Ich verstehe, dass Schnorr-Signaturen eine Verbesserung gegenüber ECDSA bieten, da sie feste 64 Bytes anstelle des längeren ECDSA-Sig-Formats sind, aber ich sehe nicht, wie dies in irgendeiner Situation außer Multisig ein Vorteil gegenüber ECDSA ist.
Mit ECDSA können Transaktionen signiert und verifiziert werden, ohne dass der Pubkey des Unterzeichners in die Nachricht aufgenommen werden muss. Schnorr (wie im letzten BIP beschrieben) hat diesen Vorteil jedoch nicht, was bedeutet, dass für jede Transaktion, die nicht von einer Multisig-Adresse stammt, der erforderliche Speicherplatz zum Speichern aller für die Verifizierung erforderlichen Daten unter ECDSA (unter der Annahme einer 64 Byte-Schnorr-Sig mit einem komprimierten 33-Byte-Pubkey im Vergleich zu einer ~71-Byte-ECDSA-Sig ohne Pubkey).
Warum steht Schnorr in diesem Zusammenhang so im Fokus? Machen Multisig-Transaktionen genug von Bitcoins Last aus, dass Schnorr so bedeutend wäre? Und warum wurde wenig bis gar kein Fokus auf die Implementierung von Transaktionen ohne Speicherung von Pubkeys gelegt (was Ethereum die ganze Zeit getan hat)?
Ihre Frage scheint anzunehmen, dass das einzige Ziel darin besteht, die Transaktionsgröße auf der Kette zu minimieren. Die Reduzierung der Größe und der damit verbundenen Kosten ist sicherlich etwas, das verbessert werden kann, aber es ist bei weitem nicht das Einzige. Die Hauptvorteile des Schnorr-Vorschlags sind:
Was Ihren konkreten Vorschlag betrifft, die Wiederherstellung öffentlicher Schlüssel zu verwenden, um die Veröffentlichung des öffentlichen Schlüssels in einer Ausgabe zu vermeiden, gibt es einige Argumente dagegen:
Beachten Sie auch, dass das Fehlen der Wiederherstellung öffentlicher Schlüssel nicht Schnorr eigen ist – es ist ein Ergebnis der Wahl von Schnorr mit Schlüsselpräfix. Es ist besser, es als Kompromiss zwischen 3 Eigenschaften zu sehen:
Bei Schnorr mit Schlüsselpräfix fehlt die Wiederherstellung öffentlicher Schlüssel. Schnorr ohne Schlüsselpräfix leidet unter Schlüsselverformbarkeit. Der ECDSA fehlt die Linearität. Es scheint nicht möglich, ein Signaturschema zu konstruieren, das alle drei enthält.
Lew Knoblock
Pieter Wuille
Martin Wseticka
Pieter Wuille
noɥʇʎʀʎzɐɹƆ
Pieter Wuille