简单理解，数字签名就是计算机信息的数字签名，可以实现与文档/文件签名相同的功能：验证签名人的身份和签名时间，确认签名信息的正确性。数字签名通常用于发送方和接收方对相互传输的信息内容没有保密要求的情况(即明文传输)。数字签名有两种基本的生成方式：加密算法生成和签名算法生成。

加密算法生成的数字签名是基于哈希函数的，RSA和DSA签名算法属于这一类。Hash H是一个公共函数，用于将任意长度的信息M1映射成固定长度的值H(M1)，H(M1)也称为消息摘要。散列函数H的特征在于，当消息M1改变为M2时，H(M1)不等于H(M2)，即消息的任何改变都会改变消息摘要。发送方用公钥算法和自己的私钥对信息的哈希值进蓑衣网小编2022行加密，生成数字签名，即S=Sig(PrivateKey，Hash(M))，这是公钥算法的加密函数Sig()的私钥。接收方对签名的验证过程是：计算D=ver(S，PublicKey)是否与Hash(M)一致，Ver()是解密函数，PublicKey是公钥。

签名算法生成的数字签名如下：假设明文消息标记为M，sig()为签名算法，密钥标记为X，则数字签名为S=Sig(x，M)，已知M和S时无法反算X；验证算法为：Ver(x，S，M)，可视为三输入的三元函数。当S=Sig(x，M)时，Ver(x，S，M)的输出为真，否则为假，即当另一个消息N被伪造时，Ver(x，S，N)的输出必然为假。

我们知道数学题很难，也很容易。利用大量的计算能力和时间，困难的问题可能得不到正确的结果。为了实现“已知M和S时不能反算X”的思想，我们需要找到一些合适的数学问题。

椭圆曲线数字签名算法

椭圆曲线数字签名算法基于椭圆曲线密码体制，签名方法类似于DSA数字签名算法。需要知道三个基础知识：有限域上的椭圆曲线，明文嵌入椭圆曲线，椭圆曲线上的离散对数问题。思路如下：

以上思路，加上ElGamal密码和DSA数字签名算法(略)，开始走上真正理解椭圆曲线数字签名的道路。在高效密码组标准的网站上有关于椭圆曲线密码和椭圆曲线签名的详细文档。比特币使用参数为secp256k1的Koblitz曲线(除了比特币将可选密钥限制为Koblitz椭圆曲线加密签名密钥的子集)。secp256k1的前三个字母是高效加密标准的缩写。P是指椭圆曲线参数有限域内素数的特征值，256是P的位数，K代表Koblitz曲线。secp256k1椭圆曲线有限域的阶p为：

p=2 256-2 32-2 9-2 8-2 7-2 6-2 4-1，

其他曲线的第一象限集合，集合的生成元和私钥。2t是不小于log (p)的最大整数，log是2的底对数。对于比特币中基于椭圆曲线密码体制的签名，这个数字大约是2 ^ 128，相当于发现SHA256碰撞的难度，破解时间是天文数字。目前攻击椭圆曲线上的离散对数问题的另一种方法是攻击任意循环群上的离散对数问题的大步进法。其计算时间复杂度为：

o(exp(log(Pmax(1/2)))

其中Pmax是椭圆曲线形成的循环群的阶的最大素因子。时间复杂度反映了执行算法所需的时间随着输入规模的增加而增加的幅度。很明显，这是一个指数时间，所以理论上，破解比特币的数字签名算法ECDSA目前还是一个NP问题，即没有多项式时间的解。只要比特币中的签名存在可能的安全风险，就可以修改曲线参数，增加破解问题的难度。在未知P问题是否与NP问题相同的情况下，NP问题仍然是现代加密技术安全性的基本假设，这意味着问题本身是如此复杂，我们永远无法解决。

比特币中的数字签名

在本系列上一篇文章的最后，我们说比特币是一种基于密码学的计算机协议。不得不承认，一个可悲的事实是，比特币既不是数字货币，也不是一条信息，更不是哈希求逆的解。本质上只是一个庞大的信息链账本，由无数(比特币)交易账单组成。每个交易码中都有表示交易金额的数字，看起来数字让人感觉更踏实。这个账本的工作原理大致是这样的：当同学A决定向同学B支付一个BTC时，他会从自己的比特币钱包中选择一个或几个“输入”，在这个交易信息上签名，并广播到比特币网络。网络中的一些其他事务与coinbase事务一起形成一个块。代表计算机计算能力的网络矿工验证(比特币)块中每笔交易的数字签名的有效性，无误后进行确认。同时矿工从coinbase交易输出中获得(比特币)奖励，交易码输出正常，接收者收到比特币。

比特币交易的代码可以简单记录为以下三个部分，标记，输入，输出：

第一行是这个事务的标记，“in”后面是事务的输入部分，“out”后面是事务的输出部分。假设这是Alice发给Bob的一个交易代码，Alice的数字签名是这样生成的：