Криптографія на еліптичних кривих JavaScript BigInt: Поглиблений огляд розширених операцій

В епоху, де домінує цифрова взаємодія, від децентралізованих фінансів (DeFi) до наскрізного зашифрованого обміну повідомленнями, міцність наших криптографічних основ ніколи не була такою важливою. Криптографія на еліптичних кривих (ECC) є опорою сучасної криптографії з відкритим ключем, пропонуючи надійну безпеку з меншими розмірами ключів порівняно з її попередниками, такими як RSA. Протягом багатьох років виконання цих складних математичних операцій безпосередньо в JavaScript було проблемою, що часто вимагало спеціалізованих бібліотек, які абстрагували низькорівневі деталі або справлялися з обмеженнями стандартного числового типу JavaScript.

Запровадження нативного типу BigInt у JavaScript (ES2020) стало революційним моментом. Він звільнив розробників від обмежень 64-бітного типу з плаваючою комою Number, надавши механізм для обробки довільно великих цілих чисел. Ця єдина функція розкрила потенціал для продуктивних, нативних і більш прозорих криптографічних реалізацій безпосередньо в середовищах JavaScript, таких як браузери та Node.js.

Хоча багато розробників знайомі з основами ECC — генерацією пар ключів та підписанням повідомлень — справжня сила цієї технології полягає в її розширених операціях. Ця стаття виходить за рамки основ, щоб дослідити складні криптографічні протоколи та методи, які тепер доступні завдяки BigInt. Ми заглибимося в алгоритм Діффі-Хеллмана на еліптичних кривих (ECDH) для безпечного обміну ключами, відновлення публічного ключа з підписів та потужні, зручні для агрегування підписи Шнорра.

Революція BigInt у криптографії JavaScript

Перш ніж ми зануримося в розширені операції, важливо зрозуміти, чому BigInt є таким переломним моментом для криптографії в JavaScript.

Проблема з типом `Number`

Традиційний тип Number у JavaScript — це число з плаваючою комою подвійної точності IEEE 754, 64-бітне. Цей формат чудово підходить для широкого спектра застосувань, але має критичне обмеження для криптографії: він може безпечно представляти цілі числа лише до Number.MAX_SAFE_INTEGER, що становить 2⁵³ - 1.

Криптографічні ключі та проміжні значення в ECC значно більші. Наприклад, популярна крива secp256k1, що використовується Bitcoin та Ethereum, оперує полем простих чисел довжиною 256 біт. Ці числа на порядки більші, ніж може обробити стандартний тип Number без втрати точності. Спроба виконання обчислень з такими числами призвела б до неправильних і небезпечних результатів.

Представляємо `BigInt`: Цілі числа довільної точності

BigInt елегантно вирішує цю проблему. Це окремий числовий тип, який надає спосіб представлення цілих чисел будь-якого розміру. Ви можете створити BigInt, додавши `n` до кінця цілого літералу або викликавши конструктор BigInt().

Приклад:

const aLargeNumber = 9007199254740991n; // Безпечно з BigInt
const anEvenLargerNumber = 115792089237316195423570985008687907853269984665640564039457584007908834671663n; // 256-бітне просте число

З BigInt усі стандартні арифметичні оператори (+, -, *, /, %, **) працюють, як очікується, з цими величезними цілими числами. Ця можливість є основою, на якій побудовані нативні реалізації ECC в JavaScript, дозволяючи пряме, точне та безпечне обчислення криптографічних алгоритмів без використання зовнішніх модулів WebAssembly або громіздких бібліотек для багаторозрядних чисел.

Нагадування про основи криптографії на еліптичних кривих

Щоб оцінити розширені операції, коротко повернімося до основних концепцій ECC.

В основі ECC лежить алгебраїчна структура еліптичних кривих над скінченними полями. Ці криві визначаються рівнянням Вейєрштрасса:

y² = x³ + ax + b (mod p)

Де `a` та `b` — це константи, що визначають форму кривої, а `p` — велике просте число, що визначає скінченне поле.

Ключові концепції

• Точка на кривій: Пара координат (x, y), яка задовольняє рівняння кривої. Усі наші криптографічні операції — це, по суті, "арифметика точок".
• Базова точка (G): Загальновідома, стандартизована початкова точка на кривій.
• Приватний ключ (d): Дуже велике, криптографічно безпечне випадкове ціле число. Це ваш секрет. У контексті BigInt, `d` — це велике BigInt.
• Публічний ключ (Q): Точка на кривій, отримана з приватного ключа та базової точки за допомогою операції, що називається скалярним множенням: Q = d * G. Це означає додавання точки G до самої себе `d` разів.

Безпека ECC залежить від Проблеми дискретного логарифма на еліптичних кривих (ECDLP). Обчислити публічний ключ `Q` за заданими приватним ключем `d` та базовою точкою `G` є обчислювально легко. Однак обчислити приватний ключ `d`, маючи лише публічний ключ `Q` та базову точку `G`, є обчислювально нездійсненним.

Розширена операція 1: Обмін ключами Діффі-Хеллмана на еліптичних кривих (ECDH)

Одним із найпотужніших застосувань ECC є встановлення спільного секрету між двома сторонами через незахищений канал зв'язку. Це досягається за допомогою протоколу обміну ключами Діффі-Хеллмана на еліптичних кривих (ECDH).

Мета

Уявіть двох осіб, Алісу та Боба, які хочуть безпечно спілкуватися. Їм потрібно домовитися про симетричний ключ шифрування, який знають лише вони, але їхній єдиний засіб зв'язку — це публічний канал, який може моніторити підслуховувач, Єва. ECDH дозволяє їм обчислити ідентичний спільний секрет, ніколи не передаючи його безпосередньо.

Покроковий протокол

1. Генерація ключів:
   • Аліса генерує свій приватний ключ, `d_A` (великий випадковий BigInt), та відповідний публічний ключ, `Q_A = d_A * G`.
   • Боб генерує свій приватний ключ, `d_B` (інший великий випадковий BigInt), та свій публічний ключ, `Q_B = d_B * G`.
2. Обмін публічними ключами:
   • Аліса надсилає свій публічний ключ, `Q_A`, Бобу.
   • Боб надсилає свій публічний ключ, `Q_B`, Алісі.
   • Єва, підслуховувач, може бачити обидва `Q_A` та `Q_B`, але не може вивести приватні ключі `d_A` або `d_B` через ECDLP.
3. Обчислення спільного секрету:
   • Аліса бере публічний ключ Боба `Q_B` і множить його на свій приватний ключ `d_A`, щоб отримати точку S: S = d_A * Q_B.
   • Боб бере публічний ключ Аліси `Q_A` і множить його на свій приватний ключ `d_B`, щоб отримати точку S: S = d_B * Q_A.

Магія комутативності

Як Аліса, так і Боб отримують одну й ту ж саму секретну точку `S` на кривій. Це пояснюється тим, що скалярне множення є асоціативним та комутативним:

Розрахунок Аліси: S = d_A * Q_B = d_A * (d_B * G)

Розрахунок Боба: S = d_B * Q_A = d_B * (d_A * G)

Оскільки d_A * d_B * G = d_B * d_A * G, вони обидва обчислюють однаковий результат, ніколи не розкриваючи своїх приватних ключів.

Від спільної точки до симетричного ключа

Отриманий спільний секрет `S` є точкою на кривій, а не симетричним ключем, придатним для алгоритмів шифрування, таких як AES. Для отримання ключа стандартною практикою є взяття x-координати точки `S` та передача її через Функцію виведення ключа (KDF), таку як HKDF (Функція виведення ключа на основі HMAC). KDF приймає спільний секрет та, за бажанням, сіль та іншу інформацію, і генерує криптографічно стійкий ключ бажаної довжини.

Усі основні обчислення — генерація приватних ключів як випадкових `BigInt` та виконання скалярного множення — значною мірою покладаються на арифметику `BigInt`.

Розширена операція 2: Відновлення публічного ключа з підписів

У багатьох системах, особливо в блокчейнах, ефективність та мінімізація даних є першочерговими. Зазвичай, для перевірки підпису потрібне повідомлення, сам підпис та публічний ключ підписувача. Однак, розумна властивість алгоритму цифрового підпису на еліптичних кривих (ECDSA) дозволяє відновити публічний ключ безпосередньо з повідомлення та підпису. Це означає, що публічний ключ не потрібно передавати, що економить цінний простір.

Як це працює (на високому рівні)

Підпис ECDSA складається з двох компонентів, (`r`, `s`).

• `r` виводиться з x-координати випадкової точки `k * G`.
• `s` обчислюється на основі хешу повідомлення (`z`), приватного ключа (`d`) та `r`. Формула така: `s = k_inverse * (z + r * d) mod n`, де `n` — порядок кривої.

Через алгебраїчні маніпуляції рівнянням перевірки підпису можна вивести вираз для публічного ключа `Q`. Однак цей процес дає два можливі дійсні публічні ключі. Щоб вирішити цю неоднозначність, до підпису включається невелика додаткова інформація, яка називається ідентифікатором відновлення (часто позначається як `v` або `recid`). Цей ідентифікатор, зазвичай 0, 1, 2 або 3, вказує, яке з можливих рішень є правильним і чи є y-координата ключа парною чи непарною.

Чому `BigInt` є необхідним

Математичні операції, необхідні для відновлення публічного ключа, є інтенсивними та включають модульні обернення, множення та додавання 256-бітних чисел. Наприклад, ключовий крок включає обчислення `(r_inverse * (s*k - z)) * G`. Ці операції є саме тим, для чого призначений `BigInt`. Без нього виконання цих обчислень у нативному JavaScript було б неможливим без значної втрати точності та безпеки.

Практичне застосування: Транзакції Ethereum

Ця техніка широко використовується в Ethereum. Підписана транзакція не містить публічної адреси відправника безпосередньо. Натомість, адреса (яка виводиться з публічного ключа) відновлюється з компонентів підпису `v`, `r` та `s`. Такий вибір дизайну економить 20 байт на кожній транзакції, що є значною економією в масштабах глобального блокчейну.

Розширена операція 3: Підписи Шнорра та агрегація

Хоча ECDSA широко використовується, він має певні недоліки, включаючи змінюваність підпису та відсутність властивостей агрегації. Підписи Шнорра, ще одна схема на основі ECC, пропонують елегантні рішення цих проблем і багатьма криптографами вважаються кращими.

Ключові переваги підписів Шнорра

• Доказова безпека: Вони мають простіший та надійніший доказ безпеки порівняно з ECDSA.
• Незмінність: Третя сторона не може змінити дійсний підпис на інший дійсний підпис для того самого повідомлення та ключа.
• Лінійність (Суперсила): Це найважливіша перевага. Підписи Шнорра є лінійними, що дозволяє використовувати потужні техніки агрегації.

Пояснення агрегації підписів

Властивість лінійності означає, що кілька підписів від кількох підписувачів можуть бути об'єднані в один компактний підпис. Це є переломним моментом для схем мультипідписів (multisig).

Розглянемо сценарій, коли транзакція вимагає підписів від 3 з 5 учасників. З ECDSA вам потрібно було б включити всі три окремі підписи в блокчейн, займаючи значний простір.

З підписами Шнорра процес значно ефективніший:

1. Агрегація ключів: 3 учасники можуть об'єднати свої індивідуальні публічні ключі (`Q1`, `Q2`, `Q3`), щоб створити єдиний агрегований публічний ключ (`Q_agg`).
2. Агрегація підписів: Завдяки протоколу співпраці, такому як MuSig2, учасники можуть створити єдиний агрегований підпис (`S_agg`), який є дійсним для агрегованого публічного ключа `Q_agg`.

Результатом є транзакція, яка зовні виглядає ідентично стандартній транзакції з одним підписувачем. Вона має один публічний ключ та один підпис. Це значно покращує ефективність, масштабованість та конфіденційність, оскільки складні налаштування мультипідписів стають невідмінними від простих.

Роль `BigInt`

Магія агрегації корениться в простому додаванні точок еліптичної кривої та скалярній арифметиці. Створення агрегованого ключа включає `Q_agg = Q1 + Q2 + Q3`, а створення агрегованого підпису — додавання окремих компонентів підпису за модулем порядку кривої. Усі ці операції, які є основою таких протоколів, як MuSig2, виконуються над великими цілими числами та координатами кривої, що робить `BigInt` незамінним інструментом для реалізації підписів Шнорра та схем агрегації в JavaScript.

Міркування щодо реалізації та найкращі практики безпеки

Хоча `BigInt` дає нам можливість розуміти та реалізовувати ці розширені операції, створення криптографії промислового рівня є небезпечним завданням. Ось кілька важливих міркувань.

1. НЕ розробляйте власну криптографію для промислового використання

Ця стаття має на меті навчати та ілюструвати основні механізми. Ви ніколи не повинні реалізовувати ці криптографічні примітиви з нуля для промислової програми. Використовуйте перевірені, аудитовані та рецензовані бібліотеки, такі як `noble-curves`. Ці бібліотеки спеціально створені експертами та враховують численні тонкі, але критичні проблеми безпеки.

2. Операції з постійним часом виконання та атаки по побічних каналах

Однією з найнебезпечніших пасток є атака по побічних каналах. Зловмисник може аналізувати нефункціональні аспекти системи — такі як споживання електроенергії або точний час виконання операції — щоб витягти інформацію про секретні ключі. Наприклад, якщо множення з бітом '1' у ключі займає трохи більше часу, ніж з бітом '0', зловмисник може відновити ключ, спостерігаючи за змінами часу.

Стандартні операції `BigInt` у JavaScript не є постійними за часом. Час їх виконання може залежати від значення операндів. Професійні криптографічні бібліотеки використовують високоспеціалізовані алгоритми для забезпечення того, щоб усі операції, пов'язані з приватними ключами, займали постійний обсяг часу, незалежно від значення ключа, тим самим зменшуючи цю загрозу.

3. Безпечна генерація випадкових чисел

Безпека будь-якої криптографічної системи починається з якості її випадковості. Приватні ключі повинні генеруватися за допомогою криптографічно безпечного генератора псевдовипадкових чисел (CSPRNG). У середовищах JavaScript завжди використовуйте вбудовані API:

• Браузер: crypto.getRandomValues()
• Node.js: crypto.randomBytes()

Ніколи не використовуйте `Math.random()` для криптографічних цілей, оскільки він не призначений для непередбачуваності.

4. Валідація параметрів домену та публічного ключа

При отриманні публічного ключа із зовнішнього джерела, вкрай важливо його перевірити. Зловмисник може надати шкідливу точку, яка насправді не знаходиться на вказаній еліптичній кривій, що може призвести до атак, які розкривають ваш приватний ключ під час обміну ключами ECDH (наприклад, атаки Invalid Curve). Надійні бібліотеки автоматично виконують цю перевірку.

Висновок

Поява `BigInt` докорінно змінила ландшафт криптографії в екосистемі JavaScript. Вона перевела ECC зі сфери непрозорих, "чорноящикових" бібліотек до чогось, що може бути реалізовано та зрозуміло нативно, сприяючи новому рівню прозорості та можливостей.

Ми дослідили, як ця єдина функція дозволяє виконувати розширені та потужні криптографічні операції, які є центральними для сучасних безпечних систем:

• Обмін ключами ECDH: Основа для встановлення безпечних каналів зв'язку.
• Відновлення публічного ключа: Техніка підвищення ефективності, що є важливою для масштабованих систем, таких як блокчейни.
• Підписи Шнорра: Схема підпису нового покоління, що пропонує вищу ефективність, конфіденційність та масштабованість за допомогою агрегації.

Для розробників та архітекторів розуміння цих розширених концепцій більше не є просто академічною вправою. Вони розгортаються в глобальних системах сьогодні, від оновлення Taproot у Bitcoin до безпечних протоколів обміну повідомленнями, які захищають наші щоденні розмови. Хоча остаточна реалізація завжди повинна бути довірена перевіреним, експертно-оціненим бібліотекам, глибоке розуміння механізмів, уможливлене такими інструментами, як `BigInt`, дає нам змогу створювати більш безпечні, ефективні та інноваційні програми для глобальної аудиторії.