アダプタ署名とそのクロスチェーン原子交換における応用

ビットコインのLayer2拡張ソリューションの急速な発展に伴い、ビットコインとLayer2ネットワーク間のクロスチェーン資産移転の頻度が著しく増加しています。この傾向は、Layer2技術が提供するより高いスケーラビリティ、より低い取引手数料、および高いスループットによって推進されています。これらの進展は、より効率的で経済的な取引を促進し、ビットコインのさまざまなアプリケーションへのより広範な採用と統合を推進しています。したがって、ビットコインとLayer2ネットワーク間の相互運用性は、暗号通貨エコシステムの重要な要素となり、革新を促進し、ユーザーにより多様で強力な金融ツールを提供しています。

ビットコインとLayer2間のクロスチェーン取引には主に3つのソリューションがあります: 中央集権型クロスチェーン取引、BitVMクロスチェーンブリッジ、クロスチェーン原子交換です。これらの技術は、信頼仮定、安全性、利便性、取引額などの点でそれぞれ異なり、さまざまなアプリケーションのニーズを満たすことができます。

中央集権的なクロスチェーン取引は速度が速く、マッチングが容易ですが、安全性は完全に中央集権機関に依存しており、リスクがあります。BitVMクロスチェーンブリッジは楽観的なチャレンジメカニズムを導入しており、技術は複雑で取引手数料も高いため、超大口取引にのみ適しています。クロスチェーンアトミックスワップは分散型で検閲を受けず、プライバシー保護が優れている技術であり、高頻度のクロスチェーン取引を実現でき、分散型取引所で広く利用されています。

クロスチェーン原子交換技術は主にハッシュタイムロック(HTLC)に基づくものとアダプタ署名に基づくものの2種類があります。HTLC原子交換にはプライバシー漏洩の問題があります。アダプタ署名に基づく原子交換はオンチェーンスクリプトを置き換え、オンチェーンの占有スペースを削減し、取引の不可リンク性を実現することでプライバシーを保護します。

この記事では、Schnorr/ECDSAアダプタ署名とクロスチェーン原子交換の原理を紹介し、その中に存在するランダム数の安全性の問題とクロスチェーンシナリオにおけるシステムの非一様性の問題を分析し、解決策を示します。最後に、アダプタ署名の拡張アプリケーションを行い、非対話型デジタル資産の保管を実現します。

! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析

アダプタ署名とクロスチェーン原子交換

Schnorr アダプターの署名とアトミック・スワップ

Schnorrアダプタ署名のプレサインプロセスは次のとおりです:

1. アリスはランダムな数$r$を選び、$R=r\cdot G$を計算します。
2. アリスは$c=H(R||P_A||m)$ を計算します。
3. アリスは$\hat{s}=r+cx$を計算します
4. アリスは$(R,\hat{s})$をボブに送信します

ボブの予備署名の検証プロセスは次のとおりです:

1. ボブは $c=H(R||P_A||$m)
2. ボブが $\hat{s}\cdot G \stackrel{?} を検証します。{=} R+c\cdot P_A$

Aliceに適合する署名のプロセスは以下の通りです:

1. アリスはランダムな数$y$を選択します。
2. アリスは$Y=y\cdot G$を計算します
3. アリスは$s=\hat{s}+y$を計算します。
4. アリスは$(R,s,Y)$をボブに送信します

Bobが適合する署名を検証するプロセスは以下の通りです:

1. ボブは $c=H(R||P_A||$m)
2. ボブは $s\cdot G\stackrel{?} を検証します。{=} R+c\cdot P_A+Y$

Schnorrアダプタ署名に基づく原子交換プロセスは以下の通りです:

1. アリスは取引$T_A$を作成し、BTCをボブに送信します。
2. ボブは取引$T_B$を作成し、アリスにBCHを送ります
3. アリスは$T_A$に対してプレサインを行い、$(\hat{R}_A,\hat{s}_A)$をボブに送信します。
4. ボブは $T_B$ に署名して $(R_B、s_B、Y)$ を取得し、それをアリスに送信します
5. アリスはボブの適合署名を検証し、有効な場合は$T_B$をブロードキャストします。
6. ボブは$T_B$から$y$を抽出し、$s_A=\hat{s}_A+y$を計算します。
7. Bobは$(R_A,s_A)$の$T_A$の署名を完了しました。

! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析

ECDSA アダプタ署名と Atomic Swap

ECDSAアダプタ署名のプレ署名プロセスは以下の通りです:

1. アリスはランダムな数$r$を選択し、$R=r\cdot G$を計算します。
2. アリスは$c=H(R_x||P_A||m)$を計算します
3. アリスは $\hat{s}=r^{-1}(c+R_x\cdot x)$ を計算します
4. アリスは$(R,\hat{s})$をボブに送信します

ボブが事前署名を検証するプロセスは以下の通りです:

1. ボブは $c=H(R_x||P_A||$m)
2. ボブが \stackrel{?} $R を検証する{=} c\cdot(\hat{s}\cdot G)^{-1}+R_x\cdot P_A\cdot(\hat{s}\cdot G)^{-1}$

アリスの署名適合プロセスは以下の通りです:

1. アリスはランダムな数$y$を選択します。
2. アリスは$Y=y\cdot G$を計算します
3. アリスは$s=\hat{s}+y$を計算します
4. アリスは$(R,s,Y)$をボブに送信します

Bobによる適合署名の検証プロセスは以下の通りです:

1. ボブは $c=H(R_x||P_A||$m)
2. ボブが \stackrel{?} $R を検証する{=} c\cdot(s\cdot G-Y)^{-1}+R_x\cdot P_A\cdot(s\cdot G-Y)^{-1}$

ECDSAアダプタ署名に基づく原子交換プロセスは、Schnorrに似ています。

ECDSAアダプタ署名には、$R$と$\hat{R}$が同じランダム数$r$を使用していることを証明するために、零知識証明$\mathsf{zk}{r|\hat{R}=r\cdot G,R=r\cdot Y}$が必要です。この証明プロセスは以下の通りです:

1. 証明者は乱数 $v$ を選択し、$\hat{V}=v\cdot G$ と $V=v\cdot Y$ を計算します。
2. Verifierがランダムチャレンジ$c$を生成
3. 証明者が $z=v+cr$ を計算します。
4. Verifier Verify $z\cdot G\stackrel{?}{=} \hat{V}+c\cdot\hat{R}$ と $z\cdot Y \stackrel{?}{=} V+c\cdot R$

! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析

問題と解決策

ランダム数問題と解決策

Schnorr/ECDSAアダプタ署名には、ランダム数の漏洩と再利用のセキュリティ問題が存在します。

1. もしランダム数$r$が漏洩した場合、署名の等式に基づいて秘密鍵$x$を計算することができます。
2. もし2つの取引で同じランダム数$r$を使用した場合、方程式の系を解くことで秘密鍵$x$を得ることができます。

解決策は、RFC 6979標準を使用して、決定論的手法により秘密鍵とメッセージから乱数$k$を導出することです。

$k = \mathsf{SHA256}(sk, msg, counter)$

これにより、同じ秘密鍵を使用して同じメッセージに署名する場合、署名は常に同じであり、再現性と安全性が向上します。

! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析

クロスチェーンシーンの問題と解決策

UTXOモデル(のビットコイン)とアカウントモデル(のイーサリアム)の間でクロスチェーン交換を行う際、システムの非同種問題が存在します。解決策は、アカウントモデルチェーン上でスマートコントラクトを使用して原子交換ロジックを実現することです。

2つのチェーンが同じ曲線を使用しているが、異なる署名アルゴリズムを使用している場合(、1つはECDSAを使用し、もう1つはSchnorr)、アダプター署名は依然として安全です。

しかし、2つのチェーンが異なる楕円曲線を使用している場合、アダプタ署名を直接使用してクロスチェーン交換を行うことはできません。

! 解析ビットコインおよびレイヤー2資産クロスチェーン技術

デジタル資産保管アプリ

アダプター署名は、非対話型のデジタル資産の保管を実現するために使用できます。具体的なプロセスは以下の通りです:

1. アリスとボブは2-of-2 MuSig出力のファンディングトランザクションを作成しました
2. アリスとボブはそれぞれアダプター署名を生成し、ホスティング者の公開鍵でアダプター秘密を暗号化します。
3. アリスとボブは互いの暗号文を検証し、その後ファンディングトランザクションに署名してブロードキャストします。
4. 争議が発生した場合、保管者は暗号文を解読してアダプタシークレットを取得し、一方の取引を完了させるのを助けることができる。

このソリューションは、ホスティング者の初期化への参加を必要とせず、契約内容を公開することも必要なく、非対話的な利点を持っています。

検証可能な暗号はこのソリューションの重要な構成要素です。現在、Secp256k1に基づく2つの検証可能な暗号ソリューションがあります: PurifyとJuggling。Purifyはゼロ知識証明に基づいており、Jugglingは分割暗号化の方法を採用しています。2つのソリューションのパフォーマンスには大きな差はありません。

! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析

サマリー

本稿では、Schnorr/ECDSAアダプタ署名とそのクロスチェーン原子交換における応用について詳しく説明し、その安全性の問題やクロスチェーンシナリオの課題を分析し、相応の解決策を提示します。また、デジタル資産の保管などの分野におけるアダプタ署名の拡張応用についても探討します。アダプタ署名は、分散型クロスチェーン取引のための効率的で安全、プライバシー保護の技術的解決策を提供し、今後のブロックチェーン相互運用性において重要な役割を果たすことが期待されています。

! 解析ビットコインおよびレイヤー2資産クロスチェーン技術