安夫斯 | ED25519关键系统技术一小步，产业发展一大步

关于加密算法，我们常见的secp256k1加密算法在区块链领域应用广泛，包括比特币、以太坊等，银行和金融机构也在使用。

比特币基于椭圆曲线加密的椭圆曲线数字签名算法（ECDSA）。 具体的椭圆曲线称为secp256k1，即曲线y²=x³+7在有限域（也称伽罗华域）中。

比特币现有的安全设计主要采用sha-256和secp256k1这两种目前公认的安全加密算法，包括NSA。 但是，最重要的一点被忽视的是，在中心化系统中使用这些可以满足基本的加密高度，因为中心化系统可以随时修改和升级。

但是，如果在这个去中心化的金融系统中，这些环节中的任何一个被破坏，那将是整个系统的崩溃。

就像山东大学的王小云先生，在他撞破md5之前，大家都认为md5安全有效，但突破之后，就看谁裸奔了。

如果secp256k1被攻破，就意味着你可以获得所有人比特币账户的密码，所有人都无法挂失，所有比特币都归你所有。 所以sha-256和secp256k1如果用在去中心化的系统中，不能算是安全系数高的加密算法。

随着区块链行业的发展，技术也会随着行业的发展而发展。 今天我们就来分析一下ANFS的ed25519密钥系统。 昨天，小编在推特上看到了ANFS公布的ed25519密钥系统的进展。 ，乍一看不太好看，但仔细研究后，却异常兴奋，为什么呢？

ed25519的历史

25519系列曲线自2006年发表以来，除了学术界外无人关注。 2013年爱德华·斯诺登曝光Prism项目后，该算法突然火了起来，OpemSSH等一大批软件迅速增加了对25519系列的支持。 ，现在可疑的NIST曲线迟早会退出椭圆曲线的历史舞台，25519已经成为大势所趋。

25519曲线的特点

算法的每个参数的选择都直截了当，很清楚同发一分28比特币，没有什么可疑之处。 相比之下，广泛使用的椭圆曲线是基于NIST的系列标准，方程的系数使用来历不明的随机种子c49d3608。 86e70493 6a6678e1 139d26b7 819f7e90 生成，非常可疑，怀疑是后门。

即使椭圆曲线加密算法在数学上是安全的，在实践中也不一定安全。 大概率会通过缓存、时间、恶意输入破坏安全。 25519系列椭圆曲线经过专门设计，将出错概率降到最低，可以说是目前最安全的加密算法。

例如，任意一个32位的随机数都是合法的X25519公钥，不可能通过恶意数值进行攻击。 一些分支操作在算法的设计中被刻意避免，这样就可以在编程时不使用if，减少where different if分支代码执行次数不同的时序攻击概率。

相反，NIST系列的椭圆曲线算法在实际应用中很容易出错，也不能幸免于某些理论攻击。 Bernstein 对市场上的所有加密算法使用 12 种标准。 经检查，25519 几乎是唯一能够满足这些标准的。

25519系列曲线是目前最快的椭圆曲线加密算法，性能远超NIST系列，安全性高于P-256。 ed25519是一种具有极高签名和验证性能的数字签名算法。 一个4核2.4GHz的Westmere cpu每秒可以验证71,000个签名，非常安全，相当于大约3000位RSA。

签名过程不依赖随机数生成器，不依赖哈希函数的防碰撞，不存在时间通道攻击问题，而且签名很小，只有64字节，公钥为也很小，只有32个字节。

25519系列曲线是著名密码学家Daniel J. Bernstein于2006年独立设计的一套包含签名/加密/密钥的椭圆曲线交换算法。其中curv25519用于加密，x25519用于密钥交换，ed25519是基于 25519 曲线的签名。

BANKIA已成功采用ed25519加密算法实现链上数据安全传输。 ed25519的安全性介于RSA 2048和RSA 4096之间，性能要高出十多倍。

为什么ANFS使用ed25519加密算法而不是secp256k1？

基于椭圆曲线secp256k1的ECDSA由于在比特币中的部署，逐渐成为区块链项目中的默认签名机制。 secp256r1 的椭圆曲线 ECDSA 签名机制。

比特币最初采用secp256k1的真正原因不得而知，我们只能推测，但NSA引入的算法后门可能埋在secp256r1曲线中，适合secp256k1支持同态映射，可以加速签名验证过程 。

基于secp256k1的ECDSA在区块链场景的应用带来了诸多挑战。 稍有不慎，就可能导致区块链网络出现安全问题或数字货币资产丢失。 回顾区块我们总结了在区块链场景下应用secp256k1ECDSA签名机制的七大罪过：

1. 如果签名过程中随机值泄露，任何知道随机值的人都可以使用随机数生成签名值来恢复私钥。

2. 如果同一用户在对两条不同的消息进行签名时使用了相同的随机数同发一分28比特币，那么任何人都可以通过这两个签名值来恢复私钥。

3. 如果两个用户在执行ECDSA签名时使用相同的随机数，任何一个都可以推导出另一个的私钥。

4. 如果ECDSA签名和Schnorr签名使用相同的私钥和随机数，任何人都可以恢复私钥。

5、ECDSA签名值的可伪造性带来的安全风险。

6、ECDSA签名值的DER编码的非唯一性会带来安全隐患。

7. 如果签名消息不需要签名验证，任何人都可以伪造签名值。

除了各种安全问题，ECDSA签名机制还有非常适合区块链场景的特性。 例如，公钥可以从签名值中恢复出来。 使用此功能可以减少每个事务的大小。 以太坊利用此功能。 为了避免上述问题并获得更高的性能，ANFS采用了安全性和性能更好的ed25519来改进加密算法。

回到市场，区块链是一个价值互联网，如何保证安全和性能是这个价值互联网能够稳定发展的重要因素。

马克思说：资本家害怕没有利润或利润太少，就像大自然害怕真空一样。 一旦有适当的利润，资本就会大胆。 如果有百分之十的利润，他保证到处用；

如果有20%的利润，它就会变得活跃； 如果有50%的利润，它就会去冒险； 为了100%的利润，它敢于践踏一切人间法则； 什么罪都敢犯，上吊死也敢。

技术的发展变化是顺应社会发展需要的技术演进。 如今，sha-256、secp256k1等加密算法早已为大家所熟知，而比特币和以太坊的市值也早已达到数亿，所以黑客们甘冒风险，对比特币进行猛烈攻击。 币，ETH等公链。

因此，ED25519是大势所趋，是技术发展的必然趋势，ANFS必须在这条道路上始终走在技术前沿，推陈出新，砥砺前行。

以下是ANFS官方推特上关于ED25519部分加密和分析文档的公告

使用路径42'/1/2时，测试情况：

使用路径 42'/3'/5 测试用例时：