密码学系列 - ECDSA vs. EdDSA：主要区别

ECDSA（椭圆曲线数字签名算法）和 EdDSA（Edwards 曲线数字签名算法）都是基于椭圆曲线的签名算法，但 EdDSA 在多个方面优化了 ECDSA，使其更快、更安全且更易于实现。

ECDSA（Elliptic Curve Digital Signature Algorithm）的工作流程：

密钥生成：
- 选择一个私钥 d d d
- 计算公钥 G P = d G GP = dG GP=dG
签名过程：
- 生成随机数 k k k
- 计算 R = k G R = kG R=kG，取 x x x 坐标作为 r r r
- 计算 s = k − 1 ( H ( m ) + d r ) m o d n s = k^{-1} (H(m) + dr) \mod n s=k−1(H(m)+dr)modn
- 签名为 ( r , s ) (r, s) (r,s)
验证过程：
- 计算 u 1 = H ( m ) s − 1 m o d n u_1 = H(m) s^{-1} \mod n u1=H(m)s−1modn， u 2 = r s − 1 m o d n u_2 = r s^{-1} \mod n u2=rs−1modn
- 计算 P ′ = u 1 G + u 2 P P' = u_1 G + u_2 P P′=u1G+u2P
- 验证 r ′ = x ( P ′ ) m o d n r' = x(P') \mod n r′=x(P′)modn 是否等于 r r r

缺点：

EdDSA（Edwards-curve Digital Signature Algorithm）优化了 ECDSA：

密钥生成：
- 私钥： d d d（通过哈希种子确定）
- 公钥： P = d G P = dG P=dG
签名过程：
- 计算哈希 r = H ( d , m ) m o d n r = H(d, m) \mod n r=H(d,m)modn
- 计算 R = r G R = rG R=rG
- 计算挑战值 k = H ( R , P , m ) m o d n k = H(R, P, m) \mod n k=H(R,P,m)modn
- 计算 s = r + k d m o d n s = r + kd \mod n s=r+kdmodn
- 签名为 ( R , s ) (R, s) (R,s)
验证过程：
- 计算 k = H ( R , P , m ) m o d n k = H(R, P, m) \mod n k=H(R,P,m)modn
- 计算 s G sG sG 和 R + k P R + kP R+kP 是否相等
- 若相等，则签名有效

优势：

**EdDSA 主要优于 ECDSA 的地方：

ECDSA 在比特币、以太坊等区块链上广泛应用，而 EdDSA（如 Ed25519）在新一代区块链（Solana、Zcash）和 TLS 认证中更流行。