Secp256r1 на Solana

Secp256r1 є однією з найбільш широко прийнятих еліптичних кривих у сучасній криптографії, що забезпечує все: від TLS-з'єднань до апаратних ключів безпеки. Ця крива формує основу цифрової безпеки у численних застосуваннях.

Функція прекомпіляції secp256r1, запропонована Orion у SIMD 75, була активована на Solana на блоці 800.

Що таке Secp256r1

Крива, яку ми знаємо як secp256r1, була стандартизована групою Standards for Efficient Cryptography Group (SECG) на початку 2000-х років. Конвенція найменування розповідає нам все, що потрібно знати:

sec: Standards for Efficient Cryptography
p: Крива визначена над простим полем
256: Простий модуль приблизно 2^256
r: Випадкова крива (на відміну від кривих Коблиця)
1: Перша крива в цій категорії

Пізніше secp256r1 була прийнята NIST як P-256 і стала частиною FIPS 186-2. Ця подвійна стандартизація як SECG, так і NIST надала кривій широку легітимність і призвела до її впровадження в численних протоколах і застосунках, що зробило її однією з найбільш перевірених кривих у виробничих системах по всьому світу.

Математичні основи

Прості поля та скінченна арифметика

Щоб зрозуміти secp256r1, ми повинні спочатку осягнути концепцію роботи в скінченних полях. На відміну від звичайної арифметики, де числа можуть зростати нескінченно, криптографія на еліптичних кривих працює в обмеженому математичному просторі.

Крива працює над простим полем 𝔽p, де: p = 2^256 - 2^224 + 2^192 + 2^96 - 1.

Це не просто випадкове 256-бітне просте число; це те, що відомо як псевдо-Мерсеннове просте число. Прості числа Мерсенна мають форму 2^n - 1, що дозволяє надзвичайно швидке модульне зменшення за допомогою бітових зсувів і віднімань замість дорогих операцій ділення. Псевдо-Мерсеннові прості числа розширюють цю концепцію до чисел, "близьких" до степенів 2, зберігаючи більшість обчислювальних переваг і додаючи додаткові властивості безпеки.

Для простого числа secp256r1 ми можемо переписати його як: p = 2^256 - c, де c = 2^224 - 2^192 - 2^96 + 1

Ця структура означає, що коли нам потрібно зменшити число mod p (що постійно відбувається в операціях з еліптичними кривими), ми можемо використовувати швидкі алгоритми редукції замість повільного ділення загального призначення.

Це робить операції secp256r1 значно швидшими, ніж криві, що використовують довільні прості числа: вирішальна перевага для критичних до продуктивності застосувань, таких як TLS-рукостискання та апаратні модулі безпеки.

Рівняння еліптичної кривої

Secp256r1 відповідає короткій формі Вейєрштрасса еліптичної кривої: y² = x³ + ax + b (mod p)

Для secp256r1 параметри такі:

a = -3 (або еквівалентно, p-3)
b = 0x5ac635d8aa3a93e7b3ebbd55769886bc651d06b0cc53b0f63bce3c3e27d2604b

a = -3 не є довільним числом, але воно забезпечує значні оптимізації в операціях додавання та подвоєння точок, зменшуючи кількість необхідних множень у полі.

Кожна криптосистема на еліптичних кривих потребує точки-генератора G з відомим порядком. Для secp256r1:

G = (Gx, Gy) where:
Gx = 0x6b17d1f2e12c4247f8bce6e563a440f277037d812deb33a0f4a13945d898c296
Gy = 0x4fe342e2fe1a7f9b8ee7eb4a7c0f9e162bce33576b315ececbb6406837bf51f5

Ці значення були згенеровані через "перевірено випадковий" процес, щоб гарантувати відсутність прихованих бекдорів. Якби розробники кривих могли просто вибирати довільні значення, вони могли б обрати параметри, що містять секретні математичні співвідношення, відомі лише їм, створюючи бекдори, які б скомпрометували кожну систему, що використовує цю криву.

Порядок кривої та рівень безпеки

Порядок кривої (n) представляє загальну кількість точок на еліптичній кривій, включаючи точку в нескінченності: n = 0xffffffff00000000ffffffffffffffffbce6faada7179e84f3b9cac2fc632551

Порядок кривої визначає розмір простору приватних ключів і безпосередньо впливає на безпеку. Незважаючи на назву "256-бітна", secp256r1 насправді забезпечує приблизно 128 бітів безпеки, а не 256 бітів. Це тому, що найкращі відомі атаки на проблеми дискретного логарифма еліптичних кривих мають складність приблизно √n, що означає, що крива з порядком ~2^256 забезпечує ~2^128 безпеки.

Кофактор (h) дорівнює 1, що означає, що secp256r1 є кривою простого порядку. Це важливо, тому що:

Кожна точка, крім точки тотожності, має однаковий порядок n
Атаки малих підгруп неможливі
Реалізація спрощується, оскільки нам не потрібно турбуватися про точки низького порядку

Скалярне поле

Хоча сама крива визначена над координатним полем 𝔽p, приватні ключі існують в іншому математичному просторі: скалярному полі 𝔽n, де n — порядок кривої.

Private key ∈ [1, n-1]
Public key = private_key × G (scalar multiplication)

Це розрізнення є вирішальним, тому що:

Приватні ключі — це скаляри (цілі числа mod n)
Координати кривої — це елементи поля (цілі числа mod p)
Це різні модулі: n ≠ p

Під час генерування приватних ключів ми рівномірно вибираємо з [1, n-1], а не з [1, p-1]. Це гарантує, що кожен приватний ключ відповідає дійсній операції скалярного множення та запобігає певним математичним атакам.

Чому домінує Secp256r1

Незважаючи на існування потенційно кращих кривих, таких як Curve25519, secp256r1 досягла універсального прийняття завдяки поєднанню ранньої стандартизації, регуляторного схвалення та широкої апаратної оптимізації.

На відміну від новіших кривих, які можуть бути математично кращими, secp256r1 представляє оптимальний баланс між криптографічною міцністю, ефективністю реалізації та сумісністю з екосистемою, які потрібні реальним системам.

Коли виробники апаратного забезпечення, операційні системи та стандарти безпеки зійшлися на secp256r1, витрати на перехід стали непомірно високими.

Конкретні математичні властивості, які ми дослідили (псевдо-Мерсеннове просте число, оптимізація a = -3 та перевірювана генерація параметрів), уможливили високооптимізовані реалізації в усьому — від захищених елементів смартфонів до високопродуктивних серверів.

Цей ефект апаратної екосистеми створив самопідсилювальний цикл прийняття.

Secp256r1 на Solana

Solana пропонує вбудовану підтримку перевірки підписів secp256r1 через вбудований прекомпіляційний модуль, представлений у SIMD-0075 від Orion.

Цей прекомпіляційний модуль дозволяє використовувати сучасні методи автентифікації, такі як паролі-ключі (passkeys) на Solana, оскільки secp256r1 — це та сама еліптична крива, що використовується у реалізаціях WebAuthn та паролів-ключів.

Математичні властивості, які ми детально описали, особливо оптимізована арифметика поля та стандартизовані параметри, роблять secp256r1 універсальним вибором для апаратних модулів безпеки та захищених анклавів, які забезпечують роботу цих систем автентифікації.

Поєднання автентифікації Web2 та Web3

Традиційний процес підключення гаманця має показник відмов користувачів 60-80%, оскільки фрази-паролі вимагають ідеальної безпеки від недосконалих людей. Користувачі повинні запам'ятати 12-24 випадкових слова, зберігати їх у безпеці назавжди і ніколи не стати жертвою фішингу — неможливий стандарт для масового впровадження.

Сучасні методи автентифікації, такі як паролі-ключі, усувають людську помилку, переміщуючи приватні ключі в спеціалізоване апаратне забезпечення безпеки.

Однак ці системи стандартизовані на secp256r1 через конкретні математичні та реалізаційні переваги, які ми дослідили:

Апаратна сумісність: Псевдо-просте число Мерсенна забезпечує ефективну реалізацію в обмежених середовищах захищених елементів
Відповідність нормативним вимогам: Стандартизація NIST дозволяє використовувати в державних та корпоративних вимогах безпеки
Міжплатформна узгодженість: Перевірено випадкові параметри забезпечують однакову роботу кривої на обладнанні всіх виробників

З вбудованою підтримкою secp256r1 розробники Solana тепер можуть створювати програми, які використовують існуючу інфраструктуру апаратної безпеки, забезпечуючи безперешкодне підключення через знайомі методи автентифікації, зберігаючи гарантії безпеки, які роблять специфічні математичні властивості цієї кривої такими важливими.