当前,比特币和其他区块链普遍采用的是ECDSA签名验证算法。这显然是中本聪在2008年根据当时的环境所做出的技术决定。然而,ECDSA签名存在一些严重的技术限制。特别是,多重签名和门限签名很难与ECDSA一起生成。

ECDSA签名具有复杂的代数结构,使其不灵活且难以使用,迫使开发人员在跨链原子交换或闪电网络等应用中使用比特币脚本,而这可通过更灵活的签名方案,更紧凑、更私密地实现这些应用。在2018年,区块链协议公司Blockstream的密码学家Gregory Maxwell、Pieter Wuille等人提出了一种名为MuSig的Schnorr签名方案,理论上可替代当前比特币的ECDSA签名算法,这种多重签名方案提供了可证明的安全性,甚至可防止恶意签名者的合谋子集,并生成与普通单签名者Schnorr签名不可区分的签名(提高隐私性)。而假设比特币启用这一签名方案,将使得闪电网络可在无脚本脚本(less )中应用。

MuSig签名方案的优势

  • 无论签名者设置如何,验证者都会看到相同的短的、常量大小的签名。在区块链系统中,验证效率是最重要的考虑因素,用签名者细节来给验证者增加负担,是不合理的,除非是安全需要,否则是无必要的。此外,MuSig签名方案能够提高隐私性,因为它们隐藏了确切的签名者策略。
  • 为普通公钥模型提供可证安全性。这意味着签名者可完全灵活地使用普通的密钥对进行多重签名,而不需要提供任何关于这些密钥产生或控制的特定方式的额外信息。有关密钥生成的信息,可能很难在比特币的环境中提供,因为各个签名者具有不同的和限制性的密钥管理策略。此外,对密钥生成细节的依赖性,可能会与Taproot(一种提议的比特币扩展方案)产生不良的交互作用,其中公共签名密钥可能会有额外的隐形语义。

一致随机性

对于单个签名,实现统一随机nonce的标准方法很简单:取一些机密数据和要签名的消息,通过加密哈希函数传递这些数据,得到一个统一随机值,该值对于每个要签名的消息而言都是独立的。

然而,有了多重签名,这个简单而健壮的解决方案就成了一种负担。恶意签名者可能会在同一条消息上请求两个多重签名,从而在第二次迭代中调整自己对签名的贡献。如果第一个签名者通过在消息旁边哈希一个秘密来选择他的nonce,那么他最终将在两个非常不同的签名中使用相同的nonce(本质上是导致PS3被黑客攻击的相同失败模式。)不幸的是,与单个签名者的情况不同,没有简单的解决方案,因为单个签名者必须在知道要生成的签名的所有细节之前选择它们的nonce。

解决这个问题的一个传统方法,是使用硬件随机数生成器,这种方法在散列法( hashing)流行之前就已被使用了。不幸的是,这类方案都是昂贵的,会受到环境偏见或其他外部影响,最重要的是,我们没有办法验证它们是否正确运行。

重放攻击

即使有一个可靠的随机性来源,仍有可能从多重签名的参与者那里提取私钥(如果在整个过程中,可能从一个点重放签名协议的话),这种类型的攻击被称为“重放攻击”,可针对在可重启的虚拟机内运行的签名者,以及支持间断签名及从可序列化状态恢复的虚拟机发动攻击。它甚至可能在没有活动攻击者的情况下意外发生,例如运行从同一状态克隆的两个虚拟机,或者在不同步的分布式数据库上执行代码。

具体来说,如果一个签名者贡献了一个多重签名,并且签名过程在选择了他的nonce之后的某一点,通过重启的方式,则可修改其他签名者对签名的贡献。

这些类型的攻击不会以单个签名出现,因为它们是在一个步骤中生成的,没有中间状态可从中重新启动。这些额外的挑战,对于多轮加密协议来说是独一无二的。

结论

所有上述讨论都隐含着这样一个观点:即相比单方协议,多方协议会面临新的、实质上更困难的挑战。就数学复杂性而言,MuSig要比Bulletproofs(防弹证明)要简单得多。但在实现复杂性方面,MuSig已经付出了更多的努力,并且需要在抗脆性和API灵活性之间进行更多的权衡。

这篇文章只描述了多重签名部分,在未来的文章中,开发者还将描述门限签名,这是一个相关的概念,其中n个签名者的任何子集,只要数量足够,就能够生成签名,而不需要整个签名组的贡献。

在以后的文章中,我们还将讨论一些使非随机性更安全和更可验证的技术。特别是,通过使用一种称为签订合约(sign-to-contract)的技术,主机可以从不可信的硬件钱包的随机数生成器中消除任何偏差的可能性。

更进一步的是,通过利用零知识证明的能力,应该可消除偏随机性(biased randomness)和重放攻击所带来的风险,消除对持久内存的需求,并将MuSig协议从3轮通信减少到2轮。

说点什么
支持Markdown语法
好耶,沙发还空着ヾ(≧▽≦*)o
Loading...