Zum Hauptinhalt springen

1. Introduction (Einführung)

1. Introduction (Einführung)

Der Edwards-curve Digital Signature Algorithm (Edwards-Kurven-Digitalsignaturalgorithmus, EdDSA) ist eine Variante von Schnorrs Signatursystem mit (möglicherweise verdrehten) Edwards-Kurven. EdDSA muss mit bestimmten Parametern instanziiert werden, und dieses Dokument beschreibt einige empfohlene Varianten.

Um die Einführung von EdDSA in der Internet-Community zu erleichtern, beschreibt dieses Dokument das Signaturschema auf implementierungsorientierte Weise und stellt Beispielcode sowie Testvektoren bereit.

Die Vorteile von EdDSA sind wie folgt:

  1. EdDSA bietet hohe Leistung auf einer Vielzahl von Plattformen;

  2. Die Verwendung einer eindeutigen Zufallszahl für jede Signatur ist nicht erforderlich;

  3. Es ist widerstandsfähiger gegen Seitenkanalangriffe;

  4. EdDSA verwendet kleine öffentliche Schlüssel (32 oder 57 Bytes) und Signaturen (64 oder 114 Bytes) für Ed25519 bzw. Ed448;

  5. Die Formeln sind "vollständig", d.h. sie sind für alle Punkte auf der Kurve gültig, ohne Ausnahmen. Dies macht es für EdDSA unnötig, eine teure Punktvalidierung für nicht vertrauenswürdige öffentliche Werte durchzuführen; und

  6. EdDSA bietet Kollisionsresilienz, was bedeutet, dass Hash-Funktions-Kollisionen dieses System nicht brechen (gilt nur für PureEdDSA).

Das ursprüngliche EdDSA-Paper [EDDSA] und die in "EdDSA for more curves" [EDDSA2] beschriebene verallgemeinerte Version bieten weiteren Hintergrund. RFC 7748 [RFC7748] diskutiert spezifische Kurven, einschließlich Curve25519 [CURVE25519] und Ed448-Goldilocks [ED448].

Ed25519 ist dafür vorgesehen, auf einem Sicherheitsniveau von etwa 128 Bit zu arbeiten, und Ed448 auf einem Sicherheitsniveau von etwa 224 Bit. Ein ausreichend großer Quantencomputer wäre in der Lage, beide zu brechen. Vernünftige Projektionen der Fähigkeiten klassischer Computer kommen zu dem Schluss, dass Ed25519 vollkommen sicher ist. Ed448 wird für Anwendungen mit gelockerten Leistungsanforderungen bereitgestellt, bei denen der Wunsch besteht, sich gegen analytische Angriffe auf elliptische Kurven abzusichern.

Letztes Update am