Ecc on As it was https://galoishlee.github.io/tags/ecc/ Recent content in Ecc on As it was Hugo zh-CN maocred@gmail.com (Halois) maocred@gmail.com (Halois) This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License. Sun, 14 Dec 2025 08:00:00 +0800 Pairing-Friendly Curves 的数学结构与协议动机 https://galoishlee.github.io/pairing-friendly-curves-motivation/ Sun, 14 Dec 2025 08:00:00 +0800maocred@gmail.com (Halois) https://galoishlee.github.io/pairing-friendly-curves-motivation/ <blockquote> <p>Reading: pairing is a verifier interface, not a prestige upgrade.</p> </blockquote> <p>前 3 篇已经把 ECC 子系列的前半段压实了:Web3 为什么不会只用一条曲线,账户层为什么长期停在 secp256k1,以及 signer-side 风险如何从 ECDLP 走向 nonce leakage。到这里,新的问题自然出现:既然账户层不需要 pairing,为什么 BLS signatures、SNARK verifier 和 KZG 却总会把 pairing-friendly curves 拉进来?</p> <p>关键不在“这类曲线更先进”,而在“这类协议的 verifier 从一开始就需要另一种代数接口”。普通离散对数群擅长表达签名关系;pairing-friendly setting 则擅长把分散在多个群元素、多个约束甚至多个消息上的关系压缩成少数几个 pairing checks。也就是说,这里发生的不是曲线选型审美,而是 protocol verification compression。<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup> <sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup></p> <p>所以这一篇不会把 pairing 写成完整教材。更有用的顺序是:先定义最小 bilinear map properties,再给出一个 minimal pairing equation pattern,随后分别说明 BLS signatures、SNARK verifier intuition 和 KZG opening verification 为什么会消费同一类接口。最后再把这些数学对象压成工程实现对接边界。</p> <blockquote> <p>Quick Note. This article defines the minimal bilinear map properties needed for protocol use. It also explains why pairings enable aggregate signature verification and polynomial opening verification, gives the minimal pairing equation pattern, and shows the mapping from bilinearity to protocol verification compression. It deliberately avoids expanding into full Miller-loop or final-exponentiation implementation details.</p> </blockquote> 椭圆曲线签名的安全性分析:从 ECDLP 到 HNP、EC-HNP 与 EHNP https://galoishlee.github.io/ecc-security-hnp-ehnp/ Sat, 13 Dec 2025 08:00:00 +0800maocred@gmail.com (Halois) https://galoishlee.github.io/ecc-security-hnp-ehnp/ <blockquote> <p>Reading: ECDLP is the baseline, not the whole risk surface.</p> </blockquote> <p>前两篇已经把 ECC 子系列里最容易混淆的两件事拆开了: 哪些协议只消费普通离散对数群,哪些协议需要 pairing;以及为什么账户层长期绑定 secp256k1。这一篇继续沿着账户层往下走,但焦点不再是“签名接口长什么样”,而是“签名接口在哪里失守”。</p> <p>对椭圆曲线签名来说,曲线层首先给出的安全基线是 <code>ECDLP security assumption</code>。如果敌手只能看到公钥 $P=dG$,却拿不到关于私钥 $d$ 和临时标量 $k$ 的额外泄漏,那么攻击目标仍然是离散对数问题本身。但真实系统并不总是在这个理想模型里运行。wallet and signing implementations 会暴露 nonce 生成、缓存访问、功耗、分支、fault handling 和接口复用等边界,而这些边界往往把问题从“解曲线上的离散对数”改写成“恢复带泄漏的 secret scalar”。<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup> <sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup></p> <p>ECDSA 的危险点尤其集中在 nonce。只要签名方程里的 nonce 有重复、偏置、部分泄漏,或者可由 side-channel trace 提供不完整信息,攻击者面对的就不再是 black-box ECDLP,而是某种 hidden-number style relation。也正是因此,HNP / EC-HNP / EHNP 不是只存在于格论教科书里的标签,而是现实账户系统在弱随机数、硬件钱包、远程 signer 和实现缺陷下会真正碰到的攻击视角。<sup id="fnref:3"><a href="#fn:3" class="footnote-ref" role="doc-noteref">3</a></sup> <sup id="fnref:4"><a href="#fn:4" class="footnote-ref" role="doc-noteref">4</a></sup></p> <blockquote> <p>Quick Note. This article connects ECDSA nonce leakage to hidden-number style linear constraints. It also distinguishes HNP, EC-HNP, and EHNP rather than flattening them into a generic lattice-attack label, covers nonce bias, partial leakage, and side-channel trace models relevant to wallet and signing implementations, and separates curve-level security from implementation leakage and protocol misuse.</p> </blockquote> secp256k1 的协议定位与签名机制 https://galoishlee.github.io/secp256k1-signature-mechanisms/ Fri, 12 Dec 2025 08:00:00 +0800maocred@gmail.com (Halois) https://galoishlee.github.io/secp256k1-signature-mechanisms/ <blockquote> <p>Reading: same curve, different signature interfaces.</p> </blockquote> <p>上一篇已经把 Web3 里的曲线职责图画出来了。这一篇只把账户层单独拎出来:为什么 Bitcoin 和 Ethereum 长期把 secp256k1 当作账户与交易签名曲线,而不是换到 pairing-friendly curve;以及为什么在同一条曲线上,ECDSA 和 Schnorr 会导向不同的协议接口和工程边界。</p> <p>账户层消费的不是 pairing,也不是多项式 opening proof,而是普通离散对数群上的签名验证关系。这件事决定了 secp256k1 的核心价值并不在“它是哪条曲线”,而在“它背后的实现生态、签名接口和安全边界是否足够稳定”。因此这篇文章真正要比较的对象不是 secp256k1 vs BLS12-381,而是 secp256k1 上的 ECDSA vs Schnorr。<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup> <sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup></p> <p>如果把账户层写成“曲线教程”,重点会跑偏。更有用的顺序是:先说明 secp256k1 为什么留在账户层,再写 ECDSA 的最小验证关系和它对 nonce 的敏感性,再写 Schnorr 如何在同一条曲线上改写签名接口,最后把这些差异落到 Bitcoin、Ethereum、<code>libsecp256k1</code>、RFC 6979 与钱包实现的现实接口上。<sup id="fnref:3"><a href="#fn:3" class="footnote-ref" role="doc-noteref">3</a></sup> <sup id="fnref:4"><a href="#fn:4" class="footnote-ref" role="doc-noteref">4</a></sup></p> <blockquote> <p>Quick Note. This article separates ECDSA and Schnorr verification logic while keeping both on the same curve family. It also explains protocol fit for Bitcoin and Ethereum account usage, and connects implementation constraints to constant-time scalar arithmetic.</p> </blockquote> Web3 语境下椭圆曲线密码学的系统分工 https://galoishlee.github.io/web3-ecc-system-division/ Thu, 11 Dec 2025 08:00:00 +0800maocred@gmail.com (Halois) https://galoishlee.github.io/web3-ecc-system-division/ <blockquote> <p>Reading: this is a system map, not an ECC primer.</p> </blockquote> <p>在 Web3 里谈椭圆曲线密码学,最常见的误读是把所有场景压成同一个问题: “既然都是 ECC,为什么不选一条最强的曲线统一掉?”这个问题本身就错了。账户签名、共识聚合签名、链上 zkSNARK 验证、EIP-4844 里的 KZG commitment,虽然都使用了椭圆曲线上的群对象,但它们消费的代数接口并不相同,因此几乎不会自然收敛到同一条曲线。</p> <p>如果只看“安全位数”,现实会显得很奇怪。Bitcoin 和 Ethereum 的账户层长期绑定在 secp256k1;Ethereum 的链上 zk verifier 历史上却依赖 BN254/alt_bn128 预编译;到了 BLS 聚合签名与 KZG,又几乎总会碰到 BLS12-381。这里真正决定系统形态的,不只是密码学安全性,还包括预编译、gas 成本、标准化、已有库、证明系统接口,以及协议是否依赖 pairing。<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup> <sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup> <sup id="fnref:3"><a href="#fn:3" class="footnote-ref" role="doc-noteref">3</a></sup></p> <p>所以这一篇不重讲椭圆曲线的群律,也不把三条曲线写成百科词条。更有用的做法是先画出一张职责图: 哪些系统只需要普通离散对数群,哪些系统必须进入 pairing-friendly curve,哪些场景看似是“曲线选择”,其实首先是“链上可用性和 verifier 成本”的问题。到文末,再把这张图压成工程实现对接清单。</p> <blockquote> <p>Quick Note. This article explicitly distinguishes ordinary elliptic-curve groups from pairing-friendly curves. It also states the historical role of BN254/alt_bn128 in Ethereum and contrasts it with the modern role of BLS12-381. Finally, it treats trusted setup as a protocol-level constraint rather than an intrinsic ECC property.</p> </blockquote>