盲化的两方ECDSA签名
作者:tomt1664
来源:https://github.com/commerceblock/mercury/blob/master/doc/blind_2p_ecdsa.md
本文为 Mercury statechain 的文档,介绍的是盲化的两方 ECDSA 签名,Mercury 使用这种技术来实现盲化的 statechain。
两方的 ECDSA(椭圆曲线签名算法)协议让两个互不信任的参与者可以安全地生成一个共有的公私钥对,而且既无需知晓另一方的私钥信息,也无需知晓整个私钥,就可以对一条双方一致认可的信息生成一个有效的 ECDSA 签名。我们提出了一种基于 Lindell [1] 协议的方法,让其中一方可以完全盲化地参与签名生成,这样 TA 就既不知道被签名的消息的内容,也不知道最终的签名是什么样。
ECDSA 签名
标准的 ECDSA 运作流程如下。签名者具有私钥 x
及其对应的公钥 Q
。 Q
是一个椭圆曲线点,定义为 Q = x.G
,这里的 G
是一个椭圆曲线 q
阶群的生成点,而 .
则是椭圆曲线点乘法(在这套记号中,大写字母表示椭圆曲线点,而小写字母表示标量)。 签名者签名消息 m
, H()
表示 SHA256 哈希函数。
选择一个随机的一次性私钥
k <- Zq
计算
R = k.G
计算
r = r_x mod q
,其中R = (r_x, r_y)
计算
s = k^-1(H(m) + rx) mod q
输出签名
(r, s)
k^-1
是私钥 k
的模逆(modular inverse)。标准 ECDSA 的一个关键特性就是 k
必须保持秘密,而且需要在签名后删除(即,不能用在另一个签名的生成中)。公开 k
或者复用它(用在另一个签名的生成中)会使其他人可以揭晓私钥 x
。
两方的 ECDSA 签名
互不信任的两方可以共同拥有一对公私钥 x
和 Q
,而且没有人知道完整的 x
、两方需要合作才能生成 Q
的有效签名。为了兼容 ECDSA 算法(通过模逆实现乘法),分割完整私钥的最好办法是生成乘法碎片,也即 x = x1x2
, x1
和 x2
分别是第一方(P1
)和第二方(P2
)的私钥碎片。为了实现完整签名的多方计算,我们使用 Pailier 加密系统来执行同态加密,以计算 s
。
分布式密钥生成
P1
和 P2
可以合作生成共有私钥 x
的公钥 Q
( x
永远不会有显式的存在形式)。步骤如下:
P1
选出一个随机私钥x1 <- Zq
,然后计算Q1 = x1.G
并发送给P2
P2
选出一个随机私钥x2 <- Zq
,然后计算Q2 = x2.G
并发送给P1
P1
计算Q = x1.Q2
,而P2
计算Q = x2.Q1
为了在恶意敌手假设下保持安全,每一方都必须为另一方提供关于所生成的点(公钥碎片)的离散对数的知识证明(使用 Schnorr 证明)(译者注:意思是要证明自己知道这个公钥背后的私钥)。
在 Lindell [1] 协议中, P1
会生成一个 Paillier 密钥对 (pk, sk)
,然后计算 ck = Enc_pk(x1)
,也就是 P1
的私钥部分的 Pailier 加密形式。除此之外, P1
还要给 P2
发送一个零知识证明,证明某一个 Paillier 密文所加密的值,正是某一个椭圆曲线点的离散对数。
分布式的两方签名
当 P1
和 P2
同意对一条已知的消息 m
生成一个签名时,第一步是生成一个共有的一次性私钥 k
以及相应的点 R
( k
必须是一个共有私钥,因为知道 k
将会让完整的私钥可以从签名中推导出来)。这个私钥的生成过程就像上面说的一样,最终的结果是 P1
得到了 k1
而 P2
得到了 k2
,而 R = k1.R2 = k2.R1 = k1k2.G
,因此 r
( R
的 x 系数)也将为两方所知并得到同意。
然后 P2
使用来自 P1
的 Paillier 公钥 pk
计算 c1 = Enc_pk(k2^-1.H(m) mod q)
以及 v = k2^-1.rx2 mod q
。
然后, P2
利用 ck
来执行 v
的同态标量乘法,获得 c2 = Enc_pk(k2^-1.rx2x1 mod q)
;以及 c1
和 c2
的同态加法,获得 c3 = Enc_pk(k2^-1.H(m) + k2^-1.rx2x1 mod q)
。这个叫做 “差不多签名”,被发送给 P1
。(译者注:在原文中, c3
的表达式中的 H(m)
写成 H(x)
,应为笔误。下文 t
和 s
表达式中的相关项,都改为 H(m)
,以符合上文 ECDSA 算法的定义。 )
收到 c3
之后, P1
可以使用 Paillier 私钥 sk
来解密它,获得 t = Dec_sk(c3) = k2^-1.H(m) + k2^-1.rx2.x1 mod q
。现在, P1
只需用自己的一次性私钥碎片的模逆 k1^-1
乘以这个值 t
,即可获得完整的签名。
s = k1^-1.k2^-1.H(x) + k1^-1.k2^-1.rx2x1 mod q = k^-1.H(m) + k^-1.rx mod q
然后 P1
可以利用消息 m
和共有公钥 Q
验证签名 (r, s)
,如验证通过,则将签名发送给 P2
。
盲化的两方 ECDSA 签名
(为了用在比特币的交易联合签名服务器中)完全 盲化的两方 ECDSA 签名的原理,是一方(即 P1
)拥有完整私钥的一个碎片(如上所述),而且可以跟 P2
合作生成共有公钥 Q
的数字签名,只不过, P1
无需知道被签名的消息(m
)的任何信息,也不需要知道最终签名 (r, s)
,依然能生成有效的签名(在比特币中,即使 P1
不知道信息的内容,只要其知道最终签名的内容,便能在公开的区块链上找出那条交易;所以两者必须一起盲化)。
在上述两方协议的基础上对 P1
盲化 m
是很简单的: H(m)
是由 P2
添加到加密签名中的,然后才是 P1
使用 m
来验证最终的签名(在签名计算完成之后)。要是 P1
同意不关心消息 m
的内容,那么 TA 可以直接把签名发送给 P2
,由后者来验证,而不是自己去检查(当然,也可以说 TA 做不到,因为 TA 不知道 m
)。
对 P1
盲化最终的签名相对来说更难一些,但依然是非常直接的。上述协议的一个特征是,就像 m
一样,数值 r
也是由 P2
添加到 Pailier 加密表达式中的,所以本来 P1
也不必知道 r
。为了防止 P1
计算 r
, P2
可以不给 P1
发送 R2 = k2.G
(但是 P2
依然需要从 P1
处接收 k2
,以计算 r
)。
为了防止 P1
知晓最终签名 s
的值,即使在完成计算之后,Paillier 密文形式的 “差不多签名”(c3
)也可以使用一套致盲的 私钥/一次性随机数、通过一个同态标量乘法来盲化,然后再由 P2
发送给 P1
。然后 P1
可以通过乘以 k1^-1
来计算(盲化的)s
值,然后发回给 P2
,后者可以解盲,获得最终的签名(而 P1
则对最终的 s
值一无所知)。
根据上述思考,对 P1
完全盲化的签名协议将如下所示:
P1
选择一个随机的一次性私钥k1 <- Zq
,然后计算R1 = k1.G
,并将R1
发送给P2
P2
选择一个随机的一次性私钥k2 <- Zq
并计算R = k2.R1
P2
确定r
的值(即R
模 q 的 x 系数)P2
生成一个随机的盲化私钥b <- Zq
P2
选择m
并计算c1 = Enc_pk(k2^-1.H(m) mod q)
和v = k2^-1.rx2 mod q
,这需要用到来自P1
的 Paillier 公钥然后
P2
拿ck
和v
执行同态标量乘法,获得c2 = Enc_pk(k2^-1.rx2x1 mod q)
;以及c1
和c2
的 Paillier 同态加法,获得c3 = Enc_pk(k2^-1.H(x) + k2^-1.rx2x1 mod q)
再然后,
P2
拿c3
和b
使用同态标量乘法,获得c4 = Enc_pk(k2^-1.H(x).b + k2^-1.rx2x1.b mod q)
,并发送给P1
P1
使用 Paillier 私钥sk
解密c4
,获得t = Dec_sk(c4) = k2^-1.H(x).b + k2^-1.rx2x1.b mod q
P1
使用自己的一次性私钥的逆元k1^-1
乘以t
,获得盲化的s
值s_b = k^-1.H(x).b + k^-1.rx.b mod q
,并发送给P2
P2
解盲s_b
,获得最终的签名s = s_b.b^-1
P2
通过消息m
和共有公钥Q
验证签名(r, s)
假设
这个完全盲化形式的两方 ECDSA 协议打破了许多安全假设,因为 P1
变得无法执行特定的验证,不过这并不是一个问题,只要 P1
能对签名操作添加一些约束的话 —— 尤其是, P1
可以执行一条规则:对给定的一个私钥,TA 只执行一次联合签名(这就是一个状态链实体之所需),从而防止 P2
从单次请求中了解 x1
和 k1
的任何信息。
(完)
相关资讯
-
以太坊现货ETF,能否成为5月新的叙事?
比特币现货ETF批准后,传统金融资金涌入加密世界。市场关注以太坊现货ETF,但由于转为PoS和是否被认定为“证券”等原因,市场对其批准并不乐观。知名人士和机构预计可能被拒绝,但灰度仍有信心。4月30日,香港以太坊现货ETF开放交易,投资者交易情况或影响SEC的看法。但从近期动向和机构看,批准可能性不大。.....
-
DAI向双稳定币发展,MakerDAO的Endgame“这盘棋”有多大?
本文介绍了MakerDAO创始人Rune Christensen关于Dai未来发展的两篇文章,讲解了Dai如何在Endgame转型计划中实现双向“制导”,即去中心化和中心化两种稳定币新品牌。文章提出了两种解决稳定币三难困境的路径,分别是优先考虑效用和规模和走纯粹去中心化的路径,并披露了两种不同品牌的具体发展规划。未来,NewStable将继承大多数Dai的用例,专注于大众市场的采用和符合监管要求的现实世界资产支持,而PureDai则专注于实现完全去中心化的稳定币,通过与SubDAO生态系统合作,提供合法用
-
「KOL轮融资」:新的暴富之路or下一个被SEC盯上的猎物
3月,加密货币市场蓬勃发展,比特币创新高,数十亿美元流入新的ETF产品。Monad Labs获得30亿美元估值的融资,其中一些KOL以折扣价投资。KOL轮融资类似名人交易,但引发信息披露不充分和散户投资者面临风险的争议。美国SEC打击名人交易,KOL网络存在虚假账号投资的问题。KOL交易细节难以获得,但通常通过书面合同或Telegram完成。加密货币初创项目吸引KOL投资,但也面临融资困难。用户需自行承担风险。.....
-
Starknet的空投到底成不成功?
本文比较了Starknet和Optimism两次代币空投的差异,发现Optimism更节省Gas,但Starknet的数据收集困难。数据显示,只有39.8%的人领取了空投,且空投效果不佳,只有1.1%的用户最终保留了代币。代币价格下跌50%,但TVL保持稳定。总体来看,这次空投并不成功。STARK空投效果不佳,只有1.1%的用户保留了代币,但从保留和CAC角度来看,相对成功。STARK采取了多样性分配代币的思路,但收集和分析数据仍然困难,需要更合适的工具。.....
-
Notcoin催生注意力经济赛道,Pump.fun遭受攻击|ForesightVenturesWeeklyBrief
本周市场观点:美国CPI放缓,降息预期重燃,美股大涨,加密市场跟随反弹。BTC震荡反弹,ETH/BTC汇率走低,主线围绕Meme和AI板块。投资情绪降温,机构资金净流入,期货多空比偏悲观。NFT市场蓝筹项目地板价有涨有跌,交易量下降,ETH、BSC、Polygon等平台锁仓量有变化。EthStorage获得Optimism资助,Accseal与Ingonyama建立合作,bitSmiley上线Merlin主网。NFT市场整体低迷。.....
-
加密空投「常态化」,是泡沫还是价值发现
空投是加密货币领域的热门话题,最初只是奖励用户免费代币,现已发展为复杂的系统。最早的大型空投由Uniswap发起,向曾在其交易所进行过代币互换的用户发放400个UNI。空投概念已成为协议的代币分配计划,用户可以轻松获得数千美元的回报。但也出现了副作用,使空投变成一种价值观单一的挖矿活动。近期,不少项目在牛市中完成空投,但用户往往会立即抛售代币,加剧了代币被高估的问题。仍有一些项目值得参与,如在ETH和稳定币上赚取高年收益。随着协议和用户偏好的发展,空投将继续演化,仍将存在。.....
-
被“示好币圈版”特朗普多次引用,加密预测市场Polymarket到底有何来头?
2024年1月15日,特朗普在艾奥瓦州共和党首次党内初选中获胜,这一结果被视为总统选举的重要“风向标”。特朗普在其创办的加密预测市场Polymarket上多次转发自己的领先胜率,该平台吸引了大量用户,其最大优势在于敏感的热点嗅觉和活跃的评论区。然而,其激进的运营风格也带来了一些风险。随着全球大选的临近,Polymarket有望吸引更多用户并实现积极的增长。.....
- 成交量排行
- 币种热搜榜