Ed25519
Ed25519 是否支持加密門檻值簽名?
這是一個載入的問題,所以我將列出關注點,並非所有這些都需要滿足。
Ed25519 是否存在門檻值簽名方案…
- 不需要受信任的經銷商來設置密鑰共享(必需)
- 不需要互動來設置密鑰份額(可選:理想情況下使用者可以獨立生成密鑰對,但如果所有 n 個使用者都需要互動來計算密鑰份額,這是可以接受的)
- 支持任意 m-of-n 組合,而不是對 m 有限制(必需)
- 不需要互動來從簽名共享中重建門檻值簽名 (可選:同 2,首選非互動方案)
一些消息來源聲稱這是可能的(例如https://ripple.com/curves-with-a-twist/),但我還沒有看到實現。
Schnorr 簽名方案的門檻值(穩健)m-of-n 變體已知:
Douglas R. Stinson,Reto Strobl - 可證明安全的分佈式 Schnorr 簽名和隱式證書的 (t, n) 門檻值方案
有關預期用途的主要提示來自提到的 Ripple 頁面。第 4 點和第 3 點是明確的:以門檻值 m-of-n 的方式生成簽名。這可以通過 Schnorr 簽名的 Shamir 方案(插值)來解決,即從 k 和 x 的份額(維基百科符號)重建響應 s。在選擇 x 和 k 以滿足第 1 點和第 2 點時,對於 Schnorr 方案,沒有任何可信賴的經銷商是直截了當的。
Schnorr 方案承認有效的可驗證門檻值變體,無需任何受信任的經銷商(例如在簽名密鑰生成時)。高效意味著組合部分簽名只需要對已知的秘密線性組合(即簽名密鑰和 k)進行一次插值,並對隨機組元素 gk 進行另一個插值。可驗證意味著將檢測到任何錯誤(如行為不端的參與者)。門檻值意味著任何 m 個誠實的參與者都會產生一個簽名。最後,“門檻值”簽名像往常一樣是可驗證的,相同的等式。
讓我參考“高速高安全性簽名”,“簽名系統”部分,“EdDSA 密鑰和簽名”小節。驗證方程類似於 Schnorr 方案,乘數為 8;簽名是響應 S,初始隨機 r,隨機群元素 R,實際秘密 a。它非常適合。好的,我們在使用原始 Schnorr 方案計算響應時有“-”號。