TorusCSIDH: постквантовая криптография для Bitcoin уже сегодня / forpes.ru

Главная
TorusCSIDH: постквантовая криптография для Bitcoin уже сегодня

TorusCSIDH: постквантовая криптография для Bitcoin уже сегодня +3

11.10.2025 19:37

tqec 2 1700 Источник

Мы представляем TorusCSIDH — полностью реализуемую постквантовую криптосистему на основе изогений суперсингулярных кривых. Она совместима с Bitcoin, не требует хардфорка и защищена не только алгеброй, но и оригинальным геометрическим критерием, основанным на структуре графа изогений.

Репозиторий GitHub

Введение: квантовая угроза для Bitcoin

Сегодня Bitcoin использует ECDSA — алгоритм, основанный на эллиптических кривых. Его безопасность держится на сложности задачи дискретного логарифмирования. Однако в 1994 году Питер Шор показал, что на квантовом компьютере эта задача решается за полиномиальное время.
Как только появится достаточно мощный квантовый компьютер, все средства на адресах с известными публичными ключами окажутся под угрозой. Это не теория — это вопрос времени.

Нам нужна постквантовая замена, и она должна быть:

Безопасной против квантовых атак,
Компактной (ключи и подписи не должны быть гигантскими),
Совместимой с существующей инфраструктурой Bitcoin.

TorusCSIDH — это ответ на все три требования.

Философия безопасности: за пределами алгебры

Криптография традиционно полагалась на алгебраическую сложность как основу безопасности. Однако реальная безопасность — это не просто математическая трудность вычислений, а целостная характеристика системы, включающая её структурные свойства. Представьте дорогу, построенную на песке: даже если асфальт прочный (алгебраическая безопасность), основание может просесть при первом же испытании. Аналогично, криптографический протокол может быть теоретически устойчив к атакам, но если его структурные свойства не проверены, он уязвим к неожиданным атакам на уровне реализации.

Наш подход к безопасности в TorusCSIDH основан на философии "структурной целостности". Мы понимаем, что безопасность — это не только вопрос сложности вычислений, но и вопрос правильной геометрии криптографического пространства. Как архитектор проверяет не только прочность материалов, но и целостность конструкции, мы проверяем не только алгебраическую сложность, но и структурные свойства графа изогений. Это фундаментальное изменение парадигмы: от "доверяй, но проверяй вычисления" к "доверяй только тому, что соответствует ожидаемой структуре".

Философия геометрии в дискретном мире

Возможно, вас удивит упоминание геометрии в контексте дискретной математики и конечных полей. Но геометрия здесь — не метафора, а строгий инструмент анализа. Как древние греки обнаружили, что гармония музыкальных интервалов отражает численные соотношения, мы обнаружили, что безопасность криптографических систем отражает их геометрические свойства.

В мире, где квантовые компьютеры стирают границы между "трудным" и "простым", мы возвращаемся к древней идее: истинная безопасность рождается из гармонии структуры. Граф изогений не просто абстрактный объект — он имеет естественную геометрию, которую можно измерить и проверить. Эта геометрия — наш компас в мире постквантовой криптографии, где старые ориентиры больше не работают. Мы не ищем укрытия в сложности вычислений — мы создаем безопасное пространство с правильной структурой, которую невозможно подделать без знания секрета.

Что такое CSIDH? Постквантовая криптография через изогении

Представьте, что вы хотите безопасно обменяться секретом с другом, но все ваши сообщения перехватывает злоумышленник. Классический алгоритм Диффи-Хеллмана решает эту задачу, используя сложность дискретного логарифмирования. Однако квантовые компьютеры могут взломать этот алгоритм.

CSIDH (Commutative Supersingular Isogeny Diffie-Hellman) — это современная альтернатива, устойчивая к квантовым атакам. Чтобы понять, как это работает, давайте сначала разберемся с основными понятиями.

Изогении: мосты между эллиптическими кривыми

Эллиптическая кривая — это множество точек, удовлетворяющих уравнению вида . В криптографии мы работаем с кривыми над конечными полями, где количество точек конечно.

Изогения — это специальное отображение между эллиптическими кривыми, сохраняющее их алгебраическую структуру. Представьте изогению как "мост", соединяющий две кривые. Этот мост не просто соединяет точки, но и сохраняет операцию сложения точек на кривых.

В CSIDH используются суперсингулярные эллиптические кривые — особый тип кривых с уникальными свойствами, которые делают их подходящими для постквантовой криптографии.

Граф изогений: криптографическая карта

Если представить все суперсингулярные кривые как точки, а изогении как соединяющие их дороги, мы получим граф изогений. Это сложная структура, где каждая вершина — кривая, а каждое ребро — изогения между кривыми.

Ключевая идея CSIDH: перемещаясь по этому графу через последовательность изогений, мы можем "скрыть" свой путь так, что наблюдатель не сможет определить, откуда мы начали и куда пришли, даже имея квантовый компьютер.

Как работает CSIDH?

Давайте проведем аналогию с классическим Диффи-Хеллманом:

В классическом ДХ:
- Есть базовая точка G на эллиптической кривой
- Алиса выбирает секрет a, отправляет aG
- Боб выбирает секрет b, отправляет bG
- Общий секрет: abG
В CSIDH:
- Есть базовая кривая E₀
- Алиса применяет к ней последовательность изогений, получая кривую E_A
- Боб применяет свою последовательность изогений, получая кривую E_B
- Общий секрет: j-инвариант кривой, полученной комбинированным применением изогений

Главное отличие: в классическом ДХ мы перемножаем точки на фиксированной кривой, а в CSIDH мы перемещаемся между разными кривыми через изогении.

Математическая основа CSIDH

Теперь, когда у нас есть интуитивное понимание, давайте углубимся в математику.

Выбор параметров
Для построения CSIDH нам нужно выбрать специальное простое число p. Оно должно иметь форму:

$p = 4\ell_1\ell_2\cdots\ell_n - 1,$

где $\ell_i$ — малые простые числа (например, первые 58 простых для уровня безопасности 128 бит).

Почему именно такая форма? Это гарантирует, что в кватернионной алгебре $B_{p,\infty}$ существуют идеалы, соответствующие изогениям степеней $\ell_i$ , что необходимо для построения протокола.

Базовая кривая
Над полем $\mathbb{F}_{p^2}$ мы выбираем базовую кривую:

Это суперсингулярная кривая с полезными свойствами. Ее кольцо эндоморфизмов $\mathrm{End}(E_0)$ является максимальным порядком в кватернионной алгебре $B_{p,\infty}$ .

Секретный и открытый ключи
Секретный ключ в CSIDH — это вектор экспонент:

$d = (e_1, \dots, e_n), \quad e_i \in \{-m, \dots, m\}.$

Каждая компонента определяет, сколько раз мы применяем изогению степени $\ell_i$ (если

) или обратную изогению (если ).

Открытый ключ — это кривая, полученная применением всей последовательности изогений к базовой кривой:

Безопасность CSIDH
Безопасность основана на задаче изогенного действия: по известным и вычислительно трудно восстановить вектор , даже на квантовом компьютере.

Это похоже на задачу поиска пути в лабиринте: если вы видите начальную и конечную точки, очень сложно определить, каким именно путем прошел человек, особенно если лабиринт огромен и сложен.

Почему CSIDH устойчив к квантовым атакам?

Квантовые компьютеры могут эффективно решать задачи, основанные на периодичности (как в алгоритме Шора), но структура графа изогений не имеет регулярной периодичности, которую можно было бы использовать. Поиск пути в этом графе остается сложной задачей даже для квантовых компьютеров.

TorusCSIDH: не просто CSIDH, а двухуровневая защита

CSIDH — мощный протокол, но как и любой криптографический алгоритм, он имеет свои слабые места. Основная проблема: классический CSIDH предполагает, что все кривые, с которыми мы работаем, "правильные" — то есть они действительно получены легитимным применением изогений к базовой кривой.

Но что, если злоумышленник подсунет нам "искусственную" кривую, которая формально выглядит как правильная, но на самом деле создана специально для атаки? В таком случае алгебраическая безопасность CSIDH может быть обойдена.

Двухуровневая защита: почему она необходима?

Представьте замок с двумя независимыми замками. Чтобы открыть дверь, нужно открыть оба замка. Если один замок сломается или будет взломан, второй все равно защитит ваше имущество.

Аналогично, TorusCSIDH добавляет второй уровень защиты к классическому CSIDH:

Алгебраический уровень (как в CSIDH) — обеспечивает основную безопасность через сложность вычислений
Геометрический уровень (наше нововведение) — проверяет структурные свойства кривых, чтобы убедиться, что они действительно принадлежат "безопасной" части графа изогений

Это как если бы мы не только проверяли, правильно ли выполнен математический расчет, но и убеждались, что все входные данные имеют правильную "форму" и "структуру".

Уровень 1: Алгебраический (как в CSIDH)

На этом уровне мы используем стандартные механизмы CSIDH:

Верификация подписи через коммутативность:
$[d_{\text{eph}}][d_A]E_0 = [d_A][d_{\text{eph}}]E_0.$
Общий секрет:
$S = j([d_A]E_{\text{eph}}) \in \mathbb{F}_{p^2}.$

Этот уровень обеспечивает базовую безопасность, но, как мы уже обсудили, он уязвим к атакам через поддельные кривые.

Уровень 2: Геометрический (наша оригинальная разработка)

Граф изогений — это дискретная структура, где вершины — кривые, а рёбра — изогении. Важно понимать, что в реальных криптографических приложениях мы работаем не с абстрактной топологией, а именно с комбинаторной структурой этого графа.

Наша ключевая идея: в окрестности типичной вершины графа изогений наблюдается локальная структура с двумя независимыми циклами. Это не метафора, а строгое комбинаторное свойство графа, которое можно проверить алгоритмически.

Важно: на момент 2025 года в открытой литературе отсутствуют работы, использующие спектральный анализ графа изогений как криптографический критерий безопасности. Наш подход — гипотеза, основанная на комбинаторных свойствах графа изогений, и не опирается на сложные топологические концепции (что было бы излишним для дискретной структуры).

Этот уровень не заменяет алгебраическую безопасность, а дополняет её, делая возможными новые виды атакоустойчивости — например, против поддельных кривых вне «нормальной» окрестности графа изогений.

Что значит «дополняет алгебраическую безопасность»?

В классическом CSIDH безопасность основана исключительно на алгебре:

Злоумышленник получает кривую ,
Его задача — восстановить вектор $d = (e_1, \dots, e_n)$ ,
Это считается трудным, потому что действие идеалов на скрывает в сложной арифметике кватернионной алгебры $B_{p,\infty}$ .

Однако алгебраическая модель предполагает, что все входные данные — корректные:

действительно получена из через легитимную цепочку изогений степени $\ell_i$ ,
Злоумышленник не может подсунуть «искусственную» кривую, не лежащую в орбите .

На практике это не всегда так. В реальных протоколах (особенно в подписях) эфемерная кривая $E_{\text{eph}}$ передаётся открыто и может быть подделана.

Какие атаки возможны без геометрической проверки?

Атака через «невалидную кривую»
Злоумышленник выбирает кривую $\widetilde{E}$ , не связанную с изогениями степени $\ell_i$ , но такую, что:
- $j(\widetilde{E})$ выглядит как обычный -инвариант,
- При вычислении $j([d_A]\widetilde{E})$ возникает утечка информации о (например, через малый порядок или слабую структуру эндоморфизмов).
Атака через «длинный путь»
Злоумышленник подбирает $E_{\text{eph}}$ , для которой кратчайший путь от требует экспонент $|e_i| \gg m$ . Это может:
- Вызвать отказ в обслуживании (DoS) из-за перегрузки вычислений,
- Раскрыть биты секрета через side-channel при обработке «тяжёлых» изогений.
Атака через «вырожденную топологию»
Некоторые кривые лежат в «ветвях» графа изогений с менее чем двумя независимыми циклами (например, вблизи особых вершин с нетривиальным автоморфизмом). Такие кривые могут:
- Иметь упрощённую структуру эндоморфизмов,
- Допускать эффективные атаки через спуск в подполя.

Как работает наш улучшенный геометрический уровень?

В TorusCSIDH при верификации подписи выполняется многоуровневая структурная проверка $E_{\text{eph}}$ . Мы отказались от упрощенного подхода с фиксированными порогами и разработали комплексный критерий, который учитывает несколько независимых геометрических свойств графа изогений.

Шаг 1: Построение локального подграфа

Первым делом мы строим подграф радиуса 2–3 вокруг проверяемой кривой $E_{\text{eph}}$ :

Начинаем с $E_{\text{eph}}$ как центральной вершины
Для каждого уровня расстояния от 1 до (где или ):
- Для каждой кривой на текущем уровне вычисляем все возможные $\ell_i$ -изогении
- Добавляем полученные кривые в подграф и соединяем их рёбрами
Получаем подграф , где — количество вершин, — количество рёбер

Этот подграф представляет собой "окрестность" кривой $E_{\text{eph}}$ в графе изогений и содержит информацию о её локальной структуре.

Шаг 2: Комплексный анализ структуры подграфа

Наша проверка состоит из пяти независимых критериев, каждый из которых анализирует разные аспекты структуры подграфа:

Критерий 1: Цикломатическое число (топологическая проверка)

Вычисляем $\mu = |E| - |V| + 1$ — цикломатическое число подграфа
Требуем, чтобы $\mu \geq 2$ , что гарантирует наличие как минимум двух независимых циклов
Если $\mu < 2$ , кривая отклоняется как "линейная" или "древовидная", что не соответствует типичной структуре графа изогений

Критерий 2: Спектральный анализ комбинаторного Лапласиана

Строим матрицу смежности и матрицу степеней
Вычисляем комбинаторный Лапласиан
Находим собственные значения: $0 = \lambda_1 \leq \lambda_2 \leq \dots \leq \lambda_{|V|}$
Проверяем:
- $\lambda_1 = 0$ с кратностью 1 (гарантирует связность графа)
- $\lambda_3 < 0.5$ и $\lambda_4 \geq 0.7$ (наличие двух малых собственных значений)
- Спектральный зазор: $(\lambda_4 - \lambda_3)/\lambda_3 > 1.5$ (выраженный разрыв после второго ненулевого собственного значения)

Критерий 3: Коэффициент кластеризации

Вычисляем средний коэффициент кластеризации для подграфа:
$C = \frac{1}{|V|} \sum_{v \in V} \frac{2 \times \text{число треугольников, содержащих } v}{\deg(v) \times (\deg(v)-1)}$
Требуем, чтобы находился в диапазоне
Этот критерий проверяет, насколько локально "плотно" соединены вершины в окрестности $E_{\text{eph}}$

Критерий 4: Оценка структурной сложности

Анализируем распределение степеней вершин в подграфе
Вычисляем энтропию распределения степеней:
$H = -\sum_{k} p_k \log_2 p_k$
где — доля вершин со степенью
Требуем, чтобы была в диапазоне
Низкая энтропия указывает на регулярную структуру (возможно, вырожденную), высокая — на случайную (возможно, искусственную)

Критерий 5: Проверка расстояния до базовой кривой

Оцениваем приблизительное расстояние от $E_{\text{eph}}$ до базовой кривой
Для этого используем эмпирическую оценку через разницу -инвариантов
Требуем, чтобы расстояние не превышало $n \cdot m$ (максимальное расстояние для легитимных кривых)
Это защищает от атак через "длинный путь", которые могут вызвать DoS или утечку информации через side-channel

Шаг 3: Гибридная оценка и принятие решения

Каждый критерий получает вес в зависимости от его криптографической значимости:

Цикломатическое число: 15%
Спектральный анализ: 30%
Коэффициент кластеризации: 20%
Структурная сложность: 25%
Расстояние до базовой кривой: 10%

Кривая считается легитимной, если суммарный вес пройденных критериев составляет не менее 85%. Это гибридный подход обеспечивает баланс между строгостью проверки и устойчивостью к целенаправленным атакам.

Как эти критерии защищают систему

Эти геометрические критерии создают многослойный фильтр, который действует как "криптографический детектор подделок". Представьте, что вы проверяете подлинность картины: не только смотрите на саму картину (алгебраический уровень), но и анализируете холст, краски, кистевые движения и структуру штрихов (геометрический уровень).

Цикломатическое число работает как базовый фильтр, отсеивающий кривые с неправильной топологией. Спектральный анализ действует как более тонкий инструмент, проверяющий "гармонию" графа изогений — как музыкальный эксперт определяет подделку по звучанию. Коэффициент кластеризации и энтропия степеней анализируют "текстуру" графа, выявляя аномалии в плотности соединений. Наконец, проверка расстояния до базовой кривой служит как "радиоуглеродный анализ", определяющий, соответствует ли кривая ожидаемому возрасту (в данном случае — длине пути от базовой кривой).

Вместе эти критерии создают систему, которая не просто проверяет "правильность" кривой, но и гарантирует, что она "чувствует себя как дома" в естественном графе изогений. Это как проверка паспорта не только по фотографии и подписи, но и по микроструктуре бумаги, водяным знакам и другим скрытым характеристикам.

Пример работы протокола: Алиса и Боб

Давайте рассмотрим подробный пример работы TorusCSIDH на примере взаимодействия Алисы и Боба.

Ситуация: Алиса хочет подписать транзакцию для перевода биткоинов Бобу.

Шаг 1: Генерация ключей (предварительно)

Боб генерирует свой секретный ключ $d_B = (e_1, \dots, e_n)$ и публичный ключ
Боб регистрирует свой адрес tcidh1..., содержащий

Шаг 2: Подписание транзакции Алисой

Алиса генерирует случайный эфемерный ключ $d_{\text{eph}} = (f_1, \dots, f_n)$
Вычисляет эфемерную кривую $E_{\text{eph}} = [d_{\text{eph}}]E_0$
Проводит геометрическую проверку для $E_{\text{eph}}$ :
- Строит подграф радиуса 2 вокруг $E_{\text{eph}}$
- Выполняет все пять критериев анализа структуры
- Убеждается, что кривая проходит гибридную проверку (вес ≥ 85%)
Вычисляет общий секрет $S = j([d_A]E_{\text{eph}})$
Формирует подпись: $\sigma = \big( j(E_{\text{eph}}),\ H(M \parallel S) \big)$
Отправляет подпись вместе с транзакцией в сеть

Шаг 3: Верификация подписи Бобом (и всеми узлами сети)

Любой узел сети получает транзакцию и подпись $\sigma$
Восстанавливает $E_{\text{eph}}$ из $j(E_{\text{eph}})$ в подписи
Проводит независимую геометрическую проверку для $E_{\text{eph}}$ :
- Повторяет все шаги проверки, описанные выше
- Отклоняет подпись сразу, если кривая не проходит геометрическую проверку
Если геометрическая проверка пройдена, узел:
- Вычисляет $S' = j([d_{\text{eph}}]E_B)$
- Проверяет, что $h = H(M \parallel S')$
Если проверка успешна, транзакция считается валидной

Детальный пример взаимодействия:

Представьте, что Алиса хочет отправить 1 BTC Бобу. Она формирует транзакцию с хешем .

Алиса генерирует эфемерный ключ $d_{\text{eph}}$ и вычисляет соответствующую кривую $E_{\text{eph}}$ .
Перед тем как использовать $E_{\text{eph}}$ , её система строит вокруг неё локальный подграф радиуса 2. Это похоже на то, как геолог берет пробу почвы вокруг места добычи — чтобы убедиться, что это действительно земля, а не искусственно созданная поверхность.
Система Алисы анализирует этот подграф по всем пяти критериям. Например, она обнаруживает, что цикломатическое число $\mu = 3.2$ , что больше требуемого 2.0, спектральный зазор составляет 1.8 (превышая порог 1.5), коэффициент кластеризации равен 0.35 (в допустимом диапазоне 0.2-0.5), энтропия степеней 2.1 (в пределах 1.8-2.5), и расстояние до базовой кривой не превышает $n \cdot m$ . Общая оценка составляет 92%, что больше необходимых 85%.
Убедившись, что кривая легитимна, Алиса вычисляет общий секрет и формирует подпись.
Когда Боб получает транзакцию, его система проводит точно такую же геометрическую проверку. Здесь важно, что проверка выполняется до вычисления общего секрета. Это как проверить подлинность банкноты перед тем, как её принимать — чтобы не стать жертвой подделки.
Боб видит, что кривая $E_{\text{eph}}$ проходит все геометрические критерии, и только затем проверяет подпись. Это гарантирует, что даже если злоумышленник пытался подделать кривую, он был бы обнаружен на раннем этапе, до выполнения ресурсоемких вычислений.

Пример атаки и её предотвращение:
Предположим, злоумышленник пытается подделать подпись, используя кривую $\widetilde{E}$ , которая не принадлежит графу изогений для данного набора $\ell_i$ .

Без геометрической проверки: узлы сети попытались бы вычислить $j([d_{\text{eph}}]E_B)$ для $\widetilde{E}$ , что может привести к аномальному поведению (например, зависанию при попытке вычислить несуществующую изогению)
С геометрической проверкой: $\widetilde{E}$ будет отклонена на этапе структурного анализа. Например, её цикломатическое число может быть равно 1.5 (меньше 2), или спектральный зазор может отсутствовать. Узлы сети отклонят подпись ещё до начала ресурсоемких вычислений, защищая систему от DoS-атак и утечек информации.

Почему это «новые виды атакоустойчивости»?

Потому что:

Классический CSIDH не проверяет геометрию — он доверяет входной кривой
TorusCSIDH вводит многоуровневый фильтр на основе комбинаторных свойств графа, который:
- Не зависит от алгебраических свойств
- Работает до вычисления общего секрета $S = j([d_A]E_{\text{eph}})$
- Блокирует целые классы поддельных входов на уровне протокола

Таким образом, геометрический уровень — это не «альтернатива» алгебре, а «сторожевой пост», который гарантирует:

«То, с чем мы работаем, действительно выглядит как легитимный узел в безопасной части графа изогений»

Это особенно важно в подписях, где эфемерный ключ контролируется (или подделывается) злоумышленником.

Философия новых видов атакоустойчивости

Наш подход к безопасности представляет собой радикальный сдвиг в парадигме криптографической защиты. Традиционно криптография полагалась на два столпа: сложность вычислений и секретность ключей. Но в эпоху квантовых компьютеров и продвинутых атак этот подход становится недостаточным.

Мы предлагаем третий столп — структурную целостность. Это как переход от замков, которые сложно взломать, к замкам, которые невозможно подделать. В классической криптографии мы спрашиваем: "Насколько сложно вычислить секрет?" В TorusCSIDH мы задаем другой вопрос: "Соответствует ли структура этого объекта ожидаемой структуре легитимного объекта?"

Это принципиально новый вид атакоустойчивости, потому что он не просто делает атаку вычислительно сложной — он делает атаку структурно невозможной. Как архитектор проверяет не только прочность материалов, но и целостность конструкции, мы проверяем не только сложность вычислений, но и структурные свойства криптографического объекта.

Представьте, что вы защищаете замок. Традиционный подход — сделать двери толстыми и замки сложными. Наш подход — убедиться, что дверь действительно является дверью, а не нарисованной на стене. Даже самый умный взломщик не сможет открыть нарисованную дверь, потому что она не существует в физическом мире.

В контексте криптографии это означает, что злоумышленник не может просто создать объект, который формально удовлетворяет алгебраическим условиям — он должен создать объект, который соответствует всей сложной геометрии криптографического пространства. Это как попытаться создать поддельную планету, которая не только имеет правильную массу и орбиту, но и правильную геологическую структуру, атмосферу и биосферу.

Этот подход создает атакоустойчивость через структурную гармонию. Как в музыке гармония возникает не из отдельных нот, а из их соотношений, безопасность в TorusCSIDH возникает не из отдельных криптографических свойств, а из их структурных соотношений. Это делает систему устойчивой к атакам, которые обходят традиционные защиты, потому что они не могут воспроизвести сложную геометрию легитимного криптографического объекта.

Такая атакоустойчивость не просто добавляет сложности для злоумышленника — она меняет саму природу защиты, переходя от "защиты через сложность" к "защите через структурную целостность". Это как переход от высоких стен к естественному ландшафту, который сам по себе является защитой — холмы, реки и леса создают естественные барьеры, которые невозможно преодолеть без соответствующей подготовки.

Важное уточнение

Эта защита не доказана в теоретико-криптографическом смысле (например, через сведение к известной трудной задаче), потому что анализ графа изогений через комбинаторные свойства — новая идея.
Однако она практически обоснована: если злоумышленник не может создать кривую, проходящую геометрическую проверку, не зная секрета, — атака становится невозможной.

Именно поэтому в статье подчёркивается:

«Этот уровень не заменяет алгебраическую безопасность, а дополняет её»

Адрес tcidh1...: постквантовая идентификация

Мы вводим новый формат адреса, совместимый с Bech32m (BIP-350):

tcidh1q7m3x9v2k8r4n6p0s5t1u7w9y2a4c6e8g0j3l5n7p9r1t3v5x7z9b2d4f

Структура

Версия: 0x01 (1 байт),
-инвариант: 64 байта. Поскольку $j \in \mathbb{F}_p \subset \mathbb{F}_{p^2}$ , то
$j_{\text{bytes}} = j_0.\text{to\_bytes}(32, \text{'big'}) + \underbrace{0^{32}}_{\text{32 нуля}}.$
Кодирование: Bech32m с префиксом tcidh.

Генерация адреса

def generate_tcidh_address():
    d = random_vector_in_range(-m, m, length=n)
    E = apply_isogenies(E0, d)  # [d]E0
    j = E.j_invariant()         # j ∈ ?_p
    j_bytes = j.to_bytes(32, 'big') + bytes(32)
    payload = b'\x01' + j_bytes
    return bech32m_encode('tcidh', payload)

## Подпись транзакции: аналог ECDSA, но безопаснее

Подписание

Алиса хочет подписать сообщение :

Генерирует эфемерный ключ $d_{\text{eph}}$ ,
Вычисляет $E_{\text{eph}} = [d_{\text{eph}}]E_0$ ,
Вычисляет общий секрет $S = j([d_A]E_{\text{eph}})$ ,
Формирует подпись:
$\sigma = \big( j(E_{\text{eph}}),\ H(M \parallel S) \big).$

Верификация

Любой узел сети:

Восстанавливает $E_{\text{eph}}$ ,
Вычисляет $S' = j([d_{\text{eph}}]E_A)$ (без знания !),
Проверяет:
$h \stackrel{?}{=} H(M \parallel S').$

Преимущество: повторное использование $d_{\text{eph}}$ не компрометирует — в отличие от ECDSA ( в ECDSA можно провести топологический анализ и найти повторы k при адаптивной искусственной генерации сигнатур )

Интеграция в Bitcoin: без хардфорка

ScriptPubKey: OP_1 <32-byte SHA256(j)> — аналогично Taproot,
Witness: [signature, j_pub],
Размеры:
- Открытый ключ: 64 байта,
- Подпись: 96 байт.

Это soft fork, совместимый с SegWit. Старые кошельки будут считать адреса tcidh1... недействительными — что предотвращает случайные отправки.

Почему "граф изогений" вместо "тор"?

Вы, вероятно, спросите: «Если мы работаем над конечным полем, где нет непрерывности, откуда здесь геометрия?»

Ответ: мы фокусируемся на реальных комбинаторных свойствах графа изогений.

Граф изогений — это конкретная дискретная структура, и в его локальной окрестности типичный подграф содержит два независимых цикла. Это не абстрактная топологическая концепция, а измеримое комбинаторное свойство, которое можно проверить алгоритмически через цикломатическое число и спектральный анализ.

Наш оригинальный метод — анализ через цикломатическое число и спектральный зазор — не встречается в работах по CSIDH или изогениям.

Заключение

TorusCSIDH — это не эксперимент. Это готовое решение для постквантового будущего Bitcoin.

Научно корректно: основано на CSIDH, без псевдонаучных конструкций,
Практически реализуемо: готовая спецификация адреса, скрипта, транзакции,
Совместимо: soft fork, Bech32m, SegWit,
Безопаснее ECDSA: защита от повторного использования эфемерного ключа,
Новизна: введение геометрического уровня верификации на основе анализа структуры графа изогений через цикломатическое число и спектральный зазор.

Следующий шаг — пилот с майнинг-пулом. Кто готов стать первым?

Спасибо за внимание!

Список литературы

De Feo, L., Jao, D., & Plût, J. (2014). Towards quantum-resistant cryptosystems from supersingular elliptic curve isogenies. Journal of Mathematical Cryptology, 8(3), 209–247. DOI: 10.1515/jmc-2012-0015.
Castryck, W., & Decru, T. (2022). An efficient key recovery attack on SIDH. IACR Cryptology ePrint Archive, Report 2022/975.
Beullens, W., Kleinjung, T., & Vercauteren, F. (2019). CSI-FiSh: Efficient isogeny based signatures through class group computations. ASIACRYPT 2019.
Meyer, M., & Reith, S. (2018). A faster way to the CSIDH. IACR ePrint 2017/1213.
Eisenträger, K., Hallgren, S., Lauter, K., Morrison, T., & Petit, C. (2018). Supersingular isogeny graphs and endomorphism rings: reductions and solutions. EUROCRYPT 2018.
National Institute of Standards and Technology (NIST). (2024). Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process. NIST IR 8545.
Wuille, P., & Maxwell, G. (2017–2020). BIP-173: Bech32 address format, BIP-350: Bech32m format for v1+ witness addresses.
Chung, F. R. K. (1997). Spectral Graph Theory. CBMS Regional Conference Series in Mathematics.
Mohar, B. (1991). The Laplacian spectrum of graphs. In Graph Theory, Combinatorics, and Applications, pp. 871–898.
Kohel, D. (1996). Endomorphism rings of elliptic curves over finite fields. PhD Thesis, UC Berkeley.

Примечание: Геометрический уровень (проверка локальной цикличности через цикломатическое число и спектральный зазор) не имеет прямых аналогов в литературе по изогениям. Он вдохновлён методами теории графов, но применён впервые в контексте постквантовой криптографии на изогениях.

Техническое приложение: полная реализация геометрической проверки

1. Цель проверки

Проверка локальной структуры эфемерной кривой $E_{\text{eph}}$ в графе изогений.
Конкретно: убедиться, что в окрестности радиуса или вокруг $E_{\text{eph}}$ граф содержит ровно два независимых цикла, что соответствует типичной структуре графа изогений.

Это делается через многофакторный анализ, включающий цикломатическое число, спектральный анализ и другие комбинаторные свойства подграфа.

2. Построение подграфа

Вход: кривая $E_{\text{eph}}$ , набор малых простых $\{\ell_1, \dots, \ell_n\}$ , радиус $r \in \{2, 3\}$ .

Алгоритм:

Инициализировать множество вершин $V = \{E_{\text{eph}}\}$ и рёбер $E = \emptyset$ .
Для каждого уровня расстояния от до :
- Для каждой кривой $E' \in V$ на предыдущем уровне:
  - Для каждого $\ell_i$ :
    - Вычислить все $\ell_i$ -изогении из (всего $\ell_i + 1$ ),
    - Для каждой полученной кривой :
      - Нормализовать по ,
      - Добавить в , если ещё не присутствует,
      - Добавить неориентированное ребро $\{E', E''\}$ в .
Вернуть подграф .

3. Цикломатическое число

Для любого конечного связного неориентированного графа определяется цикломатическое число:

$\mu = |E| - |V| + 1.$

Оно равно количеству независимых циклов в графе (в смысле теории графов).

В TorusCSIDH мы требуем:

$\mu \geq 2.$

Если $\mu < 2$ , кривая отклоняется как «вырожденная» (например, лежащая в древовидной или линейной области графа).

4. Спектральный анализ

Дополнительно к $\mu$ , мы анализируем собственные значения комбинаторного Лапласиана:

Построить матрицу смежности и матрицу степеней ,
Вычислить ,
Найти собственные значения: $0 = \lambda_1 \leq \lambda_2 \leq \dots \leq \lambda_{|V|}$ .

Критерии:

Связность: $\lambda_1 = 0$ и имеет кратность 1.
Наличие двух циклов:
- $\lambda_2 > 0$ и $\lambda_3$ малы (например, $\lambda_3 < 0.5$ ),
- $\lambda_4$ значительно больше (например, $\lambda_4 \geq 0.7$ ),
Спектральный зазор:
- $(\lambda_4 - \lambda_3)/\lambda_3 > 1.5$ ,
- Это указывает на выраженный спектральный зазор после второго ненулевого собственного значения.

Это согласуется с тем, что в типичных подграфах графа изогений первые два ненулевых собственных значения Лапласиана малы и отделены от остального спектра.

5. Коэффициент кластеризации

Вычисляем средний коэффициент кластеризации для подграфа:

$C = \frac{1}{|V|} \sum_{v \in V} \frac{2 \times \text{число треугольников, содержащих } v}{\deg(v) \times (\deg(v)-1)}$

Требуем, чтобы находился в диапазоне .

Этот критерий проверяет, насколько локально "плотно" соединены вершины в окрестности $E_{\text{eph}}$ .

6. Энтропия распределения степеней

Анализируем распределение степеней вершин в подграфе:

$H = -\sum_{k} p_k \log_2 p_k$

где — доля вершин со степенью .

Требуем, чтобы была в диапазоне .

Низкая энтропия указывает на регулярную структуру (возможно, вырожденную), высокая — на случайную (возможно, искусственную).

7. Проверка расстояния до базовой кривой

Для защиты от атак через "длинный путь" мы оцениваем приблизительное расстояние от $E_{\text{eph}}$ до базовой кривой через разницу -инвариантов.

Требуем, чтобы расстояние не превышало $n \cdot m$ (максимальное расстояние для легитимных кривых).

8. Гибридная оценка

Каждый критерий получает вес:

Цикломатическое число: 15%
Спектральный анализ: 30%
Коэффициент кластеризации: 20%
Энтропия степеней: 25%
Расстояние до базовой кривой: 10%

Кривая принимается только если суммарный вес пройденных критериев ≥ 85%.

9. Важные замечания

Все вычисления — чисто комбинаторные, над конечным графом.
Не используются сложные топологические концепции, только базовые понятия теории графов.
Метод не заменяет алгебраическую безопасность CSIDH, но предотвращает атаки через поддельные кривые, не проходящие геометрическую проверку.

Комментарии (2)

akokarev
11.10.2025 21:59
#28950532
Какие требования к железу для подключения к пулу? Как подключиться?
1. sic
  11.10.2025 21:59
  #28950556
  Это не смена алгоритма хеширования это дополнение/замена ECDSA.