盲化的两方ECDSA签名
作者:tomt1664
来源:https://github.com/commerceblock/mercury/blob/master/doc/blind_2p_ecdsa.md
本文为 Mercury statechain 的文档,介绍的是盲化的两方 ECDSA 签名,Mercury 使用这种技术来实现盲化的 statechain。
两方的 ECDSA(椭圆曲线签名算法)协议让两个互不信任的参与者可以安全地生成一个共有的公私钥对,而且既无需知晓另一方的私钥信息,也无需知晓整个私钥,就可以对一条双方一致认可的信息生成一个有效的 ECDSA 签名。我们提出了一种基于 Lindell [1] 协议的方法,让其中一方可以完全盲化地参与签名生成,这样 TA 就既不知道被签名的消息的内容,也不知道最终的签名是什么样。
ECDSA 签名
标准的 ECDSA 运作流程如下。签名者具有私钥 x
及其对应的公钥 Q
。 Q
是一个椭圆曲线点,定义为 Q = x.G
,这里的 G
是一个椭圆曲线 q
阶群的生成点,而 .
则是椭圆曲线点乘法(在这套记号中,大写字母表示椭圆曲线点,而小写字母表示标量)。 签名者签名消息 m
, H()
表示 SHA256 哈希函数。
选择一个随机的一次性私钥
k <- Zq
计算
R = k.G
计算
r = r_x mod q
,其中R = (r_x, r_y)
计算
s = k^-1(H(m) + rx) mod q
输出签名
(r, s)
k^-1
是私钥 k
的模逆(modular inverse)。标准 ECDSA 的一个关键特性就是 k
必须保持秘密,而且需要在签名后删除(即,不能用在另一个签名的生成中)。公开 k
或者复用它(用在另一个签名的生成中)会使其他人可以揭晓私钥 x
。
两方的 ECDSA 签名
互不信任的两方可以共同拥有一对公私钥 x
和 Q
,而且没有人知道完整的 x
、两方需要合作才能生成 Q
的有效签名。为了兼容 ECDSA 算法(通过模逆实现乘法),分割完整私钥的最好办法是生成乘法碎片,也即 x = x1x2
, x1
和 x2
分别是第一方(P1
)和第二方(P2
)的私钥碎片。为了实现完整签名的多方计算,我们使用 Pailier 加密系统来执行同态加密,以计算 s
。
分布式密钥生成
P1
和 P2
可以合作生成共有私钥 x
的公钥 Q
( x
永远不会有显式的存在形式)。步骤如下:
P1
选出一个随机私钥x1 <- Zq
,然后计算Q1 = x1.G
并发送给P2
P2
选出一个随机私钥x2 <- Zq
,然后计算Q2 = x2.G
并发送给P1
P1
计算Q = x1.Q2
,而P2
计算Q = x2.Q1
为了在恶意敌手假设下保持安全,每一方都必须为另一方提供关于所生成的点(公钥碎片)的离散对数的知识证明(使用 Schnorr 证明)(译者注:意思是要证明自己知道这个公钥背后的私钥)。
在 Lindell [1] 协议中, P1
会生成一个 Paillier 密钥对 (pk, sk)
,然后计算 ck = Enc_pk(x1)
,也就是 P1
的私钥部分的 Pailier 加密形式。除此之外, P1
还要给 P2
发送一个零知识证明,证明某一个 Paillier 密文所加密的值,正是某一个椭圆曲线点的离散对数。
分布式的两方签名
当 P1
和 P2
同意对一条已知的消息 m
生成一个签名时,第一步是生成一个共有的一次性私钥 k
以及相应的点 R
( k
必须是一个共有私钥,因为知道 k
将会让完整的私钥可以从签名中推导出来)。这个私钥的生成过程就像上面说的一样,最终的结果是 P1
得到了 k1
而 P2
得到了 k2
,而 R = k1.R2 = k2.R1 = k1k2.G
,因此 r
( R
的 x 系数)也将为两方所知并得到同意。
然后 P2
使用来自 P1
的 Paillier 公钥 pk
计算 c1 = Enc_pk(k2^-1.H(m) mod q)
以及 v = k2^-1.rx2 mod q
。
然后, P2
利用 ck
来执行 v
的同态标量乘法,获得 c2 = Enc_pk(k2^-1.rx2x1 mod q)
;以及 c1
和 c2
的同态加法,获得 c3 = Enc_pk(k2^-1.H(m) + k2^-1.rx2x1 mod q)
。这个叫做 “差不多签名”,被发送给 P1
。(译者注:在原文中, c3
的表达式中的 H(m)
写成 H(x)
,应为笔误。下文 t
和 s
表达式中的相关项,都改为 H(m)
,以符合上文 ECDSA 算法的定义。 )
收到 c3
之后, P1
可以使用 Paillier 私钥 sk
来解密它,获得 t = Dec_sk(c3) = k2^-1.H(m) + k2^-1.rx2.x1 mod q
。现在, P1
只需用自己的一次性私钥碎片的模逆 k1^-1
乘以这个值 t
,即可获得完整的签名。
s = k1^-1.k2^-1.H(x) + k1^-1.k2^-1.rx2x1 mod q = k^-1.H(m) + k^-1.rx mod q
然后 P1
可以利用消息 m
和共有公钥 Q
验证签名 (r, s)
,如验证通过,则将签名发送给 P2
。
盲化的两方 ECDSA 签名
(为了用在比特币的交易联合签名服务器中)完全 盲化的两方 ECDSA 签名的原理,是一方(即 P1
)拥有完整私钥的一个碎片(如上所述),而且可以跟 P2
合作生成共有公钥 Q
的数字签名,只不过, P1
无需知道被签名的消息(m
)的任何信息,也不需要知道最终签名 (r, s)
,依然能生成有效的签名(在比特币中,即使 P1
不知道信息的内容,只要其知道最终签名的内容,便能在公开的区块链上找出那条交易;所以两者必须一起盲化)。
在上述两方协议的基础上对 P1
盲化 m
是很简单的: H(m)
是由 P2
添加到加密签名中的,然后才是 P1
使用 m
来验证最终的签名(在签名计算完成之后)。要是 P1
同意不关心消息 m
的内容,那么 TA 可以直接把签名发送给 P2
,由后者来验证,而不是自己去检查(当然,也可以说 TA 做不到,因为 TA 不知道 m
)。
对 P1
盲化最终的签名相对来说更难一些,但依然是非常直接的。上述协议的一个特征是,就像 m
一样,数值 r
也是由 P2
添加到 Pailier 加密表达式中的,所以本来 P1
也不必知道 r
。为了防止 P1
计算 r
, P2
可以不给 P1
发送 R2 = k2.G
(但是 P2
依然需要从 P1
处接收 k2
,以计算 r
)。
为了防止 P1
知晓最终签名 s
的值,即使在完成计算之后,Paillier 密文形式的 “差不多签名”(c3
)也可以使用一套致盲的 私钥/一次性随机数、通过一个同态标量乘法来盲化,然后再由 P2
发送给 P1
。然后 P1
可以通过乘以 k1^-1
来计算(盲化的)s
值,然后发回给 P2
,后者可以解盲,获得最终的签名(而 P1
则对最终的 s
值一无所知)。
根据上述思考,对 P1
完全盲化的签名协议将如下所示:
P1
选择一个随机的一次性私钥k1 <- Zq
,然后计算R1 = k1.G
,并将R1
发送给P2
P2
选择一个随机的一次性私钥k2 <- Zq
并计算R = k2.R1
P2
确定r
的值(即R
模 q 的 x 系数)P2
生成一个随机的盲化私钥b <- Zq
P2
选择m
并计算c1 = Enc_pk(k2^-1.H(m) mod q)
和v = k2^-1.rx2 mod q
,这需要用到来自P1
的 Paillier 公钥然后
P2
拿ck
和v
执行同态标量乘法,获得c2 = Enc_pk(k2^-1.rx2x1 mod q)
;以及c1
和c2
的 Paillier 同态加法,获得c3 = Enc_pk(k2^-1.H(x) + k2^-1.rx2x1 mod q)
再然后,
P2
拿c3
和b
使用同态标量乘法,获得c4 = Enc_pk(k2^-1.H(x).b + k2^-1.rx2x1.b mod q)
,并发送给P1
P1
使用 Paillier 私钥sk
解密c4
,获得t = Dec_sk(c4) = k2^-1.H(x).b + k2^-1.rx2x1.b mod q
P1
使用自己的一次性私钥的逆元k1^-1
乘以t
,获得盲化的s
值s_b = k^-1.H(x).b + k^-1.rx.b mod q
,并发送给P2
P2
解盲s_b
,获得最终的签名s = s_b.b^-1
P2
通过消息m
和共有公钥Q
验证签名(r, s)
假设
这个完全盲化形式的两方 ECDSA 协议打破了许多安全假设,因为 P1
变得无法执行特定的验证,不过这并不是一个问题,只要 P1
能对签名操作添加一些约束的话 —— 尤其是, P1
可以执行一条规则:对给定的一个私钥,TA 只执行一次联合签名(这就是一个状态链实体之所需),从而防止 P2
从单次请求中了解 x1
和 k1
的任何信息。
(完)
相关资讯
-
NYDIG:期货数据凸显交易者仓位
本期内容涵盖了比特币市场的多个方面,包括ETF流动性、难度下调对矿工经济的影响、资产管理公司的分类、比特币价格和哈希率下降等。最近,现货ETF的推出改变了交易商减少多头持仓的态势,但难度下调可能导致哈希率下降,影响矿工收入。比特币价格的稳定和4月份的消费者物价指数公布将受到投资者的关注。股票和债券市场表现良好,黄金和油价也有所上涨。.....
-
中心化AI的未来:你就是产品,让股东价值最大化
AI发展超越生命周期,中心化AI竞赛,最好模型胜出。数据质量崩溃,抓取互联网数据损害模型。AI助手训练数字孪生,自动化取代工作,寡头垄断API控制成本。监管和政策制定者知识差距被利用,执行版权法和KYC GPU。AI受大公司控制,剥削人类利润。新模型取代人类工作,数字优势出售给最高出价者。AI应由民主开放和去中心化系统管理,解决重要问题。.....
-
ZKRollups:房间里的大象
ZK Rollups是一种简化的区块链技术,利用零知识和简洁性属性来保护用户隐私并提高交易速度。然而,目前仍存在隐私泄露和数据可用性的问题。生成ZKP和提交证明的速度可能成为快速终结的瓶颈,降低用户体验。ZK Rollups可能不适合所有类型的DApps,且发布状态差异的方法也存在安全风险。尽管如此,ZK技术仍有潜力解决区块链难题。.....
-
以太坊的原生协议,逃向Solana
Solana在FTX/Alameda崩溃后重生,巩固了其作为顶级区块链的地位。随着SOL价格和DeFi指标的增长,Solana生态的开发者们推出新的激励系统吸引用户和资金。许多以太坊项目选择迁移到Solana,但市场份额仍面临风险。GMSOL是一个独立的交易所,使用GMX代币进行价值衡量和存储,并实施回购机制。市场猜测Ethena和Pendle将部署到Solana生态,开发者应该多元化区块链部署来维护市场份额。加密行业必须跨越不确定性鸿沟,吸引传统资产进入链上,否则将面临失去金钱和市场份额的风险。....
-
火星财经加密日报|5月16日
加密货币市场反弹,投资者认为疲软的通胀数据是看涨机制的转变。Bitfinex分析师表示,比特币价格上涨约2.5%,符合预期。瑞士联邦委员会拟实施加密资产报告框架,提高税收透明度。超过600家公司在美SEC监管文件中披露持有比特币ETF,总价值达35亿美元。Neoclassic Capital是由前高盛集团员工创立的加密风险投资公司,致力于为加密行业各领域注入资金。比特币价格上涨至66,035美元,受美国CPI数据低于预期的影响,投资者预期降息。多个加密货币空投项目备受关注,建议使用旗舰桥接器https:/
-
观点:宏观经济的流动性夏天或将到来,足够的耐心是成功关键
作者提出了“万物法则”来解释全球经济运作机制,认为科技股和加密货币是成长型资产,受长期趋势影响。作者认为当前的债务滚动、大选和全球问题不太可能改变这种情况,但市场也存在意外。正确的时间视角、投资组合管理和耐心可以避免投资失败。总的来说,“万物法则”是理解全球经济的最佳框架,但也需要注意意外情况。.....
-
加密KOL推文影响研究:短期喊单效应明显,跟单1000美金1月后平均产生79美金亏损
KOL喊单是韭菜们获取财富密码的重要来源,但研究发现KOL们的推文带来的长期投资价值微乎其微。此外,KOL们的推文对加密货币价格有短期影响,但长期投资建议不可靠。投资者应谨慎遵循KOL的建议,监管机构和商业媒体也应加强审查。.....
-
长推:链上合约平台的优势与市场趋势分析
CyberConnect是一条专注于社交的layer2公链,通过Staking和Restaking社区激励活动,为C端用户和B端开发者提供专属的社交链。它快速进入layer2领域,结合OP Stack超级链、Eigenlayer AVS再质押模型和Cyber DID入口层,为未来发展奠定基础。虽然仍需出现现象级的社交应用,但通过再质押机制,CYBER Token可以找到新的应用场景。.....
- 成交量排行
- 币种热搜榜