1. EIP-155適用前のTransactionHashの求め方

まずは以前のTransactionHashの算出方法について説明します。

2. EIP-155適用後のTransactionHashの求め方

bitcoinではtestnetとmainnetで使うbitcoin addressのフォーマットが違うため、testnetで発行したtransactionはmainnetでは使えません。
(追記）間違いをご指摘いただきました。

Bitcoinのアドレスのバージョンバイトはトランザクションデータには含まれないからそこは作用しない。testnetとmainnetで同じトランザクションが流用できないのは同じTXIDになるUTXOが基本的にないからかと。

— Shigeyuki Azuchi (@techmedia_think) 2018年3月7日

Bitcoinではtransactionを生成するときに、以前のtransactionをinputとして与えるのでmainnetとtestnetではこのinput transactionが変わるため同じtransactionが使えないということでした。

ですが、Ethereumではtestnetで発行したtransactionがそのままmainnetでも使えてしまいます。つまり、リプレイアタックされてしまうわけです。
この問題を解決するためにEIP-155が提案され採択されました。以下ではEIP-155に対応したtransactionの署名方法とtransaction hashの求め方について説明します。

下位互換

EIP-155では下位互換のための仕様も定義されています。
chainId=0として作成されたTransactionは以前の方式で署名されます。そのため現行のnodeに対しても古い形式のTransactionの署名も有効とみなされます。

サンプルコード

EIP-155適用前、適用後のTransactionを生成するためのサンプルコードを以下に提示します。
このサンプルコードはtruffle console上で実行してください。
また、このサンプルコードでは ethereumjs-utilとethereumjs-txを使用しているので事前にnpm installしておいてください。

• EIP-155以前のTransaction(リプレイアタックの対象になるのでaddressを書き換える場合は注意してください)

EthTx = require("ethereumjs-tx")
Util = require("ethereumjs-util")
fromAddress = '0x627306090abab3a6e1400e9345bc60c78a8bef57'
toAddress = '0xf17f52151ebef6c7334fad080c5704d77216b732'
nonce = web3.eth.getTransactionCount(fromAddress)
txparams = {}
txparams.nonce = nonce
txparams.gasPrice = parseInt(web3.toWei(2, "GWei"))
txparams.gas = 21000
txparams.to = toAddress
txparams.value = parseInt(web3.toWei(1, "ether"))
txparams.data = ''
txparams.chainId = 0
tx = new EthTx(txparams)
priv = Buffer.from('c87509a1c067bbde78beb793e6fa76530b6382a4c0241e5e4a9ec0a0f44dc0d3', 'hex')
hash = tx.hash(false) // これがsign対象のhash値
tx.sign(priv)

• EIP-155以降のTransaction

EthTx = require("ethereumjs-tx")
Util = require("ethereumjs-util")
fromAddress = '0x627306090abab3a6e1400e9345bc60c78a8bef57'
toAddress = '0xf17f52151ebef6c7334fad080c5704d77216b732'
nonce = web3.eth.getTransactionCount(fromAddress)
txparams = {}
txparams.nonce = nonce
txparams.gasPrice = parseInt(web3.toWei(2, "GWei"))
txparams.gas = 21000
txparams.to = toAddress
txparams.value = parseInt(web3.toWei(1, "ether"))
txparams.data = ''
txparams.chainId = 19083
tx = new EthTx(txparams)
priv = Buffer.from('c87509a1c067bbde78beb793e6fa76530b6382a4c0241e5e4a9ec0a0f44dc0d3', 'hex')
hash = tx.hash(false) // これがsign対象のhash値
tx.sign(priv)

• 検証のサンプルコード

from address 0x627306090abab3a6e1400e9345bc60c78a8bef57 が復元され正しく署名されていることが確認できます。

pubkey = Util.ecrecover(hash, Util.bufferToInt(tx.v), tx.r, tx.s)
Util.publicToAddress(pubkey)

• ブロードキャスト

以下のコードを実行すれば署名したtransactionをnodeに送信し正しいことを確認できます。

web3.eth.sendRawTransaction(Util.bufferToHex(tx.serialize()))

chainIdとnetworkIdについて

chainIdはnetworkIdではありません。go-ethereumではchainIdはgenesis.jsonで与えられます。networkIdはnode起動時に任意の値を付与できます。
また、web3.jsで取得できるのはnetworkIdでありchainIdではりません。networkの違いはchainIdによって区別されます。
private nodeを立てるときはこの辺りを意識しないと思わぬ落とし穴にはまるかもしれません。

ganacheでの注意点

ソースを深くまで調べるのが難しかったので以下は実際に動かしてみた結果で判断しています。間違いがあればご指摘ください。
ganacheはTestRPCのため、Transactionの署名に関しての検証が結構アバウトです。以下にgo-ethereumとは違う部分を列挙します。

• TransactionHash(=transaction id)には署名まえのhash値を使う。(つまり、1-1や2-1で求めたhash値がtransaction idになる）
• chainIdは持っているが、送られてきたtransactionのchainId(v値から算出される値)が違っていても検証エラーにはならない。
• v値からもとまるchainIdごとにnonceを保持しているみたい？（これは詳しくは調べてない。でも適当なchainIdの場合はnonceの値が違うよってエラーがでた）

まとめ

EIP-155以前と以降で処理が変わっているのですが、EIP-155が下位互換も持っているため、いろいろ混乱してしまいました。
また、ganacheのこの辺の扱いが結構適当なのも輪をかけて混乱させてくれました。。。。
ethereumではtestnetでもmainnetでも同じ秘密鍵がそのまま使えるので危ないなぁとは思っていたのですが、EIP-155ですでにリプレイアタックに対しては対応済みということがわかりました。ただし、chainId=0としてtransactionを発行、署名した場合は以前同様リプレイアタックの対象となるtransactionが発行されてしまうため、安全を考えるならtestnetとmainnetで使うaddressは違うものを利用した方が良さそうです。
EIP-155を見てもchainIdが新しく追加されたものかどうかよくわかりませんでした。（多分以前からあったっぽい？）この辺時間があればまた調べてみようかなぁ。

参考

go-ethereum/transaction_signing.go at master · ethereum/go-ethereum · GitHub
Inside an Ethereum transaction – CodeTract – Medium
accounts - What is a replay attack? - Ethereum Stack Exchange
[Japanese] RLP · ethereum/wiki Wiki · GitHub
EIPs/eip-155.md at master · ethereum/EIPs · GitHub