你的位置:世界杯投注-世界杯投注APP-世界杯投注网站推荐 > 投资者关系 > Schnorr签名的前世今生:为什么说比特币的心事性是不行幸免的? | BTC

Schnorr签名的前世今生:为什么说比特币的心事性是不行幸免的? | BTC

投资者关系

数字签名是收罗主权的复旧。1976年公钥密码学的出现为众人通讯前言——互联网和一种全新的货币模式——比特币的出身铺平了路线。天然公钥密码学的基本属性自那时以来莫得太大的变化,

详情

Schnorr签名的前世今生:为什么说比特币的心事性是不行幸免的? | BTC

数字签名是收罗主权的复旧。1976年公钥密码学的出现为众人通讯前言——互联网和一种全新的货币模式——比特币的出身铺平了路线。天然公钥密码学的基本属性自那时以来莫得太大的变化,但当今,密码学者的器用箱中都有几十种开源数字签名决议。

bitcoin

当中本聪(Satoshi Nakamoto)运转创造比特币时,需要沟通的一个关节遐想采纳是,在这个绽放、无需许可的金融体系中使用哪种签名决议。其要求很知道;中本聪需要一种被无为使用、易于领路、饱和安全、轻量级且最枢纽的是开源的算法。在其时通盘的备选决议中,他作出了最妥当这一法子的采纳:椭圆弧线数字签名算法(ECDSA)。

其时,ECDSA由OpenSSL支柱,OpenSSL是一套开源加密器用,由密码学朋克设备,用于改善在线通讯的心事。与其他流行的决议比较,ECDSA具有算计需求更少、密钥长度更短的优点;对数字货币来说很有用。同期,它还为RSA(加密算法)这么的决议提供了一定的安全性:举例,256位的ECDSA密钥的安全性至极于3,072位的RSA密钥,但它只是RSA密钥容量的一小部分。

Pieter Wuille等人在矫正弧线(如椭圆弧线)secp256k1上的吃力使命使比特币的ECDSA变得更快更高效了。关联词,ECDSA仍然存在固有的弱势,需要用其他决议取代它。流程多年的商酌和实验,一种旨在擢升比特币往还心事和甩手的新签名决议——Schnorr数字签名决议出现了。

在本文中,我将综合Schnorr签名的多种部署方式过火相应的优点。然后,我会确认MuSig这种全新的多重签名法子能够为Taproot这么的新式比特币技能带来什么。临了,我要说的是Schnorr若何冲突区块链分析中使用的试探法(heuristics)以及若何匡助比特币的主公约层创建一个高大的收费商场。

  Schnorr签名的崛起  

尽管Schnorr数字签名决议与ECDSA比较具备很多优点,但它并不是一个新决议。上世纪80年代,德国密码学家以及学者Claus-Peter Schnorr在法兰克福大学担任西席和商酌员时发明了这种机制。他提议的这种签名决议是纠合了David Chaum、Taher EIgamal、Amos Fiat以及Adi Shamir的商酌。关联词,在发表之前,Claus-Peter Schnorr为他的新发明请求了多项专利,导致其在多年来无法被胜仗使用。

道理道理的是,ECDSA的前身DSA是ElGamal和Schnorr决议的纠合,后者十足是为了遮掩Claus Schnorr的专利而遐想的。事实上,就在Schnorr的美国专利发布两个月后,DSA的创造者美国国度法子与技能商酌院(NIST)也为其处分决议请求了专利。这里要说一小段密码朋克的历史:在那之后,Claus-Peter Schnorr为了捍卫他的专利变得相配激进,并胜仗回话了Coderpunks(法子员朋克)邮件列表中的品评;这是原始密码朋克邮件列表的一个分支。

2008年,Schnorr签名野心推出近20年后,Claus-Peter Schnorr的专利逾期了。正巧的是,2008年亦然咱们最可爱的密码朋克中本聪推出比特币的这一年。尽管其时Schnorr签名照旧不错被解放使用了,但其既莫得收场法子化也莫得被无为使用,这可能是中本聪转而使用ECDSA的原因之一。尽管密码学者和数学家时常用“相配可怕”来描画ECDSA,但其在其时(当今亦然如斯)得到了无为使用,何况为比特币提供了更安全的采纳。

  Schnorr与比特币  

十年之后的今天,Schnorr决议就不那么高深了,ed25519之类的法子化部署成为了一些竞争币的优选。量度在比特币上实施Schnorr的非致密商议不错回顾到2014年的BitcoinTalk论坛,但直到Pieter Wuille提议了Schnorr BIP之后,这项流程多年商酌和实验的技能才致密登场。这个BIP描摹了一个收场Schnorr的法式和技能细节,与ECDSA比较,其将带来以下上风:

- 安全评释:当使用一个饱和立时的哈希函数(立时oracle模子)和签名中使用的椭圆弧线蹂躏对数问题(ECDLP)饱和勤苦时,Schnorr签名的安全性很容易得到评释。但ECDSA不存在这么的评释。

- 非延展性(Non-malleability):ECDSA签名本色上是可延展的,它不错使无法造访私钥的第三方改革现存有用签名并双花资金。BIP62致密商议了这个问题。比较之下,Schnorr签名被评释是不行延展的。

- 线性特质:Schnorr签名具有一个权臣的脾气,即多个参与方不错伙同生成对其公钥总数有用的签名。这是擢升甩手和心事的基础,举例多重签名和其他智能合约。

Schnorr提供的安全评释以及非延展性保证,与ECDSA比较具有知道的上风。仅基于这两个上风,进行软分叉是正确的。关联词,Schnorr的线性脾气尤其令人昂然。本色上,这使得多重签名往还中的多个签名者能够将其公钥组合成团员秘钥;这个特质被称为key aggregation。

尽管组合秘钥的材干听起来微不及道,然则不应该低估团员秘钥的上风。由于ECDSA本人并不支柱多重签名,因此它们必须通过一个名为Pay-to-ScriptHash(P2SH)的法子化智能合约(没错,比特币也有智能合约)在比特币中部署。这使得用户不错添加名为encumbrances(财产留置权)的支拨条款来指定资金的使用方式,举例“唯有当Alice和Bob都在此音信上签名时,才能解锁余额”。

P2SH存在的第一个问题是,它需要参与多重签名的通盘签名者的公钥,这并非一个有用的系统。团员这些秘钥将收场更有用的考据,因为收罗只需要考据一个秘钥,而不是n个。这也意味着占用区块链更少的空间,收场更低的往还老本,改善带宽。

P2SH的第二个问题是,它提供的心事保险相配少。正如BIP 13所说,P2SH往还需要以3开始的不同地址。这使得区块链洞悉者不仅不错识别收罗中通盘的P2SH往还,还不错在多重签名中细目具体的身份:

1

在上头的例子中,收罗不错清醒(1)多重签名往还的存在(2)其由若干签名者构成(3)签名者的身份。这不利于操作安全,非常是对于像2FA(双身分认证)这么的诈欺。而且对心事也不利。

另一方面,秘钥团员允许签名者保持匿名,何况不会败露解锁余额所需的秘钥,甚而于影响操作安全性。最枢纽的是,秘钥团员不错让多重签名往还与老例往还无异:

2

Schnorr在比特币中的首个版块将淘汰现时与ECDSA沿途使用的OP_CHECKSIG和OP_CHECKMULTISIG操作码,拔旗易帜的是一个名为OP_CHECKDLS的新代码。DLS是蹂躏日记签名,无需太多细节,它允许用更少的操作码更有用地考据签名。

早在2018年头,Gregory Maxwell、Andrew Poelstra、Yannick Seurin和Pieter Wuille就发表了一篇白皮书,商议一种新的基于Schnorr的多重签名决议MuSig。自从MuSig发布以来,他们一直在死力将这个多重签名决议诊疗成可用的代码。

在秘钥团员的环境中,MuSig最道理道理的一丝是在区块链除外创建独到智能合约的可能性。从本色上讲,MuSig使多重签名参与者能够将encumbrances添加到团员密钥的链下,这并不需要用到比特币的共鸣轨则。

2018年12月,Anthony Towns是第一个提议激活Schnorr“半致密”提议的中枢设备者,该提议照旧被发布在比特币设备者的邮件列表中。我瞻望在接下来的几个月里会有更多对于软分叉的商议。

转头: MuSig在比特币中的初版将支柱秘钥团员,不错立即(1)擢升多重签名的心事(2)增多往还考据甩手(3)通过排斥ECDSA的固有问题来擢升安全性(4)收场Taproot等智能合约决议。

但这只是是个运转。

  跨输入团员:比特币心事的下一步  

正如上文所述,对于破耗单个输入的多重签名,秘钥团员是一个相配有用的脾气。由于比特币往还平常有多个输入,Schnorr的将来迭代也不错用来创建一个交互式团员签名(IAS)决议,统一笔往还中的通盘输入都不错同期使用一个签名。

通常,签名者之间的交互十足发生在链下,然则当今,一个签名就不错破耗一笔往还的通盘输入。每个输入仍然有我方的公钥,然则不错由Schnorr IAS进行破耗:

3

Greg Maxwell、Pieter Wuille、Anthony Towns等人一胜仗力于于Taproot智能契约决议的矫正,以鼓吹这一功能。他们将此决议称为Generalized Taproot,或G’root,它不错使将来从秘钥团员到跨输入团员的诊疗变得愈加容易。

与秘钥团员一样,跨输入团员进一步擢升了比特币往还的甩手。但最枢纽的是,它可能在比特币的基础层启用高大的心事保护机制。

跨输入团员最令人昂然的方面之一是它不错矫正比特币上的CoinJoin往还。CoinJoin是一种心事保护技能,不错将多个发送方和领受方组合在一笔往还中。其指标是使区块链洞悉者难以追踪特定的发送方和领受方。

这项技能领先是2013年由Greg Maxwell在BitcoinTalk上提议的,之后多个平台运转提供这一管事,包括JoinMarket、SharedCoin、ShufflePuff、DarkWallet和CoinShuffle。CoinJoin后续的变化,如Wasabi钱包的Chaumian CoinJoin在很猛进度上矫正了领先的模子。关联词,其仍然需要依赖饱和多的用户来浑浊他们的余额。

如今CoinJoin濒临的另一个问题是通盘往还类型的可识别性(和潜在的审查)。面前在区块链分析中使用最多的方法等于证据特定的输入来细目两个或多个地址是否属于统一个实体。举例,要是Alice给Bob转了1.982723 BTC,区块链洞悉者不错追踪该特定输入的一丝位,绘图往还图,或者UTXO的历史领悟和通盘权变更。

为了小心这种情况发生,CoinJoin的部署需要数额调解,这么CoinJoin中的每个人都会发送等额的币。举个例子,Wasabi钱包的用户在100名参与者的CoinJoin往还中都发送0.1个比特币。天然仍然很难细目发送方和领受方之间的量度,然则区块链洞悉者不错通过调解的数额来判断是否发生了CoinJoin往还,并建议其客户审查通盘参与者。

跨输入团员不错匡助处分这个问题,因为它在公约层引入了特殊的浑浊机制。从本色上讲,跨输入团员不错构建基于Schnorr的CoinJoin往还,该往还有n个签名者,看起来就像是普通的单签名者往还。这也使CoinJoin更容易在流行钱包中收场,这可能会加强收罗的举座匿名集或使用这项技能的用户数目。

调解数额的问题不错通过其他技能进一步处分,比如Pay-to-EndPoint(P2EP),它将CoinJoin和中本聪早期在心事方面的使命(见P2IP)纠合在了沿途,在CoinJoin中发送方和领受方都需要提供往还输入。

P2EP是向后兼容的,当与Schnorr沿途使用时,它不错在比特币的基础层提供饱和的心事。

  两全其美  

咱们有事理觉得,比特币的大限制普及取决于其心事保险的力度。与此同期,闪电收罗的普及,以及它本人承载支付的后劲,为比特币被挖完之后链上结算的需求带来了不细目性。因此,对心事的需求以及比特币在莫得区块奖励的情况下的弥远可络续性,能够是比特币存在的两个最令人担忧的问题。红运的是,Schnorr启用的心事机制不错同期处分这两个问题。

我花了无数的时间来商酌复杂的心事技能,包括环签名(Ring Signatures)、守秘往还(Confidential Transactions)、防弹技能(Bulletproofs)、zkSNARKs、STARKs和MimbleWimble的不同部署场景。天然有些技能照旧饱和训练,能够部署在比特币基础层,但依然存在特殊的风险和权衡。正如你所清醒的那样,比特币不可爱硬分叉,因此很难联想这些技能全部被部署到比特币公约上的场景。

对于同态加密或非交互式零学问评释系统的使用,人们似乎惦记会阻碍比特币货币基础的可考据性。换句话说,要是对往还数额进行加密,就很难考据比特币的供应上限是否保持在2100万。通常,当往还金额被遮挡时,通胀罅隙和双花行动也变得愈加难以细目。这是一个至极大的权衡,在比特币的基础层收场高度心事可能会导致社折柳裂。

那么要是不需要部署这些技能就能为比特币基础层赢得饱和心事呢?

Schnorr笃信能帮上忙。要是大多数比特币往还都使用Schnorr的跨输入团员功能和P2EP,那么跟着时间的推移,只是通过稽查区块链就真的不行能影响浑浊机制。比特币的供应仍将是可考据的,同期其往还也将提供更有劲的心事保险。

要是存在心事需求,咱们也有事理假定,比特币用户和企业可能但愿被迫地参与比特币往还,让他们的钱包在后台不断地夹杂余额。在这种情况下,对心事的需求会胜仗酿成链上往还用度的增多。和纷扰见证(SegWit)一样,用户很可能是选择该技能的第一个群体,但企业必须在某个时候也加入进来,以保持量度性。

假以时日,这些技能会让区块链分析变得绝不消处,并像什物现款一样,比特币企业无需络续慑服AML/KYC轨则。当你把现款存入银行账户时,银行不会追踪账单上是否有毒品往还纪录,就算发现了,也不会禁绝你把这些先进存入银行。除了区块链分析的扩散,以及莫得Schnorr的技能污点之外,莫得事理只让比特币来慑服这一丝。

当在特定地址和UTXOs上现实AML/KYC变得卑不足道,和顺点转向个人而非余额时,比特币企业将十足缔造在心事之上。事实上,我觉得当这种情况发生时,心事和可互换性将成为将来比特币企业价值倡导不行或缺的一部分。

最终,比特币的基础层选择更高大的心事机制之后,用户将获取更多权利,与此同期,可能有助于在比特币被挖完之后,创建一个活跃的手续费商场。我的谋略是,这一切都始于Schnorr的激活,似乎每个名目都对其感趣味趣味。

Powered by 世界杯投注-世界杯投注APP-世界杯投注网站推荐 RSS地图 HTML地图


世界杯投注-世界杯投注APP-世界杯投注网站推荐-Schnorr签名的前世今生:为什么说比特币的心事性是不行幸免的? | BTC