安全な署名検証のために EIP-712 を実装するにはどうすればよいですか?

EIP-712 の概要と主な目的

1. EIP-712 は、イーサリアム アプリケーションにおける型付き構造化データのハッシュと署名の標準を定義します。

2. これにより、ウォレットは、署名リクエスト中に未加工の 16 進文字列の代わりに人間が判読できるドメインおよびメッセージ フィールドを表示できるようになります。

3. この仕様では、ドメイン区切りハッシュによるドメイン分離が導入されており、異なる dApp またはチェーン間での署名の再生が防止されます。

4. すべての署名付きペイロードには、シリアル化とハッシュ化の前に明示的に宣言する必要がある型定義が含まれています。

5. この構造により、確定的なエンコーディングが保証され、オプションのフィールドや動的配列の順序付けからの曖昧さが排除されます。

ドメインセパレータの構築

1. ドメイン区切り文字は、 keccak256(encodeType(domainType) || encodeData(domainValue))を使用して計算されます。

2. 必須のドメイン フィールドには、 name 、 version 、 chainId 、 verifyingContract 、およびオプションでSalt が含まれます。

3.名前フィールドは、dApp の登録ブランド名と一致する必要があり、多くの場合、ENS または契約メタデータに対して検証されます。

4.chainId はチェーン固有の有効性を強制します。イーサリアム メインネットで生成された署名は、再計算しないと Polygon または Arbitrum では無効になります。

5. ドメイン区切り文字が一致しないと、他のすべての入力が正しい場合でも、署名検証が失敗します。

型付きデータのエンコードプロセス

1. 各型宣言では、フィールド名、型、およびネストされた依存関係 (たとえば、 Person(address Wallet, string name) )を指定します。

2. 配列は、ポインタや参照としてではなく、長さの接頭辞が付いた個々の要素の連結ハッシュとしてエンコードされます。

3. 文字列はハッシュ化する前に UTF-8 バイト変換を受けます。切り捨てや正規化は自動的には適用されません。

4. アドレス フィールドは 32 バイトまでゼロ埋めされ、ハッシュ化する前に内部的にbytes20として扱われます。

5. 最終ダイジェストでは、ドメイン区切り文字、プライマリ タイプ ハッシュ、およびエンコードされたメッセージ データが、ECDSA 署名に使用される単一のkeccak256出力に結合されます。

フロントエンド統合パターン

1. MetaMask のような最新のウォレットは、EIP-712 に準拠した JSON-RPC ペイロードを受け入れるeth_signTypedData_v4 RPC メソッドを公開します。

2. 開発者は、署名リクエストを呼び出す前に、JavaScript オブジェクト内のすべての型を事前に宣言する必要があります。実行時に動的に型が生成されると、互換性が失われます。

3. @ethersproject/hashなどのライブラリは、クライアント側でドメイン区切り文字と型付きハッシュを計算するユーティリティを提供します。

4. UI レイヤーは、各フィールドのラベルと値をタイプ スキーマで定義されたとおりに正確にレンダリングする必要があります。逸脱するとユーザーが混乱し、信頼が損なわれます。

5. 署名ペイロードは署名後に決して変更してはなりません。空白文字を変更しただけでも暗号証明は無効になります。

オンチェーン検証メカニズム

1. スマート コントラクトは、入力パラメーターとドメイン値から導出された再構成されたダイジェストを使用してecrecoverを使用して署名を検証します。

2. OpenZeppelin のECDSA.recoverのような Solidity ライブラリは回復ロジックを簡素化しますが、フロントエンドの動作に一致する正確なダイジェスト再構築が必要です。

3. コントラクトに渡されるドメイン パラメータは、署名時に使用されたものと同一である必要があります。不一致があると、回復可能なアドレスが不正確になります。

4. メッセージ データは、同じ型定義を使用してコントラクト内で逆シリアル化する必要があります。逸脱するとハッシュの不一致が発生します。

5. 検証された署名は、許可ベースのトークン転送、ガバナンス提案、オフチェーン注文決済などの重要なアクションをゲートできます。

よくある質問

Q: EIP-712 署名は、名前とバージョンが同じで異なるドメイン間で再利用できますか? A: いいえ。chainId またはverifyingContractのわずかな違いでも、明確なドメイン区切り文字が生成され、クロスドメインの再利用が不可能になります。

Q: ドメイン構造体のソルトフィールドを省略しても安全ですか? A: はい、省略は許可されますが、省略すると、フォークまたはテストネット間で同一のコントラクトをデプロイする場合の一意性の保証が低下します。

Q: EIP-712 は再帰的な型定義をサポートしていますか? A: いいえ。循環型または自己参照型は決定論的エンコード要件に違反するため、ハッシュ計算中に失敗します。

Q: EIP-712 型定義で可変長配列を処理するにはどうすればよいですか? A: Person[] peopleのような構文を使用します。エンコーダーは配列の長さを自動的に計算し、連結する前に各要素を個別にハッシュします。