Solo puedo pensar en el artículo de MuSig que describe cómo se previenen los ataques de Rouge comprometiéndose también con la clave pública de todos los firmantes. Pero segun tengo entendido no es lo mismo el caso de multisig que luego agregar todas las firmas?
Sin embargo, veo el problema de que agregar firmas requiere que las firmas se produzcan en el mismo mensaje que, si solo se producen para cada tx, no se proporciona. ¿Alguien puede confirmar que esta es la razón por la que no funciona de forma interactiva, ya que las personas que firman tx ya tendrían que saber qué otros tx estarán en el bloque?
Primero una definición:
MuSig es un esquema de múltiples firmas, que también admite algo llamado agregación de claves . La agregación de claves significa que la firma que sale también puede ser verificada alternativamente por un verificador que no conoce las claves públicas de los firmantes individuales, sino solo una agregación de ellas. La agregación de claves no está relacionada con la agregación de firmas; todavía estamos hablando de un esquema de firma múltiple aquí y no de un esquema de firma agregada.
El siguiente es el concepto de interactividad: ¿en qué punto deben interactuar los firmantes en cualquiera de estos esquemas? Todos los esquemas de firma basados en Schnorr (actualmente conocidos) (incluidos los esquemas de firmas múltiples como MuSig) son interactivos; ya sea en el momento de la configuración o en el momento de la firma. Eso significa que, en algún momento, todos los firmantes deben conocerse y comunicarse entre sí para producir la firma conjunta.
Cuando hablamos de firmas agregadas en todo el bloque, necesitamos dos cosas:
MuSig tampoco lo es. Es posible construir un esquema de firma agregada de manera análoga, como se describe en el artículo de MuSig(1) , Apéndice A, aunque hay algunas trampas que se deben evitar. Sin embargo, la parte de la interactividad no tiene solución: ningún esquema de firma basado en logaritmos discretos que se conozca admite la agregación no interactiva. Sin embargo, los esquemas de firma de agregación no interactivos son posibles utilizando criptografía basada en emparejamiento, pero estos agregan suposiciones de seguridad adicionales.
pieter wuille
René Pickhardt