比特币价格·比特币行情
Ctrl+D收藏简单区块链
ads

一文了解比特币新签名方案MuSig2

作者:

时间:2020/12/12 20:18:56

随着比特币的Taproot更新越来越近,社区成员对MuSig多重签名方案产生了相当大的兴趣,MuSig允许一个团体共同管理一些比特币,并创建一个签名来授权支付。由于MuSig创新的密钥聚合特性,这种签名是一种常规的Schnorr签名,一旦Taproot被激活,比特币网络就可以对这种签名进行处理。当用于创建多重签名钱包时,与使用CHECKMULTISIG操作码进行n-of-n多重签名的传统方式相比,MuSig降低了交易费用并增加了隐私性,而传统方法则在区块链上需要n个公钥以及n个ECDSA签名。

在2018年,Blockstream公司发布了MuSig方案的第一个版本,我们将其称为MuSig1,正如我们将在下面讨论的,由于签名者之间需要多轮通信,在实践中部署MuSig1可能很困难。为了改进MuSig1,使得签名过程变得更加容易,Blockstream的研究者联合法国国家网络安全局(ANSSI)的密码学家Yannick Seurin共同设计了名为MuSig2的新方案,而这种方案只需要两轮通信,目前,这篇论文正在接受同行评审。

本文会简单介绍MuSig2和之前版本的MuSig1之间的差异,原文作者是Jonas Nick和 Tim Ruffing。

与基于CHECKMULTISIG的钱包相比,MuSig1最大的缺点在于,它需要签名者之间的交互,更准确地说,创建签名需要三轮通信,而每一轮通信都由来回传递的消息组成。下图显示了两个签名者的交互过程。你可以想象一个签名者使用的是一个桌面钱包,而另一个签名者使用的是Blockstream Green cosigner,或者签名者共享一个他们试图关闭的闪电网络通道。

相比之下,使用CHECKMULTISIG的钱包只需要一轮通信:它们接收一笔交易并返回一个签名。例如,如果使用MuSig1在闪电网络中转发支付,隐私将得到改善,但支付所需的时间明显更长了。随着通信延迟的增加,这个问题就变得更加严重了。而存储在安全保险箱中的MuSig1签名设备,需要其所有者访问两次才能创建签名。

而最新提出的MuSig2多重签名方案,旨在成为MuSig1的继承者,它提供了与MuSig1相同的功能和安全性,但可以消除签名者之间几乎所有的交互。使用MuSig2,签名者只需要进行两轮通信就可以创建签名,而且关键的是,在签名者知道他们想要签名的消息之前,可以对其中一轮进行预处理。一旦有消息需要签名,例如一笔比特币交易,那么其过程与今天基于CHECKMULTISIG的钱包相同:将交易转移给签名者,然后接收一个签名。总的来说,MuSig2保留了MuSig1的简单性和效率,只增加了少量的额外计算。

几周之前,研究者们讨论了MuSig-DN,它是一个使用了零知识证明的两轮通信协议,相比MuSig2而言,它要复杂得多。而MuSig-DN的优点在于它支持确定性nonce,从而避免了在签名会话和轮次之间保持状态的需要(即无状态)。

这就提出了在给定应用中使用哪个方案的问题。上表说明,我们没有理由选择MuSig1,而是应该选择MuSig2。实际上,我们希望大多数应用选择MuSig2而不是MuSig-DN,因为简单性是采用的主要因素。在创建可互操作的实现时,尤其如此,因为所有签名者都必须同意使用相同的协议。此外,对非交互式签名的支持显著提高了可用性。

另一方面,如果签名会话需要存储在持久介质上,那么MuSig-DN方案的无状态属性是有益的。为了演示这种情况下MuSig2的风险,假设我们执行以下一系列事件:

开启一个MuSig2签名会话;

将会话保存到一个硬盘驱动器;

执行硬盘驱动器备份;

完成签名会话;

恢复备份;

再次完成会话;

结果是,我们创建了两个具有相同nonce的签名,其可用来窃取我们的密钥。因此,MuSig2的实现者必须要小心,以确保不会发生上述情况。相比之下,MuSig-DN方案就可以防止这种攻击。

构造一个简单的只需要两轮通信的Schnorr多重签名方案,并且在并发会话(即,如果某个签名者同时参与多个签名会话)下仍然是安全的,这是一个尚未解决的研究问题。所有以前的尝试(包括早期版本的MuSig1论文)都会受到Drijvers等人发现的一种巧妙的攻击。在这种情况下,攻击者与受害者签名者打开许多会话,并能够获得受害者不打算签名消息的签名。

让我们快速看看,是什么让MuSig2在并发会话下变得安全。其中,在MuSig1中,每个签名者i创建一个nonce,而在MuSig2中,每个签名者创建两个nonce R_i,1和R_i,2,在第一轮通信时将它们发送给其他签名者,并有效地使用这些nonce的随机线性组合R_i = R_i,1 + b*R_i,2,代替之前单独的nonce R_i。而系数b是应用于所有签名者nonce、聚合公钥和消息的哈希函数的输出。在MuSig1中,聚合的nonce是R = R_1 + … + R_n。如果任何签名者更改了他们的任何nonce,则其他每个签名者都将使用他们两个nonce的不同的随机线性组合。这可以防止已被发现的针对其他两轮多签名方案的攻击。所有细节你可以在MuSig2论文中找到。

目前blockstream希望用MuSig2取代secp256k1zkp库中的MuSig1实现,它将更为简单,更重要的是,它更易于使用。根据开发者的说法,使用工具箱中的MuSig2,一些协议将从中受益,例如“无脚本脚本闪电网络”以及门限签名。如果比特币社区选择采用Taproot软分叉,则MuSig2会适用于Blockstream的一系列产品,比如Blockstream Green和c-lightning,它也适用于Liquid 锚定机制。

原文链接:https://medium.com/blockstream/musig2-simple-two-round-schnorr-multisignatures-bf9582e99295

风投公司Drenner Goren Holm推出2500万美元区块链投资基金:区块链风投公司Draper Goren Holm周二宣布成立风险投资基金“ Fund 1”,规模为2500万美元。该基金旨在为有前景的金融科技和区块链初创公司提供种子和A轮融资。Draper Goren Holm计划在未来几个月内专注于欧洲业务扩张。 \n据报道,“ Fund 1”基金将立即开始投资。Draper Goren Holm联合创始人Josef Holm在谈到该公司的扩张目标时说:“欧洲正在成为金融科技的主要中心,更具体地说,是区块链创新中心。”(Beincrypto)[2020/10/6]

当前BTC全网合约持仓总量为20.13亿美元 24小时增加3400万美元:据合约帝持仓报告显示,截止18:00,当前全网合约持仓总量为20.13亿美元,24小时增加3400万美元。其中,Huobi合约5.01亿美元,24小时增加0.99%;OKEx合约6.2亿美元,24小时增加0.39%;BitMEX合约5.98亿美元,24小时增加4.63%;Binance合约2.93亿美元,24小时减少0.39%。[2020/6/8]

美统计局发言人称5月非农数据存在误差 真实失业率约16.4%:此前美国劳工部公布的数据显示,美国5月非农就业人口增加250.9万人,大幅好于预期的减少800万人,失业率从4月的14.7%下降到13.3%。不久之后,美国劳工部劳工统计局(BLS)发布了一个声明解释新冠肺炎疫情对5月非农数据的影响,同时承认数据存在误差。BLS发言人斯特恩伯格根据BLS当天公布的声明称如果将那些“有工作”但“没在工作”的人也归类到“失业”类别的话,5月美国的真实失业率将达到约16.4%,比官方当天公布的13.3%要高3.1%。(财联社)[2020/6/7]

标签:

区块链热门资讯
一种全新的投票治理方式:信念投票 实时“投票流”

摘要:Conviction Voting cadCad模型正式发布,它可作为一个有用的教育和决策支持工具,为那些希望学习如何使用cadCAD来建模和模拟系统的人服务 这是目前部署在1Hive.org的数字孪生。以下内容主要提取自模型笔记本的 readme 文件。

2020/12/12 20:19:15
YFI 创始人的新代币模型:永久流动性与抵消无常损失

YFI 创始人 Andre Cronje 在 Medium 上发表了《加密经济、永久流动性,以及抵消无常损失》的文章,介绍了自己新设计的一个代币模型,AC 希望可以通过自己的构思,设计一种基于流动性,同时通过流动治理来抵消无常损失的通胀代币,以解决现在 AMM 的一些问题。

2020/12/12 20:19:07
代币授权:密码学货币行业用户体验的最大障碍

如果你是 DeFi 深度用户,你肯定被这个繁琐的流程折磨过无数次了。每当你使用一个新的 dApp,你都需要授权这个 dApp 花费你的代币。 Metamask 上的授权界面 跟传统金融行业类比一下,这个流程有点类似于办理直接借记,授权你的供电商每月从你的银行账户上扣除电费。 但是,与密码学货币行业不同的是,传统金融行业的直接借记业务只面向少数可信公司。

2020/12/12 20:19:01
欧科云链观察:美国大选舞弊争议不休 区块链投票会是解决方案吗?

今年的美国大选可谓是腥风血雨,先有拜登与特朗普票数不相上下僵持数日,后有特朗普在7日CNN等外媒报道拜登胜选后至今不承认选举结果,反复发推称自己才是赢了大选的人,拒绝权力过渡,并在各地发起对大选结果的诉讼。 虽然特朗普的处事风格令人见怪不怪,但由于疫情这次选举大量采用邮寄选票的方式,确实存在舞弊争议。

2020/12/12 20:18:51
以太坊 Arbitrum Rollup 的工作原理

最近我发表了一篇博文比较 Arbitrum Rollup 和相互竞争的其他 rollup 系统。不过,那篇文章里面没有详细介绍 Arbitrum Rollup 的工作原理,所以这一篇文章的任务就是填补这个空白。 一句话,Arbitrum Rollup 是一个由以太坊链上合约管理的链下协议。

2020/12/12 20:18:45
Pickle Finance遭攻击损失近2000万美元DAI 未经严格审计的DeFi路在何方?

这一周,“科学家”们(利用技术实力和知识门槛专薅 DeFi 的羊毛的黑客)很忙。 11月14日,黑客攻击 Value DeFi 的 MultiStablesVault 池子,获得近 740 万美金的 DAI;11月17日,黑客攻击Origin Protocol 凭空铸造 2050万 枚OUSD。

2020/12/12 20:18:40
ads