¿Por qué la agregación completa de firmas de todo el bloque de firmas schnorr no es interactiva?

Solo puedo pensar en el artículo de MuSig que describe cómo se previenen los ataques de Rouge comprometiéndose también con la clave pública de todos los firmantes. Pero segun tengo entendido no es lo mismo el caso de multisig que luego agregar todas las firmas?

Sin embargo, veo el problema de que agregar firmas requiere que las firmas se produzcan en el mismo mensaje que, si solo se producen para cada tx, no se proporciona. ¿Alguien puede confirmar que esta es la razón por la que no funciona de forma interactiva, ya que las personas que firman tx ya tendrían que saber qué otros tx estarán en el bloque?

La pregunta suena un poco confusa: la agregación de firmas basada en Schnorr es interactiva, y ese es el problema. Espero haberlo abordado en mi respuesta, pero avíseme si me lo perdí.
Sí lo fue y sí lo hiciste. ¿Me permitiría editar mi pregunta más tarde moviendo parte de sus definiciones a la pregunta?

Respuestas (1)

Primero una definición:

  • Un esquema de firma múltiple es un esquema en el que varias partes producen conjuntamente una firma en un solo mensaje, que se puede verificar con el conjunto de todas las claves públicas participantes.
  • Un esquema de firma agregada es un esquema en el que varias partes producen conjuntamente una firma, cada una en su propio mensaje, que se puede verificar con el conjunto de todos los pares (clave pública, mensaje).

MuSig es un esquema de múltiples firmas, que también admite algo llamado agregación de claves . La agregación de claves significa que la firma que sale también puede ser verificada alternativamente por un verificador que no conoce las claves públicas de los firmantes individuales, sino solo una agregación de ellas. La agregación de claves no está relacionada con la agregación de firmas; todavía estamos hablando de un esquema de firma múltiple aquí y no de un esquema de firma agregada.

El siguiente es el concepto de interactividad: ¿en qué punto deben interactuar los firmantes en cualquiera de estos esquemas? Todos los esquemas de firma basados ​​en Schnorr (actualmente conocidos) (incluidos los esquemas de firmas múltiples como MuSig) son interactivos; ya sea en el momento de la configuración o en el momento de la firma. Eso significa que, en algún momento, todos los firmantes deben conocerse y comunicarse entre sí para producir la firma conjunta.

Cuando hablamos de firmas agregadas en todo el bloque, necesitamos dos cosas:

  • Un esquema de firma agregada , no un esquema de firma múltiple. Cada transacción es obviamente su propio mensaje, que sus participantes firman. Dado que las transacciones se crean de forma independiente a partir de bloques, no puede esperar que todos los participantes firmen el mismo mensaje.
  • No interactividad . No se puede exigir que todas las partes cuyas transacciones se vayan a incluir en un mismo bloque se comuniquen entre sí. Las transacciones pueden haber sido prefirmadas años antes de que se incluyan, para dar un ejemplo extremo.

MuSig tampoco lo es. Es posible construir un esquema de firma agregada de manera análoga, como se describe en el artículo de MuSig(1) , Apéndice A, aunque hay algunas trampas que se deben evitar. Sin embargo, la parte de la interactividad no tiene solución: ningún esquema de firma basado en logaritmos discretos que se conozca admite la agregación no interactiva. Sin embargo, los esquemas de firma de agregación no interactivos son posibles utilizando criptografía basada en emparejamiento, pero estos agregan suposiciones de seguridad adicionales.

Primero, muchas gracias por la revisión de la notación y por proporcionar definiciones claras. ¡Siendo solo un criptógrafo aficionado, ciertamente mezclé la agregación de claves y firmas en mi representación mental! Sin embargo, dices que la parte de la interactividad no tiene solución. ¿Es eso demostrable o simplemente no sabemos cómo hacerlo? Si bien decir que no conocemos una forma de hacer esto es técnicamente una respuesta a mi pregunta. Tengo curiosidad por saber si tenemos alguna idea teórica de por qué esto es difícil o aún no se ha encontrado.
No creo que haya pruebas de que esto sea imposible, pero puedo dar algo de intuición: estos esquemas de firma requieren que todos los participantes proporcionen (buena) aleatoriedad, y deben ponerse de acuerdo sobre esa aleatoriedad antes de que puedan firmar. Este acuerdo parece necesitar al menos una ronda de interacción entre ellos. Los esquemas basados ​​en emparejamiento que admiten la agregación no interactiva no implican ninguna aleatoriedad.
Todos los esquemas de firma basados ​​en Schnorr (actualmente conocidos) (incluidos los esquemas de firmas múltiples como MuSig) son interactivos; ya sea en el momento de la configuración o en el momento de la firma. ”. ¿Cuáles son algunos ejemplos de esquemas que requieren interacción solo en el momento de la configuración?
MuSig2 tiene dos rondas, la primera de las cuales se puede precalcular (es decir, antes de que se conozca el mensaje). Si lo hace, la primera ronda se convierte efectivamente en parte de la configuración, que luego es interactiva, pero la firma es solo una ronda.
¿Por qué la agregación completa de firmas de todo el bloque de firmas schnorr no es interactiva?
RespuestasAquíPolítica de privacidad1y, 0v