ไม่ใช่ ECDSA ไม่ใช่ Schnorr พบกับ Dahlias

นิตยสาร Bitcoin

ไม่ใช่ ECDSA ไม่ใช่ Schnorr พบกับ Dahlias

ลายเซ็นโดยรวมไม่ใช่เรื่องใหม่ พวกเขาเคยไปมาตั้งแต่ต้นปี 2000 แต่การสร้างสิ่งที่ใช้งานได้จริงในรูปแบบความปลอดภัยของ Bitcoin ด้วยเส้นโค้งรูปไข่ของ Bitcoin ไม่เคยได้รับการพิสูจน์ นักพัฒนาคาดการณ์ว่าอาจเป็นไปได้ พวกเขาแบ่งปันภาพร่างที่มีคลื่นมือและพูดว่า“ บางทีมันอาจจะทำงานได้ Musig2แต่ข้ามอินพุตธุรกรรม” ความคิดที่อ้อยอิ่งมานานหลายปี ชาวบ้านนักพัฒนาปิดไม่เคยได้รับการยืนยัน

เมื่อไม่นานมานี้เมื่อ Jonas Nick และ Tim Ruffing จากการวิจัย Blockstream พร้อมกับ Yannick Seurin of Ledger ตีพิมพ์บทความที่เปลี่ยนเรื่องราวผีเข้ารอบนี้ให้กลายเป็นผลลัพธ์ที่เป็นรูปธรรมและพิสูจน์ได้ Dahlias เป็นโครงสร้างที่เป็นทางการและปลอดภัยครั้งแรกของก Signature Signature ขนาดคงที่ขนาดคงที่ (CISA) ที่ใช้งานได้กับเส้นโค้งพื้นเมืองของ Bitcoin!

แต่นั่นเป็นคำพูดมากมายดังนั้นเรามาทำลายมันลง:

• การรวมกันอย่างเต็มที่: ลายเซ็นหลายรายการในอินพุตที่แตกต่างกันจะรวมกันเป็นหนึ่งเดียว – และผลลัพธ์คือลายเซ็น 64 ไบต์ที่มีขนาดคงที่ไม่ว่าจะมีผู้ลงนามหรืออินพุตจำนวนเท่าใด
• ข้ามอินพุต: ผู้ลงนามแต่ละคนสามารถอนุญาตอินพุตที่แตกต่างกันและทั้งหมดรวมกันเป็นลายเซ็นเดียว

มันไม่ได้เพิ่มสมมติฐานใหม่ที่สำคัญนอกเหนือจากที่พึ่งพาโดย Bitcoin แล้ว Dahlias สร้างการเข้ารหัสแบบดั้งเดิมใหม่โดยใช้คณิตศาสตร์ Bitcoin เดียวกันนั้นอาศัยอยู่แล้วปลดล็อกลายเซ็นรูปแบบใหม่ทั้งหมด

มาพูดคุยเกี่ยวกับเส้นโค้งและลายเซ็น

ลายเซ็นดิจิตอลเป็นวิธีที่ Bitcoin พิสูจน์ได้ว่าผู้ใช้ได้อนุญาตการทำธุรกรรม เมื่อคุณไปใช้ Bitcoin กระเป๋าเงินของคุณจะใช้คีย์ส่วนตัวเพื่อลงนามในข้อความและเครือข่ายตรวจสอบว่าลายเซ็นนั้นโดยใช้คีย์สาธารณะที่ตรงกัน

Bitcoin ใช้ไฟล์ secp256k1 เส้นโค้ง มันเร็วมีประสิทธิภาพและได้รับการทดสอบการต่อสู้เมื่อเวลาผ่านไป รองรับรูปแบบลายเซ็นเช่น ECDSA (อัลกอริทึมลายเซ็นดั้งเดิมของ Bitcoin) และ schnorr (เพิ่มผ่าน Taproot ในปี 2021) ซึ่งปัจจุบันเป็นรูปแบบลายเซ็นเพียงอย่างเดียวที่ได้รับอนุญาตจากฉันทามติ Bitcoin

ตามเนื้อผ้าการรวมลายเซ็นเต็มรูปแบบขึ้นอยู่กับการดำเนินการทางคณิตศาสตร์ที่ไม่ได้รับการสนับสนุนโดย Bitcoin’s Curve, Secp256K1 ซึ่งทำให้ดูเหมือนว่าจะไม่สามารถเข้าถึงได้ คุณสมบัติเหล่านี้มักจะอาศัยเส้นโค้งรูปไข่ประเภทอื่น ตัวอย่างเช่นลายเซ็น BLS (Boneh-Lynn-Shacham) ใช้เส้นโค้งชนิดพิเศษที่เรียกว่าเส้นโค้งที่เป็นมิตรกับการจับคู่ซึ่งช่วยให้การดำเนินการขั้นสูงเช่นการรวมลายเซ็นจำนวนมากแม้ในข้อความที่แตกต่างกันเป็นหนึ่งเดียว

ปัญหาคือลายเซ็น BLS ไม่ทำงานกับ Secp256K1 ในขณะที่ Schnorr เป็นการอัพเกรดตามธรรมชาติจาก ECDSA เนื่องจากทั้งคู่พึ่งพาเส้นโค้งรูปไข่ชนิดเดียวกันการเพิ่ม BLS จะเป็นการก้าวกระโดดที่ใหญ่กว่าและออกจากรูปแบบความปลอดภัยที่มีอยู่ของ Bitcoin แม้ว่าจะเป็นไปได้ทางเทคนิค แต่ก็จะแนะนำสมมติฐานการเข้ารหัสใหม่และเพิ่มความซับซ้อนที่สำคัญให้กับโปรโตคอล รองรับเส้นโค้งที่เป็นมิตรกับการจับคู่เช่น BLS12-381จะเป็น การเปลี่ยนแปลงที่สำคัญสำหรับ bitcoin–

นี่เป็นส่วนหนึ่งของสาเหตุที่การรวมลายเซ็นเต็มรูปแบบไม่เคยทำใน SECP256K1

จนถึงตอนนี้

ลายเซ็นรวมที่ทำจริงได้อย่างไร

ผู้ใช้ Bitcoin ส่วนใหญ่คุ้นเคยกับ MultiSignatures ใน มัลติซิก กระเป๋าเงินหลายคนร่วมกันอนุญาตให้ใช้จ่ายของ UTXO เดียวหรือ “เหรียญ” ที่เฉพาะเจาะจง ทุกคนลงนามข้อมูลอินพุตเดียวกัน การตั้งค่านี้มีประโยชน์สำหรับสิ่งต่าง ๆ เช่นกระเป๋าเงินดูแลที่ใช้ร่วมกัน

ลายเซ็นมวลรวม ทำงานแตกต่างกัน แทนที่จะเป็นหลายคนที่ลงนามในอินพุตหรือเหรียญเดียวกันผู้ลงนามแต่ละคนอนุญาต UTXO ที่แตกต่างกันในการทำธุรกรรม ลายเซ็นที่แยกต่างหากเหล่านี้จะถูกบีบอัดเป็นข้อพิสูจน์ขนาดกะทัดรัดเดียว ด้วย dahlias นั่นหมายถึงก ลายเซ็น 64 ไบต์เดี่ยว บนเส้นโค้ง SECP256K1 ของ Bitcoin ที่ตรวจสอบอินพุตทั้งหมดในครั้งเดียว

นั่นหมายความว่าหากคุณมีอินพุตห้าอินพุตจากห้าคนที่แตกต่างกันการทำธุรกรรมต้องการลายเซ็นที่แตกต่างกันห้าแบบ ด้วยลายเซ็นโดยรวมทั้งหมดสามารถรวมเข้าด้วยกันได้ แม้ว่าผู้ลงนามแต่ละคนจะใช้จ่ายอินพุตที่แตกต่างกันและลงนามในส่วนที่แตกต่างกันของธุรกรรม แต่ผลลัพธ์ก็เป็นลายเซ็นหนึ่งที่พิสูจน์การทำธุรกรรมทั้งหมดได้รับอนุญาตอย่างเหมาะสม

มันเหมือนกับการซิปรายการการอนุมัติทั้งหมดเป็นไฟล์เดียว ลายเซ็นนั้นมีขนาดกะทัดรัด แต่ก็ยังพิสูจน์ได้อย่างชัดเจนว่าผู้ลงนามแต่ละคนได้รับอนุญาต UTXO เฉพาะของพวกเขา

แทนที่จะตรวจสอบ 10 ลายเซ็นแยกกันคุณจะตรวจสอบอย่างใดอย่างหนึ่ง

สิ่งนี้จะช่วยปรับแต่งสิ่งจูงใจเพื่อความเป็นส่วนตัว โดยการลดค่าใช้จ่ายลายเซ็นเป็นหลักฐาน 64-byte เดียว Dahlias ช่วยลดค่าใช้จ่ายในการรวมอินพุตใน Coinjoins ทำให้ทางการเงินฉลาดขึ้นในการเลือกความเป็นส่วนตัวมากกว่าที่จะไปโดยไม่มีมัน–

ทำไมการรวมตัวครึ่งหนึ่งถึงใกล้

ไม่นานหลังจากมีการแนะนำลายเซ็น Schnorr บน Bitcoin นักพัฒนาสำรวจ การรวมครึ่งเป็นวิธีการบีบอัดลายเซ็นหลายลายเซ็น แต่ไม่ได้มีขนาดคงที่ อินพุตแต่ละครั้งมีส่วนร่วมกับขนาดของลายเซ็นดังนั้นการทำธุรกรรมยังคงเติบโตขึ้นกับผู้เข้าร่วมทุกคน Dahlias แก้ไขปัญหานี้โดยการเปิดใช้งาน การรวมกัน ข้ามอินพุตและผู้ลงนาม ไม่ว่าจะมีคนเข้าร่วมกี่คนหรือสิ่งที่พวกเขากำลังลงนามลายเซ็นทั้งหมดของพวกเขาบีบอัดเป็นหลักฐานขนาดคงที่ขนาด 64 ไบต์เดียว

สิ่งที่ Dahlias ปลดล็อคจริง

ประโยชน์หลักที่นี่คือ Dahlias กำลังลดขนาดของการทำธุรกรรมที่ซับซ้อน

Dahlias ใช้กระบวนการลงนามแบบโต้ตอบสองรอบ มันคล้ายกับ Musig2 ในเรื่องนั้น แต่มันไม่ใช่โปรโตคอลการออกแบบที่หลากหลายเพราะมันไม่ต้องการให้ผู้เข้าร่วมทั้งหมดร่วมเซ็นชื่อข้อความเดียวกัน แต่จะรวมลายเซ็นที่แตกต่างกันในข้อความที่แตกต่างกันในการทำธุรกรรม

Dahlias ยังเร็วกว่าที่จะตรวจสอบมากกว่าการตรวจสอบแต่ละลายเซ็นแต่ละตัวมากถึงสองเท่าในบางกรณี ค่าใช้จ่ายการตรวจสอบที่ลดลงทำให้ผู้คนจำนวนมากขึ้นสามารถใช้โหนดเต็มรูปแบบซึ่งช่วยรักษาการกระจายอำนาจของ Bitcoin เมื่อเวลาผ่านไป

ที่สำคัญ Dahlias มาพร้อมกับการรับประกันการเข้ารหัสที่แข็งแกร่ง โครงการนี้รวมถึงหลักฐานการรักษาความปลอดภัยอย่างเป็นทางการ ก่อนหน้านี้ ‘นิทานพื้นบ้าน’ ในการรวมลายเซ็นเต็มรูปแบบขาดสิ่งนี้และบางคนก็แสดงให้เห็นในภายหลังว่าไม่ปลอดภัย โชคดีที่พวกเขาไม่ได้รับการรับรองก่อนกำหนด

มันคุ้มค่าที่จะทำซ้ำ: Dahlias ไม่ใช่โปรโตคอล Multisig มันไม่สามารถเทียบเคียงได้กับ Musig2 หรือ Frost จากมุมมองการทำงานแม้ว่ามันจะแบ่งปันบล็อกการเข้ารหัสที่คล้ายกัน มันมีจุดประสงค์ที่แตกต่างกัน มันมีวิธีใหม่ในการเข้ารหัสการอนุมัติอิสระจำนวนมากในแพ็คเกจที่สะอาดและตรวจสอบได้

ทิศทางในอนาคต

คุณอาจคิดว่า: ถ้า Dahlias มีพลังมากทำไมมันถึงไม่เป็น bip? ทำไมไม่เสนอสำหรับฉันทามติ Bitcoin?

ลายเซ็น Dahlias ไม่ดูเหมือนลายเซ็น Schnorr หรือ ECDSA อัลกอริทึมการตรวจสอบนั้นแตกต่างกัน แทนที่จะใช้คีย์สาธารณะข้อความและลายเซ็นตัวตรวจสอบ Dahlias Verifier ใช้เวลา รายการ ของกุญแจสาธารณะและข้อความและหลักฐาน 64-byte เดียว

สิ่งนี้ทำให้ Dahlias เข้ากันไม่ได้กับกฎฉันทามติปัจจุบันของ Bitcoin การสนับสนุนที่ชั้นฐานจะต้องมีการเปลี่ยนแปลงฉันทามติ บทความนี้ไม่ได้เสนอการเปลี่ยนแปลงนั้น แต่มันก็มีความสำคัญเท่าเทียมกัน

บทความนี้แสดงให้เห็นว่ารูปแบบการรวมลายเซ็นเต็มรูปแบบสำหรับเส้นโค้งดั้งเดิมของ Bitcoin เป็นไปได้

เพียงอย่างเดียวคือก้าวสำคัญไปข้างหน้า

ในการทำให้ Dahlias เป็นส่วนหนึ่งของ Bitcoin ใครบางคนจะต้องเขียนข้อเสนอการปรับปรุง Bitcoin (BIP) อาจใช้ secp256k1lab– นั่นหมายถึงการระบุรูปแบบในรายละเอียดโดยพิจารณาถึงความหมายของฉันทามติและการดำเนินการและการสร้างการสนับสนุนชุมชน บทความนี้วางรากฐานการเข้ารหัสสำหรับการสนทนานั้น

คุณค่าที่แท้จริงของกระดาษ Dahlias คือสิ่งที่พิสูจน์ได้ การรวมลายเซ็นเต็มรูปแบบใน SECP256K1 ไม่ได้เป็นเพียงการทดลองทางความคิด มันเป็นรูปธรรม มันมีประสิทธิภาพ ปลอดภัย เป็นเวลาหลายปีที่ความคิดอาศัยอยู่ในคติชนวิทยานักพัฒนา ตอนนี้มันถูกเขียนลงวิเคราะห์และพิสูจน์แล้ว สิ่งที่เหลืออยู่คือนำไปสู่ ​​Bitcoin – ถ้าเราต้องการ

นี่คือโพสต์ของแขกโดย Kiara Bickers ความคิดเห็นที่แสดงเป็นของตัวเองทั้งหมดและไม่จำเป็นต้องสะท้อนให้เห็นถึงนิตยสาร BTC Inc หรือ Bitcoin

โพสต์นี้ ไม่ใช่ ECDSA ไม่ใช่ Schnorr พบกับ Dahlias ปรากฏตัวครั้งแรกใน นิตยสาร Bitcoin และเขียนโดย Kiara Bickers–