Los pasos del estándar ECDSA están, conceptualmente, estrechamente relacionados con el esquema DSA. Sin embargo, su problema de logaritmo discreto se construye en el grupo de una curva elíptica. Por lo tanto, la aritmética a realizar para calcular realmente una firma ECDSA es completamente diferente de la utilizada para DSA.

El estándar ECDSA se define para curvas elípticas sobre los campos principales Z_p y campo de Galois GF(2^m). La primera es a menudo preferida en la práctica, y sólo se introducirá esta en lo que sigue.

---

Generaración de llaves

Las llaves para el ECDSA se calculan de la siguiente manera:

1. Usar una curva elíptica E con:
   1. Módulo p.
   2. Coeficientes a y b.
   3. Un punto A que genera un grupo cíclico de primer orden q.
2. Escoger un número aleatorio d tal que 0 < d < q.
3. Calcular B = dA.

La llave privada es d y la llave pública es B.

Tenga en cuenta que se ha configurado un problema de logaritmo discreto donde el entero d es la clave privada y el resultado de la multiplicación escalar, punto B, es la clave pública. Similar al DSA, el grupo cíclico tiene un orden q que debe tener un tamaño de al menos 160 bits o más para mayores niveles de seguridad.

---

Generaración de firma

Al igual que DSA, una firma ECDSA consiste en un par de números enteros (r, s). Cada valor tiene la misma longitud de bits que q, lo que hace que las firmas sean relativamente compactas. Utilizando la clave pública y privada, la firma de un mensaje x se calcula de la siguiente manera:

1. Elija un entero como clave efímera aleatoria k_E con 0 < k_E < q.
2. Calcular R = (k_E)A.
3. Sea r = x_R.
4. Calcular s ≡ (h(x)+d·r)k_E^-1 mod q.

En el paso 3, la coordenada x del punto R se asigna a la variable r. Del mensaje x se obtiene su hash usando la función h< para calcular s. La longitud de salida de la función hash debe ser al menos tan larga como q. Sin embargo, por ahora es suficiente saber que la función hash comprime x y calcula una huella digital que puede ser vista como un representante de x.

---

Verificar firma

El proceso de verificación de la firma es el siguiente:

1. Calcular el valor auxiliar w ≡ s^-1 mod q.
2. Calcule el valor auxiliar u₁ ≡ w·h(x) mod q.
3. Calcule el valor auxiliar u₂ ≡ w·r mod q.
4. Calcule P = u₁A + u₂B.
5. Para verificar la firma:
   Si x_P ≡ r mod q la firma es válida, en caso contrario es inválida.

En el último paso, la notación x_P indica la coordenada x del punto P. El verificador acepta una firma (r, s) sólo si el x_P tiene el mismo valor que el parámetro de firma r módulo q. De lo contrario, la firma debe considerarse no válida.

Por ejemplo

Bob quiere enviar un mensaje a Alice que debe ser firmado con el algoritmo ECDSA. El proceso de firma y verificación es el siguiente:

Bob:
1. Escoge E con p = 17, a = 2, b = 2.
2. A = (5 , 1) con q = 19.
3. Escoge d = 7.
4. Calcular B = dA = 7·(5 , 1) = (0 , 6).
5. Calcular el hash del mensaje h(x) = 26.
6. Escoger k_E = 10.
7. R = 10·(5 , 1) = (7 , 11).
8. r = x_R = 7.
9. s = (26 + 7·7)·2 = 17 mod 19.
Alice:
1. 17^-1 = 9 mod 19.
2. u₁ = 9·26 = 6 mod 19.
3. u₂ = 9·7 = 6 mod 19.
4. P = 6·(5 , 1) + 6·(0 , 6) = (7 , 11).
5. x_P = r mod 19
6. x_P = 7 = r

Por lo tanto la firma es válida.

---

Referencias

1. Paar C., Pelzl J.. (2010). Understanding Cryptography. Nueva York: Springer-Verlag Berlin Heidelberg. pp.282-285