适配器签名及其在跨链原子交换中的应用

随着比特币Layer2扩容方案的快速发展，比特币与Layer2网络之间的跨链资产转移频率显著增加。这一趋势受到Layer2技术提供的更高可扩展性、更低交易费和高吞吐量的推动。这些进步促进了更高效、更经济的交易，从而推动比特币在各种应用中的更广泛采用和集成。因此，比特币与Layer2网络之间的互操作性正成为加密货币生态系统的关键组成部分，推动创新并为用户提供更多样化和强大的金融工具。

比特币与Layer2之间的跨链交易主要有三种方案:中心化跨链交易、BitVM跨链桥和跨链原子交换。这些技术在信任假设、安全性、便捷性、交易额度等方面各有不同，能满足不同的应用需求。

中心化跨链交易速度快、撮合容易，但安全性完全依赖中心化机构，存在风险。BitVM跨链桥引入了乐观挑战机制，技术复杂且交易费较高，仅适用于超大额交易。跨链原子交换是去中心化的、不受审查、具有较好隐私保护的技术，能实现高频跨链交易，在去中心化交易所中广泛应用。

跨链原子交换技术主要包括基于哈希时间锁(HTLC)和基于适配器签名两种。HTLC原子交换存在隐私泄露问题。基于适配器签名的原子交换取代了链上脚本,降低了链上占用空间,实现了交易的不可链接性,从而保护了隐私。

本文将介绍Schnorr/ECDSA适配器签名与跨链原子交换原理,分析其中存在的随机数安全问题和跨链场景中的系统异构问题,并给出解决方案。最后,对适配器签名进行扩展应用,实现非交互式数字资产托管。

适配器签名与跨链原子交换

Schnorr适配器签名与原子交换

Schnorr适配器签名的预签名过程如下:

1. Alice选择随机数$r$,计算$R=r\cdot G$
2. Alice计算$c=H(R||P_A||m)$
3. Alice计算$\hat{s}=r+cx$
4. Alice将$(R,\hat{s})$发送给Bob

Bob验证预签名的过程如下:

1. Bob计算$c=H(R||P_A||m)$
2. Bob验证$\hat{s}\cdot G \stackrel{?}{=} R+c\cdot P_A$

Alice适配签名的过程如下:

1. Alice选择随机数$y$
2. Alice计算$Y=y\cdot G$
3. Alice计算$s=\hat{s}+y$
4. Alice将$(R,s,Y)$发送给Bob

Bob验证适配签名的过程如下:

1. Bob计算$c=H(R||P_A||m)$
2. Bob验证$s\cdot G \stackrel{?}{=} R+c\cdot P_A+Y$

基于Schnorr适配器签名的原子交换过程如下:

1. Alice创建交易$T_A$,将BTC发送给Bob
2. Bob创建交易$T_B$,将BCH发送给Alice
3. Alice对$T_A$进行预签名,得到$(\hat{R}_A,\hat{s}_A)$,发送给Bob
4. Bob对$T_B$进行适配签名,得到$(R_B,s_B,Y)$,发送给Alice
5. Alice验证Bob的适配签名,如果有效则广播$T_B$
6. Bob从$T_B$中提取$y$,计算$s_A=\hat{s}_A+y$
7. Bob广播$(R_A,s_A)$完成$T_A$的签名

ECDSA适配器签名与原子交换

ECDSA适配器签名的预签名过程如下:

1. Alice选择随机数$r$,计算$R=r\cdot G$
2. Alice计算$c=H(R_x||P_A||m)$
3. Alice计算$\hat{s}=r^{-1}(c+R_x\cdot x)$
4. Alice将$(R,\hat{s})$发送给Bob

Bob验证预签名的过程如下:

1. Bob计算$c=H(R_x||P_A||m)$
2. Bob验证$R \stackrel{?}{=} c\cdot(\hat{s}\cdot G)^{-1}+R_x\cdot P_A\cdot(\hat{s}\cdot G)^{-1}$

Alice适配签名的过程如下:

1. Alice选择随机数$y$
2. Alice计算$Y=y\cdot G$
3. Alice计算$s=\hat{s}+y$
4. Alice将$(R,s,Y)$发送给Bob

Bob验证适配签名的过程如下:

1. Bob计算$c=H(R_x||P_A||m)$
2. Bob验证$R \stackrel{?}{=} c\cdot(s\cdot G-Y)^{-1}+R_x\cdot P_A\cdot(s\cdot G-Y)^{-1}$

基于ECDSA适配器签名的原子交换过程与Schnorr类似。

ECDSA适配器签名还需要一个零知识证明$\mathsf{zk}{r|\hat{R}=r\cdot G,R=r\cdot Y}$来证明$R$和$\hat{R}$使用了相同的随机数$r$。该证明过程如下:

1. Prover选择随机数$v$,计算$\hat{V}=v\cdot G$和$V=v\cdot Y$
2. Verifier生成随机挑战$c$
3. Prover计算$z=v+cr$
4. Verifier验证$z\cdot G \stackrel{?}{=} \hat{V}+c\cdot\hat{R}$和$z\cdot Y \stackrel{?}{=} V+c\cdot R$

问题与解决方案

随机数问题与解决方案

Schnorr/ECDSA适配器签名存在随机数泄露和重用的安全问题:

1. 如果随机数$r$泄露,可以根据签名等式计算出私钥$x$
2. 如果在两个交易中使用相同的随机数$r$,可以通过求解方程组获得私钥$x$

解决方案是使用RFC 6979标准,通过确定性方法从私钥和消息中导出随机数$k$:

$k = \mathsf{SHA256}(sk, msg, counter)$

这确保了使用相同私钥签署相同消息时,签名总是相同的,增强了可重现性和安全性。

跨链场景问题与解决方案

在UTXO模型(如比特币)和账户模型(如以太坊)之间进行跨链交换时,存在系统异构问题。解决方案是在账户模型链上使用智能合约来实现原子交换逻辑。

当两条链使用相同曲线但不同签名算法时(如一条使用ECDSA,另一条使用Schnorr),适配器签名仍然是安全的。

但如果两条链使用不同的椭圆曲线,则不能直接使用适配器签名进行跨链交换。

数字资产托管应用

适配器签名可以用于实现非交互式的数字资产托管。具体过程如下:

1. Alice和Bob创建一个2-of-2 MuSig输出的funding交易
2. Alice和Bob分别生成适配器签名,并用托管方公钥加密adaptor secret
3. Alice和Bob验证对方的密文,然后签名并广播funding交易
4. 发生争议时,托管方可解密密文获得adaptor secret,帮助一方完成交易

这种方案不需要托管方参与初始化,也不需要公开合约内容,具有非交互性优势。

可验证加密是这一方案的关键组成部分。目前有两种基于Secp256k1的可验证加密方案:Purify和Juggling。Purify基于零知识证明,而Juggling采用分片加密的方法。两种方案在性能上差异不大。

总结

本文详细介绍了Schnorr/ECDSA适配器签名及其在跨链原子交换中的应用,分析了其中的安全问题和跨链场景的挑战,并给出了相应的解决方案。同时探讨了适配器签名在数字资产托管等领域的扩展应用。适配器签名为去中心化跨链交易提供了一种高效、安全、隐私保护的技术方案,有望在未来区块链互操作性中发挥重要作用。