Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Schnorrベースの新しいマルチシグ方式MuSig
Search
shigeyuki azuchi
April 15, 2019
Technology
0
110
Schnorrベースの新しいマルチシグ方式MuSig
GBEC動画解説コンテンツのスライドです。
https://goblockchain.network/2019/04/musig/
shigeyuki azuchi
April 15, 2019
Tweet
Share
More Decks by shigeyuki azuchi
See All by shigeyuki azuchi
Replacement Cycling Attack
azuchi
0
12
Bitcoinのタイムロックの仕組み
azuchi
0
7
Inner Product Argument
azuchi
0
25
Codex32
azuchi
0
9
PSBT
azuchi
0
28
Trampoline Payment
azuchi
0
15
KZG Commitment
azuchi
0
99
Silent Payment
azuchi
0
62
FROST
azuchi
0
9
Other Decks in Technology
See All in Technology
20240416_devopsdaystokyo
kzkmaeda
1
220
FrontDoorとWebAppsを組み合わせた際のリダイレクト処理の注意点
kenichirokimura
1
500
マルチアカウント環境への発見的統制の導入
ch1aki
1
1.3k
ユーザーストーリーのレビューを自動化したみたの
bun913
1
420
コードを書く隙間を見つけて生きていく技術/Findy 思考の現在地
fujiwara3
27
5.9k
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.6k
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
120
Next'24 事例セッションの紹介とクラウド資格を活用したキャリア形成について語りMuscle
yasumuusan
1
440
KubeCon EU 2024 Recap “Kubernetes Policy Time Machine: Where to Next?”
ryysud
0
210
ChatworkのSRE部って実は 半分くらいPlatform Engineering部かもしれない
saramune
0
160
APIファーストなプロダクトマネジメントの実践 〜SaaSus Platformでの例〜 / "Practicing API-First Product Management - An Example with SaaSus Platform
oztick139
0
100
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
840
Featured
See All Featured
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Rails Girls Zürich Keynote
gr2m
91
13k
What's in a price? How to price your products and services
michaelherold
237
11k
YesSQL, Process and Tooling at Scale
rocio
164
13k
What's new in Ruby 2.0
geeforr
337
31k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
6
1.5k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.5k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.6k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
357
22k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.6k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
40
4.4k
Transcript
Schnorrベースの 新しいマルチシグ方式 MuSig
1 Schnorr署名 公開鍵や署名の集約特性があるデジタル署名スキーム • 楕円曲線の生成点:G • 秘密鍵:x、公開鍵:P = xG •
暗号学的ハッシュ関数: H • メッセージダイジェスト: m 【署名の生成】 • ランダムなnonce kを選択する。 • R = kGを計算する(Rは楕円曲線上の点)。 • s = k + H(P, R, m) x を計算する。 • (R, s)が署名データ 【署名の検証】 • sG = R + H(P, R, m)P が成立するか検証する。 秘密鍵 x の情報を知らなければ、 この式を満たす s は導出できない。
2 Schnorrベースのマルチシグ • 鍵ペア P1 = x1G • 鍵ペア P2
= x2G マルチシグの公開鍵 P = P1 + P2 にコインをロック ※Pに対応する秘密鍵は誰も知らない Pにロックされたコインをアンロックする ② s1 = k1 + H(P, R, m)x1 を計算 ② s2 = k2 + H(P, R, m)x2 を計算 ③ s = s1 + s2 = k1 + k2 + H(P, R, m)(x1 + x2)を計算 署名データは(R, s) ※ 署名は各ユーザーが計算した各 s値の加算することで計算できる ④ sG = R + H(P, R, m)P を検証 ① nonce R1 = k1Gを計算し送付 ① nonce R2 = k2Gを計算し送付 署名に使用するnonceはR = R1 + R2
3 Rogue-Key攻撃の問題 • 鍵ペア P1 = x1G • 鍵ペア P2
= x2G ① 公開鍵 P1を相手に送信 ② P3 = P2 - P1 を計算し、 P3を自分の公開鍵として送信する。 ③ マルチシグの公開鍵は P1 + P3 = P1 + P2 - P1 = P2 となり、悪意あるユーザーの鍵のみでマルチシグにロックされた資金を 回収するSchnorr署名を作ることができてしまう。 回避するにはP3に対応する秘密鍵を持っていること の証明を求める必要がある。
4 MuSig Rogue-Key攻撃に対して耐性がありつつ、鍵の集約が可能な Schnorrベースのマルチシグスキーム
5 MuSig • 鍵ペア P1 = x1G • nonce R1
= k1G • 鍵ペア P2 = x2G • nonce R2 = k2G ④ s1 = k1 + H(P, R, m) H(L, P1)x1 を計算 ④ s2 = k2 + H(P, R, m) H(L, P2)x2 を計算 ⑤ s = s1 + s2 = k1 + k2 + H(P, R, m)(H(L, P1)x1 + H(L, P2)x2)を計算 署名データは(R, s) ⑥ sG = R + H(P, R, m)P を検証 ※ P = H(L, P1) P1 + H(L, P2) P2の秘密鍵は H(L, P1)x1 + H(L, P2)x2 ① お互いに公開鍵を交換し、L = H(P1, P2)を計算する。 ② P = H(L, P1) P1 + H(L, P2) P2 をマルチシグの公開鍵とする。 ③ 署名に使用するnonceはR = R1 + R2
6 MuSigのポイント • 通常のSchnorrのマルチシグ P = P1 + P2 単純な公開鍵と公開鍵の加算なのでRogue-Key攻撃の懸念がある。
• MuSigのマルチシグ P = H(L, P1)P1 + H(L, P2)P2 単純な加算ではなく、参加者の公開鍵のハッシュを乗算した公開鍵を 加算することで、署名の生成にH(L, P1)x1 + H(L, P2)x2の知識が 必要となり、Rogue-Key攻撃への耐性となる。 ※ P2の部分がP3 = P2 - P1になった場合、 P = H(L, P1) P1 + H(L, P3) P3となり、有効な署名を作るにはP3の 秘密鍵(x2 - x1)の情報が必要になり、誰もその情報を知らない。
7 まとめ • 通常のSchnorrベースのマルチシグの場合、 Key-Rogue攻撃の危険性がある。 • MuSigはKey-Rogue攻撃に耐性のあるSchnorrベースの マルチシグスキーム • Schnorrベースの2ラウンド型マルチシグスキームの
安全性の証明はされていない? https://eprint.iacr.org/2018/417.pdf • secp256k1-zkpにマージ https://blockstream.com/2019/02/18/ja-musig-a-new-multisignature-standard/
8 Slackはじめました! https://goblockchain.network/
azuchi
kzkmaeda
kenichirokimura
ch1aki
bun913
fujiwara3
kwappa
lmi
yasumuusan
ryysud
saramune
oztick139
colopl
schacon
gr2m
michaelherold
rocio
geeforr
tammyeverts
jponch
bkeepers
dotmariusz
cassininazir
jnunemaker
reverentgeek
