nist p-256椭圆曲线算法

FIDO协议分析1FIDO(v1.0) UAF协议概述摘要：UAF（Universal Authentication Framework）协议用于提供一个统一的、可扩展的认证机制来取代传统密码，避免当前认证方法所存在的缺陷。

这种方法允许RP（Relying Party，依赖方）为特定用户或是交互选择最好的可用身份认证机制，并且保留了可选项以支持对于新兴设备的集成。

本文主要描述FIDO的总体架构，定义UAF协议流和内容，阐述其设计的基本原理。

1.1基本结构本章主要介绍UAF协议的基本结构，下图描述了参与UAF协议的实体。

在UAF协议消息中主要有3个实体直接参与创建或运行过程：●FIDO服务器，运行在RP的基础设施上；●FIDO UAF的客户端，运行在FIDO用户设备上，是用户代理；●FIDO认证器，集成在用户设备中。

1.2协议会话核心UAF协议是由四个概念型会话组成，这四个会话是FIDO UAF客户端与FIDO服务器之间的会话。

●注册：UAF允许RP使用用户的RP账户来注册一个FIDO认证器。

RP可以指定一个支持多种FIDO认证器类型的认证策略。

FIDO UAF客户端只会注册符合认证策略的已存在的认证器。

●认证：UAF允许RP提示最终用户使用先前注册的FIDO认证器进行身份验证。

这个认证由RP判定可在任意时间发起。

●事务确认：除了提供一般的认证提示，UAF还为用户确认具体事务提供支持。

提示包括为最终用户显示给客户端所传递额外信息。

额外认证操作的目的是促使RP确保是用户正在确认事务的细节（并非是向用户代理来认证会话）。

●注销：RP可以触发该会话，用于删除账户相关的认证密钥材料。

1.2.1注册1.2.2认证1.2.3事务确认1.2.4注销1.3协议详解本部分主要介绍UAF协议相关的详细操作。

本节中所有字符串都是由Unicode编码（U+0000···U+007F）。

除非另有规定，否则协议消息内容均以UTF-8编码。

椭圆曲线加密算法实现椭圆曲线加密算法(ECDSA)的实现涉及到椭圆曲线的参数选择、密钥生成、签名和验证等过程。

1. 参数选择：要实现椭圆曲线加密算法，首先需要选择合适的椭圆曲线参数。

常用的椭圆曲线参数有两种类型：素数域曲线和二进制域曲线。

参数选择需要考虑安全性和效率。

常见的参数选择有NIST提供的曲线参数。

2. 密钥生成：椭圆曲线加密算法使用椭圆曲线上的点作为密钥。

生成密钥的步骤如下：- 随机选择一个私钥k，私钥范围在[1, n-1]之间，n为椭圆曲线的阶。

- 计算公钥P = kG，其中G为椭圆曲线上的基点。

- 公钥P和私钥k即为加密算法的密钥对。

3. 签名：签名的过程包括选择消息的哈希算法、生成签名的随机数、计算签名值等步骤。

- 随机选择一个正整数r，使得1<=r<n。

- 计算椭圆曲线上的点R = rG。

- 计算r对于素数n的模反元素s，即s = r^(-1) (mod n)。

- 计算签名值sig = (R, s)，其中R为点，s为整数。

4. 验证：验证签名的过程包括计算验证签名的哈希值、计算验证点和比较验证点与签名值中的点的情况。

- 计算消息的哈希值。

- 计算签名值sig中的s的模反元素w，即w = s^(-1) (mod n)。

- 计算u1 = hash(m)w (mod n)和u2 = Rw (mod n)。

- 计算验证点X = u1G + u2P。

- 如果X的x坐标和签名的R的x坐标相等，验证成功；否则，验证失败。

上述是椭圆曲线加密算法(ECDSA)的基本实现步骤，具体实现过程需要参考具体的编程语言和密码学库的文档和示例代码。

secp256k1椭圆曲线算法【1】椭圆曲线算法简介椭圆曲线算法（Elliptic Curve Cryptography，简称ECC）是一种公钥加密算法，基于椭圆曲线上的数学问题。

这种算法在1985年由W.Duever和V.Shamir提出。

与RSA、DSA等公钥加密算法相比，椭圆曲线算法具有相同的安全级别，但所需的密钥长度较短，因此在实际应用中具有更高的效率。

【2】SECP256k1椭圆曲线参数SECP256k1（Secure Curve 256-bit Key Length 1）是一种常见的椭圆曲线算法，其参数如下：- 曲线方程：y^2 = x^3 + ax + b- 生成元：G = (x, y)- 椭圆曲线阶：n = 2^256 - 1- 素数p：p = 2^256 - 1- 系数a、b：a = 0，b = 7【3】SECP256k1算法应用SECP256k1算法广泛应用于加密货币、网络通信等领域。

以下是SECP256k1算法在比特币（Bitcoin）中的应用示例：1.密钥生成：用户生成一个私钥，对其进行椭圆曲线运算，得到一个对应的公钥。

2.数字签名：用户用自己的私钥对交易信息进行签名，生成数字签名。

3.验证签名：交易接收方使用发送方的公钥验证数字签名，确保交易的真实性和完整性。

【4】安全性与性能分析SECP256k1算法的安全性依赖于椭圆曲线上的数学难题，目前尚未找到高效的破解方法。

然而，随着计算能力的提升，未来可能会出现针对SECP256k1的攻击手段。

因此，研究人员正在寻求更高安全性的椭圆曲线算法，如SECG 曲线。

在性能方面，SECP256k1算法相较于其他公钥加密算法具有较高的运算速度。

但这仍取决于具体的实现和硬件条件。

在实际应用中，可以采用优化算法和硬件加速手段进一步提高性能。

【5】总结SECP256k1椭圆曲线算法作为一种高效、安全的公钥加密算法，在现代密码学和加密货币领域具有重要地位。

1引言自Koblitz和Miller在1985年分别提出椭圆曲线密码体制（Elliptic Curve Cryptography，ECC）以来，由于其安全性高，实现性能优等独特的优势被广泛地应用于信息安全领域，并逐步成为国内外学者研究的重点。

实现椭圆曲线密码体制最耗时的运算是椭圆曲线标量乘法，即kP的计算，其运算速度从整体上决定了ECC的实现效率[1-3]。

研究标量乘法通常可从两个方面来考虑，一方面是研究标量k的有效表示，尽量减少上层运算，如k的三元表示、NAF及w-NAF等表示形式，Dimitrov[4]等人提出将双基数系统[5]应用到椭圆曲线标量乘中，取得了显著的效果。

Mishra[6]等人改进了双基的思想，将其扩展到多基，在素数域上提出了以2，3，和5为底的多基链来计算标量乘的快速算法，取得了更好的效果。

另一方面是对底层域快速算法进行研究，以减少底层域运算量。

在这一方面，Sakai[7]等人利用求逆转化为乘法的思想推导出了FP上计算2k P的公式，极大提高了效率。

Ciet[8]等人利用分母的最小公倍数思想，对2P+Q、3P、3P+Q、4P、4P+Q等底层域运算进行优化。

刘连浩[9]等人对3P+Q算法进行了改进，并同时给出了FP上仿射坐标系下的3k P递推公式，大量减少了求逆运算。

Mishra[6]等人利用除法多项式提出了计算5P的快速算法。

之后徐凯平[10]等人给出了在仿射坐标系下直接计算5k P的快速算法，进一步提高了效率。

邓维勇[11]又进一步改进了计算3k P的算法。

此外，周梦[12]等人也对FP 上计算2k P和3k P的算法进行了一些改进。

所有的这素数域GF(P)上椭圆曲线快速标量乘算法的研究赖忠喜，林君焕，张占军LAI Zhongxi,LIN Junhuan,ZHANG Zhanjun台州职业技术学院机电工程学院，浙江台州318000College of Mechanical and Electrical Engineering,Taizhou Vocational Technical,Taizhou,Zhejiang318000,ChinaLAI Zhongxi,LIN Junhuan,ZHANG Zhanjun.Study on fast method of scalar multiplication on elliptic curves over Prime field GF(P).Computer Engineering and Applications,2015,51（4）：100-104.Abstract：Based on the idea of trading inversions for multiplications,an efficient algorithm is proposed to compute7P directly over prime field FPin terms of affine coordinates,its computational complexity is I+23M+10S,saving one inver-sion compared with traditional method.Moreover,a new method is given to compute7k P directly,which is more efficient than k repeated7P.Finally,apply these new algorithms to scalar multiplication combined with MBNS.The experimental results show that on the elliptic curves recommended by NIST,the efficiency of new algorithm is superior to algorithm given by Xu kai-ping and other traditional algorithms,such as ternary-binary,3-NAF,Dimitro algorithms,and the ration I/M of break-even point can be reduced to2.4.Key words：elliptic curve cryptosystem;scalar multiplication;Multi Base Number System（MBNS）;field operation; affine coordinate摘要：基于求逆转换为乘法的思想，利用仿射坐标提出了直接计算椭圆曲线上7P的算法，该算法运算量为I+ 23M+10S，比现有的算法节省了一次求逆运算，同时也给出了直接计算7k P的快速算法，该算法比重复计算k次7P 更有效。

ecc 密钥协商算法ECC密钥协商算法ECC（Elliptic Curve Cryptography）是一种基于椭圆曲线数学原理的公钥密码算法，广泛应用于安全通信中的密钥协商过程。

本文将介绍ECC密钥协商算法的原理、优势和应用场景。

一、ECC密钥协商算法的原理ECC密钥协商算法基于椭圆曲线离散对数问题，通过利用椭圆曲线上的一些特殊性质，实现了与其他公钥密码算法相比更高的安全性和更小的计算量。

其基本原理如下：1. 椭圆曲线的选择：在密钥协商过程中，首先需要选择一个合适的椭圆曲线。

常用的椭圆曲线有NIST推荐的P-256、P-384和P-521等。

选择合适的椭圆曲线对于安全性和性能都非常重要。

2. 密钥生成：Alice和Bob分别选择自己的私钥和公钥。

私钥是一个随机数，公钥是私钥通过椭圆曲线上的点乘运算得到的。

3. 密钥协商：Alice和Bob交换各自的公钥，并利用对方的公钥和自己的私钥计算出共享密钥。

这个计算过程是基于椭圆曲线上的点乘和点加运算实现的。

二、ECC密钥协商算法的优势相比传统的RSA和Diffie-Hellman等公钥密码算法，ECC密钥协商算法具有以下优势：1. 安全性高：ECC密钥协商算法基于椭圆曲线离散对数问题，该问题的求解难度与传统的大整数分解问题相比更高。

因此，ECC密钥协商算法具有更高的安全性。

2. 计算量小：椭圆曲线上的点乘运算比大整数的乘法运算更快速，因此ECC密钥协商算法在相同的安全性要求下，需要更小的计算量。

这使得ECC在资源受限的环境下具有更好的性能。

3. 存储空间小：由于椭圆曲线上的点可以用更小的数据表示，ECC 密钥协商算法所需的存储空间也更小。

这对于存储密钥信息的设备来说是非常有利的。

三、ECC密钥协商算法的应用场景ECC密钥协商算法在各种安全通信场景中得到了广泛的应用，特别是在移动设备和物联网领域。

以下是几个常见的应用场景：1. 移动通信安全：ECC密钥协商算法可以用于手机通信中的加密和解密过程，保护用户的隐私和数据安全。

ECC椭圆曲线加密算法—加解密（SageMath实现）简介ECC椭圆曲线加密，它的安全性基于椭圆曲线上的离散对数问题。

⽐特币和⽬前的⼆代居民⾝份证都采⽤了ECC作为加密算法。

ECC椭圆曲线函数为：y2=x3+ax+b (mod p)ECC算法如下：椭圆曲线Ep(a,b)（p为模数），基点（⽣成元）G(x,y)，G点的阶数n，私钥k，公钥K(x,y)，随机整数r，明⽂为⼀点m(x,y)，密⽂为两点c1(x,y)和c2(x,y)（其中基点G，明⽂m，密⽂c1、c2都是椭圆曲线E上的点）选择私钥k（k<n）得到公钥K = k*G选择随机整数r（r<n）加密：c1 = m+r*Kc2 = r*G解密：m = c1-k*c2（= c1-r*K)SageMath可以直接计算椭圆曲线加法和椭圆曲线乘法。

椭圆曲线运算（SageMath）：点u(x,y)，整数a，点v(x,y)，点w(x,y)a_inv = inverse_mod(a,p) #a_inv是a关于模p的乘法逆元a_invv = a*uu = v*a_invw = u+v加解密脚本SageMath加密脚本：'''加密椭圆曲线选取时，模数p应是⼀个⼤质数常⽤的有⼏个公开的椭圆曲线，如Secp256k1、Secp256r1等'''p = 115792089210356248762697446949407573530086143415290314195533631308867097853951a = 115792089210356248762697446949407573530086143415290314195533631308867097853948b = 41058363725152142129326129780047268409114441015993725554835256314039467401291E = EllipticCurve(GF(p),[a,b]) #建⽴椭圆曲线EG = E(101981543389703054444906888236965100227902100585263327233246492901054535785571,105947302391877180514060433855403037184838385483621546199124860815209826713886) #选择⼀点作为⽣成元n = G.order() #G的阶数k = 78772200542717449282831156601030024198219944170436309154595818823706214492400K = k*Gr = 3546765m = E(80764032034929976879602863302323059647882062252124869895215418422992624743795,4964654783828069942602279691168356721024126126864424301508238062949726916347) #取E上⼀点m作为明⽂c1 = m+r*Kc2 = r*Gprint(c1)print(c2)SageMath解密脚本：'''解密'''p = 115792089210356248762697446949407573530086143415290314195533631308867097853951a = 115792089210356248762697446949407573530086143415290314195533631308867097853948b = 41058363725152142129326129780047268409114441015993725554835256314039467401291k = 78772200542717449282831156601030024198219944170436309154595818823706214492400E = EllipticCurve(GF(p),[a,b]) #建⽴椭圆曲线Ec1 = E(55527726590533087179712343802771216661752045890626636388680526348340802301667,99976146729305231192119179111453136971828647307627310904093286590128902629941)c2 = E(85460365972589567444123006081329559170090723413178386022601904195400422637884,58249081362527056631776731740177334121295518073095154119886890634279528757192)m = c1-k*c2print(m)其他使⽤Crypto.PublicKey.ECC⽣成ECC密钥：from Crypto.PublicKey import ECC#⽣成ECC密钥key = ECC.generate(curve='NIST P-256') #使⽤椭圆曲线NIST P-256#输出密钥（包括私钥k，基点G）print(key)#公钥（point_x，point_y是基点G的坐标）print(key.public_key())#椭圆曲线print(key.curve)#私钥kprint(key.d)#导出为pem密钥⽂件print(key.export_key(format='PEM'))#导⼊密钥⽂件key = ECC.import_key(f.read())通过fastecdsa.Curve可以查到公开椭圆曲线的参数import fastecdsa.curve as curve#P-384的acurve.P384.a#P-384的bcurve.P384.bProcessing math: 100%#P-384的pcurve.P384.p⼏种公开椭圆曲线参数：#NIST P-256（Secp256r1）#p = 2^224(2^32 − 1) + 2^192 + 2^96 − 1p = 115792089210356248762697446949407573530086143415290314195533631308867097853951a = 115792089210356248762697446949407573530086143415290314195533631308867097853948b = 41058363725152142129326129780047268409114441015993725554835256314039467401291#Secp256k1（⽐特币使⽤）#p = 2^256 − 2^32 − 2^9 − 2^8 − 2^7 − 2^6 − 2^4 − 1 = 2^256 – 2^32 – 977p = 115792089237316195423570985008687907853269984665640564039457584007908834671663a = 0b = 7#NIST P-384#p = 2^384 – 2^128 – 2^96 + 2^32 – 1p = 39402006196394479212279040100143613805079739270465446667948293404245721771496870329047266088258938001861606973112319a = -3b = 27580193559959705877849011840389048093056905856361568521428707301988689241309860865136260764883745107765439761230575#NIST P-521p = 6864797660130609714981900799081393217269435300143305409394463459185543183397656052122559640661454554977296311391480858037121987999716643812574028291115057151a = -3b = 1093849038073734274511112390766805569936207598951683748994586394495953116150735016013708737573759623248592132296706313309438452531591012912142327488478985984 SageMath取椭圆曲线上随机⼀点：E = EllipticCurve(GF(p),[a,b])E.random_point() #取椭圆曲线E上随机⼀点sagemath计算椭圆曲线上的离散对数问题（数据量不能太⼤）a = 1234577b = 3213242p = 7654319E = EllipticCurve(GF(p),[a,b])G = E(5234568, 2287747) #⽣成元#k = 1584718K = E(2366653, 1424308) #公钥#求解私钥，⾃动选择bsgs或Pohlig Hellman算法discrete_log(K,G,operation='+')#求解私钥，Pollard rho算法discrete_log_rho(K,G,operation='+')#求解私钥，Pollard Lambda算法，能够确定所求值在某⼀⼩范围时效率较⾼discrete_log_lambda(K,G,(1500000,2000000),operation='+')使⽤openssl查看ECC的pem密钥⽂件信息#查看ECC私钥信息openssl ec -in p384-key.pem -text -noout#查看ECC公钥信息openssl ec -pubin -in public.pem -text -noout。

2021年2月Journal on Communications February 2021 第42卷第2期通信学报V ol.42No.2安全高效的两方协同ECDSA签名方案王婧1，吴黎兵1,2，罗敏2，何德彪2（1. 武汉大学计算机学院，湖北武汉 430070；2. 武汉大学国家网络安全学院，湖北武汉 430070）摘 要：为了解决签名私钥易泄露和签名权利过度集中的问题，针对基于区块链技术的网络交易系统，提出了一种安全高效的两方协同ECDSA签名方案。

通过预计算一次一密的Beaver三元组，进而利用基于Beaver三元组的安全两方乘法技术，有效避免使用计算繁重的同态加密和通信开销较大的不经意传输等操作，实现高效的两方协同ECDSA签名，保证2个签名参与方在不重构完整签名私钥的情况下输出合法的ECDSA签名。

方案的安全性在通用可组合框架中的混合模型下被证明。

理论分析与实验结果表明，与现有的2种两方协同ECDSA签名方案相比，所提方案在协同签名运行效率和带宽要求方面均具有明显优势。

关键词：私钥泄露；密钥保护；签名效率；两方签名中图分类号：TP309文献标识码：ADOI: 10.11959/j.issn.1000−436x.2021019Secure and efficient two-party ECDSA signature schemeWANG Jing1, WU Libing1,2, LUO Min2, HE Debiao21. School of Computer Science, Wuhan University, Wuhan 430070, China2. School of Cyber Science and Engineering, Wuhan University, Wuhan 430070, ChinaAbstract: To solve the easy disclosure of signature private key and excessive concentration of signature rights, a secure and efficient two-party ECDSA signature scheme was proposed for the blockchain based network trading systems. By pre-computing one-time pad Beaver’s triple, and utilizing the Beaver’s triple based secure two-party multiplication tech-nology, some computationally intensive homomorphic encryption operations and oblivious transfer operations with high communication overhead were effectively avoided, and thereby an efficient two-party ECDSA signing was realized, which could ensure that the two signing parties output valid ECDSA signature without reconstructing the complete pri-vate key. The proposed scheme was proved to be provably secure under the hybrid model of the universally composable framework. Theoretical analysis and simulation results demonstrate that the proposed scheme has significant advantages in terms of signing efficiency and bandwidth requirements when compared with the existing two two-party ECDSA sig-nature schemes.Keywords: private key leakage, key protection, signing efficiency, two-party signature1 引言椭圆曲线数字签名算法（ECDSA, elliptic curve digital signature algorithm）是椭圆曲线加密（ECC, elliptic curve cryptography）与数字签名算法（DSA, digital signature algorithm）的结合，于1999年成为收稿日期：2020−09−02；修回日期：2020−12−05通信作者：吴黎兵，**************基金项目：国家自然科学基金资助项目（No.61932016, No.61972294, No.61772377, No.61672257, No.91746206）；湖北省自然科学基金资助项目（No.2017CFA007）；深圳市科技计划基金资助项目（No.JCYJ20170818112550194）Foundation Items: The National Natural Science Foundation of China (No.61932016, No.61972294, No.61772377, No.61672257, No.91746206), The Natural Science Foundation of Hubei Province (No.2017CFA007), The Science and Technology Planning Project of Shenzhen (No.JCYJ20170818112550194)第2期王婧等：安全高效的两方协同ECDSA签名方案·13·美国国家标准学会（ANSI, America National Stan-dards Institute）标准，并于2000年成为电气和电子工程师协会（IEEE, Institute of Electrical and Elec-tronics Engineers）、美国国家标准与技术研究院（NIST, National Institute of Standards and Technolo-gy）标准[1]。

一、介绍Python是一种强大的编程语言，广泛应用于各个领域。

而secp256r1是一种椭圆曲线加密算法，常用于数字签名和密钥交换等领域。

本文将介绍如何在Python中使用secp256r1进行签名操作，并通过具体示例来演示。

二、secp256r1椭圆曲线算法简介secp256r1椭圆曲线算法是一种非对称加密算法，其基于一个椭圆曲线方程来进行运算。

secp256r1算法使用256位的素数来构建椭圆曲线，具有较高的安全性和效率。

在数字签名中，secp256r1算法可以用来生成公钥和私钥，并通过私钥进行签名，再通过公钥进行验证，实现数字签名的安全性和可靠性。

三、Python中的secp256r1签名操作在Python中，我们可以使用第三方库来实现secp256r1的签名操作，其中最常用的是pycryptodome库。

下面将以pycryptodome库为例，介绍如何在Python中进行secp256r1签名操作。

1. 安装pycryptodome库首先需要安装pycryptodome库，可以通过pip命令来进行安装： ```pip install pycryptodome```2. 生成公钥和私钥在使用secp256r1算法进行签名之前，首先需要生成公钥和私钥。

使用pycryptodome库提供的模块，可以轻松地生成公钥和私钥： ```pythonfrom Crypto.PublicKey import ECCprivate_key = ECC.generate(curve='P-256')public_key = private_key.public_key()```3. 进行签名生成公钥和私钥之后，就可以使用私钥对数据进行签名操作。

下面是一个示例代码：```pythondata = b"example data to be signed"signature = private_key.sign(data, hashfunc='sha256')```4. 验证签名对于已签名的数据，可以使用公钥进行验证操作，确保签名的可靠性：```pythonif public_key.verify(data, signature, hashfunc='sha256'):print("Signature is valid")else:print("Signature is invalid")```四、示例演示为了更好地理解Python中secp256r1签名操作，这里给出一个完整的示例代码，演示整个签名过程的流程：```pythonfrom Crypto.PublicKey import ECCprivate_key = ECC.generate(curve='P-256')public_key = private_key.public_key()data = b"example data to be signed"signature = private_key.sign(data, hashfunc='sha256')if public_key.verify(data, signature, hashfunc='sha256'):print("Signature is valid")else:print("Signature is invalid")```五、总结通过本文的介绍和示例演示，我们了解了如何在Python中使用secp256r1算法进行签名操作。

椭圆曲线数字签名算法（ECDSA）原文The Elliptic Curve Digital Signature Algorithm (ECDSA)CERTICOM公司李鹤帅译（部分内容有删节）摘要椭圆曲线数字签名算法（ECDSA）是使用椭圆曲线对数字签名算法（DSA）的模拟。

ECDSA 于1999年成为ANSI标准，并于2000年成为IEEE和NIST标准。

它在1998年既已为ISO所接受，并且包含它的其他一些标准亦在ISO的考虑之中。

与普通的离散对数问题（discrete logarithm problem DLP）和大数分解问题（integer factorization problem IFP）不同，椭圆曲线离散对数问题（elliptic curve discrete logarithm problem ECDLP）没有亚指数时间的解决方法。

因此椭圆曲线密码的单位比特强度要高于其他公钥体制。

本文将详细论述ANSI X9.62标准及其协议和实现方面的问题。

1、介绍数字签名算法（DSA）在联邦信息处理标准FIPS中有详细论述。

它的安全性基于素域上的离散对数问题。

椭圆曲线密码（ECC）由Neal Koblitz和Victor Miller于1985年发明。

它可以看作是椭圆曲线对先前基于离散对数问题（DLP）的密码系统的模拟，只是群元素由素域中的数换为有限域上的椭圆曲线上的点。

椭圆曲线密码体制的安全性基于椭圆曲线离散对数问题（ECDLP）的难解性。

椭圆曲线离散对数问题远难于离散对数问题，椭圆曲线密码系统的单位比特强度要远高于传统的离散对数系统。

因此在使用较短的密钥的情况下，ECC可以达到于DL系统相同的安全性。

这带来的好处就是计算参数更小，密钥更短，运算速度更快，签名也更加短小。

因此椭圆曲线密码尤其适用于处理器速度、带宽及功耗受限的场合。

ECDSA是椭圆曲线对DSA的模拟。

ECDSA首先由Scott Vanstone在1992年为了响应NIST 对数字签名标准（DSS）的要求而提出。