Golden Hardcore | ¿Dónde está la firma Schnorr? En 2020, Bitcoin puede tener una bifurcación blanda para ello.

Golden Finance lanzó recientemente la columna Hardcore para brindar a los lectores introducciones o interpretaciones detalladas de proyectos populares. Como dijimos en la "Interpretación completa de la tercera reducción a la mitad de BTC", uno de los desarrollos que vale la pena señalar sobre Bitcoin en 2020 es la bifurcación blanda Schnorr/Taproot. La bifurcación planificada incluirá tres protocolos de mejora de Bitcoin BIP 340, 341 y 342. Llevaremos a cabo una serie de interpretaciones de estos tres BIP. En este número, Hardcore interpreta BIP340, principalmente firmas de Schnorr. disfrútelo El 21 de enero de 2020, el desarrollador Pieter Wuille presentó una solicitud para la próxima actualización de bifurcación suave de Bitcoin. Esta solicitud significa que más desarrolladores revisarán el código. Esto es significativo para Bitcoin, porque significa que estos protocolos están integrados en el protocolo Bitcoin un paso más allá. Estas actualizaciones se conocen como Protocolo de mejora de Bitcoin BIP340, 341 y 342, que incluyen firmas Schnorr, Taproot y Tapscript. Estos tres BIP representan la mayor actualización de Bitcoin hasta el momento y la primera actualización después de la activación de Segregated Witness (SegWit) hace dos años. Los tres protocolos están agrupados y actualizados, lo que tiene mejoras significativas en la funcionalidad, escalabilidad y privacidad de Bitcoin. El método de activación de esta bifurcación blanda está en discusión. BIP no especifica el método exacto para las actualizaciones de red. Las actualizaciones descritas en BIP 340–342 podrían implementarse a partir del invierno de 2020, aunque podría llevar más tiempo. Como primer artículo de esta serie, explicaremos cómo funcionan las transacciones de Bitcoin, presentaremos el sistema de secuencias de comandos utilizado por Bitcoin, brindaremos una descripción general de las firmas de Schnorr y los beneficios de BIP 340. Los siguientes dos artículos presentarán Taproot (BIP 341) y Tapscript (BIP 342), preste atención al núcleo duro dorado. Cómo se negocian los bitcoins Las transacciones de bitcoin no se basan en los saldos de las cuentas, como las transacciones bancarias con las que puede estar familiarizado. En cambio, las transacciones de Bitcoin se basan en salidas de transacciones no gastadas (UTXO), que consisten en entradas y salidas. Cada UTXO está asociado con una clave privada y datos de transacción. Cuando transfiere Bitcoin, está transfiriendo la propiedad de UTXO y debe demostrar la propiedad a través de una firma cifrada. Los UTXO están marcados por scripts de bitcoin que describen estrategias de gasto, y estos scripts contienen una lista de instrucciones para una transacción sobre cómo debe gastarlos un nuevo propietario de bitcoins. Al usar el lenguaje de programación Script, las transacciones pueden contener muchas condiciones, incluidos esquemas de firma múltiple (multi-sig). La entrada de una transacción es la UTXO a gastar  y la salida es la UTXO creada por la transacción . Por ejemplo, cuando crea una nueva transacción de Bitcoin, utilizará un conjunto de UTXO de su propiedad y proporcionará pruebas de que posee estos Bitcoins. Para firmar y autorizar transacciones, debe proporcionar una firma digital asociada con una clave privada para demostrar que usted es el propietario. La salida de una transacción consta de dos elementos: la cantidad de bitcoins y un script de bloqueo (o scriptPubKey), que bloquea la cantidad de bitcoins al limitar las condiciones bajo las cuales se pueden gastar ciertas salidas. El script de bloqueo bloqueará la salida a una dirección de bitcoin específica, que transfiere la propiedad de bitcoin a un nuevo propietario. El nuevo propietario desbloquea la salida al proporcionar un script de desbloqueo (o scriptSig) y una firma asociada con su clave privada, y luego gasta esos bitcoins. El script de desbloqueo es parte de la siguiente entrada de transacción. Para asegurarse de que no gasta UTXO que no es de su propiedad, el cliente de Bitcoin ejecuta un script para confirmar la transacción. El script de desbloqueo en cada entrada se ejecuta junto con el script de bloqueo correspondiente para ver si se cumplen las condiciones de gasto. Los nodos completos rastrean y verifican el conjunto completo de UTXO, lo que garantiza que todos solo puedan gastar los bitcoins que poseen. Para ilustrar con un ejemplo, el siguiente diagrama ilustra cómo funciona una transacción de Bitcoin. Primera colección digital de derechos de autor de Tianjin Yangliuqing Painting Society: noticias del 25 de marzo, a las 12:00 del mediodía del 26 de marzo, "Lady Traveling Spring" recopilada por Tianjin Yangliuqing Painting Society se publicará en la plataforma de recopilación digital de derechos de autor de "Shizang" en China Limitado a 9999 copias, cada una con un precio de 9,9 yuanes. Esta es también la primera vez que la Sociedad de Pintura Tianjin Yangliuqing publica colecciones digitales con derechos de autor, y es un nuevo intento de "Shi Zang" de potenciar el campo del patrimonio cultural intangible con tecnología. Se entiende que las pinturas de Año Nuevo de Yangliuqing son famosas pinturas populares de Año Nuevo grabadas en madera en Tianjin, China, que se originaron en Yangliuqing, una ciudad milenaria. "La dama que viaja en primavera" es un clásico de la colección del Museo de Grabados de Año Nuevo de Tianjin Yangliuqing Woodblock. En 2006, las imágenes de Año Nuevo en madera de Yangliuqing se incluyeron en el primer lote de la lista del patrimonio cultural inmaterial nacional. "Lady Outing in Spring" lanzado esta vez es un conjunto de colecciones digitales de derechos de autor en forma de pinturas "Doulou", que consta de dos imágenes de damas y figuras. (China Daily) [2022/3/25 14:17:29] Alice quiere pagarle a Bob 1 BTC, por lo que crea una transacción utilizando la dirección pública de Bob. Para transferir bitcoins, Alice proporciona su firma digital (generada a partir de su clave privada y su historial de datos de transacciones) para demostrar que posee al menos 1 BTC en el conjunto UTXO, sin revelar su clave privada. Visualización de una transacción típica de Bitcoin Como parte de la transacción, solo Bob puede desbloquear el script de bloqueo. Una vez que se transfiere la transacción, el UTXO se transfiere y se agrega a la cadena de bloques de Bitcoin. Al proporcionar la firma, Bob puede desbloquear el script de bloqueo (o scriptPubKey) y puede usar el UTXO como entrada para la siguiente transacción. La forma más común y básica de transacción de Bitcoin es usar  scripts Pay to Public Key Hash (P2PKH). El lenguaje de secuencias de comandos de Bitcoin utiliza comandos (o funciones) para determinar las instrucciones registradas para cada transacción y transacciones más complejas. Se llaman opcodes (OP_CODE) y nos permiten establecer ciertas condiciones para transferir la propiedad de bitcoins. Por ejemplo, un esquema de firma múltiple (multi-sig para abreviar) puede especificar que 3 de cada 5 participantes deben proporcionar firmas para gastar bitcoins. Otro ejemplo es el uso de bloqueos de tiempo (como nLockTime), que bloquean bitcoins hasta un punto específico en el futuro. Otro tipo de transacción avanzada es Pay to Script Hash (P2SH), que permite al pagador transferir fondos a cualquier script hash válido. Los ejemplos de P2SH incluyen transacciones SegWit no nativas y multisig. Además, se pueden combinar varias condiciones de gasto para crear contratos inteligentes complejos. Los scripts de bloqueo en transacciones P2SH ahora se reemplazan por "scripts de canje". Todos los scripts se revelan cuando el propietario de los bitcoins los gasta, así como una solución para bloquear los scripts de bitcoin. Usando el hash del script en la cadena de bloques, cualquiera puede verificar las condiciones del script que gastó esos bitcoins. Las direcciones P2SH comienzan con " 3 ", , mientras que las direcciones P2PKH comienzan con " 1 ". Una desventaja de las transacciones P2SH es que revelan todas las condiciones e identidades posibles en un multisig. De la rica lista de Bitcoin anterior, podemos distinguir fácilmente entre las direcciones P2PKH y P2SH. Las direcciones que comienzan con "3" arriba se identifican como direcciones de firmas múltiples (3 de 5 y 2 de 3). Las direcciones que comienzan con "3" también pueden ser scripts de SegWit o clientes de Lightning Network. Las direcciones que comienzan con "1" son direcciones P2PKH y no están habilitadas para SegWit. Una vez que se gastan los bitcoins, la transacción P2SH revela el script completo, de modo que los participantes de la red pueden descubrir las diferentes formas en que se cumplen sus condiciones (distinguiendo así entre transacciones de firmas múltiples y transacciones P2PKH). Los participantes de la red también pueden deducir qué billetera se utilizó. También hay una desventaja en términos de escalabilidad: los scripts complejos tienen datos de transacción más grandes y requieren más espacio en la cadena de bloques (lo que resulta en tarifas de transacción más altas). Firma Schnorr (BIP 340) El primero de los tres BIP propuestos por Pieter Wuille es el BIP 340, que propone un esquema de firma digital más eficiente para Bitcoin: la firma Schnorr. ¿Qué son las firmas de Schnorr? Como se mencionó en la sección anterior sobre cómo funcionan las transacciones de bitcoin, el lenguaje de secuencias de comandos controla el gasto de bitcoins y utiliza firmas digitales para transferir la propiedad de bitcoins. Bitcoin utiliza el algoritmo de firma digital de curva elíptica (ECDSA) para verificar las firmas criptográficas (este algoritmo no admite de forma nativa transacciones de firmas múltiples, lo que llevó a la estandarización de las transacciones P2SH en 2012). En resumen, el esquema de firma de Schnorr es un esquema de firma más eficiente. El esquema de firma fue desarrollado por Claus-Peter Schnorr en 1989 y la patente no expiró hasta 2008. Schnorr se basa en  Segregated Witness, que se activó en Bitcoin en agosto de 2017 para abordar problemas de maleabilidad. SegWit mueve todos los datos de la secuencia de comandos y la firma a la sección "testigo". El testigo es parte de la transacción como una estructura separada y ya no se incluye en la lista de entrada. Echemos un vistazo a las principales propiedades de Schnorr y sus beneficios para Bitcoin. Primero, observamos la agregación de claves, que tiene la propiedad lineal. Agregación de claves El principal beneficio de Schnorr se refiere a las transacciones de múltiples firmas. Las firmas de Schnorr son lineales en el sentido de que pueden sumar o restar. La suma (o resta) de la clave pública equivale a la suma o resta de la firma correspondiente. Y ECDSA no tiene esta característica, agregar o restar la firma digital de ECDSA no tiene sentido. Debido a la propiedad lineal, Schnorr puede agregar claves y firmas. La agregación significa que podemos combinar varias claves públicas en una sola, por lo que todas las partes solo necesitan una firma. Al sumar las claves de entrada, se agregan en una firma, y ​​cada firmante contribuye con parte de la firma. Las siguientes ecuaciones ilustran cómo agregar a través de las propiedades lineales de Schnorr. Nadie más que los participantes sabe que hay tres personas detrás de la clave/firma pública. Agregación de claves/firmas mediante Schnorr Para transacciones de múltiples firmas M-de-n, las firmas parciales se denominan firmas de umbral. Como se muestra en la siguiente figura, en la firma múltiple actual 3 de 5, hay M = 3 firmas (n = 5) como parte de la entrada de la transacción. Cómo funciona 3-of-5 multisig. Los observadores pueden identificar a) que se trata de una configuración multisig yb) la clave pública detrás de la multisig. Las transacciones de firma múltiple M-de-n requieren al menos M firmantes (y cada firma debe verificarse), y para demostrar la propiedad de la UTXO de la clave de firma múltiple, scriptSig (o secuencia de comandos de desbloqueo) debe contener M firmas ECDSA. El tamaño de scriptSigs crece linealmente con las firmas M, lo que aumenta el tamaño de estas transacciones (y también las tarifas de transacción). Del mismo modo, los observadores sabrán que A, B y C firmaron la transacción y también podrán identificar la configuración multigrado utilizada. Sin embargo, con Schnorr, las firmas M se agregan en una sola firma. Una vez que se proporcionan una clave pública de umbral y una firma de umbral, la transacción se autoriza y aparece ante los observadores como una transacción P2PKH normal. Schnorr realiza 3 de 5 transacciones multigrado. Los observadores no pueden reconocer que se trata de una configuración multisig y solo pueden vincular firmas agregadas/claves públicas a las transacciones. Schnorr nos permite proporcionar solo una firma para todas las partes M. El script de desbloqueo requerirá solo una firma que represente el conjunto de firmas de los participantes. Los observadores ya no pueden vincular las firmas de las transacciones con las personas. Si bien las direcciones y los montos de las transacciones aún son visibles públicamente, el propio Schnorr dificulta la identificación de billetera/uso (ambos se pueden usar para el análisis de transacciones). La suma o resta de Schnorr puede conducir aún más a aplicaciones nuevas e interesantes. Un ejemplo es Scriptless Scripts, un método para ejecutar contratos inteligentes en Bitcoin. Los scripts sin secuencias de comandos se basan en la propiedad de linealidad de Schnorr para crear firmas de adaptadores, lo que permite intercambios atómicos. La siguiente tabla muestra las ventajas de los intercambios atómicos sin secuencias de comandos. Reduzca los datos de las transacciones y acelere la verificación Los datos de la firma Schnorr son un 11 % más pequeños que los datos de la firma ECDSA existentes, que ocupan entre 70 y 72 bytes por transacción. Dado que las firmas de Schnorr ocupan menos espacio en la transacción/en la cadena de bloques (se fijan en 64 bytes), se pueden lograr datos de transacción más pequeños y tarifas más bajas. Además, si una transacción de Bitcoin contiene muchas entradas, cada entrada requiere su propia firma. Recuerde, la entrada apunta a la dirección de donde recibió los bitcoins. Para cualquier número de bitcoins controlados por un usuario multisig, cada firmante debe publicar su firma ECDSA individual en la transacción. Estas firmas se verifican una por una, y para verificar eficientemente una gran cantidad de firmas, se debe confiar en algunos trucos matemáticos. Con las firmas de Schnorr, todas las entradas requieren solo una firma combinada porque se agregan firmas diferentes. Incluir la transacción en una firma permite que la transacción tenga una mayor capacidad. Los datos de transacción más pequeños para transacciones multisig reducen las tarifas. Al usar la agregación de claves, no tenemos que verificar cada entrada individual y la validación es más rápida. Las multifirmas compactas que usan ECDSA también son más difíciles de generar porque están codificadas usando DER (Reglas de codificación patentadas), mientras que las firmas Schnorr están codificadas de una manera más eficiente en cuanto al espacio. Schnorr es al menos más seguro que ECDSA, si no más seguro.Tanto los esquemas de firma digital ECDSA como Schnorr se basan en el problema del logaritmo discreto. Pero la ventaja de Schnorr es que usa menos suposiciones que ECDSA y tiene una prueba formal de que es seguro. ECDSA carece de una prueba de seguridad formal y se basa en suposiciones adicionales para garantizar este objetivo. Por lo tanto, Schnorr es un marco más claro para que lo usen los criptógrafos. Schnorr es al menos más seguro que ECDSA, si no más. Resumen En resumen, Schnorr tiene múltiples implicaciones para la escalabilidad y la privacidad de las transacciones (en lugar de la privacidad del enlace de transacciones). Este aumento en la eficiencia abre el uso de transacciones de múltiples firmas más complejas, lo que permite esquemas M-de-n muy grandes y contratos más avanzados. Combinado con Taproot y Tapscript, Schnorr amplía en gran medida la privacidad y la escalabilidad de Bitcoin

Tags：

Ripple