Curve448 — Можно ли повторно использовать ключевой материал Ed448 для X448?

Вам не нужно преобразовывать открытый ключ Edwards448 в бирационально эквивалентный открытый ключ Curve448, чтобы выполнить ECDH. Вы можете просто придерживаться Edwards448. Если вы используете Curve448, будет прирост производительности, но в зависимости от вашей реализации этот прирост производительности может быть в значительной степени компенсирован преобразованием, которое должен будет выполнить верификатор, чтобы получить ваш открытый ключ Curve448 из вашего открытого ключа Edwards448. Вы должны использовать функцию «скалярного умножения» вашей библиотеки Edwards448 EC для выполнения операции ECDH.

Закрытые ключи EC являются «скалярами», что означает положительное целое число, меньшее, чем размер группы точки генератора на этой кривой. Открытые ключи — это точки на кривой и пары координат «элементов поля». Элемент поля — это положительное целое число, меньшее, чем простое число. $р = 2^{448} - 2^{224} - 1$.

Если вы решите перейти с Edwards448 на Curve448, то эти точки будут иметь один и тот же скалярный закрытый ключ.Обратите внимание, что из-за того, что X448 использует только x-координату Curve448 во время соглашения о ключе умножения переменной-базы-скаляра, отображение будет таким, что обе точки Edwards448 $P$ и $I-P$ будет сопоставлен с той же точкой соглашения о ключах X448 Curve448 (где $I$ точка Эдвардса448, удаленная на бесконечность). К счастью для вас, вы отображаете от Edwards448 до Curve448, а это значит, что вы не столкнетесь с двусмысленностью.

Преобразование из Edwards448 в Curve448 просто: $$\texttt{curve448}_{x-coord} = \left(\frac{\texttt{ed448}_{y-coord}}{\texttt{ed448}_{x-coord}}\right)^2 $$ Обратите внимание, что «деление» достигается за счет умножения с модульной мультипликативной инверсией. Ваша библиотека EC должна предоставить вам эту функциональность. Операции сделаны $мод\п$.

Обратите внимание, что Ed448 начнет с «сырого» 57-байтового закрытого ключа, хэширует его с помощью SHAKE256, очистит самый старший байт, установит старший бит второго старшего байта в 1 и очистит два младших байта. младшие значащие биты. Следовательно, это хешированная и измененная версия вашего необработанного закрытого ключа Ed448, которую вам нужно использовать идентично с Curve448. Ключи Curve448 имеют размер 56 байт, и безопасно отрезать самый старший байт из 57-байтового хешированного и измененного ключа Edwards448, поскольку этот ключ Edwards448 всегда будет содержать нули в самом старшем байте. Обратите внимание, что поскольку все элементы поля имеют обратный порядок байтов, «самый старший байт» является последним байтом в массиве байтов.

Интересно отметить, что реализация BouncyCastle X448 выполняет скалярное умножение с базовой точкой Curve448, запрашивая реализацию BouncyCastle Ed448 для выполнения скалярного умножения точно такого же скаляра на базовую точку Ed448. Затем BouncyCastle преобразует результат обратно в эквивалентную точку Curve448, используя ту же формулу, указанную в пункте 4 выше. Посмотреть код здесь.