慢霧:Ed25519 實現原理與可延展性問題

Ed25519 是一個基於橢圓曲線的數字簽名算法,它高效,安全且應用廣泛。 TLS 1.3, SSH, Tor, ZCash, WhatsApp 和Signal 中都使用了它。本文主要講解以下幾點:

1. 介紹一點群論知識,目的是讓大家對Ed25519 和其可延展性問題的原理有一種直覺。若想深入理解,還需參考其他資料;

2. 針對rust 庫ed25519-dalek 的1.0.1 版本講解ed25519 的實現;

3. 針對該庫的延展性問題做出解釋。

數學要點回顧

群的定義與性質

群論是抽象代數研究的內容,但抽象代數的一些思想是程序員非常熟悉的。面向對像中的繼承就是一個很好的例子,我們都知道子類繼承了父類後,就能使用父類中定義的方法。可以將抽象代數理解為對一個抽象的數據結構定義了一些性質,由這些性質推導出來的定理對於所有的子類都成立。

沿用剛剛的比喻,來看看群(group)這個數據結構是如何定義的。

由此可以推出許多有意思的定理:

GnrCfe2MKoin7oPqdVev62IIyiyDJubjZtlXp3E4.png

舉幾個例子:

KyozFY4qdI1TW0pOEGCJHfQm2f90QpKp3dV3aZRc.png

被一筆帶過的群論術語

WZDlCTNKgpsyQa9oYvVW8amGFU2WgF2ZU5YhnGpg.png

拉格朗日定理

現在介紹一個非常有意思的定理,這個定理的推導在文末引用的視頻中。

“群的階能被子群的階整除。”

為什麼說這個定理有意思呢,不僅僅因為它的證明過程串起了剛剛介紹的許多知識,還因為下面的結論:

hOYfI3XR1V5MvZ8P3e8fEiECXPLmZ8flahJXaA6C.png

Ed25519 的實現

現在我們來講Ed25519,它是EdDSA 算法的其中一種。 EdDSA 有11 個參數(https://datatracker.ietf.org/doc/html/rfc8032#autoid-3),這些參數的具體選擇對於算法的安全和性能有很大的影響。 Ed25519 的具體選擇請參看鏈接(https://datatracker.ietf.org/doc/html/rfc8032#autoid-9)。

另外,值得一提的是這套算法用到了一個叫Curve25519(https://datatracker.ietf.org/doc/html/rfc7748#autoid-5)的橢圓曲線。對於橢圓曲線,我們只需知道,它上邊有很多很多點,這些點相加能得到新的點,新的點還是在曲線上。這些點和這個加法能形成一個群。注意這裡的橢圓曲線加法(https://www.wikiwand.com/en/Elliptic_curve_point_multiplication)是有特殊定義的。

我們約定如下記法:

DSkXjvUJfQZRk5nxqyMMa4LE0D3fb5JmCChSV6NC.png

這是個交互式的算法,但是沒關係,有一個技巧叫做the Fiat – Shamir heuristic(https://link.springer.com/chapter/10.1007%2F3-540-47721-7_12),它可以把任意的交互式算法轉化成非交互式的算法。最終我們會用非交互式算法。

數字簽名算法都會給我們如下API:

js4m8oRnSJYIPiIfswyd51liEagWr8XueIZYq6hx.png0t8gpuqv6Ne8ZVemAvnNHCAmpuRh6bP79pUi4eJC.pngX1uvWB0B3knsHcdOw7DLFxhqJTgzzOSNj6VfPgpw.png代碼地址(https://github.com/dalek-cryptography/ed25519-dalek/blob/97c22f2d07b3c260726b90c55cd45f34ec34a037/src/public.rs#L322-L355)

可延展性問題

密碼學算法的實現和使用都有非常多要注意的地方。當我們說一個數字簽名算法是安全的,一般指的是即使在攻擊者能夠獲得任意消息的簽名(Chosen Message Attack)的情況下,攻擊者仍然不能偽造簽名。 Ed25519 滿足這個性質,但不代表Ed25519 是絕對安全的。在原始的論文中也提到,可延展性問題是可以接受的,且原始的算法就有這個問題。ez0OhpaYdHgvr0zApCBacjHjUjJSndILagdfIEsT.png956pAWhpFxkDHEZfYEm7lQFjpx1txIID7fTS4HUp.png

Total
0
Shares
Related Posts