¿Por qué la agregación de firmas en todo el bloque impide las firmas de adaptadores?
René Pickhardt
En un video reciente sobre medias firmas , Jonas Nick menciona que la agregación de firmas en todo el bloque interfiere con las firmas del adaptador y ofrece intercambios atómicos (supongo que a través de PTLC).
Estoy confundido acerca de lo que se rompe en ese caso. ¿Entiendo correctamente que el problema principal es que la firma depende del secreto del adaptador? Si es así, la transacción (incluida su firma) ya estaría fijada en el bloque de todos modos. La única otra intuición que tengo sería que podría obstaculizar un protocolo no interactivo para las firmas del adaptador, pero eso tampoco me parece obvio ya que, según tengo entendido, los mineros harían la agregación de todo el bloque en el mismo finaliza después de presentar todas las firmas.
Respuestas (2)
pieter wuille
Hay un argumento teórico de información simple: cuando dos partes producen una firma de adaptador, una de las partes aprenderá un ajuste secreto de la firma en cadena finalmente publicada, comparándola con la firma de adaptador que tenían antes de tiempo.
En el caso de la agregación de firmas en todo el bloque, solo hay una firma para todo el bloque. Simplemente no hay espacio para que esa sola firma revele múltiples secretos independientes a múltiples partes independientes.
gijswijs
La firma del adaptador s' es la firma real s , menos un ajuste secreto t : s'=st
La firma del adaptador se publica junto con los puntos de la curva elíptica R para el nonce y T para el tweak, que pertenecen a sus correspondientes secretos r y t .
El Verificador ahora puede hacer la verificación y verificar que todo sea válido. Después de esto, el Verificador tiene que esperar a que aparezca la firma real s en la cadena para calcular t : t=ss' .
Pero en el caso de la agregación de firmas en todo el bloque, las firmas reales nunca aparecen en la cadena porque se "pierden" dentro de la firma agregada. La firma agregada s_agg es la suma de todas las demás firmas; en el caso de Signature Half Aggregation, es una suma de todas las firmas, cada una multiplicada por un valor impredecible z_i:
s_agg es el único valor que aparece en la cadena y es inútil para calcular t .
Puede encontrar información más detallada aquí: https://www.gijsvandam.nl/post/why-does-signature-half-aggregation-break-adaptor-signatures/
¿Por qué la agregación completa de firmas de todo el bloque de firmas schnorr no es interactiva?
¿Qué tan difícil es generar una firma ECDSA (o Schnorr) con una cierta cantidad de ceros a la izquierda?
¿Cómo mejora Schnorr la construcción de intercambios atómicos?
¿Cómo funciona "Firmar mensaje"?
¿Las firmas Schnorr estandarizadas de sipa son incompatibles con las firmas ciegas?
¿Qué es una firma de adaptador?
¿Cuál es el "valor" en un hash de firma de Segwit?
¿Cómo firmar un mensaje usando la clave privada de Bitcoin?
¿Por qué la firma siempre tiene 65 (1+32+32) bytes?
¿Se puede incluir una firma en un pago de bitcoin?
gijswijs