ed25519-unsafe-libs

2022-06-18 本文已影响0人雪落无留痕

ed25519是确定性签名，生成的签名为 $(R, S)$ ，其中 $R$ 是曲线上的点， $S$ 为标量，但是 $R$ 的生成只与私钥和签名消息有关，与公钥无关。对于一些api, 私钥和公钥分别作为输入，可能导致相同的私钥对相同的消息签名，生成相同的 $R$ ，但输入公钥不一致，会生成不同的 $S$ ，从同可以推导用户的私钥。

原理推导：
https://crypto.stackexchange.com/questions/13129/does-changing-the-random-number-selected-for-each-message-increase-security-in-s

参考

https://github.com/MystenLabs/ed25519-unsafe-libs
https://datatracker.ietf.org/doc/html/rfc8032
https://en.wikipedia.org/wiki/EdDSA

ed25519-unsafe-libs

参考

猜你喜欢

热点阅读