Schnorr簽名與比特幣多簽詳細(xì)介紹

DAEX Lab將持續(xù)為各位區(qū)塊鏈技術(shù)愛好者與開發(fā)者帶來相關(guān)的基礎(chǔ)知識與熱門討論，深度剖析區(qū)塊鏈底層算法、經(jīng)濟(jì)模型、系統(tǒng)架構(gòu)和應(yīng)用開發(fā)等方面的硬核干貨與技術(shù)細(xì)節(jié)。

比特幣網(wǎng)絡(luò)可能在2020年上線Schnorr簽名，來替代目前正在使用的基于Secp256k1曲線的ECDSA簽名算法用于多重簽名。那么Schnorr簽名是什么，與目前的簽名算法有何不同，與目前算法相比優(yōu)勢如何，應(yīng)用端錢包將會怎樣變化，本文將為你一一介紹。

一、ECDSA簽名回顧

數(shù)字簽名是對簽名的數(shù)字模擬。最早的數(shù)字簽名算法是由Rivest、Shamir、Adleman三人于1978年提出的RSA簽名算法，其安全性基于大整數(shù)分解的難解性，廣泛地運用于數(shù)字認(rèn)證與CA等領(lǐng)域。但是由于RSA算法的密鑰尺寸較大，存儲效率不及后來的基于橢圓曲線的簽名算法。所以目前廣泛運用于密碼貨幣的簽名幾乎都是ECDSA算法，只是所基于的底層橢圓曲線不同。ECDSA的安全性是基于橢圓曲線離散對數(shù)難解性。

二、比特幣簽名算法--基于 SECP256k1 曲線的ECDSA

比特幣目前所使用的簽名算法是基于SECP256k1 曲線的ECDSA算法。將交易的詳細(xì)信息m作消息摘要，即z=SHA256（m），對摘要z作核心簽名算法。

密碼學(xué)意義上安全的數(shù)字簽名需要通過添加隨機(jī)數(shù)來實現(xiàn)簽名的隨機(jī)性。但是根據(jù)RFC6979標(biāo)準(zhǔn)，簽名算法中的隨機(jī)數(shù)是從消息摘要z中提取出，這不是密碼學(xué)意義上的隨機(jī)數(shù)。這個方案在眾多密碼學(xué)代碼庫中，并應(yīng)用于大多數(shù)區(qū)塊鏈項目中。

另一方面，ECDSA簽名方案中，對于簽名并沒有擴(kuò)展性。換句話說，如果2個簽名，必須用各自的公鑰來驗證各自簽名的合法性，沒有方法能一次性驗證兩個簽名是否都正確。更精確地說，例如Alice擁有私鑰sk，她對于消息摘要z 所作出的簽名σ，只有私鑰sk對應(yīng)的公鑰pk才能驗證通過。并且如果Bob擁有私鑰sk‘，sk’對應(yīng)的公鑰是pk‘，他對于同樣的消息摘要z 所作出的簽名是σ’，除非單獨驗證σ在pk合法并且σ‘在pk’合法，沒有一種算法層面的方法能得到一個Alice和Bob共同的簽名σs，并且這個簽名可以驗證它是由Alice和Bob共同參與并產(chǎn)生的，而這在比特幣的多重簽名環(huán)境中有強(qiáng)烈的需求。這種方式可以大幅度降低多簽的存儲資源和計算資源。

三、Schnorr簽名的平凡方案

Schnorr簽名可以解決上面所提出的多簽消耗資源的問題。Schnorr是由Claus-Peter Schnorr在1989年美密會上提出的數(shù)字簽名算法，并申請了專利保護(hù)。就簽名算法本身而言，它相對于ECDSA算法具有，可證明安全性、可擴(kuò)展性的特點。

主要算法實現(xiàn)如下：

初始化：

G：橢圓曲線基點，橢圓曲線算術(shù)群

密鑰產(chǎn)生：

用戶私鑰：x

公鑰：X=xG

簽名：

2.1 選擇隨機(jī)數(shù)r

2.2 計算R=rG

2.3 計算s=r+H（X，R，m）x

2.4 輸出簽名（R，s）

驗簽：

驗證sG==R+H（X，R，m）X

可以看出Schnorr簽名也基于橢圓曲線算術(shù)，目前廣泛部署于各大代碼庫、芯片指令中的底層算術(shù)模塊依然可以有效利用，但是需要將再重新從底層接口封裝指令來實現(xiàn)Schnorr算法。這點對于軟件錢包升級比較便利。但是對于硬件錢包，升級成本可能較高。

四、Schnorr簽名方案的線性性質(zhì)

假設(shè)Alice和Bob分別對于消息m進(jìn)行簽名。具體地，假設(shè)Alice的公私鑰對為（x1，X1=x1G），Bob的公私鑰對為（x2，X2=x2G），

以上Alice和Bob分別通過各自的私鑰同時對于相同的消息摘要h計算簽名，得 到σ1和σ2并公布，其他驗證人在獲得這兩個簽名之后，結(jié)合Alice和Bob各自的公鑰X1和X2，令X=X1+X2， σ=（R1+R2，s1+s2），那么用“公鑰和”X來可以來驗證“簽名和”σ的合法性。這里發(fā)現(xiàn)，簽名的結(jié)構(gòu)是具有線性性質(zhì)的。并且根本無法區(qū)分σ是通過求和的方式還是原始簽名的方式作出的。這一性質(zhì)可以用來作數(shù)字資產(chǎn)的多簽方案來替代現(xiàn)在基于腳本的多簽協(xié)議。

以上的方案只是為了展示Schnorr簽名的線性性，并不能直接用于實際應(yīng)用，因為這個方案可能會導(dǎo)致Rouge key Attack。

五、基于Schnorr簽名的多簽方案

5.1多簽方案

以n-of-m多簽方案為例。

1、假設(shè)有m個參與者，其中每個參與者Ui擁有公私鑰對（xi，Xi=xiG）。

2、對于所有的m個參與者，令

3、對于n個參與多簽的簽名人，不妨設(shè)前n個為簽名人。每個簽名人Uj，Rj=rjG，rj是Uj選擇的隨機(jī)數(shù)，Uj與其他簽名人共享Rj。再令

4、每個簽名人Uj計算，其中m是交易數(shù)據(jù)。

5、再令

（R，s）是一n-of-m多簽簽名。可以在公鑰（注意是n個簽名者的“公鑰和”）下可驗簽通過。

5.2 錢包服務(wù)架構(gòu)

錢包分為服務(wù)器端（S端）和客戶端（C端），C端將有多個邏輯點，對應(yīng)多個用戶。

C端：

1、m個參與者各自創(chuàng)建公私鑰對

2、m個參與者將各自公鑰發(fā)送給S端

3、n個簽名人各自選擇隨機(jī)數(shù)rj，并計算Rj=rjG，將Rj發(fā)送給S端

4、n個簽名人各自計算sj=rj+H（X，R，m）H（L，Xj）xj并發(fā)送給服務(wù)器

S端：

1、收集m個參與者的公鑰，并計算

并將L和X廣播發(fā)送給m個參與者。X是“公鑰和”，可作為多簽地址；

2、收集n個簽名人的Rj，并計算

將R廣播發(fā)送給n個簽名人；

3、收集n個簽名人的sj，并計算

將（R，s）編碼在原始交易數(shù)據(jù)中，并廣播到主網(wǎng)。

這里的S端和C端只是邏輯上的，可以在一個物理設(shè)備上既有S端也有C端，也可能是多個物理設(shè)備上的。

六、結(jié)論

對于Schnorr的線性性質(zhì)以及簽名可累積性質(zhì)，使得在比特幣多簽交易的執(zhí) 行中，不需 要過多的用戶簽名數(shù)據(jù)，只需要“簽名和”與“公鑰和”即可驗證交易合法性。這會讓比特幣的多簽交易大小大幅降低，從而區(qū)塊能容納的多簽交易數(shù)量得到較大提高。以2-3多簽為例，目前比特幣多簽的鎖定腳本需要3個公鑰地址，這部分會被壓縮為腳本，所以升級之后大小無變化，但是解鎖腳本需要2個公鑰與2個簽名，在升級為Schnorr之后，只需要一個“公鑰和”與“簽名和”。對于更通用的n-m多簽，目前比特幣多簽的解鎖腳本需要n個公鑰與n個簽名，Schnorr簽名依然只需要一個“公鑰和”與一個“簽名和”。也就是說簽名人越多，Schnorr簽名的空間利用率越高。

數(shù)字資產(chǎn)的存儲是DAEX生態(tài)的重要環(huán)節(jié)，為了及時響應(yīng)比特幣的這次重要的底層升級，DAEX正在積極研發(fā)和升級自己的軟硬件錢包，會在比特幣主網(wǎng)上線Schnorr簽名的第一時間支持Schnorr多簽。如果Schnorr簽名在比特幣上的創(chuàng)新獲得成功，我們可以想象將會有更多的數(shù)字資產(chǎn)支持Schnorr多簽，我們會在積極地支持用戶運用Schnorr多簽來保護(hù)自己的數(shù)字資產(chǎn)。