ristretto对cofactor>1的椭圆曲线(如Curve25519等)的兼容(含Curve25519 cofactor的sage验证)

最新推荐文章于 2023-08-02 20:20:43 发布
原创 最新推荐文章于 2023-08-02 20:20:43 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了椭圆曲线加密系统中cofactor大于1的影响,包括小子群攻击、非满射行为、隐蔽通道等问题,并介绍了ristretto如何解决这些问题,支持cofactor为4或8的曲线。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 引言

基于椭圆曲线的加密系统,通常会由类似“G为具有prime-order q的group”的定义。

但是有些椭圆曲线具有的order n满足n=h*q,其中q为最大的素数,h称为cofactor。对于MNT4/6,BLS-BN128等曲线,其h为1。但是也存在cofactor不为1的曲线,如Hessian curves的cofactor通常为3,而Edwards curves的cofactor通常为4,Curve25519的cofactor为8.

Curve25519的cofactor为8的sage验证如下:

sage: p=2^255-19
sage: E=EllipticCurve(GF(p),[0, 486662, 0, 1, 0])
sage: E
Elliptic Curve defined by y^2 = x^3 + 486662*x^2 + x over Finite Field of size 57896044618658097711785492504343953926634992332820282019728792003956564819949
sage: n=E.cardinality()
sage: n
57896044618658097711785492504343953926856930875039260848015607506283634007912
sage: factor(n) //8*q,即cofactor为8。
2^3 * 7237005577332262213973186563042994240857116359379907606001950938285454250989

Non-prime-order curves have significant advantages, such as complete addition laws and faster and simpler formulas. However, these advantages come at a cost: the order is not a prime q, but h·q for some small cofactor h.

当h>1时,曲线点由h-torsion和l-torsion点共同组成,其中h-torsion点将引起各种密码学缺陷。

“Let G be a group of prime order q.” This defines the requirements for the main group in many cryptographic systems, most often with the intention that G will be the group of points on an elliptic curve.

2. cofactor>1的缺陷

当曲线的cofactor>1时,存在以下缺陷:

  1. Small-subgroup attacks:即所选择的点具有的order为h的倍数时,存在被攻击缺陷。
  2. Non-injective behavior:当所选择的scalar相对于group order为素数时,与scalar的乘法通常为一对一满射函数。当cofactor>1时,random scalar无法保证。
  3. Covert channels:非满射行为,导致存在数据泄露的可能。
  4. Implementation-defined behavior:以Ed25519为例,对于h-torsion的非零值输入无明确的行为表现,如单个Ed25519签名验证和批量Ed25519签名验证可不同,或可依赖于不同的代码实现。
  5. Nontrivial modifications:对于已有的已证明安全的基于prime-order group的密码学系统,当需要切换cofactor h>1的曲线时,需要对系统进行修改。通常修改比较简单,仅需要将现有的outputs乘以h即可。但是,密码学证明的过程很复杂,通常仅有专家才能明确指出具体哪些位置需要做调整。

3. ristretto的作用

ristretto用于做cofactor>1曲线的抽象层,尽可能减少底层代码的修改,ristretto对外表现为将non-prime-order的曲线抽象为a prime-order group.

目前支持cofactor为4或8的曲线。

实现的基本理论依据为Mike Hamburg的论文《Decaf: Eliminating cofactors through point compression》,该论文中时基于cofactor为4的情况设计的,restretto将其扩展为支持Curve25519(cofactor为8),支持用Ed25519签名的复杂零知识证明协议。

以Monero门罗币中实用的Ed25519签名为例,Ed25519签名具有可加工性的特点,将导致双花的可能(Ed25519的cofactor h=8,技术上来说,为8花)。
在Tor(洋葱),Ed25519公钥的可加工性意味着每个V3 onion service可以有8个不同的地址,将导致匹配异常的可能。为了解决该异常,需要昂贵的运行时检查:a full scalar multiplcation, point compresssion以及equality check。而且该运行时检查需在多处被调用,以保证没有在onion service’s key中没有包含small torsion component.

详细的设计及设计细节可参看参考资料的[3]和[4]。

参考资料:
[1] https://eprint.iacr.org/2015/673.pdf
[2] https://tools.ietf.org/pdf/draft-hdevalence-cfrg-ristretto-01.pdf
[3] https://ristretto.group/ristretto.html
[4] https://github.com/dalek-cryptography/curve25519-dalek

mutourend
关注
ristretto255:实现ristretto255,一个快速的素数阶组
05-09
限制255 受限程序包实现了 。
ristretto255对外API抽象及基于Curve25519ristretto255层实现
mutourend2010@gmail.com
07-19 545
1. API接口 ristretto255用于实现对cofactor不为1曲线的抽象,对外主要提供以下API接口: 1)“Encode”:将internal representations编码为bytestrings,使相同的ristretto255 element上所有相同的repsentations被编码为完全相同的bytestrings; 2)“DECODE”:将bytestrings解码...
ristretto255-dh:在Rust中使用Ristretto255组进行Diffie-Hellman密钥交换
02-13
ristretto255-dh 在纯Rust中使用组进行Diffie-Hellman密钥交换。 此板条箱为Iist指定的Ristretto255主订单组中的静态和临时Diffie-Hellman提供了高级API,该IAPI使用在Curve25519内部实现的。 例子 use rand_core :: OsRng; use ristretto255_dh :: EphemeralSecret; use ristretto255_dh :: PublicKey; // Alice's side let alice_secret = EphemeralSecret :: new ( & mut OsRng); let alice_public = PublicKey :: from ( & alice_secret); // Bob's side let bob_secret = Ephem
ristretto255 point压缩和解压缩算法(2)——extended坐标系下
mutourend2010@gmail.com
08-16 572
接前一博客ristretto255 point压缩和解压缩算法(1)——affine坐标系下。 1、affine坐标系与extended坐标系之间的映射关系 Twisted Edwards curves的affine坐标系表示为: εa,d:={(x,y)∈P2(F):a∗x2+y2=1+d∗x2∗y2}\varepsilon_{a,d}:=\{(x,y)\in P^2(F):a*x^2+y^2=...
go-ristretto:Ristretto素数组在Edwards25519上的Pure Go实现
05-10
克里斯蒂托 许多密码方案需要一组素数顺序。 流行和有效的椭圆曲线(如ed25519名声的ed25519 )很少是素数。 但是,有一种方便的方法可以从此类曲线构造素数阶组,这就是提出的称为。 这是对从Edwards25519构建的Ristretto本素组的组操作的纯Go实现。 文档在。 示例:El'Gamal加密 // Generate an El'Gamal keypair var secretKey ristretto. Scalar var publicKey ristretto. Point secretKey . Rand () // generate a new secret key publicKey . ScalarMultBase ( & secretKey ) // compute public key // El'Gamal encrypt a random curv
curve25519-dalek-organism-在ristretto255和Curve25519上进行纯铁操作的组操作-Rust开发
05-27
curve25519-dalek是一个库,提供对Curve25519的Edwards和Montgomery形式以及原始Ristretto组的组操作。 curve25519-dalek并非旨在提供任何特定加密协议的实现。 而是,那些协议的实现(例如x25519-dalek和ed25519-...
curve25519-dalek, 在RistrettoCurve25519上,组操作的纯 Rust 实现.zip
09-17
curve25519-dalek, 在RistrettoCurve25519上,组操作的纯 Rust 实现 curve25519-dalek 在和Curve25519上对组操作的纯铁锈实现进行收费。 curve25519-dalek 是一个图书馆,提供对爱德华兹和蒙哥马利形式的群操作,...
纯Rust编写的curve25519-dalek库实现快速安全的ECC操作
资源摘要信息:"curve25519-dalek是针对Curve25519椭圆曲线加密协议的一个Rust语言实现库。Curve25519是一种广泛使用的基于椭圆曲线的Diffie-Hellman密钥交换算法。在密码学领域,椭圆曲线密码学(Elliptic-Curve ...
Rust实现的curve25519-dalek库及其在RistrettoCurve25519上的应用
curve25519-dalek库进一步提供了对Curve25519的Edwards和Montgomery形式的支持,同时也支持原始的Ristretto组,Ristretto是一种设计用来改善椭圆曲线数字签名算法(EdDSA)和密钥交换(X25519)的抽象层。...
ristretto255 point压缩和解压缩算法(1)——affine坐标系下
mutourend2010@gmail.com
08-09 687
sage: p=2^255-19 sage: mod(2506306895338462347411141415870215270124453150249265646007921048261043 ....: 0750235^2,p) 20800338683988658368647408995589388737092878452977063003340006470870624536393 sage:...
go-schnorrkel:完全通过ristretto255进行schnorr签名
05-18
施诺克尔 执行sr25519签名算法的实现(在ristretto25519上使用schnorr)。 现有的锈实现在 该库当前能够创建sr25519密钥,导入sr25519密钥以及对消息进行签名和验证。 它可以与rust实现互操作。 该库中的BIP39实现与rust 实现兼容。 请注意,这不是标准的bip39实现。 依存关系 去1.13 用法 示例:密钥生成,签名和验证 package main import ( "fmt" schnorrkel "github.com/ChainSafe/go-schnorrkel" ) func main() { msg := []byte("hello friends") signingCtx := []byte("example") signingTranscript := schnorrkel.NewSigningContex
零:尝试使用Ristretto椭圆曲线学习环签名,防弹和其他密码学
02-04
零:尝试使用Ristretto椭圆曲线学习环签名,防弹和其他密码学
my-ecceg:椭圆曲线密码算法 El Gamal 的实现
06-14
我的心电图 椭圆曲线密码算法 El Gamal 的实现
sagemath 教学手册
11-11
sagemath is an open math software and developed by Washington University of USA
椭圆曲线密码 Ed25519 算法
西京刀客
05-02 5968
ED25519 的实现除去私钥的生成之外,签名过程已经完全脱离对随机数发生器的依赖,避免了因为随机化问题而导致密钥的泄露与安全性问题。
daelk-cryptography curve25519-dalek源码解析——之Field表示
mutourend2010@gmail.com
07-11 470
https://github.com/dalek-cryptography/curve25519-dalek 1. Scalar结构 针对p<2^255的域filed,采用scalar以little-endian的数组形式来表示: /// The `Scalar` struct holds an integer \\(s < 2\^{255} \\) which /// represe...
curve25519-dalek并行运算性能
mutourend2010@gmail.com
08-26 591
export RUSTFLAGS="-C target_cpu=native" cargo bench --no-default-features --features "std avx2_backend" 与之前博客Rust curve25519-dalek密码学库性能解析对比可发现,采用avx2并行计算,性能提升明细。(测试环境为1CPU,4G内存Ubuntu16.04虚拟机) R...
curve25519-c++调用,...转换成椭圆曲线上的一个
niujinya的博客
11-04 1636
curve25519-c++调用,及如何使一个数转换成椭圆曲线上的一个
常用椭圆曲线介绍
weixin_42649617的博客
08-02 2914
chat-gpt生成,对应python的miracl/core/python库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值