Curve25519 在 ECDSA 中的使用

Question

我目前正在研究使用 curve25519 进行签名。 原始发行版 和 C 实现（以及第二个 C实施）。

Bernstein 建议为此使用 ECDSA，但我找不到任何代码。

Answer 1

ECDSA 由 ANSI X9.62 指定。该标准定义了 ECDSA 定义的曲线类型，包括详细的曲线方程、关键表示等。这些与Curve25519不匹配：使Curve25519比相同尺寸的标准曲线更快的部分优化依赖于特殊的曲线方程，该方程没有进入X9.62形式主义。相应地，不可能存在既符合 ANSI X9.62 又使用 Curve25519 的 ECDSA 实现。实际上，据我所知，Curve25519 上没有类似 ECDSA 的算法的实现。

简而言之，你只能靠自己。您可能希望通过遵循 X9.62（有 1998 年的草案，可以从多个地方下载，例如 那里，或者你可以花一百美元从 Techstreet）。但请注意，您正在走出分析密码学的谨慎路径；换句话说，我明确否认对这种 ECDSA 的安全性提供任何形式的保证。

我的建议是坚持使用标准曲线（例如 NIST P-256）。请注意，虽然 Curve25519 比大多数相同大小的曲线更快，但较小的标准曲线会更快，并且为大多数用途提供足够的安全性。例如，NIST P-192 提供“96 位安全性”，有点类似于 1536 位 RSA。此外，标准曲线已经在小型 PC 上提供了每秒数千个签名的性能，我很难想象需要更高性能的场景。

Answer 2

要使用 Curve25519 来实现此目的，您必须实现许多据我所知目前尚未在该曲线的任何地方实现的函数，这意味着要深入了解椭圆曲线密码学的数学知识。原因是现有函数丢弃了点的“y”坐​​标，而仅使用“x”坐标。如果没有“y”坐标，点 P 和 -P 看起来是一样的。这对于 Curve25519 所设计的 ECDH 来说很好，因为 |x(yG)| = |x(-yG)|。但对于 ECDSA，您需要计算 aG + bP 和 |aG + bP|一般不等于 |aG - bP|。我研究了扩展 curve25519-donna 以支持此类计算所涉及的内容；这是可行的，但绝非微不足道。

由于您最需要的是快速验证，因此我推荐 Bernstein 的 Rabin-Williams 方案。

Answer 3

我最近分享了我不久前开发的 curve25519 库。它托管在 https://github.com/msotoodeh 并提供更多功能、更高的安全性以及更高的性能比我测试过的任何其他可移植 C 库都要好。它在 64 位平台上比 curve25519-donna 的性能高出近 2 倍，在 32 位目标上高出近 4 倍。

Answer 4

今天，在这个问题被提出多年之后，正确的答案是签名方案 Ed25519。