密码学学习笔记(十七 ):Edwards曲线数字签名算法 - edDSA

最新推荐文章于 2024-12-01 07:30:00 发布
最新推荐文章于 2024-12-01 07:30:00 发布
阅读量2.2k 收藏 14
点赞数 1
分类专栏: 密码学与计算机安全 文章标签: 密码学 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54634208/article/details/131851348
版权

Edwards曲线数字签名算法(Edwards-curve Digital Signature Alogorithm, edDSA)由Daniel J. Bernstein等人在2011年提出,它是一种使用基于扭曲爱德华兹曲线的Schnorr签名变体的数字签名方案。

EdDSA的一个特殊之处在于,该方案不要求每次签名都是用全新的随机数,而且该算法是确定性的。

EdDSA不直接生成密钥,而是首先生成一个密钥并用它派生实际的签名密钥和nonce密钥。这个nonce会以确定性的方式生成每个签名所需要的nonce。

计算签名时,EdDSA首先计算nonce密钥(nonce key)与待签名消息的哈希值作为nonce值。算法之后的执行过程类似于Schnorr签名。

  • 计算nonce: nonce值为HASH(nonce key \left | \right | message)
  • 计算R值: R值为[nonce]G,其中G是群的基点。
  • 计算挑战: 挑战值为HASH(commitment \left | \right | publick key \left | \right | message)
  • 计算证据: 证据S为 nonce + challenge x signing key

最终签名是(R,S)。

EdDSA的密钥生成算法生成一个密钥,然后用它派生另外两个密钥。算法生成的第一个密钥是实际的签名密钥,该签名密钥可用于生成公钥;算法生成的另一个密钥是nonce密钥,用于在签名时确定性地生成nonce。EdDSA签名与Schnorr签名类似,不同之处在于(1)EdDSA用nonce密钥和消息确定性地生成nonce,以及(2)签名者的公钥包含在挑战中

EdDSA密钥生成

EdDSA密钥对包括:
私钥(整数):privKey
公钥(EC点):pubKey = privKey * G

私钥是从一个被称为种子的随机整数生成的(它应该具有类似的比特长度,就像曲线顺序一样)。

公钥pubKey是椭圆曲线上的一个点,通过EC点相乘计算:pubKey=privKey*G(私钥,乘以曲线的生成点G)。公钥被编码为压缩的EC点:y坐标,与x坐标的最低位(奇偶校验)相结合。

EdDSA 签名

EdDSA_sign(msg, privKey) --> { R, s }

  • 计算pubKey=privafKey*G
  • 确定性地生成一个秘密整数r=hash(hash(privaKey)+msg)mod q
  • 通过将r后面的公钥点乘以曲线生成器来计算:r=r*G
  • 计算h=哈希(R+pubKey+msg)mod q
  • 计算s=(r+h*privKey)mod q
  • 返回签名{R,s}

EdDSA验证签名

EdDSA签名验证算法将文本消息msg+签名者的EdDSA公钥pubKey+EdDSA签名{R,s}作为输入,并产生布尔值作为输出。

EdDSA_signature_verify(msg, pubKey, signature { R, s } ) --> valid / invalid

  • 计算h=哈希(R+pubKey+msg)mod q
  • 计算P1=s*G
  • 计算P2=R+h*pubKey
  • 返回P1==P2

在验证过程中,点P1计算为:P1=s*G。

在签名过程中,s=(r+h*privKey)mod q。现在将s替换为上式:
P1 = s * G = (r + h * privKey) mod q * G = r * G + h * privKey * G = R + h * pubKey

以上正是另一点P2。如果这些点P1和P2是相同的EC点,这证明了由私钥计算的点P1与由其对应的公钥创建的点P2匹配。

公钥加密算法EdDSA
AI天才研究院
10-02 1153
作者:禅与计算机程序设计艺术 1.简介 公钥加密算法(Public-key encryption)或称为非对称加密算法,是一种用于加密和解密消息的算法,其安全性依赖于两个相互独立的密钥。一个私钥只能由一个持有者,即签名者(signer)使用,另一个公钥则可以被所有需要接收数据的用户共享,任何接收方都可以
以太坊使用的数据结构与算法-ECDSA 数字签名算法
qq_28053637的博客
03-10 1471
​ 椭圆曲线数字签名算法(英语:EllipticCurveDigitalSignatureAlgorithm,缩写作ECDSA)是一种基于椭圆曲线密码学的公开金钥加密算法。1985年,Koblitz和Miller把数字签名算法移植到椭圆曲线上,椭圆曲线数字签名算法由此诞生
EdDSA (Edwards-curve Digital Signature Algorithm)算法详解及python实现
qq_42568323的博客
12-01 1533
EdDSAEdwards-curve Digital Signature Algorithm)是一种基于Edwards曲线数字签名算法,属于公钥加密算法的一种,广泛应用于数字签名、消息认证和数据完整性校验等安全领域。与传统的数字签名算法,如ECDSA(椭圆曲线数字签名算法)和RSA算法相比,EdDSA在多个方面具有显著优势,尤其是在现代密码学和安全协议中,EdDSA表现出了更高的效率和更强的安全性。EdDSA的核心区别在于它使用的是Edwards曲线,而非传统的椭圆曲线
EdDSA数字签名算法
此人很懒,什么都没写
05-22 2749
EdDSA签名算法由Schnorr签名发展变化而来,EdDSA也属于椭圆曲线密码学,不同的是它采用扭曲爱德华兹曲线(Twisted Edwards curves)作为椭圆曲线和不同于ECDSA算法的签名机制。根据曲线和参数的选择不同有Ed25519和Ed448等算法,它们分别基于curve25519和curve448等曲线
Java加密:六、爱德华兹曲线数字签名(EdDSA)算法
学以致用 知行合一
04-19 5072
在公钥密码学中,爱德华兹曲线数字签名算法( EdDSA ) 是一种数字签名方案,它使用基于扭曲爱德华兹曲线的Schnorr 签名变体。它被设计为比现有的数字签名方案更快而不牺牲安全性。 在Java中,EdDSA(爱德华兹曲线数字签名算法)[RFC 8032 ] 是在Java 15中通过JEP 339添加的另一种附加数字签名方案。它不会取代 JDK 中现有的椭圆曲线数字签名算法(ECDSA)
eddsa 算法
BeZer0的学习笔记
02-26 1026
eddsa 算法
elliptic-curve签名验证verify signature in EdDSA
mutourend2010@gmail.com
08-09 1479
1. signature in EdDSA 参照博客Schnorr signature (Schnorr 签名)数学原理类似,签名过程如下: A=kGA=kGA=kG, kkk is private, A is public key, G is a standard elliptic-curve point. R=rGR=rGR=rG, rrr 为 random-once随机数,每次需分别单独生...
Edwards-Curves:Lisp中的Edwards曲线
05-17
爱德华兹曲线 Lisp中的Edwards曲线 对于感兴趣的任何人,我已经在素数字段,SafeCurves列表中的曲线(称为Curve1174(251位),Curve 41417(414位)和Curve-E521(521位))上编写了Edwards Curves的实现。 该软件包还包含Elligator-1和Elligator-2编码/解码,用于将椭圆曲线上的点映射为统一的随机数,以用于ECDH密钥交换以及生成Schnorr签名。 这些例程是用混淆的模数算法制作的,通常将点保存在随机选择的投影坐标系中。 这些曲线上的点添加是完整的,这意味着不需要特殊的倍增代码,并且可以直接添加曲线上定义的所有点,而无需注意奇异点。 以混淆的方式执行点乘法,以阻止侧面通道的嗅探。 这次我没有道歉使用我的私人“有用的宏”集合,但已将其提供给所有需要它们的人。 存储库位于: 和 此代码没有任何限制,但是如
Ed448-Goldilocks:448位的Edwards曲线-开源
05-13
这是使用Decaf / Ristretto编码使用Montgomery和Edwards曲线Curve25519,Ed25519,Ed448-Goldilocks和Curve448进行的椭圆曲线加密的实现。
API 签名算法以及 EdDSA 的 Ed25519 签名算法的使用
m0_61591135的博客
04-25 1511
API 签名算法以及 EdDSA 的 Ed25519 签名算法的使用
Curve25519 的合成 Kotlin 实现,一个快速椭圆曲线 Diffie-Hellman 与 Edwards 曲线数字签
06-10
一个快速椭圆曲线 Diffie-Hellman 与 Edwards 曲线数字签名算法 VRF 支持,由从 C 移植的 Java 代码支持。 Curve25519 的合成 Kotlin 实现。快速椭圆曲线 - Diffie-Hellman 函数,包括 x25519 密钥对、共享密钥、x...
区块链中的数学 - EdDSA签名机制
张晨光老师的播客
12-07 2867
Ed25519 使用了扭曲爱德华曲线,签名过程和之前介绍过的 Schnorr,secp256k1, sm2 都不一样,最大的区别在于没有使用随机数,这样产生的签名结果是确定性的,即每次对同一消息签名结果相同。 一般说来随机数是安全措施中重要的一种方法,但是随机数的产生也是安全隐患,著名的索尼公司产品 PS3 密钥泄露事件,就是随机数产生的问题导致的。如果你对之前绍过的 Schnorr,secp256k1,sm2 等签名过程比较熟的的话,就容易理解如果在签名过程中出现了这个相同的随机数 r,那么私钥将很容易被
Edwards曲线上的双线性对计算
xuleimath的专栏
08-16 760
密码学基础-------eddsa
weixin_41303815的博客
06-21 569
公钥 32字节 256比特 签名 64字节 512比特
ECDSA vs. EdDSA
mutourend2010@gmail.com
06-01 1829
ECDSA vs. EdDSA
数字签名算法RSA
my learning notes
03-27 345
package signature; import java.security.InvalidKeyException; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.security.NoSuchAlg
数据签名-说明文档
JackieDYH的博客
02-27 524
图 随机数字K用作临时私钥,进而生成临时公钥(与生成比特币公钥方式相同)。 R代表临时公钥x轴坐标 k还是刚刚的临时私钥 dA代表签名私钥(不是刚刚的临时私钥) z是交易数据的hash值—>hash(交易数据) p是素数,椭圆曲线的主要顺序(这一点没有理清楚,待定) ==R+S就是签名== package main import ( "crypto/ecdsa" "crypto/elliptic" "crypto/rand" "crypto
用Openssl计算ECDSA签名
热门推荐
JwLee的专栏
09-18 3万+
ECDSA的全名是Elliptic Curve DSA,即椭圆曲线DSA。它是Digital Signature Algorithm (DSA)应用了椭圆曲线加密算法的变种。椭圆曲线算法的原理很复杂,但是具有很好的公开密钥算法特性,通过公钥无法逆向获得私钥。 第一部分 : DSA的签名和验证过程 要了解ECDSA,首先要了解DSA签名的过程和验证过程。为了理解的方便,这里省去诸
简单理解椭圆曲线数字签名算法(ECDSA)
ywy19930523的博客
04-25 7775
Elliptic Curve Digital Signature Algorithm通俗化的理解:1、一条曲线方程2、在曲线上随机选择一个起始点(私钥)3、利用起始点做一些变化,获得曲线上的第二个点(公钥)4、利用私钥与文件hash值进行运算得到数字签名,40字节5、数字签名由两部分构成R与S,各160位6、用公钥可验证签名的正确性,利用公钥和S运算可得到R,相等即正确细节:1、整数运算,数字区间...
为什么使用扭曲爱德华曲线
最新发布
02-27
<think>嗯,用户问为什么使用扭曲爱德华曲线。我需要先回想一下相关的密码学知识。扭曲爱德华曲线(Twisted Edwards Curves)是一种椭圆曲线形式,可能和爱德华曲线有关。记得爱德华曲线密码学中有一些优势,比如高效的加法运算,但扭曲爱德华曲线可能扩展了这些优势。 首先,用户可能是在学习椭圆曲线加密时遇到了这个概念,或者是在某个项目中需要选择曲线类型。我需要解释清楚扭曲爱德华曲线的优点,比如安全性、效率、灵活性等方面。可能还需要比较它与其他曲线,如Weierstrass曲线的不同。 要确保回答准确,可能需要提到以下几点:统一的加法公式,抵抗某些攻击的能力,计算效率高,参数选择的灵活性,以及与爱德华曲线的关系。比如,扭曲爱德华曲线允许更多的参数选择,从而更容易找到安全的曲线。同时,加法运算在扭曲爱德华曲线上是否统一,不需要处理特殊情况,这对防止侧信道攻击有帮助。 另外,可能还需要提到实际应用中的例子,比如Ed25519就是基于扭曲爱德华曲线的,广泛用于签名方案。这可以增强回答的实用性。还要注意用户可能的背景,他们可能对数学细节不太熟悉,所以需要用相对易懂的语言解释,避免过多复杂的公式,但必要时给出例子,如曲线方程的形式。 需要检查是否有混淆扭曲爱德华曲线和普通爱德华曲线的情况,确保定义正确。同时,是否需要提到双有理等价,即扭曲爱德华曲线可以转换为其他形式的椭圆曲线,如Montgomery曲线,这可能在某些协议中有用,比如Diffie-Hellman密钥交换。 另外,安全性方面,要说明为什么选择这种曲线,比如是否对某些攻击如定时攻击、故障攻击有更好的抵抗能力。还要提到一些标准化组织,如NIST或IETF是否推荐使用这种曲线,或者它们在某些标准中的应用情况,比如TLS 1.3是否支持。 可能用户的问题还涉及到性能优化,比如在嵌入式系统或移动设备上的高效实现,这时扭曲爱德华曲线的优势可能更明显。需要指出在计算点加法和标量乘法时的效率,以及是否支持快速算法。 最后,要总结使用扭曲爱德华曲线的主要原因,确保结构清晰,分点列出,方便用户理解。同时,注意使用中文口语化的表达,避免过于生硬的技术术语,但关键术语需要正确无误。</think>在密码学中选用**扭曲爱德华曲线**(Twisted Edwards Curves)主要基于以下核心优势: --- ### 一、运算效率与统一性 1. **统一的加法公式** 扭曲爱德华曲线的点加法公式**无特殊情况**,对任意两点(包括相同点、逆元点)均适用同一个公式: $$(x_1,y_1) + (x_2,y_2) = \left( \frac{x_1y_2 + x_2y_1}{1 + dx_1x_2y_1y_2}, \frac{y_1y_2 - ax_1x_2}{1 - dx_1x_2y_1y_2} \right)$$ 其中$a,d$为曲线参数。这种特性: - **避免条件分支**:减少侧信道攻击风险 - **计算优化**:简化硬件/软件实现(如Ed25519签名比RSA快4倍以上) 2. **快速标量乘法** 结合Montgomery阶梯算法,可在常数时间内完成标量乘法,适合密钥交换和签名场景。 --- ### 二、参数灵活性 1. **广义形式覆盖更多曲线** 曲线方程为: $$ ax^2 + y^2 = 1 + dx^2y^2 $$ 通过调整参数$a,d$,可覆盖: - 标准爱德华曲线(当$a=1$时) - 更多安全曲线形态(如Ed448-Goldilocks曲线中$a=-1$) 2. **与Montgomery曲线双有理等价** 扭曲爱德华曲线可通过映射转换为Montgomery曲线: $$ By^2 = x^3 + Ax^2 + x $$ 这使得同一曲线同时支持: - **EdDSA签名**(用扭曲爱德华曲线- **X25519密钥交换**(用对应的Montgomery曲线--- ### 三、安全性增强 1. **完全加法群结构** 所有有理点构成群,且: - **无小阶子群攻击**:基点选择大素数阶(如Ed25519基点阶为$2^{252}+27742317777372353535851937790883648493$) - **抵抗MOV/Anomalous攻击**:嵌入度较高(Edwards曲线通常≥6) 2. **抗计时攻击设计** 确定性签名(如EdDSA)配合统一加法公式,消除执行时间差异。例如: ```python # Ed25519签名伪代码(恒定时间) def sign(msg, privkey): r = hash(privkey_suffix + msg) # 确定性随机数 R = r * G # 无分支标量乘法 s = (r + hash(R + pubkey + msg) * privkey) % q return (R, s) ``` --- ### 四、标准化案例 | 曲线名称 | 应用场景 | 标准化文档 | |------------|---------------------------|---------------------| | Ed25519 | TLS 1.3、SSH、区块链 | RFC 8032, NIST SP 800-186 | | Ed448 | 高安全需求系统 | RFC 8032 | | Curve1174 | 物联网轻量级加密 | SAFECRYPTO标准 | --- ### 五、性能对比(x86 CPU) | 操作 | Ed25519(扭曲爱德华) | NIST P-256(Weierstrass) | |-----------------|-----------------------|---------------------------| | 签名速度 | 72,000次/秒 | 18,000次/秒 | | 验签速度 | 28,000次/秒 | 9,500次/秒 | | 密钥生成 | 0.1 ms | 0.3 ms | --- ### 六、典型漏洞规避 - **无效曲线攻击**:参数严格验证(如$d \neq 0,1$且$a \neq d$) - **扭曲攻击**:强制点压缩格式(编码时包含y坐标符号位) - **哈希到曲线**:使用elligator等确定性映射算法 --- **总结**:扭曲爱德华曲线通过**统一运算模型**、**参数灵活性**和**抗侧信道设计**,成为现代密码协议(如EdDSA、X25519)的优选底层结构,在安全性与性能间达到最佳平衡。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值