Descargo de responsabilidad: esta pregunta es de importancia teórica para mí, tratando de educarme mejor sobre los principios criptográficos y los esquemas de firma. No pretendo dar a entender que, en la práctica, las firmas schnorr son menos seguras que las transacciones/scripts actuales de 2-2 multisig.
Actualmente estoy leyendo el artículo sobre música y sobre guiones sin guión. A mi entender, una idea común importante en ambos casos parece poder tener una sola firma producida a partir de varias claves privadas.
Supongamos que puedo forzar la clave privada desde una clave pública en un tiempo razonable, digamos 1 mes (por ejemplo, porque tengo un algoritmo algo eficiente para el inicio de sesión discreto en ecdsa (que no tengo). También supongamos que puedo invertir la función hash de las direcciones de Bitcoin rápidamente. O supongamos que solo conocemos las claves públicas porque soy el tercero en un servicio de custodia)
¿No podría romper una dirección MuSig dentro de 1 mes (bajo la suposición anterior) al romper la clave privada agregada a la clave pública agregada mientras que en la configuración de una billetera multisig común 2-2 necesitaría 2 meses para poder para poder proporcionar dos firmas válidas, ya que tendría que aplicar fuerza bruta a ambas claves privadas de forma independiente?
Sí o no, según su definición.
Tiene razón en que el tiempo esperado para falsificar una firma múltiple 2 de 2 es el doble que el de una sola firma, porque obviamente necesita usar su algoritmo de falsificación dos veces.
Sin embargo, en la práctica, estos factores constantes se ignoran al describir los niveles de seguridad. Por ejemplo, normalmente ed25519 y secp256k1 se colocan en el mismo grupo de seguridad de 128 bits, a pesar de que secp256k1 necesita en promedio 4 veces más iteraciones del algoritmo rho de Pollard para romper el DLP. Por otro lado, debido al endomorfismo computable eficientemente de secp256k1, las iteraciones individuales de ese algoritmo son 1,7 veces más rápidas de lo que se esperaría de otra manera.
Además, la unidad en la que están especificados es vaga. Cuando se habla de ECDLP, los niveles de seguridad generalmente se especifican en términos del número de multiplicaciones de curvas elípticas. Pero una multiplicación de EC no es algo trivial, ni su rendimiento es idéntico en todas las curvas. Sin embargo, cuando se habla de cosas del orden de 2^128, un factor 10 aquí o allá solo cambia el exponente en 3,3. Se vuelve aún más confuso cuando se tiene en cuenta el hardware especializado que podría construirse para ciertas tareas, lo que dificulta aún más la comparación.
El punto es que no nos importa cuánto tiempo tome las cosas para un atacante. Solo nos importa que sean tan largos que ningún atacante pueda usarlos para representar una amenaza real.
Si se tarda demasiado en falsificar dos firmas, es muy probable que también se tarde demasiado en romper una.
René Pickhardt
pieter wuille