LucasNuzzi文
本文由幣信研究院原創編譯,原文鏈接:
https://medium.com/digitalassetresearch/schnorr-signatures-the-inevitability-of-privacy-in-bitcoin-b2f45a1f7287
本文版權歸原作者所有,僅代表作者本人觀點,不代表幣信或幣信研究院的觀點或立場。
本文約5500字,閱讀全文需約13分鐘。
虛空中的Schnorr簽名。
數字簽名是在線主權的支柱。公鑰密碼學在1976年的出現,為創建全球通信媒介、互聯網以及全新的貨幣形式比特幣鋪平了道路。雖然從那時起公鑰加密的基本屬性并沒有太大變化,但現在密碼學家的工具箱中有許多開源數字簽名方案。
在中本聰開始構思比特幣時,要考慮的關鍵設計選擇之一,就是在這個開放的、無許可的金融系統中使用哪種簽名方案。要求很明確;中本聰需要一種使用廣泛、易于理解、足夠安全、輕量級,最重要的是開源的算法。在當時可用的所有選項中,他選擇了最符合該標準的選項:橢圓曲線數字簽名算法。
當時,ECDSA由OpenSSL本地支持,OpenSSL是由一群賽博朋克老手開發的一組開源加密工具,用于改善在線通信的隱私性。相對于其他流行的方案,ECDSA的好處是具有更精簡的計算要求和更短的密鑰長度;這些都是數字形式的貨幣的有用屬性。同時,它還提供了與RSA等方案相當的安全性:例如,256位ECDSA密鑰與3072位RSA密鑰具有相同的安全性,但其大小只是后者的一小部分。
PieterWuille和其他人在一條被稱為secp256k1的改進曲線上的努力使得比特幣的ECDSA更快、更有效。然而,ECDSA仍然存在固有的缺陷,人們始終有理由去取代它。經過幾年的研究和實驗,出現了一種旨在提高比特幣交易隱私性和效率的新簽名方案:Schnorr數字簽名方案。
Schroders收購以區塊鏈為重點的資產管理公司Forteus的少數股權:7月19日消息,Schroders已持有區塊鏈技術和以數字資產為重點的資產管理公司Forteus的“戰略少數股權”。Schroders沒有披露詳情。Forteus是Numeus Group的資產管理部門,Numeus Group是一家多元化的數字資產投資公司。
Schroders表示,選擇投資Forteus是為了支持其在該領域的持續教育和研究,并為客戶的利益開發投資解決方案。向Numeus研究和技術平臺學習將使Schroders能夠利用區塊鏈可以為資產管理行業帶來的轉型優勢,并制定我們的代幣化戰略。(Portfolio Adviser)[2022/7/19 2:24:04]
在本文中,我概述了Schnorr簽名的多種實現及其相應的好處。然后,我探索了MuSig,這是一種新的多重簽名標準,可作為Taproot等新型比特幣技術的構建模塊。最后,我描述了Schnorr的完全實現版本將如何打破區塊鏈分析中使用的試探,同時幫助在比特幣的主層建立一個強大的費用市場。
SCHNORR簽名的興起
盡管Schnorr數字簽名方案比ECDSA具有許多優勢,但它肯定不是新的。它由德國密碼學家和學者Claus-PeterSchnorr發明,在20世紀80年代,他在法蘭克福大學擔任教授和研究員。他提出的簽名方案是DavidChaum、TaherEIgamal、AmosFiat和AdiShamir的研究和工作的整合。然而,在發布之前,ClausSchnorr為他新發明的方案申請了多項專利,多年來,該方案一直禁止其直接使用。
十分有趣的是,ECDSA的前身DSA是ElGamal和Schnorr方案的混合體,該方案僅用于規避ClausSchnorr的專利。事實上,在Schnorr的美國專利發布僅兩個月后,DSA的創始人美國國家標準與技術研究院也為其解決方案申請了專利。這里有一些基本的賽博朋克歷史:在那之后,ClausSchnorr對他的專利采取了防守措施,并直接回應了碼農朋克郵件列表里對他的批評者。他的回答可以在這里和這里閱讀。此處還可以找到描述專利問題的內部NIST備忘錄。
WazirX 首席執行官 Nischal Shetty 推出新的區塊鏈項目 Shardeum:金色財經報道,印度加密貨幣交易所 WazirX 的創始人兼首席執行官 Nischal Shetty與前 NASA 工程師Omar Syed合作推出了名為 Shardeum 的新項目。Shardeum 正在使用分片技術構建與以太坊虛擬機兼容的區塊鏈。分片有助于將區塊鏈基礎設施拆分成更小的部分,以嘗試擴展網絡,分片本質上有助于增加區塊空間以進行更多交易并降低Gas費。包括 Ethereum 2.0、NEAR、Harmony One 和 Zilliqa 在內的幾個區塊鏈項目正在努力實施或已經實施了其網絡的分片技術。[2022/2/3 9:28:34]
2008年,在Schnorr簽名方案推出近二十年后,ClausSchnorr的專利已經過期。巧合的是,2008年也正是我們最喜歡的賽博朋克——中本聰——正在實現比特幣的那年。盡管在當時本來可以使用Schnorr簽名,但它們還尚未被標準化或廣泛運用,這可能是中本聰用ECDSA來替代的動機。雖然密碼學家和數學家經常將其描述為極差,但ECDSA已經被廣泛使用,它在當時為比特幣提供了更安全的選擇。
比特幣上的SCHNORR
十年過去,Schnorr方案在今天不那么深奧了,像ed25519這樣的標準化實現成為一些競爭幣的流行選擇。關于可能在比特幣上實現Schnorr的非正式談話可以追溯到2014年BitcoinTalk上的這個話題,但到了PieterWuille撰寫SchnorrBIP的時候,經過多年的研究和實驗,這項提案才得以正式化。本BIP草案描述了潛在Schnorr實現的規范和技術細節,該實現將比ECDSA具有以下優勢:
·安全性證明:當使用足夠隨機的哈希函數,并且簽名中使用的橢圓曲線離散對數問題足夠困難時,Schnorr簽名的安全性很容易證明。ECDSA不存在這樣的證明。
Peter?Schiff:灰度信托助推比特幣泡沫:Euro Pacific Capital首席執行官、比特幣反對人士Peter?Schiff剛剛發推表示,下面是灰度信托如何助推比特幣泡沫。首先灰度在CNBC花了很多錢不停地向投資者投放比特幣廣告。CNBC則不斷邀請支持比特幣的嘉賓進行直播,這些嘉賓會做出天價預測。與此同時,CNBC不讓比特幣懷疑者在節目中露面。這種持續不斷的增值導致GBTC的交易價格較其資產凈值有很大的溢價,從而使GBTC迅速出售給市場獲得即時利潤。然后,該公司用出售GBTC獲得的現金在市場上購買更多比特幣,給比特幣價格帶來額外的上行壓力。然后,Grayscale將其溢價出售所獲得的部分利潤用于為CNBC的更多廣告提供資金。這個過程可能會重復,直到泡沫破滅,GBTC的需求枯竭。一旦GBTC的投機者想要退出,GBTC就會折價交易,這意味著Grayscale將停止在市場上購買更多的比特幣。[2020/12/2 22:49:14]
·不可延展性:ECDSA簽名具有內在的延展性,這可能使第三方在無法訪問私鑰的情況下改變現有的有效簽名并雙花資金。這個問題在BIP62中正式討論過。相比之下,Schnorr簽名可證明是不可延展的。
·線性:Schnorr簽名具有這樣一個明顯特性,即多方可以協作生成對其公鑰總和有效的簽名。這是各種用于提高效率和隱私的更高級構造的構成要素。
Schnorr提供的安全性證明及其不可延展性保證與ECDSA相比具有明顯優勢。只有在這兩個好處的基礎上才能證明軟分叉是合理的。然而,Schnorr的線性屬性格外令人興奮。實質上,這使得一筆多重簽名交易中的多個簽名者能夠將他們的公鑰組合成一把代表該團體的聚合密鑰;這一屬性被稱為密鑰聚合。
雖然融合密鑰的能力可能聽起來微不足道,但我們不應該低估密鑰聚合的好處。由于ECDSA本身不支持多重簽名,因此它必須通過被稱為Pay-to-ScriptHash的標準化智能合約來在比特幣中實現。這使得用戶可以添加被稱為質押權的支出條件來指定資金的使用,如“只有Alice和Bob雙方都對此消息簽名的解鎖余額才能使用。”
Peter Schiff:若Paul Tudor Jones言論炒作沒有達到預期,BTC拋售或很猛烈:黃金支持者Peter Schiff發推稱,Paul Tudor Jones早上8:30接受CNBC采訪,比特幣的支持者們似乎搶在了采訪之前,因為他們認為他對比特幣的評論會讓CNBC的觀眾買賬。但如果他的評論沒有達到高度炒作的預期,那么拋售可能會特別猛烈。
億萬富翁、傳奇基金經理 Paul Tudor Jones此前表示,他正在購買比特幣。他認為加密貨幣資產可以抵御由于央行印鈔而導致的通貨膨脹。[2020/5/11]
P2SH的第一個問題是它需要知道參與multisig的所有簽名者的公鑰,這不是一個有效率的系統。聚合這些密鑰將允許更有效率的驗證,因為網絡只需要驗證一個密鑰,而不是n個密鑰。這也意味著更少的區塊鏈足跡、更低的交易成本和改良的帶寬。
P2SH的第二個問題是它提供的隱私保證非常少。根據BIP13的規定,P2SH交易需要使用以3號開頭的不同地址。這使得區塊鏈觀察者不僅能識別網絡中的所有P2SH交易,而且還能準確指出多重簽名內的身份:
不好。
在上面的例子中,網絡將意識到多重簽名交易的存在,它由多少個簽名者組成,以及簽名者是誰。這不利于操作安全性,特別是對于像2FA這樣的用例。這不利于隱私。
另一方面,密鑰聚合允許簽名者保持匿名,并且不會通過泄露解鎖余額所需的密鑰來損害操作安全性。最重要的是,密鑰聚合使得多重簽名可以與常規交易無法區分:
好。
比特幣中Schnorr的第一次迭代將淘汰當前與ECDSA一起使用的OP_CHECKSIG和OP_CHECKMULTISIG系列操作碼,以支持一個名為OP_CHECKDLS的新類別。我這里不介紹太多細節,DLS代表的是離散日志簽名,它允許使用更少的操作碼更有效地驗證簽名。
聲音 | Peter Schiff:比特幣因為市場營銷炒作而成功:據bitcoinexchangeguide消息,Peter Schiff表示,數字資產的迅速崛起完全歸功于巧妙的營銷策略。作為一位眾所周知的加密貨幣反對者,他表示:“黃金是一種更好的存儲價值的產品。比特幣是一項重大的營銷成功。但要真正成功,需要創造足夠的FOMO,以吸引機構投資者加入。[2019/7/29]
在2018年初,GregoryMaxwell、AndrewPoelstra、YannickSeurin和PieterWuille就一項名為MuSig的基于Schnorr的新多重簽名方案發表了一份白皮書。自MuSig發布以來,他們一直在努力將提出的多重簽名方案轉換為可用的代碼。
在密鑰聚合的背景下,關于MuSig最有趣的事情之一,是在區塊鏈之外創建私人智能合約的可能性。從本質上講,MuSig使多重簽名參與者能夠將質押權附加到鏈下聚合密鑰,這不需要比特幣的共識規則來知道它。
2018年12月,安東尼·湯斯是第一個為激活Schnorr提出半正式提案的核心開發者,該提案發布在比特幣開發郵件列表中。我預計在接下來的幾個月里會有更多關于潛在軟分叉的討論。
總結一下:比特幣中MuSig的第一次迭代將原生支持密鑰聚合,這可以立即提高多重簽名的隱私,提高交易驗證的效率,通過消除ECDSA的固有問題來提高安全性,啟用像Taproot這樣的智能合約解決方案,我計劃之后講一下這一點。
但這只是一個開始。
交叉輸入聚合:隱私的下一步
如上一節所述,密鑰聚合對于花費單個輸入的多重簽名是一個非常有用的功能。由于比特幣交易通常不止一個輸入,因此可以利用Schnorr的未來迭代來創建交互聚合簽名方案,其中交易里的所有輸入與單個簽名同時使用。
再次,簽名者之間的交互完全是在鏈下的,但現在,單個簽名可用于花費一筆交易的所有輸入。每個輸入仍然有自己的公鑰,但可由SchnorrIAS使用:
GregMaxwell,PieterWuille,AnthonyTowns等人一直致力于Taproot智能合約方案的進化,以促進這一功能。他們將此方案稱為廣義Taproot或G'root,它可以在將來更容易地將密鑰聚合轉換為交叉輸入聚合。
與密鑰聚合一樣,交叉輸入聚合進一步提高了比特幣交易的效率。但是,最重要的是,它可以在比特幣的基礎層上實現強大的隱私保護機制。
交叉輸入聚合最令人興奮的方面之一,是它可以改善比特幣上的CoinJoin交易。提一下背景,CoinJoin是一種隱私保護技術,其中多個發送者和接收者在單筆交易中組合。目標是使區塊鏈觀察者難以把特定的發送者和接收者聯系起來,從而使CoinJoin內的實體能夠聲稱合理的拒絕。
這項技術最初由GregMaxwell于2013年在BitcoinTalk上提出,此后通過各種服務向用戶提供,包括JoinMarket、SharedCoin、ShufflePuff、DarkWallet和CoinShuffle。CoinJoin的各種變體,例如Wasabi錢包中使用的ChaumianCoinJoin方案,在原始模型之上做了極大的改進。然而,由于匿名愛公司,它仍然依賴足夠多的用戶來混淆他們的余額。
今天CoinJoin的另一個問題是整個交易類型的可識別性。考慮到今天區塊鏈分析中最常用的試探是密切關注特定輸入以確定兩個或更多地址是否屬于同一實體。例如,如果Alice發給Bob1.982723BTC,則區塊鏈觀察者可以跟蹤該特定輸入的小數以繪制交易圖,或者跟蹤歷史細目和UTXO所有權的更改。
為了防止這種情況,CoinJoin實現需要共同的價值面額,CoinJoin中的每個人都發送相同的金額。例如,Wasabi錢包的用戶在100名參與者的CoinJoin交易中發送相同的0.1BTC面額。雖然仍難以確定特定發件人和收件人之間的聯系,但區塊鏈觀察者可以尋找共同面額來識別CoinJoin發生的情況,并建議其客戶審查所涉及的所有實體。
交叉輸入聚合可以為這種情況提供幫助,因為它在協議層引入了額外的混淆機制。從本質上講,交叉輸入聚合可以構建基于Schnorr的CoinJoin交易,其中n個簽名者在外人看來就像是正常的單簽名者交易。這也可能使CoinJoin更容易在流行的錢包中實現,而無需繁重的工程設計,這可能會增加網絡的整體匿名性,或使用此技術的用戶數量。
共同面額問題可以通過其他技術進一步解決,例如Pay-to-EndPoint,它將中本聰早期的隱私工作與CoinJoin相結合,發送者和接收者都為交易提供輸入。這種新技術值得一篇獨立的帖子,但你可以在這里、這里和這里閱讀更多相關信息。
P2EP是向后兼容的,當與Schnorr結合使用時,它可以在比特幣的基礎層中實現足夠的隱私。
一石二鳥
我們可以合理地假設比特幣的大規模使用取決于其隱私保障的強度。與此同時,閃電網絡的普及及其自身支持私人支付的潛力,也使得最后的比特幣被挖后對鏈上結算的未來需求產生了不確定性。因此,對隱私的需求和在沒有區塊獎勵的情況下比特幣的長期可持續性可能是今天比特幣最令人擔憂的兩個問題。值得慶幸的是,Schnorr啟用的隱私機制可以同時解決這兩個問題。
我花了數千小時回顧了各種復雜的隱私技術,包括RingSignatures,ConfidentialTransactions,Bulletproofs,zkSNARKs,STARKs和MimbleWimble的不同實現。雖然其中一些技術已經足夠成熟,可以在比特幣的基礎層上實現,但它們仍然具有獨特的風險和權衡。正如您可能已經聽說的那樣,比特幣是不喜歡硬分叉的,這使得我們很難想象任何這些技術都可以實現的情況。
人們似乎在反復擔憂使用同態加密或非交互式零知識證明系統,因為它們阻止了比特幣貨幣基礎的完全可聽性。換句話說,當對交易價值進行編碼時,很難核實比特幣的供應上限是否實際上是2100萬BTC。同樣,當隱藏交易金額時,通脹錯誤和雙重支付變得難以確定。這是一個相當大的權衡,推動在比特幣的基礎層實現最新隱私可能會分裂社區。
但是,如果比特幣的基礎層獲得足夠的隱私,甚至不需要實施這些技術呢?
Schnorr絕對可以幫到你。如果大多數比特幣交易都是將Schnorr的交叉輸入聚合功能與P2EP結合使用,那么通過簡單地查看區塊鏈,幾乎不可能對特定發送者和接收者進行去模糊處理。比特幣的供應仍然是可審計的,但其交易也將提供更強大的隱私保障。
如果存在對隱私的需求,也可以合理地假設比特幣用戶和企業可能都想要被動地參與CoinJoin交易,并讓他們的錢包在后臺不斷混合他們的余額。在這種情況下,對隱私的需求直接轉化為鏈上交易費用的增加。與SegWit一樣,用戶最有可能首先支持該技術的采用,但企業必須在某些時候效仿以保持重要性。
隨著時間的推移,采用這些技術將使區塊鏈分析過時,并有效地從比特幣企業所需的AML/KYC程序中移除,就像實物現金一樣。當您將現金存入您的銀行賬戶時,銀行將不會檢查鈔票上是否有藥物痕跡,并在發現藥物的情況下阻止您的存款。隨著區塊鏈分析的擴散,加上沒有Schnorr的CoinJoin等技術的缺點,沒有理由認為比特幣已經做到這一點。
當在特定地址和UTXO上執行AML/KYC變得無關緊要,并且焦點轉向個人而非余額時,比特幣企業將完全接受隱私。事實上,我懷疑當這種情況發生時,隱私和可互換性將成為未來比特幣企業價值主張的一個組成部分。
最終,在比特幣的基礎層上采用更強大的隱私機制將進一步增強其用戶的權力,同時,有助于在最后的比特幣被挖后創建一個充滿活力的交易費市場。我的猜測是,這一切都始于Schnorr的激活,而每個人似乎都參與其中。
-TheEnd-
Tags:比特幣SCHOINCOI比特幣官方網smartcontractschemecoinCoincheck是什么平臺Medacoin
最近,英國兩家大銀行切斷了與加密貨幣交易所Coinbase的業務聯系,Coinbase是美國、英國和歐盟最受歡迎的加密貨幣交易所之一,這兩項決定幾乎是在同一天公布的:首先.
1900/1/1 0:00:00挖礦特色 合約成交即可挖礦;最長可享受12個月分紅;合約手續費回購BIX,加速通縮,賦能BIX,提升BIX核心價值;成為Bibox合約生態的年度共建者,與平臺共享合約手續費收入.
1900/1/1 0:00:00金融科技迎來了頂層設計。昨日,央行發布《金融科技(FinTech)發展規劃(2019-2021年)》(下簡稱《規劃》),明確提出未來三年金融科技工作的指導思想、基本原則、發展目標、重點任務和保障.
1900/1/1 0:00:00親愛的用戶:您好!ZG.COM將于2019年8月29日14:00開放BFC的充值和提幣業務,于8月30日14:00開啟BFC/USDT交易對.
1900/1/1 0:00:00尊敬的99Ex用戶: 99Ex一直致力于尋找具有發展潛力的數字資產項目,而此次IEO的推出,是在全球范圍內幫助平臺參與者,獲得優質項目的參與機會,同時也能幫助項目團隊獲得資金和社區上的支持.
1900/1/1 0:00:008月27日,在2019中國國際智能產業博覽會上,中國電信區塊鏈與數字經濟聯合實驗室發布《5G時代區塊鏈智能手機白皮書》.
1900/1/1 0:00:00