Magazine Bitcoin
Pas ecdsa. Pas schnorr. Rencontrez Dahlias.
Les signatures agrégées ne sont pas nouvelles. Ils existent depuis le début des années 2000. Mais en construire un qui fonctionne réellement dans le modèle de sécurité de Bitcoin, avec la courbe elliptique de Bitcoin, n’a jamais été prouvé. Les développeurs ont spéculé que cela pourrait être possible. Ils ont partagé des croquis à la main et ont dit: « Peut-être que cela fonctionnerait comme MUSIG2, mais à travers les entrées de transaction. » L’idée s’attarda pendant des années Folklore développeurFermer, jamais confirmé.
Cela a changé récemment, lorsque Jonas Nick et Tim Ruffing de Blockstream Research, avec Yannick Seurin de Ledger, ont publié un article qui a transformé cette histoire de fantômes cryptographiques en un résultat concrète et prouvé. Dahlias est la première construction formelle et sécurisée d’un Schéma total de signature agrégée de taille constante (CISA) Cela fonctionne sur la courbe native de Bitcoin!
Mais c’est beaucoup de mots, alors décomposons cela:
- Pleine agrégation: Plusieurs signatures sur différentes entrées sont combinées en une seule – et le résultat est une signature de 64 octets dont la taille reste constante, peu importe le nombre de signataires ou d’entrées.
- Entraver: Chaque signataire peut autoriser différentes entrées et tous se combinent en une seule signature.
Il n’ajoute aucune nouvelle hypothèse significative au-delà de celles déjà complétées par Bitcoin. Dahlias construit une nouvelle primitive cryptographique en utilisant le même bitcoin mathématique sur lequel s’appuie déjà, déverrouillant un tout nouveau type de signature.
Parlons des courbes et des signatures
Les signatures numériques sont la façon dont Bitcoin prouve qu’un utilisateur a autorisé une transaction. Lorsque vous allez dépenser Bitcoin, votre portefeuille utilise une clé privée pour signer un message et le réseau vérifie cette signature en utilisant la clé publique correspondante.
Bitcoin utilise le SECP256K1 courbe. Il est rapide, efficace et a été testé au combat au fil du temps. Il prend en charge les schémas de signature comme Ecdsa (Algorithme de signature original de Bitcoin) et Schnorr (ajouté via une tapoot en 2021), qui sont actuellement les seuls schémas de signature autorisés par le consensus Bitcoin.
Traditionnellement, l’agrégation de signature complète reposait sur des opérations mathématiques non soutenues par la courbe de Bitcoin, SECP256K1, ce qui l’a fait paraître hors de portée. Ces fonctionnalités se sont généralement appuyées sur d’autres types de courbes elliptiques. Par exemple, les signatures BLS (Boneh – Lynn – Shacham) utilisent une courbe spéciale appelée courbe adaptée à un couple, qui permet des opérations avancées comme combiner de nombreuses signatures, même sur différents messages, en un.
Le problème est que les signatures BLS ne fonctionnent pas sur SECP256K1. Alors que Schnorr était une mise à niveau naturelle de l’ECDSA, car les deux comptent sur le même type de courbe elliptique, l’ajout de BLS serait un bond beaucoup plus grand et un départ du modèle de sécurité existant de Bitcoin. Bien que techniquement possible, il introduirait de nouvelles hypothèses cryptographiques et ajouterait une complexité significative au protocole. Soutenir une courbe qui est adaptée à un couple, comme BLS12-381serait Un changement majeur pour le bitcoin.
Cela fait partie de la raison pour laquelle l’agrégation de signature complète n’a jamais été effectuée sur SECP256K1.
Jusqu’à maintenant.
Ce que font réellement les signatures agrégées
La plupart des utilisateurs de Bitcoin connaissent des multisignations. Dans un multisig Le portefeuille, plusieurs personnes autorisent conjointement les dépenses d’un seul UTXO ou d’une «pièce» spécifique. Tout le monde signe les mêmes données d’entrée. Cette configuration est utile pour des choses comme les portefeuilles de garde partagés.
Signatures agrégées travailler différemment. Au lieu de plusieurs personnes signant les mêmes entrées ou pièces, chaque signataire autorise un autre UTXO dans une transaction. Ces signatures distinctes sont ensuite compressées en une preuve compacte. Avec les dahlias, cela signifie un Signature unique de 64 octets Sur la courbe SECP256K1 de Bitcoin qui vérifie toutes les entrées à la fois.
Cela signifie que si vous avez cinq entrées de cinq personnes différentes, la transaction a besoin de cinq signatures différentes. Avec une signature globale, tous ceux peuvent être regroupés en un seul. Même si chaque signataire dépense une entrée différente et signer une partie différente de la transaction, le résultat est une signature qui prouve que toute la transaction a été correctement autorisée.
C’est comme zipper une liste entière d’approbations en un seul fichier. La signature est compacte, mais prouve toujours véritablement que chaque signataire a autorisé son UTXO spécifique.
Au lieu de vérifier 10 signatures distinctes, vous en vérifiez une.
Cela aide à réaligner les incitations à la vie privée. En réduisant la surcharge de signature en une seule preuve de 64 octets, Les dahlias réduisent le coût de la combinaison des intrants dans Coinjoins, Rendre financièrement plus intelligent de choisir la vie privée que de s’en passer.
Pourquoi la moitié de l’agggrégation s’est rapprochée
Peu de temps après l’introduction de signatures Schnorr sur Bitcoin, les développeurs ont exploré demi-agrégationcomme moyen de comprimer plusieurs signatures, mais ils n’étaient pas de taille fixe. Chaque entrée contribue à la taille de la signature, de sorte que la transaction croît toujours avec chaque participant. Dahlias corrige cela en permettant agrégation complète sur les entrées et les signataires. Peu importe le nombre de personnes impliquées ou ce qu’ils signalent, toutes leurs signatures se compressent en une épreuve de taille constante de 64 octets.
Ce que Dahlias déverrouille réellement
Le principal avantage ici est que les Dahlias réduisent la taille des transactions complexes.
Dahlias utilise un processus de signature interactif à deux tours. Il est similaire à MUSIG2 à cet égard, mais ce n’est pas un protocole multisignature car il ne nécessite pas que tous les participants co-signent le même message. Au lieu de cela, il agrége différentes signatures sur différents messages à travers la transaction.
Les dahlias sont également plus rapides à vérifier que de vérifier chaque signature individuellement, jusqu’à deux fois plus rapidement dans certains cas. Les coûts de vérification inférieurs permettent à plus de personnes de gérer plus facilement les nœuds complets, ce qui aide à préserver la décentralisation du Bitcoin au fil du temps.
Surtout, les Dahlias sont livrés avec de fortes garanties cryptographiques. Le schéma comprend des preuves de sécurité officielles. Les approches plus tôt «folklore» de l’agrégation complète de signature en manquaient, et certains se sont encore révélés plus tard. Heureusement, ils n’ont pas été adoptés prématurément.
Cela vaut la peine d’être répété: Dahlias n’est pas un protocole multisig. Il n’est pas comparable à MUSIG2 ou à Frost d’un point de vue fonctionnel, même s’il partage des blocs de construction cryptographiques similaires. Il sert un but différent. Il offre une nouvelle façon d’encoder de nombreuses approbations indépendantes en un seul package propre et vérifiable.
Directions futures
Vous pourriez penser: si Dahlias est si puissant, pourquoi n’est-ce pas un BIP? Pourquoi ne pas le proposer pour le consensus Bitcoin?
Les signatures Dahlias ne ressemblent pas à des signatures Schnorr ou Ecdsa. L’algorithme de vérification est différent. Au lieu de prendre une seule clé publique, un message et une signature, un vérificateur des dahlias prend listes de clés et de messages publics, et une seule preuve de 64 octets.
Cela rend Dahlias incompatible avec les règles de consensus actuelles de Bitcoin. Le supporter à la couche de base nécessiterait un changement de consensus. Cet article ne propose pas ce changement, mais il fait quelque chose de tout aussi important.
Cet article montre qu’un schéma d’agrégation de signature complet pour la courbe native de Bitcoin est possible.
Cela seul est un pas en avant majeur.
Pour faire faire partie des dahlias du bitcoin, quelqu’un devrait rédiger une proposition d’amélioration de Bitcoin (BIP), peut-être même en utilisant SECP256K1LAB. Cela signifie spécifier le schéma en détail, en considérant ses implications pour le consensus et la mise en œuvre et la création de soutien communautaire. Cet article jette les bases cryptographiques de cette conversation.
La valeur réelle du papier dahlias est ce qu’elle prouve. L’agrégation de signature complète sur SECP256K1 n’est pas seulement une expérience de pensée. C’est du béton. C’est efficace. C’est sécurisé. Pendant des années, l’idée a vécu dans le folklore développeur. Maintenant, il est écrit, analysé et prouvé. Il ne reste plus qu’à l’apporter au bitcoin – si nous le voulons.
Ceci est un article invité de Kiara Bickers. Les opinions exprimées sont entièrement les leurs et ne reflètent pas nécessairement celles du magazine BTC Inc ou Bitcoin.
Ce message pas ECDSA. Pas schnorr. Rencontrez Dahlias. Apparu pour la première fois sur Bitcoin Magazine et est écrit par Kiara Bickers.