Pourquoi BIP25519 est-il meilleur que ED25519?

Merci de demander! Voir la réponse quej'aifournie sur cette question - Fourprenanten charge BIP32-ED25519 Adtreses . Je vais le copiericipourplus de commodité:

Tezos a adopté cenouveau système de dérivation caril améliore la sécurité. Backstory: Parce que cettemise àjourimplique BIP32 (Proposition d'amélioration Bitcoin 32),ilestimportant de contrairement comment les adresses sont utilisées dans Bitcoinet Tezos:

Bitcoin: Les utilisateurs ont une adresse racine,àpartir duquel vouspouvez dériver une adresse unique depour chaquetransaction afin que deuxpersonnesn'envoient que BTC vous utilisez lamême adresse de destination. Celles-ci sontparfois appelées des adresses de réceptionjetables. Tezos: les utilisateurs utilisentgénéralement lamême adresseexactepourtoutes les opérations. Parfois,c'est l'adresse racine,leplus souvent c'est le chemin de dérivation/0H/0H. Celles-ci sontidentiques à celles des adresses BTC uniquement dérivées que vous utiliseriez,il utilise simplement le chemin de Tezos au lieu de Bitcoin. Lesmodifications apportées à ce régime de dérivation sontplusimportantes dans le contexte des utilisateurs de Bitcoin qu'ils sont Tezos. La question réside dans lesmathématiques que BIP32 utilise. Il suppose quetous lespoints sur une courbe de signature (elliptique) sont valides,lorsqu'ils sont vraiment à lamoitié destouches ECDSA valides. Cestouchesnon valides dépendent desparties de votre clé racineet ne sontgénéralementtrouvées qu'à l'aide d'un chemin de dérivation avec detrèsgrandsnombres ou des dérivations vraimentprofondes -parexemple:/7293843H/9372365H au lieu de/0h/0h. C'est aussipourquoi cette questionn'apas étéprisejusqu'à ce que le régime de dérivation soit déjà utilisé.

Si vousessayez d'utiliser des adresses sur lapartienon valide de la courbeet qu'un attaquant détermine lequel de ces adressesne fonctionnentpas,ilspourraient utiliser cesinformationspour déterminer votre cléprivée. Notez que cet vecteur d'attaquenécessite que vous ayezpartagé denombreuses adresses dérivées de votre clé racine,ce qui rend cette attaquemoinsprobable sur Tezos que sur Bitcoin.

Thanks for asking! See the answer I provided on this question - Kiln supporting bip32-ed25519 addreses. I'll copy it here for convenience:

Tezos has adopted this new derivation scheme because it improves security. Backstory: because this update involves BIP32 (Bitcoin Improvement Proposal 32), it is important to contrast how addresses are used in Bitcoin and Tezos:

Bitcoin: Users have a root address, from which you can derive a unique address from for each transaction so no two people are sending BTC to you using the same destination address. These are sometime called throwaway receipt addresses. Tezos: Users typically use the same exact address for all operations. Sometimes its the root address, most often it is the /0h/0h derivation path. These is the same as any of the uniquely derived BTC addresses you would use, it just uses Tezos’ path instead of Bitcoin’s. The changes to this derivation scheme are more important in the context of Bitcoin users than they are Tezos. The issue lies the math that BIP32 uses. It assumes that all points on a signing (elliptic) curve are valid, when really only half are valid ECDSA keys. These invalid keys depend on parts of your root key and typically only found using a derivation path with very large numbers or really deep derivations - for example: /7293843h/9372365h instead of /0h/0h. That’s also why this issue wasn’t caught until the derivation scheme was already in use.

If you attempt to use addresses on the invalid part of the curve and an attacker determines which of those addresses do not work, they could use this information to determine your private key. Note that this attack vector requires that you have shared many derived addresses from your root key, which is what makes this attack less likely on Tezos than on Bitcoin.