比特幣算法進化為Schnorr簽名算法是進步嗎? | 考仔星選
歷史的車輪滾滾向前,技術的進步從未停歇,一次具有里程碑意義特幣協議的開始了它的技術升級。其協議中的技術升級Schnorr Signature (施諾爾簽名)和Taproot (樹的主根)已集成到Bitcoin Core 0.21.0 版本中。
比特幣的未來似乎面臨從未有過的光明,現在它有機會不僅通過其容量而且通過其功能超越所有其他區塊鏈。
當比特幣ECDSA 橢圓曲線簽名算法時,多重簽名交易驗證過程非常繁瑣,現在可以把一筆交易中的所有簽名和公鑰通通合併成單個簽名和公鑰,無法追溯並且簡單快速會是怎樣?
其實在此之前,中本聰在設計比特幣協議時,需要考慮到簽名算法的簽名長度、是否開源、是否有專利、是否經過足夠長時間的安全驗證、性能等多種條件。當時能滿足上述這些條件的數字簽名算法不止有ECDSA,還有Schnorr Signature 這個從各個方面都不亞於ECDSA 的數字簽名算法。但是由於在2008 年之前處於專利保護的狀態,所以可能是這個原因使得中本聰在設計比特幣協議時並未使用該簽名算法,最終選擇了橢圓曲線數字簽名算法(ECDSA),還在其他專家的建議下選擇了一條特殊的橢圓曲線secp256k1。
時隔10年,2018 年7 月,比特幣開發者Pieter Wuille 撰寫了bip-schnorr提出了將bitcoin 的簽名算法更改為schnorr 方案。 Schnorr 與ECDSA 雖然同為使用secp236k1 曲線的橢圓曲線加密算法,但由於Schnorr Signature 在密碼學特性上的優勢,可以在幾乎同等安全的基礎上,更方便的構建多簽名交易。
Schnorr 使用在比特幣上,相比ECDSA會有一些額外的顯著優勢:
更安全:在隨機預言模型中很容易證明Schnorr 簽名的安全性,而ECDSA 不存在這樣的證明。
無延展性困擾:ECDSA簽名是可延展性的,第三方無需知道私鑰,可以直接修改既有簽名,依然能夠保持該簽名對於此交易是有效的。比特幣一直存在延展性攻擊,直到SegWit激活後才修復,前提是使用segwit交易,而不是傳統交易。 BIP62 和BIP66 對此有詳細描述。
線性:Schnorr簽名算法是線性的!以這一特性作為基礎,可以構建更高效和隱私性更強的區塊鏈系統。使用Schnorr 簽名的各方可以生成對其各自密鑰的簽名聚合。例如,N個公鑰進行簽名,採用ECDSA的話,則有N個簽名,驗證同樣需要做N次。若使用Schnorr,由於線性特性,則可以進行簽名疊加,僅保留最終的疊加簽名。例如同一個交易無論輸入數量多少,其均可疊加為一個簽名,一次驗證即可。
Schnorr簽名算法幾乎在各個層面均優於比特幣現有的簽名算法ECDSA:性能,安全,體積,擴展性等方面等,並且Schnorr Sig可以與ECDSA使用同一個橢圓曲線:secp256k1 curve,升級起來的改動非常小。
Q&A
Q: Schnorr簽名是否可以用在m of n多重簽名上?
A: 當然可以。多重簽名只是m of n的簽名數量的模式。與簽名算法無關。
Q: Schnorr的組簽名特性是否可以做或模擬出m of n式的簽名?
A: 無法做到。組內有N把公鑰,則必須對應有N個簽名,缺一不可。每個人在生成簽名的時候,在哈希函數裡都代入的都是組公鑰P。
Q: 簽名機制的安全性如何衡量?
A: 主要取決於兩個:1. 簽名算法本身2. 橢圓曲線。目前,Schnorr與ECDSA都用的是曲線secp256k1,這個層面一樣。至於簽名算法本身安全性,Schnorr目前有安全證明,安全優於ECDSA。
BCH對Schnorr簽名算法的試行
早在2019年5月16日BCH已經開始進行硬分叉升級。升級的主要內容是Schnorr簽名算法和隔離見證復原,Schnorr簽名升級中最受期待的功能,而隔離見證復原則是一項修復性技術,用來找回被錯發到隔離見證地址的BCH。
開發人員Mark Lundeberg用戶不必生成新地址就可以開始使用Schnorr簽名。本次升級帶給BCH的優勢如下:
1、提高簽名數據的有效性:由於簽名是64字節的數據,與通常的70字節相比,交易可以減少4%的字節,該功能基本上提高了每筆比特幣現金交易所需的簽名數據的有效性(通過Schnorr簽名將使區塊鏈存儲和帶寬減少至少25%,使BCH網絡更快,更加高效)。並且升級後,Schnorr簽名給BCH帶來隱藏普通支付渠道的能力。
2、隱私性的提升:在升級之前很多用戶就會故意使用多個簽名來發送交易來提高隱私,而Schnorr簽名會使所有用戶的簽名看起來和任何其他簽名一樣,這種結構導致了交易隱私性的大幅提升。 Schnorr提供的屬性以及BCH開發人員和基礎設施提供商(如錢包)添加的一些延展程序將進一步增強隱私和可擴展性。
3、對抗垃圾交易攻擊:在過去曾出現一種垃圾交易攻擊,攻擊者希望通過盡可能多的交易空間來使比特幣擁堵,他們的手段之一就是通過頻繁地從多個來源發送交易使這個交易中包括數十個簽名,這些簽名佔據了很多的空間。這是ECDSA簽名留下的隱患。 Schnorr可以規避這類的垃圾交易攻擊。如果每一筆交易只有一個簽名,那麼區塊就能容納更多交易,垃圾交易製造者要想製造攻擊就必鬚髮送更多交易,與更多人進行競爭,因此攻擊成本就會相對更高。簽名所佔空間通常是一筆交易最大的一部分,所以攻擊者不具優勢。
當然我們不能只看到好的一面,全則必缺,極則必反。尤其是量子計算機的發展促使一些有遠見的人盡快找到應對方法,為了應對量子計算機對一些算法的攻擊,在2017年,NIST就開始了後量子密碼學標準化進程,其中由瑞士ABCMint數學算法基金會推動的抗量子簽名方案,後量子加密基金會支持的抗量子算法之一,最短簽名長度的簽名抗量子簽名方案——彩虹簽名Rainbow最被看好。
2017年8月,Jin Liu和數學家Prof. Jintai Ding籌建ABCMint,並註冊在瑞士蘇黎世附近的加密谷。其數字貨幣ABC底層簽名便是彩虹簽名Rainbow,他們願景是在全球支持抗量子計算機破解算法的研究和應用,研究包括在全球支持數學家在算法方面的發現、破解、完善等,應用包括將合適的算法應用在主流數字加密貨幣方面。
膽大不審慎”的做法,背離了”長期安全“的第一要義。
簡單說:去中心化的,本身和多簽名是背離的。
下面簡單科普一下幾種算法:
1 橢圓曲線數字簽名算法(ECDSA)
橢圓曲線數字簽名算法(ECDSA,Elliptic Curve Digital Signature Algorithm)是使用橢圓曲線密碼(ECC)對數字簽名算法(DSA)的模擬。 (橢圓曲線密碼(ECC)由Neal Koblitz和Victor Miller於1985年發明),ECDSA首先由Scott和Vanstone在1992年為了響應NIST對數字簽名標準(DSS)的要求而提出。
比特幣目前使用的是ECDSA 橢圓曲線數字簽名算法,要對消息m 進行簽名,我們需對其進行哈希操作,並將此哈希視為一個數字:z = hash(m)。我們還需要一個隨機或隨機查找的數字k。我們不喜歡信任隨機數生成器(存在太多的故障,很多漏洞與糟糕的RGN 有關),因此,我們通常會使用RFC6979,並根據我們的秘密和我們要簽名的消息,計算確定性K 值。
使用私鑰pk,我們可以為包含兩個數字的消息m 生成簽名:r (隨機點R 的x 坐標= k×G) 和s = (z+r⋅pk)/k。然後,使用我們的公鑰P = pk×G,任何人都可通過檢查點(z/s)×G+(r/s)×P 的x 坐標等於r,來驗證我們的簽名。
簽名驗證包括反轉(1/s)和兩點乘法,這些操作的計算量非常大。在比特幣中,每個節點都必須驗證所有交易。這意味著當你廣播一筆交易時,數千台計算機將不得不驗證你的簽名。而簡化驗證過程將是非常有益的,即使簽名過程會更加困難。
第二,每個節點必須分別驗證每個簽名。如果是m-of-n 多重簽名交易節點,則可能需多次驗證相同的簽名。例如,具有7-of-11 多重簽名輸入的交易將包含7 個簽名,並且需要對網絡中的每個節點進行7-11 次的簽名驗證。同樣,這樣的交易會佔用大量的空間,你必須為此支付大量的費用。
Schnorr 簽名
Schnorr簽名算法是由德國數學家、密碼學家Claus Schnorr提出。並於1990年申請了專利,US Patent 4,995,082,該專利與2008年2月失效。目前該算法可以自由使用。
Schnorr 簽名的生成則略有不同,我們使用了一個點R 和一個標量s 來代替兩個標量(r,s)。與ECDSA 相似的是,R 是橢圓曲線(R=K×G)上的一個隨機點。簽名的第二部分計算略有不同 :
s = k + hash(P,R,m) ⋅ pk. 這裡的pk 是你的私鑰,而P = pk×G 則是你的公鑰,m 是消息。然後可通過檢查s×G = R + hash(P,R,m)×P 來驗證這個簽名。
這個方程是線性的,所以方程可互相加減,並且仍然有效,這就給我們帶來了幾大關於Schnorr 簽名的好處。
3 Schnorr 簽名的批量驗證
要驗證比特幣區塊鏈中的區塊,我們需確保區塊中的所有簽名都有效。
對於ECDSA 簽名算法,每個簽名都必須單獨驗證。也就是說,如果區塊中有1000 個簽名,我們就需要計算1000 次倒置和2000 次點乘運算,總共約3000 次繁重的計算任務。
而通過使用Schnorr 簽名,我們可以將所有簽名驗證方程相加,從而節省一些計算能力。對於有1000 個簽名的區塊而言,我們需驗證:
(s1+s2+…+s1000)×G=(R1+…+R1000)+(hash(P1,R1,m1)×P1+hash(P2,R2,m2)×P2+…+hash(P1000,R1000,m1000)×P1000)
這裡我們有一堆加法(在計算能力上幾乎是免費的)以及1001 次點乘法。我們需要為每個簽名計算大約一次繁重的計算。
4 Schnorr 簽名的密鑰聚合
我們希望讓自己的比特幣保持安全,所以我們可能希望使用至少2 個不同的私鑰來控制我們的比特幣。比如說一個放在筆記本電腦或手機,另一個則放在硬件錢包/ 冷錢包。因此,當其中一個受到威脅時,我們仍然可以控制我們的比特幣。
目前,它是通過2-of-2 多重簽名腳本來實現的,這需要在交易中包含兩個單獨的簽名。而使用schnorr 簽名,我們可以使用一對私鑰(pk1,pk2),並生成一個與共享公鑰P=P1+P2=pk1×G+pk2×G 對應的共享簽名。要生成這個簽名,我們需要在每個設備上選擇一個隨機數(k1,k2),生成一個隨機點Ri=ki×G,將它們相加以計算一個公共哈希(P,R1+R2,m) ,然後從每個設備(si = ki + hash(P,R,m) ⋅ pki) 中獲取s1 和s2。然後我們可以將這些簽名相加,並使用一對(R, s) = (R1+R2, s1+s2) 作為我們對共享公鑰p 的簽名。其他所有人都無法說出它是否是聚合簽名,它看起來與普通schnorr 簽名完全相同。
這種構造有3 個問題,第一,從用戶界面的角度來看,要進行交易,我們需要進行幾輪通信,計算公共R,然後-簽名。有了兩個私鑰,只需一次訪問冷錢包就可以完成:我們在在線錢包上準備一個未簽名的交易,選擇k1,將R1=K1×G 與未簽名的交易一起記下。然後我們將這些數據傳送到冷錢包並簽名。因為我們已經有了R1,所以我們可以一次性在冷錢包上簽署交易。從冷錢包中,我們得到了R2 和s2,並將其傳輸回在線錢包。在線錢包使用之前選擇的(k1, R1) 簽署交易,結合簽名並廣播簽名交易。這與我們現在的情況非常相似,但一旦添加第三個私鑰,一切就會變得更加複雜。比方說,你有一筆財富,它是由10 個私鑰控制的,它們存儲在世界各地不同的安全位置,然後,你需要進行一筆交易。目前,你只需要瀏覽所有這些位置一次,但如果你使用的是密鑰聚合,則需要執行兩次,以組裝所有RI,然後簽名。在這種情況下,最好在不進行聚合的情況下保留單獨的簽名,然後我們就需要3 輪通信:
選擇一個隨機數ki 和相應的Ri=ki×G,然後只告訴每個人其哈希ti=hash(Ri),這樣每個人都可以確定在學習了其他隨機數之後你不會改變主意;
把所有的數字彙總起來,計算出共同的R;
簽名;
第二個問題是已知的惡意密鑰攻擊。無論是在論文還是這篇文章中,都有很好的描述,所以我不想詳細討論。其想法是,如果你的某個設備被黑客攻擊(比如說,你的在線錢包),並假裝其公鑰是(p1-p2),那麼它可以用它的私鑰pk1 控制共享資金。一個簡單的解決方案是,在設置設備時,需要使用相應的私鑰對公鑰進行簽名。
還有第三個重要問題。不能使用確定性k 進行簽名。有一種簡單的攻擊方式,如果你使用確定性K,它允許黑客獲得我們的私鑰。攻擊看起來會是這樣的:有人入侵了我們的筆記本電腦,並完全控制了兩個私鑰中的一個(例如pk1)。我們可能覺得是安全的,因為我們的比特幣需要來自pk1 和pk2 的聚合簽名。因此,我們嘗試像往常一樣進行交易,準備一個未簽名的交易和R1 值,將它們轉移到我們的硬件錢包並在那裡簽名。然後返回(r2,s2) 和……我們的在線錢包發生了一些事情,它無法簽名和廣播。我們再次嘗試,但我們被黑的電腦這次使用了另一個隨機值R1'。我們再次與我們的硬件錢包簽署相同的交易,並將值(r2,s2) 帶回我們被黑的電腦。然後,糟糕的事就發生了,我們的比特幣就丟失了。
在這個攻擊中,黑客為同一筆交易獲得一對有效的簽名:(R1, s1, R2, s2) 和(R1', s1', R2, s2'),這裡R2 是相同的,但R = R1 +R2 和R'=R1'+R2 是不同的,這意味著黑客可以計算我們的第二個私鑰:s2-s2'=(hash(P,R1+R2,m)-hash(P,R1 '+R2,m))⋅pk2 and pk2=(s2-s2')/(hash(P,R1+R2,m)-hash(P,R1'+R2,m))。我發現這是密鑰聚合最不方便的特性:我們需要在任何地方使用好的隨機數生成器來使用密鑰聚合。
