写在前面

上一节说了从凭证角度详细说明了Miller Rabin算法思路和实现， 并加以实例说明。

本文简记一下椭圆曲线算法中的另外一个小的话题：签名的可锻性。

比特币交易可锻性攻击

今天偶尔看到了以太坊早期一条的EIP记录： https://eips.ethereum.org/EIPS/eip-2

里面提及到了secp256k1算法的一个小问题：可锻性担忧（malleability concern），有时也被称为可锻性攻击。

什么是可锻性？

现在说这个问题比较合适，因为前面已经有很多篇幅描述椭圆曲线算法知识，包括签名算法。具体文章可参考文末相关阅读

这里说的可锻性是指secp256k1实例算法中签名产生的结果（r, s）两个大整数，如果把s改成 n - s, 即（r，n-s）依然是个合法的签名，n是椭圆曲线参数中的阶。这一点从签名过程可以得出。 即EIP02中提到的：

Allowing transactions with any s value with 0 < s < secp256k1n, as is currently the case, opens a transaction malleability concern, as one can take any transaction, flip the s value from s to secp256k1n - s, flip the v value (27 -> 28, 28 -> 27), and the resulting signature would still be valid.

这样貌似也没什么问题？但是在比特币早期版本（隔离见证之前）中会有一个小问题：交易ID可能发生变化。

可锻性有什么影响?

比特币交易ID计算引入了签名作为输入的一部分，当交易被创建时，有一个确定的ID，当交易被广播到其他节点时，不能排除有些不诚实节点不做手脚，即修改签名。改s后的签名依然是有效的，可以校验通过。这时同一笔交易就会有两个不同ID，之所以说这是一个小问题，严格也不能算bug。

是因为这种情况并不会造成双花。比特币采用UTXO模型，检验时会严格检查inputs部分，上述产生的两个交易，inputs部分是一样的，所以只会有一笔最终打包入块得到确认，另一笔视为无效。

之所以说又是一个小问题，是因为在一些场合会造成困扰（concern）。 例如用户向商家支付比特币购买商品时，用户会提供给商家一个交易ID证明自己已经支付，商家拿到交易ID后等待确认， 如果这过程中发生了交易可锻性， 最终商家得到交易ID一直不确认或者无效，就会给用户和商家同时造成困扰。 这就是称为“小问题“原因。

如何解决交易可锻性？

正如大家所知道的比特币采用隔离见证（segregation witness）方法。将交易签名部分不再作为交易ID计算输入，并且签名数据不计入区块大小，也同时提高了区块的容量。

以太坊也使用secp256k1算法，是如何避免这个问题的？ 答案在EIP2中提到，很简单，大家可以自己查阅。 还是那句话：

真要学习，就不要懒！

小结

本节本来计划讲VRF相关的内容，既然看到了这个”小问题“，干脆说一说吧， 正好作为椭圆曲线算法的一个补充。

最近在看一些defi项目，下一节说下uniswap中的做市商算法！

欢迎关注公众号：blocksight

相关阅读：

区块链中的数学-Miller Rabin算法”凭证“解读与实现

区块链中的数学-sm2的密钥协商过程

区块链中的数学-secp256k1行签名和验证过程

区块链中的数学-椭圆曲线加密原理和实例演练

区块链中的数学-二次剩余和欧拉准则