Haftungsausschluss: Diese Frage ist für mich von theoretischer Bedeutung, um mich besser über kryptografische Prinzipien und Signaturschemata zu informieren. Ich beabsichtige nicht zu implizieren, dass Schnorr-Signaturen in der Praxis weniger sicher sind als aktuelle 2-2 Multisig-Transaktionen / -Skripte.
Ich lese gerade die Musikzeitung und über skriptlose Skripte. Eine wichtige gemeinsame Idee in beiden Fällen scheint meines Erachtens die Möglichkeit zu sein, eine einzige Signatur aus mehreren privaten Schlüsseln erzeugen zu können.
Nehmen wir an, ich kann den privaten Schlüssel innerhalb einer angemessenen Zeit, sagen wir 1 Monat, aus einem öffentlichen Schlüssel brutal erzwingen (zum Beispiel, weil ich einen einigermaßen effizienten Algorithmus für die diskrete Anmeldung bei ecdsa habe (den ich nicht habe). Nehmen Sie auch an, ich kann die Hash-Funktion von Bitcoin-Adressen schnell umkehren oder davon ausgehen, dass wir nur die öffentlichen Schlüssel kennen, weil ich der Dritte in einem Treuhanddienst bin)
Wäre ich nicht in der Lage, eine MuSig-Adresse innerhalb von 1 Monat (unter der obigen Annahme) zu knacken, indem ich den aggregierten privaten Schlüssel in den aggregierten öffentlichen Schlüssel breche, während ich bei einer üblichen 2-2-Multisig-Wallet 2 Monate in Ordnung bräuchte zwei gültige Signaturen liefern zu können, da ich beide privaten Schlüssel unabhängig voneinander bruteforcen müsste?
Ja oder nein, je nach Definition.
Sie haben Recht, dass die erwartete Zeit für das Fälschen einer 2-von-2-Multisignatur doppelt so lang ist wie für eine einzelne Signatur, da Sie Ihren Fälscheralgorithmus offensichtlich zweimal verwenden müssen.
In der Praxis werden solche konstanten Faktoren jedoch bei der Beschreibung von Sicherheitsniveaus ignoriert. Zum Beispiel werden ed25519 und secp256k1 typischerweise in die gleiche Gruppe von 128-Bit-Sicherheit platziert, obwohl secp256k1 im Durchschnitt viermal mehr Iterationen des Rho-Algorithmus von Pollard benötigt, um das DLP zu brechen. Andererseits sind einzelne Iterationen dieses Algorithmus aufgrund des effizient berechenbaren Endomorphismus von secp256k1 1,7-mal schneller als sonst zu erwarten wäre.
Außerdem ist die Einheit, in der sie angegeben sind, vage. Wenn über ECDLP gesprochen wird, werden die Sicherheitsstufen normalerweise in Bezug auf die Anzahl der Multiplikationen der elliptischen Kurve angegeben. Aber eine EC-Multiplikation ist keine triviale Sache, noch ist ihre Leistung über Kurven hinweg identisch. Wenn wir jedoch über Dinge in der Größenordnung von 2^128 sprechen, ändert ein Faktor 10 hier oder da den Exponenten nur um 3,3. Es wird noch unschärfer, wenn Sie spezielle Hardware berücksichtigen, die für bestimmte Aufgaben gebaut werden könnte, was es noch schwieriger macht, sie zu vergleichen.
Der Punkt ist, dass es uns egal ist, wie lange es für einen Angreifer dauert. Uns interessiert nur, dass sie so lang sind, dass kein Angreifer sie verwenden könnte, um eine echte Bedrohung darzustellen.
Wenn es zu lange dauert, zwei Signaturen zu fälschen, dauert es sehr wahrscheinlich auch zu lange, eine zu brechen.
René Pickhardt
Pieter Wuille