预备知识：secp256k1、有限域与椭圆曲线点运算#

因为大量涉及模运算和椭圆曲线的点运算，所以稍微准备了点预备知识（顺便把自己补的内容放上去www。当然如果已经知道的话也可以跳过。

或者也可以看一下我和gemini的对话来补充（有一说一，有了ai，学习速度加速不少

Gemini

‎Gemini - direct access to Google AI

Created with Gemini

gemini.google.com/share/f72d7ecbcf76

关于一次EOA钱包的签名和验证#

如上一次文章内容所述，当发生一次需要EOA钱包进行地址的归属验证的时候，会进行下面的流程：

1. 一个符合SWIE的message被前端发给钱包请求签名

2. 对于这样一个签名请求，当钱包接收到后，会弹出用户同意的提示

3. 当用户确认后，此时开始了钱包的签名流程

   • 首先对于SIWE message通过keccak-256来计算出32-byte hash $e$ 来用于接下来的计算

   • 然后是对于钱包的私钥 $d$ 和secp256k1的有限域 $p$ 和它的标准选定的基点 $G$ 和 $G$ 的阶数 $n$ ，钱包通过生成一个[1,n-1]范围内的随机数 $k$ 来进行接下来的验证计算（这里需要注意因为只有n内的[1,n-1]是可用的不重复结果，所以在取点什么的计算的时候选择的是mod n，而整体secp256k1范围计算则是在其本身的规定范围p计算，即mod p

   • 最终生成的签名实际为$r/s/v$这三个计算结果的拼接，分别为32-byte/32-byte/1-byte的内容。对于它们的计算内容：

     • $R = kG = (R_{x}, R_{y})$

     • $r = R_{x} \bmod n$

     • $s = k^{-1} * (z + r * d) \bmod n$

     • $v$ 则是由于对于一个 secp256k1椭圆曲线

       $$y^2 = x^3 + 7 \bmod p$$

       而言，在$x=R_x$上的解，除了无穷远点$0$以外，还会有两个对于x轴对称的解，$v$就是这里通过提供0/1来指定应该选择哪个解的 yParity （当然，对于secp256k1，还有可能存在$r+n<p$的情况，不过由于概率太小，EVM在实际计算时，并没有考虑这种情况的恢复

   • 这样，就生成出来最终钱包返回给服务端的签名$r/s/v$

4. 然后是服务端对于取到的$r/s/v$进行验证，此时服务端知道的是secp256k1的基点 $G$ / 发送给钱包的SIWE message和它的keccak-256计算出的hash $e$ / 来自钱包发回的签名 $r/s/v$

5. 然后开始服务端的验证：

   • 对于服务端，现在已有 $G$ / $e$ / $r$ / $s$ / $v$ ，此时需要知道通过这里的数据计算出的钱包地址是否和开始接受到的钱包地址相同，而根据

     $$address = keccak256(Q_x || Q_y)[12:32]$$

     （即地址为公钥 $Q$ 经过keccak-256计算结果hash的后20位），可以知道目前的目标为通过当前条件计算出公钥 $Q$

   • 此时除了上述数据外，我们还能知道的是 $s$ 的变换过程（一个标量域的整数计算），即

     $$s = k^{-1} * (z + r * d) \bmod n$$

     所以我们同样可以得到一个变形，即

     $$d = r^{-1} * (s*k - z) \bmod n$$

     然后计算进入椭圆曲线点运算的领域，将上式两边同乘基点 $G$

     $$\begin{align} dG &= \left(r^{-1}(sk - z) \bmod n\right)G \\ &= r^{-1}(skG - eG) \end{align}$$

     同时我们知道，公钥 $Q = dG$ ，$R=kG$ ，而我们知道$r=R_x$ ，通过 $v$ 可以恢复出 $R$。由此，我们可以把上述转换为一个由已知量组成的公钥 $Q$ 的求解式

     $$Q = r^{-1}(sR - eG)$$

     从而，我们得到了一个经由计算解得的该签名钱包的公钥 $Q$

   • 然后再对于解得的公钥 $Q$ 进行keccak-256和取末尾20位的计算，即可得到验证用的钱包地址。然后再将此地址和之前提供地址进行对比，如果两者相同，即可在不用知道私钥 $d$ 的情况下，仅依靠已有信息对当前钱包控制权进行验证。同时，由于 $Q=dG \bmod n$作为椭圆曲线(mod n下)，从 $dG$ （d为在 $n$ （接近 $2^{256}$ 的大素数）中）的计算结果可以通过累加法快速到达；而从 Q 反推出 d 属于 secp256k1 上的椭圆曲线离散对数问题。目前没有可行算法能在现实资源内完成<通用攻击复杂度约为> $2^{128}$ 级别，而根据热力学，$2^{256}$的计算即使用完宇宙所有能量也不可能完成，从而达成在工程上的不可解。

     tips：对于实际上的EVM验证，还有对于SIWE信息内部的domain/address/chainId等验证，此处主要讨论数学上的实现，所以就此跳过

6. 由此，服务器和钱包间仅通过签名和SIWE message和一些定义的数学信息，而不用通过私钥的暴露，就完成了钱包归属的确认

结语#

上述大概就是一次钱包签名和验证时，在数学上的证明，虽然貌似随着google在量子计算上的发展，可能马上就要变了，不过应该还有不少时间，学一下经典也没啥问题（

以上，大概算是对于钱包签名验证工程实践上的理论基础的一个补充。