Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Schnorr署名のハーフアグリゲーション

shigeyuki azuchi
November 07, 2022
Technology
0
76

 Schnorr署名のハーフアグリゲーション

GBECの解説動画のスライドです。
https://goblockchain.network/2022/11/half-aggregation/

shigeyuki azuchi

November 07, 2022
Tweet

More Decks by shigeyuki azuchi

See All by shigeyuki azuchi
Replacement Cycling Attack
azuchi
0
12
Bitcoinのタイムロックの仕組み
azuchi
0
8
Inner Product Argument
azuchi
0
25
Codex32
azuchi
0
9
PSBT
azuchi
0
31
Trampoline Payment
azuchi
0
15
KZG Commitment
azuchi
0
99
Silent Payment
azuchi
0
62
FROST
azuchi
0
9

Other Decks in Technology

See All in Technology
LayerXにおけるLLMプロダクト開発の今までとこれから
layerx
PRO
1
370
Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法
yasumuusan
0
300
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
170
レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22
aeonpeople
3
1.3k
ChatGPT for IT Service Management (IT Pro)
dahatake
7
1.6k
LLM開発・活用の舞台裏@2024.04.25
yushin_n
1
340
現代CSSフレームワークの内部実装とその仕組み
poteboy
7
3.6k
プロンプトエンジニアリングでがんばらない-Agentic Workflow へ-近藤憲児
kenjikondobai
3
850
地理空間データ可視化・解析・活用ソリューション Pacific Spatial Solutions (PSS)
pacificspatialsolutions
0
290
サーバー間 GraphQL と webmock-graphql の話 / server-to-server graphql and webmock-graphql
qsona
2
190
Databricks における 『MLOps』
databricksjapan
2
170
エンジニア候補者向け資料2024.04.24.pdf
macloud
0
3.3k

Featured

See All Featured
Designing for Performance
lara
601
67k
The Mythical Team-Month
searls
216
42k
A designer walks into a library…
pauljervisheath
200
23k
Being A Developer After 40
akosma
57
580k
The Pragmatic Product Professional
lauravandoore
25
5.8k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
227
16k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Unsuck your backbone
ammeep
663
57k
Making the Leap to Tech Lead
cromwellryan
124
8.5k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
241
1.2M
Web development in the modern age
philhawksworth
202
10k

Transcript

  1. Schnorr署名のハーフアグリゲーション


  2. 1 Schnorr署名のハーフアグリゲーション
 • Schnorr署名の集約
 複数の証明者が署名を単一の署名に集約するプロトコル 
 ◦ Schnorrベースの新しいマルチシグ方式 MuSig
 https://goblockchain.network/2019/04/musig/

    
 ◦ MuSig2
 https://goblockchain.network/2021/02/musig2/ 
 
 • ハーフアグリゲーションとは?
 ◦ 非対話型で、複数のSchnorr署名を
 約半分のサイズに集約するプロトコル 
 ◦ 署名者でなくても、誰でも集約が可能 
 
 Sig
 Sig
 Sig
 Sig
 64 byte ✕ 3 = 192 byteが 
 64 byteの単一の署名に 
 Sig
 Sig
 Sig
 Sig
 32 byte ✕3 + 32byte = 128 byteに 
 (半分+32 byte)


  3. 2 ハーフアグリゲーションの用途
 • トランザクション/ブロックの署名の集約 
 
 
 
 
 


    • Lightning Networkのメッセージの署名の集約 
 Tx
 In
 Out
 UTXO B
 UTXO A
 …
 Sig
 Sig
 Sig
 Block
 Tx
 Sig
 Sig
 Tx
 Sig
 Tx
 Sig
 Sig
 ︙ Sig
 … Sig
 Node
 Node
 Node
 Node
 ノード通知
 チャネル通知
 Sig
 Sig
 Sig
 Sig
 各メッセージの署名を集約することで 
 通信の帯域幅を削減 
 (※ 要Schnorr署名への変更) 


  4. 3 ハーフアグリゲーション方式
 https://eprint.iacr.org/2022/222.pdf
 • ASchnorr
 個々の署名がすべて集まってから集約 
 • IASchnorr
 個々の署名をインクリメンタルに集約

    
 • SASchnorr
 順番に集約した署名を復元可能な集約 
 
 Half-Aggregation of BIP 340 signatures 
 https://github.com/ElementsProject/cross-input-aggregation/blob/master/ half-aggregation.mediawiki
 


  5. 4 Schnorr署名
 前提:
 公開鍵P = xG、署名対象のメッセージをメッセージ mとした場合
 
 Schnorr署名:
 1.

    nonce kをランダムに選択
 2. R = kGを計算
 3. s = k + H(P, R, m)xを計算
 4. (R.x, s)が署名データ
 
 署名の検証は、sG = R + H(P, R, m)Pを確認
 
 
 R.x, s共に32バイトのデータであるため、合計64バイト


  6. 5 ASchnorr
 前提:
 公開鍵P 1 = x 1 G、P 2

    = x 2 Gとして、それぞれのメッセージm 1 、m 2 に対する
 Schnorr署名をσ1 = (R 1 , s 1 )、σ2 = (R 2 , s 2 )とする。
 
 集約手順:
 1. L = {(R 1 , P 1 , m 1 ), (R 2 , P 2 , m 2 )}とする
 2. 係数 α 1 = H 2 (L, 1)、α 2 = H 2 (L, 2)を計算する
 3. s = α 1 s 1 + α 2 s 2 を計算する
 4. ({R 1 , R 2 }, s)が集約署名
 
 署名の検証は、sG = α 1 (R 1 + H(P 1 , R 1 , m 1 )P 1 ) + α 2 (R 2 + H(P 2 , R 2 , m 2 )P 2 )を確認
 
 署名者の数分のRと、1つのsの値から、
 署名データのサイズは署名者の各Schnorr署名の約半分のサイズに
 【係数が必要な理由】 
 単純にs 1 + s 2 を加算して、s = s 1 + s 2
 sG = R 1 + H(P 1 , R 1 , m 1 )P 1 + R 2 + H(P 2 , R 2 , m 2 )P 2
 を検証する方式の場合、 
 R 2 = k 2 - (R 1 + H(P 1 , R 1 , m 1 )P 1 )
 と細工することで、x 1 を知らなくても
 集約署名の偽造が可能になる。 


  7. 6 IASchnorr
 ASchnorrの課題
 1. L = {(R 1 , P

    1 , m 1 ), (R 2 , P 2 , m 2 )}とする
 2. 係数 α 1 = H 2 (L, 1)、α 2 = H 2 (L, 2)を計算する
 
 
 IASchnorr
 1. L i = {(R 1 , P 1 , m 1 ), …(R i , P i , m i )}とする
 2. 係数α i = H 2 (L i )とする
 3. s = α 1 s 2 + … + α i s i を計算する
 4. ({R 1 , …, R i }, s)が集約署名
 
 https://techmedia-think.hatenablog.com/entry/2022/07/11/200632 
 各Schnorr署名に適用する係数の計算に
 全参加者の以下のデータがすべて必要なため
 • 公開鍵(P)
 • Public nonce(R)
 • メッセージ(m)
 すべてが揃わないと集約不可能
 係数をすべての署名に対してではなく、
 順次コミットする署名を追加していく。
 L 1 = {(R 1 , P 1 , m 1 )}
 L 2 = {(R 1 , P 1 , m 1 ), (R 2 , P 2 , m 2 )}
 L 3 = {(R 1 , P 1 , m 1 ), (R 2 , P 2 , m 2 ), (R 3 , P 3 , m 3 )}
 
 ※ インクリメンタルな集約が可能に
 P 1 , m 1 , s 1, R 1
 P 2 , m 2 , s 2, R 2
 P 3 , m 3 , s 3, R 3