DAEX Lab將持續為各位區塊鏈技術愛好者與開發者帶來相關的基礎知識與熱門討論,深度剖析區塊鏈底層演算法、經濟模型、系統架構和應用開發等方面的硬核乾貨與技術細節。比特幣網路可能在2020年上線Schnorr簽名,來替代目前正在使用的基於Secp256k1曲線的ECDSA簽名演算法用於多重簽名。那麼Schnorr簽名是什麼,與目前的簽名演算法有何不同,與目前演算法相比優勢如何,應用端錢包將會怎樣變化,本文將為你一一介紹。一、ECDSA簽名回顧數字簽名是對簽名的數字模擬。最早的數字簽名演算法是由Rivest、Shamir、Adleman三人於1978年提出的RSA簽名演算法,其安全性基於大整數分解的難解性,廣泛地運用於數字認證與CA等領域。但是由於RSA演算法的金鑰尺寸較大,儲存效率不及後來的基於橢圓曲線的簽名演算法。所以目前廣泛運用於密碼貨幣的簽名幾乎都是ECDSA演算法,只是所基於的底層橢圓曲線不同。ECDSA的安全性是基於橢圓曲線離散對數難解性。二、比特幣簽名演算法--基於 SECP256k1 曲線的ECDSA 比特幣目前所使用的簽名演算法是基於SECP256k1 曲線的ECDSA演算法。將交易的詳細資訊m作訊息摘要,即z=SHA256(m),對摘要z作核心簽名演算法。密碼學意義上安全的數字簽名需要透過新增隨機數來實現簽名的隨機性。但是根據RFC6979標準,簽名演算法中的隨機數是從訊息摘要z中提取出,這不是密碼學意義上的隨機數。這個方案在眾多密碼學程式碼庫中,並應用於大多數區塊鏈專案中。另一方面,ECDSA簽名方案中,對於簽名並沒有擴充套件性。換句話說,如果2個簽名,必須用各自的公鑰來驗證各自簽名的合法性,沒有方法能一次性驗證兩個簽名是否都正確。更精確地說,例如Alice擁有私鑰sk,她對於訊息摘要z 所作出的簽名σ,只有私鑰sk對應的公鑰pk才能驗證透過。並且如果Bob擁有私鑰sk',sk'對應的公鑰是pk',他對於同樣的訊息摘要z 所作出的簽名是σ',除非單獨驗證σ在pk合法並且σ'在pk'合法,沒有一種演算法層面的方法能得到一個Alice和Bob共同的簽名σs,並且這個簽名可以驗證它是由Alice和Bob共同參與併產生的,而這在比特幣的多重簽名環境中有強烈的需求。這種方式可以大幅度降低多籤的儲存資源和計算資源。三、Schnorr簽名的平凡方案Schnorr簽名可以解決上面所提出的多籤消耗資源的問題。Schnorr是由Claus-Peter Schnorr在1989年美密會上提出的數字簽名演算法,並申請了專利保護。就簽名演算法本身而言,它相對於ECDSA演算法具有,可證明安全性、可擴充套件性的特點。主要演算法實現如下: 初始化: G:橢圓曲線基點,橢圓曲線算術群 金鑰產生: 使用者私鑰:x 公鑰:X=xG 簽名: 2.1 選擇隨機數r 2.2 計算R=rG 2.3 計算s=r+H(X,R,m)x 2.4 輸出簽名(R,s) 驗籤: 驗證sG==R+H(X,R,m)X可以看出Schnorr簽名也基於橢圓曲線算術,目前廣泛部署於各大程式碼庫、晶片指令中的底層算術模組依然可以有效利用,但是需要將再重新從底層介面封裝指令來實現Schnorr演算法。這點對於軟體錢包升級比較便利。但是對於硬體錢包,升級成本可能較高。四、Schnorr簽名方案的線性性質假設Alice和Bob分別對於訊息m進行簽名。具體地,假設Alice的公私鑰對為(x1,X1=x1G),Bob的公私鑰對為(x2,X2=x2G),以上Alice和Bob分別透過各自的私鑰同時對於相同的訊息摘要h計算簽名,得 到σ1和σ2並公佈,其他驗證人在獲得這兩個簽名之後,結合Alice和Bob各自的公鑰X1和X2,令X=X1+X2, σ=(R1+R2,s1+s2),那麼用"公鑰和"X來可以來驗證"簽名和"σ的合法性。這裡發現,簽名的結構是具有線性性質的。並且根本無法區分σ是透過求和的方式還是原始簽名的方式作出的。這一性質可以用來作數字資產的多籤方案來替代現在基於指令碼的多籤協議。
以上的方案只是為了展示Schnorr簽名的線性性,並不能直接用於實際應用,因為這個方案可能會導致Rouge key Attack。
五、基於Schnorr簽名的多籤方案
5.1多籤方案
以n-of-m多籤方案為例。
1、假設有m個參與者,其中每個參與者Ui擁有公私鑰對(xi,Xi=xiG)。
2、對於所有的m個參與者,令
3、對於n個參與多籤的簽名人,不妨設前n個為簽名人。每個簽名人Uj,Rj=rjG,rj是Uj選擇的隨機數,Uj與其他簽名人共享Rj。再令
4、每個簽名人Uj計算,其中m是交易資料。
5、再令
(R,s)是一n-of-m多籤簽名。可以在公鑰
(注意是n個簽名者的"公鑰和")下可驗籤透過。
5.2 錢包服務架構
錢包分為伺服器端(S端)和客戶端(C端),C端將有多個邏輯點,對應多個使用者。
C端:
1、m個參與者各自建立公私鑰對
2、m個參與者將各自公鑰傳送給S端
3、n個簽名人各自選擇隨機數rj,並計算Rj=rjG,將Rj傳送給S端
4、n個簽名人各自計算sj=rj+H(X,R,m)H(L,Xj)xj併傳送給伺服器
S端:
1、收集m個參與者的公鑰,並計算
並將L和X廣播傳送給m個參與者。X是"公鑰和",可作為多籤地址;
2、收集n個簽名人的Rj,並計算
將R廣播傳送給n個簽名人;
3、收集n個簽名人的sj,並計算
將(R,s)編碼在原始交易資料中,並廣播到主網。
這裡的S端和C端只是邏輯上的,可以在一個物理裝置上既有S端也有C端,也可能是多個物理裝置上的。
六、結論
對於Schnorr的線性性質以及簽名可累積性質,使得在比特幣多籤交易的執 行中,不需 要過多的使用者簽名資料,只需要"簽名和"與"公鑰和"即可驗證交易合法性。這會讓比特幣的多籤交易大小大幅降低,從而區塊能容納的多籤交易數量得到較大提高。以2-3多籤為例,目前比特幣多籤的鎖定指令碼需要3個公鑰地址,這部分會被壓縮為指令碼,所以升級之後大小無變化,但是解鎖指令碼需要2個公鑰與2個簽名,在升級為Schnorr之後,只需要一個"公鑰和"與"簽名和"。對於更通用的n-m多籤,目前比特幣多籤的解鎖指令碼需要n個公鑰與n個簽名,Schnorr簽名依然只需要一個"公鑰和"與一個"簽名和"。也就是說簽名人越多,Schnorr簽名的空間利用率越高。
數字資產的儲存是DAEX生態的重要環節,為了及時響應比特幣的這次重要的底層升級,DAEX正在積極研發和升級自己的軟硬體錢包,會在比特幣主網上線Schnorr簽名的第一時間支援Schnorr多籤。如果Schnorr簽名在比特幣上的創新獲得成功,我們可以想象將會有更多的數字資產支援Schnorr多籤,我們會在積極地支援使用者運用Schnorr多籤來保護自己的數字資產。
