Bitcoin Magazine
Nicht ecdsa. Nicht Schnorr. Dahlias treffen.
Aggregatsignaturen sind nicht neu. Sie gibt es seit den frühen 2000er Jahren. Der Aufbau eines, das tatsächlich in Bitcoins Sicherheitsmodell mit Bitcoins elliptischer Kurve arbeitet, ist nie bewiesen. Entwickler spekulierten, dass dies möglich sein könnte. Sie teilten Handwellenkizzen mit und sagten: „Vielleicht würde es wie wie funktionieren wie Musik2aber über Transaktionseingänge hinweg. “ Die Idee blieb jahrelang als Entwickler Folklorenah, nie nachweislich bestätigt.
Dies änderte sich kürzlich, als Jonas Nick und Tim Ruffing von Blockstream -Forschung zusammen mit Yannick Seurin of Ledger ein Papier veröffentlichten, das diese kryptografische Geistergeschichte in ein konkretes, nachweisbares Ergebnis verwandelte. Dahlien ist der erste formelle, sichere Bau von a CISA-Programm (Vollstadiums-Signature) in voller Größe Das funktioniert auf Bitcoins native Kurve!
Aber das sind viele Worte, also lass uns das aufschlüsseln:
- Volle Aggregation: Mehrere Signaturen über verschiedene Eingänge werden zu einem kombiniert – und das Ergebnis ist eine 64 -Byte -Signatur, deren Größe konstant bleibt, unabhängig davon, wie viele Unterzeichner oder Eingaben.
- Cross-Input: Jeder Unterzeichner kann verschiedene Eingaben autorisieren und alle zu einer Signatur kombinieren.
Es fügt keine signifikanten neuen Annahmen hinzu, auf die sich bereits von Bitcoin stützten. Dahlias baut einen neuen kryptografischen Primitiv mit demselben Mathematik -Bitcoin auf, auf das sich bereits angewiesen ist und eine völlig neue Art von Signatur entsperren.
Sprechen wir über Kurven und Unterschriften
Digitale Signaturen beweisen, wie Bitcoin beweist, dass ein Benutzer eine Transaktion autorisiert hat. Wenn Sie Bitcoin ausgeben, verwendet Ihre Brieftasche einen privaten Schlüssel, um eine Nachricht zu unterschreiben, und das Netzwerk überprüft diese Signatur mithilfe des passenden öffentlichen Schlüssels.
Bitcoin verwendet die SECP256K1 Kurve. Es ist schnell, effizient und wurde im Laufe der Zeit am Kampf getestet. Es unterstützt Unterschriftenschemata wie ECDSA (Bitcoins ursprünglicher Signaturalgorithmus) und Schnorr (Hinzugefügt über Taproot im Jahr 2021), die derzeit die einzigen Signaturschemata sind, die durch Bitcoin -Konsens zulässig sind.
Traditionell beruhte die vollständige Signaturaggregation auf mathematische Operationen, die nicht von Bitcoin’s Kurve Secp256K1 unterstützt wurden, was es unerreichbar erscheinen ließ. Diese Merkmale haben sich in der Regel auf andere Arten von elliptischen Kurven verlassen. Beispielsweise verwenden BLS-Signaturen (Boneh-Lynn-Shacham) eine spezielle Art von Kurve, die als pairing-freundliche Kurve bezeichnet wird und die erweiterte Operationen ermöglicht, wie das Kombinieren vieler Signaturen, auch auf verschiedenen Nachrichten, zu einer zu einer.
Das Problem ist, dass BLS -Signaturen nicht auf SecP256K1 funktionieren. Während Schnorr ein natürliches Upgrade von ECDSA war, da beide auf derselben elliptischen Kurve angewiesen sind, wäre das Hinzufügen von BLS ein viel größerer Sprung und eine Abkehr vom bestehenden Sicherheitsmodell von Bitcoin. Obwohl technisch möglich, würde es neue kryptografische Annahmen einführen und dem Protokoll erhebliche Komplexität verleihen. Unterstützung einer Kurve, die sich kombiniert, wie BLS12-381wäre sein Eine große Veränderung für Bitcoin.
Dies ist ein Teil dessen, warum die vollständige Signaturaggregation noch nie auf SecP256K1 durchgeführt wurde.
Bisher.
Was aggregierte Unterschriften tatsächlich tun
Die meisten Bitcoin -Benutzer sind mit Multisignaturen vertraut. In a Multisig Brieftasche, mehrere Personen autorisieren gemeinsam die Ausgaben eines einzelnen UTXO oder einer bestimmten „Münze“. Jeder unterschreibt die gleichen Eingabedaten. Dieses Setup ist nützlich für Dinge wie gemeinsame Sorgerechtsbrieftaschen.
Aggregierte Unterschriften anders arbeiten. Anstelle von mehreren Personen, die dieselbe Eingabe oder Münze unterschreiben, autorisiert jeder Signator einen anderen UTXO in einer Transaktion. Diese separaten Signaturen werden dann zu einem kompakten Beweis komprimiert. Mit Dahlias bedeutet das a Single 64-Byte-Signatur Auf der SECP256K1 -Kurve von Bitcoin, die alle Eingänge gleichzeitig überprüft.
Das heißt, wenn Sie fünf Eingaben von fünf verschiedenen Personen haben, benötigt die Transaktion fünf verschiedene Signaturen. Mit einer Gesamtsignatur können alle in einem gebündelt werden. Selbst wenn jeder Unterzeichner einen anderen Eingang ausgibt und einen anderen Teil der Transaktion unterzeichnet, ist das Ergebnis eine Signatur, die beweist, dass die gesamte Transaktion ordnungsgemäß autorisiert war.
Es ist wie eine ganze Liste von Genehmigungen in eine Datei. Die Signatur ist kompakt, beweist jedoch nachweislich, dass jeder Unterzeichner seinen spezifischen UTXO autorisiert hat.
Anstatt 10 separate Signaturen zu überprüfen, überprüfen Sie eine.
Dies hilft, Anreize für Privatsphäre neu auszurichten. Durch die Reduzierung des Signature-Overheads auf einen einzelnen 64-Byte-Proof, Dahlias senkt die Kosten für die Kombination von Inputs in Coinjoins, Es finanziell schlauer, Privatsphäre zu wählen, als ohne sie zu gehen.
Warum die Halbaggregation nahe kam
Kurz nachdem Schnorr -Signaturen auf Bitcoin eingeführt wurden, erkundeten die Entwickler Halbaggregationum mehrere Signaturen zu komprimieren, aber keine feste Größe. Jeder Eingang trägt zur Größe der Signatur bei, sodass die Transaktion bei jedem Teilnehmer immer noch wächst. Dahlias behebt dies durch Aktivieren Vollmacht über Eingänge und Unterzeichner hinweg. Unabhängig davon, wie viele Menschen beteiligt sind oder was sie unterschreiben, werden alle ihre Unterschriften zu einer konstanten Größe von 64-Byte-Proof komprimiert.
Was Dahlien tatsächlich freigeschaltet
Der Hauptvorteil hier ist, dass Dahlien die Größe komplexer Transaktionen verringern.
Dahlias verwendet einen interaktiven Unterzeichnungsprozess mit zwei Runden. Es ähnelt in dieser Hinsicht zu MUSIG2, aber es ist kein Multisignatur-Protokoll, da nicht alle Teilnehmer dieselbe Nachricht co-signieren müssen. Stattdessen werden verschiedene Signaturen für verschiedene Nachrichten über die Transaktion zusammengefasst.
Dahlias ist ebenfalls schneller zu überprüfen, als jede Signatur einzeln zu überprüfen, in einigen Fällen bis zu doppelt so schnell. Niedrigere Überprüfungskosten erleichtern es mehr Menschen, volle Knoten zu betreiben, was dazu beiträgt, die Dezentralisierung von Bitcoin im Laufe der Zeit zu erhalten.
Wichtig ist, dass Dahlias starke kryptografische Garantien mit sich bringt. Das Programm enthält formelle Sicherheitsnachweise. Frühere “Folklore” -Ansätze zur vollständigen Signaturaggregation fehlten dies, und einige wurden sogar später als unsicher erwiesen. Glücklicherweise wurden sie nicht vorzeitig adoptiert.
Es lohnt sich zu wiederholen: Dahlias ist kein Multisig -Protokoll. Es ist nicht vergleichbar mit MUSIG2 oder Frost aus funktionaler Sicht, auch wenn es ähnliche kryptografische Bausteine aufweist. Es dient einem anderen Zweck. Es bietet eine neue Möglichkeit, viele unabhängige Genehmigungen in ein sauberes, überprüfbares Paket zu codieren.
Zukünftige Anweisungen
Sie könnten denken: Wenn Dahlias so mächtig ist, warum ist es dann kein BIP? Warum schlagen Sie es nicht für den Bitcoin -Konsens vor?
Dahlias Signaturen sehen nicht aus wie Schnorr- oder ECDSA -Unterschriften. Der Verifizierungsalgorithmus ist unterschiedlich. Anstatt einen einzelnen öffentlichen Schlüssel, eine Nachricht und eine Signatur zu übernehmen, nimmt ein Dahlias -Verifizierer ein Listen von öffentlichen Schlüssel und Nachrichten und einem einzigen 64-Byte-Beweis.
Dies macht Dahlias unvereinbar mit den aktuellen Konsensregeln von Bitcoin. Die Unterstützung an der Basisschicht würde eine Konsensänderung erfordern. Dieses Papier schlägt diese Veränderung nicht vor, aber es tut etwas gleichermächtig.
Dieses Papier zeigt, dass ein volles Signatur -Aggregationsschema für die native Kurve von Bitcoin möglich ist.
Das allein ist ein großer Schritt nach vorne.
Um Dahlias zu einem Teil von Bitcoin zu machen, müsste jemand einen Bitcoin -Verbesserungsvorschlag (BIP) schreiben, vielleicht sogar verwenden SECP256K1LAB. Dies bedeutet, das System ausführlich anzugeben, seine Auswirkungen auf Konsens und Implementierung zu berücksichtigen und die Unterstützung der Gemeinschaft aufzubauen. Dieses Papier legt die kryptografische Grundlage für dieses Gespräch.
Der wahre Wert des Dahlias -Papiers ist das, was es beweist. Die vollständige Signaturaggregation auf SecP256K1 ist nicht nur ein Gedankenexperiment. Es ist konkret. Es ist effizient. Es ist sicher. Die Idee lebte jahrelang in der Entwickler -Folklore. Jetzt wird es niedergeschrieben, analysiert und bewiesen. Alles, was übrig bleibt, ist, es nach Bitcoin zu bringen – wenn wir es wollen.
Dies ist ein Gastbeitrag von Kiara Bickers. Die geäußerten Meinungen sind ganz ihre eigenen und spiegeln nicht unbedingt die von BTC INC oder Bitcoin Magazine wider.
Dieser Beitrag Nicht ecdsa. Nicht Schnorr. Dahlias treffen. zuerst erschienen auf Bitcoin Magazine und wird geschrieben von Kiara -Streit.
