Schnorr 签名的前世今生：为什么比特币隐私不可避免？

数字签名是网络主权的支柱。 1976 年公钥加密技术的出现为全球通信媒介——互联网——以及一种全新的货币——比特币铺平了道路。 虽然从那时起公钥密码学的基本属性没有太大变化，但现在密码学家的工具箱中有数十种开源数字签名方案。

当中本聪着手创建比特币时，需要考虑的一个关键设计选择是在这个开放的、无需许可的金融系统中使用哪种签名方案。 要求很明显； 中本聪需要一种被广泛使用、易于理解、足够安全、轻量级且最重要的是开源的算法。 在当时的所有备选方案中，他选择了最符合这一标准的一种：椭圆曲线数字签名算法 (ECDSA)。

当时，ECDSA 得到了 OpenSSL 的支持，这是一套由密码朋克开发的开源加密工具，旨在提高在线通信的隐私性。 与其他流行的方案相比，ECDSA 具有计算要求低和密钥长度更短的优点； 对数字货币有用。 同时也为RSA（加密算法）等方案提供了一定的安全性：例如256位的ECDSA密钥和3072位的RSA密钥一样安全，但只是RSA密钥的一小部分容量。 部分。

Pieter Wuille 等人的辛勤工作。 在改进的曲线（例如椭圆曲线）上，secp256k1 使比特币的 ECDSA 更快、更高效。 然而比特币双花问题是什么，ECDSA 仍然存在固有的缺陷，需要被其他方案取代。 经过多年的研究和实验，出现了一种旨在提高比特币交易的隐私性和效率的新签名方案——Schnorr数字签名方案。

在本文中，我将概述部署 Schnorr 签名的多种方式及其相应的优势。 然后，我将解释像 MuSig 这样的新多重签名标准可以为 Taproot 这样的新比特币技术带来什么。 最后，我想谈谈 Schnorr 如何分解区块链分析中使用的启发式方法，并帮助比特币的主要协议层创建一个强大的费用市场。

Schnorr 签名的兴起

虽然 Schnorr 数字签名方案相对于 ECDSA 有很多优点，但它并不是一个新的方案。 德国密码学家和学者 Claus-Peter Schnorr 在 1980 年代发明了这种机制，当时他是法兰克福大学的教授和研究员。 他提出的签名方案结合了 David Chaum、Taher EIgamal、Amos Fiat 和 Adi Shamir 的研究。 然而，在发表之前，Claus-Peter Schnorr 为他的新发明申请了多项专利，多年来一直无法直接使用。

有趣的是，ECDSA的前身DSA是ElGamal和Schnorr方案的结合体，后者的设计完全是为了规避Claus Schnorr的专利。 事实上，就在 Schnorr 的美国专利发布两个月后，DSA 的创建者美国国家标准与技术研究院 (NIST) 也为其解决方案申请了专利。 这是一段密码朋克的历史：在那之后，Claus-Peter Schnorr 在捍卫自己的专利方面变得非常积极，并直接回应了 Coderpunks 邮件列表上的批评； 这是原始密码朋克电子邮件列表的一个分支。

2008 年，在 Schnorr 签名方案推出近 20 年后，Claus-Peter Schnorr 的专利到期。 巧合的是，2008 年也是我们最喜欢的密​​码朋克中本聪推出比特币的一年。 虽然 Schnorr 签名在当时是免费的，但它们既没有标准化也没有被广泛使用，这可能是中本聪转向 ECDSA 的原因之一。 尽管密码学家和数学家经常将 ECDSA 描述为“糟糕”，但它曾经（现在仍然）被广泛使用，并提供了比比特币更安全的替代方案。

Schnorr 和比特币

十年后的今天，Schnorr方案不再那么神秘，ed25519等标准化部署成为部分山寨币的首选。 关于在比特币上实施 Schnorr 的非正式讨论可以追溯到 2014 年的 BitcoinTalk 论坛，但直到 Pieter Wuille 提出 Schnorr BIP 后，这项经过多年研究和试验的技术才正式亮相。 本 BIP 描述了实施 Schnorr 的规范和技术细节，与 ECDSA 相比，它将带来以下优势：

- 安全性证明：当使用足够随机的哈希函数（随机预言机模型）时，Schnorr 签名的安全性很容易证明，而签名中使用的椭圆曲线离散对数问题（ECDLP）足够困难。 但是 ECDSA 不存在这样的证据。

- 不可延展性：ECDSA 签名本质上是可延展的，允许无法访问私钥的第三方更改现有有效签名和双花资金。 BIP62正式讨论了这个问题。 相比之下，Schnorr 签名被证明是不可延展的。

- 线性属性：Schnorr 签名具有一个显着的属性，即多方可以协作生成对其公钥总和有效的签名。 这是提高效率和隐私的基础，例如多重签名和其他智能合约。

Schnorr 提供的安全证明和不可延展性保证与 ECDSA 相比具有明显的优势。 仅基于这两个优势，软分叉就是正确的做法。 然而，Schnorr 的线性特性特别令人兴奋。 从本质上讲，这使多重签名交易中的多个签名者能够将他们的公钥组合成一个聚合密钥； 此功能称为密钥聚合。

尽管组合键的能力听起来微不足道，但不应低估聚合键的优势。 由于 ECDSA 本身不支持多重签名，它们必须通过称为 Pay-to-Hash (P2SH) 的标准化智能合约部署在比特币中（是的，比特币也有智能合约）。 这允许用户添加称为产权负担（财产留置权）的支出条件以指定资金的支出方式，例如“只有 Alice 和 Bob 都签署此消息才能解锁余额”。

P2SH 的第一个问题是它需要所有参与多重签名的签名者的公钥，这不是一个高效的系统。 聚合这些密钥将使验证更有效，因为网络只需要验证一个密钥而不是 n 个。 这也意味着在区块链上占用更少的空间，从而降低交易成本并提高带宽。

P2SH 的第二个问题是它提供的隐私保证非常少。 正如 BIP 13 所说，P2SH 交易需要以 3 开头的不同地址。这使得区块链观察者不仅可以识别网络中的所有 P2SH 交易，还可以确定多重签名中的特定身份：

在上面的示例中，网络可以知道（1）多重签名交易的存在（2）它由多少签名者组成以及（3）签名者的身份。 这不利于操作安全，尤其是对于 2FA（双因素身份验证）等应用程序。 这对隐私也不利。

另一方面，密钥聚合允许签名者保持匿名，而不会通过泄露解锁余额所需的密钥来损害操作安全性。 最重要的是，密钥聚合允许多重签名交易表现得像常规交易：

比特币中第一个版本的 Schnorr 将逐步淘汰目前与 ECDSA 一起使用的 OP_CHECKSIG 和 OP_CHECKMULTISIG 操作码，并用一个名为 OP_CHECKDLS 的新操作码取而代之。 DLS 是 Discrete Log Signature without much detail，它允许用更少的操作码更有效地验证签名。

早在 2018 年初，Gregory Maxwell、Andrew Poelstra、Yannick Seurin 和 Pieter Wuille 就发表了一份白皮书，讨论了 MuSig，一种新的基于 Schnorr 的多重签名方案。 自 MuSig 发布以来，他们一直在努力将这种多重签名方案变成可用的代码。

在密钥聚合的背景下，MuSig 最有趣的方面之一是可以在区块链之外创建私有智能合约。 本质上，MuSig 使多重签名参与者能够在不使用比特币共识规则的情况下向聚合密钥添加链下产权负担。

2018 年 12 月，Anthony Towns 是第一个提出激活 Schnorr 的“半官方”提案的核心开发者，该提案发布在比特币开发者邮件列表上。 我预计在接下来的几个月里会有更多关于软分叉的讨论。

总结：比特币第一个版本的MuSig将支持密钥聚合，可以立即（1）提高多重签名的隐私性（2）提高交易验证的效率（3）通过消除ECDSA的固有问题提高安全性（4） ) 实施智能合约解决方案，例如 Taproot。

但这仅仅是开始。

跨输入聚合：比特币隐私的下一步

如上所述，密钥聚合对于花费单个输入的多重签名来说是一个非常有用的功能。 由于比特币交易通常有多个输入，Schnorr 的未来迭代也可用于创建交互式聚合签名 (IAS) 方案，其中同一交易中的所有输入都可以同时使用单个签名。

同样，签名者之间的交互完全发生在链下比特币双花问题是什么，但现在，单个签名可以花费交易的所有输入。 每个输入仍然有自己的公钥，但可以由 Schnorr IAS 使用：

Greg Maxwell、Pieter Wuille、Anthony Towns 和其他人一直致力于改进 Taproot 智能合约方案以推动此功能。 他们称此方案为 Generalized Taproot 或 G'root，它可以使未来从密钥聚合到交叉输入聚合的过渡更加容易。

与密钥聚合一样，交叉输入聚合进一步提高了比特币交易的效率。 但最重要的是，它可以在比特币的基础层启用强大的隐私保护机制。

跨输入聚合最令人兴奋的方面之一是它可以改进比特币上的 CoinJoin 交易。 CoinJoin 是一种隐私保护技术，可在一次交易中结合多个发送者和接收者。 它的目标是让区块链观察者难以追踪特定的发送者和接收者。

该技术于 2013 年由 Greg Maxwell 在 BitcoinTalk 上首次提出，此后被多个平台提供，包括 JoinMarket、SharedCoin、ShufflePuff、DarkWallet 和 CoinShuffle。 CoinJoin 的后续变体，例如 Wasabi Wallet 的 Chaumian CoinJoin，在原始模型的基础上进行了很大改进。 但是，它仍然依赖于足够多的用户来混淆他们的余额。

CoinJoin 今天面临的另一个问题是整个交易类型的可识别性（和潜在的审查）。 目前区块链分析中使用最多的方法是根据特定的输入来判断两个或多个地址是否属于同一个实体。 例如，如果 Alice 将 1.982723 BTC 转移给 Bob，区块链观察者可以跟踪该特定输入的小数位，绘制交易图表，或 UTXO 的历史明细和所有权变化。

为了防止这种情况发生，CoinJoin 部署需要数量统一，以便 CoinJoin 中的每个人发送相同数量的硬币。 例如，Wasabi 钱包用户在有 100 名参与者的 CoinJoin 交易中发送 0.1 BTC。 虽然仍然难以确定发送方和接收方之间的联系，但区块链观察者可以判断 CoinJoin 交易是否以统一的金额进行，并建议他们的客户审查所有参与者。

跨输入聚合可以帮助解决这个问题，因为它在协议层引入了额外的混淆机制。 本质上，交叉输入聚合构建了一个基于 Schnorr 的 CoinJoin 交易，它有 n 个签名者并且看起来像一个普通的单签名者交易。 它还使 CoinJoin 更容易在流行的钱包中实施，这可以加强网络的整体匿名集或使用该技术的用户数量。

统一金额的问题可以通过其他技术进一步解决，比如Pay-to-EndPoint (P2EP)，结合了CoinJoin和中本聪早期在隐私方面的工作（见P2IP），CoinJoin中的发送方和接收方都需要提供交易输入。

P2EP 是向后兼容的，与 Schnorr 一起使用时，可以在比特币的底层提供足够的隐私。

一石二鸟

我们有理由相信，比特币的大规模采用取决于其隐私保护的力度。 同时，闪电网络的普及及其承载支付的潜力，给比特币开采后的链上结算需求带来了不确定性。 因此，对隐私的需求和比特币在没有区块奖励的情况下的长期可持续性可能是比特币最令人担忧的两个问题。 幸运的是，Schnorr 启用的隐私机制可以同时解决这两个问题。

我花了很多时间研究复杂的隐私技术，包括 Ring Signatures、Confidential Transactions、Bulletproofs、zkSNARKs、STARKs 和 MimbleWimble 的不同部署场景。 虽然一些技术已经足够成熟，可以部署在比特币基础层上，但也存在独特的风险和权衡。 如您所知，比特币不喜欢硬分叉，因此很难想象所有这些技术都部署在比特币协议上的场景。

人们似乎担心使用同态加密或非交互式零知识证明系统会阻碍比特币货币基础的可验证性。 换句话说，如果交易金额被加密，就很难验证比特币的供应上限是否保持在 2100 万。 同样，当交易金额被隐藏时，通货膨胀错误和双花活动变得更加难以查明。 这是一个相当大的权衡，在比特币的底层实现高水平的隐私可能会分裂社区。

那么，如果您可以在不部署这些技术的情况下为比特币基础层赢得足够的隐私呢？

Schnorr 当然可以提供帮助。 如果大多数比特币交易使用 Schnorr 的交叉输入聚合功能和 P2EP，那么随着时间的推移，仅通过查看区块链几乎不可能影响混淆机制。 比特币的供应仍将是可验证的，同时其交易也将提供更强的隐私保证。

如果需要隐私，也可以合理地假设比特币用户和企业可能希望被动地参与比特币交易，让他们的钱包在后台不断地混合余额。 在这种情况下，对隐私的需求将直接导致链上交易费用的增加。 与隔离见证 (SegWit) 一样，用户可能是第一个采用该技术的人，但企业必须在某个时候加入进来才能保持相关性。

随着时间的推移，这些技术将使区块链分析变得无用，并且与实物现金一样，比特币业务将不再需要遵守 AML/KYC 规则。 当你将现金存入银行账户时，银行不会追踪账单上是否有毒品交易，即使发现也不会阻止你存入这些预付款。 除了区块链分析的激增和没有 Schnorr 的技术缺陷之外，比特币没有理由单独遵守这一点。

当对特定地址和 UTXO 执行 AML/KYC 变得无关紧要并且焦点转向个人而不是余额时，比特币业务将完全建立在隐私之上。 事实上，我认为当这种情况发生时，隐私和可替代性将成为比特币未来企业价值主张不可或缺的一部分。

最终，在比特币的基础层采用更强大的隐私机制将为用户提供更多的权力，同时可能有助于在比特币被开采后创建一个活跃的费用市场。 我的猜测是，这一切都是从Schnorr的激活开始的，似乎每个项目都对它感兴趣。返回搜狐查看更多