Schnorr imzasının geçmişi ve bugünü: Bitcoin'in gizliliği neden kaçınılmaz?
Dijital imzalar, ağ egemenliğinin bel kemiğidir. 1976'da açık anahtar kriptografisinin ortaya çıkışı, küresel iletişim aracının - İnternet ve yeni bir para birimi - Bitcoin'in doğuşunun yolunu açtı. Açık anahtar şifrelemesinin temel özellikleri o zamandan beri pek değişmemiş olsa da, şimdi kriptografların araç kutusunda düzinelerce açık kaynaklı dijital imza şeması var.
Satoshi Nakamoto Bitcoin'i yaratmaya başladığında, göz önünde bulundurulması gereken önemli bir tasarım seçeneği, bu açık, izinsiz finansal sistemde hangi imza şemasının kullanılacağıydı. Gereksinimler açıktır; Satoshi Nakamoto'nun yaygın olarak kullanılan, anlaşılması kolay, yeterince güvenli, hafif ve en önemlisi açık kaynaklı bir algoritmaya ihtiyacı vardır. O zamanki tüm alternatifler arasında bu standardı en iyi karşılayan seçimi yaptı: Eliptik Eğri Sayısal İmza Algoritması (ECDSA).
O zamanlar ECDSA, Cryptopunk tarafından çevrimiçi iletişimin gizliliğini artırmak için geliştirilen bir dizi açık kaynaklı şifreleme aracı olan OpenSSL tarafından destekleniyordu. Diğer popüler şemalarla karşılaştırıldığında, ECDSA, daha az hesaplama gereksinimi ve daha kısa anahtar uzunluğu avantajlarına sahiptir; dijital para birimleri için çok kullanışlıdır. Aynı zamanda, RSA (şifreleme algoritması) gibi şemalar için belirli bir güvenlik derecesi de sağlar: örneğin, 256 bitlik bir ECDSA anahtarının güvenliği 3.072 bitlik bir RSA anahtarına eşdeğerdir, ancak RSA anahtar kapasitesinin yalnızca küçük bir miktarıdır. Bölüm.
Pieter Wuille ve arkadaşlarının eğriyi (eliptik eğri gibi) iyileştirmeye yönelik sıkı çalışması, secp256k1, Bitcoin'in ECDSA'sını daha hızlı ve daha verimli hale getirdi. Bununla birlikte, ECDSA'nın hala içsel kusurları vardır ve başka çözümlerle değiştirilmesi gerekir. Yıllarca süren araştırma ve deneylerden sonra, Bitcoin işlemlerinin gizliliğini ve verimliliğini artırmak için tasarlanmış yeni bir imza şeması - Schnorr dijital imza şeması ortaya çıktı.
Bu makalede, Schnorr imzalarının çeşitli dağıtım yöntemlerini ve bunlara karşılık gelen avantajlarını özetleyeceğim. Ardından, MuSig gibi yeni bir çoklu imza standardının Taproot gibi yeni bir Bitcoin teknolojisine ne getirebileceğini açıklayacağım. Son olarak, Schnorr'un blok zinciri analizinde kullanılan buluşsal yöntemleri nasıl kırdığından ve Bitcoin'in ana protokol katmanının güçlü bir ücret pazarı oluşturmasına nasıl yardımcı olduğundan bahsetmek istiyorum.
Schnorr imzalarının yükselişi
Schnorr dijital imza şeması, ECDSA'ya kıyasla birçok avantaja sahip olmasına rağmen, yeni bir şema değildir. 1980'lerde Alman kriptograf ve bilim adamı Claus-Peter Schnorr, Frankfurt Üniversitesi'nde profesör ve araştırmacı iken bu mekanizmayı icat etti. Önerdiği imza şeması, David Chaum, Taher EIgamal, Amos Fiat ve Adi Shamir'in araştırmasının bir kombinasyonudur. Ancak, yayınlanmadan önce Claus-Peter Schnorr, yeni buluşu için birden fazla patent başvurusunda bulundu ve bu da uzun yıllar doğrudan kullanılmasını engelledi.
İlginç bir şekilde, ECDSA'nın öncülü olan DSA, ElGamal ve Schnorr şemalarının bir kombinasyonudur, ikincisi Claus Schnorr'un patentini atlatmak için tasarlanmıştır. Aslında, Schnorr'un ABD patentinin yayınlanmasından sadece iki ay sonra, DSA'nın yaratıcısı olan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) de çözümü için patent başvurusunda bulundu. İşte kısa bir cypherpunk tarihi: Bundan sonra, Claus-Peter Schnorr patentlerini savunmada çok agresif oldu ve Coderpunks (programcı punk) posta listesindeki eleştirilere doğrudan cevap verdi; bu orijinal cypherpunk postasıdır Listenin bir dalı.
2008'de, Schnorr İmza Programının başlamasından yaklaşık 20 yıl sonra Claus-Peter Schnorr'un patenti sona erdi. Tesadüfen, 2008 aynı zamanda en sevdiğimiz cypherpunk Satoshi Nakamoto'nun Bitcoin'i piyasaya sürdüğü yıldı. Schnorr imzaları o sırada serbestçe kullanılsa da ne standartlaştırıldı ne de yaygın olarak kullanıldı Bu, Satoshi Nakamoto'nun ECDSA'ya geçmesinin nedenlerinden biri olabilir. Kriptograflar ve matematikçiler ECDSA'yı tanımlamak için sıklıkla "çok korkutucu" terimini kullansalar da, o zamanlar (ve şimdi) yaygın olarak kullanılıyordu ve Bitcoin için daha güvenli bir seçim sağlıyor.
Schnorr ve Bitcoin
Bugün, on yıl sonra, Schnorr planı daha az gizemli ve ed25519 gibi standartlaştırılmış dağıtımlar bazı altcoinler için ilk tercih haline geldi. Schnorr'un Bitcoin'e uygulanmasıyla ilgili gayri resmi tartışmalar 2014'teki BitcoinTalk forumuna kadar izlenebilir, ancak Pieter Wuille, Schnorr BIP'e uzun yıllar araştırılmış ve denenmiş olan bu teknolojinin resmen ortaya çıkmasını önerene kadar değildi. Bu BIP, Schnorr'un uygulanması için bir şartname ve teknik ayrıntıları açıklamaktadır. ECDSA ile karşılaştırıldığında, aşağıdaki avantajları sağlayacaktır:
-Güvenlik kanıtı: Yeterince rastgele bir hash fonksiyonu (rastgele oracle modeli) ve imzada kullanılan eliptik eğri ayrık logaritma problemi (ECDLP) kullanıldığında, Schnorr imzasının güvenliğini kanıtlamak kolaydır. Ancak ECDSA'da böyle bir kanıt yok.
- Şekillendirilemezlik: ECDSA imzaları doğası gereği şekillendirilebilir, bu da özel anahtara erişemeyen üçüncü tarafların mevcut geçerli imzayı değiştirmesine ve fonları iki kez harcamasına izin verir. BIP62 resmi olarak bu konuyu tartıştı. Buna karşılık, Schnorr imzasının uzatılamaz olduğu kanıtlandı.
Doğrusal özellik: Schnorr imzasının dikkate değer bir özelliği vardır, yani birden fazla taraf ortak anahtarlarının toplamı için geçerli bir imza oluşturmak için işbirliği yapabilir. Bu, çoklu imza ve diğer akıllı sözleşmeler gibi verimliliği ve gizliliği iyileştirmenin temelidir.
Schnorr tarafından sağlanan güvenlik sertifikası ve süneklik dışı garantinin ECDSA'ya göre bariz avantajları vardır. Yalnızca bu iki avantajı temel alarak, yumuşak çatal doğrudur. Bununla birlikte, Schnorr'un doğrusallığı özellikle heyecan verici. Esasen bu, çoklu imzalı bir işlemde birden çok imzalayıcının genel anahtarlarını toplu bir gizli anahtar olarak birleştirmesine olanak tanır; bu özelliğe anahtar toplama adı verilir.
Anahtarları birleştirme yeteneği kulağa önemsiz gelse de, anahtarları bir araya getirmenin avantajları hafife alınmamalıdır. ECDSA'nın kendisi çoklu imzayı desteklemediğinden, bunlar Bitcoin'de Pay-to-ScriptHash (P2SH) adı verilen standartlaştırılmış bir akıllı sözleşme ile konuşlandırılmalıdır (evet, Bitcoin'in akıllı sözleşmeleri de vardır). Bu, kullanıcıların paranın nasıl kullanıldığını belirtmek için ipotek (mülkiyet ipotekleri) adı verilen harcama koşullarını eklemelerine olanak tanır, örneğin "Yalnızca Alice ve Bob bu mesajı imzaladığında bakiye kilidi açılabilir."
P2SH ile ilgili ilk sorun, etkili bir sistem olmayan çoklu imzaya katılan tüm imzalayanların ortak anahtarlarını gerektirmesidir. Ağın n yerine yalnızca bir anahtarı doğrulaması gerektiğinden, bu anahtarların toplanması daha etkili bir doğrulama sağlayacaktır. Bu aynı zamanda blok zincirinde daha az yer kaplamak, daha düşük işlem maliyetleri elde etmek ve bant genişliğini artırmak anlamına gelir.
P2SH ile ilgili ikinci sorun, çok az gizlilik koruması sağlamasıdır. BIP 13'te belirtildiği gibi P2SH işlemleri 3 ile başlayan farklı adresler gerektirir. Bu, blok zinciri gözlemcilerinin yalnızca ağdaki tüm P2SH işlemlerini tanımlamasına değil, aynı zamanda çoklu imzalarda belirli kimlikleri belirlemesine de olanak tanır:
Yukarıdaki örnekte, ağ, (1) çoklu imzalı bir işlemin varlığını (2) kaç imzalayıcı içerdiğini (3) imzalayanın kimliğinden bilebilir. Bu, özellikle 2FA (iki faktörlü kimlik doğrulama) gibi uygulamalar için operasyonel güvenliğe elverişli değildir. Ve mahremiyet için iyi değil.
Öte yandan, anahtar toplama, imzalayanın anonim kalmasına izin verir ve operasyonel güvenliği etkilemek için bakiyenin kilidini açmak için gereken anahtarı açığa çıkarmaz. En önemlisi, anahtar toplama, çoklu imzalı işlemleri normal işlemlerle aynı hale getirebilir:
Schnorr'un Bitcoin'deki ilk sürümü, şu anda ECDSA ile kullanılan OP_CHECKSIG ve OP_CHECKMULTISIG işlem kodlarını ortadan kaldıracak ve bunu OP_CHECKDLS adlı yeni bir kodla değiştirecektir. DLS, çok fazla ayrıntı gerektirmeyen ayrı bir günlük imzasıdır ve daha az işlem kodu ile imzaların daha verimli şekilde doğrulanmasına olanak tanır.
2018'in başlarında Gregory Maxwell, Andrew Poelstra, Yannick Seurin ve Pieter Wuille, yeni bir Schnorr tabanlı çoklu imza planı MuSig'i tartışan bir beyaz kağıt yayınladı. MuSig'in piyasaya sürülmesinden bu yana, bu çoklu imza düzenini kullanılabilir koda dönüştürmek için çok çalışıyorlar.
Anahtar toplama bağlamında, MuSig'in en ilginç yönü, blok zinciri dışında özel akıllı sözleşmeler yaratma olasılığıdır. Esasen, MuSig, çoklu imzalı katılımcıların, Bitcoin'in fikir birliği kurallarını gerektirmeyen birleştirilmiş anahtarlar zincirine engel eklemelerine olanak tanır.
Aralık 2018'de Anthony Towns, Bitcoin geliştirici posta listesinde yayınlanan Schnorr'u etkinleştirmek için "yarı resmi" bir teklif sunan ilk çekirdek geliştiriciydi. Önümüzdeki aylarda yumuşak çatallarla ilgili daha fazla tartışmanın olacağını umuyorum.
Özet: Bitcoin'deki MuSig'in ilk sürümü, (1) çoklu imzaların gizliliğini hemen iyileştirebilen (2) işlem doğrulama verimliliğini artırabilen (3) ECDSA'nın doğasında var olan sorunları ortadan kaldırarak güvenliği artırabilen (4) anahtar toplamayı destekleyecektir. Taproot gibi akıllı sözleşme çözümlerini uygulayın.
Ancak bu yalnızca başlangıç.
Çapraz giriş toplama: Bitcoin gizliliğinde bir sonraki adım
Yukarıda belirtildiği gibi, tek bir girdiye mal olan birden çok imza için, anahtar toplama çok kullanışlı bir özelliktir. Bitcoin işlemlerinin genellikle birden fazla girdisi olduğundan, Schnorr'un gelecekteki yinelemeleri, aynı işlemdeki tüm girdilerin aynı anda bir imza kullanabildiği etkileşimli bir toplu imza (IAS) şeması oluşturmak için de kullanılabilir.
Benzer şekilde, imzalayanlar arasındaki etkileşim tamamen zincir dışı gerçekleşir, ancak şimdi bir imza bir işlemin tüm girdilerine mal olabilir. Her girişin hala kendi genel anahtarı vardır, ancak Schnorr IAS tarafından harcanabilir:
Greg Maxwell, Pieter Wuille, Anthony Towns ve diğerleri, bu özelliği teşvik etmek için Taproot akıllı sözleşme çözümünün iyileştirilmesi üzerinde çalışıyorlar. Bu çözüme Genelleştirilmiş Taproot veya G'root adını verdiler ve bu, gelecekte anahtar toplamadan çapraz giriş toplamaya dönüşümü kolaylaştırabilir.
Anahtar toplama gibi, çapraz girdi toplama, Bitcoin işlemlerinin verimliliğini daha da artırır. Ancak en önemlisi, Bitcoin'in temel katmanında güçlü bir gizlilik koruma mekanizması sağlayabilir.
Çapraz giriş toplamanın en heyecan verici yönlerinden biri, Bitcoin'deki CoinJoin işlemlerini iyileştirebilmesidir. CoinJoin, birden çok göndericiyi ve alıcıyı tek bir işlemde birleştirebilen bir gizlilik koruma teknolojisidir. Amaç, blok zinciri gözlemcilerinin belirli göndericileri ve alıcıları izlemesini zorlaştırmaktır.
Bu teknoloji ilk olarak 2013'te BitcoinTalk'ta Greg Maxwell tarafından önerildi, ardından JoinMarket, SharedCoin, ShufflePuff, DarkWallet ve CoinShuffle dahil olmak üzere birden fazla platform bu hizmeti sağlamaya başladı. Wasabi Cüzdanının Chaumian CoinJoin'i gibi CoinJoin'de sonradan yapılan değişiklikler, orijinal modeli büyük ölçüde iyileştirdi. Ancak yine de bakiyelerini karıştırmak için yeterli sayıda kullanıcıya güvenmesi gerekiyor.
CoinJoin'in bugün karşı karşıya olduğu bir diğer sorun, tüm işlem türünün tanımlanabilirliği (ve olası sansürü). Şu anda, blockchain analizinde en çok kullanılan yöntem, belirli girdilere dayalı olarak iki veya daha fazla adresin aynı varlığa ait olup olmadığını belirlemektir. Örneğin, Alice 1.982723 BTC'yi Bob'a aktarırsa, blok zinciri gözlemcisi bu belirli girdinin ondalık basamaklarını izleyebilir, bir işlem grafiği çizebilir veya UTXO tarihsel ayrıştırma ve sahiplik değişikliklerini izleyebilir.
Bunun olmasını önlemek için CoinJoin'in konuşlandırılması tek tip bir miktar gerektirir, böylece CoinJoin'deki herkes aynı miktarda coin gönderecektir. Örneğin, Wasabi Wallet kullanıcısı 100 katılımcının CoinJoin işleminde 0.1 Bitcoin gönderir. Gönderen ve alıcı arasındaki bağlantıyı belirlemek hala zor olsa da, blockchain gözlemcileri bir CoinJoin işleminin gerçekleşip gerçekleşmediğini belirlemek için tek tip bir miktar kullanabilir ve müşterilerine tüm katılımcıları incelemelerini tavsiye edebilir.
Çapraz giriş toplama, protokol katmanında ek gizleme mekanizmaları sunduğu için bu sorunu çözmeye yardımcı olabilir. Temelde, çapraz giriş toplama, sıradan bir tek imzalı işlem gibi görünen n imzalayıcısı olan Schnorr tabanlı bir CoinJoin işlemi oluşturabilir. Bu aynı zamanda CoinJoin'in popüler cüzdanlarda uygulanmasını kolaylaştırır, bu da ağın genel anonimlik kümesini veya bu teknolojiyi kullanan kullanıcı sayısını güçlendirebilir.
Tek tip miktar sorunu, CoinJoin ve Satoshi Nakamotonun gizlilik konusundaki ilk çalışmalarını (bkz. P2IP) bir araya getiren Pay-to-EndPoint (P2EP) gibi diğer teknolojilerle daha da çözülebilir. CoinJoin'de, gönderen ve alıcı Her iki tarafın da işlem girdisi sağlaması gerekir.
P2EP geriye dönük olarak uyumludur ve Schnorr ile birlikte kullanıldığında Bitcoin'in temel katmanında yeterli gizlilik sağlayabilir.
bir taş iki kuş
Bitcoin'in geniş çaplı popülaritesinin, gizlilik korumasının gücüne bağlı olduğuna inanmak için nedenimiz var. Aynı zamanda, Lightning Network'ün popülaritesi ve ödemeleri taşıma potansiyeli, Bitcoin çıkarıldıktan sonra zincir üzerinde uzlaşma talebine belirsizlik getirdi. Bu nedenle, mahremiyet ihtiyacı ve Bitcoin'in blok ödülleri olmadan uzun vadeli sürdürülebilirliği, Bitcoin için belki de en endişe verici iki konudur. Neyse ki, Schnorr tarafından sağlanan gizlilik mekanizması her iki sorunu da aynı anda çözebilir.
Halka İmzalar, Gizli İşlemler, Bulletproofs, zkSNARKs, STARKs ve MimbleWimble için farklı dağıtım senaryoları da dahil olmak üzere karmaşık gizlilik teknolojilerini araştırmak için çok zaman harcadım. Bazı teknolojiler Bitcoin'in temel katmanında konuşlandırılacak kadar olgunlaşsa da, yine de özel riskler ve değiş tokuşlar var. Bildiğiniz gibi Bitcoin hard forkları sevmez, bu yüzden tüm bu teknolojilerin Bitcoin protokolü üzerinde konuşlandırıldığı bir senaryo hayal etmek zor.
Homomorfik şifreleme veya etkileşimli olmayan sıfır bilgi kanıtlama sistemlerinin kullanımı için, insanlar Bitcoin'in parasal tabanının doğrulanabilirliğini engelleyeceğinden endişe ediyor gibi görünüyor. Diğer bir deyişle, işlem miktarı şifrelenmişse, Bitcoin arz sınırının 21 milyonda olup olmadığını doğrulamak zordur. Benzer şekilde, işlem tutarı gizlendiğinde, enflasyon boşlukları ve çift harcama faaliyetlerinin belirlenmesi daha zor hale gelir. Bu önemli bir değiş tokuş ve Bitcoin'in temel katmanında yüksek derecede gizlilik elde etmek, toplulukta bir bölünmeye yol açabilir.
Peki ya Bitcoin temel katmanı için yeterli gizlilik kazanmak için bu teknolojileri kullanmanıza gerek yoksa?
Schnorr kesinlikle yardımcı olabilir. Çoğu Bitcoin işlemi Schnorr'un çapraz giriş toplama işlevini ve P2EP'i kullanıyorsa, zamanla gizleme mekanizmasını sadece blok zincirine bakarak etkilemek neredeyse imkansızdır. Bitcoin arzı hala doğrulanabilir olacak ve işlemleri ayrıca daha güçlü gizlilik koruması sağlayacak.
Gizliliğe ihtiyaç duyulursa, Bitcoin kullanıcılarının ve şirketlerinin, cüzdanlarının arka planda sürekli olarak bakiyelerini karıştırmasına izin vererek Bitcoin işlemlerine pasif olarak katılmak isteyebileceklerini varsaymak için nedenlerimiz var. Bu durumda, mahremiyet ihtiyacı doğrudan zincirdeki işlem ücretlerinde artışa neden olacaktır. Ayrılmış Tanık (SegWit) gibi, kullanıcılar muhtemelen teknolojiyi benimseyen ilk gruptur, ancak şirketlerin de alakalı kalabilmek için bir noktada katılmaları gerekir.
Zamanla bu teknolojiler blockchain analizini işe yaramaz hale getirecek ve tıpkı fiziksel nakit gibi Bitcoin şirketlerinin de AML / KYC kurallarına uymaya devam etmesine gerek kalmayacak. Banka hesabına nakit para yatırdığınızda, banka faturada ilaç işlem kaydı olup olmadığını takip etmeyecek ve bulsanız bile bankaya yatırmanızı engellemeyecektir. Blockchain analizinin yaygınlaşması ve Schnorr'un teknik eksikliklerinin olmaması dışında Bitcoin'in buna uyması için hiçbir neden yok.
AML / KYC'nin belirli adresler ve UTXO'lar üzerinde yürütülmesi alakasız hale geldiğinde ve odak dengeler yerine bireylere kaydırıldığında, Bitcoin işleri tamamen gizliliğe dayalı olacaktır. Aslında, bu gerçekleştiğinde, gizlilik ve değiştirilebilirliğin gelecekteki Bitcoin kurumsal değer teklifinin ayrılmaz bir parçası olacağını düşünüyorum.
Sonunda, Bitcoin'in temel katmanı daha güçlü bir gizlilik mekanizması benimsedikten sonra kullanıcılar daha fazla güç kazanacak, aynı zamanda Bitcoin çıkarıldıktan sonra aktif bir ücret piyasası oluşturmaya yardımcı olabilir. Tahminimce her şey Schnorr'un aktivasyonu ile başladı ve görünen o ki her proje onunla ilgileniyor.
