Schnorr簽名與比特幣隱私的必然性

數字簽名是線上主權的支柱。公鑰密碼學在1976年的出現，為建立全球通訊媒介、網際網路以及全新的貨幣形式比特幣鋪平了道路。雖然從那時起公鑰加密的基本屬性並沒有太大變化，但現在密碼學家的工具箱中有許多開源數字簽名方案。在中本聰開始構思比特幣時，要考慮的關鍵設計選擇之一，就是在這個開放的、無許可的金融系統中使用哪種簽名方案。要求很明確；中本聰需要一種使用廣泛、易於理解、足夠安全、輕量級，最重要的是開源的演算法。在當時可用的所有選項中，他選擇了最符合該標準的選項：橢圓曲線數字簽名演算法（ECDSA）。當時，ECDSA由OpenSSL本地支援，OpenSSL是由一群賽博朋克老手開發的一組開源加密工具，用於改善線上通訊的隱私性。相對於其他流行的方案，ECDSA的好處是具有更精簡的計算要求和更短的金鑰長度；這些都是數字形式的貨幣的有用屬性。同時，它還提供了與RSA等方案相當的安全性：例如，256位ECDSA金鑰與3072位RSA金鑰具有相同的安全性，但其大小隻是後者的一小部分。Pieter Wuille和其他人在一條被稱為secp256k1的改進曲線（如橢圓曲線）上的努力使得比特幣的ECDSA更快、更有效。然而，ECDSA仍然存在固有的缺陷，人們始終有理由去取代它。經過幾年的研究和實驗，出現了一種旨在提高比特幣交易隱私性和效率的新簽名方案：Schnorr數字簽名方案。在本文中，我概述了Schnorr簽名的多種實現及其相應的好處。然後，我探索了MuSig，這是一種新的多重簽名標準，可作為Taproot等新型比特幣技術的構建模組。最後，我描述了Schnorr的完全實現版本將如何打破區塊鏈分析中使用的試探，同時幫助在比特幣的主層（main layer）建立一個強大的費用市場。SCHNORR簽名的興起

儘管Schnorr數字簽名方案比ECDSA具有許多優勢，但它肯定不是新的。它由德國密碼學家和學者Claus-Peter Schnorr發明，在20世紀80年代，他在法蘭克福大學擔任教授和研究員。他提出的簽名方案是David Chaum、Taher EIgamal、Amos Fiat和Adi Shamir的研究和工作的整合。然而，在釋出之前，Claus Schnorr為他新發明的方案申請了多項專利，多年來，該方案一直禁止其直接使用。十分有趣的是，ECDSA的前身DSA是ElGamal和Schnorr方案的混合體，該方案僅用於規避Claus Schnorr的專利。事實上，在Schnorr的美國專利釋出僅兩個月後，DSA的創始人美國國家標準與技術研究院（NIST）也為其解決方案申請了專利。這裡有一些基本的賽博朋克歷史：在那之後，Claus Schnorr對他的專利採取了防守措施，並直接回應了碼農朋克郵件列表（原始賽博朋克郵件列表的一個分支）裡對他的批評者。他的回答可以在這裡（http://web.archive.org/web/19991205091737/http://privacy.nb.ca/cryptography/archives/coderpunks/new/1998-08/0006.html）和這裡（http://web.archive.org/web/20010829223720/http://www.privacy.nb.ca/cryptography/archives/coderpunks/new/1998-08/0009.html）閱讀。此處（https://csrc.nist.gov/csrc/media/publications/shared/documents/itl-bulletin/cslbul1994-11.txt）還可以找到描述專利問題的內部NIST備忘錄。2008年，在Schnorr簽名方案推出近二十年後，Claus Schnorr的專利已經過期。巧合的是，2008年也正是我們最喜歡的賽博朋克——中本聰——正在實現比特幣的那年。儘管在當時本來可以使用Schnorr簽名，但它們還尚未被標準化或廣泛運用，這可能是中本聰用ECDSA來替代的動機。雖然密碼學家和數學家經常將其描述為極差（atrocious），但ECDSA已經（現在仍然）被廣泛使用，它在當時為比特幣提供了更安全的選擇。比特幣上的SCHNORR十年過去，Schnorr方案在今天不那麼深奧了，像ed25519（https://tools.ietf.org/html/rfc8032）這樣的標準化實現成為一些競爭幣的流行選擇。關於可能在比特幣上實現Schnorr的非正式談話可以追溯到2014年BitcoinTalk上的這個話題（https://bitcointalk.org/index.php?topic=511074.0），但到了Pieter Wuille撰寫Schnorr BIP（https://github.com/sipa/bips/blob/bip-schnorr/bip-schnorr.mediawiki）的時候，經過多年的研究和實驗，這項提案才得以正式化。本BIP草案描述了潛在Schnorr實現的規範和技術細節，該實現將比ECDSA具有以下優勢：· 安全性證明：當使用足夠隨機的雜湊函式（隨機預言模型），並且簽名中使用的橢圓曲線離散對數問題（ECDLP）足夠困難時，Schnorr簽名的安全性很容易證明。ECDSA不存在這樣的證明。

· 不可延展性： ECDSA簽名具有內在的延展性，這可能使第三方在無法訪問私鑰的情況下改變現有的有效簽名並雙花資金。這個問題在BIP62（https://github.com/bitcoin/bips/blob/master/bip-0062.mediawiki）中正式討論過。相比之下，Schnorr簽名可證明是不可延展的。· 線性： Schnorr簽名具有這樣一個明顯特性，即多方可以協作生成對其公鑰總和有效的簽名。這是各種用於提高效率和隱私的更高階構造（如多簽名和其他智慧合約）的構成要素。Schnorr提供的安全性證明及其不可延展性保證與ECDSA相比具有明顯優勢。只有在這兩個好處的基礎上才能證明軟分叉是合理的。然而，Schnorr的線性屬性格外令人興奮。實質上，這使得一筆多重簽名（multisig）交易中的多個簽名者能夠將他們的公鑰組合成一把代表該團體的聚合金鑰；這一屬性被稱為金鑰聚合（key aggregation）。雖然融合金鑰的能力可能聽起來微不足道，但我們不應該低估金鑰聚合的好處。由於ECDSA本身不支援多重簽名，因此它必須透過被稱為Pay-to-ScriptHash（P2SH）的標準化智慧合約（是的，比特幣也有智慧合約）來在比特幣中實現。這使得使用者可以新增被稱為質押權（encumbrances）的支出條件來指定資金的使用，如“只有Alice和Bob雙方都對此訊息簽名的解鎖餘額才能使用。”P2SH的第一個問題是它需要知道參與multisig的所有簽名者的公鑰，這不是一個有效率的系統。聚合這些金鑰將允許更有效率的驗證，因為網路只需要驗證一個金鑰，而不是n個金鑰。這也意味著更少的區塊鏈足跡、更低的交易成本和改良的頻寬。

P2SH的第二個問題是它提供的隱私保證非常少。根據BIP 13的規定，P2SH交易需要使用以3號開頭的不同地址。這使得區塊鏈觀察者不僅能識別網路中的所有P2SH交易，而且還能準確指出多重簽名內的身份：

在上面的例子中，網路將意識到（1）多重簽名交易的存在，（2）它由多少個簽名者組成，以及（3）簽名者是誰。這不利於操作安全性，特別是對於像2FA這樣的用例。這不利於隱私。

另一方面，金鑰聚合允許簽名者保持匿名，並且不會透過洩露解鎖餘額所需的金鑰來損害操作安全性。最重要的是，金鑰聚合使得多重簽名可以與常規交易無法區分：

比特幣中Schnorr的第一次迭代將淘汰當前與ECDSA一起使用的OP_CHECKSIG和OP_CHECKMULTISIG系列操作碼，以支援一個名為OP_CHECKDLS的新類別。我這裡不介紹太多細節，DLS代表的是離散日誌簽名，它允許使用更少的操作碼更有效地驗證簽名。

在2018年初，Gregory Maxwell、Andrew Poelstra、Yannick Seurin和Pieter Wuille就一項名為MuSig的基於Schnorr的新多重簽名方案發表了一份白皮書。自MuSig釋出以來，他們一直在努力將提出的多重簽名方案轉換為可用的程式碼（https://github.com/ElementsProject/secp256k1-zkp/tree/secp256k1-zkp/src/modules/musig）。

在金鑰聚合的背景下，關於MuSig最有趣的事情之一，是在區塊鏈之外建立私人智慧合約的可能性。從本質上講，MuSig使多重簽名參與者能夠將質押權附加到鏈下聚合金鑰，這不需要比特幣的共識規則來知道它。

2018年12月，安東尼·湯斯（Anthony Towns）是第一個為啟用Schnorr 提出半正式提案（https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2018-December/016556.html）的核心開發者，該提案發布在比特幣開發郵件列表中。我預計在接下來的幾個月裡會有更多關於潛在軟分叉的討論。

總結一下：比特幣中MuSig的第一次迭代將原生支援金鑰聚合，這可以立即（1）提高多重簽名的隱私，（2）提高交易驗證的效率，（3）透過消除ECDSA的固有問題來提高安全性，（4）啟用像Taproot這樣的智慧合約解決方案，我計劃之後講一下這一點。

但這只是一個開始。

交叉輸入聚合：隱私的下一步

如上一節所述，金鑰聚合對於花費單個輸入的多重簽名是一個非常有用的功能。由於比特幣交易通常不止一個輸入，因此可以利用Schnorr的未來迭代來建立互動聚合簽名（IAS）方案，其中交易裡的所有輸入與單個簽名同時使用。

再次，簽名者之間的互動完全是在鏈下的，但現在，單個簽名可用於花費一筆交易的所有輸入。每個輸入仍然有自己的公鑰，但可由Schnorr IAS使用：

Greg Maxwell，Pieter Wuille，Anthony Towns等人一直致力於Taproot智慧合約方案的進化，以促進這一功能。他們將此方案稱為廣義Taproot或G'root ，它可以在將來更容易地將金鑰聚合轉換為交叉輸入聚合。

與金鑰聚合一樣，交叉輸入聚合進一步提高了比特幣交易的效率。但是，最重要的是，它可以在比特幣的基礎層上實現強大的隱私保護機制。

交叉輸入聚合最令人興奮的方面之一，是它可以改善比特幣上的CoinJoin交易。提一下背景，CoinJoin是一種隱私保護技術，其中多個傳送者和接收者在單筆交易中組合。目標是使區塊鏈觀察者難以把特定的傳送者和接收者聯絡起來，從而使CoinJoin內的實體能夠聲稱合理的拒絕。

這項技術最初由Greg Maxwell於2013年在BitcoinTalk上提出（https://bitcointalk.org/index.php?topic=279249），此後透過各種服務向使用者提供，包括JoinMarket、SharedCoin、ShufflePuff、DarkWallet和CoinShuffle。CoinJoin的各種變體，例如Wasabi錢包中使用的Chaumian CoinJoin方案，在原始模型之上做了極大的改進。然而，由於匿名愛公司，它仍然依賴足夠多的使用者來混淆他們的餘額。

今天CoinJoin的另一個問題是整個交易型別的可識別性（和潛在的審查）。考慮到今天區塊鏈分析中最常用的試探是密切關注特定輸入以確定兩個或更多地址是否屬於同一實體。例如，如果Alice發給Bob 1.982723 BTC，則區塊鏈觀察者可以跟蹤該特定輸入的小數以繪製交易圖，或者跟蹤歷史細目和UTXO所有權的更改。

為了防止這種情況，CoinJoin實現需要共同的價值面額，CoinJoin中的每個人都傳送相同的金額。例如，Wasabi錢包的使用者在100名參與者的CoinJoin交易中傳送相同的0.1BTC面額。雖然仍難以確定特定發件人和收件人之間的聯絡，但區塊鏈觀察者可以尋找共同面額來識別CoinJoin發生的情況，並建議其客戶審查所涉及的所有實體。

交叉輸入聚合可以為這種情況提供幫助，因為它在協議層引入了額外的混淆機制。從本質上講，交叉輸入聚合可以構建基於Schnorr的CoinJoin交易，其中n個簽名者在外人看來就像是正常的單簽名者交易。這也可能使CoinJoin更容易在流行的錢包中實現，而無需繁重的工程設計，這可能會增加網路的整體匿名性，或使用此技術的使用者數量。

共同面額問題可以透過其他技術進一步解決，例如Pay-to-EndPoint（P2EP），它將中本聰早期的隱私工作（參見P2IP：https://en.bitcoin.it/wiki/IP_transaction）與CoinJoin相結合，傳送者和接收者都為交易提供輸入。這種新技術值得一篇獨立的帖子，但你可以在這裡（https://blockstream.com/2018/08/08/improving-privacy-using-pay-to-endpoint/）、這裡（https://medium.com/@nopara73/pay-to-endpoint-56eb05d3cac6）和這裡（https://bitcoinmagazine.com/articles/blockchain-analysis-about-get-harder-p2ep-enters-testing-phase/）閱讀更多相關資訊。

P2EP是向後相容的，當與Schnorr結合使用時，它可以在比特幣的基礎層中實現足夠的隱私。

一石二鳥

我們可以合理地假設比特幣的大規模使用取決於其隱私保障的強度。與此同時，閃電網路的普及及其自身支援私人支付的潛力，也使得最後的比特幣被挖後對鏈上結算的未來需求產生了不確定性。因此，對隱私的需求和在沒有區塊獎勵的情況下比特幣的長期可持續性可能是今天比特幣最令人擔憂的兩個問題。值得慶幸的是，Schnorr啟用的隱私機制可以同時解決這兩個問題。

我花了數千小時回顧了各種複雜的隱私技術，包括Ring Signatures，Confidential Transactions，Bulletproofs，zkSNARKs，STARKs和MimbleWimble的不同實現。雖然其中一些技術已經足夠成熟，可以在比特幣的基礎層上實現，但它們仍然具有獨特的風險和權衡。正如您可能已經聽說的那樣，比特幣是不喜歡硬分叉的，這使得我們很難想象任何這些技術都可以實現的情況。

人們似乎在反覆擔憂使用同態加密或非互動式零知識證明系統，因為它們阻止了比特幣貨幣基礎的完全可聽性（audibility）。換句話說，當對交易價值進行編碼時，很難核實比特幣的供應上限是否實際上是2100萬 BTC。同樣，當隱藏交易金額時，通脹錯誤和雙重支付變得難以確定。這是一個相當大的權衡，推動在比特幣的基礎層實現最新隱私可能會分裂社羣。

但是，如果比特幣的基礎層獲得足夠的隱私，甚至不需要實施這些技術呢？

Schnorr絕對可以幫到你。如果大多數比特幣交易都是將Schnorr的交叉輸入聚合功能與P2EP結合使用，那麼透過簡單地檢視區塊鏈，幾乎不可能對特定傳送者和接收者進行去模糊處理。比特幣的供應仍然是可審計的，但其交易也將提供更強大的隱私保障。

如果存在對隱私的需求，也可以合理地假設比特幣使用者和企業可能都想要被動地參與CoinJoin交易，並讓他們的錢包在後臺不斷混合他們的餘額。在這種情況下，對隱私的需求直接轉化為鏈上交易費用的增加。與SegWit一樣，使用者最有可能首先支援該技術的採用，但企業必須在某些時候效仿以保持重要性。

隨著時間的推移，採用這些技術將使區塊鏈分析過時，並有效地從比特幣企業所需的 AML/KYC程式中移除，就像實物現金一樣。當您將現金存入您的銀行賬戶時，銀行將不會檢查鈔票上是否有藥物痕跡，並在發現藥物的情況下阻止您的存款。隨著區塊鏈分析的擴散，加上沒有Schnorr的CoinJoin等技術的缺點，沒有理由認為比特幣已經做到這一點。

當在特定地址和UTXO上執行AML/KYC變得無關緊要，並且焦點轉向個人而非餘額時，比特幣企業將完全接受隱私。事實上，我懷疑當這種情況發生時，隱私和可互換性將成為未來比特幣企業價值主張的一個組成部分。

最終，在比特幣的基礎層上採用更強大的隱私機制將進一步增強其使用者的權力，同時，有助於在最後的比特幣被挖後建立一個充滿活力的交易費市場。我的猜測是，這一切都始於Schnorr的啟用，而每個人似乎都參與其中。

本文由幣信研究院原創編譯，原文連結:
https://medium.com/digitalassetresearch/schnorr-signatures-the-inevitability-of-privacy-in-bitcoin-b2f45a1f7287

Schnorr簽名與比特幣隱私的必然性

推荐阅读

近期文章

新手教程

1什麼是區塊鏈？區塊鏈能做什麼？

2區塊鏈是如何運作的？

3區塊鏈和比特幣的關係？

4比特幣有什麼價值？

5如何購買比特幣？