En esta pregunta ¿Cuáles son las ventajas de Schnorr vs ECDSA? Veo en la respuesta de Pieter Wuille el siguiente comentario sobre la validación por lotes de firmas de Schnorr: "Mejorar la velocidad de verificación, al admitir la validación por lotes de todas las firmas en un bloque a la vez (por una fracción de la velocidad de validarlas individualmente)".
Sin embargo, al mirar este gráfico (inicialmente en BIP 340 pero desde que se eliminó ) parece que los ahorros en realidad están más cerca de un factor de log(n). En otras palabras, para unas 10.000 firmas, el ahorro de tiempo es de aproximadamente 2,5 veces. Sé que técnicamente eso es una fracción, pero parecía que la implicación era que la mejora era más dramática. ¿Hay algo que este olvidando? Además, ¿cuál es el tiempo real en ciclos de reloj que fue un punto de partida para una verificación de firma de Schnorr? Gracias.
La aceleración en funciones criptográficas bien optimizadas es difícil de conseguir. En libsecp256k1, normalmente celebraremos una aceleración algorítmica del 4 %. Cifras del orden de 2x son razonables para el uso en Bitcoin, aunque podrían ser mayores en el futuro durante la descarga inicial del bloque, ya que podrían usarse lotes mucho más grandes.
Una sola validación en un solo núcleo de una CPU rápida de grado de escritorio toma alrededor de 50 microsegundos.
Otra Q/A relevante es la validación por lotes de Schnorr
daniel s