為什麼 MuSig2 中的兩個 nonce 點中只有一個具有指數 b？

在 MuSig2R''_i中，它被添加到自身 b 次（在乘法表示法中，它有 exponent b）但R'_i不是（它沒有 exponent b）。

為什麼只有一個隨機數點有指數b，而不是兩者都有？我期待：

R_i = (R'_i.R''_i)^b

我假設它可以節省取冪並以某種方式提供相同的安全性（因為同時對和b進行雜湊處理）？R'_i``R''_i

（R_i是生成點 G 添加到自身的r_i時間，其中r_i是 nonce。或者R_i = g^r_i以乘法表示。）

以下內容摘自 Tim Ruffing 在Real World Crypto 2021上的幻燈片：

MuSig2 的一個輕微變體，名為 MuSig2*，將其中一個係數設置為 1，以使密鑰聚合函式稍微更有效。這在 MuSig2 的規範草案中有所描述： ↩

MuSig2* 優化：規範使用允許在鍵聚合中保存點乘的優化。採用這種優化的 MuSig2 方案稱為 MuSig2*，並在 MuSig2 論文的附錄中證明是安全的。優化是給密鑰聚合算法的公鑰列表中的第二個不同的密鑰（以及與此密鑰相同的任何密鑰）獲得恆定的密鑰聚合係數 1。

在撰寫有關 MuSig2 的部落格文章時，我自己對此感到困惑。

這個技巧類似於多項式的正規化，這是通過將每一項除以第一項的係數來完成的。

引用自：https://bitcoin.stackexchange.com/questions/114564