在以太坊及其构建的去中心化应用(DApp)生态中,签名验证是一项至关重要的安全机制,它确保了只有私钥的持有者才能授权特定的交易或操作,从而保障了用户资产的安全和交易的不可否认性,本文将详细介绍以太坊中验证签名的核心原理、常用方法以及实际应用中的注意事项。

签名验证的核心:椭圆曲线密码学(ECDSA)

以太坊的签名验证基础是椭圆曲线数字签名算法(ECDSA),这个过程包含三个关键角色:

  1. 私钥(Private Key):由用户随机生成并严格保密,用于对交易或消息进行签名。
  2. 公钥(Public Key):由私钥通过椭圆曲线算法派生得出,可以公开,用于验证签名的有效性。
  3. 地址(Address):由公钥进一步通过哈希算法(如Keccak-256)生成,是用户在以太坊网络中的身份标识。

签名验证的核心思想是:给定一个消息、一个签名和一个公钥,如何验证这个签名确实是由与该公钥对应的私钥针对该消息生成的? 如果验证通过,则意味着签名者拥有该私钥,并且消息在签名后未被篡改。

以太坊签名验证的具体步骤

在以太坊中,无论是交易签名还是个人签名(如EIP-712消息签名),验证过程都遵循相似的基本步骤:

  1. 获取原始消息(Message/Transaction Data)

    • 对于交易,这通常是交易的所有字段(nonce, gas price, gas limit, to, value, data等)按照特定顺序和编码方式(RLP)序列化后的原始数据。
    • 对于EIP-712结构化签名,这通常是经过特定编码(如"\x19Ethereum Signed Message:\n" + message.length + message)或EIP-712规范定义的encodeData结果。

  2. 获取签名(Signature)

    • 签名通常是一个65字节的数组,由三个部分组成:r(32字节)、s(32字节)和v(1字节)。v用于恢复公钥的y坐标奇偶性。

  3. 从签名中恢复公钥(Recover Public Key)

    • 这是验证过程的核心步骤之一,利用ECDSA的数学特性,可以从消息的哈希值、签名(r, s, v)中恢复出可能的公钥,由于椭圆曲线的对称性,通常会得到两个可能的公钥,但v值用于确定唯一正确的那个。
    • 以太坊提供了ecrecover预编译合约来实现这一功能,大多数以太坊开发库(如web3.js, ethers.js)都封装了这一底层操作。

  4. 从恢复的公钥生成地址

    将上一步恢复出的公钥进行Keccak-256哈希,然后取后20字节作为地址。

  5. 比较地址

    • 将生成的地址与签名者声称的地址(或交易中的from地址)进行比较。
    • 如果两者一致,则签名验证通过;否则,验证失败。

常用的以太坊签名验证方法

在实际开发中,我们通常不会直接调用ecrecover,而是使用成熟的库来简化操作,以下是几种主流的方法:

使用Web3.js (v1.x)

Web3.js是以太坊较早的JavaScript库,提供了签名验证功能。

const Web3 = require('web3');
const web3 = new Web3();
// 假设我们有以下数据
const message = "Hello, Ethereum!";
const signature = "0x..."; // 65字节的签名
const expectedAddress = "0x..."; // 签名者的地址
// 1. 对消息进行以太坊签名消息格式的处理
const messageHash = web3.utils.sha3("\x19Ethereum Signed Message:\n" + message.length + message);
// 或者对于EIP-712,使用特定编码
// 2. 使用ecrecover恢复地址
const recoveredAddress = web3.eth.accounts.recover(messageHash, signature);
// 3. 比较地址
console.log("Recovered Address:", recoveredAddress);
console.log("Expected Address:", expectedAddress);
if (recoveredAddress.toLowerCase() === expectedAddress.toLowerCase()) {
    console.log("Signature is valid!");
} else {
    console.log("Signature is invalid!");
}

使用Ethers.js (推荐)

Ethers.js是当前更推荐使用的现代、轻量级以太坊库,其API设计更友好,安全性也更高。

const { ethers } = require("ethers");
// 假设我们有以下数据
const message = "Hello, Ethereum!";
const signature = "0x..."; // 65字节的签名
const expectedAddress = "0x..."; // 签名者的地址
// 1. 直接使用ethers.utils.verifyMessage方法
// 注意:ethers会自动处理"以太坊签名消息"的前缀
const recoveredAddress = ethers.utils.verifyMessage(message, signature);
// 2. 比较地址
console.log("Recovered Address:", recoveredAddress);
console.log("Expected Address:", expectedAddress);
if (recoveredAddress.toLowerCase() === expectedAddress.toLowerCase()) {
    console.log("Signature is valid!");
} else {
    console.log("Signature is invalid!");
}

对于EIP-712结构化签名,Ethers.js提供了verifyTypedData方法:

const domain = {
  name: 'Ether Mail',
  version: '1',
  chainId: 1,
  verifyingContract: '0xCcCCccccCCCCcCCCCCCcCcCccCcCCCcCcccccccC'
};
const types = {
  Person: [
    { name: 'name', type: 'string' },
    { name: 'wallet&#
随机配图
39;, type: 'address' }
  ]
};
const value = {
  name: 'Alice',
  wallet: '0x70997970C51812dc3A010C7d01b50e0d17dc79C8'
};
const typedDataSignature = "0x...";
const recoveredAddress = ethers.utils.verifyTypedData(domain, types, value, typedDataSignature);

使用Solidity智能合约内验证

在某些场景下,我们需要在智能合约中验证签名,例如实现一个只有特定地址才能调用的函数,或者允许用户通过签名授权操作。

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
contract SignatureVerifier {
    function verify(
        bytes32 messageHash,
        bytes memory signature,
        address expectedSigner
    ) public pure returns (bool) {
        // 从签名中恢复地址
        address recoveredSigner = _recoverSigner(messageHash, signature);
        // 比较地址
        return recoveredSigner == expectedSigner;
    }
    function _recoverSigner(bytes32 messageHash, bytes memory signature)
        internal
        pure
        returns (address)
    {
        // 检查签名长度是否为65字节
        require(signature.length == 65, "Invalid signature length");
        // 提取r, s, v
        bytes32 r;
        bytes32 s;
        uint8 v;
        assembly {
            r := mload(add(signature, 32))
            s := mload(add(signature, 64))
            v := byte(0, mload(add(signature, 96)))
        }
        // 调整v值(以太坊中v = 27或28,ecrecover期望v = 0或1)
        if (v < 27) {
            v += 27;
        }
        require(v == 27 || v == 28, "Invalid signature v value");
        // 调用ecrecover预编译合约
        return ecrecover(messageHash, v, r, s);
    }
    // 辅助函数:对消息进行以太坊签名消息哈希
    function getMessageHash(string memory message) public pure returns (bytes32) {
        return keccak256(abi.encodePacked("\x19Ethereum Signed Message:\n", bytes(message).length, message));
    }
}

注意事项与最佳实践

  1. 防止重放攻击(Replay Attacks):原始的签名消息如果不包含防重放机制(如nonce、链ID、特定时间戳等),攻击者可能在其他链或同一链的不同时间点重放该签名,EIP-155通过在v参数中加入链ID来防止跨链重放。
  2. 消息哈希的正确性:确保在验证时使用的是与签名时完全相同的消息哈希,对于普通文本消息,记得添加以太坊特定的前缀("\x19Ethereum Signed Message:\n"),对于EIP-712,确保domain和types的定义与签名时一致。
  3. 签名格式的规范性:确保签名是标准的65字节格式