MuSig簽名方案可替代當前比特幣的ECDSA簽名算法

在2018年，區(qū)塊鏈協(xié)議公司Blockstream的密碼學家Gregory Maxwell、Pieter Wuille等人提出了一種名為MuSig的Schnorr簽名方案，理論上可替代當前比特幣的ECDSA簽名算法，而在今日，Blockstream已經把MuSig從一篇學術論文，轉變成了可用的代碼，并進行了開源。

對此，來自Blockstream的數學家Andrew Poelstra向社區(qū)分享了這一技術的進展，以下為其分享內容的譯文：

當前，比特幣和其他區(qū)塊鏈普遍采用的是ECDSA簽名驗證算法。這顯然是中本聰在2008年根據當時廣泛使用和未授權的數字簽名系統(tǒng)所做出的技術決定。然而，ECDSA簽名存在一些嚴重的技術限制。特別是，多重簽名和門限簽名（由獨立當事方的法定人數而非一人簽署）很難與ECDSA一起生成。ECDSA簽名具有復雜的代數結構，使其不靈活且難以使用，迫使開發(fā)人員在跨鏈原子交換或閃電網絡等應用中使用比特幣腳本，而這可通過更靈活的簽名方案，更緊湊、更私密地實現這些應用。

在2018年，區(qū)塊鏈協(xié)議公司Blockstream的密碼學家Gregory Maxwell、Pieter Wuille等人提出了一種名為MuSig的Schnorr簽名方案，理論上可替代當前比特幣的ECDSA簽名算法，這種多重簽名方案提供了可證明的安全性，甚至可防止惡意簽名者的合謀子集，并生成與普通單簽名者Schnorr簽名不可區(qū)分的簽名（提高隱私性）。

經過近1年的發(fā)展，Blockstream已經把MuSig從一篇學術論文，轉變成了可用的代碼，本周，其開發(fā)人員會把代碼合并到secp256k1-zkp（secp256k1的一個fork），此外，Blockstream還把保密交易（CT）技術擴展到其Elements和Liquid側鏈產品。

需要注意的是，目前比特幣core代碼庫依然使用的是secp256k1，因此目前MuSig并沒有被應用到比特幣，但這也是Blockstream所期待的目標。

而假設比特幣啟用這一簽名方案，將使得閃電網絡可在無腳本腳本（scriptless script）中應用。

MuSig簽名方案的優(yōu)勢

根據Blockstream官方發(fā)布的說明，應用MuSig簽名方案將重點會有以下兩大優(yōu)勢：

1. 無論簽名者設置如何，驗證者都會看到相同的短的、常量大小的簽名。在區(qū)塊鏈系統(tǒng)中，驗證效率是最重要的考慮因素，用簽名者細節(jié)來給驗證者增加負擔，是不合理的，除非是安全需要，否則是無必要的。此外，MuSig簽名方案能夠提高隱私性，因為它們隱藏了確切的簽名者策略。

2. 為普通公鑰模型提供可證安全性。這意味著簽名者可完全靈活地使用普通的密鑰對進行多重簽名，而不需要提供任何關于這些密鑰產生或控制的特定方式的額外信息。有關密鑰生成的信息，可能很難在比特幣的環(huán)境中提供，因為各個簽名者具有不同的和限制性的密鑰管理策略。此外，對密鑰生成細節(jié)的依賴性，可能會與Taproot（一種提議的比特幣擴展方案）產生不良的交互作用，其中公共簽名密鑰可能會有額外的隱形語義。

誤區(qū)和安全API開發(fā)

與所有多重簽名協(xié)議的數學描述一樣，發(fā)布后的MuSig，假定參與者在整個簽名過程中都可訪問內存，而簽名過程是持久的、易于更新的，并且攻擊者不能“重置”到以前的狀態(tài)。它還假設簽名者可訪問隨機性來源，這些來源與uniform不可區(qū)分。不幸的是，現實世界并沒有那么簡單，Blockstream花了大量的精力設計了一個API，它可以在各種各樣的場景中使用，而不存在因未聲明的假設而導致密鑰丟失的可能。

就像Schnorr簽名或者ECDSA，MuSig簽名方案在其結構中使用了一個秘密的“nonce”，其必須統(tǒng)一隨機生成。任何偏離統(tǒng)一標準的行為，即使只是一點點，也可能導致密鑰丟失和資金被盜。

Blockstream的主要設計目標，是創(chuàng)建一個安全的防誤用API，即使是在受限的環(huán)境中，也不會鼓勵危險的使用模式。

Uniform隨機性

對于單個簽名，實現統(tǒng)一隨機nonce的標準方法很簡單：取一些機密數據和要簽名的消息，通過加密哈希函數傳遞這些數據，得到一個統(tǒng)一隨機值，該值對于每個要簽名的消息而言都是獨立的。

然而，有了多重簽名，這個簡單而健壯的解決方案就成了一種負擔。惡意簽名者可能會在同一條消息上請求兩個多重簽名，從而在第二次迭代中調整自己對簽名的貢獻。如果第一個簽名者通過在消息旁邊哈希一個秘密來選擇他的nonce，那么他最終將在兩個非常不同的簽名中使用相同的nonce（本質上是導致PS3被黑客攻擊的相同失敗模式。）不幸的是，與單個簽名者的情況不同，沒有簡單的解決方案，因為單個簽名者必須在知道要生成的簽名的所有細節(jié)之前選擇它們的nonce。

解決這個問題的一個傳統(tǒng)方法，是使用硬件隨機數生成器，這種方法在散列法（ hashing）流行之前就已被使用了。不幸的是，這類方案都是昂貴的，會受到環(huán)境偏見或其他外部影響，最重要的是，我們沒有辦法驗證它們是否正確運行。

關于驗證這一點，有一些創(chuàng)造性的解決方案，Blockstream將在以后的文章中探討。目前，其選擇是要求API用戶為每個簽名會話提供唯一的“會話ID”。nonce是通過哈希簽名者的秘密、簽名者集、要簽名的消息，以及這一會話的唯一輸入而產生的。可訪問隨機數生成器的用戶，可以使用它來生成會話ID，而可問持久內存的用戶，只需使用計數器即可。

目前開發(fā)人員期望能很快生產出一個真正強大的解決方案。

關于重放攻擊（Replay Attack）

即使有一個可靠的隨機性來源，仍有可能從多重簽名的參與者那里提取私鑰（如果在整個過程中，可能從一個點重放簽名協(xié)議的話），這種類型的攻擊被稱為“重放攻擊”，可針對在可重啟的虛擬機內運行的簽名者，以及支持間斷簽名及從可序列化狀態(tài)恢復的虛擬機發(fā)動攻擊。它甚至可能在沒有活動攻擊者的情況下意外發(fā)生，例如運行從同一狀態(tài)克隆的兩個虛擬機，或者在不同步的分布式數據庫上執(zhí)行代碼。

具體來說，如果一個簽名者貢獻了一個多重簽名，并且簽名過程在選擇了他的nonce之后的某一點，通過重啟的方式，則可修改其他簽名者對簽名的貢獻。

這些類型的攻擊不會以單個簽名出現，因為它們是在一個步驟中生成的，沒有中間狀態(tài)可從中重新啟動。這些額外的挑戰(zhàn)，對于多輪加密協(xié)議來說是獨一無二的。

如果不去研究新的機制，目前的MuSig簽名方案就無法保護在虛擬機中進行簽名的用戶。同樣，這一限制在Blockstream的開發(fā)者看來是可消除的，目前他們正在積極研究解決方案。

結論，以及未來的工作

所有上述討論都隱含著這樣一個觀點：即相比單方協(xié)議，多方協(xié)議會面臨新的、實質上更困難的挑戰(zhàn)。就數學復雜性而言，MuSig要比Bulletproofs（防彈證明）要簡單得多。但在實現復雜性方面，MuSig已經付出了更多的努力，并且需要在抗脆性和API靈活性之間進行更多的權衡。

這篇文章只描述了多重簽名部分，在未來的文章中，開發(fā)者還將描述門限簽名，這是一個相關的概念，其中n個簽名者的任何子集，只要數量足夠，就能夠生成簽名，而不需要整個簽名組的貢獻。

在以后的文章中，我們還將討論一些使非隨機性更安全和更可驗證的技術。特別是，通過使用一種稱為簽訂合約（sign-to-contract）的技術，主機可以從不可信的硬件錢包的隨機數生成器中消除任何偏差的可能性。

更進一步的是，通過利用零知識證明的能力，應該可消除偏隨機性（biased randomness）和重放攻擊所帶來的風險，消除對持久內存的需求，并將MuSig協(xié)議從3輪通信減少到2輪。

讀者可查看MuSig在Github上的代碼（https://github.com/ElementsProject/secp256k1-zkp/tree/secp256k1-zkp/src/modules/musig），并對其發(fā)布評論或提出改進。

閱讀全文

區(qū)塊鏈(110666) 區(qū)塊鏈(110666)
比特幣(145128) 比特幣(145128)

搜索歷史

MuSig簽名方案可替代當前比特幣的ECDSA簽名算法

評論