Warum verhindert die blockweite Signaturaggregation Adaptersignaturen?
René Pickhardt
In einem kürzlich erschienenen Video über Halbsignaturen erwähnt Jonas Nick, dass die blockweite Signaturaggregation mit Adaptersignaturen interferiert und Atomic Swaps anbietet (ich vermute über PTLCs).
Ich bin verwirrt darüber, was in diesem Fall kaputt geht. Verstehe ich richtig, dass das Hauptproblem darin besteht, dass die Signatur vom Adaptergeheimnis abhängt? In diesem Fall wäre die Transaktion (einschließlich ihrer Signatur) sowieso bereits im Block fixiert. Die einzige andere Intuition, die ich habe, wäre, dass es ein nicht interaktives Protokoll für Adaptersignaturen behindern könnte, aber das scheint mir auch nicht offensichtlich zu sein, da, soweit ich verstehe, die blockweite Aggregation von den Minern ganz am Anfang durchgeführt würde endet, nachdem alle Unterschriften vorgelegt wurden.
Antworten (2)
Pieter Wuille
Es gibt ein einfaches informationstheoretisches Argument: Wenn zwei Parteien eine Adaptersignatur erstellen, lernt eine Partei eine geheime Optimierung aus der schließlich veröffentlichten On-Chain-Signatur, indem sie sie mit der Adaptersignatur vergleicht, die sie zuvor hatten.
Bei einer blockweiten Signaturaggregation gibt es nur eine einzige Signatur für den gesamten Block. Es gibt einfach keinen Platz für diese einzelne Unterschrift, um mehreren unabhängigen Parteien mehrere unabhängige Geheimnisse preiszugeben.
gijswijs
Die Adaptersignatur s' ist die echte Signatur s abzüglich einer geheimen Optimierung t : s'=st
Die Adaptersignatur wird zusammen mit den elliptischen Kurvenpunkten R für die Nonce und T für die Tweak veröffentlicht, die zu ihren entsprechenden Geheimnissen r und t gehören .
Der Verifizierer kann nun die Verifizierung durchführen und überprüfen, ob alles gültig ist. Danach muss der Prüfer warten, bis die echte Signatur s in der Kette erscheint, um t zu berechnen : t=ss' .
Aber im Fall einer blockweiten Signaturaggregation erscheinen die echten Signaturen nie in der Kette, weil sie in der aggregierten Signatur „verloren“ gehen . Die Gesamtsignatur s_agg ist eine Summe aller anderen Signaturen; im Fall von Signature Half Aggregation ist es eine Summe aller Signaturen, jede multipliziert mit einem unvorhersehbaren Wert z_i:
s_agg ist der einzige Wert, der in der Kette erscheint, und er ist für die Berechnung von t nutzlos .
Ausführlichere Informationen finden Sie hier: https://www.gijsvandam.nl/post/why-does-signature-half-aggregation-break-adaptor-signatures/
Warum ist die vollständige blockweite Signaturaggregation von Schnorr-Signaturen nicht interaktiv?
Wie schwierig ist es, eine ECDSA- (oder Schnorr-) Signatur mit einer bestimmten Anzahl führender Nullen zu generieren?
Wie wird die Konstruktion von Atomic Swaps von Schnorr verbessert?
Wie funktioniert "Nachricht signieren"?
Sind die standardisierten Schnorr-Signaturen von sipa nicht mit Blindsignaturen kompatibel?
Was ist eine Adaptersignatur?
Was ist der "Wert" in einem Segwit-Sig-Hash?
Wie signiere ich eine Nachricht mit dem privaten Schlüssel von Bitcoin?
Warum ist die Signatur immer 65 (1+32+32) Bytes lang?
Können Sie eine Unterschrift in eine Bitcoin-Zahlung einfügen?
gijswijs