Совокупные подписи не новы. Они были рядом с начала 2000 -х годов. Но построение той, которая на самом деле работает в модели безопасности Биткойна, с эллиптической кривой Биткойна, никогда не было доказано. Разработчики предположили, что это может быть возможно. Они поделились ручными набросками и сказали: «Может быть, это будет работать как Musig2, но по всему входы транзакций». Идея годами задержалась как Разработчик фольклорблизко, никогда не подтверждено.
Это изменилось в последнее время, когда Джонас Ник и Тим Руффинг из Blockstream Research вместе с Янником Саурином из Леджера опубликовали статью, которая превратила эту криптографическую историю о призраке в конкретный, докащенный результат. Далиас первая формальная, безопасная конструкция Схема полной агрегатной подписи полного размера (CISA) Это работает на родной кривой Биткойн!
Но это много слов, так что давайте разберем это:
- Полная агрегация: Несколько подписей по разным входам объединяются в один — и результатом является подпись 64 байта, размер которого остается постоянным, независимо от того, сколько подписчиков или входов.
- Перекрестный вход: Каждый подписчик может разрешить различные входы, и все объединяются в одну подпись.
Это не добавляет никаких существенных новых предположений, помимо тех, на которые уже опираются биткойны. Dahlias строит новый криптографический примитив, используя тот же математический биткойн, на который уже полагается, открывая совершенно новый вид подписи.
Поговорим о кривых и подписях
Цифровые подписи — это то, как Биткойн доказывает, что пользователь разрешил транзакцию. Когда вы собираетесь тратить биткойн, ваш кошелек использует закрытый ключ, чтобы подписать сообщение, и сеть проверяет эту подпись, используя соответствующий открытый ключ.
Биткойн использует SECP256K1 изгиб. Это быстро, эффективно и с течением времени проверяется в бою. Он поддерживает фирменные схемы, такие как ECDSA (Оригинальный алгоритм подписи биткойна) и Schnorr (добавлено через Taproot в 2021 году), которые в настоящее время являются единственными схемами подписи, разрешенных консенсусом биткойнов.
Традиционно полная подпись агрегация опиралась на математические операции, не поддерживаемую кривой Биткойна, SECP256K1, что заставило его казаться недоступной. Эти функции обычно основывались на других типах эллиптических кривых. Например, сигнатуры BLS (Boneh-Lynn-Shacham) используют особый вид кривой, называемую подходящей кривой, которая позволяет передовые операции, такие как объединение многих подписей, даже в разных сообщениях, в один.
Проблема в том, что подписи BLS не работают на SECP256K1. В то время как Schnorr был естественным обновлением ECDSA, поскольку оба полагались на одну и ту же тип эллиптической кривой, добавление BLS будет гораздо большим скачком и отходом от существующей модели безопасности Биткойн. Несмотря на то, что он технически возможен, он внесет новые криптографические предположения и добавит значительную сложность протоколу. Поддержка кривой, которая подходит для сочетания, как BLS12-381будет Основное изменение биткойновПолем
Это часть того, почему полная подпись агрегация никогда не была сделана на SECP256K1.
До настоящего времени.
Что на самом деле делают совокупные подписи
Большинство пользователей биткойнов знакомы с мультизадными значениями. В Multisig Кошелек, несколько человек совместно разрешают расходы на одну UTXO или какую -то конкретную «монету». Все подписывают одни и те же входные данные. Эта настройка полезна для таких вещей, как общие кошельки.
Совокупные подписи работать по -другому. Вместо того, чтобы несколько человек подписали один и тот же ввод или монета, каждый подписчик разрешает различный UTXO в транзакции. Эти отдельные подписи затем сжимаются в одно компактное доказательство. С географией это означает Одиночная 64-байтовая подпись на кривой Bitcoin SECP256K1, которая проверяет все входы одновременно.
Это означает, что если у вас есть пять входов от пяти разных людей, транзакция нуждается в пять различных подписей. С совокупной подписью все они могут быть объединены в одну. Даже если каждый подписчик тратит другой вход и подписывает другую часть транзакции, результатом является одна подпись, которая доказывает, что вся транзакция была должным образом разрешена.
Это похоже на то, чтобы заселить целый список разрешений в один файл. Подпись компактная, но все же, достоверно доказывает, что каждый подписал свой конкретный UTXO.
Вместо того, чтобы проверять 10 отдельных подписей, вы проверяете одну.
Это помогает перестроить стимулы для конфиденциальности. Снив подписи накладных расходов до одного 64-байтового доказательства, Dahlias понижает стоимость объединения входов в Coinjoins, делать финансово более умным выбирать конфиденциальность, чем уйти без нееПолем
Почему полуагрегация приблизилась
Вскоре после того, как подписи Schnorr были введены на биткойнах, разработчики исследовали полуагрегациякак способ сжатия нескольких подписей, но они не были фиксированным размером. Каждый вход способствует размеру подписи, поэтому транзакция все еще растет с каждым участником. Dahlias исправляет это, включив полная агрегация через входные данные и подписчики. Независимо от того, сколько людей вовлечены или что они подписывают, все их подписи сжимают в одном 64-байтовом доказательстве.
Что на самом деле разблокирует георгин
Основное преимущество здесь заключается в том, что геолды уменьшают размер сложных транзакций.
Dahlias использует интерактивный процесс подписания с двумя раундами. В этом отношении он похож на Musig2, но это не протокол с мультизагенностью, потому что он не требует от всех участников совместно подписать одно и то же сообщение. Вместо этого он агрегирует различные подписи в разных сообщениях через транзакцию.
Dahlias также быстрее проверяет, чем проверять каждую подпись индивидуально, в некоторых случаях в два раза быстрее. Более низкие затраты на проверку облегчают большему количеству людей запускать полные узлы, что помогает сохранить децентрализацию Биткойна с течением времени.
Важно отметить, что Dahlias поставляется с сильными криптографическими гарантиями. Схема включает в себя формальные доказательства безопасности. Ранее «фольклорные» подходы к полной агрегации подписи не имели этого, а некоторые даже позже показали, что они небезопасны. К счастью, они не были приняты преждевременно.
Стоит повторить: Dahlias не является многосигским протоколом. Он не сопоставимо с Musig2 или Frost с функциональной точки зрения, даже если он имеет аналогичные криптографические строительные блоки. Это служит другой цели. Он предлагает новый способ кодировать многие независимые разрешения в один чистый, проверенный пакет.
Будущие направления
Вы можете подумать: если Далиас такой силен, почему это не бип? Почему бы не предложить это для биткойнского консенсуса?
Подписания Dahlias не похожи на подписи Schnorr или Ecdsa. Алгоритм проверки отличается. Вместо того, чтобы взять один открытый ключ, сообщение и подпись, подтверждает проверку Dahlias списки общедоступных ключей и сообщений и единого 64-байтового доказательства.
Это делает Dahlias несовместимым с текущими согласованными правилами Биткойна. Поддержка его на базовом слое потребует консенсусного изменения. Эта статья не предлагает это изменение, но она делает что -то одинаково важно.
Эта статья показывает, что возможна полная схема агрегации подписи для нативной кривой Биткойна.
Одно это важный шаг вперед.
Чтобы сделать Dahlias частью биткойнов, кому -то нужно будет написать предложение по улучшению биткойнов (BIP), возможно, даже использование SECP256K1LAB. Это означает подробно определение схемы, учитывая ее последствия для консенсуса и реализации, а также поддержку сообщества. Эта статья закладывает криптографическую основу для этого разговора.
Реальная ценность бумаги Далиаса — это то, что доказывает. Полная подпись агрегация на SECP256K1 — не просто мыслительный эксперимент. Это бетон. Это эффективно. Это безопасно. В течение многих лет идея жила в фольклоре для разработчиков. Теперь он записан, проанализирован и проверен. Все, что осталось, — это доставить его в Биткойн — если мы хотим этого.
Это гостевой пост Киары Бикерс. Выраженные мнения полностью их собственные и не обязательно отражают мнения BTC Inc или Bitcoin Magazine.
Этот пост не ECDSA. Не Schnorr. Познакомьтесь с географией. Впервые появился в журнале Bitcoin и написан Киарой Бикерс.
