curve25519-dalek中的Scalar模运算mul/sub/add/div

最新推荐文章于 2021-07-15 23:15:16 发布
最新推荐文章于 2021-07-15 23:15:16 发布
阅读量405 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mutourend/article/details/96112144
版权

https://github.com/dalek-cryptography/curve25519-dalek/blob/master/src/backend/serial/u64/scalar.rs

1. mul 模乘运算

a*b mod l的算法依据为:
1)计算m=ab;
2)计算m的montgomery_reduce值:t=mR-1 mod l;
3)计算n=tR2
4)计算n的montgomery_reduce值:r=nR-1 mod l = (mR-1)R2R-1 mod l = ab mod l。
由此最终获得的r值即为a*b mod l

    /// Compute `a * b` (mod l)
    #[inline(never)]
    pub fn mul(a: &Scalar52, b: &Scalar52) -> Scalar52 {
        let ab = Scalar52::montgomery_reduce(&Scalar52::mul_internal(a, b));
        Scalar52::montgomery_reduce(&Scalar52::mul_internal(&ab, &constants::RR))
    }

2. sub 模减运算

0=<a,b<l, a-b mod l,实际的逻辑为:
1)若a>b,则a-b mod l = a-b;
2)若a<b, 则a-b mod l = a-b+l.

代码中的模减运算很巧妙,不需要做a>b的判断,直接通过borrow和carry位来实现。
注意Scalar52为[u64;5]数组,且采用little-endian方式排布,每个元素仅用其中的52个bit。

 	/// Compute `a - b` (mod l)
    pub fn sub(a: &Scalar52, b: &Scalar52) -> Scalar52 {
        let mut difference = Scalar52::zero();
        let mask = (1u64 << 52) - 1;

        // a - b
        let mut borrow: u64 = 0;
        for i in 0..5 {
            borrow = a[i].wrapping_sub(b[i] + (borrow >> 63)); // (a[i]-b[i]+borrow/2^63) mod 2^64
            difference[i] = borrow & mask; //直接取52位。
        }
		//当a>=b时,最高位的(borrow >> 63) 为0;否则(borrow >> 63) 为1
        // conditionally add l if the difference is negative
        let underflow_mask = ((borrow >> 63) ^ 1).wrapping_sub(1); //当a>=b时,underflow_mask为0;否则为2^64-1
        let mut carry: u64 = 0;
        for i in 0..5 {
            carry = (carry >> 52) + difference[i] + (constants::L[i] & underflow_mask); // 当a>=b时, a-b mod l = difference;否则 a-b mod l = difference+L
            difference[i] = carry & mask; //每个元素只存储52位,超过的通过carry>>52表示进位。
        }

        difference
    }

在上述代码中增加调试信息,可由输出结果进行反向验证。

zyd a:Scalar52: [4503599627370495, 4503599627370495, 4503599627370495, 4503599627370495, 35184372088831], b:Scalar52: [3224898173688058, 3370928136179116, 1182880079308587, 1688835920473363, 14937922189349], mask:4503599627370495
zyd i:0, borrow:1278701453682437, borrow>>63:0, difference:Scalar52: [1278701453682437, 0, 0, 0, 0]
zyd i:1, borrow:1132671491191379, borrow>>63:0, difference:Scalar52: [1278701453682437, 1132671491191379, 0, 0, 0]
zyd i:2, borrow:3320719548061908, borrow>>63:0, difference:Scalar52: [1278701453682437, 1132671491191379, 3320719548061908, 0, 0]
zyd i:3, borrow:2814763706897132, borrow>>63:0, difference:Scalar52: [1278701453682437, 1132671491191379, 3320719548061908, 2814763706897132, 0]
zyd i:4, borrow:20246449899482, borrow>>63:0, difference:Scalar52: [1278701453682437, 1132671491191379, 3320719548061908, 2814763706897132, 20246449899482]
zyd underflow_mask:0
zyd i:0, carry:1278701453682437, carry>>52:0, difference:Scalar52: [1278701453682437, 1132671491191379, 3320719548061908, 2814763706897132, 20246449899482]
zyd i:1, carry:1132671491191379, carry>>52:0, difference:Scalar52: [1278701453682437, 1132671491191379, 3320719548061908, 2814763706897132, 20246449899482]
zyd i:2, carry:3320719548061908, carry>>52:0, difference:Scalar52: [1278701453682437, 1132671491191379, 3320719548061908, 2814763706897132, 20246449899482]
zyd i:3, carry:2814763706897132, carry>>52:0, difference:Scalar52: [1278701453682437, 1132671491191379, 3320719548061908, 2814763706897132, 20246449899482]
zyd i:4, carry:20246449899482, carry>>52:0, difference:Scalar52: [1278701453682437, 1132671491191379, 3320719548061908, 2814763706897132, 20246449899482]
zyd a:Scalar52: [3224898173688058, 3370928136179116, 1182880079308587, 1688835920473363, 14937922189349], b:Scalar52: [4503599627370495, 4503599627370495, 4503599627370495, 4503599627370495, 35184372088831], mask:4503599627370495
zyd i:0, borrow:18445465372255869179, borrow>>63:1, difference:Scalar52: [3224898173688059, 0, 0, 0, 0]
zyd i:1, borrow:18445611402218360236, borrow>>63:1, difference:Scalar52: [3224898173688059, 3370928136179116, 0, 0, 0]
zyd i:2, borrow:18443423354161489707, borrow>>63:1, difference:Scalar52: [3224898173688059, 3370928136179116, 1182880079308587, 0, 0]
zyd i:3, borrow:18443929310002654483, borrow>>63:1, difference:Scalar52: [3224898173688059, 3370928136179116, 1182880079308587, 1688835920473363, 0]
zyd i:4, borrow:18446723827259652133, borrow>>63:1, difference:Scalar52: [3224898173688059, 3370928136179116, 1182880079308587, 1688835920473363, 4483353177471013]
zyd underflow_mask:18446744073709551615
zyd i:0, carry:3896813007023336, carry>>52:0, difference:Scalar52: [3896813007023336, 3370928136179116, 1182880079308587, 1688835920473363, 4483353177471013]
zyd i:1, carry:7287592461284141, carry>>52:1, difference:Scalar52: [3896813007023336, 2783992833913645, 1182880079308587, 1688835920473363, 4483353177471013]
zyd i:2, carry:1182880080676389, carry>>52:0, difference:Scalar52: [3896813007023336, 2783992833913645, 1182880080676389, 1688835920473363, 4483353177471013]
zyd i:3, carry:1688835920473363, carry>>52:0, difference:Scalar52: [3896813007023336, 2783992833913645, 1182880080676389, 1688835920473363, 4483353177471013]
zyd i:4, carry:4500945363515429, carry>>52:0, difference:Scalar52: [3896813007023336, 2783992833913645, 1182880080676389, 1688835920473363, 4500945363515429]
res: Scalar52: [1278701453682437, 1132671491191379, 3320719548061908, 2814763706897132, 20246449899482], zyd:Scalar52: [3896813007023336, 2783992833913645, 1182880080676389, 1688835920473363, 4500945363515429]

注意,sub返回的值不一定小于 l l l,可能大于。如下例,当用 0 − b , b &gt; l 时 , 0 − ( 0 − b ) = b 0-b, b&gt;l时,0-(0-b)=b 0b,b>l0(0b)=b
在这里插入图片描述

3. add 模加运算

0=<a,b<l, a+b mod l的思路为,直接求取sum=a+b,然后再调用上面的sub函数来求取sum mod l.

	/// Compute `a + b` (mod l)
    pub fn add(a: &Scalar52, b: &Scalar52) -> Scalar52 {
        let mut sum = Scalar52::zero();
        let mask = (1u64 << 52) - 1;

        // a + b
        let mut carry: u64 = 0;
        for i in 0..5 {
            carry = a[i] + b[i] + (carry >> 52);
            sum[i] = carry & mask;
        }

        // subtract l if the sum is >= l
        Scalar52::sub(&sum, &constants::L)
    }

4. div 模除运算

div模除运算可转换位模倒数后的模乘运算(见 1. mul 模乘运算)。
模倒数的计算方法可参见curve25519-dalek中的Montgomery inversion算法

参考资料:
[1] https://blog.csdn.net/mutourend/article/details/95613967
[2] https://www.youtube.com/watch?v=2UmQDKcelBQ

mutourend
关注
curve25519-dalek, 在Ristretto和Curve25519上,组操作的纯 Rust 实现.zip
09-17
curve25519-dalek, 在Ristretto和Curve25519上,组操作的纯 Rust 实现 curve25519-dalek 在和Curve25519上对组操作的纯铁锈实现进行收费。 curve25519-dalek 是一个图书馆,提供对爱德华兹和蒙哥马利形式的群操作,并在prime的order上。cur
curve25519-dalek的MontgomeryPoint及与Scalar乘积
mutourend的博客
07-16 665
1. Curve25519定义 The Curve25519 function is Fp-restricted x-coordinate scalar multiplication on E(Fp2 ), where p is the prime number p = 2255 − 19 and E is the elliptic curve y2 = x3 + 486662x2 + x. 对应...
curve25519-dalek:Ristretto和Curve25519上组操作的纯Rust实现
03-25
曲线25519-达力克 Ristretto和Curve25519上组操作的纯Rust实现。 curve25519-dalek是一个库,提供对Curve25519的Edwards和Montgomery形式以及原始Ristretto组的组操作。 curve25519-dalek并非旨在提供任何特定加密协议的实现。 而是,那些协议的实现(例如和 )应使用curve25519-dalek作为库。 curve25519-dalek旨在提供一个干净安全的级API,以用于实现各种基于ECC的加密协议,例如密钥协议,签名,匿名凭据,范围证明和零知识证明系统。 特别是, curve25519-dalek实现了Ristretto,它从非素数阶的Edwards曲线构造了素数阶组。 这提供了Edwards曲线算术的速度和安全性好处,而没有因辅因子相关的抽象失配带来的陷阱。 文献资料 该semver稳定
curve25519-dalekfield reduce原理分析
mutourend的博客
07-30 697
对于Curve25519,其Field域内的module Fp = 2255-19。 对于64位系统 /// A `FieldElement51` represents an element of the field /// \\( \mathbb Z / (2\^{255} - 19)\\). /// /// In the 64-bit implementation, a `FieldEleme...
有限域内的平方根求解原理解析及curve25519-dalek的实现
mutourend的博客
08-01 1699
1. 引言 求解xxx值,满足: x2≡a(modp)x^2 \equiv a\quad (mod \quad p)x2≡a(modp) 其ppp为odd素数。 需要做两层判断: 1)在有限域ppp内,是否存在平方值为aaa的解; 2)若存在解,则相应的解xxx值如何计算? 对于1),可通过Legendre_symbol来判断aaa是否为quadratic residue modulo p....
curve25519-dalek-organism-在ristretto255和Curve25519上进行纯铁操作的组操作-Rust开发
05-27
curve25519-dalek在Ristretto和Curve25519上执行组操作的纯Rust实现。 curve25519-dalek是提供组操作的库curve25519-dalek在Ristretto和Curve25519上的组操作的纯Rust实现。 curve25519-dalek是一个库,提供对Curve...
X25519纯Rust的椭圆曲线Diffie-Hellman密钥交换,使用curve25519-dalek。.zip
03-26
在这个纯Rust实现,我们使用了名为`curve25519-dalek`的库,这是一个专门针对X25519算法设计的高效且可靠的库。 首先,我们要理解X25519和ECDH的基础。ECDH是一种非对称加密方法,它允许两个通信方在不共享任何...
ed25519-dalek:在Rust快速高效地进行ed25519签名和验证
02-05
ed25519-dalek库将Curve25519与ed25519签名算法相结合,提供了在Rust进行密钥交换和签名验证的一站式解决方案。椭圆曲线密码学的效率使得这些操作可以在有限的计算资源上快速执行。 **4. RustRust标签** ...
x25519-dalek — X25519密钥交换的Pure Rust实现-Rust开发
05-27
x25519-dalek x25519椭圆曲线Diffie-Hellman密钥交换的纯Rust实现,curve25519-dalek提供了曲线操作。 x25519-dalek的x25519椭圆曲线Diffie-Hellman密钥交换的纯Rust实现,curve25519-dalek提供了曲线操作。 此包装...
curve25519-dalek并行运算性能
mutourend的博客
08-26 486
export RUSTFLAGS="-C target_cpu=native" cargo bench --no-default-features --features "std avx2_backend" 与之前博客Rust curve25519-dalek密码学库性能解析对比可发现,采用avx2并行计算,性能提升明细。(测试环境为1CPU,4G内存Ubuntu16.04虚拟机) R...
Rust curve25519-dalek密码学库性能解析
mutourend的博客
07-11 666
https://github.com/dalek-cryptography/curve25519-dalek cargo bench Running target/release/deps/dalek_benchmarks-53fcb1faec6cb376 Scalar inversion time: [12.133 us 12.341 us 12.595 us] F...
Curve25519 Field域2^255-19内的快速运算
mutourend的博客
07-19 1413
1. 引言 对于Curve25519,其Field域内的module Fp = 2255-19。 若采用常规的Montgomery reduce算法,其运算性能并不是最优的。 如要求某整数 u mod (2^255-19),可将m整数用多项式做如下表示: u=∑iuixi,其,ui=n∗2⌈25.5i⌉,n∈Nu=\sum_{i}^{}u_ix^i,其,u_i=n*2^{\left \lce...
dalek-Curve25519 avx2并行计算学习笔记
mutourend的博客
09-02 592
1. 引言 Curve25519 Field Element在有限域2255−192^{255}-192255−19域内,采用64bit 串行计算时,采用的是5个FieldElement51元素来表示一个Element;若采用32-bit AVX2并行计算,则每个Element由10个FieldElement2526元素来表示。 即对于某Curve25519 Field Element a,对应的...
curve25519-dalek的basepoint各种表示
mutourend的博客
08-08 775
1. curve25519以montgomery表示下的basepoint 《Elliptic Curves for Security rfc7748》说明,curve25519对应的形式和basepoint如下: 因此对应的代码有: /// The X25519 basepoint, in `MontgomeryPoint` format. pub const X25519_BASEPOIN...
Linux 编写简单的add/sub/mul/div函数,并打包成动/静态库,并分别使用。
雪碧柠七的博客
03-25 1481
以下为add/sub/mul/div代码:add.c#include "add.h" int add(int a,int b) { return a+b; }add.h#pragma once #include &lt;stdio.h&gt; int add(int a,int b); sub.c#include "sub.h" int sub(int a,int b) { ...
密码学系列 - 椭圆曲线 ECC - ED25519
搬砖魁首的博客
03-02 1万+
密码学 - 椭圆曲线 椭圆曲线是一系列满足如下方程的点: y^2 = x^3 + ax + b 并且 4a^3 + 27b^2 != 0 特性 封闭性:因为椭圆曲线上的点相加,还是椭圆曲线上的点。 结合律:P+(Q+R) = (P+Q)+R = 0 单位元: 单位元是0, 即 P+0 = P 逆元: 一个椭圆曲线上的点P的逆元,是相对x坐标的对称点 交换律:P+Q = Q+P 标量乘法 n...
运算指令——ADDSUBMULDIV
热门推荐
qq_27328855的博客
07-15 2万+
ADD指令:加法 ADD S1 S2 D DADD S1 S2 D,D+1 SUB指令:减法 SUB S1 S2 D DSUB S1 S2 D,D+1 MUL:乘法 MUL S1 S2 D DMUL S1 S2 D,D+1,D+2,D+3 DIV:除法 DIV S1 S2 D,D1 ADDSUB输出16位,占一个 DADD,DSUB输出32位,占两个 MULDIV输出32位,占两个 DMUL,DDIV输出64位,占四个 ...
OpenSSL密码库算法笔记——第3.1.2章
云与山的彼端
02-24 1万+
减的思想与加类似:先做大整数的减法,然后再调用BN_nnmod做运算。 ─────────────────────────────────────── int BN_mod_sub(BIGNUM *r, const BIGNUM *a, const BIGNUM *b, const BIGNUM *m) 功能: 运算 输入: a,b,m【数】 输出: r ←...
大数运算——加减运算
ps824959330的博客
06-15 4567
一、 vs平台利用c语言对大数运算加减运算进行了编码。二、编码思想条件:大数a   大数b    p     结果r1、加法首先,判断a、b这两个大数是否小于p。如果a和b都小于p,则:若a+b&gt;p,r=a+b-p;若a+b&lt;p,r=a+b; 如果a和b其有一个大于p或者都大于p,先将a或b减去p,直到a和b都小于p为止,a1=(a-p)&lt;p,b1=(b-p)...
BQ3060操作代码 C语言
最新发布
06-10
BQ3060是一款高精度电池管理芯片,具有多种保护功能和通信接口,如I2C、SPI等。以下是BQ3060的简单操作代码示例(使用I2C接口): ``` #include #define BQ3060_ADDR 0x16 // BQ3060的I2C地址 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值