首页 手机兼职平台区块链正文

了解比特币新签名计划MuSig2

admin 区块链 2020-11-26 18:30:36 5979 0 区块链数字货币比特币

TaprootMuSigMuSig

MuSigSchnorrTaprootCHECKMULTISIGn-of-nMuSignnECDSA

在2018年,Blockstream公司发布了MuSig计划的第一个版别,咱们将其称为MuSig1,由于签名者之间需求多轮通讯,在实践中布置MuSig1或许很困难。为了改进MuSig1,使得签名进程变得愈加简略,Blockstream的研讨者联合法国国家网络安全局(ANSSI)的暗码学家Yannick Seurin一起规划了名为MuSig2的新计划,而这种计划只需求两轮通讯,现在,这篇论文正在承受同行评定。

 

MuSig1的交互性问题

 

与依据CHECKMULTISIG的钱包比较,MuSig1最大的缺陷在于,它需求签名者之间的交互,更精确地说,创立签名需求三轮通讯,而每一轮通讯都由来回传递的音讯组成。

下图显现了两个签名者的交互进程。你能够幻想一个签名者运用的是一个桌面钱包,而另一个签名者运用的是Blockstream Green cosigner,或许签名者同享一个他们企图封闭的闪电网络通道。

了解比特币新签名计划MuSig2

比较之下,运用CHECKMULTISIG的钱包只需求一轮通讯:它们接纳一笔买卖并回来一个签名。例如,假如运用MuSig1在闪电网络中转发付出,隐私将得到改进,但付出所需的时刻显着更长了。跟着通讯推迟的添加,这个问题就变得愈加严峻了。而存储在安全保险箱中的MuSig1签名设备,需求其一切者拜访两次才干创立签名。

 

MuSig2答应非交互式签名

 

而最新提出的MuSig2多重签名计划,旨在成为MuSig1的继承者,它供给了与MuSig1相同的功用和安全性,但能够消除签名者之间简直一切的交互。

运用MuSig2,签名者只需求进行两轮通讯就能够创立签名,并且要害的是,在签名者知道他们想要签名的音讯之前,能够对其间一轮进行预处理。一旦有音讯需求签名,例如一笔比特币买卖,那么其进程与今日依据CHECKMULTISIG的钱包相同:将买卖搬运给签名者,然后接纳一个签名。总的来说,MuSig2保留了MuSig1的简略性和功率,只添加了少数的额定核算。

 

MuSig宗族

 

几周之前,研讨者们评论了MuSig-DN,它是一个运用了零常识证明的两轮通讯协议,比较MuSig2而言,它要杂乱得多。而MuSig-DN的长处在于它支撑确定性nonce,然后避免了在签名会话和次序之间坚持状况的需求(即无状况)。

了解比特币新签名计划MuSig2

这就提出了在给定运用中运用哪个计划的问题。上表阐明,咱们没有理由挑选MuSig1,而是应该挑选MuSig2。实际上,咱们期望大多数运用挑选MuSig2而不是MuSig-DN,由于简略性是选用的主要因素。在创立可互操作的完成时,特别如此,由于一切签名者都必须赞同运用相同的协议。此外,对非交互式签名的支撑明显提高了可用性。

另一方面,假如签名会话需求存储在耐久介质上,那么MuSig-DN计划的无状况特点是有利的。为了演示这种情况下MuSig2的危险,假定咱们履行以下一系列事情:

  1. 敞开一个MuSig2签名会话;
  2. 将会话保存到一个硬盘驱动器;
  3. 履行硬盘驱动器备份;
  4. 完结签名会话;
  5. 康复备份;
  6. 再次完结会话;

结果是,咱们创立了两个具有相同nonce的签名,其可用来盗取咱们的密钥。因而,MuSig2的完成者必需要当心,以保证不会产生上述情况。比较之下,MuSig-DN计划就能够避免这种进犯。

 

 

结构两轮多重签名的应战

 

结构一个简略的只需求两轮通讯的Schnorr多重签名计划,并且在并发会话(即,假如某个签名者一起参加多个签名会话)下仍然是安全的,这是一个没有处理的研讨问题。一切曾经的测验(包含前期版别的MuSig1论文)都会遭到Drijvers等人发现的一种奇妙的进犯。在这种情况下,进犯者与受害者签名者翻开许多会话,并能够取得受害者不计划签名音讯的签名。

让咱们快速看看,是什么让MuSig2在并发会话下变得安全。

其间,在MuSig1中,每个签名者i创立一个nonce,而在MuSig2中,每个签名者创立两个nonce R_i,1R_i,2,在第一轮通讯时将它们发送给其他签名者,并有效地运用这些nonce的随机线性组合R_i = R_i,1 + b*R_i,2,替代之前独自的nonce R_i。而系数b是运用于一切签名者nonce、聚合公钥和音讯的哈希函数的输出。在MuSig1中,聚合的nonce是R = R_1 + … + R_n。假如任何签名者更改了他们的任何nonce,则其他每个签名者都将运用他们两个nonce的不同的随机线性组合。这能够避免已被发现的针对其他两轮多签名计划的进犯。一切细节你能够在MuSig2论文中找到。

 

关于下一步

 

blockstreamMuSig2secp256k1zkpMuSig1MuSig2TaprootMuSig2BlockstreamBlockstreamGreenc-lightningLiquid

版权声明

本文仅代表作者观点,不代表网赚之家本站立场。
本文系作者授权发表,未经许可,不得转载。

评论