Подпись адаптера и ее применение в кросс-чейн атомарных обменах

С быстрым развитием решений по расширению Bitcoin Layer2 частота кросс-чейн передачи активов между Bitcoin и сетями Layer2 значительно возросла. Эта тенденция обусловлена более высокой масштабируемостью, низкими комиссиями за транзакции и высокой пропускной способностью, предоставляемыми технологиями Layer2. Эти достижения способствовали более эффективным и экономичным сделкам, что, в свою очередь, способствовало более широкому принятию и интеграции Bitcoin в различных приложениях. Таким образом, взаимная совместимость между Bitcoin и сетями Layer2 становится ключевым компонентом экосистемы криптовалют, способствуя инновациям и предоставляя пользователям более разнообразные и мощные финансовые инструменты.

Основные три схемы кросс-чейн транзакций между биткойном и Layer2: централизованные кросс-чейн транзакции, мост BitVM и кросс-чейн атомарные свопы. Эти технологии различаются по предположениям о доверии, безопасности, удобству, лимитам транзакций и могут удовлетворять различные потребности в приложениях.

Централизованные кросс-чейн сделки имеют высокую скорость и легкость в заключении, но безопасность полностью зависит от централизованных учреждений, что создает риски. Кросс-чейн мост BitVM вводит механизм оптимистичного оспаривания, технология сложная и комиссии за транзакции высокие, подходит только для сделок на сверхвысокие суммы. Кросс-чейн атомарные обмены — это децентрализованная, не подлежащая цензуре технология с хорошей защитой конфиденциальности, способная осуществлять высокочастотные кросс-чейн транзакции, широко используется на децентрализованных биржах.

Кросс-чейн атомарные обменные технологии в основном включают два типа: основанные на хеш-тайм-локах (HTLC) и основанные на подписании адаптеров. Атомарный обмен на основе HTLC имеет проблему утечки конфиденциальности. Атомарный обмен, основанный на подписании адаптеров, заменил скрипты на блокчейне, уменьшил занимаемое пространство на блокчейне и обеспечил некоррелируемость транзакций, тем самым защитив конфиденциальность.

В этой статье будет представлен принцип адаптерных подписей Schnorr/ECDSA и кросс-чейн атомарного обмена, проанализированы существующие проблемы безопасности случайных чисел и проблемы системной гетерогенности в кросс-чейн сценах, а также предложены решения. В конце будет рассмотрено расширенное применение адаптерных подписей для реализации неинтерактивного хранения цифровых активов.

Подпись адаптера и кросс-чейн атомарный обмен

Подпись адаптера Schnorr и атомарный обмен

Предварительный процесс подписи адаптера Schnorr выглядит следующим образом:

1. Алиса выбирает случайное число $r$, вычисляет $R=r\cdot G$
2. Алиса вычисляет $c=H(R||P_A||m)$
3. Алиса вычисляет $\hat{s}=r+cx$
4. Алиса отправляет $(R,\hat{s})$ Бобу

Процесс верификации предварительной подписи Боба следующий:

1. Боб вычисляет $c=H(R||P_A||m)$
2. Боб проверяет $\hat{s}\cdot G \stackrel{?} {=} R+c\cdot P_A$

Процесс адаптации подписи для Алисы следующий:

1. Алиса выбирает случайное число $y$
2. Алиса вычисляет $Y=y\cdot G$
3. Алиса вычисляет $s=\hat{s}+y$
4. Элис отправила $(R,s,Y)$ Бобу

Процесс верификации подписи Боба следующий:

1. Боб вычисляет $c=H(R||P_A||m)$
2. Боб проверяет $s\cdot G\stackrel{?} {=} R+c\cdot P_A+Y$

Процесс атомарного свопа на основе адаптерных подписей Schnorr выглядит следующим образом:

1. Алиса создает транзакцию $T_A$, отправляет BTC Бобу
2. Боб создает транзакцию $T_B$, отправляет BCH Алисе
3. Алиса производит предварительную подпись для $T_A$, получает $(\hat{R}_A,\hat{s}_A)$ и отправляет Бобу.
4. Боб выполняет адаптивную подпись для $T_B$, получая $(R_B,s_B,Y)$, и отправляет это Алисе.
5. Алиса проверяет адаптивную подпись Боба, если она действительна, то транслирует $T_B$
6. Боб извлекает $y$ из $T_B$, вычисляет $s_A=\hat{s}_A+y$
7. Боб транслирует $(R_A,s_A)$ завершил подпись $T_A$

Подпись адаптера ECDSA и атомарный обмен

Предварительный процесс подписи адаптера ECDSA выглядит следующим образом:

1. Алиса выбирает случайное число $r$, вычисляет $R=r\cdot G$
2. Алиса вычисляет $c=H(R_x||P_A||m)$
3. Алиса вычисляет $\hat{s}=r^{-1}(c+R_x\cdot x)$
4. Алиса отправила $(R,\hat{s})$ Бобу

Процесс проверки предподписанного Бобом выглядит следующим образом:

1. Боб вычисляет $c=H(R_x||P_A||m)$
2. Боб проверяет $R \stackrel{?} {=} c\cdot(\hat{s}\cdot G)^{-1}+R_x\cdot P_A\cdot(\hat{s}\cdot G)^{-1}$

Процесс адаптации подписи для Алисы следующий:

1. Алиса выбирает случайное число $y$
2. Элис вычисляет $Y=y\cdot G$
3. Алиса вычисляет $s=\hat{s}+y$
4. Элис отправила $(R,s,Y)$ Бобу

Процесс проверки подписи адаптера Бобом следующий:

1. Боб вычисляет $c=H(R_x||P_A||m)$
2. Боб проверяет $R \stackrel{?} {=} c\cdot(s\cdot G-Y)^{-1}+R_x\cdot P_A\cdot(s\cdot G-Y)^{-1}$

Процесс атомарного свопа на основе подписи адаптера ECDSA аналогичен Schnorr.

Подпись адаптера ECDSA также требует доказательства с нулевым разглашением $\mathsf{zk}{r|\hat{R}=r\cdot G,R=r\cdot Y}$ для доказательства того, что $R$ и $\hat{R}$ использовали одно и то же случайное число $r$. Процесс доказательства следующий:

1. Prover выбирает случайное число $v$, вычисляет $\hat{V}=v\cdot G$ и $V=v\cdot Y$
2. Verifier генерирует случайный вызов $c$
3. Prover вычисляет $z=v+cr$
4. Верификатор Verify $z\cdot G\stackrel{?} {=} \hat{V}+c\cdot\hat{R}$ и $z\cdot Y \stackrel{?} {=} V+c\cdot R$

Проблемы и решения

Проблема случайных чисел и решения

Существует проблема безопасности утечки и повторного использования случайных чисел в подписаниях адаптера Schnorr/ECDSA:

1. Если случайное число $r$ утечет, можно вычислить закрытый ключ $x$ по уравнению подписи.
2. Если в двух транзакциях используется одно и то же случайное число $r$, можно получить закрытый ключ $x$, решив систему уравнений.

Решение заключается в использовании стандарта RFC 6979, который позволяет извлекать случайное число $k$ из закрытого ключа и сообщения с помощью детерминированного метода:

$k = \mathsf{SHA256}(sk, msg, counter)$

Это гарантирует, что при использовании одного и того же приватного ключа для подписи одного и того же сообщения подпись всегда будет одинаковой, что усиливает воспроизводимость и безопасность.

проблемы и решения в кросс-чейн сценариях

При кросс-чейн обмене между UTXO моделью (, такой как биткойн ), и моделью аккаунта (, такой как эфириум ), существует проблема системной гетерогенности. Решением является использование смарт-контрактов на цепочке модели аккаунта для реализации логики атомного обмена.

Когда две цепочки используют одну и ту же кривую, но разные алгоритмы подписи, (, как одна использует ECDSA, а другая использует Schnorr ), подпись адаптера по-прежнему безопасна.

Но если две цепочки используют разные эллиптические кривые, то нельзя напрямую использовать подпись адаптера для кросс-чейн обмена.

Приложение для хранения цифровых активов

Подпись адаптера может быть использована для реализации неинтерактивного хранения цифровых активов. Конкретный процесс следующий:

1. Алиса и Боб создают финансируемую транзакцию с выходом 2-of-2 MuSig.
2. Алиса и Боб соответственно генерируют адаптерные подписи и шифруют секрет адаптера с помощью публичного ключа управляющего.
3. Алиса и Боб проверяют зашифрованные данные друг друга, затем подписывают и транслируют транзакцию финансирования.
4. В случае спора, хранитель может расшифровать шифр для получения адаптерного секрета, чтобы помочь одной стороне завершить сделку.

Данное решение не требует участия третьей стороны в инициализации и не требует раскрытия содержания контракта, что обладает преимуществами неинтерактивности.

Верфицируемое шифрование является ключевым компонентом данного решения. В настоящее время существует два варианта верфицируемого шифрования на основе Secp256k1: Purify и Juggling. Purify основан на доказательствах с нулевым знанием, в то время как Juggling использует метод шифрования с разбивкой на части. Оба варианта не имеют значительных различий в производительности.

Резюме

В данной статье подробно рассматриваются адаптерные подписи Schnorr/ECDSA и их применение в кросс-чейн атомарных обменах, анализируются связанные с этим проблемы безопасности и вызовы кросс-чейн сценариев, а также предлагаются соответствующие решения. Одновременно обсуждаются расширенные применения адаптерных подписей в таких областях, как хранение цифровых активов. Адаптерные подписи предоставляют эффективное, безопасное и обеспечивающее конфиденциальность техническое решение для децентрализованных кросс-чейн транзакций, и, вероятно, сыграют важную роль в будущем взаимодействии блокчейнов.