Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Schnorr署名のハーフアグリゲーション

shigeyuki azuchi
November 07, 2022
Technology
0
86

 Schnorr署名のハーフアグリゲーション

GBECの解説動画のスライドです。
https://goblockchain.network/2022/11/half-aggregation/

shigeyuki azuchi

November 07, 2022
Tweet

More Decks by shigeyuki azuchi

See All by shigeyuki azuchi
プロアクティブ秘密分散法
azuchi
0
3
v3トランザクションリレー
azuchi
0
8
ランポート署名
azuchi
0
33
BitVM
azuchi
0
46
Replacement Cycling Attack
azuchi
0
44
Bitcoinのタイムロックの仕組み
azuchi
0
33
Inner Product Argument
azuchi
0
72
Codex32
azuchi
0
27
PSBT
azuchi
0
66

Other Decks in Technology

See All in Technology
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
13k
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
390
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
510
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.7k
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
190
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
100
Adopting Jetpack Compose in Your Existing Project - GDG DevFest Bangkok 2024
akexorcist
0
110
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
700

Featured

See All Featured
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Embracing the Ebb and Flow
colly
84
4.5k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
Gamification - CAS2011
davidbonilla
80
5k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k

Transcript

  1. Schnorr署名のハーフアグリゲーション


  2. 1 Schnorr署名のハーフアグリゲーション
 • Schnorr署名の集約
 複数の証明者が署名を単一の署名に集約するプロトコル 
 ◦ Schnorrベースの新しいマルチシグ方式 MuSig
 https://goblockchain.network/2019/04/musig/

    
 ◦ MuSig2
 https://goblockchain.network/2021/02/musig2/ 
 
 • ハーフアグリゲーションとは?
 ◦ 非対話型で、複数のSchnorr署名を
 約半分のサイズに集約するプロトコル 
 ◦ 署名者でなくても、誰でも集約が可能 
 
 Sig
 Sig
 Sig
 Sig
 64 byte ✕ 3 = 192 byteが 
 64 byteの単一の署名に 
 Sig
 Sig
 Sig
 Sig
 32 byte ✕3 + 32byte = 128 byteに 
 (半分+32 byte)


  3. 2 ハーフアグリゲーションの用途
 • トランザクション/ブロックの署名の集約 
 
 
 
 
 


    • Lightning Networkのメッセージの署名の集約 
 Tx
 In
 Out
 UTXO B
 UTXO A
 …
 Sig
 Sig
 Sig
 Block
 Tx
 Sig
 Sig
 Tx
 Sig
 Tx
 Sig
 Sig
 ︙ Sig
 … Sig
 Node
 Node
 Node
 Node
 ノード通知
 チャネル通知
 Sig
 Sig
 Sig
 Sig
 各メッセージの署名を集約することで 
 通信の帯域幅を削減 
 (※ 要Schnorr署名への変更) 


  4. 3 ハーフアグリゲーション方式
 https://eprint.iacr.org/2022/222.pdf
 • ASchnorr
 個々の署名がすべて集まってから集約 
 • IASchnorr
 個々の署名をインクリメンタルに集約

    
 • SASchnorr
 順番に集約した署名を復元可能な集約 
 
 Half-Aggregation of BIP 340 signatures 
 https://github.com/ElementsProject/cross-input-aggregation/blob/master/ half-aggregation.mediawiki
 


  5. 4 Schnorr署名
 前提:
 公開鍵P = xG、署名対象のメッセージをメッセージ mとした場合
 
 Schnorr署名:
 1.

    nonce kをランダムに選択
 2. R = kGを計算
 3. s = k + H(P, R, m)xを計算
 4. (R.x, s)が署名データ
 
 署名の検証は、sG = R + H(P, R, m)Pを確認
 
 
 R.x, s共に32バイトのデータであるため、合計64バイト


  6. 5 ASchnorr
 前提:
 公開鍵P 1 = x 1 G、P 2

    = x 2 Gとして、それぞれのメッセージm 1 、m 2 に対する
 Schnorr署名をσ1 = (R 1 , s 1 )、σ2 = (R 2 , s 2 )とする。
 
 集約手順:
 1. L = {(R 1 , P 1 , m 1 ), (R 2 , P 2 , m 2 )}とする
 2. 係数 α 1 = H 2 (L, 1)、α 2 = H 2 (L, 2)を計算する
 3. s = α 1 s 1 + α 2 s 2 を計算する
 4. ({R 1 , R 2 }, s)が集約署名
 
 署名の検証は、sG = α 1 (R 1 + H(P 1 , R 1 , m 1 )P 1 ) + α 2 (R 2 + H(P 2 , R 2 , m 2 )P 2 )を確認
 
 署名者の数分のRと、1つのsの値から、
 署名データのサイズは署名者の各Schnorr署名の約半分のサイズに
 【係数が必要な理由】 
 単純にs 1 + s 2 を加算して、s = s 1 + s 2
 sG = R 1 + H(P 1 , R 1 , m 1 )P 1 + R 2 + H(P 2 , R 2 , m 2 )P 2
 を検証する方式の場合、 
 R 2 = k 2 - (R 1 + H(P 1 , R 1 , m 1 )P 1 )
 と細工することで、x 1 を知らなくても
 集約署名の偽造が可能になる。 


  7. 6 IASchnorr
 ASchnorrの課題
 1. L = {(R 1 , P

    1 , m 1 ), (R 2 , P 2 , m 2 )}とする
 2. 係数 α 1 = H 2 (L, 1)、α 2 = H 2 (L, 2)を計算する
 
 
 IASchnorr
 1. L i = {(R 1 , P 1 , m 1 ), …(R i , P i , m i )}とする
 2. 係数α i = H 2 (L i )とする
 3. s = α 1 s 2 + … + α i s i を計算する
 4. ({R 1 , …, R i }, s)が集約署名
 
 https://techmedia-think.hatenablog.com/entry/2022/07/11/200632 
 各Schnorr署名に適用する係数の計算に
 全参加者の以下のデータがすべて必要なため
 • 公開鍵(P)
 • Public nonce(R)
 • メッセージ(m)
 すべてが揃わないと集約不可能
 係数をすべての署名に対してではなく、
 順次コミットする署名を追加していく。
 L 1 = {(R 1 , P 1 , m 1 )}
 L 2 = {(R 1 , P 1 , m 1 ), (R 2 , P 2 , m 2 )}
 L 3 = {(R 1 , P 1 , m 1 ), (R 2 , P 2 , m 2 ), (R 3 , P 3 , m 3 )}
 
 ※ インクリメンタルな集約が可能に
 P 1 , m 1 , s 1, R 1
 P 2 , m 2 , s 2, R 2
 P 3 , m 3 , s 3, R 3