区块链:区块链替代签名方案优劣势对比，Schnorr签名最适合比特币

作者：LelandLee和DevOzha

具有讽刺意味的是，一些市值数十亿美元的加密货币本身并不支持多重签名。其中m-of-n的签名者需授权一笔交易。我们不需要审判，因为也许我们只设计了一把私钥。但这不是我们想要生活的世界，因为谁都不想因为错误的智能合约或丢失的私匙，而损失数百万美元。

今天，我们将研究各种适用于UTXO和帐户模型的交易签名多重签名方案。请注意，一些方案仍在被积极研究当中，并且会有多种具有不同属性的构造。如果读者因本文涉及太多的技术内容，而不想看这些枯燥的东西，您可直接跳至“权衡空间”部分，查看各签名方案的优劣势。

在目前的情况下，现有的区块链已采用了几种不同的系统，让多个所有者控制同一笔区块链token，以太坊是基于智能合约，而比特币则基于脚本。

基于智能合约的例子：以太坊、Tezos、EOS、Vechain、ETC；基于脚本的例子：比特币、莱特币、Iota、Cardano、Zcash、NEO、DASH、Decred；客户端内置：恒星和瑞波；自定义密码系统：GRIN和门罗；一、签名是如何工作的

国网新疆电力在物资领域开展区块链试点应用:日前，国网新疆电力公司区块链建设团队完成了基于物资业务的线上产业链金融区块链公共服务平台核心开发任务，区块链平台实施部署工作正式展开，标志着平台建设迈入崭新阶段。自4月以来，国网新疆电力公司积极组织区块链建设团队、业务团队等技术骨干力量对线上产业链金融领试点应用开展技术交流，明确业务需求，积极结合物资业务开展物资采购环节关键数据上链存证核验。（人民邮电报）[2020/10/23]

为了在任何区块链上发送有效的交易，必须采取几个步骤：

构造一笔有效交易；使用帐户或UTXO的相应私钥签署交易；将签名的交易提交到网络；矿工核实交易和签名；交易被放置到一个区块当中，并更新相关的区块链状态；二、非密码技术及其问题

智能合约：虽然基于智能合约的多重签名帐户提供了很大的灵活性，但从历史上看，它们在代码、语言、虚拟机和编译器方面都存在缺陷。由于与人类有关的错误，数亿美元的区块链token被永久锁定了。

脚本：与智能合约平台不同，比特币具有更原始的脚本语言。区别也很明显：非图灵完备、非编译、没有虚拟机，也没有“状态”的概念。这是否会使加密货币变得不那么有用，这一争论将在其他地方展开。但更重要的是，其对多重签名有特定的操作码。在比特币和比特币相关分叉中，有一个特殊的脚本被称为支付到脚本哈希，其被用于创建多重签名帐户。

比特币的多重签名地址和以太坊的多重签名钱包都要求在发送交易时提交所有相关签名。我们今天将探讨的一些方案，只需要提交一个签名，从而节省了宝贵的链上空间，并可能使地址与单个私钥地址无法区分。

动态 | 印尼商品期货交易监管局邀请IOST出任印尼区块链技术咨询顾问:12月12日，印度尼西亚商品与期货交易监管局（BAPPEBTI）的四名代表，包括行政部主管、交易监控部主管、数据和信息技术开发部主管从雅加达抵达北京，参观了IOST北京办事处，并与IOST进行了交流分享，双方就IOST项目基本情况、政企合作情况以及印尼区块链行业现状等方面进行了友好的交流。最后，BAPPEBTI代表印尼政府对IOST发出了邀请，希望IOST可以出任印尼政府的区块链技术咨询顾问，为印尼政府进行资产通证化提供技术咨询。[2019/12/13]

三、各类加密签名技术

在本文当中，我们会探索各种技术，将多重签名添加到区块链协议当中。注意，这些技术均不是什么万能药，因为每种方案都会存在各种权衡，在确定哪种技术最适合特定情况之前，我们需要去彻底探索。

1、沙米尔秘密共享算法

注：这不是经典意义上的多重签名，尽管这里讨论的是为其他形式的密码多重签名提供反例。

这里使用一个私钥来派生n个碎片，其中的m是重建私钥所需的。此方案通常用于密钥恢复，如果用户丢失了私钥，则可使用用户分发给不同朋友的碎片重建原始密钥。但是，它不适用于多重签名，这是因为：

动态 | 中国技术经济学会成立区块链筹委会:由清华大学经管学院区块链金融研究中心和清华大学经管学院中国金融研究中心共同主办的BAC2018区块链应用大会于2018年11月25日成功召开。会上中国技术经济学会秘书长黄检良宣布中国技术经济学会区块链筹委会，由清华大学互联网产业研究院院长朱岩牵头成立。黄检良回顾了中国技术经济学会的发展历史并表示，区块链被十三五计划列为战略性前沿技术，是中国技术经济学会关注的重点。此次成立区块链分会，有利于和区块链海外的技术专家、经济专家、政策专家共同跟踪探讨区块链这种新的技术形态对经济社会发展的关系的影响。朱岩也表示，希望通过该委员会，研究技术和经济的融合，进一步的贡献中国影响世界。[2018/11/28]

必须生成私钥才能派生碎片；在签署交易之前，必须从碎片重新组装私钥；这意味着存在一个可信生成和重新组装的步骤，这是一个故障点。另外，个人碎片持有者没有发言权，他们提供的只是碎片。可信硬件可减轻可信生成和签名问题，但这会导致诸如侧通道攻击、可用性等问题。

尽管如此，应注意SSS的一些独特特性，其可在不修改基础密钥/私钥的情况下创建尽可能多的不同的共享集。因此，如果Alice最初拥有10个秘密，而非朋友关系的Bob是一个秘密持有者，那么Alice可重新生成9个秘密，并将其交给其余的受信任方。

2、门限ECDSA

金色独家 数字彗星创始人张东谊：“黑盒加白盒”分析区块链安全:金色财经独家专访，针对近期热议的安全问题， 数字彗星创始人张东谊指出应该用“黑盒加白盒”分析一个项目或者系统的安全性，具体针对不同的项目要有不同的策略。

其中一种是黑盒分析，主要根据项目暴露的接口来测试输入数据而产生是否正确的输出信息，如果程序崩溃或者返回异常结果则需要进行下一步详细分析原因，如果程序内部本身设计有问题则可能需要通过逆向手段通过反汇编分析业务模块是否有问题；另外一种是白盒分析，主要了解程序内部逻辑结构、对所有逻辑路径进行测试，检查是否存在逻辑漏洞、缓冲区溢出漏洞、数组溢出、整数溢出、重入漏洞、处理外部调用错误、交易顺序依赖、时间戳依赖、条件竞争、权限控制等漏洞。[2018/6/18]

在门限ECDSA方案中，我们消除了沙米尔方案存在的一个漏洞。在这里，我们描述了StevenGoldfeder在其ECDSAMPC论文中开创的一项最新建设，在密钥生成和签名效率方面，这项建设超过了以前的ECDSA工作。

使用分布式密钥生成方案，所有密钥持有者都参与一个交互过程，该过程为自己生成一个私钥，并生成一个公钥。这样可确保任何一方都不会知道真正的私钥。在此构造密钥生成之前，只能使用一个可信方，因为对于大于两个的参与方来说，计算时间太长了。

据目前所知的是，KeepNetwork和KzenNetworks在运用这种阈值ECDSA方案。

3、门限ED25519

京东推出澳洲牛肉区块链项目:京东正与澳大利亚牛肉出口商InterAgri合作，推出一套以区块链为基础的可追溯系统，旨在提高在中国销售的牛肉来源的透明度。双方合作发展于上月在墨尔本开设首家办事处。该公司表示，当区块链系统在今年下半年实施时，它将使消费者能够追踪每一块纯黑安格斯牛肉回澳大利亚的农场。[2018/3/2]

ECDSA的一个问题是，由于签名算法的复杂性，阈值签名是很复杂的。然而，对于其他签名方案，如EdDSA，尤其是曲线Edwards25519，其签名方案ED25519具有相对更有效和更直接的阈值签名。用户生成自己的密钥，然后有一个聚合步骤来创建单个公钥，交易签名有三轮交互协议。

KzenNetworks已经为ED25519门限签名实现了一个参考库，恒星、NearProtocol以及Cosmos使用了相同的曲线，但不实现加密门限签名。

4、Schnorr签名

在比特币中，Schnorr签名是签名聚合的一种形式。相比使用P2SH，其与密钥数成线性增长关系，而签名聚合允许使用恒定大小的签名。验证者不需要知道签名者的个人公钥，从而增加了隐私性。在这方面，Blockstream正大力推动将这种技术应用于比特币。

在Schnorr签名方案论文中，有几种方法可实现m-of-n多重签名，并进行各种权衡，在某些方案中，用户提供自己的密钥，而在其他方案中，必须有一个DKG。一般来说，至少有一轮的密钥生成和交易签名通信，交易签名也不能很好地扩展到大的m或n。

5、BLS签名方案

所谓BLS签名，其全称为签名方案，这种方案在大签名集的情况下来说是非常有效的。也就是说，我们可以有2-of-10或2-of-1000多重签名方案，而在设置和签名时间上和普通签名方案几乎没有任何区别。对于设置阶段，唯一需要做的就是为每个私钥生成成员密钥，这只需要一轮通信因为用户提供自己的私钥，所以可以使用HD派生等技术来轻松管理多个密钥。用户离线签署交易，单个聚合器汇总签名并提交。

使用成员密钥的这种特殊构造是相当新的，另一种方法是利用沙米尔秘密共享方案，但是需要一个可信方或DKG。BLS签名方案的一个缺点在于，其签名验证会是缓慢的，它比ECDSA要慢上一个数量级。

四、权衡空间

当从远处观察这些技术时，我们可能会认为某些技术会优于其他技术。不幸的是，当我们潜入到权衡领域时，我们会发现，情况并非如此。一些技术对于较大的签名者组而言更可取，一些技术则更适合于低带宽环境。在这里，我们探索一个非详尽的属性列表，以分析以上各类技术。

原像：是否有必须拆分的私钥？

可信设置：是否存在生成密钥的单个实体，或者是否存在分布式密钥生成方案？

检测多重签名：区块链的查看者能否确定特定地址是否为多重签名地址？

HD派生：是否可以为相关的加密过程设置硬件确定性密钥？

权重：是否可以为特定的私钥分配不同的权重？。

能见度

签名者的隐私：区块链的查看者能否确定谁是交易的特定签名者？签名大小：多重签名交易是否需要更多的链上空间，空间大小是否随签名者的数量而变化？时间

密钥生成时间：生成密钥需要多长时间，密钥生成时间是否根据参与方数量增加？密钥生成回合：如果密钥生成是交互的，参与者需要交互多少次？验证时间：验证签名需要多长时间？签名时间：签署交易需要多长时间？签名

交互式：签署交易需要多少轮通信？曲线效率：尽管其中一些技术适用于所有曲线，但有必要考虑曲线效率和辅助因子选择等问题。

图：以上方案的权衡考虑，注意每个方案都有几个构造，导致会有不同的属性。

五、未来发展

尽管有很多不同的技术可以为区块链启用多重签名帐户，但我们必须认识到协议中的设计注意事项。其中一些技术需要更改底层协议，而另一些则不需要。协议设计者应意识到在用户体验和未来的密码技术进步校对中的隐含权衡。

有趣的事实：签名比发送交易有更多的用途。它们可用于权益证明系统中的区块签名、具有较小区块链的聚合签名以及交易压缩。

六、有趣的问题

现在，您大概了解了一些关于加密多重签名的知识，在决定实现协议时应选择哪种签名方案时，这里有一些问题是值得探讨的：

是否存在希望能够区分多重签名帐户和链上单个签名帐户的用例；门限密码系统提供了一种属性，在该属性中，单个密钥签名者是未知的，这在哪里有益或有害？有没有可能有一个允许选择性公开的签名方案，在某些交易公开签名者，而在其他交易则不公开？有没有可能有一个只显示签名者的一个子集而非全部签名者的签名方案？是否可能有一个方案，其中签名方无法确定交互步骤中的其他签名方是谁？当无法使用HD钱包时，密钥管理如何工作？对于BLS方案，人们可使用HD密钥，但是需要生成其他成员密钥。当用户丢失其成员密钥时，协议应该是什么样的？多重签名应该完全位于加密领域，还是应该在智能合约/脚本和加密之间保持平衡？是否存在签名大小根本不重要的情况，因为签名被丢弃，或者存在一种新的压缩形式？脚注

从技术上讲，假设存在加密签名，所有区块链都具有原生多重签名的形式。然而，对于任意的签名算法，寻找一个有效的门限签名方案是相当困难的。

zcash目前使用P2SH，在即将到来的Blossom更新中，它将切换到自定义加密结构。

GRIN是加密货币中唯一使用基于密码学的多重签名方案，类似于比特币的保密交易。该方法的一个缺点是，其是按照他们的协议定制的，很难概括。

门罗币只支持n-of-n和多重签名方案，前者与Splitkey非常相似。

恒星有多重签名，但没有在密码学中实现，而是通过使用他们的脚本语言来实现的。

注意，对于UTXO模型，有一个一次性交互步骤来生成公钥，这对于用户想要花费的解锁脚本而言是必需的。

感谢TarunChitra、JoyceYang、DanRobinson、JeremyRubin、JeremiahAndrews和很多其他人对本文中提到的各种密码技术进行的审查和解释工作。

标签：区块链比特币DSA区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势比特币中国官网联系方式40亿比特币能提现吗比特币最新价格行情走势DSA币是什么币

MATIC热门资讯