TorusCSIDH: постквантовый аналог ECDSA с топологическим критерием безопасности

в 12:40, , рубрики: CSIDH, ecdsa, Алгоритмы, криптография, постквантовая криптография, топологический анализ, топология

В современном мире криптографии безопасность часто ассоциируется со случайностью. Но что если я скажу вам, что истинная безопасность кроется не в хаосе, а в строгой, заранее определённой структуре?

В этой статье я представляю принципиально новый подход к постквантовой криптографии — TorusCSIDH, где безопасность определяется не отсутствием структуры, а наличием правильной топологической структуры.

От эмпирических тестов к математическому критерию безопасности

До недавнего времени криптографическая безопасность оценивалась через эмпирические тесты: устойчивость к известным атакам, статистический анализ случайности, энтропийные метрики. Однако такой подход имеет фундаментальный недостаток: он может подтвердить наличие уязвимости, но не может доказать безопасность.

Наше открытие совершает парадигмальный сдвиг:

Безопасность — это не отсутствие структуры, а наличие правильной структуры.

Мы доказали (и подробно рассмотрели в предыдущей статье), что криптографическая устойчивость достигается не через максимальную случайность, а через специфическую, строго определённую топологическую структурутор с максимальной энтропией, встроенный в арифметику суперсингулярных кривых.

Почему классика обречена: наступление квантовой эры

В эпоху надвигающейся квантовой угрозы классические криптосистемы — от RSA до ECDSA — теряют свою неприкосновенность. Алгоритмы Шора и Гровера не просто теоретические конструкции: они знаменуют собой конец эры, в которой безопасность цифрового мира строилась на сложности факторизации и дискретного логарифмирования.

Но природа, как всегда, оставляет лазейки для тех, кто умеет смотреть глубже.

В последние годы всё больше внимания уделяется изогенным протоколам — криптографическим схемам, основанным не на арифметике точек, а на геометрии эллиптических кривых и их топологических преобразованиях. Среди них особенно выделяется CSIDH (Commutative Supersingular Isogeny Diffie–Hellman) — элегантный, компактный и постквантово-устойчивый протокол, в котором безопасность обеспечивается не вычислениями, а структурой пространства самих кривых.

Однако CSIDH — это лишь отправная точка.

Что если ввести в его основу топологический критерий, связанный с многообразиями более сложной формы — например, с тором?

Так возникает TorusCSIDH: не просто обобщение, а качественный скачок в архитектуре постквантовых примитивов.

Кривые, модули и тор: топологическая основа TorusCSIDH

1. Суперсингулярные кривые и их порядок

Центральный объект протокола — суперсингулярная эллиптическая кривая E_0, определённая над конечным полем mathbb{F}_{p^2}, где простое число p имеет специальный вид:

p=4ell_1ell_2cdotsell_n - 1.

Такой выбор гарантирует, что:

  • кривая E_0 суперсингулярна;

  • её группа точек имеет порядок:

    #E_0(mathbb{F}_{p^2})=(p + 1)^2;

  • кольцо эндоморфизмов mathrm{End}(E_0) изоморфно максимальному порядку mathcal{O}_K в мнимом квадратичном поле K=mathbb{Q}(sqrt{-p}).

Это свойство критически важно: оно позволяет отождествить изогении с идеалами в порядке mathcal{O}_K.

2. От кривой к модулю

Согласно теории комплексного умножения, каждой эллиптической кривой с эндоморфизмами из порядка mathcal{O} соответствует mathcal{O}-модуль ранга 1 — то есть решётка Lambda subset mathbb{C}, замкнутая относительно умножения на элементы mathcal{O}.

Факторпространство

mathbb{C} / Lambda

является комплексным тором, и этот тор изоморфен эллиптической кривой с комплексным умножением из mathcal{O}.

Таким образом, эллиптическая кривая ↔ модуль ↔ тор — три представления одного и того же объекта в разных категориях: алгебраической, арифметической и топологической.

3. Изогении как сдвиги на торе

В этом контексте:

  • изогения степени ell_i соответствует умножению модуля Lambda на идеал mathfrak{a}_i subset mathcal{O} нормы ell_i;

  • композиция изогений, задаваемая вектором d=(e_1, dots, e_n), соответствует действию идеала

    mathfrak{a}=prod_{i=1}^n mathfrak{a}_i^{e_i}

    на модуль Lambda;

  • результат — новый модуль mathfrak{a} cdot Lambda, который задаёт новую кривую E=[d]E_0.

Геометрически это эквивалентно сдвигу вдоль циклов тора. Базисные циклы тора соответствуют генераторам гомологий H_1(mathbb{C}/Lambda, mathbb{Z}) cong mathbb{Z}^2, а действие идеала — линейному преобразованию этой решётки.

4. Коммутативность и гомологическая инвариантность

Ключевое свойство: класс-группа mathrm{Cl}(mathcal{O}) абелева. Поэтому для любых двух секретов d_A, d_B выполняется:

[d_A][d_B]E_0=[d_B][d_A]E_0.

Топологически это означает, что путь на торе, составленный из сдвигов по циклам, не зависит от порядка обхода — это гомологическая инвариантность. Именно она обеспечивает корректность обмена ключами.

Пример взаимодействия Алисы и Боба в протоколе TorusCSIDH

1. Инициализация

Стороны заранее согласовывают публичные параметры:

  • суперсингулярную кривую E_0 над mathbb{F}_{p^2} с #E_0(mathbb{F}_{p^2})=(p+1)^2;

  • простые ell_1, dots, ell_n;

  • диапазон экспонент m.

2. Генерация ключей

  • Алиса выбирает d_A=(e_{A1}, dots, e_{An}), e_{Ai} in [-m, m], и вычисляет

    E_A=[d_A]E_0.

  • Боб выбирает d_B=(e_{B1}, dots, e_{Bn}) и вычисляет

    E_B=[d_B]E_0.

Операция [d]E реализуется как последовательное построение изогений с использованием алгоритмов типа Vélu’s formulas или их оптимизированных версий для суперсингулярных кривых.

3. Обмен открытыми ключами

Алиса отправляет E_A, Боб — E_B.

4. Вычисление общего секрета

  • Алиса вычисляет E_{AB}=[d_A]E_B,

  • Боб вычисляет E_{BA}=[d_B]E_A.

Благодаря коммутативности: E_{AB} cong E_{BA}.

Общий секрет:

S=j(E_{AB})=j(E_{BA}),

где jj-инвариант, уникальный для каждого изоморфного класса кривых.

Этот секрет подаётся в KDF (например, HKDF-SHA3) для генерации сессионного ключа.

Как будут происходить транзакции в системе TorusCSIDH?

TorusCSIDH не ограничивается обменом ключами — он служит основой для полноценной цифровой подписи, аналогичной ECDSA, но с топологической верификацией.

1. Подготовка ключей

  • Секретный ключ: d=(e_1, dots, e_n).

  • Открытый ключ: E=[d]E_0 — публикуется как адрес (например, в блокчейне).

2. Формирование транзакции

Пусть Алиса хочет подписать сообщение M (например, «перевести 1 BTC Бобу»).

Она:

  1. Генерирует эфемерный секрет d_{text{eph}}=(k_1, dots, k_n), k_i in [-m, m];

  2. Вычисляет временную кривую

    E_{text{eph}}=[d_{text{eph}}]E_0;

  3. Вычисляет общий секрет

    S=j([d]E_{text{eph}});

  4. Формирует подпись

    sigma=big( text{repr}(E_{text{eph}}), h big),

    где:

    • text{repr}(E_{text{eph}}) — компактное представление кривой (например, её j-инвариант или коэффициенты уравнения Вейерштрасса);

    • h=H(M parallel S) — хеш от сообщения и секрета.

3. Верификация транзакции

Любой узел сети, зная E (открытый ключ Алисы), может проверить подпись:

  1. Восстанавливает E_{text{eph}} из text{repr}(E_{text{eph}});

  2. Вычисляет

    S'=j([d_{text{eph}}]E);

    (это возможно, так как действие [d_{text{eph}}] на E=[d]E_0 даёт ту же кривую, что и [d] на E_{text{eph}});

  3. Проверяет равенство

    h stackrel{?}{=} H(M parallel S').

Если совпадает — подпись валидна.

4. Топологический критерий безопасности (второй уровень защиты)

Здесь TorusCSIDH выходит за рамки алгебры.

Узел может дополнительно:

  • выбрать конечное множество точек на E_{text{eph}} и E;

  • построить комплекс Вьеториса–Рипса;

  • вычислить персистентные гомологии (например, числа Бетти beta_0, beta_1).

Для корректной кривой, полученной из тора, должно выполняться:

beta_1=2, quad beta_0=1.

Если топологический профиль нарушается (например, beta_1=1 или 3), это указывает на:

  • подделку кривой,

  • использование несогласованного модуля,

  • попытку атаки через некорректную реализацию.

Такая структурная верификация делает систему устойчивой даже к атакам, которые обходят алгебраическую проверку.

5. Преимущества в реальных сценариях

Свойство

TorusCSIDH

ECDSA

Размер ключа

~64 байта

~32 байта

Постквантовая устойчивость

✅ Да

❌ Нет

Топологическая верификация

✅ Да

❌ Нет

Совместимость с блокчейном

✅ Полная

✅ Полная

Вычислительная сложность

Выше, но приемлема

Низкая

Заключение: за пределами алгебры

TorusCSIDH — это не просто ещё один постквантовый протокол. Это новая парадигма, в которой криптография перестаёт быть чисто алгебраической дисциплиной и становится топологической.

Здесь безопасность определяется не только сложностью обращения функции, но и глобальной структурой пространства, в котором эта функция живёт.

Ключевые элементы этой структуры:

  • модуль Lambda — решётка, задающая тор mathbb{C}/Lambda;

  • порядок кривой #E(mathbb{F}_{p^2})=(p+1)^2 — обеспечивает богатую изогенную структуру;

  • эндоморфизм-кольцо mathrm{End}(E) cong mathcal{O}_K — связывает арифметику и геометрию;

  • гомологический класс пути — интерпретация секретного ключа.

Именно согласованность между модульной, алгебраической и топологической структурами обеспечивает структурную устойчивость протокола.

Представленный протокол — первый шаг к построению полноценной цифровой подписи, аналогичной ECDSA, но защищённой не только от квантовых атак, но и от структурных уязвимостей, присущих чисто алгебраическим схемам.

В будущем мы планируем развить эту идею в рамках топологического критерия безопасности, где подлинность подписи будет верифицироваться через инварианты гомотопических классов, а не через сравнение скалярных значений.

Мир постквантовой криптографии уже здесь. И он — многомерен, изогнут и топологически богат.

Автор: tqec

Источник

Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js