TorusCSIDH: постквантовый аналог ECDSA с топологическим критерием безопасности / forpes.ru

Главная
TorusCSIDH: постквантовый аналог ECDSA с топологическим критерием безопасности

TorusCSIDH: постквантовый аналог ECDSA с топологическим критерием безопасности +1

11.10.2025 12:40

tqec 0 207 Источник

В современном мире криптографии безопасность часто ассоциируется со случайностью. Но что если я скажу вам, что истинная безопасность кроется не в хаосе, а в строгой, заранее определённой структуре?

В этой статье я представляю принципиально новый подход к постквантовой криптографии — TorusCSIDH, где безопасность определяется не отсутствием структуры, а наличием правильной геометрической структуры, вдохновлённой топологией тора.

От эмпирических тестов к математическому критерию безопасности

До недавнего времени криптографическая безопасность оценивалась через эмпирические тесты: устойчивость к известным атакам, статистический анализ случайности, энтропийные метрики. Однако такой подход имеет фундаментальный недостаток: он может подтвердить наличие уязвимости, но не может доказать безопасность.

Наше открытие совершает парадигмальный сдвиг:

Безопасность — это не отсутствие структуры, а наличие правильной структуры.

Мы показали (и подробно рассмотрели в предыдущей статье), что криптографическая устойчивость достигается не через максимальную случайность, а через специфическую, строго определённую геометрическую структуру, вдохновлённую тором с максимальной энтропией.

Почему классика обречена: наступление квантовой эры

В эпоху надвигающейся квантовой угрозы классические криптосистемы — от RSA до ECDSA — теряют свою неприкосновенность. Алгоритмы Шора и Гровера не просто теоретические конструкции: они знаменуют собой конец эры, в которой безопасность цифрового мира строилась на сложности факторизации и дискретного логарифмирования.

Но природа, как всегда, оставляет лазейки для тех, кто умеет смотреть глубже.

В последние годы всё больше внимания уделяется изогенным протоколам — криптографическим схемам, основанным не на арифметике точек, а на геометрии эллиптических кривых и их изогенных преобразованиях. Среди них особенно выделяется CSIDH (Commutative Supersingular Isogeny Diffie–Hellman) — элегантный, компактный и постквантово-устойчивый протокол, в котором безопасность обеспечивается не вычислениями, а структурой пространства самих кривых.

Однако CSIDH — это лишь отправная точка.

Что если ввести в его основу геометрический критерий, вдохновлённый многообразиями более сложной формы — например, тором?

Так возникает TorusCSIDH: не просто обобщение, а качественный скачок в архитектуре постквантовых примитивов.

Кривые, изогении и геометрическая аналогия с тором

1. Суперсингулярные кривые и их арифметика

Центральный объект протокола — суперсингулярная эллиптическая кривая , определённая над конечным полем $\mathbb{F}_{p^2}$ , где простое число имеет специальный вид:

$p = 4\ell_1\ell_2\cdots\ell_n - 1.$

Такой выбор гарантирует:

суперсингулярность кривой ;
порядок группы точек:
$\#E_0(\mathbb{F}_{p^2}) = (p + 1)^2;$
богатую структуру изогений малых степеней $\ell_i$ .

Важно: кольцо эндоморфизмов $\mathrm{End}(E_0)$ не является порядком в квадратичном поле. Напротив, для суперсингулярных кривых оно изоморфно максимальному порядку в кватернионной алгебре $B_{p,\infty}$ над $\mathbb{Q}$ , разветвлённой в и $\infty$ . Это фундаментальное отличие от обычных (ordinary) кривых и ключевой момент для корректного понимания CSIDH.

2. Действие класс-группы и коммутативность

Хотя кватернионная алгебра некоммутативна, класс-группа максимального порядка в ней может быть абелевой в нужном контексте. В CSIDH используется именно это свойство: идеалы действуют на множество суперсингулярных кривых коммутативно, что позволяет строить протокол обмена ключами.

Для любых двух секретов , выполняется:

Это — алгебраическая основа протокола.

3. Геометрическая аналогия: почему «тор»?

Несмотря на то, что над конечным полем нет естественной топологии, можно провести глубокую аналогию с комплексным случаем:

В теории комплексного умножения (для ordinary кривых) эллиптическая кривая соответствует комплексному тору $\mathbb{C}/\Lambda$ .
Действие идеалов — это сдвиги вдоль циклов тора.
Коммутативность отражает независимость результата от порядка обхода циклов.

В TorusCSIDH мы переносим эту интуицию на суперсингулярный случай, интерпретируя:

секретный ключ как путь в графе изогений;
открытый ключ как вершину графа, достижимую по этому пути;
общий секрет как инвариант конечной конфигурации.

Хотя строгая топология над $\mathbb{F}_{p^2}$ отсутствует, комбинаторная структура графа изогений обладает свойствами, аналогичными топологическим — в частности, наличием двух независимых циклов в локальной окрестности, что вдохновляет название «Torus».

Алиса и Боб в TorusCSIDH: от обмена ключами к транзакциям

Чтобы продемонстрировать практическую применимость протокола TorusCSIDH, рассмотрим два сценария:

Выработка общего секрета (аналог Диффи–Хеллмана),
Подписание и верификация транзакции (аналог ECDSA).

Оба сценария используют одни и те же криптографические примитивы, но различаются по цели и структуре.

Сценарий 1: Выработка общего секрета

Пусть Алиса и Боб хотят договориться о симметричном ключе, не имея предварительной секретной информации.

Шаг 0. Общие параметры (публичные)

Заранее фиксируются:

простое число
$p = 4\ell_1\ell_2\cdots\ell_n - 1,$
суперсингулярная эллиптическая кривая над $\mathbb{F}_{p^2}$ , например
набор малых простых $\ell_1, \dots, \ell_n$ ,
диапазон экспонент (обычно ).

? Пояснение: Кривая имеет порядок $\#E_0(\mathbb{F}_{p^2}) = (p+1)^2$ , а её кольцо эндоморфизмов — максимальный порядок в кватернионной алгебре $B_{p,\infty}$ . Это обеспечивает богатую структуру изогений и коммутативность действия класс-группы.

Шаг 1. Генерация ключей

Алиса:
- выбирает вектор экспонент
  $d_A = (e_{A1}, \dots, e_{An}), \quad e_{Ai} \in \{-m, \dots, m\};$
- последовательно применяет изогении степени $\ell_i$ (в прямом или обратном направлении) к ;
- получает открытый ключ — новую кривую
Боб делает то же самое:
- выбирает $d_B = (e_{B1}, \dots, e_{Bn})$ ,
- вычисляет .

? Важно:

Секретный ключ — вектор, а не число.

Открытый ключ — вся кривая, обычно представленная своим -инвариантом.

Шаг 2. Обмен открытыми ключами

Алиса отправляет Бобу.
Боб отправляет Алисе.

Шаг 3. Вычисление общего секрета

Алиса применяет свой секрет к кривой :
$E_{AB} = [d_A]E_B.$
Боб применяет свой секрет к кривой :
$E_{BA} = [d_B]E_A.$

Благодаря коммутативности действия класс-группы:

$E_{AB} \cong E_{BA}.$

Обе стороны вычисляют общий секрет как:

$S = j(E_{AB}) = j(E_{BA}) \in \mathbb{F}_{p^2}.$

Это значение подаётся в KDF (например, HKDF-SHA3) для генерации сессионного ключа шифрования.

Сценарий 2: Подписание транзакции (аналог ECDSA)

Теперь представим, что Алиса хочет подписать транзакцию (например, «перевести 1 BTC Бобу»), чтобы любой узел сети мог проверить её подлинность.

Шаг 1. Ключи участников

Алиса уже имеет:
- секретный ключ ,
- открытый ключ (публикуется как её адрес в блокчейне).
Боб и все узлы сети знают .

Шаг 2. Формирование подписи

Алиса хочет подписать сообщение (например, хеш транзакции).

Она:

Генерирует эфемерный (временный) секрет
$d_{\text{eph}} = (k_1, \dots, k_n), \quad k_i \in \{-m, \dots, m\};$
Вычисляет временную кривую
$E_{\text{eph}} = [d_{\text{eph}}]E_0;$
Применяет свой долгосрочный секрет к $E_{\text{eph}}$ , получая общий секрет
$S = j([d_A]E_{\text{eph}});$
Вычисляет хеш
$h = H(M \parallel S),$
где — криптографическая хеш-функция (например, SHA3-256);
Формирует подпись как пару
$\sigma = \big( \text{repr}(E_{\text{eph}}),\ h \big),$
где $\text{repr}(E_{\text{eph}})$ — компактное представление кривой (обычно её -инвариант).

? Почему это безопасно?
Эфемерный ключ $d_{\text{eph}}$ используется один раз. Даже если злоумышленник узнает из одной транзакции, он не сможет восстановить , так как задача изогенного действия остаётся трудной.

Шаг 3. Верификация транзакции

Любой узел сети (включая майнеров) может проверить подпись, зная:

открытый ключ Алисы ,
подпись $\sigma = (E_{\text{eph}}, h)$ ,
сообщение .

Процедура:

Восстанавливает кривую $E_{\text{eph}}$ из её представления;
Применяет эфемерный секрет неявно: вычисляет
$S' = j([d_{\text{eph}}]E_A).$
Это возможно благодаря коммутативности:
$[d_{\text{eph}}]E_A = [d_{\text{eph}}][d_A]E_0 = [d_A][d_{\text{eph}}]E_0 = [d_A]E_{\text{eph}}.$
Проверяет равенство:
$h \stackrel{?}{=} H(M \parallel S').$

Если совпадает — подпись валидна, транзакция принимается.

Преимущества в блокчейн-системах

Свойство	TorusCSIDH	ECDSA
Размер открытого ключа	~64 байта	~33 байта
Постквантовая устойчивость	✅ Да	❌ Нет
Защита от повторного использования эфемерного ключа	✅ Встроенная (изогении)	❌ Критична (см. атаку на Sony PS3)
Совместимость	✅ Легко интегрируется вместо ECDSA	—

Архитектура безопасности TorusCSIDH строится не на одном, а на двух взаимодополняющих уровнях:

Криптографическом (алгебраическом) — как в классическом CSIDH,
Геометрическом (структурном) — уникальная особенность TorusCSIDH, вдохновлённая топологией тора.

? 1. Алгебраический уровень: безопасность через трудность изогенной задачи

Этот уровень полностью совпадает с CSIDH и обеспечивает базовую постквантовую устойчивость.

Основа:

Используется суперсингулярная эллиптическая кривая над $\mathbb{F}_{p^2}$ , где $p = 4\ell_1\cdots\ell_n - 1$ .
Кольцо эндоморфизмов $\mathrm{End}(E_0)$ — максимальный порядок в кватернионной алгебре $B_{p,\infty}$ .
Секретный ключ — вектор экспонент , задающий идеал в этом порядке.
Открытый ключ — кривая , полученная применением изогений.

Безопасность основана на:

Задаче изогенного действия (Supersingular Isogeny Action Problem): По публичным и вычислительно трудно восстановить , даже на квантовом компьютере.
Коммутативности действия: позволяет корректно выработать общий секрет без передачи секретов.

✅ Этот уровень доказуемо устойчив к известным квантовым атакам и соответствует современным стандартам NIST PQC.

? 2. Геометрический (структурный) уровень: безопасность через правильную форму пространства

Это ключевое отличие TorusCSIDH от CSIDH. Здесь безопасность определяется не только что вычислено, но и как оно вычислено.

Основная идея:

Пространство суперсингулярных кривых (граф изогений) обладает локальной структурой, аналогичной двумерному тору:

в окрестности типичной вершины есть два независимых цикла,
путь, задаваемый секретным ключом, должен соответствовать корректной комбинаторной геометрии этого графа.

Как это работает на практике:

При генерации подписи:

Эфемерная кривая $E_{\text{eph}} = [d_{\text{eph}}]E_0$ должна быть получена последовательным применением изогений из заданного набора $\{\ell_i\}$ .
Это создаёт структурированный путь в графе изогений от до $E_{\text{eph}}$ .

При верификации:

Помимо стандартной проверки

$h \stackrel{?}{=} H(M \parallel j([d_{\text{eph}}]E_A)),$

узел может дополнительно проверить:

Принадлежность к компоненте:
Лежит ли $E_{\text{eph}}$ в той же связной компоненте графа изогений, что и ?
Длина и структура пути:
Соответствует ли минимальное расстояние от до $E_{\text{eph}}$ ожидаемому (например, $\leq n \cdot m$ )?
Локальная цикличность:
Имеет ли окрестность $E_{\text{eph}}$ структуру, характерную для «торической» области графа (например, через спектральный анализ подграфа)?

? Это не персистентные гомологии над $\mathbb{F}_{p^2}$ (что некорректно), а комбинаторный или спектральный анализ графа изогений — строго определённая дискретная процедура.

Преимущества структурного уровня:

Защита от подделки через некорректные кривые: Злоумышленник не может просто выбрать случайную суперсингулярную кривую с нужным -инвариантом — она не пройдёт структурную проверку.
Обнаружение аномальных реализаций: Уязвимости в реализации (например, фиксированный эфемерный ключ) нарушают геометрию пути и выявляются на этом уровне.
Устойчивость к «алгебраически корректным, но структурно неверным» атакам.

?️ Интегрированная архитектура безопасности

Уровень	Что проверяется	Как реализуется	Защита от
Алгебраический	Корректность -инварианта и хеша	Стандартная верификация подписи	Классические и квантовые атаки на изогении
Геометрический	Корректность пути в графе изогений	Анализ структуры, длины, локальной топологии	Подделка кривых, аномальные реализации, структурные уязвимости

? Философия TorusCSIDH:
«Безопасность — это не отсутствие структуры, а наличие правильной структуры».
Даже если алгебраическая проверка пройдена, система отклонит транзакцию, если её «геометрическая форма» неверна.

Архитектура безопасности TorusCSIDH — это двухуровневая защита:

нижний уровень обеспечивает криптографическую прочность (как в CSIDH),
верхний уровень добавляет структурную целостность, вдохновлённую геометрией тора.

Это делает TorusCSIDH не просто постквантовой заменой ECDSA, а новым классом криптосистем, где безопасность определяется глобальной формой пространства решений, а не только локальными вычислениями.

? Важное примечание: а есть ли на самом деле «тор» над конечным полем?

Вы, вероятно, задаётесь вопросом: «Если мы работаем с кривыми над конечным полем $\mathbb{F}_{p^2}$ , где нет ни непрерывности, ни метрики, ни привычного пространства — откуда здесь топология и тем более тор?»

Это отличный вопрос — и он касается самой сути современной математики.

Дело в том, что термин «тор» в названии TorusCSIDH — это не буквальное утверждение, а глубокая аналогия, заимствованная из комплексного мира. Над полем комплексных чисел $\mathbb{C}$ каждая эллиптическая кривая действительно изоморфна комплексному тору $\mathbb{C}/\Lambda$ , где $\Lambda$ — решётка в плоскости. Этот тор имеет два «дыры» в топологическом смысле: его первая группа гомологий — $\mathbb{Z}^2$ , а число Бетти $\beta_1 = 2$ . Именно эта структура вдохновляет название.

Однако над конечным полем $\mathbb{F}_{p^2}$ всё устроено иначе:

нет непрерывных путей,
нет вложения в $\mathbb{R}^2$ или $\mathbb{C}$ ,
и, строго говоря, обычная топология (в смысле Пуанкаре или алгебраической топологии) здесь не работает.

Тем не менее, математики давно научились «переносить» геометрическую интуицию с комплексного случая на арифметический — через такие инструменты, как этальные когомологии, фундаментальные группы схем и графы изогений.

В частности, граф изогений — это дискретная структура, вершины которой — суперсингулярные кривые, а рёбра — изогении малых степеней. И хотя это просто граф, его локальная структура напоминает двумерное многообразие: в окрестности типичной вершины есть два независимых цикла, что аналогично двум базисным циклам тора. Именно это свойство и лежит в основе названия TorusCSIDH.

Таким образом, «топологический критерий» в нашей статье — это не применение персистентных гомологий к точкам над $\mathbb{F}_{p^2}$ (что было бы некорректно), а использование геометрической интуиции для построения протокола, устойчивого к структурным атакам. Мы проверяем не «число дырок», а согласованность пути в графе изогений, его длину, симметрию и соответствие ожидаемой комбинаторной структуре.

? Аналогия: представьте, что вы описываете форму Земли древнегреческому философу. Вы не можете показать спутниковый снимок, но можете сказать: «Она похожа на шар, потому что корабли исчезают за горизонтом постепенно, а тень на Луне круглая». Это не доказательство, но мощная и продуктивная аналогия.

Так же и здесь: тор — это метафора, которая ведёт к реальной математике.

Мы сознательно используем этот язык, потому что он вдохновляет, структурирует мышление и открывает новые пути — даже если формально мы работаем с дискретными объектами. И именно в этом духе следует понимать «топологический критерий безопасности» в TorusCSIDH.