主页 > imtoken如何转账 > 一文看懂比特币新签名方案MuSig2
一文看懂比特币新签名方案MuSig2
原标题:科普| 一文看懂比特币新签名方案MuSig2
随着比特币 Taproot 更新的临近,社区成员对 MuSig 多重签名方案产生了相当大的兴趣,该方案允许一个群体集体管理一些比特币并创建一个单一签名来授权支付。 由于 MuSig 创新的密钥聚合功能,此签名是一个常规的 Schnorr 签名,一旦 Taproot 被激活,比特币网络就可以对其进行处理。 当用于创建多重签名钱包时,与使用 CHECKMULTISIG 操作码的 n-of-n 多重签名的传统方式相比,MuSig 降低了交易费用并增加了隐私,后者需要 n 个区块链公钥和 n 个 ECDSA 签名。
2018 年,Blockstream Corporation 发布了第一个版本的 MuSig 方案,我们将其称为 MuSig1,正如我们将在下面讨论的那样,由于签名者之间需要多轮通信,因此在实践中部署 MuSig1 可能很困难。 为了改进MuSig1,让签名过程更简单,Blockstream研究人员和来自法国国家网络安全局(ANSSI)的密码学家Yannick Seurin共同设计了一个名为MuSig2的新方案论文,只需要两轮。 通讯,这篇论文目前正在接受同行评审。
本文将简要介绍MuSig2与上一版MuSig1的区别。 原作者是 Jonas Nick 和 Tim Ruffing。
与 MuSig1 的交互问题
与基于 CHECKMULTISIG 的钱包相比,MuSig1 的最大缺点是它需要签名者之间的交互,更准确地说,创建签名需要三轮通信中国比特币官网注册官网,每轮通信都由来回传递的消息组成。 下图展示了两个签名者的交互过程。 你可以想象一个签名者使用桌面钱包而另一个签名者使用 Blockstream Green 共同签名者,或者签名者共享他们试图关闭的 Lightning 通道。
相比之下,使用 CHECKMULTISIG 的钱包只需要一轮通信:它们接收交易并返回签名。 例如,如果使用 MuSig1 在闪电网络中转发支付,隐私将得到改善,但支付时间将显着延长。 这个问题随着通信延迟的增加而加剧。 MuSig1 签名设备存储在安全的保险箱中,需要其所有者访问两次才能创建签名。
MuSig2 允许非交互式签名
新提出的 MuSig2 多重签名方案旨在成为 MuSig1 的继承者,它提供与 MuSig1 相同的功能和安全性,但可以消除几乎所有签名者之间的交互。 使用 MuSig2,签名者只需要两轮通信即可创建签名,而且关键的是,其中一轮可以在签名者知道他们想要签名的消息之前进行预处理。 一旦消息需要签名,例如比特币交易,过程与今天基于 CHECKMULTISIG 的钱包相同:将交易转移给签名者,并接收签名。 总体而言,MuSig2 保留了 MuSig1 的简单性和高效性,仅增加了少量的额外计算量。
穆西格家族
几周前,研究人员讨论了 MuSig-DN,这是一种使用零知识证明的两轮通信协议,它比 MuSig2 复杂得多。 MuSig-DN 的优点是它支持确定性随机数,这避免了在签名会话和轮次之间保持状态的需要(即无状态)。
这就提出了在给定应用程序中使用哪种方案的问题。 上表说明我们没有理由选择MuSig1,而应该选择MuSig2。 事实上,我们希望大多数应用程序选择 MuSig2 而不是 MuSig-DN,因为简单性是采用的主要因素。 在创建可互操作的实现时尤其如此,因为所有签名者必须同意使用相同的协议。 此外,对非交互式签名的支持显着提高了可用性。
另一方面,如果签名会话需要存储在持久介质上,则 MuSig-DN 方案的无状态属性是有益的。 为了证明 MuSig2 在这种情况下的风险,假设我们执行以下事件序列:
启动 MuSig2 签名会话; 将会话保存到硬盘; 执行硬盘备份; 完成签约环节; 恢复备份; 再次完成会话;
结果,我们创建了两个具有相同随机数的签名,可用于窃取我们的密钥。 因此,MuSig2 的实施者必须注意确保不会发生上述情况。 相比之下,MuSig-DN 方案可以防止这种攻击。
构建两轮多重签名挑战
构造一个简单的 Schnorr 多重签名方案,它只需要两轮通信,并且在并发会话下保持安全(即,如果某个签名者同时参与多个签名会话)是一个尚未解决的研究问题。 所有以前的尝试(包括 MuSig1 论文的早期版本)都遭受了 Drijvers 等人发现的巧妙攻击。 在这种情况下,攻击者会与受害者签名者打开许多会话,并能够获得受害者不打算签名的消息的签名。
让我们快速了解一下是什么让 MuSig2 可以安全地对抗并发会话。 其中,在MuSig1中,每个签名者i创建一个nonce,而在MuSig2中,每个签名者创建两个nonces R_i,1和R_i,2,在第一轮通信中发送给其他签名者,并有效地使用随机线性组合这些 nonces R_i = R_i,1 + b*R_i,2 而不是之前单独的 nonceR_i。 而系数 b 是应用于所有签名者随机数、聚合公钥和消息的哈希函数的输出。 在 MuSig1 中,聚合的随机数是 R = R_1 + ... + R_n。 如果任何签名者更改了他们的任何随机数,则每个其他签名者将使用他们两个随机数的不同随机线性组合。 这可以防止针对其他两轮多重签名方案发现的攻击。 您可以在 MuSig2 论文中找到所有详细信息。
关于下一步
目前blockstream希望将secp256k1zkp库中的MuSig1实现替换成MuSig2,这样会更简单,更重要的是更容易使用。 根据开发人员的说法,一些协议将受益于使用工具箱中的 MuSig2中国比特币官网注册官网,例如“无脚本脚本闪电网络”和阈值签名。 如果比特币社区选择采用Taproot软分叉,MuSig2将应用于Blockstream Green、c-lightning等一系列Blockstream产品,同时也将应用于Liquid锚定机制。
