ЭдДСА

В с открытым ключом криптографии алгоритм цифровой подписи Эдвардса ( EdDSA ) представляет собой схему цифровой подписи , использующую вариант подписи Шнорра, основанный на скрученных кривых Эдвардса . ^[1] Он разработан так, чтобы работать быстрее, чем существующие схемы цифровой подписи, без ущерба для безопасности. Он был разработан командой, в которую входили Дэниел Дж. Бернштейн , Нильс Дуиф, Таня Ланге , Питер Швабе и Бо-Инь Ян. ^[2] Эталонная реализация является общедоступным программным обеспечением . ^[3]

Ниже приводится упрощенное описание EdDSA, в котором игнорируются детали кодирования целых чисел и точек кривой в виде битовых строк; Полная информация содержится в документах и ​​RFC. ^{[4] [2] [1]}

Схема подписи EdDSA — это выбор: ^{[4] : 1–2  [2] : 5–6  [1] : 5–7}

• конечного поля ${\displaystyle \mathbb {F} _{q}}$ над нечетной основной степенью ${\displaystyle q}$;
• кривой эллиптической ${\displaystyle E}$ над ${\displaystyle \mathbb {F} _{q}}$ чья группа ${\displaystyle E(\mathbb {F} _{q})}$ из ${\displaystyle \mathbb {F} _{q}}$-рациональные точки имеют порядок ${\displaystyle \#E(\mathbb {F} _{q})=2^{c}\ell }$, где ${\displaystyle \ell }$ большое простое число и ${\displaystyle 2^{c}}$ называется кофактором;
• базовой точки ${\displaystyle B\in E(\mathbb {F} _{q})}$ с заказом ${\displaystyle \ell }$; и
• криптографической хэш-функции ${\displaystyle H}$ с ${\displaystyle 2b}$-битовые выходы, где ${\displaystyle 2^{b-1}>q}$ так что элементы ${\displaystyle \mathbb {F} _{q}}$ и точки кривой в ${\displaystyle E(\mathbb {F} _{q})}$ могут быть представлены строками ${\displaystyle b}$ биты.

Эти параметры являются общими для всех пользователей схемы подписи EdDSA. Безопасность схемы подписи EdDSA критически зависит от выбора параметров, за исключением произвольного выбора базовой точки — например, ро-алгоритм Полларда для логарифмов, как ожидается, займет примерно ${\displaystyle {\sqrt {\ell \pi /4}}}$ сложение кривых до того, как он сможет вычислить дискретный логарифм, ^[5] так ${\displaystyle \ell }$ должно быть достаточно большим, чтобы это было неосуществимо, и обычно считается, что оно превышает 2 ²⁰⁰ . ^[6] Выбор ${\displaystyle \ell }$ ограничен выбором ${\displaystyle q}$ поскольку по теореме Хассе , ${\displaystyle \#E(\mathbb {F} _{q})=2^{c}\ell }$ не может отличаться от ${\displaystyle q+1}$ более чем ${\displaystyle 2{\sqrt {q}}}$. Хэш-функция ${\displaystyle H}$ обычно моделируется как случайный оракул при формальном анализе безопасности EdDSA.

В схеме подписи EdDSA

Открытый ключ

Открытый ключ EdDSA — это точка кривой. ${\displaystyle A\in E(\mathbb {F} _{q})}$, закодированный в ${\displaystyle b}$ биты.

Проверка подписи

Подпись EdDSA в сообщении ${\displaystyle M}$ по открытому ключу ${\displaystyle A}$ это пара ${\displaystyle (R,S)}$, закодированный в ${\displaystyle 2b}$ биты точки кривой ${\displaystyle R\in E(\mathbb {F} _{q})}$ и целое число ${\displaystyle 0<S<\ell }$ удовлетворяющее следующему проверочному уравнению, где ${\displaystyle \parallel }$ обозначает конкатенацию :

$${\displaystyle 2^{c}SB=2^{c}R+2^{c}H(R\parallel A\parallel M)A.}$$

Закрытый ключ

Закрытый ключ EdDSA — это ${\displaystyle b}$-битовая строка ${\displaystyle k}$ который следует выбирать равномерно случайным образом. Соответствующий открытый ключ ${\displaystyle A=sB}$, где ${\displaystyle s=H_{0,\dots ,b-1}(k)}$ является наименее значимым ${\displaystyle b}$ кусочки ${\displaystyle H(k)}$ интерпретируется как целое число в Little-endian .

Подписание

Подпись в сообщении ${\displaystyle M}$ детерминированно вычисляется как ${\displaystyle (R,S),}$ где ${\displaystyle R=rB}$ для ${\displaystyle r=H(H_{b,\dots ,2b-1}(k)\parallel M)}$, и $${\displaystyle S\equiv r+H(R\parallel A\parallel M)s{\pmod {\ell }}.}$$ Это удовлетворяет уравнению проверки

$${\displaystyle {\begin{aligned}2^{c}SB&=2^{c}(r+H(R\parallel A\parallel M)s)B\\&=2^{c}rB+2^{c}H(R\parallel A\parallel M)sB\\&=2^{c}R+2^{c}H(R\parallel A\parallel M)A.\end{aligned}}}$$

Ed25519 — это схема подписи EdDSA, использующая SHA-512 (SHA-2) и Curve25519. ^[2] где

• ${\displaystyle q=2^{255}-19,}$
• ${\displaystyle E/\mathbb {F} _{q}}$ это скрученная кривая Эдвардса

$${\displaystyle -x^{2}+y^{2}=1-{\frac {121665}{121666}}x^{2}y^{2},}$$

• ${\displaystyle \ell =2^{252}+27742317777372353535851937790883648493}$ и ${\displaystyle c=3}$
• ${\displaystyle B}$ является уникальной точкой в ${\displaystyle E(\mathbb {F} _{q})}$ чей ${\displaystyle y}$ координата ${\displaystyle 4/5}$ и чей ${\displaystyle x}$ координата положительна.
  «положительный» определяется с точки зрения битового кодирования:
  • «положительные» координаты — это четные координаты (младший значащий бит очищается)
  • «отрицательные» координаты — это нечетные координаты (установлен младший значащий бит)
• ${\displaystyle H}$ это SHA-512 , с ${\displaystyle b=256}$.

Кривая ${\displaystyle E(\mathbb {F} _{q})}$ кривой бирационально эквивалентна Монтгомери , известной как Curve25519 . Эквивалентность ^{[2] [7]} $${\displaystyle x={\frac {u}{v}}{\sqrt {-486664}},\quad y={\frac {u-1}{u+1}}.}$$

Первоначальная команда оптимизировала Ed25519 для семейства процессоров x86-64 Nehalem / Westmere . Проверка может выполняться пакетами по 64 подписи для еще большей пропускной способности. Ed25519 призван обеспечить устойчивость к атакам, сравнимую с качеством 128-битных симметричных шифров . ^[8]

Открытые ключи имеют длину 256 бит, а длина подписи — 512 бит. ^[9]

Ed25519 разработан, чтобы избежать реализаций, использующих условия ветвления или индексы массива, зависящие от секретных данных. ^{[2] : 2  [1] : 40} для смягчения атак по побочным каналам .

Как и в других схемах подписи на основе дискретного журнала, EdDSA использует секретное значение, называемое одноразовым номером, уникальное для каждой подписи. В схемах подписи DSA и ECDSA этот одноразовый номер традиционно генерируется случайным образом для каждой подписи — и если генератор случайных чисел когда-либо сломается и станет предсказуемым при создании подписи, подпись может привести к утечке закрытого ключа, как это произошло с Sony PlayStation 3. прошивкой обновить ключ подписи. ^{[10] [11] [12] [13]}

Напротив, EdDSA детерминированно выбирает одноразовый номер как хэш части закрытого ключа и сообщения. Таким образом, как только закрытый ключ сгенерирован, EdDSA больше не нуждается в генераторе случайных чисел для создания подписей, и нет опасности, что сломанный генератор случайных чисел, используемый для создания подписи, раскроет закрытый ключ. ^{[2] : 8}

Обратите внимание, что существует две попытки стандартизации EdDSA: одна от IETF, информационного агентства. RFC   8032 и один от NIST как часть FIPS 186-5. ^[14] Проанализированы различия между стандартами. ^{[15] [16]} и тестовые векторы доступны. ^[17]

Известные варианты использования Ed25519 включают OpenSSH , ^[18] ГнуПГ ^[19] и различные альтернативы, а также инструмент Signify от OpenBSD . ^[20] Использование Ed25519 (и Ed448) в протоколе SSH стандартизировано. ^[21] В 2023 году окончательная версия стандарта FIPS 186-5 включила детерминированный Ed25519 в качестве утвержденной схемы подписи. ^[14]

• Apple Watch и iPhone используют ключи Ed25519 для IKEv2. взаимной аутентификации ^[22]
• Ботан
• Крипто++
• CryptoNote Криптовалютный протокол
• Dropbear SSH ^[23]
• I2Pd реализация EdDSA ^[24]
• Комплект разработки Java 15
• Libgcrypt
• Минивывеска ^[25] и Minisign Разное ^[26] для MacOS
• NaCl / либнатрий ^[27]
• ОпенSSL 1.1.1 ^[28]
• Python — медленная, но лаконичная альтернативная реализация. ^[29] не включает от атак по побочным каналам защиту ^[30]
• Эталонная реализация Supercop ^[31] ( Язык C со встроенным ассемблером )
• Virgil PKI по умолчанию использует ключи Ed25519. ^[32]
• волкSSL ^[33]

Ed448 — это схема подписи EdDSA, использующая SHAKE256 и Curve448, определенные в RFC   8032 . Также в окончательной версии был утвержден стандарт FIPS 186-5. ^[14]

• Домашняя страница Ed25519