X25519与Ed25519的区别

Question

我正在读https://en.wikipedia.org/wiki/Curve25519，它写着

同样在2018年，RFC 8446作为新的传输层安全v1.3标准发布。它需要对X25519、Ed25519、X448和Ed448算法的强制性支持。

我从这个站点的各种答案中了解到，ECDSA是一个与EdDSA不同的算法，EdDSA比ECDSA更简单、更快和更安全。我不熟悉ECC背后的数学。我正在寻找以下问题的答案。

• X25519和Ed25519是同一条曲线吗？
• ECDSA是否使用X25519？
• X25519和X448中的X代表什么？
• EdDSA的安全优势是一个结果，还是Ed25519曲线，还是它所使用的与ECDSA不同的算法？
• 如果ECDSA与25519曲线一起使用，它是否与EdDSA一样安全？
• ECDSA在2020年10月被认为是安全的吗？
• EdDSA应该总是用于ECDSA吗？

Answer 1

X25519和Ed25519是同一条曲线吗？

不是的。X25519不是曲线，而是使用曲线Curve25519的x坐标的椭圆曲线Diffie (ECDH)协议。Ed25519是一种爱德华兹数字签名算法，它使用了一条与Curve25519等价的曲线。

ECDSA是否使用X25519？

不是的。这不是曲线，而是ECDH协议。

X25519和X448中的X代表什么？

传输的是X坐标，由于这些协议的工作方式，不需要传输Y坐标。

EdDSA的安全优势是一个结果，还是Ed25519曲线，还是它所使用的与ECDSA不同的算法？

两者都有(在某种程度上两者都没有)。EdDSA的算法允许它在快速的情况下使用更安全的曲线(ECDSA可以在任何椭圆曲线上使用完整的点加法公式，但是对于许多曲线，它会慢一些)。

此外，EdDSA是确定性的:不需要生成一个nonce，也不需要跟踪只使用一次的nonce。另一方面，用相同的密钥对消息进行两次签名将显示相同的消息已被签名。

如果ECDSA与25519曲线一起使用，它是否与EdDSA一样安全？

也许吧。这将取决于数学是如何完成的，以及如何处理现在的一代。

ECDSA在2020年10月被认为是安全的吗？

这取决于具体的实现。它是经过NIST批准的，如果实现得好，就可以安全地使用。

EdDSA应该总是用于ECDSA吗？

现在不行。有些事情需要ECDSA，例如美国政府的FIPS 140不允许EdDSA (目前)。此外，EdDSA签名是确定性的(如上所述)，这可能会给某些方案带来问题(尽管它确实消除了ECDSA所具有的当前重用的安全性问题)。

正如凯拉拉卡所指出的，这里已经有很多问题的答案，我并没有费心把它们联系起来。

Answer 2

对于Ed25519签名方案变体的确切安全保证，本文可能会有所帮助：

践25519的可证明安全性:理论与实践