Lire un article signature Bitcoin Schnorr

le chiffrement � cl� publique-priv�e est la pierre angulaire de la s�curit� mon�taire, la navigation Web s�curis�e des affaires mon�taires et financi�res chiffr�es. paire de cl�s publique-priv�e est asym�trique, ce qui signifie que d'une cha�ne de nombres (priv�), peuvent �tre export�s vers une autre cha�ne (cl� publique). Cependant, au contraire est impossible. Il est cette asym�trie permet aux gens de partager ouvertement la cl� publique, public peut �tre s�r que personne ne peut en d�duire la cl� priv�e (� garder le secret des besoins cl� priv�e et s�curis�e).

paire de cl�s asym�triques est utilis� principalement pour deux applications:

� Dans l'authentification, vous devez vous prouver � ma�triser la cl� priv�e;

� Dans le processus de cryptage, les informations peuvent �tre cod�es, seuls ceux qui ont la cl� priv�e peut d�crypter et lire le message.

Pr�sentation Benpian signature num�rique, nous allons discuter d'une classe particuli�re de cl�s: une cl� d�riv�e de la courbe elliptique, il existe d'autres syst�mes asym�triques dans lesquels le plus important est le produit de nombres premiers programmes bas�s, y compris la cl� RSA .

Nous supposons que vous connaissez la cryptographie � courbe elliptique (Elliptic Curve Cryptography) les bases, il n'a pas d'importance si vous ne pouvez pas comprendre la section pr�c�dente � la compr�hension originale.

� Faites le point

Ceci est une introduction interactive aux signatures num�riques, utilisez le code Rust pour d�montrer certaines des id�es mentionn�es dans cet article, afin que vous puissiez voir comment ils fonctionnent, le code utilis� dans cet article est sous-biblioth�ques libsecp256k-rs.

Le nom est un peu difficile � prononcer, mais secp256k1 est le nom de la courbe elliptique, qui est utilis� pour prot�ger un grand nombre de transactions en devises de cryptage, y compris Bitcoin.

Cette biblioth�que particuli�re offre quelques fonctionnalit�s int�ressantes, nous r��crivons l'addition et la multiplication des op�rateurs de regards de code Rouille plus comme une formule math�matique, ce qui le rend plus facile � tester l'id�e que nous voulons mettre en uvre.

Conseils! Ne pas utiliser cette biblioth�que dans le processus de l'�criture de code, il n'a pas �t� v�rifi�e, le cas �ch�ant, vous pouvez utiliser ce sous-biblioth�que � la place.

� Plus la signature de Schnorr

� Les cl�s publiques et priv�es

La premi�re chose que nous devons faire est de cr�er une cl� publique et priv�e de la courbe elliptique.

En secp256k1, la cl� priv�e est tout simplement une des valeurs enti�res scalaires entre 0 � 2256, autant que le nombre correspondant au nombre d'atomes dans l'univers, donc il y a des possibilit�s infinies.

Secp256k1 un point particulier sur la courbe, appel� G, qui agit en tant que � origine �. La cl� publique est par elle-m�me appliqu�e sur la courbe G, multipli�e par le � Ka �, ce qui est la d�finition de la multiplication par un scalaire �crit:

Pa = KaG

Par exemple, quand �crire un format non compress�, la cl� publique 1 est 0479BE667 ... C47D08FFB10D4B8, le code suivant illustre ceci:

� Cr�er une signature

A titre de

Lors de l'utilisation des valeurs al�atoires choisies pour le calcul de multiplication scalaire droit inverser ECC (� savoir, division) est presque impossible (, ). Cette propri�t� est appel�e probl�me de logarithme discret (Discrete Log probl�me), comme beaucoup de cryptage de change et la signature num�rique derri�re le principe. Les signatures num�riques sont de signatures valides fournissent la preuve qu'ils prennent conscience de la preuve associ�e au public un message / cl� priv�e, ou un probl�me de logarithme discret a �t� r�solu preuves.

DEVENEZ signature de la m�thode toujours suivre les m�thodes suivantes: 1. G�n�rer une seule fois un secret r num�rique (appel� nombres al�atoires). 2. Cr�ez un R publique de r, o� (R = rg). 3. Les �l�ments suivants envoy� pour vous � votre destinataire du message Bob-- (m), R et votre cl� publique (P = kG).

La signature r�elle est cr��e en combinant tous les hachage au-dessus de l'information pour cr�er un probl�me, e:

e = H (R || P || m)

La s�lection d'une fonction de hachage, la cl� �lectronique priv�e a la m�me gamme, dans notre cas, nous voulons que les informations retourn�es est de 256 num�ros, donc SHA256 est un bon choix.

Maintenant, utilisez vos informations personnelles pour construire une signature: s = r + ke

Bob peut maintenant calculer e, parce qu'il conna�t d�j� m, R, P, mais il ne sait pas votre cl� priv�e ou un nombre al�atoire.

Remarque: La cr�ation de la signature d'une telle signature est appel�e Schnorr, nous continuerons � discuter plus tard, il y a d'autres fa�ons de cr�er s, tels que ceux utilis�s dans Bitcoins dans ECDSA .

Voir par exemple: = sG (r + ke) G

La multiplication � droite: = sG rG + (kG) e

En variante R = rG et P = kG, peuvent �tre obtenus: sG = R + Pe

Par cons�quent, Bob doit calculer les est �gale � la droite, qui est connu � la fois le message de Bob signatures correspondant (de la) S.G. cl� publique, et v�rifier l'�quation (R + Pe).

� N�cessit� d'un nombre al�atoire Nonce Pourquoi la signature Normaliser nombres al�atoires?

Supposons que nous venons de signer le message m:

e = H (P || m)

Signature s = ek

Comme d'habitude, nous pouvons v�rifier la signature est valide?

Jusqu'� pr�sent, tous normaux, mais maintenant tout le monde peut lire votre cl� priv�e, parce que s est un scalaire, donc de k = / e est pas difficile, car le nombre al�atoire, doit �tre r�solu k = (sr) / e, r est inconnue, mais , tant que r est choisi au hasard, ce n'est pas un calcul viable.

On peut montrer qu'aucun nombre al�atoire est en effet tr�s pr�caire:

� Qu'est-ce que ECDH?

Comment les parties veulent obtenir une communication s�curis�e Pour g�n�rer une cl� partag�e est utilis�e pour chiffrer le message? Un proc�d� connu sous la courbe elliptique �change Diffie-Hellmam (Elliptic Curve �change Diffie-Hellmam), qui est un proc�d� simple.

ECDH utilis� dans de nombreux endroits, y compris le r�seau de la foudre lors de la n�gociation de canal .

Voici comment cela fonctionne, Alice et Bob veulent communiquer en toute s�curit�, un moyen facile est d'utiliser l'autre de la cl� publique et calculer:

Pour des raisons de s�curit�, le plus souvent choisis au hasard cl� priv�e (qui implique une utilisation du terme � cl� temporaire �) pour chaque session, mais le probl�me que nous avons rencontr� �tait certain que l'autre identit� du parti conform�ment � leurs demandes (possible il est un middle ).

Vous pouvez utiliser d'autres �tapes d'authentification pour r�soudre le probl�me, non d�taill� ici.

� Signature Schnorr

Si vous vous concentrez souvent sur les nouvelles devises de cryptage, vous savez que Bitcoin est une signature multi-Schnorr sujet br�lant.

Mais en fait, cela est consid�r� comme de vieilles nouvelles, la signature Schnorr est trait� comme un mod�le al�atoire oracle le sch�ma de signature num�rique s�curis�e simple, il est tr�s efficace et g�n�re une signature courte, le brevet US 4995082, qui brevet a expir� en F�vrier 2008 .

Pourquoi la signature Schnorr peut �tre source de pr�occupation?

signature de Schnorr si charmant et dangereux en raison de la simplicit�. signature Schnorr est lin�aire, ayant ainsi un certain nombre d'excellentes propri�t�s.

Multiplier un ayant des propri�t�s courbe elliptique, donc, s'il y a deux points correspondant X, Y et x correspondant scalaire, y, alors:

(X + y) = G xG + yG = X + Y

signature de Schnorr de la forme s = r + ek, cette structure est lin�aire, de sorte qu'il est tr�s appropri� pour la courbe elliptique math�matique lin�aire.

Sur un lin�aire a �t� pr�sent�, lorsque nous v�rifions la signature, la signature Schnorr lin�aire tr�s attractif, qui comprend: 1. une signature de polym�risation; 2. atomes l'�change; 3. Script � pas de script �

� Polym�risation de signature Na�f

Voyons voir, comment la propri�t� lin�aire de signature Schnorr pour la construction de plusieurs signatures.

Quand Alice et Bob veulent signer quelque chose (comme transaction Tari) sans avoir � faire confiance, qui est, dont ils ont besoin pour prouver la propri�t� de leurs cl�s respectives, et seulement Alice et Bob fournissent leur section, de la signature globale est valide.

En supposant que la cl� priv�e est exprim�e en ki, la cl� publique est repr�sent�e comme Pi. Si nous demandons Alice et Bob fournissent chacun un nombre al�atoire, vous pouvez essayer:

Ainsi, Alice et Bob peuvent fournir leur propre R, chacun peut construire deux signatures de la somme de la cl� publique de deux R, il est en effet possible:

Mais ce cadre n'est pas s�r!

Cl� �liminer les attaques

Toujours au-dessus de sc�nario, mais cette fois-ci, apr�s la publication Alice, Bob � l'avance de la cl� publique d'Alice et un nombre al�atoire.

Maintenant, la cl� publique de Bob pour mentir et dire qu'il �tait P'b = Pb-Pa, nombre al�atoire commun est R'b = Ra-Rb.

Bob ne conna�t pas la valeur de l'impact priv� forg�, mais pas beaucoup.

Selon le sch�ma de polym�risation, tout le monde suppose Sagg = Ra + R'b + e (Pa + P'b).

Mais Bob peut cr�er votre propre signature ceci:

Une meilleure m�thode de polym�risation

En pour annuler l'attaque, Bob ne sait pas les valeurs cl� priv�e R et P lib�r�, on peut lui demander de signer un message � prouver qu'il sait vraiment la cl� priv�e, si l'attaque Bob a �chou�.

Ceci est efficace, mais il faut une autre s�rie de passage de messages entre les parties, ce qui est peu propice � une bonne exp�rience utilisateur.

Une meilleure approche est une ou plusieurs fonctions suivantes de la m�thode: Il suffit de montrer que, en g�n�ral, le public est un mod�le s�r, sans avoir � confirmer et nouvelles connexes cl�s, parce que nous pouvons demander � Bob de prouver en mode na�f . Il doit r�pondre � l'�quation de Schnorr classique qui peut v�rifier les signatures obtenues par la forme R + eX d'expression. Il permet la signature globale interactive (IAS), signataire besoin de se rencontrer. � Il permet signature globale non interactive (NAS), dans lequel la polym�risation peut �tre effectu�e par quiconque. � Il permet � chaque signataire sign� le m�me message, m. � Il permet � chaque signataire a sign� son propre message, mi.

� Multi-signature

Est un multi-signature (, ) Signature sch�ma de simple agr�gation r�cemment propos�, qui satisfait toutes les propri�t�s de la section pr�c�dente.

� D�mo multi-signature

Nous serons l� pour montrer interactif syst�me multi-signature, chaque signataire a sign� le m�me message, le programme fonctionne comme suit: 1. Comme mentionn� pr�c�demment, chaque signataire a une paire de cl�s publique-priv�e. 2. Chaque signataire part un engagement (sauter cette �tape dans cette d�mo) pour leur nombre al�atoire du public, cette �tape est n�cessaire pour emp�cher certains types de cl�s d'attaques malveillantes. 3. Chaque signataire ont sorti leur nombre al�atoire, la cl� publique de Ri. 4. Calcul tous les m�mes � cl� partag�e publique �, X comme suit:

Notez que, dans le d�crit ci-dessus ordre public cl�, devrait suivre certaines r�gles �tablies, par exemple, une s�quence de cl� lexicographique. 1. Chaque personne calcule �galement le nombre al�atoire partag�, R = Ri. 2. probl�me, e est H (R X || || m). 3. Chaque signataire est tenu de fournir une contribution de signature:

Notez que le seul point de d�part est la signature standard Schnorr contient le facteur ai.

La somme totale de la polym�risation est g�n�ralement une signature, s = si.

v�rification de la certification de la mani�re suivante: sG = R + eX

preuve:

Utilisons la triple signature pour d�montrer:

� S�curit� d�mo

En guise de d�monstration finale, laissez-nous vous montrer comment r�sister � l'�limination des attaques multi-signatures de sch�ma de signature na�ve. L'�limination de l'attaque avec la partie cl� de la m�me id�e, Bob fournit une fausse valeur dans son nombre al�atoire et la cl� publique:

Cela conduit � Alice et Bob ont conjointement men� le calcul suivant:

Bob puis apr�s la construction unilat�rale de signature multi-signature:

Nous supposons maintenant que la cl� priv�e de Bob ks pas besoin d'�tre, mais il ne peut pas utiliser les renseignements connus pour Derive, pour en faire des signatures valides doit �tre v�rifi�e R + eX, par cons�quent:

Avant l'attaque, Bob a obtenu toutes les informations n�cessaires � partir du c�t� droit de l'�quation est des calculs similaires � la signature multiple, Bob doit conna�tre la cl� priv�e d'Alice et d'une cl� priv�e forg� d'une certaine fa�on (ces termes ne sont plus annul�s) pour cr�er une signature unilat�rale, de sorte que son �chec � �liminer les attaques.

� Attaque Replay

Chaque c�r�monie de signature doit choisir un nouveau nombre al�atoire, ce qui est crucial, la meilleure approche consiste � utiliser la s�curit� de chiffrement (pseudo) g�n�rateur de nombres al�atoires (CSPRNG).

Mais m�me si tel est le cas, la c�r�monie signature attaquant peut � retour rapide � au moment de la section de g�n�ration de signature � tromper, nous avons sign� un nouveau message, cette fois-ci, l'attaquant fournit un message diff�rent, e � = H (. .. || m � ) � signer, sans faire aucun doute, chaque section c�t� recalcule leurs signatures:

Un attaquant peut toujours acc�der � la premi�re s�rie de signatures, il suffit de faire la soustraction:

Tous les messages sont en fin de compte le c�t� droit de l'�quation pour obtenir l'attaquant, donc il peut facilement extraire la cl� priv�e de chaque personne, difficile � d�fendre contre de telles attaques. Une fa�on est plus difficile de mettre fin et relancer la c�r�monie de signature, si la c�r�monie multi-signature est interrompue, vous devrez recommencer � partir de la premi�re �tape, ce qui est assez ergonomique, avant l'av�nement de la solution plus puissante, il peut �tre le plus bonne solution!

r�f�rences:

"RSA (Cryptosystem)" .. Https://en.wikipedia.org/wiki/RSA_ (cryptosyst�me) Acc�s Date: 11/10/2018 "Elliptic Curve Digital Signature Algorithm", Wikipedia .. Https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm acc�s Date: 11/10/2018 . "BOLT # 8: le cryptage et la transmission d'authentification, la foudre RFC", Github .https: acc�s //github.com/lightningnetwork/lightning-rfc/blob/master/08-transport.md Date: 11/10/2018 "homme dans l'attaque du milieu", Wikip�dia .https: acc�s //en.wikipedia.org/wiki/Man-in-the-middle_attack Date: � ? Mot de passe s�curis� g�n�rateur de nombres al�atoires Comment �a marche? � 11/10/2018 StackOverflow " . Date d'acc�s Https://stackoverflow.com/questions/2449594/how-does-a-cryptographically-secure-random-number-generator-work: 11/10/2018 � s�curis� nombres pseudo-al�atoires Cryptographie g�n�rateur �, Wikipedia . Https://en.wikipedia.org/wiki/Cryptographically_secure_pseudorandom_number_generator visite: .. 11/10/2018 "signature Schnorr", Wikipedia . Https://en.wikipedia.org/wiki/Schnorr_signature visite: .. 19/09/2018 "signature Schnorr polym�risation cl�", Blockstream . Https://blockstream.com/2018/01/23/musig-key-aggregation-schnorr-signatures.html_ visite: .. 19/09/2018 Gregory Maxwell, Andrew Poelstra, Yannick et Pieter Seurin Wuille "simple signature de Schnorr Bitcoin multi-usage" .https: //eprint.iacr.org/2018/068.pdf visite: .. 19/09/2018 Manu Drijvers, Kasra Edalatnejad, Bryan Ford, Eike Kiltz, perte Julian, Gregory Neven et Igors Stepanovs, � La s�curit� sur deux signatures multiples �, cryptographie archives ePrint, rapport 2018/417 . Https://eprint.iacr.org/2018/417.pdf visite: 21/02/2019.

Collaborateurs:

� CjS77 � SWvHeerden � Hansieodendaal � neonknight64 � anselld

Cet article Source: First Class, est une information sur le projet de cha�ne de bloc national et international professionnel collecte, l'analyse de projets, services d'information d'information de suivi d'avancement des projets des entreprises, les investisseurs nationaux et �trangers pour la cha�ne de bloc, fournissant des projets de diligence raisonnable et de la cha�ne de bloc services d'analyse.

Source d'origine: https: //tlu.tarilabs.com/cryptography/digital_signatures/introduction_schnorr_signatures.html

Route de la soie

Apprenez � conna�tre la Chine

Lire un article signature Bitcoin Schnorr