curve25519之torsion points

最新推荐文章于 2022-11-04 15:51:24 发布
最新推荐文章于 2022-11-04 15:51:24 发布
阅读量630 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mutourend/article/details/98868659
版权

1. Torsion points定义

在书《Elliptic Curves Number Theory And Cryptography 2n》中有定义:
在这里插入图片描述
满足上述定义,具有相同 n n n值的point,组成了n-torsion group。

2. curve25519的

对于Curve25519,其Montgomery form为:
v 2 = u 3 + 486662 u 2 + u , q = 2 255 − 19 v^2=u^3+486662u^2+u, q=2^{255}-19 v2=u3+486662u2+u,q=225519
curve25519 co-factor为8 sage脚本验证:

sage: q=2^255-19
sage: E=EllipticCurve(GF(q),[0,486662,0,1,0])
sage: n=E.cardinality()
sage: n
57896044618658097711785492504343953926856930875039260848015607506283634007912
sage: factor(n)
2^3 * 7237005577332262213973186563042994240857116359379907606001950938285454250989
sage: r=2^252+27742317777372353535851937790883648493
sage: n/r
8

对应的magma脚本为:

clear;
E := EllipticCurve([GF(2^255-19) | 0,486662,0,1,0]);
Order(E);
FactoredOrder(E);

57896044618658097711785492504343953926856930875039260848015607506283634007912
[ <2, 3>, <72370055773322622139731865630429942408571163593799076060019509382854\
54250989, 1> ]

n = h r , h = 8 , r = 2 252 + 27742317777372353535851937790883648493 ( r 为 素 数 ) n=hr,h=8,r=2^{252}+27742317777372353535851937790883648493(r为素数) n=hr,h=8,r=2252+27742317777372353535851937790883648493(r)
由此可知,curve25519具有两组torsion subgroup,分别为:h-torsion subgroup 和 r-torsion subgroup。

实际使用时,为了保证elliptic curve的安全性,应尽量使所使用的point在r-torsion subgroup,而不是在h-torsion subgroup。具体原因参加之前的博客ristretto对cofactor>1的椭圆曲线(如Curve25519等)的兼容(含Curve25519 cofactor的sage验证)

curve25519-dalek中通过is_torsion_freeis_small_order来分别point区分是在r-torsion subgroup还是在h-torsion subgroup:

    /// Determine if this point is of small order.
    ///
    /// # Return
    ///
    /// * `true` if `self` is in the torsion subgroup \\( \mathcal E[8] \\);
    /// * `false` if `self` is not in the torsion subgroup \\( \mathcal E[8] \\).
    ///
    /// # Example
    ///
    /// ```
    /// use curve25519_dalek::constants;
    ///
    /// // Generator of the prime-order subgroup
    /// let P = constants::ED25519_BASEPOINT_POINT;
    /// // Generator of the torsion subgroup
    /// let Q = constants::EIGHT_TORSION[1];
    ///
    /// // P has large order
    /// assert_eq!(P.is_small_order(), false);
    ///
    /// // Q has small order
    /// assert_eq!(Q.is_small_order(), true);
    /// ```
    pub fn is_small_order(&self) -> bool {
        self.mul_by_cofactor().is_identity()
    }

    /// Determine if this point is “torsion-free”, i.e., is contained in
    /// the prime-order subgroup.
    ///
    /// # Return
    ///
    /// * `true` if `self` has zero torsion component and is in the
    /// prime-order subgroup;
    /// * `false` if `self` has a nonzero torsion component and is not
    /// in the prime-order subgroup.
    ///
    /// # Example
    ///
    /// ```
    /// use curve25519_dalek::constants;
    ///
    /// // Generator of the prime-order subgroup
    /// let P = constants::ED25519_BASEPOINT_POINT;
    /// // Generator of the torsion subgroup
    /// let Q = constants::EIGHT_TORSION[1];
    ///
    /// // P is torsion-free
    /// assert_eq!(P.is_torsion_free(), true);
    ///
    /// // P + Q is not torsion-free
    /// assert_eq!((P+Q).is_torsion_free(), false);
    /// ```
    pub fn is_torsion_free(&self) -> bool {
        (self * &constants::BASEPOINT_ORDER).is_identity()
    }
}

代码中有:

/// The 8-torsion subgroup \\(\mathcal E [8]\\).
///
/// In the case of Curve25519, it is cyclic; the \\(i\\)-th element of
/// the array is \\([i]P\\), where \\(P\\) is a point of order \\(8\\)
/// generating \\(\mathcal E[8]\\).
///
/// Thus \\(\mathcal E[4]\\) is the points indexed by `0,2,4,6`, and
/// \\(\mathcal E[2]\\) is the points indexed by `0,4`.
pub const EIGHT_TORSION: [EdwardsPoint; 8] = EIGHT_TORSION_INNER_DOC_HIDDEN;

/// Inner item used to hide limb constants from cargo doc output.
#[doc(hidden)]
pub const EIGHT_TORSION_INNER_DOC_HIDDEN: [EdwardsPoint; 8] = [
    EdwardsPoint {
        X: FieldElement51([0, 0, 0, 0, 0]),
        Y: FieldElement51([1, 0, 0, 0, 0]),
        Z: FieldElement51([1, 0, 0, 0, 0]),
        T: FieldElement51([0, 0, 0, 0, 0]),
    }
    ,
    EdwardsPoint {
        X: FieldElement51([358744748052810, 1691584618240980, 977650209285361, 1429865912637724, 560044844278676]),
        Y: FieldElement51([84926274344903, 473620666599931, 365590438845504, 1028470286882429, 2146499180330972]),
        Z: FieldElement51([1, 0, 0, 0, 0]),
        T: FieldElement51([1448326834587521, 1857896831960481, 1093722731865333, 1677408490711241, 1915505153018406]),
    }
    ,
    EdwardsPoint {
        X: FieldElement51([533094393274173, 2016890930128738, 18285341111199, 134597186663265, 1486323764102114]),
        Y: FieldElement51([0, 0, 0, 0, 0]),
        Z: FieldElement51([1, 0, 0, 0, 0]),
        T: FieldElement51([0, 0, 0, 0, 0]),
    }
    ,
    EdwardsPoint {
        X: FieldElement51([358744748052810, 1691584618240980, 977650209285361, 1429865912637724, 560044844278676]),
        Y: FieldElement51([2166873539340326, 1778179147085316, 1886209374839743, 1223329526802818, 105300633354275]),
        Z: FieldElement51([1, 0, 0, 0, 0]),
        T: FieldElement51([803472979097708, 393902981724766, 1158077081819914, 574391322974006, 336294660666841]),
    }
    ,
    EdwardsPoint {
        X: FieldElement51([0, 0, 0, 0, 0]),
        Y: FieldElement51([2251799813685228, 2251799813685247, 2251799813685247, 2251799813685247, 2251799813685247]),
        Z: FieldElement51([1, 0, 0, 0, 0]),
        T: FieldElement51([0, 0, 0, 0, 0]),
    }
    ,
    EdwardsPoint {
        X: FieldElement51([1893055065632419, 560215195444267, 1274149604399886, 821933901047523, 1691754969406571]),
        Y: FieldElement51([2166873539340326, 1778179147085316, 1886209374839743, 1223329526802818, 105300633354275]),
        Z: FieldElement51([1, 0, 0, 0, 0]),
        T: FieldElement51([1448326834587521, 1857896831960481, 1093722731865333, 1677408490711241, 1915505153018406]),
    }
    ,
    EdwardsPoint {
        X: FieldElement51([1718705420411056, 234908883556509, 2233514472574048, 2117202627021982, 765476049583133]),
        Y: FieldElement51([0, 0, 0, 0, 0]),
        Z: FieldElement51([1, 0, 0, 0, 0]),
        T: FieldElement51([0, 0, 0, 0, 0]),
    }
    ,
    EdwardsPoint {
        X: FieldElement51([1893055065632419, 560215195444267, 1274149604399886, 821933901047523, 1691754969406571]),
        Y: FieldElement51([84926274344903, 473620666599931, 365590438845504, 1028470286882429, 2146499180330972]),
        Z: FieldElement51([1, 0, 0, 0, 0]),
        T: FieldElement51([803472979097708, 393902981724766, 1158077081819914, 574391322974006, 336294660666841]),
    }
];

    #[test]
    fn test_eight_torsion() {
        for i in 0..8 {
            let Q = constants::EIGHT_TORSION[i].mul_by_pow_2(3);
            assert!(Q.is_valid());
            assert!(Q.is_identity());
        }
    }

    #[test]
    fn test_four_torsion() {
        for i in (0..8).filter(|i| i % 2 == 0) {
            let Q = constants::EIGHT_TORSION[i].mul_by_pow_2(2);
            assert!(Q.is_valid());
            assert!(Q.is_identity());
        }
    }

    #[test]
    fn test_two_torsion() {
        for i in (0..8).filter(|i| i % 4 == 0) {
            let Q = constants::EIGHT_TORSION[i].mul_by_pow_2(1);
            assert!(Q.is_valid());
            assert!(Q.is_identity());
        }
    }

参考资料:
[1] 书《Elliptic Curves Number Theory And Cryptography 2n》
[2] Extended twisted Edwards curve坐标系
[3] ristretto对cofactor>1的椭圆曲线(如Curve25519等)的兼容(含Curve25519 cofactor的sage验证)

mutourend
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
curve25519-meh:TweetNaCl曲线25519的Meh重构
05-10
TweetNaCl Curve25519的Meh重构。 原始库有些模糊,难以阅读。 这是从提供的代码中提取并重构的ECDH计算所需的Curve25519部分。 基于Daniel J. Bernstein,Bernard van Gastel,Wesley Janssen,Tanja Lange,Peter Schwabe和Sjaak Smetsers放置在公共领域的TweetNaCl库。 可以在上找到更多信息。 需要兼容C99的编译器。 基准测试 去做 复制中 (c)2015年,Marek Koza CC0公共领域, 在法律允许的范围内,将CC0与该作品相关联的人放弃了对该作品的所有版权以及相关或邻近的权利。
curve25519-dalek中的MontgomeryPoint及与Scalar乘积
mutourend的博客
07-16 629
1. Curve25519定义 The Curve25519 function is Fp-restricted x-coordinate scalar multiplication on E(Fp2 ), where p is the prime number p = 2255 − 19 and E is the elliptic curve y2 = x3 + 486662x2 + x. 对应...
curve25519-c++调用,...转换成椭圆曲线上的一个点。
niujinya的博客
11-04 1289
curve25519-c++调用,及如何使一个数转换成椭圆曲线上的一个点。
curve25519 - 数学的魅力
wecode666
05-26 5612
如图所示: 在网络上传输时,方框内的数据,public string 9, Alice的public key, Bob的public key,就算被截获了,数据也也不能被破解。 因为解密数据是用shared key,shared key的运算又有alice 和 Bob的private key参与,private key 只有 Alice 和Bob自己知道。 ...
curve25519-dalek中的montgomery_reduce算法细节
mutourend的博客
07-15 592
https://github.com/dalek-cryptography/curve25519-dalek/blob/master/src/backend/serial/u64/scalar.rs 中的montgomery_reduce()中的算法细节和标准的算法细节有所差异,进一步减少了内部算法的位数要求。 1. montgomery_reduction标准算法及举例 INPUT: integ...
Torque Torsion
12-05
Torque game builder和Torque game engine 的游戏脚本编译器,方便编译差错。
high-pressure-torsion
03-19
在IT行业中,"high-pressure-torsion"通常与材料科学和工程领域相关,特别是涉及到金属材料的加工技术。这项技术,也称为高压力扭转变形(High-Pressure Torsion,简称HPT),是一种用于细化金属晶粒和改变材料微观...
Curvature-Torsion Defined Curve:给定扭转和曲率函数,唯一地计算曲线。-matlab开发
05-29
给定连续曲率和扭转作为 t 的函数,通过求解 3 个向量微分方程组(称为 Frenet 方程)来确定唯一的 3D 曲线。 每个方程都引用一个向量基础:切线、法线和副法线向量。 每个方程可以拆分为 3 个标量方程,其未知数是...
Laser micro-impulse torsion pendulum
02-11
In order to investigate the feasibility regarding micro-satellite posture steering by laser micro-propulsion, a laser torsion pendulum has been set up so as to get first-hand basic physical and ...
Highly precise micro torsion angle detection by fringe array
02-05
Fringe array is proposed as the cooperated target in the precise torsion angle detection. The target fringe array image is generated according to the structure of the optical system, and the torsion ...
curve25519-dalek中field reduce原理分析
mutourend的博客
07-30 686
对于Curve25519,其Field域内的module Fp = 2255-19。 对于64位系统 /// A `FieldElement51` represents an element of the field /// \\( \mathbb Z / (2\^{255} - 19)\\). /// /// In the 64-bit implementation, a `FieldEleme...
Curve25519加密算法
虎哥LoveDroid
04-28 1万+
Curve25519加密算法1. Curve25519简介2. 下载及编译Curve255193.使用Curve255194. 参考 1. Curve25519简介 Curve25519 是目前最高水平的 Diffie-Hellman函数,适用于广泛的场景,由Daniel J. Bernstein教授设计。在密码学中,Curve25519是一个椭圆曲线提供128位安全性,设计用于椭圆曲线Diffi...
Montgomery curves 和 Curve25519满足Montgomery curve特征的magma脚本验证
mutourend的博客
07-17 1012
1. 引言 1.1 Weierstrass curve定义 Elliptic curves of Weierstrass form: E:y2=x3+Ax+B,其中A和B为常量。 E: y^2 = x^3 + Ax + B, 其中A和B为常量。E:y2=x3+Ax+B,其中A和B为常量。 Weierstrass curve的j-invariant为: j=j(E)=17284A34A3+27B3 ...
ristretto对cofactor>1的椭圆曲线(如Curve25519等)的兼容(含Curve25519 cofactor的sage验证)
mutourend的博客
07-03 1058
1. 引言 基于椭圆曲线的加密系统,通常会由类似“G为具有prime-order q的group”的定义。 但是有些椭圆曲线具有的order n满足n=h*q,其中q为最大的素数,h称为cofactor。对于MNT4/6,BLS-BN128等曲线,其h为1。但是也存在cofactor不为1的曲线,如Hessian curves的cofactor通常为3,而Edwards curves的cofact...
极值点、驻点、拐点的区别和联系
热门推荐
Spuer_Tiger
12-07 5万+
文章目录前言:相关的概念定义和理解:极值点驻点拐点常用结论:举个例子 前言: 本文主要详细解释了极值点、驻点、拐点的含义,以及它们之间相互的联系和区别之处。希望可以加深读者对于这一类概念的理解。 相关的概念定义和理解: 极值点 极值点:一阶导数发生变号的点,对于导数不存在的点,分析其左导数和右导数的正负是否相同,相同则不是极值点;若不同则为极值点。极值点是该点的x坐标值,而极值是该点对应的y坐标值。 驻点 驻点:只是单纯地符合f’(xo)=0的点,导数不存在的点不是驻点。 拐点 拐点:二阶导数发生变号的点
Curve25519加解密与Ed25519加密签
HORHEART的博客
09-17 7687
Curve25519加解密与Ed25519加密签几种著名的椭圆曲线的方程和对应的实际应用 几种著名的椭圆曲线的方程和对应的实际应用 魏尔斯特拉斯曲线和基于魏尔斯特拉斯曲线的若干种椭圆曲线公钥算法 蒙哥马利曲线和基于蒙哥马利曲线的Curve25519密钥协商算法 爱德华曲线和基于爱德华曲线的Ed25519数字签名算法 ...
判断拐点_一文教你“如何寻找拐点”——拐点判断,简单易懂,建议收藏
weixin_39968266的博客
01-14 1万+
拐点是指某一蜡烛形态的低(高)点比其左右两边各两根K线的低(高)点都低(高)的点。拐点支撑线与拐点压力线是连接拐点动态画出的。趋势线与拐点线虽然都是连接拐点而形成的直线,但两者有着本质的不同。趋势线是通过连接拐点并正确反映某一特定时间内市场趋势的直线;拐点线虽然也是连接拐点而形成的直线,但它往往无法代表某一特定时间内的市场趋势。行情拐点的意义:是指上升趋势与下降趋势的分界点。拐点来源于通道的假设,...
Curve25519 秘密共享系统
mutourend的博客
07-02 1639
1. Curve25519基本定义 Curve25519 is a state-of-the-art Diffie-Hellman function suitable for a wide variety of applications. Given a user’s 32-byte secret key, Curve25519 computes the user’s 32-byte public...
Curve25519加密解密
marko_zheng的博客
09-16 7103
Curve25519加密解密 出于安全性的考虑,在原本明文传输的基础上需要对传输内容进行加密,首先,curve25519是一个不对称加密算法,需要前后端相配合,双方一起使用该加密算法,逻辑如下: 前端使用generateKeyPair得到自己的公钥和私钥,用自己前端的公钥去交换后端的公钥 后端使用generateKeyPair得到自己的公钥和私钥,将后端的公钥返回给前端,同时,用自己的私钥...
将string { "torsion":"1", "busid":"e84ed6ad-260a-4f39-b861-0a3662e5a789", "sourceip":"10.156.53.66" } 中的"sourceip":"10.156.53.66" 去掉 java
最新发布
07-14
String input = "{\n\"torsion\":\"1\",\n\"busid\":\"e84ed6ad-260a-4f39-b861-0a3662e5a789\",\n\"sourceip\":\"10.156.53.66\"\n}"; // 去掉 "sourceip":"10.156.53.66" String output = input.replaceAll("\...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值