哪種 MuSig 方案是最優的?經典 MuSig 還是這個新的 MuSig-DN 方案?
現在我們有兩個相互競爭的 MuSig 方案,哪個更好?經典MuSig還是MuSig-DN?哪些案例可能會選擇經典的 MuSig 而不是 MuSig-DN,反之亦然?
首先,值得強調的是,經典的 MuSig(此處稱為“MuSig”)和 MuSig-DN 都是相對較新的加密方案,並且 MuSig-DN 的論文在撰寫本文時(2020 年 9 月)剛剛出版目前沒有實施。因此,使用這兩種方法需要您自擔風險,但對於 MuSig-DN 更是如此。MuSig 論文需要修改,MuSig-DN 論文當然有可能需要經過修改。
多重簽名方案有很多權衡取捨,很難精確並相互權衡。我將概述 Pieter Wuille 在 IRC 上提到的一些關鍵權衡(任何錯誤都是我自己的)。
目前,MuSig-DN 的計算成本很高,在現代桌面 CPU 上簽名時間約為 1 秒。這可能會減少,但這可能會影響安全證明的存在。在計算成本上,MuSig 簽名顯然更可取。(驗證成本相同。)
首先,MuSig-DN 的動機是它有兩輪**通信,**而不是 MuSig 的三輪。在通信回合中,MuSig-DN 更可取。
MuSig-DN 提供無狀態簽名,這意味著簽名者不需要記住他/她已經參與的輪次或記住從一輪到下一輪的隨機數。相比之下,MuSig 需要在簽名時隨機生成隨機數,並且必須安全地儲存先前的狀態。在無狀態簽名和隨機性要求上,MuSig-DN 更可取。
MuSig 和 MuSig-DN在類似假設下都有安全證明。
從上面的多個維度可以看出,MuSig-DN 優於 MuSig。然而,MuSig-DN 的計算成本可以說超過了實際案例的所有好處,人們預計經典 MuSig 將普遍用於目前的 MuSig-DN 迭代。
順便說一句,正在對經典 MuSig 進行嚴格改進,我們稱之為“MuSig2”,它有兩個通信輪次,並且允許私有嵌套。您可以有多個級別的 MuSig 聚合,並且不告訴您的兄弟參與者您有子參與者。
[2020 年 10 月編輯:MuSig2 的論文現已發表。]
有關 MuSig-DN 的更多資訊,請參閱Jonas Nick 和 Tim Ruffing的這篇博文。
Pieter Wuille 在這裡討論了 MuSig-DN 的優缺點。
感謝 Pieter Wuille 回答我關於 IRC 的問題。任何錯誤都是我自己的。