Mật mã học đường cong Elliptic với JavaScript BigInt: Tìm hiểu sâu về các hoạt động nâng cao

Trong kỷ nguyên bị chi phối bởi tương tác kỹ thuật số, từ tài chính phi tập trung (DeFi) đến tin nhắn mã hóa đầu cuối, sức mạnh của nền tảng mật mã học của chúng ta chưa bao giờ quan trọng hơn thế. Mật mã học đường cong Elliptic (ECC) là một trụ cột của mật mã khóa công khai hiện đại, cung cấp khả năng bảo mật mạnh mẽ với kích thước khóa nhỏ hơn so với các tiền bối của nó như RSA. Trong nhiều năm, việc thực hiện các phép toán phức tạp này trực tiếp trong JavaScript là một thách thức, thường đòi hỏi các thư viện chuyên dụng để trừu tượng hóa các chi tiết cấp thấp hoặc đối phó với những hạn chế của kiểu số tiêu chuẩn của JavaScript.

Sự ra đời của kiểu BigInt gốc trong JavaScript (ES2020) là một khoảnh khắc cách mạng. Nó đã giải phóng các nhà phát triển khỏi những ràng buộc của kiểu Number dấu phẩy động 64-bit, cung cấp một cơ chế để xử lý các số nguyên lớn tùy ý. Tính năng duy nhất này đã mở ra tiềm năng cho việc triển khai mật mã hiệu năng cao, gốc và minh bạch hơn trực tiếp trong các môi trường JavaScript như trình duyệt và Node.js.

Trong khi nhiều nhà phát triển đã quen thuộc với những kiến thức cơ bản của ECC—tạo cặp khóa và ký tin nhắn—sức mạnh thực sự của công nghệ này nằm ở các hoạt động nâng cao hơn. Bài viết này vượt ra ngoài các nguyên tắc cơ bản để khám phá các giao thức và kỹ thuật mật mã phức tạp hiện đã có thể tiếp cận được nhờ BigInt. Chúng ta sẽ đi sâu vào Elliptic Curve Diffie-Hellman (ECDH) để trao đổi khóa an toàn, khôi phục khóa công khai từ chữ ký, và chữ ký Schnorr mạnh mẽ, thân thiện với việc tổng hợp.

Cuộc cách mạng BigInt trong Mật mã học JavaScript

Trước khi đi sâu vào các hoạt động nâng cao, điều cần thiết là phải hiểu tại sao BigInt lại là một nhân tố thay đổi cuộc chơi cho mật mã học trong JavaScript.

Vấn đề với kiểu `Number`

Kiểu Number truyền thống của JavaScript là một số dấu phẩy động 64-bit có độ chính xác kép theo chuẩn IEEE 754. Định dạng này rất tuyệt vời cho nhiều ứng dụng nhưng có một hạn chế nghiêm trọng đối với mật mã học: nó chỉ có thể biểu diễn an toàn các số nguyên lên đến Number.MAX_SAFE_INTEGER, tức là 2⁵³ - 1.

Các khóa mật mã và các giá trị trung gian trong ECC lớn hơn rất nhiều. Ví dụ, đường cong secp256k1 phổ biến được Bitcoin và Ethereum sử dụng hoạt động trên một trường số nguyên tố dài 256 bit. Những con số này lớn hơn nhiều bậc so với những gì kiểu Number tiêu chuẩn có thể xử lý mà không làm mất độ chính xác. Việc cố gắng thực hiện các phép tính với những con số như vậy sẽ dẫn đến kết quả không chính xác và không an toàn.

Sự xuất hiện của `BigInt`: Số nguyên có độ chính xác tùy ý

BigInt giải quyết vấn đề này một cách tinh tế. Đây là một kiểu số riêng biệt cung cấp một cách để biểu diễn các số nguyên có kích thước bất kỳ. Bạn có thể tạo một BigInt bằng cách thêm `n` vào cuối một hằng số nguyên hoặc bằng cách gọi hàm tạo BigInt().

Ví dụ:

const aLargeNumber = 9007199254740991n; // An toàn với BigInt
const anEvenLargerNumber = 115792089237316195423570985008687907853269984665640564039457584007908834671663n; // Một số nguyên tố 256-bit

Với BigInt, tất cả các toán tử số học tiêu chuẩn (+, -, *, /, %, **) hoạt động như mong đợi trên các số nguyên khổng lồ này. Khả năng này là nền tảng để xây dựng các triển khai ECC gốc bằng JavaScript, cho phép tính toán các thuật toán mật mã một cách trực tiếp, chính xác và an toàn mà không cần dựa vào các mô-đun WebAssembly bên ngoài hoặc các thư viện số đa phần cồng kềnh.

Ôn lại các nguyên tắc cơ bản của Mật mã học đường cong Elliptic

Để đánh giá cao các hoạt động nâng cao, chúng ta hãy xem lại ngắn gọn các khái niệm cốt lõi của ECC.

Về cơ bản, ECC dựa trên cấu trúc đại số của các đường cong elliptic trên các trường hữu hạn. Các đường cong này được định nghĩa bởi phương trình Weierstrass:

y² = x³ + ax + b (mod p)

Trong đó `a` và `b` là các hằng số xác định hình dạng của đường cong, và `p` là một số nguyên tố lớn xác định trường hữu hạn.

Các khái niệm chính

• Điểm trên đường cong: Một cặp tọa độ (x, y) thỏa mãn phương trình đường cong. Tất cả các hoạt động mật mã của chúng ta về cơ bản là "số học điểm".
• Điểm cơ sở (G): Một điểm bắt đầu được chuẩn hóa và công khai trên đường cong.
• Khóa riêng tư (d): Một số nguyên ngẫu nhiên rất lớn, an toàn về mặt mật mã. Đây là bí mật của bạn. Trong bối cảnh của BigInt, `d` là một BigInt lớn.
• Khóa công khai (Q): Một điểm trên đường cong được suy ra từ khóa riêng tư và điểm cơ sở thông qua một phép toán gọi là phép nhân vô hướng: Q = d * G. Điều này có nghĩa là cộng điểm G với chính nó `d` lần.

Tính bảo mật của ECC phụ thuộc vào Bài toán Logarit rời rạc trên đường cong Elliptic (ECDLP). Việc tính toán khóa công khai `Q` khi biết khóa riêng tư `d` và điểm cơ sở `G` là dễ dàng về mặt tính toán. Tuy nhiên, việc xác định khóa riêng tư `d` khi chỉ biết khóa công khai `Q` và điểm cơ sở `G` là không khả thi về mặt tính toán.

Hoạt động nâng cao 1: Trao đổi khóa Elliptic Curve Diffie-Hellman (ECDH)

Một trong những ứng dụng mạnh mẽ nhất của ECC là thiết lập một bí mật chung giữa hai bên qua một kênh liên lạc không an toàn. Điều này đạt được bằng cách sử dụng giao thức trao đổi khóa Elliptic Curve Diffie-Hellman (ECDH).

Mục tiêu

Hãy tưởng tượng hai cá nhân, Alice và Bob, muốn giao tiếp an toàn. Họ cần đồng ý về một khóa mã hóa đối xứng mà chỉ họ biết, nhưng phương tiện liên lạc duy nhất của họ là một kênh công cộng mà một kẻ nghe lén, Eve, có thể theo dõi. ECDH cho phép họ tính toán một bí mật chung giống hệt nhau mà không bao giờ truyền trực tiếp nó.

Giao thức từng bước

1. Tạo khóa:
   • Alice tạo khóa riêng tư của mình, `d_A` (một BigInt ngẫu nhiên lớn), và khóa công khai tương ứng, `Q_A = d_A * G`.
   • Bob tạo khóa riêng tư của mình, `d_B` (một BigInt ngẫu nhiên lớn khác), và khóa công khai của mình, `Q_B = d_B * G`.
2. Trao đổi khóa công khai:
   • Alice gửi khóa công khai của mình, `Q_A`, cho Bob.
   • Bob gửi khóa công khai của mình, `Q_B`, cho Alice.
   • Eve, kẻ nghe lén, có thể thấy cả `Q_A` và `Q_B`, nhưng không thể suy ra các khóa riêng tư `d_A` hoặc `d_B` do ECDLP.
3. Tính toán bí mật chung:
   • Alice lấy khóa công khai `Q_B` của Bob và nhân nó với khóa riêng tư `d_A` của mình để có được một điểm S: S = d_A * Q_B.
   • Bob lấy khóa công khai `Q_A` của Alice và nhân nó với khóa riêng tư `d_B` của mình để có được một điểm S: S = d_B * Q_A.

Sự kỳ diệu của tính giao hoán

Cả Alice và Bob đều đi đến cùng một điểm bí mật `S` trên đường cong. Điều này là do phép nhân vô hướng có tính kết hợp và giao hoán:

Phép tính của Alice: S = d_A * Q_B = d_A * (d_B * G)

Phép tính của Bob: S = d_B * Q_A = d_B * (d_A * G)

Vì d_A * d_B * G = d_B * d_A * G, cả hai đều tính toán ra cùng một kết quả mà không bao giờ tiết lộ khóa riêng tư của họ.

Từ điểm chung đến khóa đối xứng

Bí mật chung `S` thu được là một điểm trên đường cong, không phải là một khóa đối xứng phù hợp cho các thuật toán mã hóa như AES. Để tạo ra một khóa, một phương pháp tiêu chuẩn là lấy tọa độ x của điểm `S` và đưa nó qua một Hàm dẫn xuất khóa (KDF), chẳng hạn như HKDF (Hàm dẫn xuất khóa dựa trên HMAC). KDF lấy bí mật chung và tùy chọn một salt và thông tin khác, và tạo ra một khóa mạnh về mặt mật mã có độ dài mong muốn.

Tất cả các tính toán cơ bản—tạo khóa riêng tư dưới dạng BigInt ngẫu nhiên và thực hiện phép nhân vô hướng—đều phụ thuộc nhiều vào số học BigInt.

Hoạt động nâng cao 2: Khôi phục khóa công khai từ chữ ký

Trong nhiều hệ thống, đặc biệt là blockchain, hiệu quả và việc giảm thiểu dữ liệu là tối quan trọng. Thông thường, để xác minh một chữ ký, bạn cần có tin nhắn, chính chữ ký đó và khóa công khai của người ký. Tuy nhiên, một thuộc tính thông minh của Thuật toán Chữ ký số đường cong Elliptic (ECDSA) cho phép bạn khôi phục khóa công khai trực tiếp từ tin nhắn và chữ ký. Điều này có nghĩa là khóa công khai không cần phải được truyền đi, giúp tiết kiệm không gian quý giá.

Cách hoạt động (Mức độ cao)

Một chữ ký ECDSA bao gồm hai thành phần, (`r`, `s`).

• `r` được suy ra từ tọa độ x của một điểm ngẫu nhiên `k * G`.
• `s` được tính toán dựa trên giá trị băm của tin nhắn (`z`), khóa riêng tư (`d`), và `r`. Công thức là: `s = k_inverse * (z + r * d) mod n`, trong đó `n` là bậc của đường cong.

Thông qua các phép biến đổi đại số của phương trình xác minh chữ ký, có thể suy ra một biểu thức cho khóa công khai `Q`. Tuy nhiên, quá trình này mang lại hai khóa công khai hợp lệ có thể có. Để giải quyết sự mơ hồ này, một mẩu thông tin bổ sung nhỏ gọi là ID khôi phục (thường được ký hiệu là `v` hoặc `recid`) được bao gồm trong chữ ký. ID này, thường là 0, 1, 2 hoặc 3, chỉ định giải pháp nào trong số các giải pháp có thể là đúng và liệu tọa độ y của khóa là chẵn hay lẻ.

Tại sao `BigInt` lại cần thiết

Các phép toán cần thiết để khôi phục khóa công khai rất chuyên sâu và liên quan đến nghịch đảo modular, phép nhân và phép cộng của các số 256-bit. Ví dụ, một bước quan trọng bao gồm tính toán `(r_inverse * (s*k - z)) * G`. Những hoạt động này chính xác là những gì `BigInt` được thiết kế để làm. Nếu không có nó, việc thực hiện các tính toán này bằng JavaScript gốc sẽ không thể thực hiện được mà không bị mất độ chính xác và bảo mật đáng kể.

Ứng dụng thực tế: Giao dịch Ethereum

Kỹ thuật này được sử dụng nổi tiếng trong Ethereum. Một giao dịch đã ký không chứa địa chỉ công khai của người gửi một cách trực tiếp. Thay vào đó, địa chỉ (được suy ra từ khóa công khai) được khôi phục từ các thành phần `v`, `r`, và `s` của chữ ký. Lựa chọn thiết kế này giúp tiết kiệm 20 byte trên mỗi giao dịch, một sự tiết kiệm đáng kể ở quy mô của một blockchain toàn cầu.

Hoạt động nâng cao 3: Chữ ký Schnorr và Tổng hợp

Mặc dù ECDSA được sử dụng rộng rãi, nó có một số nhược điểm nhất định, bao gồm tính dễ uốn nắn của chữ ký và thiếu các thuộc tính tổng hợp. Chữ ký Schnorr, một lược đồ khác dựa trên ECC, cung cấp các giải pháp tinh tế cho những vấn đề này và được nhiều nhà mật mã học coi là vượt trội.

Ưu điểm chính của Chữ ký Schnorr

• Bảo mật có thể chứng minh: Chúng có một bằng chứng bảo mật đơn giản và mạnh mẽ hơn so với ECDSA.
• Không dễ uốn nắn: Một bên thứ ba không thể thay đổi một chữ ký hợp lệ thành một chữ ký hợp lệ khác cho cùng một tin nhắn và khóa.
• Tính tuyến tính (Siêu năng lực): Đây là lợi thế quan trọng nhất. Chữ ký Schnorr có tính tuyến tính, cho phép các kỹ thuật tổng hợp mạnh mẽ.

Giải thích về Tổng hợp chữ ký

Thuộc tính tuyến tính có nghĩa là nhiều chữ ký từ nhiều người ký có thể được kết hợp thành một chữ ký duy nhất, nhỏ gọn. Đây là một yếu tố thay đổi cuộc chơi cho các lược đồ đa chữ ký (multisig).

Hãy xem xét một kịch bản trong đó một giao dịch yêu cầu chữ ký từ 3 trong số 5 người tham gia. Với ECDSA, bạn sẽ cần bao gồm cả ba chữ ký riêng lẻ trên blockchain, chiếm không gian đáng kể.

Với chữ ký Schnorr, quy trình hiệu quả hơn nhiều:

1. Tổng hợp khóa: 3 người tham gia có thể kết hợp các khóa công khai riêng lẻ của họ (`Q1`, `Q2`, `Q3`) để tạo ra một khóa công khai tổng hợp duy nhất (`Q_agg`).
2. Tổng hợp chữ ký: Thông qua một giao thức hợp tác như MuSig2, những người tham gia có thể tạo ra một chữ ký tổng hợp duy nhất (`S_agg`) hợp lệ cho khóa công khai tổng hợp `Q_agg`.

Kết quả là một giao dịch trông giống hệt như một giao dịch một người ký tiêu chuẩn từ bên ngoài. Nó có một khóa công khai và một chữ ký. Điều này cải thiện đáng kể hiệu quả, khả năng mở rộng và quyền riêng tư, vì các thiết lập multisig phức tạp trở nên không thể phân biệt được với các thiết lập đơn giản.

Vai trò của `BigInt`

Sự kỳ diệu của việc tổng hợp bắt nguồn từ phép cộng điểm và số học vô hướng đơn giản trên đường cong elliptic. Việc tạo khóa tổng hợp bao gồm `Q_agg = Q1 + Q2 + Q3`, và việc tạo chữ ký tổng hợp bao gồm việc cộng các thành phần chữ ký riêng lẻ theo modulo bậc của đường cong. Tất cả các hoạt động này—hình thành nên cơ sở của các giao thức như MuSig2—được thực hiện trên các số nguyên lớn và tọa độ đường cong, làm cho `BigInt` trở thành một công cụ không thể thiếu để triển khai chữ ký Schnorr và các lược đồ tổng hợp trong JavaScript.

Những lưu ý khi triển khai và các phương pháp bảo mật tốt nhất

Mặc dù `BigInt` cho phép chúng ta hiểu và triển khai các hoạt động nâng cao này, việc xây dựng mật mã cấp sản xuất là một nhiệm vụ nguy hiểm. Dưới đây là một số lưu ý quan trọng.

1. KHÔNG tự viết mã mật mã cho môi trường sản xuất

Bài viết này nhằm mục đích giáo dục và minh họa các cơ chế cơ bản. Bạn không bao giờ nên tự mình triển khai các nguyên tắc mật mã này từ đầu cho một ứng dụng sản xuất. Hãy sử dụng các thư viện đã được kiểm tra kỹ lưỡng, được kiểm toán và được đánh giá bởi các chuyên gia như `noble-curves`. Những thư viện này được xây dựng bởi các chuyên gia và đã tính đến vô số các vấn đề bảo mật tinh vi nhưng quan trọng.

2. Hoạt động thời gian không đổi và tấn công kênh bên

Một trong những cạm bẫy nguy hiểm nhất là tấn công kênh bên. Kẻ tấn công có thể phân tích các khía cạnh phi chức năng của một hệ thống—chẳng hạn như mức tiêu thụ điện năng hoặc thời gian chính xác một hoạt động diễn ra—để làm rò rỉ thông tin về các khóa bí mật. Ví dụ, nếu một phép nhân với bit '1' trong khóa mất nhiều thời gian hơn một chút so với bit '0', kẻ tấn công có thể tái tạo lại khóa bằng cách quan sát các biến thể về thời gian.

Các hoạt động BigInt tiêu chuẩn trong JavaScript không phải là thời gian không đổi. Thời gian thực thi của chúng có thể phụ thuộc vào giá trị của các toán hạng. Các thư viện mật mã chuyên nghiệp sử dụng các thuật toán chuyên biệt cao để đảm bảo rằng tất cả các hoạt động liên quan đến khóa riêng tư đều mất một khoảng thời gian không đổi, bất kể giá trị của khóa, do đó giảm thiểu mối đe dọa này.

3. Tạo số ngẫu nhiên an toàn

Bảo mật của bất kỳ hệ thống mật mã nào cũng bắt đầu từ chất lượng của tính ngẫu nhiên của nó. Các khóa riêng tư phải được tạo bằng bộ tạo số giả ngẫu nhiên an toàn về mặt mật mã (CSPRNG). Trong môi trường JavaScript, luôn sử dụng các API tích hợp sẵn:

• Trình duyệt: crypto.getRandomValues()
• Node.js: crypto.randomBytes()

Không bao giờ sử dụng `Math.random()` cho các mục đích mật mã, vì nó không được thiết kế để không thể đoán trước.

4. Xác thực tham số miền và khóa công khai

Khi nhận một khóa công khai từ một nguồn bên ngoài, việc xác thực nó là rất quan trọng. Kẻ tấn công có thể cung cấp một điểm độc hại không thực sự nằm trên đường cong elliptic đã chỉ định, điều này có thể dẫn đến các cuộc tấn công tiết lộ khóa riêng tư của bạn trong quá trình trao đổi khóa ECDH (ví dụ: Tấn công đường cong không hợp lệ). Các thư viện uy tín sẽ tự động xử lý việc xác thực này.

Kết luận

Sự xuất hiện của `BigInt` đã thay đổi cơ bản bối cảnh của mật mã học trong hệ sinh thái JavaScript. Nó đã chuyển ECC từ lĩnh vực của các thư viện hộp đen, không rõ ràng sang một thứ có thể được triển khai và hiểu một cách tự nhiên, thúc đẩy một cấp độ minh bạch và khả năng mới.

Chúng ta đã khám phá cách tính năng duy nhất này cho phép các hoạt động mật mã nâng cao và mạnh mẽ, là trung tâm của các hệ thống bảo mật hiện đại:

• Trao đổi khóa ECDH: Nền tảng để thiết lập các kênh liên lạc an toàn.
• Khôi phục khóa công khai: Một kỹ thuật tăng hiệu quả quan trọng cho các hệ thống có khả năng mở rộng như blockchain.
• Chữ ký Schnorr: Một lược đồ chữ ký thế hệ tiếp theo cung cấp hiệu quả, quyền riêng tư và khả năng mở rộng vượt trội thông qua việc tổng hợp.

Với tư cách là nhà phát triển và kiến trúc sư, việc hiểu các khái niệm nâng cao này không còn chỉ là một bài tập học thuật. Chúng đang được triển khai trong các hệ thống toàn cầu ngày nay, từ bản nâng cấp Taproot trong Bitcoin đến các giao thức nhắn tin an toàn bảo vệ các cuộc trò chuyện hàng ngày của chúng ta. Mặc dù việc triển khai cuối cùng nên luôn được giao cho các thư viện đã được kiểm toán, được chuyên gia đánh giá, nhưng sự hiểu biết sâu sắc về các cơ chế, được thực hiện nhờ các công cụ như `BigInt`, cho phép chúng ta xây dựng các ứng dụng an toàn hơn, hiệu quả hơn và sáng tạo hơn cho khán giả toàn cầu.