OIN:慢雾：Ed25519 实现原理与可延展性问题_RES

作者：

时间：

Ed25519 是一个基于椭圆曲线的数字签名算法，它高效，安全且应用广泛。TLS 1.3, SSH, Tor, ZCash, WhatsApp 和 Signal 中都使用了它。本文主要讲解以下几点：

1. 介绍一点群论知识，目的是让大家对 Ed25519 和其可延展性问题的原理有一种直觉。若想深入理解，还需参考其他资料；

2. 针对 rust 库 ed25519-dalek 的 1.0.1 版本讲解 ed25519 的实现；

3. 针对该库的延展性问题做出解释。

数学要点回顾

群的定义与性质

群论是抽象代数研究的内容，但抽象代数的一些思想是程序员非常熟悉的。面向对象中的继承就是一个很好的例子，我们都知道子类继承了父类后，就能使用父类中定义的方法。可以将抽象代数理解为对一个抽象的数据结构定义了一些性质，由这些性质推导出来的定理对于所有的子类都成立。

慢雾：Distrust发现严重漏洞，影响使用Libbitcoin Explorer3.x版本的加密钱包:金色财经报道，据慢雾区消息，Distrust 发现了一个严重的漏洞，影响了使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。该漏洞允许攻击者通过破解 Mersenne Twister 伪随机数生成器（PRNG）来访问钱包的私钥，目前已在现实世界中造成了实际影响。

漏洞详情：该漏洞源于 Libbitcoin Explorer 3.x 版本中的伪随机数生成器（PRNG）实现。该实现使用了 Mersenne Twister 算法，并且仅使用了 32 位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。

影响范围：该漏洞影响了所有使用 Libbitcoin Explorer 3.x 版本生成钱包的用户，以及使用 libbitcoin-system 3.6 开发库的应用。

已知受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

风险评估：由于该漏洞的存在，攻击者可以访问并控制用户的钱包，从而窃取其中的资金。截至 2023 年 8 月，已有超过 $900,000 美元的加密货币资产被盗。

解决方案：我们强烈建议所有使用 Libbitcoin Explorer 3.x 版本的用户立即停止使用受影响的钱包，并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。[2023/8/10 16:18:20]

沿用刚刚的比喻，来看看群（group）这个数据结构是如何定义的。

慢雾：7月3日至7月7日期间?Web3生态因安全问题损失近1.3亿美元:7月10日消息，慢雾发推称，自7月3日至7月7日，Web3生态因安全问题遭遇攻击损失128,419,000美元，包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中，Multichain被攻击损失1.26亿美元。[2023/7/10 10:12:36]

由此可以推出许多有意思的定理：

慢雾：Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息，Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析，攻击者（0x0d0...D00）获利超 1 亿美元，包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD，在以太坊链攻击者将大部分代币转移到两个新钱包地址，并将代币兑换为 ETH，接着将 ETH 均转回初始地址（0x0d0...D00），目前地址（0x0d0...D00）约 85,837 ETH 暂无转移，同时，攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]

举几个例子：

慢雾：警惕高危Apache Log4j2远程代码执行漏洞:据慢雾安全情报，在12月9日晚间出现了Apache Log4j2 远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置，经多方验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2是一款流行的Java日志框架，建议广大交易所、钱包、DeFi项目方抓紧自查是否受漏洞影响，并尽快升级新版本。[2021/12/10 7:30:00]

拉格朗日定理

现在介绍一个非常有意思的定理，这个定理的推导在文末引用的视频中。

“群的阶能被子群的阶整除。”

为什么说这个定理有意思呢，不仅仅因为它的证明过程串起了刚刚介绍的许多知识，还因为下面的结论：

Ed25519 的实现

现在我们来讲 Ed25519，它是 EdDSA 算法的其中一种。EdDSA 有 11 个参数（https://datatracker.ietf.org/doc/html/rfc8032#autoid-3），这些参数的具体选择对于算法的安全和性能有很大的影响。Ed25519 的具体选择请参看链接（https://datatracker.ietf.org/doc/html/rfc8032#autoid-9）。

另外，值得一提的是这套算法用到了一个叫 Curve25519（https://datatracker.ietf.org/doc/html/rfc7748#autoid-5）的椭圆曲线。对于椭圆曲线，我们只需知道，它上边有很多很多点，这些点相加能得到新的点，新的点还是在曲线上。这些点和这个加法能形成一个群。注意这里的椭圆曲线加法（https://www.wikiwand.com/en/Elliptic_curve_point_multiplication）是有特殊定义的。

我们约定如下记法：

这是个交互式的算法，但是没关系，有一个技巧叫做 the Fiat – Shamir heuristic（https://link.springer.com/chapter/10.1007%2F3-540-47721-7_12），它可以把任意的交互式算法转化成非交互式的算法。最终我们会用非交互式算法。

数字签名算法都会给我们如下 API：

代码地址（https://github.com/dalek-cryptography/ed25519-dalek/blob/97c22f2d07b3c260726b90c55cd45f34ec34a037/src/public.rs#L322-L355）

密码学算法的实现和使用都有非常多要注意的地方。当我们说一个数字签名算法是安全的，一般指的是即使在攻击者能够获得任意消息的签名（Chosen Message Attack）的情况下，攻击者仍然不能伪造签名。Ed25519 满足这个性质，但不代表 Ed25519 是绝对安全的。在原始的论文中也提到，可延展性问题是可以接受的，且原始的算法就有这个问题。