慢雾：Ed25519 实现原理与可延展性问题_HTT:TPS

Ed25519 是一个基于椭圆曲线的数字签名算法，它高效，安全且应用广泛。TLS 1.3, SSH, Tor, ZCash, WhatsApp 和 Signal 中都使用了它。本文主要讲解以下几点：

1. 介绍一点群论知识，目的是让大家对 Ed25519 和其可延展性问题的原理有一种直觉。若想深入理解，还需参考其他资料；

2. 针对 rust 库 ed25519-dalek 的 1.0.1 版本讲解 ed25519 的实现；

3. 针对该库的延展性问题做出解释。

数学要点回顾

群的定义与性质

群论是抽象代数研究的内容，但抽象代数的一些思想是程序员非常熟悉的。面向对象中的继承就是一个很好的例子，我们都知道子类继承了父类后，就能使用父类中定义的方法。可以将抽象代数理解为对一个抽象的数据结构定义了一些性质，由这些性质推导出来的定理对于所有的子类都成立。

慢雾：已冻结部分BitKeep黑客转移资金:12月26日消息，慢雾安全团队在社交媒体上发文表示，正在对 BitKeep 钱包进行深入调查，并已冻结部分黑客转移资金。[2022/12/26 22:08:58]

沿用刚刚的比喻，来看看群（group）这个数据结构是如何定义的。

由此可以推出许多有意思的定理：

举几个例子： 

慢雾：去中心化期权协议Acutus的ACOWriter合约存在外部调用风险:据慢雾区消息，2022年3月29日，Acutus的ACOWriter合约遭受攻击，其中_sellACOTokens函数中外部调用用到的_exchange和exchangeData参数均为外部可控，攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约72.6万美金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗风险。[2022/3/29 14:25:07]

拉格朗日定理

现在介绍一个非常有意思的定理，这个定理的推导在文末引用的视频中。

慢雾：Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函数相关问题:据Multichain(AnySwap)早前消息，2022年01月18日，一个影响6个跨链Token的关键漏洞正在被利用。慢雾安全团队进行分析后表示，此次主要是由于anySwapOutUnderlyingWithPermit函数为检查用户传入的Token的合法性，且未考虑并非所有underlying代币都有实现permit函数，导致用户资产被未授权转出。慢雾安全团队建议：应对用户传入的参数是否符合预期进行检查，且在与其他合约进行对接时应考虑好兼容性问题。[2022/1/19 8:57:49]

“群的阶能被子群的阶整除。”

为什么说这个定理有意思呢，不仅仅因为它的证明过程串起了刚刚介绍的许多知识，还因为下面的结论：

动态 | 慢雾：10 月发生多起针对交易所的提币地址劫持替换攻击:据慢雾区块链威胁情报(BTI)系统监测及慢雾 AML 数据显示，过去的 10 月里发生了多起针对数字货币交易所的提币地址劫持替换攻击，手法包括但不限于：第三方 JS 恶意代码植入、第三方 NPM 模块污染、Docker 容器污染。慢雾安全团队建议数字货币交易所加强风控措施，例如：1. 密切注意第三方 JS 链接风险；2. 提币地址应为白名单地址，添加时设置双因素校验，用户提币时从白名单地址中选择，后台严格做好校验。此外，也要多加注意内部后台的权限控制，防止内部作案。[2019/11/1]

Ed25519 的实现

现在我们来讲 Ed25519，它是 EdDSA 算法的其中一种。EdDSA 有 11 个参数（https://datatracker.ietf.org/doc/html/rfc8032#autoid-3），这些参数的具体选择对于算法的安全和性能有很大的影响。Ed25519 的具体选择请参看链接（https://datatracker.ietf.org/doc/html/rfc8032#autoid-9）。

另外，值得一提的是这套算法用到了一个叫 Curve25519（https://datatracker.ietf.org/doc/html/rfc7748#autoid-5）的椭圆曲线。对于椭圆曲线，我们只需知道，它上边有很多很多点，这些点相加能得到新的点，新的点还是在曲线上。这些点和这个加法能形成一个群。注意这里的椭圆曲线加法（https://www.wikiwand.com/en/Elliptic_curve_point_multiplication）是有特殊定义的。

我们约定如下记法：

这是个交互式的算法，但是没关系，有一个技巧叫做 the Fiat – Shamir heuristic（https://link.springer.com/chapter/10.1007%2F3-540-47721-7_12），它可以把任意的交互式算法转化成非交互式的算法。最终我们会用非交互式算法。

数字签名算法都会给我们如下 API：

代码地址（https://github.com/dalek-cryptography/ed25519-dalek/blob/97c22f2d07b3c260726b90c55cd45f34ec34a037/src/public.rs#L322-L355）

密码学算法的实现和使用都有非常多要注意的地方。当我们说一个数字签名算法是安全的，一般指的是即使在攻击者能够获得任意消息的签名（Chosen Message Attack）的情况下，攻击者仍然不能伪造签名。Ed25519 满足这个性质，但不代表 Ed25519 是绝对安全的。在原始的论文中也提到，可延展性问题是可以接受的，且原始的算法就有这个问题。

慢雾科技

个人专栏

阅读更多

区块律动BlockBeats

Foresight News

曼昆区块链法律

GWEI Research

吴说区块链

西柚yoga

ETH中文

金色早8点

金色财经 子木

ABCDE

0xAyA

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。