Was ist der Unterschied zwischen Schlüsselaggregation (z. B. MuSig) und Signaturaggregation ?
Viele Menschen (mich eingeschlossen) haben diese Begriffe in der Vergangenheit synonym verwendet. Warum ist es wichtig, darauf zu achten, den richtigen Begriff in seiner richtigen Umgebung zu verwenden?
Wie Pieter Wuille hier feststellt , wird die Schlüsselaggregation zum Zeitpunkt der Adresserstellung abgeschlossen, nicht zum Zeitpunkt des Signierens oder nach dem Signieren.
Natürlich hat die Schlüsselaggregation Auswirkungen auf den Signaturalgorithmus, und das ist wahrscheinlich einer der Hauptgründe, warum es sinnvoll ist, dies vor CISA zu tun: Die Arbeit, die zur Unterstützung der MuSig-Signierung in der Brieftasche erforderlich ist, wird eine Weile dauern, aber es ist CISA ziemlich ähnlich Unterzeichnung.
Warum ist die Schlüsselaggregation besser? Weil es bedeutet, dass die Originalschlüssel niemals an der Kette landen. Mit Signaturaggregation haben Sie immer noch On-Chain-Schlüssel, aber mit 1 Signatur.... Schlüsselaggregation bedeutet, dass die Konsensregeln sogar das Konzept der Aggregation völlig vergessen können.
Nachteil: Die Schlüsselaggregation kann nicht eingabeübergreifend verwendet werden, da Sie nicht vorhersagen können, welche UTXOs zusammen ausgegeben werden.
In der Zwischenzeit wird die Signaturaggregation zum Zeitpunkt des Signierens oder nach dem Signieren abgeschlossen, nicht zum Zeitpunkt der Adresserstellung. Um es zu implementieren, wäre möglicherweise ein bestimmter Opcode erforderlich, der mehrere Schlüssel berücksichtigt.
Signaturaggregation impliziert einen Verifizierungsalgorithmus, der eine Liste von (Nachricht, Pubkey)-Paaren und eine Signatur empfängt.
Sie können die Schlüsselaggregation als Sonderfall der Signaturaggregation betrachten, da die aggregierte Signatur auch eine gültige "Einzelschlüssel"-Signatur für den aggregierten Schlüssel ist. Aber konzeptionell gibt es einen großen Unterschied, wie sie implementiert werden würden.
Warum ist es wichtig, darauf zu achten, den richtigen Begriff in seiner richtigen Umgebung zu verwenden?
Der vorgeschlagene Soft Fork von Taproot ermöglicht überhaupt keine Signaturaggregation ( Kreuzeingabe oder anderweitig), es erleichtert Schlüsselaggregationsschemata, z. B. MuSig. Wie Pieter sagt, haben die Konsensregeln von Taproot und Schnorr kein Bewusstsein für Aggregation. Wenn Sie also sagen, dass Taproot die Signaturaggregation aktiviert, ist dies falsch und wird verwirren. Darüber hinaus wird bei der Diskussion darüber, welche Soft Fork(s) möglicherweise auf Taproot folgen könnten, die Aktivierung der Signaturaggregation eine Kandidatenfunktion sein, die ernsthaft in Betracht gezogen wird, da die Einsparungen beim Blockplatz erheblich sein könnten. (Beachten Sie, dass Zeugendaten bereits nach SegWit abgezinst sind). Die Schlüsselaggregation ermöglicht es Ihnen, Schlüssel innerhalb einer Eingabe zu aggregieren , aber die Aggregation von Cross-Input-Signaturen könnte Ihnen möglicherweise ermöglichen, Signaturen zu aggregierenüber Eingänge .
Das Aggregieren von Signaturen nicht nur über Eingaben, sondern über Transaktionen hinweg könnte möglicherweise bedeuten, dass nur eine Signatur für den gesamten Block in die Kette geht. Dies ist jedoch mit der auf diskreten Logarithmen basierenden Kryptografie nicht möglich (siehe Pieters Kommentar unten). Es ist eine nicht interaktive Aggregation erforderlich, da Transaktionsautoren nicht zur Zusammenarbeit aufgefordert werden können. Diese Aggregation muss von Minern durchgeführt werden.
Pieter Wuille