OpenSC项目中EC和EDDSA公钥编码格式的技术解析

背景介绍

在OpenSC项目中，椭圆曲线(EC)和Edwards曲线数字签名算法(EDDSA)公钥的编码格式一直存在一些技术争议。本文将从密码学标准的角度，深入分析OpenSC项目中公钥编码的实现方式及其合理性。

两种编码格式对比

OpenSC项目在处理EC和EDDSA公钥时，主要采用两种不同的编码方式：

1. SPKI格式：符合PKCS#15和X.509证书标准，采用ASN.1序列结构，包含曲线OID和以BIT STRING格式编码的公钥数据。这种格式被广泛认可为标准实现。

2. OCTET STRING格式：直接将公钥数据编码为ASN.1 OCTET STRING。这种格式主要用于OpenSC内部处理。

标准规范分析

经过深入研究相关密码学标准，我们发现：

1. ANSI X9.62标准明确指出："椭圆曲线公钥(作为OCTET STRING的ECPoint)被映射到subjectPublicKey(一个BIT STRING)"。这表明在SubjectPublicKeyInfo结构中，ECPoint应作为BIT STRING呈现。

2. PKCS#11规范要求CKA_EC_POINT属性应为"ANSI X9.62 ECPoint值的DER编码"。

3. RFC 8410同样规定EdDSA和ECDH的公钥应使用BIT STRING格式。

OpenSC的实现演变

OpenSC对EC公钥的支持始于2010年，最初实现采用了OCTET STRING格式：

static struct sc_asn1_entry c_asn1_ec_pointQ[2] = {
       { "ecpointQ", SC_ASN1_OCTET_STRING, SC_ASN1_TAG_OCTET_STRING, SC_ASN1_ALLOC, NULL, NULL },
       { NULL, 0, 0, 0, NULL, NULL }
};

这种实现方式实际上符合ANSI X9.62对ECPoint的定义，即当不作为SubjectPublicKeyInfo使用时，ECPoint确实应表示为OCTET STRING。

PKCS#15标准的解读

PKCS#15 v1.1标准定义了ECPublicKeyChoice结构：

ECPublicKeyChoice ::= CHOICE {
raw ECPoint,
spki SubjectPublicKeyInfo,
...
}

这表明智能卡上可以存储两种格式的公钥：原始的ECPoint或完整的SubjectPublicKeyInfo。OpenSC对这两种格式的支持都是合理的。

PKCS#11属性的考量

在PKCS#11规范中：

1. CKO_PUBLIC_KEY对象不包含CKA_VALUE属性，但在v2.40和3.0版本中增加了CKA_PUBLIC_KEY_INFO属性。

2. OpenSC目前实现了CKA_VALUE和CKA_SPKI(作为供应商特定属性)，未来可以增加对CKA_PUBLIC_KEY_INFO的支持。

实际应用示例

以YubiKey使用brainpoolP256r1曲线为例，当前输出显示：

EC_POINT: 0441042853adc20c3fb426b0b85483baa870a6f0bcdbb3e17ead4e18552614910ada25118d1ca82b0f44c15b90ee19950b182749a395a2940985ee6d3358a5ea43b434

这里的'04'标签表示OCTET STRING，后跟未压缩格式的EC公钥数据(04||x||y)，这种表示方式在非SubjectPublicKeyInfo场景下是正确的。

结论

经过深入分析密码学标准和OpenSC实现，我们得出以下结论：

1. OpenSC当前对EC和EDDSA公钥的两种编码方式都是正确的，分别适用于不同场景。

2. 在SubjectPublicKeyInfo结构中，公钥必须使用BIT STRING格式。

3. 在原始ECPoint表示和其他内部使用场景中，OCTET STRING格式同样符合标准。

因此，OpenSC现有的实现方式不需要修改，但可以进一步完善对PKCS#11新属性的支持，以提升兼容性。