Ed25519 密碼分析和後門？

我希望大規模實施 Ed25519 以實現去中心化身份。

Ed25519 是否經過嚴格的密碼分析？

算法中會不會有後門？

如果 Ed25519 經過嚴格的密碼分析

它基於經過大量密碼分析的 Curve25519。Ed25519簽名方案也正在接受大量審查，並且採用速度很快。已經有很多關於算法本身的論文，以及一些關於具體實現的論文。算法和設計決策的每一部分都在介紹它的論文中得到了證明。

算法中是否存在任何可能的後門？

該算法基於簡單*且易於解釋的參數。此處對此進行了解釋，其中比較和對比了各種 ECC 曲線。與許多其他常見曲線相比，Curve25519 並沒有像其他一些曲線那樣使用任何冗長、奇怪、莫名其妙的參數。Ed25519 自然地使用具有相同可解釋曲線參數的相同曲線： $ y^2 = x^3 + 486662x^2 + x $ ， 模組 $ p = 2^{255} - 19 $ . 這些參數在介紹曲線的相關論文中都是合理的。將其與 NIST 曲線進行比較，這些曲線都具有非常奇怪、長且無法解釋的參數。

此外，該算法是由密碼學家 Daniel J. Bernstein 設計的，他以在試圖削弱密碼學時上法庭並與政府作鬥爭而聞名。它不是由無名密碼學家設計的，也不是由粗略的團體推動的。

• 如果您熟悉橢圓曲線數學，則很簡單。

引用自：https://crypto.stackexchange.com/questions/61939