Для тех, кто хочет знать все о мировом финансовом рынке, рынке ценных бумаг, криптовалютах, участниках финансового рынка и его структуре.

Подписи Шнорра и неизбежность конфиденциальности в Биткойне

Цифровая подпись является базовой линией суверенитета. Появление в 1976 году, криптографии с открытым ключом открыло путь к мировой массовой информации – Интернет – новая форма денег, Бикини. Хотя основные свойства криптографии с открытым ключом, с тех пор не изменились, сегодня Corporate доступны десятки различных схем цифровой подписи с открытым исходным кодом.

Когда Сатоси Мотоцикл начинал работать в Значок, один из ключевых моментов, которые следует иметь в виду, было то, что, какое значение схем фирма должна выбрать открытой и общедоступной финансовой системы. Требования были ясны: нужно было создать алгоритм, который широко используется, является, конечно, очень надежный, простой и, самое главное, с открытым исходным кодом. Все варианты, доступные на данный момент он выбрал ту, которая отвечает этим критериям лучше всего: Elliptic Curve Digital Signature Algorithm (алгоритм цифровой подписи на основе эллиптических кривых), или ECDSA.

В то время как родной поддержки ECDSA была предусмотрена в OpenSSL, которая открывает набор средств шифрования, разработанные распространяется с опытом, с целью повышения конфиденциальности онлайн-коммуникаций. По сравнению с другими местами схемы, ECDSA имеет такие преимущества, как снижение требований к вычислительным ресурсам и меньше длины ключа: полезные свойства цифровых денег. В то же время он предоставляет пропорциональный уровень безопасности для таких систем, как, например, RSA, например, 256-bit ECDSA-ключ имеет, как в сравнении с 3072-битный RSA-ключ уровень безопасности, гораздо меньше, чем ключ.

Благодаря тяжелой работе, проделанной в Питер Стоит с коллегами по улучшенной эллиптической кривой, называемой secp256k1, ECDSA Бикини быть более быстрым и эффективным. Тем не менее, ECDSA-прежнему присущи некоторые недостатки, которые могут служить основой достаточно полная для его замены. После нескольких лет исследований и экспериментов, была установлена новая схема подписи, что повышает конфиденциальность и эффективность сделок Бикини: схемы цифровой подписи Шнорра.

В этой статье я буду говорить в общих чертах о многочисленных развертывания подписи Шнорра и о преимуществах этих фирм. А затем мы будем говорить о MuSig, новый стандарт несколько, которые могут служить основой для развертывания новых bitcoin-технологий, таких как Taproot. Наконец, я расскажу вам, как полная реализация подписи Шнорра можно сломать, используемой в блокировки-анализ эвристики, и в то же время способствовать развитию сильного рынка, комиссий и основного слоя Бикини.

История появления подписи Шнорра

Несмотря на то, что схема цифровой подписи Шнорра имеет много преимуществ по сравнению с ECDSA, которые, безусловно, не является новой. Был изобретен еще в 1980-х годах, Клаус-Петер, я бегу, немецкий удаления и академиком, в то время, профессор и исследователь Франкфуртского университета. На базе предложенной схемы подписи возникли на исследования и работы Давида Спать, тебе не сделает-Эль-Гамаль, Амос Fiat и Ади Шамир. Однако, прежде чем опубликовать новую схему, Клаус Шнорр наполнил множество патентов, которые в течение многих лет оставили его прямого использования.

Интересно, что предшественник ECDSA, алгоритм DSA, была гибридом схемы Эль-Гамаля и Шнорра, созданная специально для обхода патентов Клауса Шнорра. На самом деле, всего два месяца, после выдачи патента США Клауса я бегу родителя (DSA), Национальный институт стандартов и технологий (NIST), также подал заявку на патент для своего решения. После этого, Клаус Шнорр стал активнее защищать свои патенты и ответил на своих критиков в распространении Coderpunks (ответвление оригинальной email рассылки Cypherpunks). Их ответы можно прочитать здесь и здесь (на английском языке). И здесь можно найти внутри Примечание NIST описание патентных проблем.

В 2008 году, после почти двух десятилетий после подачи схемы подписи Шнорра, срок действия патента Клауса Шнорра истек. Случайно, 2008 год также был годом, когда Сатоси Мотоцикл, представил миру Bitcoin. Несмотря на то, что подписи Шнорра в этот момент, вы уже можете использовать, которые еще не были стандартизированы и более широко используемой. Вероятно, поэтому, Сатоси и выбрал ECDSA. И, хотя Corporate и математике часто характеризуют этот алгоритм, как “ужасно”, ECDSA еще достаточно широко используется, и в тот момент был самый безопасный вариант для Бикини.

Подписи Шнорра в Бикини

Затеряемся в быстрой перемотке еще десять лет назад, и перенесемся на сегодняшний день. Схема подписи Шнорра теперь выглядит гораздо менее вкусный, и его стандартные приложения – как ed25519 – становятся популярным вариантом для некоторых не хватает. Неформальных бесед о возможности применения подписи Шнорра в сети, Бикини можно проследить в этой теме форума BitcoinTalk, которая восходит 2014 года, но предложение было случае это не только после нескольких лет исследований и экспериментов, когда Питер Хорошо написал Шнорр BIP (Bitcoin Improvement Proposal, “предложение по улучшению Бикини”). В этой первой заявки, описывает характеристики и технические аспекты потенциал применения подписи Шнорра, которые будут иметь следующие преимущества по сравнению с ECDSA:

  • Тест безопасности: Безопасности подписи Шнорра легко проявляется тогда, когда используется достаточно случайный хэш-функции (модель случайных оракулов) и достаточной сложности задачи дискретного клетка первых не в группе точек эллиптической кривой (elliptic curve Discrete logarithm problem, ECDLP). Для ECDSA такого доказательства не существует.
  • Негибкость: ECDSA-подпись, по своей природе, являются гибкими, что может разрешить третьему лицу, которое не имеет доступа к секретный ключ, изменения существующих действительной подписи и тратить деньги два раза. Официально эта проблема обсуждалась в BIP62. Для сравнения, подписи Шнорра явно не делал.
  • Линейность: Подпись Шнорра имеют чудесное свойство: некоторые стороны могут сотрудничать для создания действительной подписи, сумма их открытых ключей. Это может служить структурных блоков для различных проектов, более высокий уровень, повышает эффективность и конфиденциальности, таких как много и других умных контрактов.

Тестирование безопасности подписи Шнорра, а также обеспечение их жесткости, дают им преимущества по сравнению с ECDSA. Уже эти два преимущества могут служить основанием для софт-вилки. Но особенно впечатляющим собственности подписи Шнорра является его Линейность. В частности, это позволяет несколько частей определенной сделки причину их объединить свои открытые ключи на добавления ключа, который представляет всю группу, – это свойство называется агрегирования ключевых.

Хотя возможность комбинации ключей единственный, кто может покончить с несколько тривиальным, преимущество не следует недооценивать. Потому что в ECDSA не родной поддержки последний день, в Бикини пришлось реализовывать через стандартизированный метод смарт-контракт (да-да, в Бикини также является смарт-контракты), называется Pay-to-ScriptHash (P2SH). Он позволяет пользователям добавлять их точки зрения расходов, вызов Bremen, чтобы указать, как можно тратить средства – например, “Unlock баланс только в случае, если сообщение подписано, Боб и Элис”.

Первая проблема, с P2SH является то, что он требует знания открытых ключей всех участников несколько, что не является эффективной системой. Объединение этих разделов позволит оптимизировать проверку, потому, что в сети надо бы проверить, только раздел, а не несколько. Это также означает, меньше след на урок за вычетом операционных издержек и повышения пропускной способности сети.

Вторая проблема с P2SH, что обеспечивает очень малые гарантии конфиденциальности. Как было отмечено в BIP13, для P2SH сделки необходимо, чтобы адреса начинаются с цифры 3. Это позволяет борются аналитиков, не только признать все P2SH транзакций в сети, но точного адреса не участвуют в нескольких:

Блокировка-аналитик: “Конечно, много”. – Это не очень хорошо.

В предыдущем примере, сети будете знать, (1) о существовании сделки с причину их, (2) сколько адресов участвуют в нескольких и (3) кто подписал транзакцию. Не является здоровым для операционной безопасности, особенно для таких вариантов использования, как 2FA. Это плохо с точки зрения конфиденциальности.

Объединение ключей, с другой стороны, сохраняется анонимность участников несколько и не стремится эксплуатационной безопасности путем распространения информации о ключи, необходимые для разблокировки баланс. Самое главное, объединение разделов, что позволяет заключать сделки причину их новость транзакций.

Блокировка-аналитик: “Это может быть причину их… Не может с уверенностью сказать…” – Теперь хорошо.

Первой итерации подписи Шнорра в Бикини отменяется, семья не смогла OP_CHECKSIG и OP_CHECKMULTISIG, используемые в настоящее время, с ECDSA, в пользу нового класса компакт-диск под названием OP_CHECKDLS. Если не слишком вдаваться в подробности, DLS означает, сдержанный Log Signature с дискретным то так бы и делали), и это позволяет проверить подпись более эффективно и с меньшим количеством грехов.

В начале 2018 года, Грегори Максвелл, Эндрю Камень, Янник Будут и Питер Стоит опубликовано слушают, но новой, основанной на подпись схема Шнорра несколько, под названием MuSig. После этой публикации много работали над тем, перевод предложение о схеме несколько в пригодный для использования код.

Один из самых интересных моментов в MuSig в контексте агрегирования ключевых является возможность создания частных смарт-контрактов за пределами кухни. На самом деле, MuSig позволяет участникам многочисленные применения налога агрегированным ключи выбора, не разглашать эти условия и совершенно отдельно от правила консенсуса Бикини.

В декабре 2018 года, Энтони Таунс стал первым производителем Bitcoin Core, смог жить полуформализованное предложение активации подписи Шнорра, который представлен в списке рассылки разработчиков Бикини. Я надеюсь, что в ближайшие месяцы количество разговоров о возможном soft-вилки увеличится.

Итак, в первой итерации MuSig в Бикини будет рассчитывать на поддержку агрегирования ключей, что можно сразу (1) для повышения конфиденциальности последний день, (2) повышение эффективности контроля операций, (3) повысить уровень безопасности путем устранения проблем, связанных с ECDSA, и (4) предоставлять возможность для интеграции таких смарт-контрактов, как Taproot, о котором мы поговорим в следующем разделе.

И это только начало.

Кросс-агрегации записей транзакций: следующий шаг для повышения конфиденциальности Бикини

Как мы уже знаем из предыдущего раздела, объединения ключей-очень удобная функция, чтобы последний день расходы одного входа. Учитывая, что bitcoin-транзакции, как правило, имеют более одного входа, будущие итерации подписи Шнорра могут быть использованы для создания схемы интерактивный заместителя директора фирмы (interactive aggregate signature, IAS), в котором все записи транзакции затрачиваются одновременно и с одной подписью.

Опять же, взаимодействие между участниками фирмы возникают в целом вариант, но теперь подпись может использоваться для расходов все записи транзакции. С каждого входа все равно будет иметь свой собственный открытый ключ, но вы можете потратить онлайн добавлено подписи Шнорра:

Грег Максвелл, Питер Стоит, Энтони Таунс и другие работали над развитием схемы ” смарт-контракт Taproot, для облегчения доступа к этой функции. Назвали этот план Обобщенный (синтез) Taproot, или G’root, и в будущем, что может значительно облегчить процесс агрегирования ключевых кросс-объединение записей транзакций.

Как объединение, ключи, пересечение, объединение записей еще больше повышает эффективность bitcoin-транзакций. Но что более важно, это открывает возможность реализации действенных механизмов, чтобы сохранить конфиденциальность пользователей на уровне протокола Бикини.

Один из самых волнующих аспектов кросс-объединение записей является, как можно повысить CoinJoin транзакций в сети, Бикини. В контексте CoinJoin-это метод сохранения конфиденциальности, где несколько излучателей и приемников объединяются в одной транзакции. Цель состоит в том, затруднить блокировка аналитиков, установить связь между определенных отправителей и получателей средств, создавая, таким образом, чтобы участники CoinJoin транзакций, возможность разумного отрицания принадлежность к конкретной транзакции.

Этот метод был первоначально предложен Грег Максвелл на BitcoinTalk, в 2013 году, и с тех пор входил в перечень услуг, такие услуги, как JoinMarket, SharedCoin, ShufflePuff, DarkWallet и CoinShuffle. В вариации CoinJoin, таких как Chaumian CoinJoin (схема, используемая в Васаби Кошелька), исходная модель была значительно усовершенствована. Тем не менее, из-за анонимности любит компанию, им также необходимо достаточное количество пользователей, чтобы эффективно перемешивать отчеты по каждой сделке.

Другая проблема с CoinJoin на сегодняшний день-это определение (и вероятность воздействия цензуры в сделках такого рода. Стоит иметь в виду, что наиболее часто используется в блокировки-аналитической эвристическое правило заключается в отслеживании записей транзакций, с тем, чтобы определить, если два или более адресов актер. Например, если Алиса отправила Боб 1,982723 BTC, программа анализа кухня может отслеживать десятичные разряды этого входа, чтобы набрать граф транзакций или истории разрывов и переходов прав на управление UTXO.

Чтобы избежать этого, различные входы в CoinJoin транзакций называется, то, что для стороннего наблюдателя все участники сделки отправляются в ту же сумму. Пользователи Wasabi кошелька, например, номинально отправляют 0,1 BTC в состав CoinJoin транзакций 100 участников. Несмотря на это затрудняет установление связей между различными отправителями и получателями блокировки-аналитик может признать сделки с номинально равными билетов и рекомендовать своим клиентам надеяться все принимают в свой адрес.

Кросс-объединение записей транзакции, эту проблему можно решить путем введения механизма сокрытия данных на уровне протокола. В сущности, пересечение, объединение записей можно разрешить строить на основе подписи Шнорра CoinJoin-транзакций с n участников, что для внешнего наблюдателя будет выглядеть как обычные транзакции с одной стороны. Это также может упростить развертывание CoinJoin популярные кошельки, что увеличит совокупное акционерного множество сети, то есть количество пользователей, которые используют этот метод, чтобы сохранить анонимность.

Проблема называется до деталей одинакового размера, что может быть решена также с помощью других методов, таких как Pay-to-EndPoint (P2EP), который сочетает в себе первые разработки Сатоши в области конфиденциальности (см. P2EP) с CoinJoin, в том, что записи сделок, а также отправителей и получателей.

Технологии P2EP поддерживается, и, когда используется в сочетании с подписи Шнорра, может значительно возрасти, и на базовом уровне, повышения конфиденциальности Бикини.

Одним выстрелом двух Зайцев

Разумно предположить, что принятие и распространение Бикини зависит от прочности гарантией конфиденциальности. В то же время, популярность Lightning Network и собственного потенциала в области платежей вызвало включая неопределенность в отношении будущего спроса в есть собака-расчеты после получения последний bitcoin. Таким образом, необходимость обеспечения конфиденциальности и обеспечения устойчивого развития в долгосрочной перспективе Бикини, если не есть награда за блок-это, вероятно, два из самых волнующих проблем, связанных с Значок. К счастью, механизмы для обеспечения конфиденциальности, предоставленные подписи Шнорра, потенциально могут решить эти две проблемы одновременно.

Я потратил тысячи часов на изучение сложных технологий, конфиденциальность, включая разнообразные приложения крон подписей, Confidential Transactions, Bulletproof-фирм, zk-SNARK, zk-СТАРК и MimbleWimble. И хотя некоторые из этих технологий уже являются достаточно зрелыми для включения в базу слоя Бикини, которые все еще связаны с уникальными риски и обязательства. Кроме того, как вы, наверное, слышали, Bitcoin не очень предрасположен к хард-forum, который является, что ставит под сомнение возможность введения в Бикини помощи любой из следующих технологий.

Беспокойство периодически домой целый в связи с использованием, как Мэри шифрования или не интерактивные системы доказательства с нулевым разглашением является препятствием для сохранения полной прозрачности и власть базы, денежной массы-Бикини. Другими словами, когда сумма сделки скрыты в шифрование, становится трудно проверить, соблюдается ли, на самом деле, ограничение выбросов Бикини на уровне 21 млн BTC. Так же, становится трудно отличить ошибку от инфляции и в два раза больше расходов. Очень важно отсутствие осуществления этой транзакции, в база слой Бикини можно разделить на сообщества.

Но если достаточно конфиденциальности можно достичь без внедрения этих технологий в базовом слое Бикини?

Введение поддержку подписи Шнорра, безусловно, могло способствовать этому. Если в большинстве bitcoin-транзакций используется функция cross-объединение записей в сочетании с P2EP, вычисления определенных отправителей и получателей методы блокировки аналитиков, было бы невозможно. Выбросы Бикини является поддающейся проверке, но гораздо более серьезные гарантии конфиденциальности.

Если есть потребность в конфиденциальности, разумно будет предположить, что пользователи и компании могут захотеть участвовать пассивно в CoinJoin-транзакций,– и, таким образом, что их кошельки постоянно в фоновом режиме перемешивали в баланс монет. В этом случае, спрос конфиденциальности непосредственно приводит к увеличению комиссий за есть собака-транзакции. Как и в случае SegWit, сначала внедрения технологии действовать, скорее всего, пользователям, но и компаниям, в какой-то момент придется следовать за трендом, чтобы не потерять позиции на рынке.

Со времени внедрения этих технологий сделает блокировки-аналитик устаревшим и практически не будет исключен из списка необходимых AML/KYC-процедур блокировки-компаний – примерно, как за наличные деньги. Когда вы вносите деньги на свой банковский счет, Банк не проверяет банкноты на следы наркотиков, и не препятствует регистрации деньги, найти эти следы. Нет никаких объективных причин, почему это должно произойти с бикини, за исключением случаев блокировки-аналитики в сочетании с нарушениями технологии, например, CoinJoin транзакций без подписи Шнорра.

Когда соответствия AML/KYC-процедур в отношении конкретных адресов и UTXO необходимости, и фокус переместится с балансов учетные записи пользователей bitcoin-компании получают новый уровень конфиденциальности. На самом деле, я подозреваю, что, когда это происходит, конфиденциальность и возможность обмена монет станут неотъемлемой частью ценностного предложения для будущих bitcoin-компаний.

В конечном счете, принятию более сильных механизмов обеспечения конфиденциальности в базовом слое Бикини еще больше расширит возможности для своих пользователей и, в то же время, может внести вклад в создание динамичного рынка платежей, как только вы получите последний bitcoin. Я думаю, что этот процесс начинается с активации подписи Шнорра, в отношении которых спор, кажется, что почти нет.

Источник

Вам также может понравиться