EdDSA - EdDSA

EdDSA
Allgemeines
Designer	Daniel J. Bernstein , Niels Duif, Tanja Lange , Peter Schwabe, Bo-Yin Yang et al.
Erstmals veröffentlicht	26. September 2011
Detail
Struktur	Kryptographie mit elliptischen Kurven

In der Public-Key-Kryptographie ist der Edwards-Curve Digital Signature Algorithm ( EdDSA ) ein digitales Signaturschema , das eine Variante der Schnorr-Signatur verwendet, die auf verdrehten Edwards-Kurven basiert . Es ist so konzipiert, dass es schneller ist als bestehende digitale Signaturschemata, ohne die Sicherheit zu beeinträchtigen. Es wurde von einem Team mit Daniel J. Bernstein , Niels Duif, Tanja Lange , Peter Schwabe und Bo-Yin Yang entwickelt. Die Referenzimplementierung ist Public-Domain-Software .

Zusammenfassung

Das Folgende ist eine vereinfachte Beschreibung von EdDSA, wobei Details der Codierung von ganzen Zahlen und Kurvenpunkten als Bitfolgen ignoriert werden; die vollständigen Details sind in den Papieren und RFC.

Ein EdDSA-Signaturschema ist eine Wahl:

des endlichen Körpers über ungerader Primzahl ; $\mathbb{F} _{q}$ $q$
einer elliptischen Kurve, über deren Gruppe von rationalen Punkten eine Ordnung besteht , wobei eine große Primzahl ist und als Kofaktor bezeichnet wird; $E$ $\mathbb{F} _{q}$ $E(\mathbb{F}_{q})$ $\mathbb{F} _{q}$ $\#E(\mathbb{F}_{q})=2^{c}\ell$ $\ell$ $2^{c}$
des Basispunktes mit Auftrag ; und $B\in E(\mathbb{F}_{q})$ $\ell$
der kryptografischen Hash-Funktion mit -Bit-Ausgaben, wobei Elemente von und Kurvenpunkte durch Bitfolgen dargestellt werden können. $H$ $2b$ $2^{b-1}>q$ $\mathbb{F} _{q}$ $E(\mathbb{F}_{q})$ $b$

Diese Parameter sind allen Benutzern des EdDSA-Signaturschemas gemeinsam. Die Sicherheit des Systems EdDSA Signatur hängt entscheidend von der Wahl der Parameter für die willkürliche Wahl der Base ausnehmen punkt zum Beispiel Pollard-Rho-Methode für Logarithmen wird erwartet , dass etwa nehmen Kurve Ergänzungen , bevor es einen diskreten Logarithmen berechnen kann, so muss es sein groß genug, dass dies nicht durchführbar ist, und wird in der Regel auf mehr als $2$ $200$ geschätzt . Die Wahl der durch die Wahl beschränkt ist , da von dem Satz von Hasse , kann unterscheiden sich nicht von mehr als . Die Hash-Funktion wird in formalen Analysen der Sicherheit von EdDSA normalerweise als zufälliges Orakel modelliert . In der Variante HashEdDSA wird zusätzlich eine kollisionsresistente Hash-Funktion benötigt. ${\sqrt {\ell\pi/4}}$ $\ell$ $\ell$ $q$ $\#E(\mathbb{F}_{q})=2^{c}\ell$ $q+1$ $2{\sqrt {q}}$ $H$ $H'$

Innerhalb eines EdDSA-Signaturschemas

Öffentlicher Schlüssel: Ein öffentlicher EdDSA-Schlüssel ist ein Kurvenpunkt , der in Bits codiert ist . $A\in E(\mathbb{F}_{q})$ $b$
Unterschrift: Eine EdDSA-Signatur auf einer Nachricht durch einen öffentlichen Schlüssel ist das in Bits codierte Paar aus einem Kurvenpunkt und einer ganzen Zahl, die die folgende Verifikationsgleichung erfüllt. bezeichnet die Verkettung . $M$ $A$ $(R,S)$ $2b$ $R\in E(\mathbb{F}_{q})$ $0<S<\ell$ $\parallel$

2^{c}SB=2^{c}R+2^{c}H(R\parallel A\parallel M)A

Privat Schlüssel: Ein privater EdDSA-Schlüssel ist ein -Bit-String, der gleichmäßig zufällig ausgewählt werden sollte. Der entsprechende öffentliche Schlüssel ist , wobei die niederwertigsten Bits in Little-Endian als ganze Zahl interpretiert werden. Die Signatur einer Nachricht ist wo für , und $b$ $k$ $A=sB$ $s=H_{0,\dots,b-1}(k)$ $b$ $H(k)$ $M$ $(R,S)$ $R=rB$ $r=H(H_{b,\dots,2b-1}(k)\parallel M)$ $S\equiv r+H(R\parallel A\parallel M)s{\pmod {\ell}}.$ Dies erfüllt die Verifikationsgleichung:

{\begin{aligned}2^{c}SB&=2^{c}(r+H(R\parallel A\parallel M)s)B\\&=2^{c}rB+2^ {c}H(R\parallel A\parallel M)sB\\&=2^{c}R+2^{c}H(R\parallel A\parallel M)A.\end{ausgerichtet}}

Ed25519

Ed25519 ist das EdDSA-Signaturschema, das SHA-512 (SHA-2) und Curve25519 verwendet, wobei

$q=2^{255}-19,$
$E/\mathbb{F} _{q}$ ist die verdrehte Edwards-Kurve

-x^{2}+y^{2}=1-{\frac {121665}{121666}}x^{2}y^{2},

$\ell =2^{252}+27742317777372353535851937790883648493$ und $c=3$
$B$ $B$ ist der eindeutige Punkt, dessen Koordinate ist und dessen Koordinate positiv ist. "positiv" wird in Bezug auf die Bitcodierung definiert: $E(\mathbb{F}_{q})$ $E(\mathbb{F}_{q})$ $y$ $ja$ $4/5$ $4/5$ $x$ $x$
- "positive" Koordinaten sind gerade Koordinaten (niederwertiges Bit wird gelöscht)
- "negative" Koordinaten sind ungerade Koordinaten (niederwertiges Bit ist gesetzt)
$H$ ist SHA-512 , mit . $b=256$

Die Kurve ist birational äquivalent zur Montgomery-Kurve, die als Curve25519 bekannt ist . Die Äquivalenz ist $E(\mathbb{F}_{q})$

x={\frac {u}{v}}{\sqrt {-486664}},\quad y={\frac {u-1}{u+1}}.

Performance

Das ursprüngliche Team hat Ed25519 für die x86-64 Nehalem / Westmere- Prozessorfamilie optimiert . Die Verifizierung kann in Stapeln von 64 Signaturen durchgeführt werden, um einen noch höheren Durchsatz zu erzielen. Ed25519 soll eine Angriffsresistenz bieten, die mit hochwertigen symmetrischen 128-Bit- Chiffren vergleichbar ist . Öffentliche Schlüssel sind 256 Bit lang und Signaturen sind 512 Bit lang.

Sichere Codierung

Als Sicherheitsfunktionen verwendet Ed25519 keine Verzweigungsoperationen und Array-Indizierungsschritte, die von geheimen Daten abhängen, um viele Seitenkanalangriffe abzuwehren .

Wie andere auf diskretem Log basierende Signaturschemata verwendet EdDSA einen geheimen Wert, der als Nonce bezeichnet wird und für jede Signatur eindeutig ist. In den Signaturschemata DSA und ECDSA wird diese Nonce traditionell für jede Signatur zufällig generiert – und wenn der Zufallszahlengenerator beim Erstellen einer Signatur jemals kaputt und vorhersehbar ist, kann die Signatur den privaten Schlüssel verlieren, wie es bei der Sony PlayStation 3- Firmware der Fall war Signaturschlüssel aktualisieren. Im Gegensatz dazu wählt EdDSA die Nonce deterministisch als Hash eines Teils des privaten Schlüssels und der Nachricht. Sobald ein privater Schlüssel erzeugt ist, benötigt EdDSA also keinen Zufallszahlengenerator mehr, um Signaturen zu erstellen, und es besteht keine Gefahr, dass ein kaputter Zufallszahlengenerator, der zum Erstellen einer Signatur verwendet wird, den privaten Schlüssel preisgibt.

Inkonsistenzen bei Standardisierung und Implementierung

Beachten Sie, dass es zwei Standardisierungsbemühungen für EdDSA gibt, eine von der IETF, eine informationelle RFC 8032 und eine von NIST als Teil von FIPS 186-5 (2019). Die Unterschiede zwischen den Standards wurden analysiert und Testvektoren sind verfügbar.

Software

Bemerkenswerte Verwendungen von Ed25519 umfassen OpenSSH , GnuPG und verschiedene Alternativen sowie das Signify-Tool von OpenBSD . Die Verwendung von Ed25519 im SSH-Protokoll wird standardisiert. Im Jahr 2019 enthielt eine Entwurfsversion des FIPS 186-5-Standards das deterministische Ed25519 als genehmigtes Signaturschema.

SUPERCOP-Referenzimplementierung ( C-Sprache mit Inline- Assembler )
Eine langsame, aber prägnante alternative Implementierung, die keinen Seitenkanalangriffsschutz ( Python ) enthält.
NaCl / Libnatrium
Cryptokryptowährung Protokoll
wolfSSL
I2Pd hat eine eigene Implementierung von EdDSA
Minisign und Minisign Miscellanea für macOS
Virgil PKI verwendet standardmäßig Ed25519-Schlüssel
Apple Watch und iPhone verwenden Ed25519-Schlüssel für die IKEv2- Authentifizierung miteinander
Botanik
Dropbear SSH seit 2013.61test
OpenSSL 1.1.1
Libgcrypt
Java-Entwicklungskit 15

Ed448

Ed448 ist das EdDSA-Signaturschema, das SHA-3 und Curve448 verwendet, die in RFC 8032 definiert sind . Es wurde auch im Entwurf des FIPS 186-5-Standards genehmigt.

Verweise

Externe Links

Ed25519-Homepage

Languages

In other projects