资产交易所Bithumb。多位国内投资银行人士表示，火币想要通过收购Bithumb，以便在韩国特金法实行后，于韩国国内开展虚拟资产业务，而基于此交易所必须要获得实名确认帐户。目前，韩国拥有实名确认帐户的虚拟资产交易所只有4个，Bithumb、Upbit、Coinone以及Kobit。

Galaxy Digital与CI GAM合作推出新比特币基金

据Finance Magnates 11月17日消息，加密商业银行银河数码（Galaxy Digital）与全球资产管理公司CI GAM合作，宣布共同推出新比特币基金CI Galaxy。CI GAM将负责管理，而Galaxy Digital则将担任其子顾问，这也意味着其将代表该基金执行所有比特币交易。该比特币基金定价采用彭博银河比特币指数(Bloomberg Galaxy Bitcoin Index)，该指数则用以衡量比特币兑美元的表现。尽管该基金的总规模尚不清楚，但该基金将以每股10美元的价格提供A类基金和F类基金。

OUSD公布闪电贷攻击事件细节 共损失700万美元

11月17日，Origin Protocol创始人Matthew Liu发文公布Origin Dollar (OUSD) 闪电贷攻击事件细节。内容显示，截止目前，攻击已造成约700万美元损失，其中包括Origin及创始人和员工存入的超过100万美元资金。团队正在全力以赴确定漏洞原因，以及确定是否能够收回资金。

官方提醒称，目前已取消了金库存款，请不要在Uniswap或Sushiswap上购买OUSD。此外团队表示，官方不会离开，此次事件不是欺诈，也非内部骗局。 

应用动态

德国黑森州农业局在IOTAqua项目中使用IOTA Tangle

据Crypto News Flash消息，IOTA合伙伙伴管理部负责人Holger Köther昨天宣布，IOTA基金会目前正与德国黑森州农业局（LLH）在“IOTAqua”项目的框架内合作，开发一个数字化、符合法律规定的水表系统。该项目的目的是使农业和园艺用水尽可能高效，以应对持续的气候变化。新水表系统的基础是已经存在的产品：Lorenz公司的超声波水表Octave、Nelson公司的1000系列控制阀和peerOS公司的LoRa无线电模块以及IOTA Tangle，以确保数据的合法安全。

Messari：区块链技术将推动幻想 体育 行业发展

11月16日，数字研究公司Messari在其最新报告中表示，随着电子竞技等“数字原生”生态系统继续与区块链技术协同合作，幻想 体育 等行业可能会被大量采用。Messari研究员Mason Nystrom认为，由于新冠疫情，幻想 体育 已为显着增长做好了准备。他还认为基于区块链的应用程序可以帮助促进粉丝在这个快速扩展的市场中的参与度。

Dash与德州炸鸡展开合作支持DASH支付

Dash官方刚刚发布推文称，已与全餐连锁店德州炸鸡（Church's Chicken）合作，并于近日在委内瑞拉Sambil购物中心分店展开活动支持DSAH支付。

交易动态

数字货币行情

BTC午间整体震荡下挫，现已跌破16600 USDT。主流币日内全部 报涨 。其中LTC一度涨过75 USDT，日内涨超5%。BTC在火币现报16550 USDT，日内涨幅0.60%。全球数字货币市场总价值为4824.44亿美元（+3.72%），24h成交量为539.89亿美元（+25.47%）。

主流数字货币表现如下：

- ETH暂报460.52 USDT（+3.16%）

- XRP暂报0.2925 USDT（+9.51%）

- BCH暂报249.4 USDT（-0.19%）

- LTC暂报73.9 USDT（+11.88%）

- EOS暂报2.66 USDT（+6.15%）

- BSV暂报160.92 USDT（+5.70%）

24小时行情市值排名前百币种涨幅前三为：

- YFI（+14.91%）

- GNT（+12.28%）

- BNT（+11.76%）

24小时行情市值排名前百币种跌幅前三为：

- CVC（-10.69%）

- DNT（-8.05%）

- XUC（-7.26%）

❸ 非对称加密算法 (RSA、DSA、ECC、DH)

非对称加密需要两个密钥：公钥(publickey) 和私钥 (privatekey)。公钥和私钥是一对，如果用公钥对数据加密，那么只能用对应的私钥解密。如果用私钥对数据加密，只能用对应的公钥进行解密。因为加密和解密用的是不同的密钥，所以称为非对称加密。

非对称加密算法的保密性好，它消除了最终用户交换密钥的需要。但是加解密速度要远远慢于对称加密，在某些极端情况下，甚至能比对称加密慢上1000倍。

算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂，而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥，并且是非公开的，如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全，而非对称密钥体制有两种密钥，其中一个是公开的，这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。

RSA、Elgamal、背包算法、Rabin、D-H、ECC (椭圆曲线加密算法)。使用最广泛的是 RSA 算法，Elgamal 是另一种常用的非对称加密算法。

收信者是唯一能够解开加密信息的人，因此收信者手里的必须是私钥。发信者手里的是公钥，其它人知道公钥没有关系，因为其它人发来的信息对收信者没有意义。

客户端需要将认证标识传送给服务器，此认证标识 (可能是一个随机数) 其它客户端可以知道，因此需要用私钥加密，客户端保存的是私钥。服务器端保存的是公钥，其它服务器知道公钥没有关系，因为客户端不需要登录其它服务器。

数字签名是为了表明信息没有受到伪造，确实是信息拥有者发出来的，附在信息原文的后面。就像手写的签名一样，具有不可抵赖性和简洁性。

简洁性：对信息原文做哈希运算，得到消息摘要，信息越短加密的耗时越少。

不可抵赖性：信息拥有者要保证签名的唯一性，必须是唯一能够加密消息摘要的人，因此必须用私钥加密 (就像字迹他人无法学会一样)，得到签名。如果用公钥，那每个人都可以伪造签名了。

问题起源：对1和3，发信者怎么知道从网上获取的公钥就是真的？没有遭受中间人攻击？

这样就需要第三方机构来保证公钥的合法性，这个第三方机构就是 CA (Certificate Authority)，证书中心。

CA 用自己的私钥对信息原文所有者发布的公钥和相关信息进行加密，得出的内容就是数字证书。

信息原文的所有者以后发布信息时，除了带上自己的签名，还带上数字证书，就可以保证信息不被篡改了。信息的接收者先用 CA给的公钥解出信息所有者的公钥，这样可以保证信息所有者的公钥是真正的公钥，然后就能通过该公钥证明数字签名是否真实了。

RSA 是目前最有影响力的公钥加密算法，该算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥，即公钥，而两个大素数组合成私钥。公钥是可发布的供任何人使用，私钥则为自己所有，供解密之用。

A 要把信息发给 B 为例，确定角色：A 为加密者，B 为解密者。首先由 B 随机确定一个 KEY，称之为私钥，将这个 KEY 始终保存在机器 B 中而不发出来；然后，由这个 KEY 计算出另一个 KEY，称之为公钥。这个公钥的特性是几乎不可能通过它自身计算出生成它的私钥。接下来通过网络把这个公钥传给 A，A 收到公钥后，利用公钥对信息加密，并把密文通过网络发送到 B，最后 B 利用已知的私钥，就能对密文进行解码了。以上就是 RSA 算法的工作流程。

由于进行的都是大数计算，使得 RSA 最快的情况也比 DES 慢上好几倍，无论是软件还是硬件实现。速度一直是 RSA 的缺陷。一般来说只用于少量数据加密。RSA 的速度是对应同样安全级别的对称密码算法的1/1000左右。

比起 DES 和其它对称算法来说，RSA 要慢得多。实际上一般使用一种对称算法来加密信息，然后用 RSA 来加密比较短的公钥，然后将用 RSA 加密的公钥和用对称算法加密的消息发送给接收方。

这样一来对随机数的要求就更高了，尤其对产生对称密码的要求非常高，否则的话可以越过 RSA 来直接攻击对称密码。

和其它加密过程一样，对 RSA 来说分配公钥的过程是非常重要的。分配公钥的过程必须能够抵挡中间人攻击。假设 A 交给 B 一个公钥，并使 B 相信这是A 的公钥，并且 C 可以截下 A 和 B 之间的信息传递，那么 C 可以将自己的公钥传给 B，B 以为这是 A 的公钥。C 可以将所有 B 传递给 A 的消息截下来，将这个消息用自己的密钥解密，读这个消息，然后将这个消息再用 A 的公钥加密后传给 A。理论上 A 和 B 都不会发现 C 在偷听它们的消息，今天人们一般用数字认证来防止这样的攻击。

(1) 针对 RSA 最流行的攻击一般是基于大数因数分解。1999年，RSA-155 (512 bits) 被成功分解，花了五个月时间（约8000 MIPS 年）和224 CPU hours 在一台有3.2G 中央内存的 Cray C916计算机上完成。

RSA-158 表示如下：

2009年12月12日，编号为 RSA-768 (768 bits, 232 digits) 数也被成功分解。这一事件威胁了现通行的1024-bit 密钥的安全性，普遍认为用户应尽快升级到2048-bit 或以上。

RSA-768表示如下：

(2) 秀尔算法
量子计算里的秀尔算法能使穷举的效率大大的提高。由于 RSA 算法是基于大数分解 (无法抵抗穷举攻击)，因此在未来量子计算能对 RSA 算法构成较大的威胁。一个拥有 N 量子位的量子计算机，每次可进行2^N 次运算，理论上讲，密钥为1024位长的 RSA 算法，用一台512量子比特位的量子计算机在1秒内即可破解。

DSA (Digital Signature Algorithm) 是 Schnorr 和 ElGamal 签名算法的变种，被美国 NIST 作为 DSS (DigitalSignature Standard)。 DSA 是基于整数有限域离散对数难题的。

简单的说，这是一种更高级的验证方式，用作数字签名。不单单只有公钥、私钥，还有数字签名。私钥加密生成数字签名，公钥验证数据及签名，如果数据和签名不匹配则认为验证失败。数字签名的作用就是校验数据在传输过程中不被修改，数字签名，是单向加密的升级。

椭圆加密算法（ECC）是一种公钥加密算法，最初由 Koblitz 和 Miller 两人于1985年提出，其数学基础是利用椭圆曲线上的有理点构成 Abel 加法群上椭圆离散对数的计算困难性。公钥密码体制根据其所依据的难题一般分为三类：大整数分解问题类、离散对数问题类、椭圆曲线类。有时也把椭圆曲线类归为离散对数类。

ECC 的主要优势是在某些情况下它比其他的方法使用更小的密钥 (比如 RSA)，提供相当的或更高等级的安全。ECC 的另一个优势是可以定义群之间的双线性映射，基于 Weil 对或是 Tate 对；双线性映射已经在密码学中发现了大量的应用，例如基于身份的加密。不过一个缺点是加密和解密操作的实现比其他机制花费的时间长。

ECC 被广泛认为是在给定密钥长度的情况下，最强大的非对称算法，因此在对带宽要求十分紧的连接中会十分有用。

比特币钱包公钥的生成使用了椭圆曲线算法，通过椭圆曲线乘法可以从私钥计算得到公钥， 这是不可逆转的过程。

https://github.com/esxgx/easy-ecc

Java 中 Chipher、Signature、KeyPairGenerator、KeyAgreement、SecretKey 均不支持 ECC 算法。

https://www.jianshu.com/p/58c1750c6f22

DH，全称为"Diffie-Hellman"，它是一种确保共享 KEY 安全穿越不安全网络的方法，也就是常说的密钥一致协议。由公开密钥密码体制的奠基人 Diffie 和 Hellman 所提出的一种思想。简单的说就是允许两名用户在公开媒体上交换信息以生成"一致"的、可以共享的密钥。也就是由甲方产出一对密钥 (公钥、私钥)，乙方依照甲方公钥产生乙方密钥对 (公钥、私钥)。

以此为基线，作为数据传输保密基础，同时双方使用同一种对称加密算法构建本地密钥 (SecretKey) 对数据加密。这样，在互通了本地密钥 (SecretKey) 算法后，甲乙双方公开自己的公钥，使用对方的公钥和刚才产生的私钥加密数据，同时可以使用对方的公钥和自己的私钥对数据解密。不单单是甲乙双方两方，可以扩展为多方共享数据通讯，这样就完成了网络交互数据的安全通讯。

具体例子可以移步到这篇文章： 非对称密码之DH密钥交换算法

参考：
https://blog.csdn.net/u014294681/article/details/86705999

https://www.cnblogs.com/wangzxblog/p/13667634.html

https://www.cnblogs.com/taoxw/p/15837729.html

https://www.cnblogs.com/fangfan/p/4086662.html

https://www.cnblogs.com/utank/p/7877761.html

https://blog.csdn.net/m0_59133441/article/details/122686815

https://www.cnblogs.com/muliu/p/10875633.html

https://www.cnblogs.com/wf-zhang/p/14923279.html

https://www.jianshu.com/p/7a927db713e4

https://blog.csdn.net/ljx1400052550/article/details/79587133

https://blog.csdn.net/yuanjian0814/article/details/109815473