Schnorr簽名與比特幣多簽詳細(xì)介紹

DAEX Lab將持續(xù)為各位區(qū)塊鏈技術(shù)愛好者與開發(fā)者帶來相關(guān)的基礎(chǔ)知識(shí)與熱門討論，深度剖析區(qū)塊鏈底層算法、經(jīng)濟(jì)模型、系統(tǒng)架構(gòu)和應(yīng)用開發(fā)等方面的硬核干貨與技術(shù)細(xì)節(jié)。

比特幣網(wǎng)絡(luò)可能在2020年上線Schnorr簽名，來替代目前正在使用的基于Secp256k1曲線的ECDSA簽名算法用于多重簽名。那么Schnorr簽名是什么，與目前的簽名算法有何不同，與目前算法相比優(yōu)勢(shì)如何，應(yīng)用端錢包將會(huì)怎樣變化，本文將為你一一介紹。

一、ECDSA簽名回顧

數(shù)字簽名是對(duì)簽名的數(shù)字模擬。最早的數(shù)字簽名算法是由Rivest、Shamir、Adleman三人于1978年提出的RSA簽名算法，其安全性基于大整數(shù)分解的難解性，廣泛地運(yùn)用于數(shù)字認(rèn)證與CA等領(lǐng)域。但是由于RSA算法的密鑰尺寸較大，存儲(chǔ)效率不及后來的基于橢圓曲線的簽名算法。所以目前廣泛運(yùn)用于密碼貨幣的簽名幾乎都是ECDSA算法，只是所基于的底層橢圓曲線不同。ECDSA的安全性是基于橢圓曲線離散對(duì)數(shù)難解性。

二、比特幣簽名算法--基于 SECP256k1 曲線的ECDSA

比特幣目前所使用的簽名算法是基于SECP256k1 曲線的ECDSA算法。將交易的詳細(xì)信息m作消息摘要，即z=SHA256（m），對(duì)摘要z作核心簽名算法。

密碼學(xué)意義上安全的數(shù)字簽名需要通過添加隨機(jī)數(shù)來實(shí)現(xiàn)簽名的隨機(jī)性。但是根據(jù)RFC6979標(biāo)準(zhǔn)，簽名算法中的隨機(jī)數(shù)是從消息摘要z中提取出，這不是密碼學(xué)意義上的隨機(jī)數(shù)。這個(gè)方案在眾多密碼學(xué)代碼庫中，并應(yīng)用于大多數(shù)區(qū)塊鏈項(xiàng)目中。

另一方面，ECDSA簽名方案中，對(duì)于簽名并沒有擴(kuò)展性。換句話說，如果2個(gè)簽名，必須用各自的公鑰來驗(yàn)證各自簽名的合法性，沒有方法能一次性驗(yàn)證兩個(gè)簽名是否都正確。更精確地說，例如Alice擁有私鑰sk，她對(duì)于消息摘要z 所作出的簽名σ，只有私鑰sk對(duì)應(yīng)的公鑰pk才能驗(yàn)證通過。并且如果Bob擁有私鑰sk‘，sk’對(duì)應(yīng)的公鑰是pk‘，他對(duì)于同樣的消息摘要z 所作出的簽名是σ’，除非單獨(dú)驗(yàn)證σ在pk合法并且σ‘在pk’合法，沒有一種算法層面的方法能得到一個(gè)Alice和Bob共同的簽名σs，并且這個(gè)簽名可以驗(yàn)證它是由Alice和Bob共同參與并產(chǎn)生的，而這在比特幣的多重簽名環(huán)境中有強(qiáng)烈的需求。這種方式可以大幅度降低多簽的存儲(chǔ)資源和計(jì)算資源。

三、Schnorr簽名的平凡方案

Schnorr簽名可以解決上面所提出的多簽消耗資源的問題。Schnorr是由Claus-Peter Schnorr在1989年美密會(huì)上提出的數(shù)字簽名算法，并申請(qǐng)了專利保護(hù)。就簽名算法本身而言，它相對(duì)于ECDSA算法具有，可證明安全性、可擴(kuò)展性的特點(diǎn)。

主要算法實(shí)現(xiàn)如下：

初始化：

G：橢圓曲線基點(diǎn)，橢圓曲線算術(shù)群

密鑰產(chǎn)生：

用戶私鑰：x

公鑰：X=xG

簽名：

2.1 選擇隨機(jī)數(shù)r

2.2 計(jì)算R=rG

2.3 計(jì)算s=r+H（X，R，m）x

2.4 輸出簽名（R，s）

驗(yàn)簽：

驗(yàn)證sG==R+H（X，R，m）X

可以看出Schnorr簽名也基于橢圓曲線算術(shù)，目前廣泛部署于各大代碼庫、芯片指令中的底層算術(shù)模塊依然可以有效利用，但是需要將再重新從底層接口封裝指令來實(shí)現(xiàn)Schnorr算法。這點(diǎn)對(duì)于軟件錢包升級(jí)比較便利。但是對(duì)于硬件錢包，升級(jí)成本可能較高。

四、Schnorr簽名方案的線性性質(zhì)

假設(shè)Alice和Bob分別對(duì)于消息m進(jìn)行簽名。具體地，假設(shè)Alice的公私鑰對(duì)為（x1，X1=x1G），Bob的公私鑰對(duì)為（x2，X2=x2G），

以上Alice和Bob分別通過各自的私鑰同時(shí)對(duì)于相同的消息摘要h計(jì)算簽名，得 到σ1和σ2并公布，其他驗(yàn)證人在獲得這兩個(gè)簽名之后，結(jié)合Alice和Bob各自的公鑰X1和X2，令X=X1+X2， σ=（R1+R2，s1+s2），那么用“公鑰和”X來可以來驗(yàn)證“簽名和”σ的合法性。這里發(fā)現(xiàn)，簽名的結(jié)構(gòu)是具有線性性質(zhì)的。并且根本無法區(qū)分σ是通過求和的方式還是原始簽名的方式作出的。這一性質(zhì)可以用來作數(shù)字資產(chǎn)的多簽方案來替代現(xiàn)在基于腳本的多簽協(xié)議。

以上的方案只是為了展示Schnorr簽名的線性性，并不能直接用于實(shí)際應(yīng)用，因?yàn)檫@個(gè)方案可能會(huì)導(dǎo)致Rouge key Attack。

五、基于Schnorr簽名的多簽方案

5.1多簽方案

以n-of-m多簽方案為例。

1、假設(shè)有m個(gè)參與者，其中每個(gè)參與者Ui擁有公私鑰對(duì)（xi，Xi=xiG）。

2、對(duì)于所有的m個(gè)參與者，令

3、對(duì)于n個(gè)參與多簽的簽名人，不妨設(shè)前n個(gè)為簽名人。每個(gè)簽名人Uj，Rj=rjG，rj是Uj選擇的隨機(jī)數(shù)，Uj與其他簽名人共享Rj。再令

4、每個(gè)簽名人Uj計(jì)算，其中m是交易數(shù)據(jù)。

5、再令

（R，s）是一n-of-m多簽簽名。可以在公鑰（注意是n個(gè)簽名者的“公鑰和”）下可驗(yàn)簽通過。

5.2 錢包服務(wù)架構(gòu)

錢包分為服務(wù)器端（S端）和客戶端（C端），C端將有多個(gè)邏輯點(diǎn)，對(duì)應(yīng)多個(gè)用戶。

C端：

1、m個(gè)參與者各自創(chuàng)建公私鑰對(duì)

2、m個(gè)參與者將各自公鑰發(fā)送給S端

3、n個(gè)簽名人各自選擇隨機(jī)數(shù)rj，并計(jì)算Rj=rjG，將Rj發(fā)送給S端

4、n個(gè)簽名人各自計(jì)算sj=rj+H（X，R，m）H（L，Xj）xj并發(fā)送給服務(wù)器

S端：

1、收集m個(gè)參與者的公鑰，并計(jì)算

并將L和X廣播發(fā)送給m個(gè)參與者。X是“公鑰和”，可作為多簽地址；

2、收集n個(gè)簽名人的Rj，并計(jì)算

將R廣播發(fā)送給n個(gè)簽名人；

3、收集n個(gè)簽名人的sj，并計(jì)算

將（R，s）編碼在原始交易數(shù)據(jù)中，并廣播到主網(wǎng)。

這里的S端和C端只是邏輯上的，可以在一個(gè)物理設(shè)備上既有S端也有C端，也可能是多個(gè)物理設(shè)備上的。

六、結(jié)論

對(duì)于Schnorr的線性性質(zhì)以及簽名可累積性質(zhì)，使得在比特幣多簽交易的執(zhí) 行中，不需 要過多的用戶簽名數(shù)據(jù)，只需要“簽名和”與“公鑰和”即可驗(yàn)證交易合法性。這會(huì)讓比特幣的多簽交易大小大幅降低，從而區(qū)塊能容納的多簽交易數(shù)量得到較大提高。以2-3多簽為例，目前比特幣多簽的鎖定腳本需要3個(gè)公鑰地址，這部分會(huì)被壓縮為腳本，所以升級(jí)之后大小無變化，但是解鎖腳本需要2個(gè)公鑰與2個(gè)簽名，在升級(jí)為Schnorr之后，只需要一個(gè)“公鑰和”與“簽名和”。對(duì)于更通用的n-m多簽，目前比特幣多簽的解鎖腳本需要n個(gè)公鑰與n個(gè)簽名，Schnorr簽名依然只需要一個(gè)“公鑰和”與一個(gè)“簽名和”。也就是說簽名人越多，Schnorr簽名的空間利用率越高。

數(shù)字資產(chǎn)的存儲(chǔ)是DAEX生態(tài)的重要環(huán)節(jié)，為了及時(shí)響應(yīng)比特幣的這次重要的底層升級(jí)，DAEX正在積極研發(fā)和升級(jí)自己的軟硬件錢包，會(huì)在比特幣主網(wǎng)上線Schnorr簽名的第一時(shí)間支持Schnorr多簽。如果Schnorr簽名在比特幣上的創(chuàng)新獲得成功，我們可以想象將會(huì)有更多的數(shù)字資產(chǎn)支持Schnorr多簽，我們會(huì)在積極地支持用戶運(yùn)用Schnorr多簽來保護(hù)自己的數(shù)字資產(chǎn)。