OpenSSL

密碼學和 SSL/TLS 工具組

Ed448

名稱

EVP_SIGNATURE-ED25519、EVP_SIGNATURE-ED448、Ed25519、Ed448 - EVP_PKEY Ed25519 和 Ed448 支援

說明

Ed25519Ed448 EVP_PKEY 實作支援使用 RFC 8032 中所述的 EdDSA 簽章配置產生金鑰、一次性摘要簽章和摘要驗證。它有與 RFC 8410 相容的私人和公開金鑰格式。

EdDSA 實例

RFC 8032 說明了五個 EdDSA 實例:Ed25519、Ed25519ctx、Ed25519ph、Ed448、Ed448ph。

Ed25519、Ed25519ctx、Ed448 實例稱為 PureEdDSA 配置。對於這三個實例,簽章和驗證程序需要存取完整訊息(而非訊息摘要)。

Ed25519ph、Ed448ph 實例稱為 HashEdDSA 配置。對於這兩個實例,簽章和驗證程序不需要存取完整訊息;它們會在訊息的雜湊上執行。對於 Ed25519ph,雜湊函數為 SHA512。對於 Ed448ph,雜湊函數為輸出長度為 512 位元的 SHAKE256。

Ed25519ctx、Ed25519ph、Ed448、Ed448ph 實例接受選用的 context-string 作為簽章和驗證作業的輸入(而對於 Ed25519ctx,context-string 必須是非空的)。對於 Ed25519 實例,不允許使用非空的 context-string。

ED25519 和 ED448 簽章參數

簽署或驗證期間可以設定兩個參數:EdDSA 實例名稱context-string 值。它們可以透過傳遞 OSSL_PARAM 陣列至 EVP_DigestSignInit_ex() 來設定。

  • "實例" (OSSL_SIGNATURE_PARAM_INSTANCE) <utf8 字串>

    五個字串之一:"Ed25519"、"Ed25519ctx"、"Ed25519ph"、"Ed448"、"Ed448ph"。

    "Ed25519"、"Ed25519ctx"、"Ed25519ph" 僅對 Ed25519 EVP_PKEY 有效。

    "Ed448"、"Ed448ph" 僅對 Ed448 EVP_PKEY 有效。

  • "context-string" (OSSL_SIGNATURE_PARAM_CONTEXT_STRING) <八位元組字串>

    長度最多為 255 的八位元組字串。

這兩個參數都是選用的。

如果未指定實例名稱,則會使用預設的 "Ed25519" 或 "Ed448"。

如果未指定 context-string,則會使用空的 context-string。

請注意,簽署或驗證時 不得 指定訊息摘要名稱。

請參閱 EVP_PKEY-X25519(7) 以取得與 X25519X448 金鑰相關的資訊。

可以使用 EVP_PKEY_CTX_get_params() 擷取下列簽章參數。

  • "演算法識別碼" (OSSL_SIGNATURE_PARAM_ALGORITHM_ID) <八位元組字串>

  • "實例" (OSSL_SIGNATURE_PARAM_INSTANCE) <utf8 字串>

  • "context-string" (OSSL_SIGNATURE_PARAM_CONTEXT_STRING) <八位元組字串>

參數說明請參閱 provider-signature(7)

附註

PureEdDSA 實例不支援其他簽章演算法的串流機制,例如 EVP_DigestUpdate()。要簽署或驗證的訊息必須使用一次性的 EVP_DigestSign() 和 EVP_DigestVerify() 函式傳遞。

HashEdDSA 實例目前不支援串流機制(因此一次性函式也必須與 HashEdDSA 搭配使用)。

呼叫 EVP_DigestSignInit() 或 EVP_DigestVerifyInit() 時,摘要 type 參數必須設為 NULL。

想要使用 Ed25519 或 Ed448 簽署憑證(或其他結構,例如 CRL 或憑證要求)的應用程式,可以使用 X509_sign() 或 X509_sign_ctx() 以一般的方式進行。

Ed25519 或 Ed448 私密金鑰可以使用 EVP_PKEY_new_raw_private_key(3) 直接設定,或使用 PEM_read_bio_PrivateKey(3)(或類似函式)從 PKCS#8 私密金鑰檔案載入。也可以產生全新的金鑰(請參閱以下範例)。設定私密金鑰也會設定關聯的公開金鑰。

Ed25519 或 Ed448 公開金鑰可以使用 EVP_PKEY_new_raw_public_key(3) 直接設定,或使用 PEM_read_bio_PUBKEY(3)(或類似函式)從 PEM 檔案中的 SubjectPublicKeyInfo 結構載入。

自 1.1.1 版起,Ed25519 和 Ed448 可以使用 openssl-speed(1) 應用程式進行測試。有效的演算法名稱為 ed25519ed448eddsa。如果指定 eddsa,則會對 Ed25519 和 Ed448 進行基準測試。

範例

使用 ED25519 EVP_PKEY 結構簽署訊息

void do_sign(EVP_PKEY *ed_key, unsigned char *msg, size_t msg_len)
{
    size_t sig_len;
    unsigned char *sig = NULL;
    EVP_MD_CTX *md_ctx = EVP_MD_CTX_new();

    const OSSL_PARAM params[] = {
        OSSL_PARAM_utf8_string ("instance", "Ed25519ctx", 10),
        OSSL_PARAM_octet_string("context-string", (unsigned char *)"A protocol defined context string", 33),
        OSSL_PARAM_END
    };

    /* The input "params" is not needed if default options are acceptable.
       Use NULL in place of "params" in that case. */
    EVP_DigestSignInit_ex(md_ctx, NULL, NULL, NULL, NULL, ed_key, params);
    /* Calculate the required size for the signature by passing a NULL buffer. */
    EVP_DigestSign(md_ctx, NULL, &sig_len, msg, msg_len);
    sig = OPENSSL_zalloc(sig_len);

    EVP_DigestSign(md_ctx, sig, &sig_len, msg, msg_len);
    ...
    OPENSSL_free(sig);
    EVP_MD_CTX_free(md_ctx);
}

另請參閱

EVP_PKEY-X25519(7) provider-signature(7)EVP_DigestSignInit(3)EVP_DigestVerifyInit(3)

Copyright 2017-2023 The OpenSSL Project Authors. All Rights Reserved.

根據 Apache License 2.0(「授權」)授權。您不得在不遵守授權的情況下使用此檔案。您可以在原始程式碼散佈中的 LICENSE 檔案或 https://www.openssl.org/source/license.html 取得副本。