什么是数字签名?
数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。
这里的数字签名,不是简单的把纸质的签名改为电子签名,我们需要知道的是,数字签名包含两点:一是保证信息传输的完整性,防止其在途中被篡改;二是保证发送者的身份认证,防止其抵赖。在学习数字签名之前,我们先介绍几个概念:
Hash(哈希)函数
Hash函数,音译为哈希函数,又叫散列函数或杂凑函数。它可以将任意长度的消息M映射为固定长度的摘要H(M),也叫散列值,哈希值或杂凑值。哈希函数有三大特点:
1. M1不等于M2,则H(M1)不等于H(M2);
2.单向性,即已知H和H(M),反推出M在计算上是不可行的;
3.无碰撞性,即对于M1和H(M1),找到M2使H(M2)=H(M1)在计算上不可行(弱碰撞性);任意两个M1,M2(不相等),使得H(M1)=H(M2)在计算上不可行(强碰撞性)。
所谓计算上不可行,是由计算复杂度理论来说的,即对于该运算不存在一个多项式时间算法,计算不可行是哈希函数的安全性基础。
公钥(私钥)
公钥与私钥是通过某种密码学算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分,通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。
数字签名算法
接下来,我们再来看数字签名的过程:由发送者把要签名的信息作哈希运算,得到一段别人无法伪造的并且长度固定的数据摘要。发送者用自己的私钥把数据摘要加密成数字签名,并将其与信息一起发送给接收者。接收者收到信息和数字签名后,对信息作Hash运算得到报文的数据摘要,用公钥把数字签名解密为数据摘要。比较这两份数据摘要,如果相同则签名有效,否则签名无效,这样就可以确定信息的真实来源。
多重数字签名算法
多重签名技术(multisig)就是多个用户同时对一个数字资产进行签名。可以简单的理解为,一个账户多个人拥有签名权和支付权。
如果一个地址只能由一个私钥签名和支付,表现形式就是1/1;而多重签名的表现形式是m/n,也就是说一共n个私钥可以给一个账户签名,而当m个地址签名时,就可以支付一笔交易。所以,m一定是小于等于n的。
多重签名技术的原理并不是很复杂,但它增加了第三方的介入保障,可以实现现实场景中需要第三方介入的很多的应用场景。
近日,密码学顶级网站eprint上发表了两篇最新的多重签名算法文章,首先是1月15日由比特币核心开发者Gregory Maxwell等人首次提交的基于Schnorr的多重签名算法(MuSig)在比特币网络中的应用,随后,该算法在5月10号被Manu Drijvers等人指出了存在安全性漏洞并提出了DG-CoSi多重签名算法,5月20日,Gregory Maxwell等人重新提交了修正过的论文。我们可以看到,多重签名方案的研究之火热。
现在的比特币区块链中,一个区块中包含几千个交易,比如2000个,则这个区块包含了2000条被不同人签名的2000条消息,所有这些信息都需要存储在一个区块中。Schnorr的多重签名算法支持“本地多签名”,它可以将多个签名合并为一个单一的签名,同时使各自输入的密钥总和有效,即多重签名和签名汇聚。也就是说,一个区块现在包含2000个交易,但只需要一个签名,且我们只需要对这个签名进行验证。
上面提到,Maxwell等人提出了第一个运用于比特币的可以在普通公钥模型中证实安全的多重签名方案,且允许密钥聚合,该方案被称作MuSig签名算法。它有两个优势:(i)它简单而有效,与标准Schnorr签名具有相同的密钥和签名大小;(ii)它允许密钥聚合,这意味着联合签名可以完全验证为一个标准的Schnorr签名,与单个“汇聚”公钥有关,可以从签名者的个人公钥中计算出来。
接着是由Manu Drijvers等人提出的基于Okamoto(多)签名方案的双发生器变体DG-CoSi签名方案,并在随机预言模型中的离散对数假设下可证明安全性。文中指出,与CoSi相比,DG-CoSi中的第二台发生器几乎没有影响可扩展性,允许8192个签名者在1.5秒内协作签名一条消息(Cosi签名方案允许8000个签名者在2秒内协作签名一条消息),使其成为大规模部署的高度实用且可证明安全性的多重签名替代方案。
除此之外,早在2016年,斯坦福的Dan Boneh教授就介绍了比特币的BLS短签名算法。Boneh提到,相比于Schnorr多重签名算法,BLS只需要一个元素,而Schnorr需要两个元素,因此它更短,这将节约很大的空间,同时LBS也有汇聚的特征。
使用多重签名可以节约大约80%的空间,从而提高区块链的容量。