Impossible de devenir cohérent TZ2 (SECP256PK1) Signature

Question

Impossible de devenir cohérent TZ2 (SECP256PK1) Signature

4

116 2019-05-04

J'essaie de reproduire l'algorithme de signature utilisépour l'adresse TZ2 qui utilise la courbeelliptique SECP256PK1.

Monproblèmeest que lorsquej'essaie de vérifier si la signatureest valide avec le Tezos CLI,j'ai des résultats queje nepeuxpasexpliquer. Je remarqueenviron lamoitié de la signatureest valideet l'autremoitién'estpas valide.

Voicimamiseen œuvre de Python:

  Import ECDSA
Import Hashlib
importerbase58

# Clépublique énumérée ci-dessous
x=b '\ xe72q \ x9d \ xc5 & amp;? \ xbf \ x7f \ x07 @ \t & amp; \ xa2 \ xe6h \ xcd \ x10 \ xa74 \ x81b=zx ~ \ xab \ xdb4 \ xe4 \ x15 \ x86'
y=b "\ x85 \ xa6 \ xdc \ x82 \ xed > \ xe \ xa6 \n \ x7f \ xcbi \ xf5 \ xb6 '\ xc0 \ x11 \ x8f \ xc9 \ xa3 \ xf6 \ x82.u \ xe48 \ xe \ xa9 \ x90 \ xbe \ xc8 "
pub=x + y

# Clé secrète énumérée ci-dessous
secret=bytes.fromhex ("D163C550ee8703C161B86663F250A4ABFFF1Afceb0A47D1AD1B8D645D33FE7DB9A")
Message=B "Test"

DEF TB (L):
    Retour B ''. Joindre (carte (Lambda x: x.to_bytes (1,'Big'),L))

defbase58_encode (v: octets) - > octets:
    RETURN BASE58.B58ENCODE_CHECK (TB ([13,115,101,19,63]) + V)

DEF BLAKE2B_32 (par):
    retour hashlib.blake2b (par,digest_size=32)

digest=hashlib.blake2b (message,digest_size=32) .Digest ()
sk=ecdsa.signingkey.from_string (secret,courbe=ECDSA.SECP256K1)
sig=sk.sign_digest (Digest)

vk=ecdsa.verifingkey.from_string (pub,courbe=ecdsa.secp256k1)
vk.default_hashfunc=blake2b_32
Imprimer ("Vérifier SIG Digest:",vk.verify_digest (SIG,Digest))
Imprimer ("Vérifier SIG:",vk.verify (SIG,B "TEST"))
Imprimer ("Tezos Sig:",base58_encode (SIG))

exemple de sortie d'échec:

  Vérifiez SIG Digest: True
Vérifiez SIG:true
Tezos SIG: B'SPSIG15ZTBZB8VVAFDPKZXLDZ4GYNXTPOYNIXDJ2PKZD6XOLKGE7OPKZH4VXBBWMYFD6TSO5KQ8YFDCDSXXQVneqezj3PJ '

exemple de sortie réussie:

  Vérifiez SIG Digest: True
Vérifiez SIG: True
Tezos SIG: B'SPSIG1BHECPE4XMECU65I4ROTDC9RFLFBVB2ZW4FAADAV2ZGFCULXTOXP7MMMNWDWF1JUSFN5U8QPG3CI9SD6HF1YEGN7F1VFJX '

Voici le détail de la clé de débogage quej'utilise dans le script:

clé secrète: spsk31ng6k6thtilpbt91ywswwspn4qejv4w3tn67hfkpnwnztrdtg

clépublique: sppk7b4turq2t9rhplfasz6mkbczkzfibjctqsmorvld5gsgcduvkuf

clépublique hachage: tz2bftypeyrzxd5aibchbxn3wczhx7bqbmbmbQ

commande queje fonctionnepour vérifier la validité demes signatures

  Tezos-cli Vérifiez que 0x74657374 a été signépar Test_Accountpourproduire SPSIG15ZTBZB8VAFDPKZXLDZ4GyNextPoyniRaxDj2PkzD6xolkge7OPKZH4VXBBWMYFD6TSO5KQ8YGNKVCDSXXQVNEZEZJ3PJ

Quelqu'unpeut-ilm'expliquer ce quine vapas avec lamiseen œuvre ci-dessus?

I am trying to reproduce the signing algorithm used for tz2 address which uses the secp256pk1 elliptic curve.

My problem is that when I try to verify if the signature is valid with the tezos cli, I get results that I can't explain. I notice about half of the signature are valid and the other half is invalid.

Here is my python implementation of it:

import ecdsa
import hashlib
import base58

# Public Key listed below
x = b'\xe72q\x9d\xc5&?\xbf\x7f\x07@\t&\xa2\xe6H\xcd\x10\xa74\x81B=ZX~\xab\xdb4\xe4\x15\x86'
y = b"\x85\xa6\xdc\x82\xed>\xee\xa6\n\x7f\xcbI\xf5\xb6 '\xc0\x11\x8f\xc9\xa3\xf6\x82.u\xe48\xee\xa9\x90\xbe\xc8"
pub = x + y

# Secret Key listed below
secret = bytes.fromhex("d163c550ee8703c161b8663f250a4abff1afceb0a47d1ad1b8d645d33fe7db9a")
message = b"test"

def tb(l):
    return b''.join(map(lambda x: x.to_bytes(1, 'big'), l))

def base58_encode(v: bytes) -> bytes:
    return base58.b58encode_check(tb([13, 115, 101, 19, 63]) + v)

def blake2b_32(by):
    return hashlib.blake2b(by, digest_size=32)

digest = hashlib.blake2b(message, digest_size=32).digest()
sk = ecdsa.SigningKey.from_string(secret, curve=ecdsa.SECP256k1)
sig = sk.sign_digest(digest)

vk = ecdsa.VerifyingKey.from_string(pub, curve=ecdsa.SECP256k1)
vk.default_hashfunc = blake2b_32
print("Verify sig digest: ", vk.verify_digest(sig, digest))
print("Verify sig: ", vk.verify(sig, b"test"))
print("Tezos sig: ", base58_encode(sig))

Example of failing output:

Verify sig digest:  True
Verify sig:  True
Tezos sig:  b'spsig15ztbzB8VVaFdPkzxLDz4GYNxTpoYniRaXDdj2pKZD6xoLkGE7ofKZH4VxBbWMYFd6TSo5kQ8YgNkVCDSXxqvnEQEzJ3PJ'

Example of successful output:

Verify sig digest:  True
Verify sig:  True
Tezos sig:  b'spsig1bHeCpE4XMECu65i4RoTdC9RFLfbVB2zW4fAadaV2zgfcTuLXtoxP7MMNWDWF1JUSfN5u8qPg3Ci9SD6Hf1YeGN7F1vFjx'

Here is the detail of the debugging key I am using in the script:

Secret Key: spsk31nG6K6tHTiLPbT91YWSwwSPn4Qejv4w3Tn67hfKPNWNztRDTg

Public Key: sppk7b4TURq2T9rhPLFaSz6mkBCzKzfiBjctQSMorvLD5GSgCduvKuf

Public Key Hash: tz2BFTyPeYRzxd5aiBchbXN3WCZhx7BqbMBq

Command that I run to check the validity of my signatures

tezos-cli check that 0x74657374 was signed by test_account to produce spsig15ztbzB8VVaFdPkzxLDz4GYNxTpoYniRaXDdj2pKZD6xoLkGE7ofKZH4VxBbWMYFd6TSo5kQ8YgNkVCDSXxqvnEQEzJ3PJ

Can someone explain to me what is wrong with the implementation above?

2 réponses

votes

- 2
- 2019-05-06
Pas une réponse directe,mais Solution de contournement

Python-ECDSA LIBgénère des signaturesnon déterministespar défaut (voirplus sur HTTPS://tools.ietf.org/html/rfc6979#section-3.2 ).Chaquefois que vousexécutez votre code,vous obtenez unnouveau résultat. J'ai vécu ceproblèmeet éventuellementpasser aupaquet SECP256K1 (il y avaitplusieurs raisons supplémentaires de cela): https://github.com/baking-bad/Pytezos/BLOB/41F983C40CDB2A4445A88ECCF86A2EDDAA24E555/PYTEZOS/CRYPTO.PY # L213

Not a direct answer, but workaround

python-ecdsa lib generates non-deterministic signatures by default (see more at https://tools.ietf.org/html/rfc6979#section-3.2). Each time you run your code you get a new result. I've experienced this issue and eventually switched to secp256k1 package (there were several extra reasons for that): https://github.com/baking-bad/pytezos/blob/41f983c40cdb2a4445a88eccf86a2eddaa24e555/pytezos/crypto.py#L213
- Merci de votre réponse,Michael,demesexpériences,Tezosn'exigepas de signature déterministe (il semblegénérer des signatures déterministes).Quelles sont les autres raisonspour lesquelles vous avez changé de signatures déterministes?
  
  Thanks for your answer Michael, from my experiments Tezos do not require deterministic signature (It seems to generate deterministic signatures though). What are the other reasons you switched to deterministic signatures?
  - 1
  - 2019-05-06
  - Simon B.Robert
- C'est vrai,j'aiessayé d'émuler lenœud CLIet que c'était le seulmoyen de vous assurer quetoutfonctionne commeprévu via desinformations) L'autremotif quej'aipassée de Python-ECDSA à SECP256K1est que la vérification de la vérificationne peut être construite qu'àpartir de la clépublique dans saforme complète X + Y,tandis qu'uneforme compacteest utilisée dans Tezos.Il suffit d'éviter lamiseen œuvrepersonnalisée de la dérivation y,bien que cene soitpas si compliqué :)
  
  That's right, I tried to emulate node cli and that was the only way to make sure everything works as expected via unittests) The other reason I switched from python-ecdsa to secp256k1 is that VerifyingKey can only be constructed from the public key in its full form X+Y, while a compact form is used in Tezos. Just avoiding custom implementation of Y derivation, although it's not that complicated :)
  - 0
  - 2019-05-07
  - Michael Zaikin
- Pas une réponse directe à votre question cependant,monmauvais.
  
  Not a direct answer to your question though, my bad.
  - 0
  - 2019-05-07
  - Michael Zaikin

Tom · Accepted Answer · 2019-05-05

3

2019-05-05

Leproblèmeimmédiat semble être que vousn'obtenezpas de signatures dans laforme "inférieure".Cela semblemieux:

 sk.sign_digest(digest, sigencode=ecdsa.util.sigencode_string_canonize)

Jene peuxpasgarantir l'exactitude du codegénéralement.

The immediate problem seems to be that you are not getting signatures in "lower S" form. This seems better:

sk.sign_digest(digest, sigencode=ecdsa.util.sigencode_string_canonize)

I cannot vouch for the correctness of the code generally.