BouncyCastle C 实现中的 ECDSA 签名验证问题解析

背景介绍

在使用 BouncyCastle C# 库（bc-csharp）实现 XAdES 签名应用时，开发者遇到了 ECDSA 签名验证失败的问题。这个问题特别出现在使用 SHA256WITHECDSA 算法时，而同样的实现在使用 RSA 密钥时却能正常工作。

问题现象

开发者最初尝试使用 bc-xml-security 扩展库来实现 ECDSA 签名，但欧盟 DSS 签名验证工具总是显示"签名不完整"。随后，开发者简化了测试场景，直接使用 BouncyCastle 生成 ECDSA 密钥对进行签名和验证，仍然遇到验证失败的问题。

关键发现

经过深入分析，发现了两个关键问题点：

1. 签名验证流程不完整：在验证签名时，开发者遗漏了向验证器提供原始消息数据的步骤。正确的验证流程应该是：

   • 初始化验证器
   • 提供原始消息数据
   • 执行验证

2. 签名格式选择不当：对于某些验证系统（如欧盟 DSS 验证工具），需要使用"PLAIN-ECDSA"格式而非标准 ECDSA 格式。这两种格式的主要区别在于：

   • SHA256WITHECDSA：使用 ASN.1 编码结构，签名长度可变（通常70+字节）
   • SHA256WITHPLAIN-ECDSA：不使用 ASN.1 结构，签名长度固定（对于 P-256 曲线为64字节）

解决方案

针对上述问题，提供了以下解决方案：

1. 完整的签名验证流程：

// 初始化验证器
signer.Init(false, signingKey.Public);

// 提供原始消息数据
signer.BlockUpdate(testData, 0, testData.Length);

// 执行验证
Boolean retval = signer.VerifySignature(signature);

2. 选择合适的签名算法： 对于需要固定长度签名的系统，应使用：

ISigner signer = SignerUtilities.GetSigner("SHA256WITHPLAIN-ECDSA");

技术要点

1. 曲线选择：示例中使用的曲线 OID "1.2.840.10045.3.1.7" 对应于 P-256/prime256v1/secp256r1 曲线，这是 ECDSA 常用的曲线之一。

2. 密钥生成：正确生成 ECDSA 密钥对的方法包括：

   • 获取曲线参数
   • 设置域参数
   • 初始化密钥生成器
   • 生成密钥对

3. 签名过程：完整的签名过程应包括：

   • 初始化签名器
   • 提供消息数据
   • 生成签名

实际应用建议

1. 在实现数字签名功能时，务必确保验证流程完整，包括提供原始消息数据。

2. 了解目标验证系统的签名格式要求，选择适当的签名算法。对于需要固定长度签名的系统，优先考虑"PLAIN-ECDSA"变体。

3. 测试时可以使用简单的字符串作为测试数据，便于验证基本功能的正确性。

4. 对于 XAdES 等高级签名标准，需要特别注意签名算法的兼容性要求。

通过理解这些关键点，开发者可以避免常见的 ECDSA 签名验证问题，确保数字签名在各种验证系统中都能正确工作。