P256 VRF實現解讀

時間 2019-12-08

標籤 p256 vrf 實現解讀简体版

原文原文鏈接

目錄git

P256 VRF實現及其改造

P256 VRF實現及其改造

P256 VRF實現及其改造

P256對應的橢圓曲線是:
\[ y^2=x^3-3x+b \]github

公式推導

假設k是私鑰,G是公鑰(\(g^k\))
m:表示已知的公共信息,好比當前要出的塊號100app

H1:把任意信息映射到曲線上的點

思路也很簡單,將Hash(m)(注意是256位hash)做爲曲線上的X,而後帶入上述橢圓曲線公式,求出相應的Y便可.google

H2: 映射任意信息爲(1,q)

這個也很簡答,就是Hash(...)%q便可.spa

計算隨機數

\[ h=H_1(m) \\ v=VRF_k(m)=h^k \]
這就是所謂的可驗證隨機數,那麼怎麼讓他可驗證呢?code

隨機數的proof

隨機生成一個r,而後計算
\[ s=H_2(g,h,G,v,g^r,h^r) \\ t=r-sk (mod p) \]orm

而後把(v,s,t)一塊兒打包發給驗證方,three

如何驗證

上述信息中已知的有:ip

g: 曲線公共參數
h: H1(m) ,由於m已知,Hash方法也是已知
G: 公鑰
v: 隨機數,驗證方明文收到
t: 驗證法明文收到
s: 驗證法明文收到

生成gr,hr

\[ g^r =g^{t+ks} =g^t \cdot g^{ks} =g^t \cdot {g^k}^s =g^t \cdot G^s \]
\[ h^r =h^{t+ks} =h^t \cdot h^{ks} =h^t \cdot {h^k}^s =h^t \cdot v^s \]get

雖然驗證人不知道k,也不知道r,可是知道h,g,G,v,s,t因此他能夠計算出\(s2=H_2(g,h,G,v,g^t \cdot G^s,h^t \cdot v^s)\)
而後驗證s2是否和s相等,若是相等,那就是k持有人按照規則計算出的隨機數

VRF優勢

驗證人只知道m,在k持有人沒有廣播以前不知道隨機數是什麼
k持有人沒法僞造隨機數,不然過不了驗證人.
這就是所謂的隨機數(除了k以外,其餘任何人事先不知道)
可驗證(知道k公鑰的任何人都知道k生成的隨機數是否合規)

針對S256曲線的改造

谷歌給出的例子是針對P256的,可是不管是比特幣仍是以太坊及其衍生鏈,採用的都是S256曲線. 那麼通過簡單的改造就能夠在S256曲線上使用VRF

1. 使用S256曲線

將使用的P256直接換成S256

//curve  = elliptic.P256()
    curve=btcec.S256()
    params = curve.Params()

2. 修改H1

前面提到H1其實是把任意信息映射到曲線上的點,P256方案採用的曲線是
\(y^2=x^3-3x+b\),而S256曲線是\(y^2=x^3+b\),稍微有一些區別,所以計算\(y^2\)的方法要修改

// Use the curve equation to calculate y² given x.
// only applies to curves of the form y² = x³ - 3x + b.
func y2(curve *elliptic.CurveParams, x *big.Int) *big.Int {

    // y² = x³ - 3x + b
    x3 := new(big.Int).Mul(x, x)
    x3.Mul(x3, x)

    //threeX := new(big.Int).Lsh(x, 1)
    //threeX.Add(threeX, x)
    //
    //x3.Sub(x3, threeX)
    x3.Add(x3, curve.B)
    x3.Mod(x3, curve.P)
    return x3
}