Signature d'adaptateur et son application dans les échanges atomiques cross-chain

Avec le développement rapide des solutions d'évolutivité Layer2 de Bitcoin, la fréquence des transferts d'actifs cross-chain entre Bitcoin et les réseaux Layer2 a considérablement augmenté. Cette tendance est propulsée par la plus grande évolutivité, les frais de transaction réduits et le haut débit offerts par la technologie Layer2. Ces progrès favorisent des transactions plus efficaces et plus économiques, ce qui stimule une adoption et une intégration plus large de Bitcoin dans diverses applications. Par conséquent, l'interopérabilité entre Bitcoin et les réseaux Layer2 devient un élément clé de l'écosystème des cryptomonnaies, favorisant l'innovation et offrant aux utilisateurs des outils financiers plus diversifiés et puissants.

Les transactions inter-chaînes entre Bitcoin et Layer2 se déclinent principalement en trois solutions : les transactions inter-chaînes centralisées, le pont inter-chaînes BitVM et les échanges atomiques inter-chaînes. Ces technologies diffèrent en termes d'hypothèses de confiance, de sécurité, de commodité et de limites de transaction, pouvant répondre à des besoins d'application variés.

Les transactions centralisées cross-chain sont rapides et faciles à réaliser, mais leur sécurité dépend entièrement d'institutions centralisées, ce qui présente des risques. Le pont cross-chain BitVM introduit un mécanisme de défi optimiste, avec une technologie complexe et des frais de transaction relativement élevés, ne convenant qu'aux transactions de très grande valeur. L'échange atomique cross-chain est une technologie décentralisée, sans censure et offrant une bonne protection de la vie privée, permettant des transactions cross-chain à haute fréquence, largement utilisées dans les échanges décentralisés.

La technologie d'échange atomique cross-chain comprend principalement deux types : celle basée sur le verrouillage temporel par hachage (HTLC) et celle basée sur la signature d'adaptateur. L'échange atomique HTLC présente des problèmes de fuite de confidentialité. L'échange atomique basé sur la signature d'adaptateur remplace les scripts on-chain, réduit l'espace occupé sur la chaîne et réalise l'intra-liabilité des transactions, protégeant ainsi la confidentialité.

Cet article présentera le principe des signatures d'adaptateur Schnorr/ECDSA et des échanges atomiques inter-chaînes, analysera les problèmes de sécurité des nombres aléatoires et les problèmes d'hétérogénéité des systèmes dans les scénarios inter-chaînes, et proposera des solutions. Enfin, une application étendue des signatures d'adaptateur sera réalisée pour mettre en œuvre la conservation d'actifs numériques non interactive.

Signature de l'adaptateur et échange atomique cross-chain

Signature d'adaptateur Schnorr et échange atomique

Le processus de pré-signature pour la signature d'adaptateur Schnorr est le suivant :

1. Alice choisit un nombre aléatoire $r$, calcule $R=r\cdot G$
2. Alice calcule $c=H(R||P_A||m)$
3. Alice calcule $\hat{s}=r+cx$
4. Alice envoie $(R,\hat{s})$ à Bob

Le processus de vérification de la pré-signature par Bob est le suivant :

1. Bob calcule $c=H(R||P_A||m)$
2. Bob vérifie que $\hat{s}\cdot G \stackrel{?}{=} R+c\cdot P_A$

Le processus d'adaptation de la signature d'Alice est le suivant :

1. Alice choisit le nombre aléatoire $y$
2. Alice calcule $Y=y\cdot G$
3. Alice calcule $s=\hat{s}+y$
4. Alice envoie $(R,s,Y)$ à Bob

Le processus de vérification de la signature d'adaptation de Bob est le suivant :

1. Bob calcule $c=H(R||P_A||m)$
2. Bob vérifie $s\cdot G \stackrel{?}{=} R+c\cdot P_A+Y$

Le processus d'échange atomique basé sur la signature d'adaptateur Schnorr est le suivant :

1. Alice crée une transaction $T_A$, envoie des BTC à Bob
2. Bob crée la transaction $T_B$, envoie du BCH à Alice
3. Alice pré-signe $T_A$, obtient $(\hat{R}_A,\hat{s}_A)$, et l'envoie à Bob
4. Bob adapte la signature de $T_B$, obtenant $(R_B,s_B,Y)$, et l'envoie à Alice.
5. Alice vérifie la signature d'adaptation de Bob, si elle est valide, elle diffuse $T_B$
6. Bob extrait $y$ de $T_B$, calcule $s_A=\hat{s}_A+y$
7. Bob diffuse $(R_A,s_A)$ a terminé la signature de $T_A$

signature d'adaptateur ECDSA et échange atomique

Le processus de pré-signature pour la signature d'adaptateur ECDSA est le suivant :

1. Alice choisit le nombre aléatoire $r$, calcule $R=r\cdot G$
2. Alice calcule $c=H(R_x||P_A||m)$
3. Alice calcule $\hat{s}=r^{-1}(c+R_x\cdot x)$
4. Alice envoie $(R,\hat{s})$ à Bob

Le processus de vérification de la pré-signature par Bob est le suivant :

1. Bob calcule $c=H(R_x||P_A||m)$
2. Bob vérifie $R \stackrel{?}{=} c\cdot(\hat{s}\cdot G)^{-1}+R_x\cdot P_A\cdot(\hat{s}\cdot G)^{-1}$

Le processus d'adaptation de la signature d'Alice est le suivant :

1. Alice choisit le nombre aléatoire $y$
2. Alice calcule $Y=y\cdot G$
3. Alice calcule $s=\hat{s}+y$
4. Alice envoie $(R,s,Y)$ à Bob

Le processus de validation de la signature d'adaptation de Bob est le suivant :

1. Bob calcule $c=H(R_x||P_A||m)$
2. Bob vérifie $R \stackrel{?}{=} c\cdot(s\cdot G-Y)^{-1}+R_x\cdot P_A\cdot(s\cdot G-Y)^{-1}$

Le processus d'échange atomique basé sur la signature d'adaptateur ECDSA est similaire à celui de Schnorr.

La signature de l'adaptateur ECDSA nécessite également une preuve à connaissance nulle $\mathsf{zk}{r|\hat{R}=r\cdot G,R=r\cdot Y}$ pour prouver que $R$ et $\hat{R}$ utilisent le même nombre aléatoire $r$. Le processus de preuve est le suivant:

1. Le Prover choisit un nombre aléatoire $v$, calcule $\hat{V}=v\cdot G$ et $V=v\cdot Y$
2. Le vérificateur génère un défi aléatoire $c$
3. Prover calcule $z=v+cr$
4. Vérificateur vérifie $z\cdot G \stackrel{?}{=} \hat{V}+c\cdot\hat{R}$ et $z\cdot Y \stackrel{?}{=} V+c\cdot R$

Problèmes et solutions

Problèmes et solutions de nombres aléatoires

Les signatures d'adaptateur Schnorr/ECDSA présentent des problèmes de sécurité liés à la fuite et à la réutilisation des nombres aléatoires :

1. Si le nombre aléatoire $r$ est divulgué, il est possible de calculer la clé privée $x$ à partir de l'équation de signature.
2. Si le même nombre aléatoire $r$ est utilisé dans deux transactions, la clé privée $x$ peut être obtenue en résolvant le système d'équations.

La solution consiste à utiliser la norme RFC 6979, en extrayant le nombre aléatoire $k$ à partir de la clé privée et du message par une méthode déterministe.

$k = \mathsf{SHA256}(sk, msg, counter)$

Cela garantit que lorsque la même clé privée est utilisée pour signer le même message, la signature est toujours la même, ce qui renforce la reproductibilité et la sécurité.

problèmes et solutions de scénarios cross-chain

Lors des échanges inter-chaînes entre le modèle UTXO ( tel que Bitcoin ) et le modèle de compte ( tel qu'Ethereum ), il existe des problèmes d'hétérogénéité système. La solution consiste à utiliser des contrats intelligents sur la chaîne du modèle de compte pour mettre en œuvre la logique d'échange atomique.

Lorsque deux chaînes utilisent la même courbe mais des algorithmes de signature différents, ( comme une chaîne utilisant ECDSA, l'autre utilisant Schnorr ), la signature de l'adaptateur reste sécurisée.

Mais si les deux chaînes utilisent des courbes elliptiques différentes, il n'est pas possible d'utiliser directement la signature de l'adaptateur pour un échange cross-chain.

Application de garde d'actifs numériques

La signature de l'adaptateur peut être utilisée pour réaliser un stockage d'actifs numériques non interactif. Le processus spécifique est le suivant :

1. Alice et Bob créent une transaction de financement avec une sortie MuSig 2-of-2.
2. Alice et Bob génèrent chacun une signature d'adaptateur et chiffrent le secret d'adaptateur avec la clé publique de l'entité de garde.
3. Alice et Bob vérifient les messages chiffrés de chacun, puis signent et diffusent la transaction de financement.
4. En cas de litige, le dépositaire peut déchiffrer le texte chiffré pour obtenir le secret d'adaptateur, aidant ainsi une partie à finaliser la transaction.

Cette solution ne nécessite pas la participation d'un tiers de confiance pour l'initialisation, et ne nécessite pas la divulgation du contenu du contrat, offrant ainsi un avantage de non-interaction.

La cryptographie vérifiable est un élément clé de cette solution. Il existe actuellement deux solutions de cryptographie vérifiable basées sur Secp256k1 : Purify et Juggling. Purify repose sur des preuves à connaissance nulle, tandis que Juggling utilise une méthode de cryptographie par fragmentation. Les deux solutions ne diffèrent pas beaucoup en termes de performance.

Résumé

Cet article présente en détail la signature adaptateur Schnorr/ECDSA et son application dans les échanges atomiques cross-chain, analyse les problèmes de sécurité et les défis des scénarios cross-chain, et propose des solutions correspondantes. Il explore également les applications d'extension des signatures adaptatrices dans des domaines tels que la garde d'actifs numériques. La signature adaptatrice offre une solution technique efficace, sécurisée et respectueuse de la vie privée pour les transactions cross-chain décentralisées, et devrait jouer un rôle important dans l'interopérabilité des blockchains à l'avenir.