เอ็ดดีเอสเอ

Q: เอ็ด25519

Ed25519 คือรูปแบบลายเซ็น EdDSA ที่ใช้ SHA-512 (SHA-2) และเส้นโค้งวงรีที่เกี่ยวข้องกับ Curve25519 [ 2 ] โดยที่

เอ็ดดีเอสเอ
ทั่วไป
นักออกแบบ	Daniel J. Bernstein , Niels Duif, Tanja Lange , Peter Schwabe, Bo-Yin Yangและคณะ
เผยแพร่ครั้งแรก	26 กันยายน 2554
รายละเอียด
โครงสร้าง	การเข้ารหัสแบบเส้นโค้งวงรี

ในการเข้ารหัสแบบกุญแจสาธารณะอั ลก อริทึมลายเซ็นดิจิทัลเส้นโค้งเอ็ดเวิร์ด ( EdDSA ) เป็น รูป แบบลายเซ็นดิจิทัลที่ใช้รูปแบบหนึ่งของลายเซ็น Schnorrโดยอิงจาก เส้นโค้งเอ็ดเวิร์ด ที่บิดเบี้ยว^{[ 1 ]} ได้รับการออกแบบให้เร็วกว่ารูปแบบลายเซ็นดิจิทัลที่มีอยู่โดยไม่ลดทอนความปลอดภัย พัฒนาโดยทีมงานที่ประกอบด้วยDaniel J. Bernstein , Niels Duif, Tanja Lange , Peter Schwabe และBo-Yin Yang [ ^{2 ] การ} ใช้งานอ้างอิงเป็นซอฟต์แวร์สาธารณะ^{[ 3 ]}

สรุป

ต่อไปนี้เป็นคำอธิบายแบบย่อของ EdDSA โดยไม่สนใจรายละเอียดของการเข้ารหัสจำนวนเต็มและจุดโค้งเป็นสตริงบิต รายละเอียดทั้งหมดอยู่ในเอกสารและ RFC ^{[ 4 ]}^{[ 2 ]}^{[ 1 ]}

รูปแบบลายเซ็น EdDSAเป็นทางเลือก: ^{[ 4 ]}^{: 1–2}^{[ 2 ]}^{: 5–6}^{[ 1 ]}^{: 5–7}

ของฟิลด์จำกัด เหนือเลขชี้กำลังเฉพาะคี่; $\mathbb {F} _{q}$ $q$
ของเส้นโค้งวงรี ซึ่งกลุ่มของจุดตรรกยะมีอันดับโดยที่เป็นจำนวนเฉพาะขนาดใหญ่ และเรียกว่าโคแฟกเตอร์ $E$ $\mathbb {F} _{q}$ $E(\mathbb {F} _{q})$ $\mathbb {F} _{q}$ $\#E(\mathbb {F} _{q})=2^{c}\ell$ $\ell$ $2^{c}$
ของจุดฐานที่มีลำดับ; และ $B\in E(\mathbb {F} _{q})$ $\ell$
ของฟังก์ชันแฮชเข้ารหัสลับ ที่มีเอาต์พุต -บิต โดยที่องค์ประกอบของและจุดโค้งในสามารถแทนด้วยสตริงของบิตได้ $H$ $2b$ $2^{b-1}>q$ $\mathbb {F} _{q}$ $E(\mathbb {F} _{q})$ $b$

พารามิเตอร์เหล่านี้เป็นพารามิเตอร์ทั่วไปสำหรับผู้ใช้ทุกคนของระบบลายเซ็น EdDSA ความปลอดภัยของระบบลายเซ็น EdDSA ขึ้นอยู่กับตัวเลือกของพารามิเตอร์อย่างมาก ยกเว้นการเลือกจุดฐานตามอำเภอใจ—ตัวอย่างเช่นอัลกอริทึม rho ของ Pollard สำหรับลอการิทึมคาดว่าจะใช้การบวกเส้นโค้งประมาณก่อนที่จะสามารถคำนวณลอการิทึมแบบไม่ต่อเนื่องได้^[⁵^]ดังนั้นต้องมีขนาดใหญ่พอที่จะทำให้เป็นไปไม่ได้ และโดยทั่วไปจะถือว่าเกิน $2$ $200$ ^[ 6 ^] การเลือกนั้นถูกจำกัดโดยการเลือกเนื่องจากตามทฤษฎีบทของ Hasseไม่สามารถแตกต่างจาก^ได้มากกว่าฟังก์ชันแฮชโดยปกติจะถูกจำลองเป็นออราเคิลแบบสุ่มในการวิเคราะห์ความปลอดภัยของ EdDSA อย่างเป็นทางการ ${\sqrt {\ell \pi /4}}$ $\ell$ $\ell$ $q$ $\#E(\mathbb {F} _{q})=2^{c}\ell$ $q+1$ $2{\sqrt {q}}$ $H$

ภายใต้โครงการลงนามรับรองของ EdDSA

กุญแจสาธารณะ: กุญแจสาธารณะของ EdDSA คือจุดบนเส้นโค้งซึ่งเข้ารหัสเป็นบิต $A\in E(\mathbb {F} _{q})$ $b$
การตรวจสอบลายเซ็น: ลายเซ็น EdDSA บนข้อความโดยใช้กุญแจสาธารณะคือคู่ของจุดบนเส้นโค้งและจำนวนเต็มที่สอดคล้องกับสมการตรวจสอบต่อไปนี้ ซึ่งเข้ารหัสเป็น บิต โดยที่ หมายถึงการต่อกัน : $M$ $A$ $(R,S)$ $2b$ $R\in E(\mathbb {F} _{q})$ $0<S<\ell$ $\parallel$

$2^{c}SB=2^{c}R+2^{c}H(R\parallel A\parallel M)A.$

กุญแจส่วนตัว: คีย์ส่วนตัวของ EdDSA คือสตริงขนาด n บิตซึ่งควรเลือกแบบสุ่มอย่างสม่ำเสมอ คีย์สาธารณะที่เกี่ยวข้องคือโดยที่ คือ บิตที่มีค่าน้อยที่สุด ของ ซึ่ง ถูกตีความว่าเป็นจำนวนเต็มในรูปแบบ little- endian $b$ $k$ $A=sB$ $s=H_{0,\dots ,b-1}(k)$ $b$ $H(k)$
การลงนาม: ลายเซ็นบนข้อความจะถูกคำนวณอย่างแน่นอนโดยที่และซึ่งสอดคล้องกับสมการตรวจสอบ $M$ $(R,S),$ $R=rB$ $r=H(H_{b,\dots ,2b-1}(k)\parallel M)$ $S\equiv r+H(R\parallel A\parallel M)s{\pmod {\ell }}.$

${\begin{aligned}2^{c}SB&=2^{c}(r+H(R\parallel A\parallel M)s)B\\&=2^{c}rB+2^{c}H(R\parallel A\parallel M)sB\\&=2^{c}R+2^{c}H(R\parallel A\parallel M)A.\end{aligned}}$

เอ็ด25519

Ed25519คือรูปแบบลายเซ็น EdDSA ที่ใช้SHA-512 (SHA-2) และเส้นโค้งวงรีที่เกี่ยวข้องกับCurve25519 ^{[ 2 ]}โดยที่

$q=2^{255}-19,$
$E/\mathbb {F} _{q}$ คือเส้นโค้งเอ็ดเวิร์ดส์ที่บิดเบี้ยว

$-x^{2}+y^{2}=1-{\frac {121665}{121666}}x^{2}y^{2},$

$\ell =2^{252}+27742317777372353535851937790883648493$ และ $c=3$
$B$ $B$ เป็นจุดเฉพาะที่มีพิกัดเป็นและพิกัดเป็นค่าบวก คำว่า "บวก" ถูกกำหนดในแง่ของการเข้ารหัสบิต: $E(\mathbb {F} _{q})$ $E(\mathbb {F} _{q})$ $y$ $y$ $4/5$ $4/5$ $x$ $x$
- พิกัด "บวก" คือพิกัดคู่ (บิตที่มีค่าน้อยที่สุดจะถูกล้าง)
- พิกัด "ติดลบ" คือพิกัดคี่ (บิตที่มีค่าน้อยที่สุดถูกตั้งค่า)
$H$ คือSHA-512พร้อมด้วย. $b=256$

เส้นโค้งเอ็ดเวิร์ดส์บิดเบี้ยว เรียกว่าedwards25519 [ ⁷^]^[¹^]และเทียบเท่ากับ เส้นโค้งมอนต์โกเมอรี ที่เรียกว่าCurve25519 ใน ^{ลักษณะ}ไบราชันนัลความเทียบเท่าคือ^[²^]^[⁷^]^[⁸^] $E/\mathbb {F} _{q}$ $x={\frac {u}{v}}{\sqrt {-486664}},\quad y={\frac {u-1}{u+1}}.$

ผลงาน

ทีมเดิมได้ปรับแต่ง Ed25519 ให้เหมาะสมกับ ตระกูลโปรเซสเซอร์ x86-64 Nehalem / Westmere การตรวจสอบสามารถทำได้เป็นชุดๆ ละ 64 ลายเซ็น เพื่อให้ได้ปริมาณงานที่สูงขึ้น Ed25519 มีจุดประสงค์เพื่อให้ความต้านทานต่อการโจมตีเทียบเท่ากับ การเข้ารหัสแบบสมมาตร 128 บิตคุณภาพสูง^{[ 9 ]}

คีย์สาธารณะมีความยาว 256 บิต และลายเซ็นมีความยาว 512 บิต^{[ 10 ]}

การเข้ารหัสที่ปลอดภัย

Ed25519 ออกแบบมาเพื่อหลีกเลี่ยงการใช้งานที่ใช้เงื่อนไขสาขาหรือดัชนีอาร์เรย์ที่ขึ้นอยู่กับข้อมูลลับ^{[ 2 ]}^{: 2}^{[ 1 ]}^{: 40}เพื่อลดการโจมตีช่องทางด้านข้าง

เช่นเดียวกับรูปแบบลายเซ็นแบบลอการิทึมแยกส่วนอื่นๆ EdDSA ใช้ค่าลับที่เรียกว่าnonceซึ่งเป็นเอกลักษณ์เฉพาะสำหรับแต่ละลายเซ็น ในรูปแบบลายเซ็นDSAและECDSAนั้น nonce นี้จะถูกสร้างขึ้นแบบสุ่มสำหรับแต่ละลายเซ็น และหากตัวสร้างเลขสุ่มถูกทำลายและสามารถคาดเดาได้เมื่อสร้างลายเซ็น ลายเซ็นนั้นอาจรั่วไหลคีย์ส่วนตัวได้ ดังเช่นที่เกิดขึ้นกับคีย์ลงนามการอัปเดตเฟิร์มแวร์ของ Sony PlayStation 3 ^{[ 11 ]}^{[ 12 ]}^{[ 13 ]}^{[ 14 ]}

ในทางตรงกันข้าม EdDSA เลือก nonce อย่างแน่นอนโดยใช้แฮชของส่วนหนึ่งของคีย์ส่วนตัวและข้อความ ดังนั้น เมื่อสร้างคีย์ส่วนตัวแล้ว EdDSA ก็ไม่จำเป็นต้องใช้ตัวสร้างเลขสุ่มอีกต่อไปเพื่อสร้างลายเซ็น และไม่มีอันตรายใดๆ ที่ตัวสร้างเลขสุ่มที่เสียหายซึ่งใช้ในการสร้างลายเซ็นจะเปิดเผยคีย์ส่วนตัว^{[ 2 ]}^{: 8}

ความไม่สอดคล้องกันของการกำหนดมาตรฐานและการนำไปใช้

โปรดทราบว่ามีความพยายามในการกำหนดมาตรฐานสำหรับ EdDSA สองประการ ประการหนึ่งจาก IETF ซึ่งเป็นRFC 8032 เชิงข้อมูล และอีกประการหนึ่งจาก NIST ซึ่งเป็นส่วนหนึ่งของ FIPS 186-5 ^{[ 15 ]}ความแตกต่างระหว่างมาตรฐานได้รับการวิเคราะห์แล้ว^{[ 16 ]}^{[ 17 ]}และมีเวกเตอร์ทดสอบให้ใช้งานได้^{[ 18 ]}

ซอฟต์แวร์

การใช้งานที่โดดเด่นของ Ed25519 ได้แก่OpenSSH [ ¹⁹^] GnuPG ^[²⁰^]และทางเลือกต่างๆ รวมถึง เครื่องมือ signifyโดยOpenBSD ^[²¹ ] การใช้งาน Ed25519 (และ Ed448) ในโปรโตคอล SSH ได้รับการกำหนดมาตรฐานแล้ว^[²²^]ในปี 2023 เวอร์ชันสุดท้ายของ มาตรฐาน FIPS 186-5 ได้รวม Ed25519 แบบกำหนดได้ไว้เป็นรูป ^แบบ^ลายเซ็นที่ได้รับการอนุมัติ^[¹⁵^]

Apple WatchและiPhoneใช้คีย์ Ed25519 สำหรับการตรวจสอบความถูกต้องร่วมกันของ IKEv2 ^{[ 23 ]}
โบตัน
คริปโต++
โปรโตคอล สกุลเงิน ดิจิทัล CryptoNote
Dropbear SSH ^{[ 24 ]}
การใช้งาน I2Pd ของ EdDSA ^{[ 25 ]}
ชุดพัฒนา Java 15
ลิบก์คริปต์
Minisign ^{[ 26 ]}และ Minisign Miscellanea ^{[ 27 ]}สำหรับmacOS
NaCl / libsodium ^{[ 28 ]}
OpenSSL 1.1.1 ^{[ 29 ]}
Python - การใช้งานทางเลือกที่ช้าแต่กระชับ^{[ 30 ]}ไม่รวมการป้องกันการโจมตีช่องทางด้านข้าง^{[ 31 ]}
การใช้งานอ้างอิง Supercop ^{[ 32 ]} ( ภาษา Cพร้อมแอสเซมเบลอร์ แบบอินไลน์ )
Virgil PKI ใช้คีย์ Ed25519 เป็นค่าเริ่มต้น^{[ 33 ]}
wolfSSL ^{[ 34 ]}

เอ็ด448

Ed448คือรูปแบบลายเซ็น EdDSA ที่กำหนดไว้ในRFC 8032โดยใช้ฟังก์ชันแฮชSHAKE256และเส้นโค้งวงรีedwards448 ซึ่งเป็น เส้นโค้ง Edwards (ที่ไม่บิดเบี้ยว) ที่เกี่ยวข้องกับCurve448ในRFC 7748 Ed448 ยังได้รับการอนุมัติในเวอร์ชันสุดท้ายของมาตรฐาน FIPS 186-5 อีกด้วย^[¹⁵^]

ลิงก์ภายนอก

หน้าหลัก Ed25519

[ 1 ]

2 ] การ

[ 3 ]

[ 4 ]

[

[

7

[

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

19

[

[

[

[ 23 ]

[ 24 ]

[ 25 ]

[ 26 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]