公私密钥对是加密货币安全性的基石，从安全的网页浏览到加密货币金融业务。公私密钥对是不对称的，这意味着给定一串数字（私钥），可以导出另一串（公钥）。但是，反之就不可行。正是这种不对称性允许人们公开分享公钥，公开也能确信没有人可以推导出私钥（私钥需要秘密且安全地保管）。2 A1 X- h# c% z$ k* ?; X
非对称密钥对主要用于两种应用：
4 Q. M4 P, j& o4 L$ p' n. Z· 在身份验证中，你需要证明自己掌握私钥；# K5 Q6 N" f* w5 }
· 在加密过程中，信息可以编码，只有拥有私钥的人才能解密和阅读消息。
/ t2 u2 S% G6 L4 C* E在本篇数字签名的介绍中，我们将讨论一类特定的钥匙：从椭圆曲线派生的钥匙，还有其他非对称方案，其中最重要的是基于素数乘积的方案，包括RSA密钥[1]。
) G+ q4 S+ N6 y. V5 P我们假设你了解椭圆曲线加密（Elliptic Curve Cryptography）的基础知识，如果不了解的话没关系可以到原文的前一章节了解。" `" [% W3 _9 p4 N# _* r0 t: O
·进入正题
% ^6 Q' o" V7 Q' y# L+ X这是对数字签名的交互式介绍，使用Rust代码来演示本文提及的一些想法，因此你可以看到它们是如何运作的，本文介绍的代码使用的是libsecp256k-rs子库。
1 l( |) a9 I* ~, w; U( H3 D这个名字有点拗口，但secp256k1是椭圆曲线的名称，它用于保护很多加密货币交易，包括比特币。4 S5 ?5 G0 c* T( R) I$ t* N
这个特殊的库提供了一些很不错的功能，我们重写了加法和乘法运算符，以便Rust代码看起来更像数学公式，这使我们更容易试验想要实施的想法。
) k; k1 c( G4 d2 _5 p友情提示！不要在编写代码过程中使用此库，它没有经过验证，如果需要的话可以用这个子库替代。: i; Z; `5 {- u1 S: n5 {
·Schnorr签名的基础知识
7 w, o. a7 q6 C, e! [·公钥和私钥$ y( O/ |. y1 ~. B$ y1 K
我们要做的第一件事是从椭圆曲线创建公钥和私钥。
7 n; o9 C& G: m. X' q! h3 h3 e. ~9 l在secp256k1中，私钥只是0到2256之间的标量整数值，数量之多相当于整个宇宙的原子数，所以有无穷无尽的可能性。# V  i4 L% R! c. f
secp256k1曲线上有一个特殊点，名为G，它充当“原点”。公钥是通过将曲线上的G加到自身，乘以“Ka”，这是标量乘法的定义，写成：# y) G$ z( J# o# F5 |7 u, g8 M7 j0 N
Pa=KaG
: X  H* C  \# ^& ?! \; ~. D* ?举个例子，当以未压缩格式编写时，1的公钥是0479BE667 ... C47D08FFB10D4B8，以下代码演示了这一点：& @. j. Z* K$ e! X2 K

4 T9 O- Q& S3 w* A9 v·创建签名
% \5 G0 t* s8 O# j% U采用方式7 p% i9 h5 @" s! M
当为标量使用正确选择的随机值时，反转ECC数学乘法（即除法）几乎是不可行的（[5]，[6]）。这个属性称为离散日志问题（Discrete Log Problem），作为许多加密货币和数字签名背后的原理使用。有效的数字签名是证明签名提供人知悉与消息相关联的公钥/私钥的证据，或者已解决离散日志问题的证据。9 p+ G  b$ D2 A+ i$ [6 Y' @5 D/ K
创建签名的方法始终遵循以下方法： 1. 生成秘密一次性数字r（称为随机数）。 2. 从r创建公钥R，其中(R=rG)。 3. 将以下内容发送给你的收件人Bob——你的消息(m),R和你的公钥(P=kG)。/ z; n- y! R- a/ F! L& {% Y& b# C
通过哈希上述所有公共信息的组合来创建实际签名以创建问题，e：0 K6 H) F4 }/ p+ z2 M
e=H(R||P||m)
, {; _% u( Z; m( F. |选择哈希函数，使e与私钥具有相同的范围，在我们的例子中，我们想要返回的信息是256位数字，所以SHA256是个不错的选择。: A! p' A0 t' [% {- }# d" J
现在使用你的私人信息构建签名：s=r+ke
6 Q* H  `" c( F( wBob现在也可以计算e，因为他已经知道m、R、P，但是他不知道你的私钥或随机数。  L6 ]# b' V% W$ h  A6 Q
注意：创建这样的签名被称为Schnorr签名，我们稍后会继续讨论，还有其他创建s的方法，比如在比特币中使用的ECDSA [2]。; K* V7 j9 M* ^2 M! K
看这个例子：sG=(r+ke)G* E6 |# Z3 S( y. t9 D( U7 g
将右侧相乘：sG=rG+(kG)e
5 M+ `, E/ k9 s替代R=rG和P=kG，可以得到：sG=R+Pe
9 J3 n0 E' C, z! Y) [' i% I所以Bob必须计算对应于签名(s.G)的公钥，并检查它是否与等式(R+Pe)右侧相等，这些消息对于Bob来说都已知。
5 L: v. s# I3 B; v* }5 Y0 n" x2 ]" D( o
/ r8 o8 M& h" `  u3 V; B3 S·随机数Nonce的必要性，为什么标准签名中需要随机数？
  [  j" i* T$ V* Y& l假设我们仅仅只是签署了一条消息m：
, i2 Z, [0 V6 ~! p, _: Te=H(P||m)
6 c' h( V* x" D0 X6 r8 ]: K签名为s=ek
0 V: x" F4 A* A* c& Q# s) W. i, ]我们可以照常检验签名是否有效？
  f3 E  P$ t5 g4 B9 [目前为止都正常，但是现在任何人都可以阅读你的私钥，因为s是标量，所以k=s/e并不难，至于随机数，必须求解k=(s-r)/e，但r是未知的，所以只要r是随机选择的，这就不是一个可行的计算。
, C# u/ N$ C5 H1 M7 O4 [1 m& f我们可以证明，没有随机数确实是非常不安全的：
( s' R/ U( x& f0 B9 \* Z& P6 D. ?& ?8 z% J7 `; ]0 i# O
·ECDH是什么？" h. g( d& s' E5 ~7 V
想要实现安全通信的各方要如何生成用于加密消息的共享密钥？一种方法称为椭圆曲线Diffie-Hellmam交换（Elliptic Curve Diffie-Hellmam exchange），这是一种简单的方法。
6 `- A' R6 a5 Q1 m9 yECDH用于许多地方，包括通道协商期间的闪电网络[3]。& J! h9 I1 f5 t2 T5 p
这是它的工作原理，Alice和Bob想要安全地沟通，一种简单的方法是使用彼此的公钥并进行计算：% \: R4 u; I7 U

# V) M- y( d% i, D4 `9 O% i出于安全原因，通常会为每个会话随机选择私钥（这涉及到“临时密钥”这一术语的使用），但是我们遇到的问题是不确定对方是否与他们声称的身份相符（可能是中间人攻击[4]）。
& I2 `" E5 K! f) k# g4 \7 {3 m可以采用其他身份验证步骤来解决此问题，这里不再详述。
- h4 S% f$ H' i1 u
( P$ S- l  v# ~·Schnorr签名, u! ]9 a# R2 {5 m$ C4 V! X" f
如果你经常关注加密货币新闻，就会知道比特币Schnorr签名是多热门的话题。$ G. k6 s) J  C) c- o. w
但实际上，这已经算是旧闻了，Schnorr签名被当作是随机预言模型中最简单的安全数字签名方案，它很有效并且生成短签名，获得美国专利4995082，该专利于2008年2月到期[7]。
9 X! x3 R8 q; k( ~
7 d: |2 Z5 u, O- `( H8 E& J: m. P·为什么Schnorr签名能引起关注？4 d- c3 I' e) k3 d: c
Schnorr签名如此迷人而危险的原因在于简洁性。 Schnorr签名是线性的，因此具有一些优良属性。
# t- z( o1 e5 H: k: p5 n) |椭圆曲线具有乘法性质，因此，如果有两个对应点X，Y和相应的标量x，y，则：
6 @1 \0 y  q" B! V# d& X(x+y)G=xG+yG=X+Y5 _, O! j9 Q$ U! k* l% Z2 ]
Schnorr签名的形式为s=r+ek，这种结构也是线性的，因此它非常适合椭圆曲线数学的线性。9 n/ C2 N8 o7 t/ ?% n# w
在上一节中已经介绍了线性，当我们验证签名时，Schnorr签名的线性使其非常具有吸引力，其中包括： 1. 签名聚合； 2. 原子交换； 3.“无脚本”脚本
* [& u6 f& @0 O& O7 p% o+ e9 c
( _7 m& m) l* X4 H; K, X; e/ z" }·Na?ve签名聚合5 L" O- U- D+ D& ~% t
让我们看看，Schnorr签名的线性属性如何用于构造多重签名。
7 x( E  |$ X0 ^4 _Alice和Bob想要签署一些东西（比如Tari交易）而不必相互信任，也就是说，他们需要证明其各自密钥的所有权，并且只有在Alice和Bob都提供其签名部分时，聚合签名才有效。  v1 u* Z# u' Z# l; c* Q, }6 E
假设私钥表示为ki，公钥表示为Pi。 如果我们要求Alice和Bob各自提供一个随机数，可以尝试：
2 n  P/ @2 Q" S/ b2 k  `& M所以Alice和Bob可以自己提供R，任何人都可以从R的总和公钥中构建两个两个签名，这的确可行：
6 C7 `( b3 {& M& Z9 C7 b1 T9 ]+ @) @5 }4 {' S+ {/ Z* I  L5 a
但是这个框架并不安全！
. A+ |% X# `6 K& v+ S$ p
) J% o( h. p# N1 }9 x1 u4 i3 T! g·密钥消除攻击
- h7 n- D+ \) l1 H; s. S4 v依旧是上述场景，但这一次，在Alice公布以后，Bob提前知道了Alice的公钥和随机数。( E$ v( j% t$ I3 ?8 R* G
现在Bob说谎并说他的公钥是P'b=Pb-Pa，公共随机数是R'b=Rb-Ra。, l: C" t6 J  m, N
Bob并不知道伪造值的私钥，但是也没多大影响。" g' J8 o# f7 i) H
根据聚合方案，每个人都假设Sagg=Ra+R'b+e(Pa+P'b)。
! }2 Z" s; c$ Y3 z* e6 i7 p# l但Bob可以自己创建这个签名：
' l- ?! i$ @" V- R* e. [( F9 Q& l
* v) T& I/ u3 v$ _, \% F7 j
·更好的聚合方法8 V6 j$ ^0 j" X' s
在密钥取消攻击中，Bob不知道发布的R和P值的私钥，我们可以要求他签署一则消息证明他确实知道私钥，让Bob攻击失败。6 ?7 n3 V+ G7 ~1 r' Y
这是有效的，但它需要在各方之间进行另一轮消息传递，这不利于良好的用户体验。3 d- ^" P/ ^0 P$ w: Z9 f( m( F7 m
更好的方法是包含以下一个或多个功能的方法： · 它只需证明在普通的公钥模型中是安全的，而不必证实和密钥有关消息，因为我们可以要求Bob在na?ve模式中证明。 · 它应该满足常规的Schnorr方程，即可以用R+eX形式的表达式验证得到的签名。 · 它允许交互式聚合签名（IAS），签名者需要配合。 · 它允许非交互式聚合签名（NAS），其中聚合可以由任何人完成。 · 它允许每个签名者签署相同的消息，m。 · 它允许每个签名者签署自己的消息，mi。& F( k( {# Q1 z  `3 S1 J
% c: t1 B4 {9 J3 }
·多重签名
3 }( Q" ^2 L( m4 q7 ^. M: v0 R( [+ F( i多重签名是最近提出的（[8]，[9]）简单签名聚合方案，它满足前一节中的所有属性。; ]* x* a) @3 J6 ]0 e3 p
·多重签名演示
7 k8 E1 e' R$ s9 d" O我们将在这里演示交互式多重签名方案，每个签名者签署相同的消息，该计划的工作原理如下： 1. 如前所述，每个签名者都有一个公私密钥对。 2. 每个签名者都对他们的公共随机数共享一个承诺（在本演示中跳过此步骤），此步骤对防止某些类型的恶意密钥攻击是必要的[10]。 3. 每个签名者都发布他们的随机数，Ri的公钥。 4. 每个人都计算相同的“共享公钥”，X如下：
9 u' s( b/ E, n, h& G+ \请注意，在上述公钥排序中，应遵循某些既定规则，例如按字典顺序序列化密钥。 1. 每个人也计算共享的随机数，R=∑Ri。 2. 问题，e是H(R||X||m)。 3. 每位签名者都需要对签名提供贡献：
. B$ D5 ^1 l+ U- _- B0 K注意，标准Schnorr签名的唯一出发点是包含因子ai。
; f! S2 t% G( l7 l* L聚合总签名一般是总和，s=∑si。. I  B4 c' q* @9 |
通过以下方式确认验证：sG=R+eX" L2 n! s2 e2 @( D7 a' t" V
证明：
/ D) f' ^# ]; u: w# @: A让我们用三重签名来演示：
  q2 e- L- r; X6 q7 n
! P% o) }& U- ^1 Y0 T+ R  e8 S8 @3 r$ G2 J" ?( E1 s, W* O9 L$ x* d
·安全演示
7 O5 y4 ^* \* r* M作为最后的演示，让我们展示一下多重签名如何从na?ve签名方案中抵御消除攻击。与密钥消除攻击部分想法相同，Bob在他的随机数和公钥中提供了假值：! Z# g2 a# S' @0 f3 k% V
这导致Alice和Bob共同进行了以下计算：
% V1 r( j) |4 cBob随后在多重签名后构建单边签名：
+ ~: y. I+ T3 I; u我们现在假设ks不需要成为Bob的私钥，但是他可以使用他已知的信息来推导，要使其成为有效签名，必须验证R+eX，因此：/ V) y# ?9 V6 v8 S* c
在之前的攻击中，Bob从类似计算中获得了所需的所有算式右侧信息，在多重签名中，Bob必须以某种方式知道Alice的私钥和伪造的私钥（这些条款不再取消）才能创建单边签名，因此他的消除攻击失败。
* C0 I' E0 |' X' p5 x% r
' {' C) ]% t7 g% G. c, \. G·重放攻击
. R! X1 l! Z7 H; L& p3 H3 C每个签名仪式都要选择一个新的随机数，这一点至关重要，最好的方法是使用加密安全(伪)随机数生成器（CSPRNG）。1 @) x4 \2 B: p. A
但即使是这种情况，攻击者可以通过将签名仪式“倒带”到产生部分签名的时间点来诱骗我们签署新消息，此时，攻击者提供了一个不同的消息，e'=H(...||m')来进行签名，而不会引起任何怀疑，每一方会再次计算他们的部分签名：- k* p+ M2 z) t8 y) ^
攻击者仍然可以访问第一组签名，只需要简单地做减法：  Z& o9 y* \1 p# T' a7 X
最终等式右侧的所有消息都被攻击者获取，因此他可以轻易地提取每个人的私钥，这种攻击很难防御。一种方法是增加终止和重启签名仪式的难度，如果多重签名仪式被中断，那么需要再次从第一步开始，这相当符合人体工程学，在出现更强大的解决方案之前，它可能是目前最好的解决方案！