Das Rust-Ökosystem wächst kontinuierlich und bekommt zunehmend Bedeutung in sicherheitskritischen Anwendungen. Im Zentrum vieler kryptographischer Operationen steht die Implementierung elliptischer Kurven, wie zum Beispiel die weit verbreitete NIST P-256 Kurve. Der Rust P256 Crate ist eine solche Implementation, die eine Vielzahl an kryptographischen Funktionen auf Basis der P-256 Kurve bietet. Im Folgenden erfolgt eine eingehende Betrachtung des Sicherheitsaudits und der technischen Mechanismen, die den Rust P256 Crate auszeichnen – ein wichtiger Beitrag, um Vertrauen in die Sicherheit und Effizienz dieser Bibliothek zu schaffen. Das Audit wurde von zkSecurity im Auftrag von NEAR durchgeführt, wobei der Fokus auf die Bereiche Elliptische Kurvenarithmetik, ECDSA-Signaturverifikation und Feldarithmetik gelegt wurde.
Die P-256 elliptische Kurve ist in der Kryptographie eine feste Größe, die aufgrund ihrer Sicherheit und Interoperabilität weltweit Verwendung findet. Diese Kurve, auch bekannt als secp256r1 oder prime256v1, basiert auf einer 256-Bit Primzahl und ist mit dem Kurzweierstraßschema definiert. Ihre Eigenschaften erlauben nicht nur eine effiziente Implementierung, sondern minimieren potenzielle Sicherheitsrisiken durch kleine Untergruppen, da der sogenannte Koeffizient (cofactor) den Wert Eins besitzt. Das bedeutet, dass alle Punkte auf der Kurve zu einer einzigen großen Gruppe gehören, wodurch zusätzliche Subgruppenangriffe quasi ausgeschlossen sind. Im Rust P256 Crate findet man eine sehr wohlstrukturierte Organisation des Codes: Von den grundlegenden Feldarithmetikfunktionen über spezielle Implementierungen für die Basiskurve bis hin zu umfangreichen Krypto-Primitiven, die auf die P-256 Kurve aufbauen.
Dazu gehören unter anderem ECDSA für Signaturen und funktionen zur Schlüsselableitung. Für interne Rechenoperationen werden leistungsfähige, maschinennah implementierte Big-Integer-Typen aus dem crypto-bigint Crate eingesetzt, welche je nach Zielhardware 32- oder 64-Bit breite Limbs zur Darstellung großer Zahlen nutzen. Diese entscheiden maßgeblich über die Effizienz der Rechenoperationen. Die Feldarithmetik ist das Herzstück der elliptischen Kurvenimplementierung. Hier setzt das P256 Crate zwei unterschiedliche Optimierungsstrategien ein: Die Basiskurve operiert mit dem Montgomery-Formverfahren zur modularen Reduktion, während die skalaren Werte über die Barrett-Reduktion verarbeitet werden.
Die Montgomery-Form wurde gewählt, da sie Multiplikationsketten effizienter verarbeitet und Multiplikationen ohne kostspielige Divisionen durchführt, indem das Modul mit einem speziellen Wert R – einer Potenz von zwei – verknüpft wird. Dadurch werden Hardware-nahe Operationen, wie Bitverschiebungen und Wort-basierte Multiplikationen, wirkungsvoll genutzt. Die komplexe aber elegante Methodik der Montgomery-Reduktion wird umgesetzt, indem bei der modularen Reduktion ein Wert k konstruiert wird, der das Ergebnis virtueller Teilbarkeit mit R garantiert. Das Ergebnis ist eine Rechenmethode, die Multiplikationen und Modular-Reduktionen nahtlos kombiniert und so in kurzer Zeit kanonische Feldwerte liefert. Im Gegensatz dazu ist die Barrett-Reduktion besonders geeignet für Fälle, in denen nicht viele Multiplikationen hintereinander stattfinden, was genau auf ECDSA-Signaturverifikationen zutrifft.
Die Barrett-Reduktion approximiert den Quotienten bei der modularen Division auf effiziente Weise, wodurch aufwändige Operationen entfallen, ohne an Korrektheit einzubüßen. Interessant ist, dass das Audit mögliche Optimierungen im Barrett-Verfahren entdeckte: In der aktuellen P256-Skalarfeldimplementierung wird eine doppelte Subtraktion des Moduls vorgenommen, um sicherzustellen, dass das Ergebnis in der korrekten Range liegt. Analysen belegten jedoch, dass der zweite Subtraktionsschritt redundant ist, was dessen Entfernung zu einer spürbaren Performanceverbesserung führt – die Multiplikationszeit konnte so um über 11 Prozent und die Inversionszeit um mehr als 16 Prozent reduziert werden. Die Umsetzung der elliptischen Kurvenarithmetik selbst nutzt Projektivkoordinaten, um den hohen Rechenaufwand der Inversion in endlichen Körpern zu senken. Klassische affine Koordinaten mit teuren Divisionen werden durch Multiplikationen und Additionen ersetzt, was nicht nur effizienter, sondern auch besser für die Implementierung zeitkonstanter Algorithmen ist – ein wichtiger Schutz gegen Seitenkanalangriffe.
Die zugrundeliegenden Algorithmen basieren auf den maßgeblichen Arbeiten von Renes, Costello und Batina (RCB 2015), die eine Reihe effizienter Punkt-Additions- und Verdopplungsformeln entwickelten, die die Fixierung des Koeffizienten a auf -3 optimal ausnutzen. Darüber hinaus verwendet das Crate eine sogenannte Windowed-Scalar-Multiplication mit einem Fenster der Größe 4 Bits, um die Multiplikation eines Punkts mit einem skalar optimiert und dennoch sicher auszuführen. Diese Technik ermöglicht durch Vorberechnung einer kleinen Tabelle von Punkt-Multiplikationswerten eine drastische Leistungssteigerung gegenüber der simplen Double-and-Add Methode. Ein gewichtiger Vorteil dieses Ansatzes ist, dass er deterministisch in seiner Laufzeit ist und somit Timing-Angriffe erschwert. Im Bereich der digitalen Signaturen wird vor allem der ECDSA-Algorithmus mit zusätzlichen Schutzmechanismen gegen typische Implementierungsschwachstellen verwendet.
Die RustCrypto ECDSA Bibliothek folgt dabei dem RFC 6979 zur deterministischen Nonce-Generierung, um typische Sicherheitsprobleme durch zufällig generierte Nonces, wie beispielsweise Wiederverwendung und damit verbundene private Schlüsselkompromittierung, zu verhindern. Die Signatur enthält außer den eigentlichen Werte (r, s) auch eine Recovery-ID, die es ermöglicht, den öffentlichen Schlüssel aus der Signatur zurückzugewinnen, was die Verifikation vereinfacht. Ein wichtiger Aspekt der Signatur ist die Hash-Trunkierung: Das Paket schneidet den Hashwert entsprechend der Feldlänge ab, um Überläufe zu vermeiden. Dabei wurde festgestellt, dass die Implementierung eine Mindestgröße des Hashwerts von der halben Feldgröße voraussetzt, was von den Standards abweicht. Dies soll zusätzliche Sicherheit gewährleisten.
Allerdings kann durch das Trunkieren nicht garantiert werden, dass Hash-Kollisionen völlig verhindert werden – in der Praxis sind diese aber äußerst selten. Auch die sogenannte Signaturnormalisierung findet Anwendung, um die Signaturmalleabilität zu reduzieren. Die Signatur wird so angepasst, dass der s-Wert in der niedrigeren Hälfte des Feldes liegt. Dies vermeidet, dass zwei unterschiedliche Signaturen für dieselbe Nachricht als gültig akzeptiert werden. Die Sicherheitsanalyse identifizierte drei Hauptkategorien von Findings.
Ein mittelstufiges Problem wurde in der Funktion try_from_rng der Basisfeldimplementation festgestellt, da dort zufällige 512-Bit-Werte über Montgomery-Reduktion reduziert werden, was potentiell zu nicht-kanonischen Feldwerten führen kann. Dies kann inkonsistente Ergebnisse bei Operationen hervorrufen und zu Fehlern führen – wenn auch für den Anwendungsfall von NEAR beim Signaturverifizieren irrelevant. Eine empfohlene Abhilfe ist die Verwendung eines Rejektion-Samplings, um Feldwerte strikt im gültigen Bereich zu generieren. Des Weiteren wurde ein Low-Risk-Bug aufgrund der Vermischung verschiedener Typen (FieldElement und U256) innerhalb des Feldes identifiziert, der zu Verwirrung führen kann. Eine Anpassung der API-Typen und klarere Trennung zwischen Rohwerten und Feldwerten wird hier angeraten.
Ein informatives Finding betrifft die überflüssige zweite Subtraktion bei der Barrett-Reduktion – deren Entfernung bringt klare Performancevorteile. Abschließend lässt sich festhalten, dass das Rust P256 Crate eine solide, gut getestete und durchdachte Implementierung der P-256 Kurve darstellt. Die erhaltenen Auditergebnisse bestätigen die Verlässlichkeit, zeigen aber auch, dass selbst in ausgereiften Projekten kleine Verbesserungen möglich sind. Die Kombination aus modernen mathematischen Methoden, wie Montgomery- und Barrett-Reduktionen, projektiven Koordinaten und RFC 6979 konformen Signaturverfahren, macht das Crate zu einer wertvollen Komponente für sichere Kryptographie in Rust-basierten Systemen. Für Entwickler und Sicherheitsexperten, die mit ECDSA-Signaturen und elliptischen Kurven arbeiten, bietet der Rust P256 Crate einen transparenten Einstieg, mit Möglichkeiten zur Anpassung und Optimierung.
Gleichzeitig sorgt das aufgezeigte Audit für ein erhöhtes Vertrauen in die angelegten Sicherheitsprüfungen und technischen Konzepte. Langfristig wird die aktive Pflege und Weiterentwicklung in der RustCrypto Community eine Schlüsselrolle spielen, um den stetig steigenden Ansprüchen in der Kryptographie gerecht zu werden.
