Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OP_CAT and Schnorr Trick

Avatar for shigeyuki azuchi shigeyuki azuchi
January 27, 2025
Technology
84
0

OP_CAT and Schnorr Trick

GBECの解説動画の資料です。
https://goblockchain.network/2025/01/opcat_and_schnorr_trick/

Avatar for shigeyuki azuchi

shigeyuki azuchi

January 27, 2025

More Decks by shigeyuki azuchi

See All by shigeyuki azuchi
クラスターmempool
Avatar for shigeyuki azuchi azuchi
0
28
W-OTS+
Avatar for shigeyuki azuchi azuchi
0
30
Shorのアルゴリズム
Avatar for shigeyuki azuchi azuchi
0
53
DahLIAS: Discrete Logarithm-Based Interactive Aggregate Signatures
Avatar for shigeyuki azuchi azuchi
0
39
Fiat-Shamir変換と注意点
Avatar for shigeyuki azuchi azuchi
0
210
AssumeUTXOを利用したブロックチェーンの同期
Avatar for shigeyuki azuchi azuchi
0
52
BIP-374 離散対数の等価性証明
Avatar for shigeyuki azuchi azuchi
0
69
BIP-353 DNS Payment Instructions
Avatar for shigeyuki azuchi azuchi
0
85
Pay to Anchorと1P1Cリレー
Avatar for shigeyuki azuchi azuchi
0
78

Other Decks in Technology

See All in Technology
あなたの AI ワークスペースに、 専門コーダーを連れてくる - Amazon Quick Desktop 最新情報
Avatar for kawaji kawaji_scratch
1
130
データサイエンスを価値につなげるプロジェクト設計 〜 DS一年目が現場で得た気づき 〜
Avatar for Yusei Doi ysd113
1
110
JSAI2026 オーガナイズドセッションOS-27「不動産とAI」趣旨説明 / JSAI2026 Organized Session OS-27 “Real Estate and AI”: Statement of Purpose
Avatar for Kiyota Yoji, Ph.D. ykiyota
0
210
やさしいA2A入門
Avatar for みのるん minorun365
PRO
11
1.7k
AAIFに入ってみた ~内から見えるコミュニティ動向~
Avatar for Satoshi Ito sato4
0
130
2026 TECHFRESH 畢業分享會 - AI-Native 重塑軟體工程與虛擬講師
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
660
小さくはじめるSLI/SLO ~育てながら組織に定着させる実践知~ / Starting Small with SLI/SLOs: Building Adoption Through Continuous Growth
Avatar for Narimichi Takamura nari_ex
2
1.3k
FDE という解 ― 暗黙知と明示知をつなぐ、伴走型エンジニアリング ―
Avatar for 太田 博三 otanet
0
130
Amazon Bedrock AgentCore ワークショップ JAWS UG TOHOKU / amazon-bedrock-agentcore-workshop-jawsug-tohoku-2026
Avatar for geeawa gawa
9
610
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
Avatar for mu (Mizuho Uehara) muehara
1
130
非定型業務をAI slackbotで自動化する ~ 社内要望を自動壁打ちするbotを作った ~/automating-ad-hoc-work-with-ai-slackbot
Avatar for shibayu36 shibayu36
0
580
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
Avatar for Uchide Hiroki(ucchi-) hanon52_
3
2k

Featured

See All Featured
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
67k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
Avatar for Helen Beal helenjbeal
1
230
Getting science done with accelerated Python computing platforms
Avatar for Jacob Tomlinson jacobtomlinson
2
220
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.3k
Impact Scores and Hybrid Strategies: The future of link building
Avatar for Tamara Novitovic tamaranovitovic
0
300
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
65
56k
Exploring anti-patterns in Rails
Avatar for Elle Meredith aemeredith
3
400
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.7k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.2k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
9.1k
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
220

Transcript

  1. OP_CATとSchnorrトリックを利用した 
 コベナンツ 


  2. 1 OP_CAT
 スタック上の2つの要素を連結するシンプルなopcode 
 Bitcoinの初期に存在したものの、2010年に 
 実行時に大量のメモリ消費をさせる攻撃が可能なことから無効化 
 <1 byte>

    OP_DUP OP_CAT OP_DUP OP_CAT …
 【BIP347】
 TapscriptのOP_SUCCESS系 opcodeにOP_CATを割り当てるソフトフォークの提案 
 Tapscriptの制限により、連結したデータのサイズが520 byteに制限されるため、メモリDoSも回避 
 https://github.com/bitcoin/bips/blob/master/bip-0347.mediawiki


  3. 2 Schnorrトリック
 【Schnorr署名のスキーム】
 • 秘密鍵:x、公開鍵:P = xG(Gは楕円曲線のベースポイント) 
 • メッセージ:m


    
 1. ランダムなnonce kを選択し、
 2. R = kGを計算
 3. e = H(P || R || m) を計算
 4. s = k + exを計算
 5. (R, s)がSchnorr署名
 
 
 https://www.wpsoftware.net/andrew/blog/cat-and-schnorr-tricks-i.html 
 【Schnorrトリック】
 P = R = G に固定する、つまりx = k = 1 
 生成されるSchnorr署名はs = 1 + e 
 (G, 1 + e) 
 sの値が署名対象のメッセージダイジェストに 1を加算した値になる 
 
 このSchnorr署名の検証をパスするためには、 
 トランザクションが指定された形式( m)になっている必要がある 
 つまり、コベナンツが可能になる! 


  4. 3 OP_CAT × Schnorrトリック
 Lock Script Spending Tx In コベナンツUTXO

    Out 規定の宛先、規定の金額 witness • 適用するアウトプットのデータ 
 ◦ ロックスクリプト
 ◦ 金額
 • コベナンツスクリプト 
 
 <G> OP_2DUP OP_SWAP OP_CAT OP_SWAP OP_CHECKSIG 
 • コベナンツUTXOの参照情報 
 ◦ OutPoint
 ◦ nSequence
 • nLocktime
 1. ロックスクリプトとwitnessのデータから OP_CAT を利用してスタック上で Txを組み立て
 2. OP_SHA256 でハッシュH(P || R || m) を計算し、
 3. コベナンツスクリプトによりSchnorrトリックを使って 
 Spending Tx がTxと同じになることを検証 


  5. 4 OP_CAT × Schnorrトリック
 <G> OP_2DUP OP_SWAP OP_CAT OP_SWAP OP_CHECKSIG

    
 <s>
 Schnorr署名のデータの一部となる Txをハッシュしたデータ sが提供された際のスタックの動作 
 s
 G
 s
 G
 s
 G
 s
 G
 s
 s
 G
 G
 s
 Gs
 Gs
 s
 G
 <G>
 OP_2DUP
 OP_SWAP
 OP_CAT
 OP_SWAP
 OP_CHECKSIG 
 s
 G = P→公開鍵
 Gs = (R, s)→ Schnorr署名
 Schnorrトリックによる署名検証 
 


  6. 5 +1対応
 実際にはsの値はTxのハッシュ+1の値である必要がある 
 
 
 1. witnessで提供する値(nSequenceやnLocktimeなど)を変更しながら 
 H(P

    || R || m) の最下位byteが0x01 で終わるようなTxを見つける(平均256回の試行) 
 ※ 最下位byteが0x01 であれば、sの値の最下位byteは 0x02 になる
 2. witnessに追加で、H(P || R || m) の上位31byteを提供させ(仮に σとする)
 3. OP_CAT を使用して、
 a. σ || 01 がTxのハッシュと一致するか OP_EQUALVERIFY で検証し、
 b. σ || 02 を使ってSchnorrトリックの署名を検証させる 


  7. 6 ECDSAトリック
 【ECDSA署名のスキーム】 
 • 秘密鍵:x、公開鍵:P = xG (Gは楕円曲線のベースポイント) 


    • メッセージ:m
 
 1. ランダムなnonce kを選択し、
 2. R = kG を計算し、
 3. RのX座標をrとする
 4. s = (H(m) + r × x)/k 
 5. (r, s) がECDSA署名 
 
 
 https://gist.github.com/RobinLinus/9a69f5552be94d13170ec79bf34d5e85 
 https://techmedia-think.hatenablog.com/entry/2024/12/03/142109 
 【ECDSAトリック】
 k = 1, R = G、x = 1/r, P = (1/r)G と固定する
 生成されるECDSA署名はs = H(m) + 1 
 (G, H(m) + 1) 
 sの値が署名対象のメッセージダイジェストに 1を加算した値になる 
 
 このECDSA署名の検証をパスするためには、 
 トランザクションが指定された形式( m)になっている必要がある 
 つまり、コベナンツが可能になる!