¿Cuál es la diferencia entre la agregación de claves (por ejemplo, MuSig) y la agregación de firmas ?
Mucha gente (incluyéndome a mí) ha usado en el pasado estos términos indistintamente. ¿Por qué es importante tener cuidado de usar el término correcto en su entorno correcto?
Como Pieter Wuille afirma aquí, la agregación de claves se completa en el momento de la creación de la dirección, no en el momento de la firma ni en el momento posterior a la firma.
Por supuesto, la agregación de claves tiene un impacto en el algoritmo de firma, y esa es probablemente una de las principales razones por las que es útil hacerlo antes de CISA: el trabajo necesario para respaldar el inicio de sesión de MuSig en la billetera llevará un tiempo, pero es bastante similar a CISA. firma.
¿Por qué es mejor la agregación de claves? Porque significa que las llaves originales nunca terminan en la cadena. Con la agregación de firmas, todavía tiene claves en cadena, pero con 1 firma... La agregación de claves significa que las reglas de consenso pueden ignorar por completo incluso el concepto de agregación.
Desventaja: la agregación de claves no se puede usar con entradas cruzadas, ya que no se puede predecir qué UTXO se gastarán juntos.
Mientras tanto, la agregación de firmas se completa en el momento de la firma o después de la firma, no en el momento de la creación de la dirección. Para implementarlo, posiblemente necesitaría un código de operación específico que observe múltiples claves.
La agregación de firmas implica un algoritmo de verificación que recibe una lista de pares (mensaje, clave pública) y una firma.
Podría ver la agregación de claves como un caso especial de agregación de firmas, ya que la firma agregada también es una firma de "clave única" válida para la clave agregada. Pero conceptualmente hay una gran diferencia en cómo se implementarían.
¿Por qué es importante tener cuidado de usar el término correcto en su entorno correcto?
La bifurcación suave Taproot propuesta no permite la agregación de firmas en absoluto ( entrada cruzada o de otro modo), facilita los esquemas de agregación clave, por ejemplo, MuSig. Como dice Pieter, las reglas de consenso de Taproot y Schnorr no tienen conciencia de agregación. Por lo tanto, si dice que Taproot permite la agregación de firmas, esto es incorrecto y generará confusión. Además, al pasar a la discusión sobre qué bifurcaciones blandas podrían seguir potencialmente a Taproot, habilitar la agregación de firmas será una característica candidata que se considerará seriamente ya que el ahorro de espacio en bloque podría ser significativo. (Tenga en cuenta que los datos de testigos ya tienen descuento después de SegWit). La agregación de claves le permite agregar claves dentro de una entrada , pero la agregación de firmas de entrada cruzada podría potencialmente permitirle agregar firmasa través de las entradas .
La agregación de firmas no solo entre entradas sino entre transacciones podría significar potencialmente que solo una firma se conecta en cadena para todo el bloque. Sin embargo, esto no es posible con la criptografía basada en logaritmos discretos (consulte el comentario de Pieter a continuación). Necesita una agregación no interactiva, ya que no puede exigir la cooperación de los autores de transacciones. Esta agregación debe ser realizada por mineros.
pieter wuille