慢霧：Ed25519 實現原理與可延展性問題_HAI:CHA

Ed25519 是一個基于橢圓曲線的數字簽名算法，它高效，安全且應用廣泛。TLS 1.3, SSH, Tor, ZCash, WhatsApp 和 Signal 中都使用了它。本文主要講解以下幾點：

1. 介紹一點群論知識，目的是讓大家對 Ed25519 和其可延展性問題的原理有一種直覺。若想深入理解，還需參考其他資料；

2. 針對 rust 庫 ed25519-dalek 的 1.0.1 版本講解 ed25519 的實現；

3. 針對該庫的延展性問題做出解釋。

數學要點回顧

群的定義與性質

群論是抽象代數研究的內容，但抽象代數的一些思想是程序員非常熟悉的。面向對象中的繼承就是一個很好的例子，我們都知道子類繼承了父類后，就能使用父類中定義的方法。可以將抽象代數理解為對一個抽象的數據結構定義了一些性質，由這些性質推導出來的定理對于所有的子類都成立。

慢霧：過去一周Web3生態因安全事件損失約2400萬美元:6月19日消息，據慢霧發推稱，過去一周Web3生態系統因安全事件損失約2400萬美元，包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT與LEV/USDC、Midas Capital，總計23,795,800美元。[2023/6/19 21:46:18]

沿用剛剛的比喻，來看看群（group）這個數據結構是如何定義的。

由此可以推出許多有意思的定理：

慢霧：Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函數相關問題:據Multichain(AnySwap)早前消息，2022年01月18日，一個影響6個跨鏈Token的關鍵漏洞正在被利用。慢霧安全團隊進行分析后表示，此次主要是由于anySwapOutUnderlyingWithPermit函數為檢查用戶傳入的Token的合法性，且未考慮并非所有underlying代幣都有實現permit函數，導致用戶資產被未授權轉出。慢霧安全團隊建議：應對用戶傳入的參數是否符合預期進行檢查，且在與其他合約進行對接時應考慮好兼容性問題。[2022/1/19 8:57:49]

舉幾個例子： 

慢霧：跨鏈互操作協議Poly Network遭受攻擊并非由于網傳的keeper私鑰泄漏:對于跨鏈互操作協議Poly Network遭受攻擊事件，慢霧安全團隊分析指出：本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址，并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。[2021/8/11 1:47:48]

聲音 | 慢霧：99%以上的勒索病使用BTC進行交易:據慢霧消息，勒索病已經成為全球最大的安全威脅之一，99%以上的勒索病使用BTC進行交易，到目前為止BTC的價格已經漲到了一萬多美元，最近一兩年針對企業的勒索病攻擊也越來越多，根據Malwarebytes統計的數據，全球TO B的勒索病攻擊，從2018年6月以來已經增加了363%，同時BTC的價格也直線上漲，黑客現在看準了數字貨幣市場，主要通過以下幾個方式對數字貨幣進行攻擊：

1.通過勒索病進行攻擊，直接勒索BTC。

2.通過惡意程序，盜取受害者數字貨幣錢包。

3.通過數字貨幣網站漏洞進行攻擊，盜取數字貨幣。[2019/8/25]

拉格朗日定理

現在介紹一個非常有意思的定理，這個定理的推導在文末引用的視頻中。

“群的階能被子群的階整除。”

為什么說這個定理有意思呢，不僅僅因為它的證明過程串起了剛剛介紹的許多知識，還因為下面的結論：

Ed25519 的實現

現在我們來講 Ed25519，它是 EdDSA 算法的其中一種。EdDSA 有 11 個參數（https://datatracker.ietf.org/doc/html/rfc8032#autoid-3），這些參數的具體選擇對于算法的安全和性能有很大的影響。Ed25519 的具體選擇請參看鏈接（https://datatracker.ietf.org/doc/html/rfc8032#autoid-9）。

另外，值得一提的是這套算法用到了一個叫 Curve25519（https://datatracker.ietf.org/doc/html/rfc7748#autoid-5）的橢圓曲線。對于橢圓曲線，我們只需知道，它上邊有很多很多點，這些點相加能得到新的點，新的點還是在曲線上。這些點和這個加法能形成一個群。注意這里的橢圓曲線加法（https://www.wikiwand.com/en/Elliptic_curve_point_multiplication）是有特殊定義的。

我們約定如下記法：

這是個交互式的算法，但是沒關系，有一個技巧叫做 the Fiat – Shamir heuristic（https://link.springer.com/chapter/10.1007%2F3-540-47721-7_12），它可以把任意的交互式算法轉化成非交互式的算法。最終我們會用非交互式算法。

數字簽名算法都會給我們如下 API：

代碼地址（https://github.com/dalek-cryptography/ed25519-dalek/blob/97c22f2d07b3c260726b90c55cd45f34ec34a037/src/public.rs#L322-L355）

密碼學算法的實現和使用都有非常多要注意的地方。當我們說一個數字簽名算法是安全的，一般指的是即使在攻擊者能夠獲得任意消息的簽名（Chosen Message Attack）的情況下，攻擊者仍然不能偽造簽名。Ed25519 滿足這個性質，但不代表 Ed25519 是絕對安全的。在原始的論文中也提到，可延展性問題是可以接受的，且原始的算法就有這個問題。

慢霧科技

個人專欄

閱讀更多

區塊律動BlockBeats

Foresight News

曼昆區塊鏈法律

GWEI Research

吳說區塊鏈

西柚yoga

ETH中文

金色早8點

金色財經 子木

ABCDE

0xAyA

Tags：CHAAINChainHAIThe Whale of BlockchainHashBit BlockChainGambling ChainThe Everlasting Parachain

BNB價格