Warum ist die vollständige blockweite Signaturaggregation von Schnorr-Signaturen nicht interaktiv?

Ich kann nur an das MuSig-Papier denken, das beschreibt, wie Rouge-Angriffe verhindert werden, indem man sich auch auf den öffentlichen Schlüssel aller Unterzeichner festlegt. Aber soweit ich verstehe, ist der Fall von Multisig nicht dasselbe wie das nachträgliche Hinzufügen aller Signaturen?

Ich sehe jedoch das Problem, dass das Hinzufügen von Signaturen erfordert, dass die Signaturen auf derselben Nachricht erstellt werden, die nicht angegeben wird, wenn sie nur für jeden TX erstellt werden. Kann jemand bestätigen, dass dies der Grund ist, warum es nicht interaktiv funktioniert, da Personen, die tx signieren, bereits wissen müssten, welche anderen tx im Block sein werden?

Die Frage klingt etwas verwirrt – die Schnorr-basierte Signaturaggregation ist interaktiv, und das ist das Problem. Ich hoffe, ich habe es in meiner Antwort angesprochen, aber lassen Sie es mich wissen, wenn ich es verpasst habe.
Ja, das war es und ja, das hast du. Würden Sie mir erlauben, meine Frage später zu bearbeiten, indem ich einen Teil Ihrer Definitionen in die Frage verschiebe?

Antworten (1)

Zuerst eine Definition:

  • Ein Mehrfachsignaturschema ist ein Schema, bei dem mehrere Parteien gemeinsam eine Signatur für eine einzelne Nachricht erstellen, die anhand des Satzes aller teilnehmenden öffentlichen Schlüssel verifiziert werden kann.
  • Ein aggregiertes Signaturschema ist ein Schema, bei dem mehrere Parteien gemeinsam eine Signatur erstellen, jede für ihre eigene Nachricht, die gegen den Satz aller (Pubkey, Message)-Paare verifiziert werden kann.

MuSig ist ein Multisignatur-Schema, das zufällig auch etwas namens Schlüsselaggregation unterstützt . Schlüsselaggregation bedeutet, dass die herauskommende Signatur alternativ auch durch einen Verifizierer verifiziert werden kann, der die öffentlichen Schlüssel der einzelnen Unterzeichner nicht kennt, sondern nur eine Aggregation davon. Die Schlüsselaggregation hat nichts mit der Signaturaggregation zu tun; Wir sprechen hier immer noch von einem Multisignaturschema und nicht von einem aggregierten Signaturschema.

Als nächstes kommt das Konzept der Interaktivität: An welchem ​​Punkt müssen die Unterzeichner in einem dieser Schemata interagieren? Alle (derzeit bekannten) Schnorr-basierten Signaturschemata (einschließlich Multisignaturschemata wie MuSig) sind interaktiv; entweder zur Einrichtungszeit oder zur Unterzeichnungszeit. Das bedeutet, dass sich alle Unterzeichner irgendwann kennen und miteinander kommunizieren müssen, um die gemeinsame Unterschrift zu leisten.

Wenn wir über blockweite aggregierte Signaturen sprechen, brauchen wir zwei Dinge:

  • Ein aggregiertes Signaturschema – kein Multisignaturschema. Jede Transaktion ist offensichtlich eine eigene Botschaft, die ihre Teilnehmer abzeichnen. Da Transaktionen unabhängig von Blöcken erstellt werden, können Sie nicht erwarten, dass alle Teilnehmer dieselbe Nachricht signieren.
  • Nicht-Interaktivität . Es kann nicht verlangt werden, dass alle Parteien, deren Transaktionen in denselben Block aufgenommen werden sollen, miteinander kommunizieren. Um ein extremes Beispiel zu nennen, können Transaktionen vorab unterzeichnet worden sein, bevor sie aufgenommen werden.

MuSig ist beides nicht. Es ist möglich, analog dazu ein aggregiertes Signaturschema zu konstruieren, wie es im MuSig(1)-Papier , Anhang A, beschrieben ist, obwohl es einige überwindbare Fallstricke gibt, die es zu vermeiden gilt. Der Interaktivitätsteil ist jedoch unlösbar: keine auf diskreten Logarithmen basierenden Signaturschemata, die bekannt sind, unterstützen eine nicht-interaktive Aggregation. Nicht-interaktive Aggregations-Signaturschemata sind jedoch unter Verwendung von paarungsbasierter Kryptografie möglich, aber diese fügen zusätzliche Sicherheitsannahmen hinzu.

Zunächst vielen Dank für die Überprüfung der Notation und die Bereitstellung klarer Definitionen. Da ich nur ein Hobby-Kryptograph bin, habe ich in meiner mentalen Repräsentation mit Sicherheit Schlüssel- und Signaturaggregation verwechselt! Sie sagen jedoch, dass der Interaktivitätsteil unlösbar ist. Ist das beweisbar oder kennen wir einfach keine Möglichkeit, dies zu tun? Während zu sagen, dass wir keinen Weg kennen, dies zu tun, ist dies technisch eine Antwort auf meine Frage. Ich bin gespannt, ob wir einen theoretischen Einblick haben, warum dies schwierig ist / noch nicht gefunden wurde
Ich glaube nicht, dass es einen Beweis dafür gibt, dass dies unmöglich ist, aber ich kann eine gewisse Intuition geben: Diese Signaturschemata erfordern eine (gute) Zufälligkeit, die von allen Teilnehmern bereitgestellt werden muss, und sie müssen sich auf diese Zufälligkeit einigen, bevor sie unterschreiben können. Diese Vereinbarung scheint mindestens eine Interaktionsrunde zwischen ihnen zu erfordern. Die paarungsbasierten Schemata, die eine nicht-interaktive Aggregation unterstützen, beinhalten alle keine Zufälligkeit.
Alle (derzeit bekannten) Schnorr-basierten Signaturschemata (einschließlich Multisignaturschemata wie MuSig) sind interaktiv; entweder zur Einrichtungszeit oder zur Unterzeichnungszeit. “. Was sind einige Beispiele für Schemata, die eine Interaktion nur zur Einrichtungszeit erfordern?
MuSig2 hat zwei Runden, von denen die erste vorberechnet werden kann (dh durchgeführt wird, bevor die Nachricht bekannt ist). Wenn Sie das tun, wird die erste Runde effektiv Teil des Setups, das dann interaktiv ist, aber das Signieren ist nur eine einzige Runde.
Warum ist die vollständige blockweite Signaturaggregation von Schnorr-Signaturen nicht interaktiv?
AntwortenHierDatenschutz-Bestimmungen1y, 0v