Overview of used cryptography concepts in blockchain

Signature Scheme

• Multi-Signature ( & aggregation )

  Schnorr: https://zhuanlan.zhihu.com/p/145550969

  

  签名聚合($\sum$)及安全性分析：https://www.defidaonews.com/article/6684336

  $s\cdot G==R+Hash(R,X,m)\cdot X$

  Hash修正为公共$Hash(\sum R,\sum X,m)$，且从signing阶段即统一修正

  • 通信开销（n节点）：

    假设每个节点均共享$R_i=k_i\cdot G$（$O(n^2)$），则仅在其中一个节点上得到聚合签名的通信总开销为$O(n^2+n)=O(n^2)$

    假设只向其中一个节点$i$发送$R_j$，由其聚合后，返回公共Hash，最后计算出$s_j$由节点$i$得到最终签名，通信总开销约为$O(n+n+n)=O(n)$

  • 密钥消除攻击：e.g. 双节点情况下，伪造公钥为$X_1-X_2$，使得仅私钥$x_1$即可完成聚合签名

    Q: 类比Bitcoin的P2SH，该攻击的前置条件是多重签名的地址对应的公钥已经是伪造后的公钥，也就是说需要受害者的资金转入到该多签地址中，暂待解决

  • 签名使用的$r$不随机（漏洞分析类似ECDSA）

  MuSig: https://bitcoinops.org/en/topics/musig/

  

  BLS: https://crypto.stanford.edu/~dabo/pubs/papers/BLSmultisig.html

  引入双线性对解决多轮通信开销问题

  

  基于BLS的门限签名：https://learnblockchain.cn/2019/08/29/bls

  VSS私钥片段分发的细节和Shamir门限方案基本一致（拉格朗日插值恢复多项式系数）

  验证$e(g\cdot(a_0+b_0+…),Hash(s))==e(g,Hash(s)\cdot(a_0+b_0+…))$

• Blind Signature

• Ring Signature

  建个新坑：https://link.springer.com/chapter/10.1007/978-3-319-66399-9_25

  看完门罗的RingCT回来补

• Threshold Signature