海量的數字簽名沒地方存儲？試試聚合簽名_BLS

海量數字簽名數據如何進行高效存儲和驗證？能否對來自多個參與方的簽名實現數據聚合壓縮？如果每個參與方使用不同的簽名私鑰對不同消息進行簽名，聚合簽名技術是否依舊可以支持？聚合簽名技術使用過程中又有哪些值得警惕的風險？

伴隨著經濟數字化轉型深入，以區塊鏈技術為代表的多方協作技術逐漸普及，如何驗證承載著多樣化價值的數據有效性早已成為全行業的普遍需求。滿足這一需求的關鍵是引入各式各樣數字化契約，而支持契約中數字簽名高效驗證則是關鍵中的關鍵。

海量數據帶來了海量數字契約，海量數字契約也進一步帶來了海量數字簽名，由此難免遇到數字簽名數據飛速增長、驗證效率不斷下降的困擾。

以區塊鏈應用為例，一般情況下，在區塊鏈節點共識過程中，所有節點都需要對整個區塊進行簽名，并將相關數據，如區塊數據、節點公鑰、簽名數據存儲在區塊中。隨著應用使用量增加，簽名相關存儲數據也會不停增長。不同于傳統應用，鏈上數據在理論上只增不減，而海量簽名帶來的海量數據，對于數據存儲、網絡傳輸、簽名驗證都是巨大負擔。

在保證海量簽名數據可驗證的前提下，對數字簽名數據進行聚合壓縮，其具體技術如何實現？聚合簽名在提升系統效率的同時，有沒有帶來額外風險？且看本文對此逐一解析。

外媒：OKX疑似將停止向居住在日本的用戶提供服務:6月27日消息，OKX的全球版本疑似將停止向居住在日本的用戶提供服務。該應用程序中有一條消息稱，由于當地法律法規，OKX交易所的產品在日本無法獲得。用戶仍然可以注冊/登錄，并訪問OKX錢包。如果用戶不在日本居住，可以繼續使用OKX交易所產品與有效的政府簽發的身份。[2023/6/27 22:01:56]

聚合簽名的高效性

一個典型的數字契約一般包括消息原數據、公鑰、簽名三部分。用戶通過公鑰確認簽名者身份，通過數據確認契約內容，從而來認證數字契約的有效性。

對應地，聚合簽名的主要設計目標是將多個簽名數據壓縮合并成單個聚合簽名。驗證者通過所有簽名相關的數據和公鑰組成的列表對單個聚合簽名進行驗證，若驗證通過，其效果等同于對所有相關簽名進行獨立驗證且全部通過。

一般情況下，聚合簽名產生的簽名數據具有大小固定的特性，即無論有多少原始簽名，聚合后簽名數據的大小總是恒定的。

聚合簽名可以有效降低存儲空間和驗證過程中網絡流量成本，尤其對簽名頻次較低但驗證頻次較高的業務場景有顯著效果。

過去24小時ETH鏈上手續費收入突破3100萬美元:金色財經報道，Cryptofees.info數據顯示，最近24小時，以太坊鏈上手續費收入為31237609美元，Uniswap鏈上手續費收入為5037230美元，SushiSwap鏈上手續費收入為1425020美元、BSC鏈上手續費收入為547747美元，GMX鏈上手續費收入為426635美元。[2023/5/7 14:48:11]

回到區塊鏈節點共識應用場景，當前大多數聯盟鏈共識采用ECDSA簽名算法。針對區塊數據，每個節點用自身私鑰生成獨立的數字簽名，并廣播給其他節點。其他節點會驗證該簽名，并將其寫入下一區塊數據中。

使用這種方式，當共識節點數較多時，會導致每輪共識區塊存儲的簽名數據不斷增加，占用存儲空間。每當新節點加入網絡，需要同步歷史區塊時，大量簽名數據會對網絡帶寬造成不小的挑戰。

聚合簽名方案可以在一定程度上解決以上問題。相比直接保存多個獨立簽名，使用聚合簽名技術后，每個節點會收集其他節點廣播的聚合簽名分片，然后將簽名分片聚合保存。這樣，當新節點加入時，同步歷史區塊只需下載聚合后的簽名數據，大大減少對網絡帶寬的占用。

Coinbase：已完成Flare（FLR）空投分發:4月16日消息，Coinbase Asset在社交媒體宣布Coinbase已完成Flare（FLR）代幣空投分發，超過6.01億枚Flare（FLR）代幣被分發給符合條件的用戶，本次空投基于2020年12月12日Coinbase用戶持有的XRP余額分發（包括Coinbase交易所和Coinbase Pro賬戶）。目前，XRP交易在Coinbase平臺上仍處于暫停狀態。Coinbase首席法律官Paul Grewal此前表示只有Ripple與美國證券交易委員會訴訟裁決之后并獲得監管明確性，才能在該平臺上重新上市。[2023/4/16 14:06:59]

除了數據存儲和傳輸效率提高，當被聚合的數字簽名數量足夠大，理論上也能提高簽名驗證的計算效率。聚合簽名方案的實際性能與其具體構造方式密不可分，下面我們將以目前最常用的Schnorr與BLS聚合簽名為例，介紹其構造細節。

Schnorr和BLS聚合簽名構造

根據不同聚合能力，以及是否支持對不同消息產生簽名進行聚合，常見的聚合簽名方案可以分成以下兩類：

安全機構：AES項目遭受攻擊，攻擊者獲利約61,608美元:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示， AES項目遭受攻擊，Beosin安全團隊分析發現由于AES-USDT pair合約有一個skim函數，該函數可以強制平衡pair的供應量，將多余資金發送給指定地址，而攻擊者在本次攻擊過程中，首先向pair里面直接轉入了部分AES代幣，導致供應量不平衡，從而攻擊者調用skim函數時，會將多余的這部分代幣轉到攻擊者指定地址，而攻擊者在此處指定了pair合約為接收地址，使得多余的AES又發送到了pair合約，導致強制平衡之后pair合約依然處于不平衡狀態，攻擊者便可重復調用強制平衡函數。另外一點，當調用AES代幣合約的transfer函數時，若發送者為合約設置的pair合約時，會將一部分AES銷毀掉（相當于通縮代幣），攻擊者經過反復的強制平衡操作，將pair里面的AES銷毀得非常少，導致攻擊者利用少量AES兌換了大量的USDT。

目前獲利資金已轉移到攻擊者地址(0x85214763f8eC06213Ef971ae29a21B613C4e8E05) ，約獲利約61,608美元。Beosin Trace將持續對被盜資金進行監控。[2022/12/7 21:29:17]

只能對同一個消息使用的不同簽名進行聚合，即甲、乙、丙三方對同一份合同A簽名，期間產生的三個簽名可以合并成一個聚合簽名。其典型的構造方案是Schnorr聚合簽名，此類構造方案也常被稱為多重簽名方案。

寶馬正為其虛擬車輛及周邊商品申請NFT相關商標，或將進軍元宇宙領域:11月30日消息，美國專利商標局商標律師Mike Kondoudis在社交媒體上表示，豪華汽車品牌寶馬或將進軍元宇宙領域，該公司已經為其申請相關商標，包括 NFT 認證的數字媒體以及文件，內容涉及虛擬車輛、服裝、鞋類，甚至虛擬車輛零售店、虛擬環境以及車輛模擬器電腦游戲等。[2022/12/1 21:13:45]

可以對不同消息使用的不同簽名進行聚合，即甲對合同A簽名、乙對合同B簽名、丙對合同C簽名，三個不相干的簽名可以合并成一個聚合簽名。其典型的構造方案是BLS聚合簽名。

??Schnorr聚合簽名

Schnorr聚合簽名可以看作一類橢圓曲線上數字簽名方案的擴展，其基本構造方式如下：

使用Schnorr聚合簽名的交互過程如下：

值得注意的是，相比經典數字簽名，Schnorr聚合簽名多了交互隨機數和聚合簽名過程，同時這里所有簽名均是對同一個消息進行簽署。

BLS聚合簽名

有別于Schnorr聚合簽名，BLS聚合簽名額外引入了雙線性映射，其具備以下特性：

該特性是BLS聚合簽名實現對多個不相關的數字簽名聚合的關鍵，其基本構造方式如下：

使用BLS聚合簽名的交互過程如下：

通過引入雙線性映射，BLS聚合簽名打破了簽名所對應的消息必須是同一個的限制，由此可靈活地支持各類簽名聚合需求。同時BLS在聚合過程中交互較少，無需交換隨機數的過程，可以有效減少網絡傳輸帶來的性能損耗。

但是，雙線性映射帶來神奇特性的同時，也提升了計算成本。但目前已知的雙線性映射構造復雜，計算性能在工程實現上慢了幾個數量級。

Schnorr聚合簽名和BLS聚合簽名各有所長。在聚合能力上，BLS占優，在計算性能上，Schnorr占優，兩者具體比較與使用注意事項將在下節中展開。

聚合簽名的使用注意事項

聚合簽名的性能

聚合簽名的首要設計目標是壓縮簽名數據，節省數據存儲和網絡傳輸成本。對現有計算機系統，I/O耗時通常是關鍵性能瓶頸，所以此項優化通常可以提升驗證海量簽名數據的整體吞吐量。

一般情況下，假定安全參數為256位，對于Schnorr聚合簽名，其典型的簽名數據為一個聚合后的點和數，大小恒定為64字節，對于BLS聚合簽名，其典型的簽名數據為橢圓曲線上壓縮后的一個點，大小恒定為33字節。

除了吞吐量之外，驗證數字簽名的延時通常也是重要性能指標，但這不是聚合簽名的強項，以下給出一些基于開源代碼實現的實測性能比較結果。

對于Schnorr聚合簽名，盡管其驗簽的理論復雜度比ECDSA簽名低，但由于在驗證時需要使用公鑰列表進行聚合，其性能并沒有明顯提升；另一方面，在簽名過程中，Schnorr聚合簽名多了一些交互流程，性能接近但也不及ECDSA簽名。

對于BLS聚合簽名，由于使用了構造復雜的雙線性映射，各項計算性能均顯著低于ECDSA簽名。同時，雙線性映射目前缺乏對應的硬件加速，軟件優化也不是很成熟，這種狀況可能在未來會得到改善。

??聚合簽名的國密化

國密化支持是當前密碼技術應用的熱點方向，然而我國密碼行業標準化技術委員會目前發布的標準，尚未明確規定建議使用的聚合簽名算法。

我們需要根據現有的國密技術規范，提煉出聚合簽名所需的密碼學原語，基于標準方案進行適配構造，具體如下：

橢圓曲線公鑰密碼算法：GM/T0003.5-2012《SM2橢圓曲線公鑰密碼算法第4部分：公鑰加密算法》

消息摘要算法：GM/T0004-2012《SM3密碼雜湊算法》

雙線性映射：GM/T0044.5-2016《SM9標識密碼算法第5部分：參數定義》

??聚合簽名的安全風險

無論是Schnorr還是BLS聚合簽名，在設計過程中都提供了理論證明——即便聚合了海量簽名，最終產生單個聚合簽名的安全性，都與聚合前的經典數字簽名安全性相當。

但是，相比原來只有單方計算的經典數字簽名，聚合簽名計算過程涉及多方交互，一旦參與聚合的任一方有意作惡，恰逢不安全的工程實現，難免會引發額外的安全風險。

以Schnorr聚合簽名為例，一些工程實現為了減少交互成本，在關鍵的隨機數交互過程中，采用預計算方式初始化隨機數。然而，如果攻擊者不遵守協議約定，構造惡意的特殊數據作為隨機數，可能會造成其他用戶的密鑰泄露。

類似地，對于BLS聚合簽名，一些工程實現為了提升計算效率，使用不安全的曲線組合來構造雙線性映射，從而破壞了聚合簽名算法的整體安全性，進而泄露用戶密鑰。

預防這些安全風險的關鍵在于，聚合簽名的工程實現應嚴格按照論文或標準中的算法流程和推薦參數設置，切記不要為了優化性能而引入嚴重的安全風險。

總體而言，聚合簽名為多方協作場景提供了一種節省存儲空間和驗證過程中的網絡流量、提升批量數字簽名驗證性能的解決方案。

不同的聚合簽名針對不同規模的數據量、不同業務領域均具備獨特優勢，其基礎技術選型可以參考下圖：

正是：海量契約驗證難勝任，聚合簽名一鍵理萬機！

通過對多個用戶生成的簽名進行聚合壓縮，聚合簽名大幅提升數字簽名存儲、傳輸、驗證效率，使得海量數字契約中的海量數字簽名得以高效驗證。

除了本文介紹的Schnorr和BLS聚合簽名，基于雙線性映射、同態加密或同態性等密碼學原語，還可以構造出其他聚合簽名方案，比較知名的方案有CL聚合簽名、IBAS基于身份的聚合簽名等。根據具體的業務需求，選用合適方案，可以顯著提升數字簽名的使用效率和系統的整體擴展性。

Tags：BLSSCHBASAESBLST幣sCHFCoinbase客服電話加密算法AESTKIP

芝麻開門交易所下載