TorusCSIDH: постквантовый аналог ECDSA с топологическим критерием безопасности

В современном мире криптографии безопасность часто ассоциируется со случайностью. Но что если я скажу вам, что истинная безопасность кроется не в хаосе, а в строгой, заранее определённой структуре?

В этой статье я представляю принципиально новый подход к постквантовой криптографии — TorusCSIDH, где безопасность определяется не отсутствием структуры, а наличием правильной топологической структуры.

От эмпирических тестов к математическому критерию безопасности

До недавнего времени криптографическая безопасность оценивалась через эмпирические тесты: устойчивость к известным атакам, статистический анализ случайности, энтропийные метрики. Однако такой подход имеет фундаментальный недостаток: он может подтвердить наличие уязвимости, но не может доказать безопасность.

Наше открытие совершает парадигмальный сдвиг:

Безопасность — это не отсутствие структуры, а наличие правильной структуры.

Мы доказали (и подробно рассмотрели в предыдущей статье ^[1]), что криптографическая устойчивость достигается не через максимальную случайность, а через специфическую, строго определённую топологическую структуру — тор с максимальной энтропией, встроенный в арифметику суперсингулярных кривых.

Почему классика обречена: наступление квантовой эры

В эпоху надвигающейся квантовой угрозы классические криптосистемы — от RSA до ECDSA — теряют свою неприкосновенность. Алгоритмы Шора и Гровера не просто теоретические конструкции: они знаменуют собой конец эры, в которой безопасность цифрового мира строилась на сложности факторизации и дискретного логарифмирования.

Но природа, как всегда, оставляет лазейки для тех, кто умеет смотреть глубже.

В последние годы всё больше внимания уделяется изогенным протоколам — криптографическим схемам, основанным не на арифметике точек, а на геометрии эллиптических кривых и их топологических преобразованиях. Среди них особенно выделяется CSIDH (Commutative Supersingular Isogeny Diffie–Hellman) — элегантный, компактный и постквантово-устойчивый протокол, в котором безопасность обеспечивается не вычислениями, а структурой пространства самих кривых.

Однако CSIDH — это лишь отправная точка.

Что если ввести в его основу топологический критерий, связанный с многообразиями более сложной формы — например, с тором?

Так возникает TorusCSIDH: не просто обобщение, а качественный скачок в архитектуре постквантовых примитивов.

Кривые, модули и тор: топологическая основа TorusCSIDH

1. Суперсингулярные кривые и их порядок

Центральный объект протокола — суперсингулярная эллиптическая кривая , определённая над конечным полем $mathbb{F}_{p^2}$ , где простое число имеет специальный вид:

Такой выбор гарантирует, что:

кривая суперсингулярна;
её группа точек имеет порядок:

$#E_0(mathbb{F}_{p^2})=(p + 1)^2;$
кольцо эндоморфизмов $mathrm{End}(E_0)$ изоморфно максимальному порядку $mathcal{O}_K$ в мнимом квадратичном поле .

Это свойство критически важно: оно позволяет отождествить изогении с идеалами в порядке $mathcal{O}_K$ .

2. От кривой к модулю

Согласно теории комплексного умножения, каждой эллиптической кривой с эндоморфизмами из порядка соответствует -модуль ранга 1 — то есть решётка , замкнутая относительно умножения на элементы .

Факторпространство

является комплексным тором, и этот тор изоморфен эллиптической кривой с комплексным умножением из .

Таким образом, эллиптическая кривая ↔ модуль ↔ тор — три представления одного и того же объекта в разных категориях: алгебраической, арифметической и топологической.

3. Изогении как сдвиги на торе

В этом контексте:

изогения степени соответствует умножению модуля на идеал $mathfrak{a}_i subset mathcal{O}$ нормы ;
композиция изогений, задаваемая вектором , соответствует действию идеала

$mathfrak{a}=prod_{i=1}^n mathfrak{a}_i^{e_i}$

на модуль ;
результат — новый модуль , который задаёт новую кривую .

Геометрически это эквивалентно сдвигу вдоль циклов тора. Базисные циклы тора соответствуют генераторам гомологий $H_1(mathbb{C}/Lambda, mathbb{Z}) cong mathbb{Z}^2$ , а действие идеала — линейному преобразованию этой решётки.

4. Коммутативность и гомологическая инвариантность

Ключевое свойство: класс-группа абелева. Поэтому для любых двух секретов , выполняется:

Топологически это означает, что путь на торе, составленный из сдвигов по циклам, не зависит от порядка обхода — это гомологическая инвариантность. Именно она обеспечивает корректность обмена ключами.

Пример взаимодействия Алисы и Боба в протоколе TorusCSIDH

1. Инициализация

Стороны заранее согласовывают публичные параметры:

суперсингулярную кривую над $mathbb{F}_{p^2}$ с $#E_0(mathbb{F}_{p^2})=(p+1)^2$ ;
простые ;
диапазон экспонент .

2. Генерация ключей

Алиса выбирает $d_A=(e_{A1}, dots, e_{An})$ , $e_{Ai} in [-m, m]$ , и вычисляет
Боб выбирает $d_B=(e_{B1}, dots, e_{Bn})$ и вычисляет

Операция реализуется как последовательное построение изогений с использованием алгоритмов типа Vélu’s formulas или их оптимизированных версий для суперсингулярных кривых.

3. Обмен открытыми ключами

Алиса отправляет , Боб — .

4. Вычисление общего секрета

Алиса вычисляет $E_{AB}=[d_A]E_B$ ,
Боб вычисляет $E_{BA}=[d_B]E_A$ .

Благодаря коммутативности: $E_{AB} cong E_{BA}$ .

Общий секрет:

$S=j(E_{AB})=j(E_{BA}),$

где — -инвариант, уникальный для каждого изоморфного класса кривых.

Этот секрет подаётся в KDF (например, HKDF-SHA3) для генерации сессионного ключа.

Как будут происходить транзакции в системе TorusCSIDH?

TorusCSIDH не ограничивается обменом ключами — он служит основой для полноценной цифровой подписи, аналогичной ECDSA, но с топологической верификацией.

1. Подготовка ключей

Секретный ключ: .
Открытый ключ: — публикуется как адрес (например, в блокчейне).

2. Формирование транзакции

Пусть Алиса хочет подписать сообщение (например, «перевести 1 BTC Бобу»).

Она:

Генерирует эфемерный секрет $d_{text{eph}}=(k_1, dots, k_n)$ , ;
Вычисляет временную кривую

$E_{text{eph}}=[d_{text{eph}}]E_0;$
Вычисляет общий секрет

$S=j([d]E_{text{eph}});$
Формирует подпись

$sigma=big( text{repr}(E_{text{eph}}), h big),$

где:
- $text{repr}(E_{text{eph}})$ — компактное представление кривой (например, её -инвариант или коэффициенты уравнения Вейерштрасса);
- — хеш от сообщения и секрета.

3. Верификация транзакции

Любой узел сети, зная (открытый ключ Алисы), может проверить подпись:

Восстанавливает $E_{text{eph}}$ из $text{repr}(E_{text{eph}})$ ;
Вычисляет

$S'=j([d_{text{eph}}]E);$

(это возможно, так как действие $[d_{text{eph}}]$ на даёт ту же кривую, что и на $E_{text{eph}}$ );
Проверяет равенство

Если совпадает — подпись валидна.

4. Топологический критерий безопасности (второй уровень защиты)

Здесь TorusCSIDH выходит за рамки алгебры.

Узел может дополнительно:

выбрать конечное множество точек на $E_{text{eph}}$ и ;
построить комплекс Вьеториса–Рипса;
вычислить персистентные гомологии (например, числа Бетти ).

Для корректной кривой, полученной из тора, должно выполняться:

Если топологический профиль нарушается (например, или ), это указывает на:

подделку кривой,
использование несогласованного модуля,
попытку атаки через некорректную реализацию.

Такая структурная верификация делает систему устойчивой даже к атакам, которые обходят алгебраическую проверку.

5. Преимущества в реальных сценариях

Свойство	TorusCSIDH	ECDSA
Размер ключа	~64 байта	~32 байта
Постквантовая устойчивость	✅ Да	❌ Нет
Топологическая верификация	✅ Да	❌ Нет
Совместимость с блокчейном	✅ Полная	✅ Полная
Вычислительная сложность	Выше, но приемлема	Низкая

Заключение: за пределами алгебры

TorusCSIDH — это не просто ещё один постквантовый протокол. Это новая парадигма, в которой криптография перестаёт быть чисто алгебраической дисциплиной и становится топологической.

Здесь безопасность определяется не только сложностью обращения функции, но и глобальной структурой пространства, в котором эта функция живёт.

Ключевые элементы этой структуры:

модуль — решётка, задающая тор ;
порядок кривой $#E(mathbb{F}_{p^2})=(p+1)^2$ — обеспечивает богатую изогенную структуру;
эндоморфизм-кольцо $mathrm{End}(E) cong mathcal{O}_K$ — связывает арифметику и геометрию;
гомологический класс пути — интерпретация секретного ключа.

Именно согласованность между модульной, алгебраической и топологической структурами обеспечивает структурную устойчивость протокола.

Представленный протокол — первый шаг к построению полноценной цифровой подписи, аналогичной ECDSA, но защищённой не только от квантовых атак, но и от структурных уязвимостей, присущих чисто алгебраическим схемам.

В будущем мы планируем развить эту идею в рамках топологического критерия безопасности, где подлинность подписи будет верифицироваться через инварианты гомотопических классов, а не через сравнение скалярных значений.

Мир постквантовой криптографии уже здесь. И он — многомерен, изогнут и топологически богат.

Автор: tqec

Источник ^[2]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/algoritmy/433220

Ссылки в тексте:

[1] предыдущей статье: https://habr.com/ru/articles/954944/

[2] Источник: https://habr.com/ru/articles/955594/?utm_campaign=955594&utm_source=habrahabr&utm_medium=rss

Нажмите здесь для печати.