Wenn wir unten auf Seite 2 des Musig Paper lesen , können wir feststellen, dass eine Schnorr-Signatur für eine zyklische Gruppe G der Primzahlordnung p mit Generator g ein Tupel (R, s) ist, wobei
Es wird ferner angegeben, dass eine solche Signatur (R,s) unter Verwendung der Gleichung g s = RX c verifiziert werden kann
Ich würde gerne wissen, warum diese letzte Gleichung die Gültigkeit der Signatur beweist?
Um die Gültigkeit der Signatur zu beweisen, müssen wir sehen, dass das Tupel (R,s) tatsächlich aus dem privaten Schlüssel x stammt . Insbesondere wurde s als s=r+cx abgeleitet . Offensichtlich sollten wir den privaten Schlüssel x (weshalb wir diese Verifikationsgleichung brauchen) also nicht besitzen
Das ist genau die Gleichung, die gezeigt werden sollte.
Beachten Sie die interessante Tatsache, dass, wie in 1. erwähnt, alle Daten bekannt sind, die zur Überprüfung der Gleichung benötigt werden, aber die Erzeugung der Daten nur funktionieren kann, wenn x und r bekannt sind. Deshalb kann der Besitzer von x die Signatur erstellen und andere können sie verifizieren.