Im MuSig2- Papier wird Folgendes beschrieben:
Jeder Unterzeichner generiert zufällig ein Nonce Ri=g^ri und teilt es anderen mit; dann berechnet jeder von ihnen R=∏ni=1Ri,c=H( ̃X,R,m)wobei ̃X=∏ni=1Xi das Produkt der einzelnen öffentlichen Schlüssel ist
Ich würde erwarten, dass eine Operation von zwei oder mehr Punkten auf einer elliptischen Kurve als Additionsoperation beschrieben wird, wie z. B. die Summe der einzelnen öffentlichen Schlüssel {X1 ... Xn} (nicht das Produkt der einzelnen öffentlichen Schlüssel). Das Papier beschreibt die Aggregation von öffentlichen Schlüsseln und öffentlichen Nonce-Werten als Produkt. Verstehe ich die tatsächliche Operation falsch, die hier auftritt? Warum ist dies das Produkt von Kurvenpunkten?
Mit anderen Worten: Mein Verständnis ist, dass das Hinzufügen von Punkten auf der Kurve die geometrische Operation beinhaltet, eine Linie zwischen zwei Punkten zu zeichnen und den dritten Punkt zu finden, der die Kurve schneidet (mit Spiegelung über die x-Achse). Wenn es darum geht, Dinge wie das Kombinieren von öffentlichen Schlüsseln und öffentlichen Nonces zu tun, findet immer noch dieselbe geometrische Operation statt? Wird das nicht immer noch als „Hinzufügen“ von Punkten auf der Kurve bezeichnet?
Dies ist eine reine Notationssache.
Die Punkte auf der elliptischen Kurve bilden eine zyklische Gruppe. Eine Gruppe ist eine Menge mit einem zugeordneten Identitätselement und einer Gruppenoperation. Die Menschen brauchen ein Symbol für diese Gruppenoperation. In einigen Kontexten ist es üblicher, ein Additionssymbol zu verwenden (und eine Multiplikation, die eine wiederholte Anwendung der Gruppenoperation darstellt), und in anderen Kontexten ist es üblicher, ein Multiplikationssymbol (und eine Potenzierung, die eine wiederholte Anwendung der Gruppenoperation darstellt) zu verwenden.
Beide Notationen werden häufig verwendet und haben keine Auswirkungen auf die eigentlichen Operationen. Es ist nur eine Frage, wie man was schreibt. Es gibt sogar ziemlich hitzige Debatten zu diesem Thema. Vielleicht fällt Ihnen sogar auf, dass einer der Autoren des MuSig2-Papiers diesen Thread kommentiert.
Eine Sache, die dies erklären könnte, ist, dass das MuSig2-Papier niemals elliptische Kurven erwähnt. Es braucht primärgeordnete Gruppen, in denen bestimmte Annahmen gelten, aber darüber hinaus könnte es jede Gruppe sein - und das Papier sagt in Abschnitt 3.1, "Die Gruppe G wird multiplikativ bezeichnet". Dies ist bei den meisten Kryptografien der Fall, die auf dem Problem des diskreten Logarithmus basieren: Es funktioniert für jede Gruppe. Und historisch gesehen waren die ersten Gruppentypen, die für diesen Zweck verwendet wurden, ganze Zahlen modulo a Primzahlen (mit bestimmten anderen Einschränkungen) - wobei die Multiplikation die offensichtliche Wahl für das Symbol ist. Sie können auch feststellen, dass es das Problem des „diskreten Logarithmus“ und nicht das Problem der „diskreten Division“ genannt wird.
Gleichzeitig haben Sie im Zusammenhang mit elliptischen Kurven natürlich Recht, dass die Operation Punktaddition genannt wird - und ihre wiederholte Anwendung Punktmultiplikation. Ich persönlich bevorzuge es auch, da Sie eine offensichtlichere Entsprechung zwischen Skalar- und Gruppenoperationen erhalten (z. B. s = k + H (R, P, m) x zum Berechnen einer Schnorr-Signatur vs. s·G = k·G + H (R,P,M)·x·G = R + H(R,P,m)·P zur Verifikation, im Gegensatz zu G s = R·P H(R,P,m) in multiplikativer Schreibweise), und vermeidet manchmal verschachtelte Schichten von hochgestellten Zeichen im Satz.
BEARBEITEN: Tim Ruffing wies mich darauf hin, dass der wahre Grund für die Verwendung der multiplikativen Notation in MuSig2 darin besteht, dass das Papier als Überarbeitung des MuSig-Papiers begann , das ebenfalls die multiplikative Notation verwendete. Das MuSig-DN-Papier verwendet jedoch eine additive Notation.
Jordan PedersenVerpflichtungen