最近のBitcoinとこれからのBitcoin

2020年のブロックチェーン業界を考える    最近のBitcoinとこれからのBitcoin  Shigeyuki Azuchi  2019.10.16 

Copyright © 2019 chaintope Inc. All rights reserved. 自己紹介  2
• 安土茂亨（Shigeyuki Azuchi）  • 株式会社Chaintope CTO    • Bitcoin関連のRubyライブラリの実装  ◦ https://github.com/chaintope/bitcoinrb  ◦ https://github.com/chaintope/schnorrrb  ◦ https://github.com/chaintope/utreexorb  ◦ https://github.com/chaintope/c-lightningrb    • 共著  「ブロックチェーン・プログラミング仮想通貨入門」  • ブログ「Develop with pleasure!」  https://techmedia-think.hatenablog.com/  • GBEC  https://goblockchain.network/ 

Copyright © 2019 chaintope Inc. All rights reserved. Bitcoinの直近の変更  3
Bitcoinの直近のソフトフォークは  2017年8月24日にアクティベートされたSegwitが最後    • chainsate DBの変更によるパフォーマンス改善(0.15.0)  • マルチウォレットサポート（0.15.0）  • Bech32アドレスのサポート（0.16.0）  • 【BIP-159】プルーニングピアからのBlock, Txリレーのサポート（0.16.0-0.17.0）  • 【BIP-174】PSBTのサポート（0.17.0）  • ECDSA署名のLOW R適用（0.17.0）  • 【BIP-125】RBFのGUIデフォルトサポート  （0.12.0-0.18.1）  • etc..  Segwitのアクティベートで   Lightning Networkが稼働可能に！  

Copyright © 2019 chaintope Inc. All rights reserved. Lightning Network 
4

Copyright © 2019 chaintope Inc. All rights reserved. 2018年1月時点のネットワーク  5
ノード数： 199  チャネル数： 524  キャパシティ：2.74932962 BTC 

ノード数： 2,514  チャネル数： 18,906  キャパシティ：560.47997807 BTC 

ノード数： 4,868  チャネル数： 31,096  キャパシティ：805.67232074 BTC 

Copyright © 2019 chaintope Inc. All rights reserved. Protocol Updateの候補 
8

Copyright © 2019 chaintope Inc. All rights reserved. Schnorr 署名のサポート 
9 Schnorr署名  • 秘密鍵：x、公開鍵：P = xG  • 暗号学的ハッシュ関数：H()  • 署名対象のメッセージ：m      【署名の生成】  1. ランダムなnonce kを選択  2. R = kGを計算  3. s = k + H(R||P||m) x を計算  4. （R, s）が署名データ    【署名の検証】  sG = R + H(R||P||m)P   を検証    署名値sは単純な加算式なので、  異なる鍵ペアを使って作成した署名を集約できる。    • P1 = x1G, R1 = k1G  • P2 = x2G, R2 = k2G    1. P = P1 + P2, R = R1 + R2 に合意  2. それぞれsを計算  a. s1 = k1 + H(R||P||m)x1  b. s2 = k2 + H(R||P||m)x2  3. s = s1 + s2 = k1 + k2 + H(R||P||m)(x1 + x2)  4. sG = R + H(R||P||m)P が成立する。   

Copyright © 2019 chaintope Inc. All rights reserved. Schnorr 署名のサポート 
10 • 使用する楕円曲線は既存のECDSAベースのものと同じ  （secp256k1）  • Schnorr署名のメリット  ◦ 安全性の証明がある。  ◦ 署名のmalleabilityが解消される。  ◦ 署名に線形特性がある。  OP_2 <P1> <P2> OP_2 OP_CHECKMULTISIG  というマルチシグスクリプトが不要になり  <P(P1 + P2)> OP_CHECKSIG  で済み、署名も１つだけになりサイズ圧縮に  ◦ 秘密分散と組み合わせてt-of-nのような  閾値署名のサポートも  LNのFunding Outputも  通常の送金と区別不能に  

Copyright © 2019 chaintope Inc. All rights reserved. Taproot  11
マルチパーティコントラクト  OP_IF  OP_2 <P1> <P2> OP_2 OP_CHECKMULTISIG   OP_ELSE  <locktime> OP_CSV OP_DROP <P1> OP_CHECKSIG   OP_ENDIF  公開鍵を集約 C = P1 + P2  別の条件のスクリプトをSとし  H(C||S)Gを計算  P = C + H(C||S)G  を計算しコインをロック  マルチパーティコントラクトを   単一の公開鍵にエンコードする   • マルチパーティ（Key-path）でアンロックする場合  P1とP2に対応する秘密鍵で生成した署名にH(C||S)を加算する。  s = k1 + k2 + H(R||P||m)(x1 + x2 + H(C||S))  • スクリプトを使って（Script-path）アンロックする場合  CとSを提供し、P == C + H(C||S)Gが一致したら、Sがアンロックスクリプトとして利用可能に。 

Copyright © 2019 chaintope Inc. All rights reserved. Taproot  12
スクリプト部はアンロックの条件毎に  ツリーを使って構成される  P = C + tG  Script A  Script B  Script C  Hash_TapLeaf   Hash_TapLeaf   Hash_TapLeaf   Script D  Script E  Hash_TapLeaf   Hash_TapLeaf   AB  Hash_TapBranch   CD  Hash_TapBranch   CDE  Hash_TapBranch   ABCDE  Hash_TapBranch   t  Hash_TapTweak   Pubkey C  スクリプトパスを使ってアンロックする場合は、  スクリプトとtを計算するためのパス（ハッシュ）を提供する  実際の使用条件のみを開示するため、   • 他の条件を秘匿でき   プライバシーの向上に   • 全スクリプトの記載が不要で、データスペースの節約に  

Copyright © 2019 chaintope Inc. All rights reserved. SIGHASH-NOINPUT  13
Txの署名対象データ【BIP-143】 nVersion hashPrevouts（全入力のOutpointから生成したハッシュ） hashSequence（全入力のsequenceから生成したハッシュ） outpoint（署名対象の入力のOutpoint） scriptCode value（署名対象の入力が持つコインの量） nSequence（署名対象の入力のsequence） hashOutputs（全出力から生成したハッシュ） nLocktime sighash type 署名時にインプットが参照する前のトランザクション   アウトプット(UTXO)の参照情報（TXID, index）が  全て空にする。  署名はトランザクションの OutPointにコミットしなくなり  署名後にインプットが参照する OutPointの変更が  可能になる。  空（0x00）  署名済みTx Input Output TxA Input Output TxB Input Output 変更可 ※ リバインド可能なのは同じ witness  　要素でアンロック可能な UTXOのみ  eltooスタイルのLightning Networkが実装可能に！  https://goblockchain.network/2018/11/eltoo_and_sighash_noinput/ 

Copyright © 2019 chaintope Inc. All rights reserved. Compact Block
Filter  14 Filter Header  Filter Header  Filter Header  Filter Header  double-SHA256  （GCSFilter）32 bytes  前のフィルタヘッダ  32 bytes  double-SHA256  Block  Tx  Tx  Tx  Tx  全Txから以下を抽出   • インプットが参照するスクリプト   • アウトプットスクリプト   各要素を入力として   Golomb-coded set Filter   （GCS Filter）を生成  GCS Filter  ※ 既存のBloom Filterを利用したフィルタの仕組みは  クライアント（軽量ノード）毎にフィルタを作成するが、Compact Block Filterではブロック毎にフィルタを作成する。  既存のBlock Headerと同様に、フィルタのチェーンが形成され伝播される。   軽量ノードはフルノードから受信したフィルタを使って、自身に関連する   Txがあるか判定する。合致した場合は該当ブロックをダウンロードする。   フルノードの負荷の低減、軽量クライアントのプライバシーの向上に。  https://goblockchain.network/2019/09/compact_block_filter/ 

Copyright © 2019 chaintope Inc. All rights reserved. OP_SECURETHEBAG  15
コインの使用方法を制限するopcode OP_SECURETHEBAG  Spend Tx  Input  Output  <32バイトのハッシュ> OP_SECURETHEBAG  UTXOのscriptPubkeyに  OP_SECURETHEBAG が  含まれている場合  コインを使用するトランザクションの   Outputは  • scriptPubkey  • value  予め決められた内容   （32バイトのハッシュ）   と一致しなければならない。   OP_SECURETHEBAGを使うと、  • コインの金庫を実装できる。  • 条件に応じて送金額を制御できるようになる。    ※ Taprootと一緒に導入なるか？（Fungibilityを損う？） 

Copyright © 2019 chaintope Inc. All rights reserved. Lightning Networkの改善 
16

Copyright © 2019 chaintope Inc. All rights reserved. Atomic Multi-Path
Payments  17 BP = s1 ^ s2 ① ベースプリイメージ BPを作成し、xorを計算してBPが得られるような値s1, s2を得る。  （秘密分散の意図）  使用チャネル数 n = 2  送金額 V = v1(5) + v2(1)  アトミック決済用の一意の ID  ②部分プリイメージ ri = H(BP || i) と  各チャネルで使用するペイメントハッシュ   hi = H(ri) を計算する。  hop payload （ID, n, s1） hop payload （ID, n, s2） hop payload （ID, n, s2） hop payload （ID, n, s2） hop payload （ID, n, s1） ③各チャネルでhiのプリイメージが分かれば   資金を入手できるHTLC決済をスタートする。   ※必ず経路毎に異なるプリイメージを使用する。   各ホップのペイロードには、AMPの使用を  通知するfeature bitがセットされる。  BP = s1 ^ s2 ④ボブは全ての部分支払いを受信し、   そのsiを全て集めてBPを復元する。  BPを復元できたら、各チャネルの支払いを   受け取るのに必要な riを算出できる。  チャネル毎のキャパシティでは送金額に満たないものの、複数のチャネルを使えば送金額を満たす場合に、複数の経路を使用した支払いをアトミックに行う仕組み。 

Copyright © 2019 chaintope Inc. All rights reserved. Trampoline Payments 
18 Light  Client  チャネル数が数百万オーダーになると、軽量クライアントがノードネットワークの最新情報を維持し、経路を計算するのが困難になる（メモリ、ネットワーク帯域）    Trampoline  Node  LN Node  LN Node  LN Node  LN Node  Trampoline  Node  LN Node  LN Node  LN Node  軽量クライアントは  近いノード情報のみを保持   受信者までの経路は、   Trampoline Nodeが  経路計算を代替 

Copyright © 2019 chaintope Inc. All rights reserved. Channel Factories 
19 Lightning Networkもチャネルとオープン/クローズのオンチェーンTxが発生し、  マスアダプションのためにはオンチェーンキャパシティの増加が求められる。  • Channel Factory  資金をマルチパーティのマルチシグにロックする（on-chain）  • Subchannels  FactoryのパルチパーティのUTXOをインプットとして、  2者間のペイメントチャネルをセットアップする（off-chain）  チャネル開閉のオンチェーンTxを不要にする   

Copyright © 2019 chaintope Inc. All rights reserved. Adaptor Signature 
21 • 通常のSchnorr署名  （R, s）: R = kG, s = k + H(P, R, m) x   • Adaptor Signature  （R, s’, T）: R = kG, s’ = k + t + H(P, R, m) x, T = tG    Schnorr署名の一部にシークレット値(t)を加えた署名を事前に作成/交換し、  有効なSchnorr署名(R, s)が公開されたらシークレットの値が分かり(t = s’ - s)、その値を使って別のコインがアンロックされる仕組み。      あるTxの署名を完成させたら別のTxの署名に必要なシークレット値が分かる  コインのAtomic Swap プロトコルに利用可能。    コントラクト(HTLCs)でやっていたことをデジタル署名にエンコード  外部からは通常の送金に見え(privacy)、Txのサイズも小さくなる(手数料減)    参考：Adaptor Signatureを利用したAtomic Swap（Schnorr版）  https://goblockchain.network/2018/12/adaptor_signature/  

Copyright © 2019 chaintope Inc. All rights reserved. 2P-ECDSA  22
Schnorr署名をベースとしたScriptless Scriptsが注目される中、既存のECDSAベースでそれを実現する研究も加速  ※ ECDSA署名にはSchnorrのような線形特性はないため単純な署名の集約はできない  2017年, Yehuda Lindellにより、Paillier暗号を  利用した2者間のマルチシグをECDSAで  Scriptlessに実現するプロトコルが公開される。  （Multisig, Atomic Swap, Multi-Hop Locks）      【参考】  • 高速で安全な2者間のECDSA署名   https://goblockchain.network/2018/10/ecdsa_2-of-2_multisig/   • Adaptor Signatureを利用したAtomic Swap（ECDSA版）   https://goblockchain.network/2019/01/adaptor_signature-ecdsa/  

Copyright © 2019 chaintope Inc. All rights reserved. 2P-ECDSA  23
  タイプ  仮定  署名ラウンド  署名時間  [L17]  2/2  ECDSA, Paillier  4  ミリ秒  [GG18]  t/n  ECDSA, Strong RSA   9  ミリ秒  [LNR18]  t/n  ECDSA, DDH  8  ミリ秒  [DKLS18]  2/n  ECDSA  2  ミリ秒  [DKLS19]  t/n  ECDSA  Log(t) + 6  ミリ秒  [CCLST19]  2/2  ECDSA, Class groups   4  ミリ秒  [SA19]  n/n  ECDSA  1    [DKOSS19]  t/n  ECDSA  1  ミリ秒  2017年, Yehuda Lindellのペーパー発表以降、多くの  ECDSAベースの閾値署名に関するペーパーが発表される。  ※ Scaling Bitcoin 2019 Threshold Scriptless Scriptsの発表より引用  

Copyright © 2019 chaintope Inc. All rights reserved. Utreexo  25
フルノードの管理するUTXOセット（現在約4GB）を数KBほどの  ストレージで管理可能にするハッシュベースのアキュムレーター                            • 【参考】ハッシュベースのアキュムレーター Utreexoの仕組み  https://goblockchain.network/2019/08/utreexo/   OutPoint A  OutPoint B  OutPoint C  ・・・  OutPoint XXXXX  現在は、UTXOのOutPoint(txid, index)を  そのままストレージで管理しており、  34bytes/UTXOストレージを消費する。  1  2  3  4  5  6  7  UTXOをリーフとして完全二分木を構成し、  各ツリーのマークルルートのみを保持する。  UTXOを使用する際は、署名などに加えて  そのUTXOのInclusion Proofを提供する。  フルノード稼働デバイスのHW要件の緩和に  

Copyright © 2019 chaintope Inc. All rights reserved. Erlay  26
冗長的なトランザクションの伝播プロトコルを改善する  新しいトランザクション伝播プロトコル  Peer 1  Peer 2  ① Txを受信  ② Txの検証を実施  inv  ③ inv：hash(Tx)を接続中のピアに送信  ④ Peer 2が対象のTxをまだ持っていない  場合、getdata：hash(Tx)をPeer 1に送信  ⑤ Txメッセージで応答  Tx  getdata  Tx  既存のFlooding Tx Relay  • invメッセージ（32 bytes/tx）を接続中の全てのピアに送信するため、大半のピアは既に持っているTxの通知を受け取ることになる。  • Txリレーの88％、P2Pメッセージ全体の 44% が冗長的なデータとなり、ネットワーク帯域の無駄な使用。  • ネットワーク全体への伝播スピードは効率的 

Copyright © 2019 chaintope Inc. All rights reserved. Erlay  27
Txのリレーを2段階に分離  ① Low-fanout Floodingフェーズ  Flooding方式は拡散という意味では効率的であるため、Public ノードのアウトバウンド接続のピアに対してのみFloodingでTxをリレーする。    ② Set-reconciliationフェーズ  Low-fanout Floodingのみではネットワーク全体に  伝播できないため、それを補完するフェーズ。  各ノードはローカルの状態と接続中のピアの状態を  定期的に比較し、その差分を計算し不足Txを要求する。    Peer 1  sketch  Peer 2  sketch  XOR  diff  各ノードが持つトランザクションの短縮 TXIDのリストからSketchを作成   Peer 1  Peer 2  Peer 1  sketch  Peer 2  sketch  =  両ノードのSketchのXORを取り、差分を計算し、差分から自身に不足しているTXIDのリストを復元し、要求   Sketchの送信  不足Txの要求、Pee1の不足Txを送信   Minisketchでローカルの   状態をエンコード 

最近のBitcoinとこれからのBitcoin

最近のBitcoinとこれからのBitcoin

shigeyuki azuchi

More Decks by shigeyuki azuchi

Other Decks in Technology

Featured

Transcript

2020年のブロックチェーン業界を考える    最近のBitcoinとこれからのBitcoin  Shigeyuki Azuchi  2019.10.16

Copyright © 2019 chaintope Inc. All rights reserved. 自己紹介  2

Copyright © 2019 chaintope Inc. All rights reserved. Bitcoinの直近の変更  3

Copyright © 2019 chaintope Inc. All rights reserved. Lightning Network

Copyright © 2019 chaintope Inc. All rights reserved. 2018年1月時点のネットワーク  5

Copyright © 2019 chaintope Inc. All rights reserved. 2019年1月時点のネットワーク  6

Copyright © 2019 chaintope Inc. All rights reserved. 2019年10月時点のネットワーク  7

Copyright © 2019 chaintope Inc. All rights reserved. Protocol Updateの候補

Copyright © 2019 chaintope Inc. All rights reserved. Schnorr 署名のサポート

Copyright © 2019 chaintope Inc. All rights reserved. Schnorr 署名のサポート

Copyright © 2019 chaintope Inc. All rights reserved. Taproot  11

Copyright © 2019 chaintope Inc. All rights reserved. Taproot  12

Copyright © 2019 chaintope Inc. All rights reserved. SIGHASH-NOINPUT  13

Copyright © 2019 chaintope Inc. All rights reserved. Compact Block

Copyright © 2019 chaintope Inc. All rights reserved. OP_SECURETHEBAG  15

Copyright © 2019 chaintope Inc. All rights reserved. Lightning Networkの改善

Copyright © 2019 chaintope Inc. All rights reserved. Atomic Multi-Path

Copyright © 2019 chaintope Inc. All rights reserved. Trampoline Payments

Copyright © 2019 chaintope Inc. All rights reserved. Channel Factories

Copyright © 2019 chaintope Inc. All rights reserved. Scriptless Scripts

Copyright © 2019 chaintope Inc. All rights reserved. Adaptor Signature

Copyright © 2019 chaintope Inc. All rights reserved. 2P-ECDSA  22

Copyright © 2019 chaintope Inc. All rights reserved. 2P-ECDSA  23

Copyright © 2019 chaintope Inc. All rights reserved. その他  24

Copyright © 2019 chaintope Inc. All rights reserved. Utreexo  25

Copyright © 2019 chaintope Inc. All rights reserved. Erlay  26

Copyright © 2019 chaintope Inc. All rights reserved. Erlay  27