Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OP_CAT and Schnorr Trick

shigeyuki azuchi
January 27, 2025
Technology
0
4

OP_CAT and Schnorr Trick

GBECの解説動画の資料です。
https://goblockchain.network/2025/01/opcat_and_schnorr_trick/

shigeyuki azuchi

January 27, 2025
Tweet

More Decks by shigeyuki azuchi

See All by shigeyuki azuchi
Pay to Anchorと1P1Cリレー
azuchi
0
7
プロアクティブ秘密分散法
azuchi
0
15
v3トランザクションリレー
azuchi
0
18
ランポート署名
azuchi
0
49
BitVM
azuchi
0
57
Replacement Cycling Attack
azuchi
0
56
Bitcoinのタイムロックの仕組み
azuchi
0
44
Inner Product Argument
azuchi
0
82
Codex32
azuchi
0
34

Other Decks in Technology

See All in Technology
AWSエンジニアに捧ぐLangChainの歩き方
tsukuboshi
0
140
Microsoft Ignite 2024 最新情報!Microsoft 365 Agents SDK 概要 / Microsoft Ignite 2024 latest news Microsoft 365 Agents SDK overview
karamem0
0
180
re:Invent Recap (January 2025)
scalefactory
0
340
ブロックチェーンR&D企業における SREの実態 / SRE Kaigi 2025
datachain
0
3.5k
日本語プログラミングとSpring Bootアプリケーション開発 #kanjava
yusuke
1
310
ココナラのセキュリティ組織の体制・役割・今後目指す世界
coconala_engineer
0
200
論文紹介 ”Long-Context LLMs Meet RAG: Overcoming Challenges for Long Inputs in RAG” @GDG Tokyo
shukob
0
250
Women in Agile
kawaguti
PRO
2
150
攻撃者の視点で社内リソースはどう見えるのかを ASMで実現する
hikaruegashira
3
1.9k
MicrosoftのOSSだけでAIによるブラウザテストを構成する
ymd65536
1
240
企業テックブログにおける執筆ネタの考え方・見つけ方・広げ方 / How to Think of, Find, and Expand Writing Topics for Corporate Tech Blogs
honyanya
0
720
FinJAWS_reinvent2024_recap_database
asahihidehiko
2
320

Featured

See All Featured
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
28
2.2k
The Cult of Friendly URLs
andyhume
78
6.2k
Automating Front-end Workflow
addyosmani
1367
200k
A Tale of Four Properties
chriscoyier
157
23k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
28
4.5k
It's Worth the Effort
3n
184
28k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.4k
Fashionably flexible responsive web design (full day workshop)
malarkey
406
66k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
590
Learning to Love Humans: Emotional Interface Design
aarron
274
40k
Optimising Largest Contentful Paint
csswizardry
33
3k
Designing on Purpose - Digital PM Summit 2013
jponch
117
7.1k

Transcript

  1. OP_CATとSchnorrトリックを利用した 
 コベナンツ 


  2. 1 OP_CAT
 スタック上の2つの要素を連結するシンプルなopcode 
 Bitcoinの初期に存在したものの、2010年に 
 実行時に大量のメモリ消費をさせる攻撃が可能なことから無効化 
 <1 byte>

    OP_DUP OP_CAT OP_DUP OP_CAT …
 【BIP347】
 TapscriptのOP_SUCCESS系 opcodeにOP_CATを割り当てるソフトフォークの提案 
 Tapscriptの制限により、連結したデータのサイズが520 byteに制限されるため、メモリDoSも回避 
 https://github.com/bitcoin/bips/blob/master/bip-0347.mediawiki


  3. 2 Schnorrトリック
 【Schnorr署名のスキーム】
 • 秘密鍵:x、公開鍵:P = xG(Gは楕円曲線のベースポイント) 
 • メッセージ:m


    
 1. ランダムなnonce kを選択し、
 2. R = kGを計算
 3. e = H(P || R || m) を計算
 4. s = k + exを計算
 5. (R, s)がSchnorr署名
 
 
 https://www.wpsoftware.net/andrew/blog/cat-and-schnorr-tricks-i.html 
 【Schnorrトリック】
 P = R = G に固定する、つまりx = k = 1 
 生成されるSchnorr署名はs = 1 + e 
 (G, 1 + e) 
 sの値が署名対象のメッセージダイジェストに 1を加算した値になる 
 
 このSchnorr署名の検証をパスするためには、 
 トランザクションが指定された形式( m)になっている必要がある 
 つまり、コベナンツが可能になる! 


  4. 3 OP_CAT × Schnorrトリック
 Lock Script Spending Tx In コベナンツUTXO

    Out 規定の宛先、規定の金額 witness • 適用するアウトプットのデータ 
 ◦ ロックスクリプト
 ◦ 金額
 • コベナンツスクリプト 
 
 <G> OP_2DUP OP_SWAP OP_CAT OP_SWAP OP_CHECKSIG 
 • コベナンツUTXOの参照情報 
 ◦ OutPoint
 ◦ nSequence
 • nLocktime
 1. ロックスクリプトとwitnessのデータから OP_CAT を利用してスタック上で Txを組み立て
 2. OP_SHA256 でハッシュH(P || R || m) を計算し、
 3. コベナンツスクリプトによりSchnorrトリックを使って 
 Spending Tx がTxと同じになることを検証 


  5. 4 OP_CAT × Schnorrトリック
 <G> OP_2DUP OP_SWAP OP_CAT OP_SWAP OP_CHECKSIG

    
 <s>
 Schnorr署名のデータの一部となる Txをハッシュしたデータ sが提供された際のスタックの動作 
 s
 G
 s
 G
 s
 G
 s
 G
 s
 s
 G
 G
 s
 Gs
 Gs
 s
 G
 <G>
 OP_2DUP
 OP_SWAP
 OP_CAT
 OP_SWAP
 OP_CHECKSIG 
 s
 G = P→公開鍵
 Gs = (R, s)→ Schnorr署名
 Schnorrトリックによる署名検証 
 


  6. 5 +1対応
 実際にはsの値はTxのハッシュ+1の値である必要がある 
 
 
 1. witnessで提供する値(nSequenceやnLocktimeなど)を変更しながら 
 H(P

    || R || m) の最下位byteが0x01 で終わるようなTxを見つける(平均256回の試行) 
 ※ 最下位byteが0x01 であれば、sの値の最下位byteは 0x02 になる
 2. witnessに追加で、H(P || R || m) の上位31byteを提供させ(仮に σとする)
 3. OP_CAT を使用して、
 a. σ || 01 がTxのハッシュと一致するか OP_EQUALVERIFY で検証し、
 b. σ || 02 を使ってSchnorrトリックの署名を検証させる 


  7. 6 ECDSAトリック
 【ECDSA署名のスキーム】 
 • 秘密鍵:x、公開鍵:P = xG (Gは楕円曲線のベースポイント) 


    • メッセージ:m
 
 1. ランダムなnonce kを選択し、
 2. R = kG を計算し、
 3. RのX座標をrとする
 4. s = (H(m) + r × x)/k 
 5. (r, s) がECDSA署名 
 
 
 https://gist.github.com/RobinLinus/9a69f5552be94d13170ec79bf34d5e85 
 https://techmedia-think.hatenablog.com/entry/2024/12/03/142109 
 【ECDSAトリック】
 k = 1, R = G、x = 1/r, P = (1/r)G と固定する
 生成されるECDSA署名はs = H(m) + 1 
 (G, H(m) + 1) 
 sの値が署名対象のメッセージダイジェストに 1を加算した値になる 
 
 このECDSA署名の検証をパスするためには、 
 トランザクションが指定された形式( m)になっている必要がある 
 つまり、コベナンツが可能になる!