我正在尝试实现基于Diffie Hellman协议的专用集交叉点(PSI)协议。
PSI协议是[Kiss et al. 2017]的第2.2节中提到的协议,
这里已经有一个Java实现:
https://github.com/encryptogroup/MobilePSI/blob/master/PSIServer/src/PSIDH.java
我想用C ++实现它,所以我想到了使用OpenSSL
我要做什么
这大致是这样的:
让G成为diffie hellman的生成器;
爱丽丝有一个DH秘密a和一个元素x,
bob具有DH秘密b和元素y;h是一些函数,它接受任何(位串)元素并将其映射到DH标量。
爱丽丝发送G*a*h(x)(称其为爱丽丝一方)
bob用(G*a*h(x))*b答复(称其为最终爱丽丝的一面)
bob发送G*b*h(y)(称其为bob的一面)
爱丽丝计算(G*b*h(y))*a
然后,爱丽丝比较两个最终值以了解是否为x == y。
代码
(最小的工作示例)
利用G*a是有关Diffie-Hellman的“爱丽丝的公钥”这一事实。
#include <stdlib.h>
#include <stdio.h>
#include <string>
#include <iostream>
#include <openssl/obj_mac.h>
#include <openssl/ec.h>
// list of possible curve names here:
// https://git.openssl.org/gitweb/?p=openssl.git;a=blob;f=crypto/objects/obj_mac.h;h=b5ea7cdab4f84b90280f0a3aae1478a8d715c7a7;hb=46ebd9e3bb623d3c15ef2203038956f3f7213620#l385
// also here:
// https://github.com/openssl/openssl/blob/67e247fad12308e34817e60c9242113c285fb00c/include/openssl/obj_mac.h#L261
#define CURVE_NAME NID_X9_62_prime256v1
class PSIEntity {
public:
BN_CTX* bn_ctx;
const EC_GROUP* ec_group;
EC_KEY* key;
PSIEntity(BN_CTX* c, const EC_GROUP* g){
bn_ctx = c;
ec_group = g;
key = EC_KEY_new();
EC_KEY_set_group(key, ec_group);
EC_KEY_generate_key(key);
}
EC_POINT* encode_and_mask(const unsigned char* x_data){
BIGNUM* x = BN_bin2bn(x_data, 28, NULL);
const EC_POINT* pubkey = EC_KEY_get0_public_key(key);
EC_POINT* result = EC_POINT_dup(pubkey, ec_group);
EC_POINT_mul(ec_group, result, x, NULL, NULL, bn_ctx);
return result;
}
EC_POINT* mask(EC_POINT* p){
EC_POINT* result = EC_POINT_dup(p, ec_group);
const BIGNUM *priv_key = EC_KEY_get0_private_key(key);
EC_POINT_mul(ec_group, result, priv_key, NULL, NULL, bn_ctx);
return result;
}
};
int main(){
EC_GROUP *ec_group = EC_GROUP_new_by_curve_name(CURVE_NAME);
BN_CTX *bn_ctx = BN_CTX_new();
PSIEntity alice(bn_ctx, ec_group);
PSIEntity bob(bn_ctx, ec_group);
// taken from "a_bin" in
// https://wiki.openssl.org/index.php/Elliptic_Curve_Cryptography#Defining_Curves
unsigned char x_data[28] =
{0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,
0xFF,0xFF,0xFF,0xFF,0xFF,0xFE,0xFF,0xFF,0xFF,0xFF,
0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFE};
EC_POINT* alice_side = alice.encode_and_mask(x_data);
EC_POINT* alice_side_final = bob.mask(alice_side);
EC_POINT* bob_side = bob.encode_and_mask(x_data);
EC_POINT* bob_side_final = alice.mask(bob_side);
int final_points_are_different = EC_POINT_cmp(ec_group,
alice_side_final, bob_side_final,
bn_ctx);
if(final_points_are_different==-1){
std::cout << "comparison of final points failed" << std::endl;
}else if(final_points_are_different==1){
std::cout << "final points are different" << std::endl;
}else if(final_points_are_different==0){
std::cout << "final points are equal" << std::endl;
}
int temp_points_are_different = EC_POINT_cmp(ec_group,
alice_side, bob_side,
bn_ctx);
if(temp_points_are_different==-1){
std::cout << "comparison of temp points failed" << std::endl;
}else if(temp_points_are_different==1){
std::cout << "temp points are different" << std::endl;
}else if(temp_points_are_different==0){
std::cout << "temp points are equal" << std::endl;
}
return 0;
}
代码结果和问题
结果是:
final points are different
temp points are equal
我期望相反:
最终点应该相等,因为双方都是相同的
x关于“温度点相等”,这是非常令人不安的:
这意味着我们有
G*a*x == G*b*x吗?如果将
G*a与G*b(公共密钥)进行比较,答案是它们是不同的,那么似乎发生的事是x与EC_POINT_mul的乘积只是“使事情变得混乱”。知道发生了什么吗?
最佳答案
以下代码可以完成这项工作。问题是将错误的参数传递给EC_POINT_mul()。有关EC_POINT_mul()的文档,请参见here。
EC_POINT* encode_and_mask(const unsigned char* x_data){
...
EC_POINT_mul(ec_group, result, NULL, result, x, bn_ctx);
return result;
}
EC_POINT* mask(EC_POINT* p){
...
EC_POINT_mul(ec_group, result, NULL, result, priv_key, bn_ctx);
return result;
}
关于c++ - 使用来自OpenSSL的EC_POINT_mul的奇怪结果,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/47221029/