HASH:一文讀懂Schnorr簽名如何提升比特幣_VikingsChain

原文標題：《干貨|Schnorr簽名如何提升比特幣》，作者Stepan

在閱讀Blockstream撰寫的?MuSig?論文時，我一直在想象，這對于我一個比特幣用戶來說，到底意味著什么。我發現Schnorr簽名的一些特性實在是非常棒而且便利，但某一些特性則非常煩人。在這篇文章里，我希望能跟各位分享我的想法。不過，我們先快速回顧一下。

橢圓曲線簽名算法

當前比特幣的所有權體系用的是?ECDSA。在簽名一條消息?m?時，我們先哈希這條消息，得出一個哈希值，即?z=hash(m)?。我們也需要一個隨機數k?。在這里，我們不希望信任隨機數生成器，所以我們通常使用?RFC6979，基于我們所知的一個秘密值和我們要簽名的消息，計算出一個確定性的k。

使用私鑰?pk?，我們可以為消息?m?生成一個簽名，簽名由兩個數組成：r和?s=(zr*pk)/k。

然后，使用我們的公鑰?P=pk*G?，任何人都可以驗證我們的簽名，也就是檢查?(z/s)×G(r/s)×P?的x坐標確為?r。

-ECDSA算法圖解。為便于說明，橢圓曲線作在實數域上-

這種算法是很常見的，也非常好用。但還有提升空間。首先，簽名的驗證包含除法和兩次點乘法，而這些操作的計算量都非常大。在比特幣網絡中，每個節點都要驗證每一筆交易，所以當你在網絡中發出一筆交易時，全網幾千個節點都要驗證你的簽名。因此，即使簽名的過程開銷變得更大，讓驗證簽名變得更簡單也還是非常有好處的。

數據：49,969,212枚USDC從Justin Sun錢包轉移到未知錢包:金色財經報道，據Whale Alert數據顯示，49,969,212枚USDC從Justin Sun錢包轉移到未知錢包。[2022/12/27 22:09:25]

其次，節點在驗證簽名時，每個簽名都要單獨驗證。在一個m-n的多簽交易中，節點必須多次驗證同一個簽名。比如一筆7-11的多簽名交易，里面包含了7個簽名，網絡中的每個節點都要分別驗證7個簽名。另外，這種交易的體積也非常大，用戶必須為此付出多得多的手續費。

Schnorr簽名

Schnorr簽名的生成方式有些許不同。它不是兩個標量?(r,s)，而是一個點?R?和一個標量?s?。類似于ECDSA簽名，R是一個橢圓曲線上的隨機點?R=k*G。而簽名的第二部分s的計算過程也有一些不同：?s=khash(P,R,m)?pk?。這里pk就是你的私鑰，而?P=pk*G?是你的公鑰，m就是那條消息。驗證過程是檢查?s*G=Rhash(P,R,m)*P。

-圖解Schnorr簽名和驗證-

這個等式是線性的，所以多個等式可以相加相減而等號仍然成立。這給我們帶來了Schnorr簽名的多種良好特性。

1.批量驗證

在驗證區塊鏈上的一個區塊時，我們需要驗證區塊中所有交易的簽名都是有效的。如果其中一個是無效的，無論是哪一個——我們都必須拒絕掉整個區塊。

日本提議放寬加密資產的公司稅規定，不再對其持有的加密貨幣的賬面收益納稅:8月31日消息，日本金融監管機構提議放寬加密資產的公司稅規定，并對個股投資者征收更寬松的稅，以支持首相岸田文雄重振經濟的努力。其中金融監管機構日本金融廳（FSA）周三宣布，監管機構在其年度稅法變更請求中提議，企業在發行加密貨幣后，應免除對其持有的加密貨幣的賬面收益進行納稅，此外還呼吁推動一項為個人投資者提供稅收減免的計劃。

對于零售投資者，FSA希望通過提高其投資限額并使該計劃永久化，以擴大日本個人儲蓄賬戶的減稅舉措。據悉，日本個人儲蓄賬戶可以在一段時間內免除其部分投資收益和股息的資本利得稅。

此前報道，日本將審查如何對企業為籌集資金而發行的加密資產進行征稅，以利于初創企業發展，從而減輕新成立公司的負擔，防止有前景的初創公司遷移至海外。（彭博社）[2022/8/31 12:59:56]

ECDSA的每一個簽名都必須專門驗證，意味著如果一個區塊中包含1000條簽名，那我們就需要計算1000次除法和2000次點乘法，總計約3000次繁重的運算。

但有了Schnorr簽名，我們可以把所有的簽名驗證等式加起來并節省一些計算量。在一個包含1000筆交易的區塊中，我們可以驗證：

(s1s2…s1000)×G=(R1…R1000)(hash(P1,R1,m1)×P1hash(P2,R2,m2)×P2…hash(P1000,R1000,m1000)×P1000)

Boba Network主網將于北京時間7月19日進行升級:金色財經消息，以太坊二層擴容網絡Boba Network宣布將于北京時間7月19日1:00進行v0.0.8版本主網升級，預計升級將持續3小時。[2022/7/18 2:20:48]

這里就是一連串的點加法和1001次點乘法。已經是幾乎3倍的性能提升了——驗證時只需為每個簽名付出一次重運算。

-兩個簽名的批量驗證。因為驗證等式是線性可加的，所以只要所有的簽名都是有效的，這幾個等式的和等式也必成立。我們節約了一些運算量，因為標量和點加法比點乘法容易計算得多。-

2.密鑰生成

我們想要安全地保管自己的比特幣，所以我們可能會希望使用至少兩把不同的私鑰來控制比特幣。一個在筆記本電腦或者手機上使用，而另一個放在硬件錢包/冷錢包里面。即使其中一個泄露了，我們還是掌控著自己的比特幣。

當前，實現這種錢包的做法是通過2-2的多簽名腳本。也就是一筆交易需要包含兩個獨立的簽名。

有了Schnorr簽名，我們可以使用一對密鑰(pk1,pk2)，并使用一個共享公鑰?P=P1P2=pk1*Gpk2*G?生成一個共同簽名。在生成簽名時，我們需要在兩個設備上分別生成一個隨機數，并以此生成兩個隨機點?Ri=ki*G，再分別加上?hash(P,R1R2,m)，就可以獲得s1和s2了。最后，把它們都加起來即可獲得簽名?(R,s)=(R1R2,s1s2)，這就是我們的共享簽名，可用共享公鑰來驗證。其他人根本無法看出這是不是一個聚合簽名，它跟一個普通的Schnorr簽名看起來沒有兩樣。

Compound Labs發布多鏈借貸協議Compound III代碼:6月30日消息，Compound背后團隊Compound Labs周二發布了多鏈借貸協議Compound III的代碼。雖然該協議尚未推出，但開發人員可以將代碼集成到現有平臺，并提供改進建議。

Compound III旨在成為一種可治理的協議，在資本和交易費用方面具有低成本優勢。Compound Labs的工程副總裁Jared Flatow在周三的一篇文章中寫道，其中一種方法是納入一項單一的可借入基礎資產，并將所有其他資產作為抵押，以降低風險和提高資本效率。

雖然Compound已經公布了其代碼，但還沒有公布實際協議本身。盡管如此，發布的代碼標志著跨鏈去中心化借貸在以太坊EVM鏈上成為現實的重要一步。

Flatow在帖子中寫道，“開發人員可以開始計劃與Compound III的集成，并審核代碼庫以及提出改進建議。”（The Block）[2022/6/30 1:40:31]

不過，這種做法有三個問題。

第一個問題是UI上的。要發起一筆交易，我們需要在兩個設備上發起多輪交互——為了計算共同的R，為了簽名。在兩把私鑰的情況下，只需訪問一次冷錢包：我們可以在熱錢包里準備好待簽名的交易，選好k1并生成?R1=k1*G，然后把待簽名的交易和這些數據一同傳入冷錢包并簽名。因為已經有了R1，簽名交易在冷錢包中只需一輪就可以完成。從冷錢包中我們得到R2和s2，傳回給熱錢包。熱錢包使用前述的簽名交易，把兩個簽名加總起來即可向外廣播交易了。

幣安澳大利亞CEO：加密行業迫切需要更明確的監管制度:6月14日消息，幣安澳大利亞（Binance Australia）首席執行官Leigh Travers認為，由于幾個原因，加密行業已經領先于傳統的金融監管制度，他認為，新的監管法規應該反映這一點，加密行業希望看到監管有充分的理由。從事加密領域工作的人希望證明他們對自己的要求比人們想象的更高。

Travers表示，加密貨幣行業與傳統金融的不同之處在于，BTC和ETH等加密貨幣不容易被納入任何現有的財產或金融產品分類。加密貨幣目前在澳大利亞被歸類為財產。隨著去中心化程度的提高，加密貨幣和其他資產之間的區別可能會隨著時間的推移而擴大，并補充說加密貨幣適用于不同的產品，這只會增加對其進行負責任監管的難度。（Cointelegraph）[2022/6/14 4:25:34]

這在體驗上跟我們現在能做到的沒有什么區別，而且每當你加多一把私鑰，問題就會變得更加復雜。假設你有一筆財富是用10把私鑰共同控制的，而10把私鑰分別存放在世界各地，這時候你要發送交易，該有多麻煩！在當前的ECDSA算法中，每個設備你都只需要訪問一次，但如果你用上Schnorr的密鑰聚合，則需要兩次，以獲得所有的Ri并簽名。在這種情況下，可能不使用聚合，而使用各私鑰單獨簽名的方式會好一些——這樣就只需要一輪交互。

文章完成后，我得到了ManuDrijvers的反饋：在一個可證明安全性的多簽名方案中，你需要3輪交互：

選擇一個隨機數ki以及相應的隨機點Ri=ki?G，然后告訴每一個設備Ri的哈希值ti=hash(Ri)，然后每個設備都能確保你沒有在知道其他人的隨機數之后改變主意*

收集所有的數字Ri并計算公共的R

簽名

第二個問題是已知的Rogue密鑰攻擊。這篇論文講解得非常好，所以我就不贅述了。大概意思是如果你的其中一個設備被黑，并假裝自己的公鑰是?，那就可以僅憑私鑰pk1便控制兩個私鑰共享的資金。一個簡單的解決方案是，在設置設備時，要求使用私鑰對相應的公鑰簽名。

還有第三個重大問題。你沒法使用確定性的k來簽名。如果你使用了確定性的k，則只需一種簡單的攻擊，黑客即可獲得你的私鑰。攻擊如下：某個黑客黑入你的筆記本電腦，完全控制了其中一把私鑰。我們感覺資金仍是安全的，因為使用我們的比特幣需要pk1和pk2的聚合簽名。所以我們像往常一樣發起交易，準備好一筆待簽名的交易和R1，發送給我們的硬件錢包，硬件錢包簽名后將發回給熱錢包……然后，熱錢包出錯了，沒法完成簽名和廣播。于是我們再試一次，但這一次被黑的電腦用了另一個隨機數——R1'。我們在硬件錢包里簽名了同一筆交易，又將發回給了被黑的電腦。這一次，沒有下文了——我們所有的比特幣都不翼而飛了。

在這次攻擊中，黑客獲得了同一筆交易的兩個有效的簽名：和。這個R2是一樣的，但是?R=R1R2?和?R'=R1'R2?是不同的。這就意味著黑客可以計算出我們的第二個私鑰：s2-s2'=(hash(P,R1R2,m)-hash(P,R1'R2,m))?pk2?或者說?pk2=(s2-s2')/(hash(P,R1R2,m)-hash(P,R1'R2,m))。我發現這就是密鑰聚合最不方便的地方——我們每次都要使用一個好的隨機數生成器，這樣才能安全地聚合。

3.Musig

MuSig?解決了其中一個問題——roguekey攻擊將不能再奏效。這里的目標是把多方/多個設置的簽名和公鑰聚合在一起，但又無需你證明自己具有與這些公鑰相對應的私鑰。

聚合簽名對應著聚合公鑰。但在MuSig中，我們不是把所有聯合簽名者的公鑰直接相加，而是都乘以一些參數，使得聚合公鑰?P=hash(L,P1)×P1…hash(L,Pn)×Pn?。在這里，L=hash(P1,…,Pn)?——這個公共數基于所有的公鑰。L的非線性特性阻止了攻擊者構造特殊的公鑰來發動攻擊。即使攻擊者知道他的?hash(L,Patk)×Patk?應該是什么，他也無法從中推導出Patk來——這就跟你想從公鑰中推導出私鑰是一樣的。

簽名構造的其它過程跟上面介紹的很像。在生成簽名時，每個聯合簽名者都選擇一個隨機數ki并與他人分享?Ri=ki*G。然后他們把所有的隨機點加起來獲得?R=R1…Rn?，然后生成簽名?si=kihash(P,R,m)?hash(L,Pi)?pki?。因此，聚合簽名是?(R,s)=(R1…Rn,s1…sn)?，而驗證簽名的方法與以前一樣：s×G=Rhash(P,R,m)×P?。

4.默克爾樹多簽名

你可能也注意到了，MuSig和密鑰聚合需要*所有簽名者簽名一個交易*。但如果你想做的是2-3的多簽名腳本呢？這時候我們能夠使用簽名聚合嗎，還是不得不使用通常的OP_CHECKMULTISIG和分別簽名？

先說答案，是可以的，但是協議上將有些許的不同。我們可以開發一個類似于OP_CHECKMULTISIG的操作碼，只不過是檢查聚合簽名是否對應于公鑰默克爾樹上的一個元素。

舉個例子，如果我們想用公鑰P1、P2和P3組成一個2-3的多簽名腳本，我們需要用這幾把公鑰的所有兩兩組合、、來構建一棵默克爾樹，并把默克爾樹根公布在鎖定腳本中。

在花費比特幣時，我們需要提交一個簽名和一個證據，證明這個簽名所對應的公鑰位于由這個樹根標記的默克爾樹上。對于2-3多簽名合約來說，樹上只有3個元素，證據只需2條哈希值——那個我們想用的公鑰組合的哈希值，還有一個鄰居的。對于7-11多簽名腳本來說，公鑰組合有11!/7!/4!=330種，證據需要8條哈希值。通常來說，證據所包含的元素數量與多簽名的密鑰數量大體成正比，為?log2(n!/m!/(n-m))?。

但有了默克爾公鑰樹，我們就不必局限于m-n多簽名腳本了。我們可以做一棵使用任意公鑰組合的樹。舉個例子，如果我們有一個筆記本電腦，一個手機，一個硬件錢包和一個助記詞，我們可以構建一棵默克爾樹，允許我們使用筆記本電腦硬件錢包、手機硬件錢包或者單獨的助記詞來使用比特幣。這是當前的OP_CHECKMULTISIG做不到的——除非你使用“IF-Else”式的流程控制來構造更復雜的腳本。

-聚合公鑰的默克爾樹。不僅僅是多簽名-

結論

Schnorr簽名很棒，它解決了區塊驗證中的一些計算開銷問題，也給了我們密鑰聚合的能力。后者在使用時有些不便利，但我們不是在強迫大家使用它——無論如何，我們都可以仍舊使用普通的多簽名方案，使用單獨的、不聚合的簽名。

我迫不及待想使用Schnorr簽名，希望比特幣協議能盡快納入這種簽名方案。

另外，我也真心喜歡?MuSig，它是個優雅的方案，論文也淺顯易懂。我強烈建議各位有閑之時通讀全文。

Tags：HASHASH比特幣SCHHashmasksATMCASH小比特幣的創始人是誰VikingsChain

幣安app下載