Revista Bitcoin

Não ecdsa. Não Schnorr. Conhecer dálias.

As assinaturas agregadas não são novas. Eles existem desde o início dos anos 2000. Mas construir um que realmente funciona no modelo de segurança do Bitcoin, com a curva elípticos do Bitcoin, nunca foi comprovada. Os desenvolvedores especularam que pode ser possível. Eles compartilharam esboços de ondência manual e disseram: “Talvez funcionasse como Musig2, mas nos insumos de transações”. A ideia permaneceu por anos como Folclore do desenvolvedorfechar, nunca provável que seja confirmado.

Isso mudou recentemente, quando Jonas Nick e Tim Ruffing, da Blockstream Research, juntamente com Yannick Seurin, da Ledger, publicaram um artigo que transformou essa história de fantasma criptográfica em um resultado concreto e comprovável. Dálias é a primeira construção formal e segura de um Esquema total de assinatura agregada de tamanho constante (CISA) Isso funciona na curva nativa do Bitcoin!

Mas isso é muitas palavras, então vamos quebrar isso:

  • Agregação completa: Várias assinaturas em diferentes entradas são combinadas em uma – e o resultado é uma assinatura de 64 bytes cujo tamanho permanece constante, não importa quantos signatários ou entradas.
  • Entrada cruzada: Cada assinante pode autorizar entradas diferentes e todas se combinam em uma assinatura.

Não adiciona novas suposições significativas além daquelas já confiadas pelo Bitcoin. Dahlias cria um novo primitivo criptográfico usando o mesmo bitcoin de matemática já confia, desbloqueando um tipo de assinatura totalmente novo.

Vamos falar sobre curvas e assinaturas

As assinaturas digitais são como o Bitcoin prova que um usuário autorizou uma transação. Quando você passa o Bitcoin, sua carteira usa uma chave privada para assinar uma mensagem, e a rede verifica essa assinatura usando a chave pública correspondente.

Bitcoin usa o Secp256k1 curva. É rápido, eficiente e foi testado em batalha ao longo do tempo. Ele suporta esquemas de assinatura como Ecdsa (Algoritmo de assinatura original do Bitcoin) e Schnorr (Adicionado através da Taproot em 2021), que atualmente são os únicos esquemas de assinatura permitidos pelo consenso do Bitcoin.

Tradicionalmente, a agregação de assinatura total baseia -se em operações matemáticas não suportadas pela curva do Bitcoin, Secp256k1, o que fez com que pareça fora de alcance. Esses recursos normalmente confiam em outros tipos de curvas elípticas. Por exemplo, as assinaturas de BLS (Boneh-Lynn-Shacham) usam um tipo especial de curva chamado curva amigável ao pareamento, que permite operações avançadas, como combinar muitas assinaturas, mesmo em diferentes mensagens, em uma.

O problema é que as assinaturas do BLS não funcionam no Secp256k1. Enquanto Schnorr foi uma atualização natural da ECDSA, pois ambos dependem do mesmo tipo de curva elípica, adicionar o BLS seria um salto muito maior e um afastamento do modelo de segurança existente do Bitcoin. Embora tecnicamente possível, ele introduziria novas suposições criptográficas e adicionaria complexidade significativa ao protocolo. Apoiando uma curva que é amigável, como BLS12-381seria Uma grande mudança para o Bitcoin.

Isso é parte do motivo pelo qual a agregação completa de assinatura nunca foi feita no Secp256k1.

Até agora.

Que assinaturas agregadas realmente fazem

A maioria dos usuários de bitcoin está familiarizada com as multisignaturas. Em um Multisig A Wallet, várias pessoas autoriza em conjunto os gastos de um único UTXO ou alguma “moeda” específica. Todo mundo assina os mesmos dados de entrada. Essa configuração é útil para itens como carteiras de custódia compartilhada.

Assinaturas agregadas trabalhar de maneira diferente. Em vez de várias pessoas assinarem a mesma entrada ou moeda, cada assinante autoriza um UTXO diferente em uma transação. Essas assinaturas separadas são então compactadas em uma prova compacta. Com dálias, isso significa um Assinatura única de 64 bytes Na curva Secp256k1 do Bitcoin, que verifica todas as entradas de uma só vez.

Isso significa que, se você tiver cinco entradas de cinco pessoas diferentes, a transação precisa de cinco assinaturas diferentes. Com uma assinatura agregada, todos podem ser agrupados em um. Mesmo que cada assinante esteja gastando uma entrada diferente e assinando uma parte diferente da transação, o resultado é uma assinatura que prova que toda a transação foi devidamente autorizada.

É como fechar uma lista inteira de aprovações em um arquivo. A assinatura é compacta, mas ainda prova verificamente que cada assinante autorizou seu UTXO específico.

Em vez de verificar 10 assinaturas separadas, você verifica uma.

Isso ajuda a realinhar incentivos para a privacidade. Ao reduzir a sobrecarga da assinatura para uma única prova de 64 bytes, Dahlias reduz o custo de combinar entradas em moedas, tornando financeiramente mais inteligente escolher privacidade do que ir sem ele.

Por que meia agregação chegou perto

Logo após as assinaturas de Schnorr foram introduzidas no Bitcoin, os desenvolvedores exploraram meia agregaçãocomo forma de comprimir várias assinaturas, mas elas não tinham tamanho fixo. Cada entrada contribui para o tamanho da assinatura, para que a transação ainda cresça com todos os participantes. As dálias corrigem isso ativando agregação total entre insumos e signatários. Não importa quantas pessoas estejam envolvidas ou o que estão assinando, todas as suas assinaturas comprimem em uma prova de 64 bytes de tamanho constante.

O que as dálias realmente desbloqueiam

O principal benefício aqui é que as dálias estão reduzindo o tamanho das transações complexas.

Dahlias usa um processo de assinatura interativa de duas rodadas. É semelhante ao Musig2 a esse respeito, mas não é um protocolo de multisial, porque não exige que todos os participantes assinem a mesma mensagem. Em vez disso, agrega assinaturas diferentes em diferentes mensagens na transação.

As dálias também são mais rápidas para verificar do que verificar cada assinatura individualmente, até duas vezes mais rápido em alguns casos. Os custos de verificação mais baixos facilitam a execução de nós completos, o que ajuda a preservar a descentralização do Bitcoin ao longo do tempo.

É importante ressaltar que as dálias vem com fortes garantias criptográficas. O esquema inclui provas formais de segurança. As abordagens anteriores de 'folclore' para a agregação total de assinatura não tinham isso, e algumas ainda mais tarde demonstraram ser inseguras. Felizmente, eles não foram adotados prematuramente.

Vale a pena repetir: As dálias não são um protocolo multisig. Não é comparável a Musig2 ou Frost do ponto de vista funcional, mesmo que compartilhe blocos de construção criptográficos semelhantes. Serve a um propósito diferente. Oferece uma nova maneira de codificar muitas aprovações independentes em um pacote limpo e verificável.

Direções futuras

Você pode pensar: se Dahlias é tão poderoso, por que não é um BIP? Por que não propor o consenso do Bitcoin?

As assinaturas de dálias não se parecem com assinaturas de Schnorr ou Ecdsa. O algoritmo de verificação é diferente. Em vez de pegar uma única chave pública, mensagem e assinatura, um verificador de dálias toma listas de chaves e mensagens públicas e uma única prova de 64 bytes.

Isso torna as dahlias incompatíveis com as regras de consenso atuais do Bitcoin. Suportar -o na camada base exigiria uma mudança de consenso. Este artigo não propõe essa mudança, mas faz algo igualmente importante.

Este artigo mostra que é possível um esquema de agregação de assinatura completa para a curva nativa do Bitcoin.

Isso por si só é um grande passo à frente.

Para fazer com que as dálias parte do Bitcoin, alguém precisaria escrever uma proposta de melhoria do Bitcoin (BIP), talvez até usando o Secp256K1Lab. Isso significa especificar o esquema em detalhes, considerando suas implicações para consenso e implementação e construindo apoio da comunidade. Este artigo estabelece a base criptográfica para essa conversa.

O valor real do artigo de dálias é o que ele prova. A agregação total de assinatura no Secp256k1 não é apenas um experimento pensado. É concreto. É eficiente. É seguro. Durante anos, a idéia viveu no folclore do desenvolvedor. Agora, está escrito, analisado e comprovado. Tudo o que resta é trazê -lo para o Bitcoin – se quisermos.

Este é um post convidado de Kiara Bickers. As opiniões expressas são inteiramente suas e não refletem necessariamente as da BTC Inc ou da revista Bitcoin.

Este post não é ecdsa. Não Schnorr. Conhecer dálias. Apareceu pela primeira vez na revista Bitcoin e foi escrito por Kiara Bickers.

Fonte: bitcoinmagazine.com

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Related News

Bitcoiners devem se preocupar com o ato genial

22/05/2025

Hong Kong passa por Stablecoin Bill para acelerar o crescimento de criptografia

22/05/2025

Veja também

Bitcoiners devem se preocupar com o ato genial

22/05/2025

Hong Kong passa por Stablecoin Bill para acelerar o crescimento de criptografia

22/05/2025

A narrativa de Bitcoin Breakout explode enquanto o mercado de títulos do Japão quebra

22/05/2025

Não ecdsa. Não Schnorr. Conhecer dálias.

22/05/2025

Atrasa a decisão do ETF XRP da GrayScale, pois o XRP mostra 500% de Rally Pattern

22/05/2025

O Blueprint de recuperação do XRP: o fundo duplo pode alimentar uma corrida para US $ 2,80 resistência

21/05/2025