Bitercoin交易所論壇：比特幣技術周...

首頁
資訊
Bitercoin交易所論壇：比特幣技術周報：狀態鏈（statechain）、Schnorr 籤名和BIP322三大更新

Bitercoin交易所論壇：比特幣技術周報：狀態鏈（statechain）、Schnorr 籤名和BIP322三大更新

發表於 2022-03-23 17:58 作者： 01區塊鏈

Bitercoin交易所論壇注：原文來自Bitcoin Optech

在本周的比特幣技術簡報中，我們首先描述了一個旨在將statechain（狀態鏈）部署在比特幣上而無需進行共識層變更的提案，然後總結了有關有助於防止差分功耗分析（DPA）攻擊的Schnorr nonce生成函數的討論，以及關於BIP322 通用signmessage的擬議更新。最後，我們還會介紹一些流行比特幣基礎設施項目的更新內容。

(圖片來自：tuchong.com)

1、在缺失Schnorr 籤名或eltoo 條件下部署狀態鏈（statechain）

狀態鏈（statechain）是一種鏈外（offchain）系統，其允許用戶（例如Alice）將花費UTXO的能力委托給另一位用戶（Bob），該用戶隨後可以將支出權限進一步委托給第三位用戶（Carol），並依此類推。這裏的鏈外委托操作，都是在受信任第三方的合作下執行的，只有與受委托的籤名者（例如以前的委托人Alice或Bob）合謀時，第三方才能竊取資金。委托籤名者總是可以在不需要受信任第三方許可的情況下花費UTXO，可以說這使得狀態鏈（statechain）相比聯盟側鏈更去信任化。因爲任何曾是委托人的人，都可以觸發鏈上花費，所以狀態鏈（statechain）最初的設計，是要使用eltoo機制來確保最新的委托人（Carol）的鏈上支出可以優先於以前的委托人（Alice和Bob），前提是假定受信任的第三方並未與以前的委托人合謀作弊。

本周，Tom Trevethan在比特幣开發者郵件列表中發表了兩項關於狀態鏈（statechain）設計的修改，而這兩個修改，可以使狀態鏈（statechain）可與當前的比特幣協議一起使用，而無需等待schnorr籤名和SIGHASH_ANYPREVOUT提議軟分叉：

用類似於爲duplex微支付通道提議的遞減locktime來替換eltoo機制（這需要BIP116的 SIGHASH_NOINPUT或bip-anyprevout 的SIGHASH_ANYPREVOUT）。例如，當愛麗絲（Alice）獲得對狀態鏈（statechain）UTXO的控制權時，時間鎖將在30天的期限內阻止她單方面花費UTXO，當Alice將UTXO轉移給Bob時，時間鎖會限制其29天，這使得Bob的支出優先於Alice的支出。這種方法的缺點是，委托人可能需要等待很長時間，才能在未經可信賴第三方許可的情況下花費其資金。
使用安全多方計算技術，用單個籤名替換受信任第三方和當前委托人之間的2-of-2 schnorr多重籤名。這種方法的主要缺點是增加了復雜性，使得安全性審查變得更加困難。

一些开發者對該提議發表了評論並提出了替代方案。此外，還有人討論了Trevethan先前的一項專利申請，涉及由可信第三方使用遞減時間鎖和多方ECDSA擔保的鏈外支付方式。

2、緩解Schnorr 籤名面臨的差分功耗分析（DPA）攻擊問題

Bitercoin交易所論壇 Lloyd Fournier在比特幣开發郵件列表上發起了一項有關Newsletter #87中描述提案的討論，該提案使用推薦的nonce生成函數更新schnorr籤名的BIP340規範（據稱該函數可抵抗差分功耗分析（DPA））。

據悉，所謂差分功耗分析（DPA）攻擊，可監視硬件錢包在生成不同籤名時使用的電量，以潛在地了解用戶使用了什么私鑰（或揭示有關密鑰的足夠信息，從而可以進行有效的暴力破解）。 Fournier質疑使用異或（xor）運算來組合私鑰和隨機性的實用性，而不是將私鑰和隨機性進行哈希處理的標准方法。

BIP340作者之一Pieter Wuille 對此回復稱：

“在密鑰和籤名聚合中，在合作用戶的私鑰之間會建立數學關系，則攻擊者（如果他是合作用戶之一）可能能夠將其私鑰信息，與從其他用戶的功耗分析中了解到的籤名生成信息相結合，以了解其他用戶的私鑰。據信，與諸如xor（二進制加法）之類的相對瑣碎的函數相比，在查看諸如SHA256之類相對復雜的哈希函數的功耗時，這種攻擊將更容易執行。”

更多有關Schnorr 籤名和差分功耗分析（DPA）攻擊的信息，Wuille和其他幾位比特幣密碼學家在這裏進行了更多的討論。