TorusCSIDH: постквантовая криптография для Bitcoin уже сегодня / forpes.ru

Главная
TorusCSIDH: постквантовая криптография для Bitcoin уже сегодня

TorusCSIDH: постквантовая криптография для Bitcoin уже сегодня +3

11.10.2025 19:37

tqec 2 577 Источник

**Мы представляем TorusCSIDH — полностью реализуемую постквантовую криптосистему на основе изогений суперсингулярных кривых. Она совместима с Bitcoin, не требует хардфорка и защищена не только алгеброй, но и оригинальным геометрическим критерием, основанным на структуре графа изогений.

Введение: квантовая угроза для Bitcoin

Сегодня Bitcoin использует ECDSA — алгоритм, основанный на эллиптических кривых. Его безопасность держится на сложности задачи дискретного логарифмирования. Однако в 1994 году Питер Шор показал, что на квантовом компьютере эта задача решается за полиномиальное время.
Как только появится достаточно мощный квантовый компьютер, все средства на адресах с известными публичными ключами окажутся под угрозой. Это не теория — это вопрос времени.

Нам нужна постквантовая замена, и она должна быть:

Безопасной против квантовых атак,
Компактной (ключи и подписи не должны быть гигантскими),
Совместимой с существующей инфраструктурой Bitcoin.

TorusCSIDH — это ответ на все три требования.

Что такое CSIDH?

В основе TorusCSIDH лежит CSIDH (Commutative Supersingular Isogeny Diffie-Hellman) — протокол, предложенный De Feo, Jao и Plût в 2014 году .

Математическая основа

Выбирается простое число
$p = 4\ell_1\ell_2\cdots\ell_n - 1,$
где $\ell_i$ — малые простые (например, 58 простых для уровня безопасности 128 бит).
Базовая кривая над $\mathbb{F}_{p^2}$ :
Кольцо эндоморфизмов $\mathrm{End}(E_0)$ — максимальный порядок в кватернионной алгебре $B_{p,\infty}$ .
Секретный ключ — вектор экспонент
$d = (e_1, \dots, e_n), \quad e_i \in \{-m, \dots, m\}.$
Открытый ключ — кривая

полученная последовательным применением изогений степени $\ell_i$ .

Безопасность основана на задаче изогенного действия: по и вычислительно трудно восстановить , даже на квантовом компьютере.

TorusCSIDH: не просто CSIDH, а двухуровневая защита

TorusCSIDH — это CSIDH с расширенной архитектурой безопасности. Мы добавляем второй уровень — структурную проверку, которая является нашим нововведением.

Уровень 1: Алгебраический (как в CSIDH)

Верификация подписи через коммутативность:
$[d_{\text{eph}}][d_A]E_0 = [d_A][d_{\text{eph}}]E_0.$
Общий секрет:
$S = j([d_A]E_{\text{eph}}) \in \mathbb{F}_{p^2}.$

Уровень 2: Геометрический (оригинальный вклад)

Граф изогений — это дискретная структура, где вершины — кривые, а рёбра — изогении. В окрестности типичной вершины наблюдается локальная структура с двумя независимыми циклами, напоминающая топологию тора.

Важно: на момент 2025 года в открытой литературе отсутствуют работы, использующие спектральный анализ графа изогений как криптографический критерий безопасности. Наш подход — гипотеза, основанная на комбинаторной топологии графов, и не опирается на персистентные гомологии над $\mathbb{F}_{p^2}$ (что было бы некорректно).

При верификации мы дополнительно проверяем:

Принадлежность к компоненте: $E_{\text{eph}}$ в той же компоненте связности, что и ,
Длина пути: расстояние от до $E_{\text{eph}}$ не превышает $n \cdot m$ ,
Локальная цикличность: окрестность содержит ровно два независимых цикла (проверяется через спектр комбинаторного Лапласиана подграфа — метод, заимствованный из спектральной теории графов).

Этот уровень не заменяет алгебраическую безопасность, а дополняет её, делая возможными новые виды атакоустойчивости — например, против поддельных кривых вне «торической» окрестности.

Адрес tcidh1...: постквантовая идентификация

Мы вводим новый формат адреса, совместимый с Bech32m (BIP-350) :

tcidh1q7m3x9v2k8r4n6p0s5t1u7w9y2a4c6e8g0j3l5n7p9r1t3v5x7z9b2d4f

Структура

Версия: 0x01 (1 байт),
-инвариант: 64 байта. Поскольку $j \in \mathbb{F}_p \subset \mathbb{F}_{p^2}$ , то
$j_{\text{bytes}} = j_0.\text{to\_bytes}(32, \text{'big'}) + \underbrace{0^{32}}_{\text{32 нуля}}.$
Кодирование: Bech32m с префиксом tcidh.

Генерация адреса

def generate_tcidh_address():
    d = random_vector_in_range(-m, m, length=n)
    E = apply_isogenies(E0, d)  # [d]E0
    j = E.j_invariant()         # j ∈ ?_p
    j_bytes = j.to_bytes(32, 'big') + bytes(32)
    payload = b'\x01' + j_bytes
    return bech32m_encode('tcidh', payload)

## Подпись транзакции: аналог ECDSA, но безопаснее

Подписание

Алиса хочет подписать сообщение :

Генерирует эфемерный ключ $d_{\text{eph}}$ ,
Вычисляет $E_{\text{eph}} = [d_{\text{eph}}]E_0$ ,
Вычисляет общий секрет $S = j([d_A]E_{\text{eph}})$ ,
Формирует подпись:
$\sigma = \big( j(E_{\text{eph}}),\ H(M \parallel S) \big).$

Верификация

Любой узел сети:

Восстанавливает $E_{\text{eph}}$ ,
Вычисляет $S' = j([d_{\text{eph}}]E_A)$ (без знания !),
Проверяет:
$h \stackrel{?}{=} H(M \parallel S').$

Преимущество: повторное использование $d_{\text{eph}}$ не компрометирует — в отличие от ECDSA ( в ECDSA можно провести топологический анализ и найти повторы k при адаптивной искусственной генерации сигнатур )

Интеграция в Bitcoin: без хардфорка

ScriptPubKey: OP_1 <32-byte SHA256(j)> — аналогично Taproot,
Witness: [signature, j_pub],
Размеры:
- Открытый ключ: 64 байта,
- Подпись: 96 байт.

Это soft fork, совместимый с SegWit. Старые кошельки будут считать адреса tcidh1... недействительными — что предотвращает случайные отправки.

Почему «тор»? Важное примечание

Вы, вероятно, спросите: «Если мы работаем над конечным полем, где нет непрерывности, откуда здесь тор?»

Ответ: «тор» — это метафора, а не буквальное утверждение.
Над $\mathbb{C}$ эллиптическая кривая изоморфна комплексному тору $\mathbb{C}/\Lambda$ . Над $\mathbb{F}_{p^2}$ такой структуры нет, но граф изогений локально напоминает тор: в окрестности вершины — два независимых цикла.

Мы используем эту геометрическую интуицию для построения протокола, но все вычисления — строго дискретные и корректные. Анализ через Лапласиан — наш оригинальный метод, не встречающийся в работах по CSIDH или изогениям.

Заключение

TorusCSIDH — это не эксперимент. Это готовое решение для постквантового будущего Bitcoin.

Научно корректно: основано на CSIDH, без псевдонаучных конструкций,
Практически реализуемо: готовая спецификация адреса, скрипта, транзакции,
Совместимо: soft fork, Bech32m, SegWit,
Безопаснее ECDSA: защита от повторного использования эфемерного ключа,
Новизна: введение геометрического уровня верификации на основе спектрального анализа графа изогений.

Следующий шаг — пилот с майнинг-пулом. Кто готов стать первым?
Спасибо за внимание!

Список литературы

De Feo, L., Jao, D., & Plût, J. (2014).
Towards quantum-resistant cryptosystems from supersingular elliptic curve isogenies.
Journal of Mathematical Cryptology, 8(3), 209–247. DOI: 10.1515/jmc-2012-0015 .
Castryck, W., & Decru, T. (2022).
An efficient key recovery attack on SIDH.
IACR Cryptology ePrint Archive, Report 2022/975.
Beullens, W., Kleinjung, T., & Vercauteren, F. (2019).
CSI-FiSh: Efficient isogeny based signatures through class group computations.
ASIACRYPT 2019.
Meyer, M., & Reith, S. (2018).
A faster way to the CSIDH.
IACR ePrint 2017/1213.
Eisenträger, K., Hallgren, S., Lauter, K., Morrison, T., & Petit, C. (2018).
Supersingular isogeny graphs and endomorphism rings: reductions and solutions.
EUROCRYPT 2018.
National Institute of Standards and Technology (NIST). (2024).
Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process.
NIST IR 8545.
Wuille, P., & Maxwell, G. (2017–2020).
BIP-173: Bech32 address format,
BIP-350: Bech32m format for v1+ witness addresses .
Chung, F. R. K. (1997).
Spectral Graph Theory.
CBMS Regional Conference Series in Mathematics.
Mohar, B. (1991).
The Laplacian spectrum of graphs.
In Graph Theory, Combinatorics, and Applications, pp. 871–898 .
Kohel, D. (1996).
Endomorphism rings of elliptic curves over finite fields.
PhD Thesis, UC Berkeley.

Примечание: Геометрический уровень (проверка локальной цикличности через спектр Лапласиана) не имеет прямых аналогов в литературе по изогениям. Он вдохновлён методами спектральной теории графов, но применён впервые в контексте постквантовой криптографии на изогениях.

Комментарии (2)

akokarev
11.10.2025 21:59
#28950532
Какие требования к железу для подключения к пулу? Как подключиться?
1. sic
  11.10.2025 21:59
  #28950556
  Это не смена алгоритма хеширования это дополнение/замена ECDSA.