ECDSA 签名过程 · 比特币白皮书

ECDSA 算法结构 (secp256k1)

椭圆曲线参数

y² = x³ + 7 (mod p)

p 有限域素数

G 生成点

n 曲线阶

🔑 密钥生成

d ∈ [1, n-1]

随机选择私钥

↓

Q = d × G

计算公钥点

↓

公钥 Q = (Qₓ, Qᵧ)

✍️ 签名过程

z = SHA256(m)

计算消息哈希

↓

k ∈ [1, n-1]

生成随机数 k

↓

R = k × G

计算曲线点 R

↓

r = Rₓ mod n

取 R 的 x 坐标

↓

s = k⁻¹(z + rd) mod n

计算签名 s

↓

签名 (r, s)

✅ 验证过程

z = SHA256(m)

计算消息哈希

↓

u₁ = zs⁻¹ mod n

计算 u₁

↓

u₂ = rs⁻¹ mod n

计算 u₂

↓

P = u₁G + u₂Q

计算验证点

↓

Pₓ mod n = r ?

验证等式

🔬 交互式演示

生成密钥对，输入消息，观察 ECDSA 签名和验证的完整数学计算过程。

消息：

密钥生成

通过椭圆曲线点乘法从私钥计算公钥

私钥 d: - 生成点 G: Gₓ = - Gᵧ = - Q = d \times G 椭圆曲线标量乘法 公钥 Q: Qₓ = - Qᵧ = -

签名过程

使用私钥对消息哈希进行签名，生成 (r, s) 签名对

消息 m: - 哈希 z = SHA256(m): - 随机数 k: - R = k \times G 曲线点 R: Rₓ = - Rᵧ = - r = Rₓ mod n 签名 r: - s = k⁻¹ \times (z + r \times d) mod n k⁻¹ mod n: - z + r \times d: - 签名 s: - 最终签名 (r, s): r = - s = -

验证过程

使用公钥验证签名的有效性

哈希 z: - s⁻¹ mod n s⁻¹: - u₁ = z \times s⁻¹ mod n u₁: - u₂ = r \times s⁻¹ mod n u₂: - P = u₁ \times G + u₂ \times Q 椭圆曲线点加法 u₁ \times G: x = - y = - u₂ \times Q: x = - y = - 验证点 P: Pₓ = - Pᵧ = - Pₓ mod n = - ? r = - ❓ 等待验证...

📐 ECDSA 数学原理

椭圆曲线 — secp256k1 曲线方程 y² = x³ + 7，定义在有限域 𝔽ₚ 上
标量乘法 — Q = d × G 通过反复的点加法实现，是单向函数
模运算 — 所有运算在曲线阶 n 下进行模运算
模逆元 — k⁻¹ 满足 k × k⁻¹ ≡ 1 (mod n)，使用扩展欧几里得算法计算

← 数字签名比特币地址 →

ECDSA 数字签名算法

🔬 交互式演示

密钥生成

签名过程

验证过程

📐 ECDSA 数学原理