3 分散鍵生成(DKG) n人の参加者のうち、t人の参加者が協力すればSchnorr署名を完成させられるユースケースを想定 n人の参加者(各参加者の IDを1..nとする)は、それぞれ以下のプロトコルを実行 【第1ラウンド】 1. t個のランダムなシークレット a 0 , a 1 , …, a t-1 を生成 2. 1のシークレットを係数とした t-1次の多項式を作成 f(x) = a t-1 xt-1 + a t-2 xt-2 + … + a 0 3. a 0 の知識を証明をするためのSchnorr署名を生成
a. ランダムなnonce kを選択し、R = kGとする b. c = H(ID || a 0 G || R)を計算 c. s = k + ca 0 を計算 d. (R, s)がSchnorr署名 4. 各係数のコミットメントを計算( C i = a i G) 5. 4のリストと、3のSchnorr署名を他の参加者に送信
4 分散鍵生成(DKG) 【第2ラウンド】 1. 自分が作成した多項式 f(x) = a t-1 xt-1 + a t-2 xt-2 + … + a 0 を使って、 n人の各参加者のシェア(ID, f(ID))を計算し、各参加者に送信する。
2. シェアを受信した参加者は、シェア (ID, f(ID))が正しいか検証する。 ※ 多項式の各係数は不明だが、共有されたコミットメント( C i = a i G)を使って検証可能 f(ID) = C t-1 ・IDt-1+ C t-2 ・IDt-2 + … C 0 ・ID0 3. 全参加者からシェアを受信したら、集約鍵のシェアを計算
s ID = f 1 (ID) + f 2 (ID) + … f n (ID) 4. 3から自分の公開シェアP ID = s ID Gを計算 他の参加者の公開シェアについても、全参加者のコミットメントとIDが分かるので計算可能
5. 各参加者のC ID, 0 = a ID,0 Gを合算して、集約公開鍵P = a 1,0 G + a 2,0 G + … a n,0 Gを導出
集約公開鍵Pに対応する秘密鍵は、各参加者の係数 a 0 の合算値 各参加者は集約秘密鍵のシェアを持っている状態
6 署名の生成 【署名ラウンド】 ● 最初に参加者の中から、署名の集約を行う Signature Aggregator(SA)を選択する ● SAは参加者の中からt人選び、未使用のnonceのペア( D ID G, E ID G)をピックアップ ● SAはピックアップしたnonceのリストと署名対象のメッセージ mをt人の参加者に送信
t人の参加者は、 1. nonceのリストが以前受信したものか検証
2. 参加者全員分のp ID = H(ID || m || (nonceのリスト)) を計算 3. 署名に使用する集約nonceを計算 4. 署名のチャレンジ c = H(P || R || m)を計算 5. 自身のシェアs ID を使って部分署名を計算し
z ID = d ID + p ID e ID + c s ID λ ID 6. 部分署名をSAに送信 ※ s ID λ ID は多項式補間で復元される秘密鍵のシェアとして機能する
azuchi
kohbis
bun913
zakiyama
hiboma
microcms
yuyakakizaki08
yuya4
iwamot
norimuraz
jfg956
goyoki
charmichokshi
speakerdeck
brad_frost
stephaniewalter
chriscoyier
dotmariusz
roundedbygravity
sachag
paigeccino
chrislema
mclloyd
marcelosomers