在2018年，區(qū)塊鏈協(xié)議公司Blockstream的密碼學家Gregory Maxwell、Pieter Wuille等人提出了一種名為MuSig的Schnorr簽名方案，理論上可替代當前比特幣的ECDSA簽名算法，而在今日，Blockstream已經(jīng)把MuSig從一篇學術(shù)論文，轉(zhuǎn)變成了可用的代碼，并進行了開源。

對此，來自Blockstream的數(shù)學家Andrew Poelstra向社區(qū)分享了這一技術(shù)的進展，以下為其分享內(nèi)容的譯文：

當前，比特幣和其他區(qū)塊鏈普遍采用的是ECDSA簽名驗證算法。這顯然是中本聰在2008年根據(jù)當時廣泛使用和未授權(quán)的數(shù)字簽名系統(tǒng)所做出的技術(shù)決定。然而，ECDSA簽名存在一些嚴重的技術(shù)限制。特別是，多重簽名和門限簽名（由獨立當事方的法定人數(shù)而非一人簽署）很難與ECDSA一起生成。ECDSA簽名具有復雜的代數(shù)結(jié)構(gòu)，使其不靈活且難以使用，迫使開發(fā)人員在跨鏈原子交換或閃電網(wǎng)絡等應用中使用比特幣腳本，而這可通過更靈活的簽名方案，更緊湊、更私密地實現(xiàn)這些應用。

在2018年，區(qū)塊鏈協(xié)議公司Blockstream的密碼學家Gregory Maxwell、Pieter Wuille等人提出了一種名為MuSig的Schnorr簽名方案，理論上可替代當前比特幣的ECDSA簽名算法，這種多重簽名方案提供了可證明的安全性，甚至可防止惡意簽名者的合謀子集，并生成與普通單簽名者Schnorr簽名不可區(qū)分的簽名（提高隱私性）。

經(jīng)過近1年的發(fā)展，Blockstream已經(jīng)把MuSig從一篇學術(shù)論文，轉(zhuǎn)變成了可用的代碼，本周，其開發(fā)人員會把代碼合并到secp256k1-zkp（secp256k1的一個fork），此外，Blockstream還把保密交易（CT）技術(shù)擴展到其Elements和Liquid側(cè)鏈產(chǎn)品。

需要注意的是，目前比特幣core代碼庫依然使用的是secp256k1，因此目前MuSig并沒有被應用到比特幣，但這也是Blockstream所期待的目標。

而假設比特幣啟用這一簽名方案，將使得閃電網(wǎng)絡可在無腳本腳本（scriptless script）中應用。

MuSig簽名方案的優(yōu)勢

根據(jù)Blockstream官方發(fā)布的說明，應用MuSig簽名方案將重點會有以下兩大優(yōu)勢：

1. 無論簽名者設置如何，驗證者都會看到相同的短的、常量大小的簽名。在區(qū)塊鏈系統(tǒng)中，驗證效率是最重要的考慮因素，用簽名者細節(jié)來給驗證者增加負擔，是不合理的，除非是安全需要，否則是無必要的。此外，MuSig簽名方案能夠提高隱私性，因為它們隱藏了確切的簽名者策略。

2. 為普通公鑰模型提供可證安全性。這意味著簽名者可完全靈活地使用普通的密鑰對進行多重簽名，而不需要提供任何關(guān)于這些密鑰產(chǎn)生或控制的特定方式的額外信息。有關(guān)密鑰生成的信息，可能很難在比特幣的環(huán)境中提供，因為各個簽名者具有不同的和限制性的密鑰管理策略。此外，對密鑰生成細節(jié)的依賴性，可能會與Taproot（一種提議的比特幣擴展方案）產(chǎn)生不良的交互作用，其中公共簽名密鑰可能會有額外的隱形語義。

誤區(qū)和安全API開發(fā)

與所有多重簽名協(xié)議的數(shù)學描述一樣，發(fā)布后的MuSig，假定參與者在整個簽名過程中都可訪問內(nèi)存，而簽名過程是持久的、易于更新的，并且攻擊者不能“重置”到以前的狀態(tài)。它還假設簽名者可訪問隨機性來源，這些來源與uniform不可區(qū)分。不幸的是，現(xiàn)實世界并沒有那么簡單，Blockstream花了大量的精力設計了一個API，它可以在各種各樣的場景中使用，而不存在因未聲明的假設而導致密鑰丟失的可能。

就像Schnorr簽名或者ECDSA，MuSig簽名方案在其結(jié)構(gòu)中使用了一個秘密的“nonce”，其必須統(tǒng)一隨機生成。任何偏離統(tǒng)一標準的行為，即使只是一點點，也可能導致密鑰丟失和資金被盜。

Blockstream的主要設計目標，是創(chuàng)建一個安全的防誤用API，即使是在受限的環(huán)境中，也不會鼓勵危險的使用模式。

Uniform隨機性

對于單個簽名，實現(xiàn)統(tǒng)一隨機nonce的標準方法很簡單：取一些機密數(shù)據(jù)和要簽名的消息，通過加密哈希函數(shù)傳遞這些數(shù)據(jù)，得到一個統(tǒng)一隨機值，該值對于每個要簽名的消息而言都是獨立的。

然而，有了多重簽名，這個簡單而健壯的解決方案就成了一種負擔。惡意簽名者可能會在同一條消息上請求兩個多重簽名，從而在第二次迭代中調(diào)整自己對簽名的貢獻。如果第一個簽名者通過在消息旁邊哈希一個秘密來選擇他的nonce，那么他最終將在兩個非常不同的簽名中使用相同的nonce（本質(zhì)上是導致PS3被黑客攻擊的相同失敗模式。）不幸的是，與單個簽名者的情況不同，沒有簡單的解決方案，因為單個簽名者必須在知道要生成的簽名的所有細節(jié)之前選擇它們的nonce。

解決這個問題的一個傳統(tǒng)方法，是使用硬件隨機數(shù)生成器，這種方法在散列法（ hashing）流行之前就已被使用了。不幸的是，這類方案都是昂貴的，會受到環(huán)境偏見或其他外部影響，最重要的是，我們沒有辦法驗證它們是否正確運行。

關(guān)于驗證這一點，有一些創(chuàng)造性的解決方案，Blockstream將在以后的文章中探討。目前，其選擇是要求API用戶為每個簽名會話提供唯一的“會話ID”。nonce是通過哈希簽名者的秘密、簽名者集、要簽名的消息，以及這一會話的唯一輸入而產(chǎn)生的?？稍L問隨機數(shù)生成器的用戶，可以使用它來生成會話ID，而可問持久內(nèi)存的用戶，只需使用計數(shù)器即可。

目前開發(fā)人員期望能很快生產(chǎn)出一個真正強大的解決方案。

關(guān)于重放攻擊（Replay Attack）

即使有一個可靠的隨機性來源，仍有可能從多重簽名的參與者那里提取私鑰（如果在整個過程中，可能從一個點重放簽名協(xié)議的話），這種類型的攻擊被稱為“重放攻擊”，可針對在可重啟的虛擬機內(nèi)運行的簽名者，以及支持間斷簽名及從可序列化狀態(tài)恢復的虛擬機發(fā)動攻擊。它甚至可能在沒有活動攻擊者的情況下意外發(fā)生，例如運行從同一狀態(tài)克隆的兩個虛擬機，或者在不同步的分布式數(shù)據(jù)庫上執(zhí)行代碼。

具體來說，如果一個簽名者貢獻了一個多重簽名，并且簽名過程在選擇了他的nonce之后的某一點，通過重啟的方式，則可修改其他簽名者對簽名的貢獻。

這些類型的攻擊不會以單個簽名出現(xiàn)，因為它們是在一個步驟中生成的，沒有中間狀態(tài)可從中重新啟動。這些額外的挑戰(zhàn)，對于多輪加密協(xié)議來說是獨一無二的。

如果不去研究新的機制，目前的MuSig簽名方案就無法保護在虛擬機中進行簽名的用戶。同樣，這一限制在Blockstream的開發(fā)者看來是可消除的，目前他們正在積極研究解決方案。

結(jié)論，以及未來的工作

所有上述討論都隱含著這樣一個觀點：即相比單方協(xié)議，多方協(xié)議會面臨新的、實質(zhì)上更困難的挑戰(zhàn)。就數(shù)學復雜性而言，MuSig要比Bulletproofs（防彈證明）要簡單得多。但在實現(xiàn)復雜性方面，MuSig已經(jīng)付出了更多的努力，并且需要在抗脆性和API靈活性之間進行更多的權(quán)衡。

這篇文章只描述了多重簽名部分，在未來的文章中，開發(fā)者還將描述門限簽名，這是一個相關(guān)的概念，其中n個簽名者的任何子集，只要數(shù)量足夠，就能夠生成簽名，而不需要整個簽名組的貢獻。

在以后的文章中，我們還將討論一些使非隨機性更安全和更可驗證的技術(shù)。特別是，通過使用一種稱為簽訂合約（sign-to-contract）的技術(shù)，主機可以從不可信的硬件錢包的隨機數(shù)生成器中消除任何偏差的可能性。

更進一步的是，通過利用零知識證明的能力，應該可消除偏隨機性（biased randomness）和重放攻擊所帶來的風險，消除對持久內(nèi)存的需求，并將MuSig協(xié)議從3輪通信減少到2輪。

讀者可查看MuSig在Github上的代碼（https://github.com/ElementsProject/secp256k1-zkp/tree/secp256k1-zkp/src/modules/musig），并對其發(fā)布評論或提出改進。