1
. X7 V4 D5 y' s& h+ R7 _$ G5 g# L: H  i; v1 N
数字签名算法 - Ed25519
- n1 |9 ?- m3 g' K3 m9 c6 C7 C- e" O
一、背景
% a& \8 D0 N) `" r6 o! }7 A6 |+ m5 H3 y; M9 |9 E2 P- X* x2 k
数字签名的目的是创造和我们合同上签字一样的不可抵赖性，其核心属性是：通过签名的消息可以明确知道其发起人，因为只有唯一的签名者的私钥才能计算出有效的签名，这也就意味着该消息确实是签名方生成的，这种证明在一些国家具有法律上的意义，比如美国的电子签名法案，德国的签名法等。6 b0 w% N4 M( J& n* J+ n
" P( x7 B& N  K1 W. T* {
私钥签名，然后公布公钥、消息和签名数据让大家去验证，在这些步骤中公私钥对扮演着最重要的角色，它们总是成对出现，而且就像量子纠缠一样互不分离。公私钥一般是通过一个特殊的单向函数和一个随机数生成，这种单向函数往往正向求解（ f(x) = y） 是多项式难度，而逆向求解（ f-1(y) = x）是指数级难度。
2 ]' A& ]( A. Y. a3 w% [% i' c; y1 R3 A8 j% g/ m; g1 i
假设x是私钥，y是公钥，那么从私钥推导出公钥在现代计算机体系上需要大到没有任何单位能承受的消耗，所以在目前来看是非常安全的，但是如果量子计算机在未来真的能研究出来的话，那么现在这些广泛基于RSA，DLP（离散对数问题），和从DL上扩展来的ECC（椭圆曲线密码学）的非对称加密机制都是不安全的，如何做到quantum safe，这大约是个和研究量子计算机一样漫长的岁月。6 q6 c: e7 w  I% X9 X% a
8 w5 e: H( z& S0 z( u
签名算法在区块链系统中处于最基础的位置，账户地址、交易的产生都与之紧密相关，所以在签名算法的选择上，我们必须兼顾安全和性能，其中安全是首要的，中本聪当时选择的是ECDSA over secp256k1，secp256k1是SECG定义的一个Koblitz曲线，在他使用前几乎无人问津，它设计透明，而不像NIST选中的secp256r1（也就是现在主流常用的P256）曲线中有一些诡异的参数，这些参数被广泛地认为是NSA植入的后门，后来的一系列事件也确实证明了中本聪的选择是非常具有前瞻性的，于是以太坊、EOS等也都跟进了中本聪的想法，但是随着Ed25519专利期限制解除，包括比特币的核心开发者们和Vitalik Buterin都讨论过是否迁移到Ed25519，链接中可见他们的态度都比较暧昧地倾向于使用Ed25519，但可能由于迁移成本太大所以未能成行，而ripple则是在14年就果断迁移了过去。; u5 x1 e& c6 ^4 A7 A; E

% u; m1 O% D% l% ?: b+ \4 h% |参考链接：
, I. R2 f+ ^/ c1 ?6 {) D" N7 l7 G5 b$ b0 O+ l
https://www.ams.org/notices/201402/rnoti-p190.pdf
( C4 n7 x9 k! X8 Z7 N) }4 \5 E! r" D. h4 A
https://bitcointalk.org/index.ph ... g1134832#msg1134832' D) {. H3 R/ B  [( V0 [

6 U$ z+ |( u! Bhttps://blog.ethereum.org/2015/07/05/on-abstraction/
# [! }$ U$ z6 z6 g0 g4 n% X
+ G; ~3 r! o- ?% W8 I( Q" H1 A/ k  w二、安全性考量) k% H' E. }. X

. \! G$ m8 R& WEd25519在安全性上经过大量独立的知名安全专家评测后被认为是"safe"，而secp256k1是"unsafe"。) `/ m" _1 ]3 \8 C
6 r/ R. S) O4 J3 z- L1 w
参考链接：
. x, t, d" z. ^: e& u2 z9 \. U5 j  A. \% _0 b
https://safecurves.cr.yp.to/
8 E4 W" V: b5 `" T7 ?( C3 U/ ]$ y; Z3 s9 i% |! N) g
三、性能考量
5 J' j4 z4 _; S0 Y
2 t3 f3 @% l- z& qVite为了满足了工业级应用对高吞吐、低延迟和扩展性的要求，设计了许多优化的方案，比如提出了"交易分解"这个概念，其含义是会把一个交易拆成类似于"请求"和"响应"这样的一对交易，那么再结合我们如此高的TPS，可以预见在Vite的公链系统中对交易的验证和确认是非常频繁发生的，也就是说整体系统的性能表现对签名和验签算法的速度高低会相当敏感。
; t$ E' F+ m. {: p, s& E! t
  ^7 M; X7 d6 q根据现在的数据Ed25519的性能数倍快于ECDSA over secp256k1 (参考ripple的benchmark)，我相信这对我们系统的性能提升会带来很大的帮助。不仅如此，Ed25519的签名长度也略小于ECDSA，这给就网络传输和存储系统减轻了不小的压力。
% H# ?" R+ d3 u9 a( @
  L) k9 D& x- \- F参考链接：
" X! Q3 f! c9 n) Q
$ p8 |' T3 @+ I& {. L+ Y" d" S+ ]https://ripple.com/dev-blog/curves-with-a-twist/) m$ B+ Z7 H1 h: d" G5 l
% I% j$ P6 }0 a8 r
https://bench.cr.yp.to/primitives-sign.html# N- F! W3 M. U7 W: m) {8 I
( j$ Z9 M. H( a4 `7 \; z  q
四、改造
$ d. w( a+ o0 |2 `) V9 G
$ v) L( t. C/ n: v; Z; o我们把标准Ed25519的SHA2替换成了Blake2b。
* V  l" B4 D& p1 s
1 m; k& S8 H% Q$ v  Q2 j; P; I. P- w五、不足
" Q3 z5 m3 |/ O7 W0 o2 L5 Q" z
1 Y1 k7 }- I8 a. S5 Q; W6 b由于密钥空间是非线性的，无法兼容BIP的Hierarchical Deterministic Key Derivation。
# ?% _6 O% D; d7 z/ c' R. _/ S) Y" X  U3 D8 j
参考链接：0 t; m1 ^( r" b; `, R' v* [" }

8 B3 B" D! V; `" D8 a* lhttps://cardanolaunch.com/assets/Ed25519_BIP.pdf- t1 F& y+ K; B7 ^

% Y2 r" a+ J/ O0 \" s, ^2" M2 V. K' m6 Z) i) i" H

3 m3 \% [- t/ O& x/ K+ q; U0 O6 H0 fHash算法 - Blake2b6 Q" ~; k' B" `/ s- g1 W& R; ]
. s. i# q) C* b, H" P
一、背景
! p' p( T0 A3 V0 n8 x7 f, @" w
! K! s, N9 m- ~: z: Z6 N哈希算法的作用是对一串任意长的消息生成一个短的固定长的摘要，Hash函数也是一个单向函数，但是和非对称加密系统中的单向函数的差别在于，后者的单向函数往往是追求反向求解在实际操作上不可能，但理论上是可能的，或者换句话说公钥含有推导出私钥的完整信息。但是哈希函数则不一样它理论上不能逆向，而实际上却往往可以，理论上来说，一个哈希值可以有无穷多个原像对应它，给一个简单的证明，假设一个哈希函数的输出是n个bit，那么这个Hash函数的所有输出值只有2n  个，而输入是无限制的。
: k' U7 ]# ^5 K8 J0 p4 I- ^- i
* R( O5 T% u! b6 B: R9 X# k' m那么根据鸽巢原理，如果输入是m * 2n个bit，每一个Hash的输出至少对应m个原像，那么即使 Hash(X1) = Hash(X2)= Y，也没法得到X1=X2的结论。但实际上受限于存储和计算能力，输入的原文的长度不会很大，意味着m的值域很小，所以一旦有一个X满足Hash(X) = Target，X是真实原像的概率非常大。# N& R& @* T4 w6 _

) O8 g& A9 D, t% ^* N) M参考链接：
( e1 E5 s. c: y4 l, Q+ M' N/ }* t* y+ l* o
https://blake2.net/4 W0 g: J8 a- X8 B- X$ y
4 V) y: @  h3 h# z' y9 q9 [
Hash函数在我们的系统中，担负着挖矿，数据的防篡改等功能，它和签名算法一样是最基础的组件，所以同样我们在技术选型的时候要着重考量其安全和性能。. N9 g0 a9 z# S$ U

3 o5 v0 c/ y1 i& [二、安全性考量
' R3 u" q- Q' }6 V3 ]1 n
& j3 o- f! e* N& m: {- y/ ABlake2的前身是Blake，Blake和keccak当时一起竞争SHA3标准的时候失利了，当时失利的原因是Blake和sha2的实现有点相似，而NIST的目标是一个完全不同于SHA2标准的Hash算法。
! j4 f7 P# s" O8 ?2 n  l9 I* ]$ S3 E* u* g' f' \
“desire for SHA-3 to complement the existing SHA-2 algorithms … BLAKE is rather similar to SHA-2.”
. ]' N& z& Z: x: g, Y! ~1 v: |9 s8 Z+ T/ `
事实上在安全性评估上NIST给了Blake相当高的评价，其 report形容Blake。4 s& v5 o  u$ l" ?& N9 C! E$ f7 r

  K7 r+ p9 v- S2 e) b参考链接：
! i" P% t! S& \. [; I- ~2 {  s0 S, Y5 r9 L
https://nvlpubs.nist.gov/nistpubs/ir/2012/NIST.IR.7896.pdf
' M' }0 X% d6 t% @0 y
. N! d; h: L' b; W- @  }“BLAKE and Keccak have very large security margins.”, h. F+ g% m5 }( j+ T$ J

! h4 P8 Y2 `) r* I3 X( V所以一般而言我们可以认为blake2的安全性和keccak不会有大的区别。/ o( x' N2 \4 Y* A

6 w4 b; `, L- O三、性能考量. x4 @. z- S/ d& B* x& }& |

6 [) f$ T. `' e* v) W根据大量的数据Blake2的性能表现在现代的通用CPU(X86 ARM等)上的表现远远领先其它任何Hash算法。7 z0 R+ \; i' S" M6 s
1 W9 k- E* ^# A
具体性能表现参考链接：  `8 I* n: A/ E
. F9 j2 X: z* [3 N8 f
http://bench.cr.yp.to/results-sha3.html
$ P$ ~% X& b9 Y7 D7 P
6 Y5 W, R* ]' yBlake2的另一个特点是用ASIC设计的Blake2算法能达到的峰值并不会很高，这就意味着挖矿的峰值速率相对较低，这也是我们希望的。
7 x  }5 E7 A% [
9 J+ n( y6 q, i- b1 N3
2 C- x4 Z2 D3 X) u. V7 p5 V& [; }+ W% e
密钥派生函数 - scrypt
1 d# V; D- B! k. D* B1 d4 m& t1 ?, V9 f  ^
一、背景6 S2 a! B3 s- B' C$ y
) ]4 q2 S, A5 {( f; Z- y" c
密钥派生函数(Key Derivation Function) ，简单而言就是使用一个主密钥派生子密钥的函数，比如把一个短的字符串通过KDF的运算扩展成需要的形式，它和Hash函数很类似，最大不同在于它会引入随机量从而防止黑客进行一些查表攻击等（比如彩虹表 rainbow tables）。我们采用的scrypt是一种内存依赖性的KDF，它每一次计算都要占用大量内存资源，消耗很长时间，所以暴力攻击也几乎是不可能的。
9 Z7 s+ Z% Y9 E) Q' ]# G; P6 |$ r& ~* }/ V/ r+ e1 w
KDF在我们的系统中处于非基础性的地位，我们把用户输入的随机短密码经过KDF之后，转换成256bits的密钥，然后使用这个密钥配合AES-256-GCM算法，加密Ed25519私钥，从而安全地在PC上保存我们的私钥。. X4 h& C: O5 W! R
& v2 r+ O8 M% v$ p9 ^
二、选择原因9 f7 n+ V& y" J7 H
( j; `! A, v: y7 ?; q4 U
从技术角度来看scrypt相比于获得15年的Password Hashing Competition的argon2来说安全性上并没有大的区别，但是由于其诞生更早使用更广泛所以在实践角度看显得更成熟一点，argon2如果再有两到三年年仍然没有被发现大的问题，我们也有可能会使用它。/ w* g8 O7 H8 j; [& o

6 {! H& J& `, @1 C4; p& j6 t: n( ^" i& ~

0 L+ M! j6 O) v( A) ^6 q相关名词解释
+ t  P& b; K4 w1 d9 D! f9 N5 G
9 `/ A" _1 R9 {- g& r6 W2 lECDSA(Elliptic Curve Digital Signature Algorithm)是使用椭圆曲线的数字签名算法% n+ J* H& }  A. f2 K
* e. s/ A( X2 z0 i/ F" D+ I
secp256k1是ECDSA算法的一个参数' W! w' {0 h' ]  t0 W

# H8 [# _, y/ t0 ~* sec是SECG（Standards for Efficient Cryptography Group）推出的Standards for Efficient Cryptogrpahy
; V1 {1 H# q+ j  e( a8 q% B7 i; e5 @$ o* ^
* p的意思是这个椭圆曲线使用 prime field，相对应的
+ I/ L  L9 I8 W+ m7 _9 D) X& h% d9 I. v* A% z0 [. Y
* 256的意思是 prime的长度是256bits* z9 D/ `+ s+ D& {

7 z# z3 H% N7 P2 T/ G1 U* k 是Koblitz曲线7 H- p/ O" h6 L5 ^, M

$ x" F+ s0 S( ~2 [) D$ P( M* 1 意味着它是第一个(事实上也是唯一)标准曲线的类型: o7 Z3 H% Q  V+ T

6 Y( m* D0 }  J0 G+ EEd25519 是一个使用SHA512/256和Curve25519的EdDSA签名算法