¿Cómo mejora Schnorr la construcción de intercambios atómicos?

Question

¿Cómo mejora Schnorr la construcción de intercambios atómicos?

Finanzas
intercambio atómico
Schnorr-firmas

muro

¿Cómo mejora la disponibilidad de las firmas de Schnorr la capacidad de realizar intercambios atómicos entre cadenas?

Respuestas (2)

¿Cómo mejora Schnorr la construcción de intercambios atómicos?

muro · Answer 1

Para realizar un intercambio atómico, ambos activos deben bloquearse para garantizar la ejecución atómica homónima de ambos pagos o ninguno. Tradicionalmente, esto utiliza un script de salida complejo que tiene dos resultados. En ambas cadenas, los fondos están bloqueados de tal manera que la parte receptora firma con su clave privada y también revela una preimagen, o el propietario original puede recuperar los fondos por sí mismo después de que haya pasado un tiempo de espera firmando con su clave privada. De esta forma, siempre que una de las dos partes revele la preimagen para tomar los fondos, la otra parte puede tomar los fondos inmediatamente en la otra red. Los inconvenientes de este enfoque son que las dos transacciones son fáciles de vincular debido a que presentan el mismo hash de bloqueo, que el script es bastante pesado y que todos ven lo que está sucediendo.

Los intercambios atómicos se pueden mejorar con las firmas de Schnorr tanto en lo que respecta a su privacidad como a su huella en la cadena de bloques. En lugar de la secuencia de comandos de salida descrita anteriormente, los fondos se bloquean en una dirección multigrado 2 de 2 con una condición de tiempo de espera para devolver los fondos. Para garantizar la atomicidad, una de las dos partes crea transacciones en ambas redes que utilizan "firmas de adaptador". Estas transacciones son completamente válidas, excepto que la firma de la parte creadora esté dañada por un desplazamiento lineal. La parte creadora proporciona una prueba de conocimiento cero a la contraparte de que ambos están dañados por el mismo valor y que, de lo contrario, serían válidos. Después de que la contraparte también firme ambas transacciones, cualquiera de las partes puede reparar el daño en una de las firmas para que la transacción sea válida.

Debido a la multifirma compacta de Schnorr, la dirección multisig 2 de 2 con el tiempo de espera de reserva se parece a una dirección hash de clave pública estándar de 1 de 1 Pay-to-Schnorr, y el gasto de transacción 2 de 2 de ella también parece indistinguible de cualquier otra transacción estándar. Las transacciones no están vinculadas de manera visible, los terceros no pueden saber qué claves públicas estuvieron involucradas y, dado que sería trivial recrear el daño después de tener las dos firmas válidas, es difícil para cualquiera de las partes probar que este intercambio alguna vez tuvo lugar.

Como resultado, Schnorr permite realizar intercambios atómicos mediante la creación de dos transacciones estándar en cada red, mientras que las construcciones de intercambio atómico anteriores usaban 2 de 2 direcciones multisig y contratos HTLC que eran mucho más pesados y fáciles de distinguir.

Para que esto funcione, al menos una de las dos redes debe admitir firmas Schnorr (preferiblemente ambas).

^{H/T Pieter por sus comentarios y por vincularme a este artículo más completo de Kanzure: http://diyhpl.us/wiki/transcripts/layer2-summit/2018/scriptless-scripts/}

Nit técnico: esto no tiene nada que ver con la agregación de firmas, sino con las multifirmas de Schnorr. La distinción es que la agregación de firmas se trata de combinar varias firmas en mensajes distintos (y en el contexto de Bitcoin se refiere a agregar a través de diferentes entradas), y las firmas múltiples se trata de múltiples participantes que firman el mismo mensaje. De hecho, el uso de la agregación de firmas (entrada cruzada) entra en conflicto con el enfoque de firma del adaptador que está explicando aquí.

Marcos Lundeberg · Answer 2

Una versión ligeramente diferente: si tiene firmas Schnorr, puede crear canales de pago basados en firmas múltiples agregadas. Dichos canales de pago parecen indistinguibles del p2pkh normal en la cadena de bloques.

Con cualquier canal de pago, puede ocultar intercambios atómicos bloqueados por hash dentro de . A diferencia de los intercambios atómicos en cadena tradicionales, estos intercambios atómicos en el canal son de todos modos más rápidos de configurar, más seguros y admiten el comercio de alta frecuencia entre las partes. En el caso del cierre de una cooperativa, el secreto de HTLC nunca llega a la cadena de bloques y parece un canal de pago regular. Y con schnorr, como se acaba de mencionar, un canal de pago regular se parece a cualquier otra transacción. Entonces obtienes un intercambio atómico bloqueado por hash que es "totalmente invisible", o al menos no parece notable.

Dado que esto utiliza técnicas de bloqueo de hash completamente estándar, le permite operar incluso cuando las dos cadenas de bloques no usan la misma curva elíptica (a diferencia de los adaptadores).

¿Cómo mejora Schnorr la construcción de intercambios atómicos?

muro

Respuestas (2)

muro

pieter wuille

muro

Marcos Lundeberg

¿Por qué la agregación de firmas en todo el bloque impide las firmas de adaptadores?

¿Cuáles son las limitaciones para amortizar la configuración de sesión interactiva de MuSig?

¿Alguien puede hacerme ELI5 para intercambios atómicos de Bitcoin?

¿Podría Taproot crear mayores riesgos de seguridad o incluso dificultar futuros ajustes de protocolo con respecto a las amenazas cuánticas?

¿Las firmas de Schnorr son resistentes a la computadora cuántica?

¿Existen riesgos al usar la misma clave privada para las firmas ECDSA y Schnorr?

2 de 3 multigrado con firmas Schnorr

¿Los testigos están segregados con las firmas de Schnorr?

¿Las firmas Schnorr estandarizadas de sipa son incompatibles con las firmas ciegas?

¿Cómo hacer intercambio atómico con bitcoin?