Ich kann nur an das MuSig-Papier denken, das beschreibt, wie Rouge-Angriffe verhindert werden, indem man sich auch auf den öffentlichen Schlüssel aller Unterzeichner festlegt. Aber soweit ich verstehe, ist der Fall von Multisig nicht dasselbe wie das nachträgliche Hinzufügen aller Signaturen?
Ich sehe jedoch das Problem, dass das Hinzufügen von Signaturen erfordert, dass die Signaturen auf derselben Nachricht erstellt werden, die nicht angegeben wird, wenn sie nur für jeden TX erstellt werden. Kann jemand bestätigen, dass dies der Grund ist, warum es nicht interaktiv funktioniert, da Personen, die tx signieren, bereits wissen müssten, welche anderen tx im Block sein werden?
Zuerst eine Definition:
MuSig ist ein Multisignatur-Schema, das zufällig auch etwas namens Schlüsselaggregation unterstützt . Schlüsselaggregation bedeutet, dass die herauskommende Signatur alternativ auch durch einen Verifizierer verifiziert werden kann, der die öffentlichen Schlüssel der einzelnen Unterzeichner nicht kennt, sondern nur eine Aggregation davon. Die Schlüsselaggregation hat nichts mit der Signaturaggregation zu tun; Wir sprechen hier immer noch von einem Multisignaturschema und nicht von einem aggregierten Signaturschema.
Als nächstes kommt das Konzept der Interaktivität: An welchem Punkt müssen die Unterzeichner in einem dieser Schemata interagieren? Alle (derzeit bekannten) Schnorr-basierten Signaturschemata (einschließlich Multisignaturschemata wie MuSig) sind interaktiv; entweder zur Einrichtungszeit oder zur Unterzeichnungszeit. Das bedeutet, dass sich alle Unterzeichner irgendwann kennen und miteinander kommunizieren müssen, um die gemeinsame Unterschrift zu leisten.
Wenn wir über blockweite aggregierte Signaturen sprechen, brauchen wir zwei Dinge:
MuSig ist beides nicht. Es ist möglich, analog dazu ein aggregiertes Signaturschema zu konstruieren, wie es im MuSig(1)-Papier , Anhang A, beschrieben ist, obwohl es einige überwindbare Fallstricke gibt, die es zu vermeiden gilt. Der Interaktivitätsteil ist jedoch unlösbar: keine auf diskreten Logarithmen basierenden Signaturschemata, die bekannt sind, unterstützen eine nicht-interaktive Aggregation. Nicht-interaktive Aggregations-Signaturschemata sind jedoch unter Verwendung von paarungsbasierter Kryptografie möglich, aber diese fügen zusätzliche Sicherheitsannahmen hinzu.
Pieter Wuille
René Pickhardt