- 置顶
- 📢 vamp the vampcoin($VAMPCOIN2) 现已上线 Gate.io MemeBox!
用户现可通过MemeBox @GateMemeBox 直接交易 vamp the vampcoin($VAMPCOIN2)
MemeBox一站式链上资产交易入口
🔥 快人一步交易链上热门资产!
https://www.gate.io/announcements/article/44810
#Gateio # #GateioMemeBox # #VAMPCOIN2#
- 💰 Gate.io 每日话题发帖活动
#比特币战略储备法案#
5月7日,新罕布什尔州正式成为美国首个将比特币纳入战略储备的州。 根据已通过的《HB302法案》,州财政部门可将至多5%的公共资金投资于市值超过5000亿美元的数字资产及贵金属。
这一政策是否会推动比特币价格走高?从长期来看,又可能对美国其他州甚至全球数字资产战略带来怎样的示范效应?欢迎分享您的见解。
#美联储FOMC会议#
5月8日美联储将公布5月利率决议。 尽管面临来自特朗普日益增强的降息压力,市场普遍预期美联储将维持当前利率不变,继续按兵不动、暂缓降息。对此,您如何看待本次决议可能带来的市场影响?
带上话题 #比特币战略储备法案# 或 #美联储FOMC会议# 分享你的观点,瓜分$50 美金发帖奖励!
每日发帖打卡还可获取成长值参与每月成长值抽奖,抽取Macbook Air、精美周边等丰厚好礼!
详情请参考动态【社区中心】-【成长值任务】
📅 活动时间:5月7日12:00 - 5月8日12:00 (UTC+8)
⚠️ 注意事项:禁止抄袭,鼓励原创内容
- 🎉 庆祝 BOOP( $BOOP )在MemeBox 全球首发上线,限时空投活动正式开启!
总奖池:92,650 BOOP
完成以下操作均可参与空投奖励:
1. 首次在 MemeBox 完成交易
2. 活动期间交易 $BOOP
3. 向 Gate.io账户充值 $BOOP
📢 数量有限,先到先得,立即参与!
👉 更多详情:https://www.gate.io/announcements/article/44795
#Gateio # #GateioMemeBox # #Airdrop#
- Gateio 脑力大挑战!哪个是正确答案?
💰 $10点卡* 4位获奖者
参与方式:
1️⃣ 关注 Gateio动态_Official
2️⃣ 点赞此条动态贴文
3️⃣ 在评论中留下你的答案
截止时间:5月9日 18:00(UTC+8)
- 想当加密社区领袖人物?秀出你的创意力?
来 Gate.io动态 成为动态大使,拿专属福利!
限量周边、专属任务、动态VIP5全解锁,福利多到爆!
速来报名 👉️ www.gate.io/questionnaire/4937
详情:www.gate.io/announcements/article/38592
探讨 Ed25519 实现原理与可延展性问题
> 本文将介绍基于椭圆曲线的数字签名算法 Ed25519 的实现原理与可延展性问题。
撰文:阿为
Ed25519 是一个基于椭圆曲线的数字签名算法,它高效,安全且应用广泛。TLS 1.3, SSH, Tor, ZCash, WhatsApp 和 Signal 中都使用了它。本文主要讲解以下几点:
数学要点回顾
群的定义与性质
群论是抽象代数研究的内容,但抽象代数的一些思想是程序员非常熟悉的。面向对象中的继承就是一个很好的例子,我们都知道子类继承了父类后,就能使用父类中定义的方法。可以将抽象代数理解为对一个抽象的数据结构定义了一些性质,由这些性质推导出来的定理对于所有的子类都成立。
沿用刚刚的比喻,来看看群(group)这个数据结构是如何定义的。
一个群由一个操作(任何的二元操作用 记)和一些元素构成,同时满足如下性质:
由此可以推出许多有意思的定理:
举几个例子:
被一笔带过的群论术语
拉格朗日定理
现在介绍一个非常有意思的定理,这个定理的推导在文末引用的视频中。
「群的阶能被子群的阶整除。」
为什么说这个定理有意思呢,不仅仅因为它的证明过程串起了刚刚介绍的许多知识,还因为下面的结论:
「如果一个群的阶是一个素数 ,那么根据拉格朗日定理,子群的阶一定是 或者 。除了 之外,群里的所有元素都是生成元。」
Ed25519 的实现
现在我们来讲 Ed25519,它是 EdDSA 算法的其中一种。EdDSA 有 11 个参数(这些参数的具体选择对于算法的安全和性能有很大的影响。Ed25519 的具体选择请参看链接(
另外,值得一提的是这套算法用到了一个叫 Curve25519(的椭圆曲线。对于椭圆曲线,我们只需知道,它上边有很多很多点,这些点相加能得到新的点,新的点还是在曲线上。这些点和这个加法能形成一个群。注意这里的椭圆曲线加法(是有特殊定义的。
我们约定如下记法:
这是个交互式的算法,但是没关系,有一个技巧叫做 the Fiat – Shamir heuristic(它可以把任意的交互式算法转化成非交互式的算法。最终我们会用非交互式算法。
数字签名算法都会给我们如下 API:
KeyGen 的实现
输出一个私钥和一个公钥:
pub fn generate(csprng: &mut T) -> SecretKeywhere
T: CryptoRng + RngCore,
{
let mut sk: SecretKey = SecretKey([0u8; 32]);
csprng.fill_bytes(&mut sk.0);
sk
}
pub struct ExpandedSecretKey { // xseed pub(crate) key: Scalar, // a
pub(crate) nonce: [u8; 32], // nonce
}
fn from(secret_key: &'a SecretKey) -> ExpandedSecretKey {
let mut h: Sha512 = Sha512::default();
let mut hash: [u8; 64] = [0u8; 64];
let mut lower: [u8; 32] = [0u8; 32];
let mut upper: [u8; 32] = [0u8; 32];
h.update(secret_key.as_bytes());
hash.copy_from_slice(h.finalize().as_slice());
lower.copy_from_slice(&hash[00..32]);
upper.copy_from_slice(&hash[32..64]);
// 这一步是 clamp
lower[0] &= 248;
lower[31] &= 63;
lower[31] |= 64;
ExpandedSecretKey{ key: Scalar::from_bits(lower), nonce: upper, }
}
pub struct ExpandedSecretKey { // xseed pub(crate) key: Scalar, // a
pub(crate) nonce: [u8; 32], // nonce
}
fn from(secret_key: &'a SecretKey) -> ExpandedSecretKey {
let mut h: Sha512 = Sha512::default();
let mut hash: [u8; 64] = [0u8; 64];
let mut lower: [u8; 32] = [0u8; 32];
let mut upper: [u8; 32] = [0u8; 32];
h.update(secret_key.as_bytes());
hash.copy_from_slice(h.finalize().as_slice());
lower.copy_from_slice(&hash[00..32]);
upper.copy_from_slice(&hash[32..64]);
// 这一步是 clamp
lower[0] &= 248;
lower[31] &= 63;
lower[31] |= 64;
ExpandedSecretKey{ key: Scalar::from_bits(lower), nonce: upper, }
}
Sign 的实现
这里可以提一下之前说的 Fiat Shamir 技巧,其实只需要把所有 Verifier 提供的随机数替换成一个哈希函数的结果即可。具体请看代码注释。
pub fn sign(&self, message: &[u8], public_key: &PublicKey) -> ed25519::Signature {
let mut h: Sha512 = Sha512::new();
let R: CompressedEdwardsY;
let r: Scalar;
let s: Scalar;
let k: Scalar;
h.update(&self.nonce);
h.update(&message);
r = Scalar::from_hash(h); // r 在我们交互式算法中是一个随机数,但是这里我们用了哈希。
R = (&r * &constants::ED25519_BASEPOINT_TABLE).compress(); // R = [r]B
h = Sha512::new();
h.update(R.as_bytes());
h.update(public_key.as_bytes());
h.update(&message);
k = Scalar::from_hash(h); // h = Sha512(R || A || M)
s = &(&k * &self.key) + &r; // s = r + h * a,h 原本是随机数
InternalSignature { R, s }.into()
}
Verify 的实现
impl Verifier for PublicKey {
#[allow(non_snake_case)]
fn verify(
&self,
message: &[u8],
signature: &ed25519::Signature
) -> Result<(), SignatureError>
{
let signature = InternalSignature::try_from(signature)?;
let mut h: Sha512 = Sha512::new();
let R: EdwardsPoint;
let k: Scalar;
let minus_A: EdwardsPoint = -self.1;
h.update(signature.R.as_bytes());
h.update(self.as_bytes());
h.update(&message);
k = Scalar::from_hash(h); // h 的计算和 sign 中一样,h=Sha512(R||A||M)
R = EdwardsPoint::time_double_scalar_mul_basepoint(&k, &(minus_A), &signature.s); // R’ = [s]B - [h]A
if R.compress() == signature.R { // 如果 R’==R,那么验证结果为真。
Ok(())
} else {
Err(InternalError::VerifyError.into())
}
}
}
代码地址(
可延展性问题
密码学算法的实现和使用都有非常多要注意的地方。当我们说一个数字签名算法是安全的,一般指的是即使在攻击者能够获得任意消息的签名(Chosen Message Attack)的情况下,攻击者仍然不能伪造签名。Ed25519 满足这个性质,但不代表 Ed25519 是绝对安全的。在原始的论文中也提到,可延展性问题是可以接受的,且原始的算法就有这个问题。
这样,新构造的签名和旧的签名就都能被验证成功了。延展性问题告诉我们签名并不是相对 message 和公钥确定,当签名算法存在延展性问题且代码中假设签名是确定的情况下,就很有可能存在漏洞。
按照标准( 其实是没有可延展性问题的。因为在验证的过程中,我们会检查 是否小于 ,如果检查结果不为真,验证失败。但是标准(的出现晚于论文(因此在实际环境中,仍有 Ed25519 的实现存在可延展性问题,需要我们检查 的实现。
总结
致谢
感谢领先的⼀站式数字资产⾃托管服务商 Safeheron 提供的专业技术建议。
> References
> [1].
> [2].
> [3].
> [4].
> [5]. Researchers Use Group Theory to Speed Up Algorithms — Introduction to Groups