MuSig 是否具有與 2-2 多重簽名相同的安全性?
免責聲明:這個問題對我試圖更好地教育自己密碼學原理和簽名方案具有重要的理論意義。我並不打算暗示在實踐中 schnorr 簽名不如目前的 2-2 多重簽名交易/腳本安全。
我目前正在閱讀 musig 論文和關於無腳本腳本的內容。據我了解,在這兩種情況下,一個重要的共同想法似乎是能夠從多個私鑰產生一個簽名。
讓我們假設我可以在合理的時間內從公鑰中暴力破解私鑰,比如說 1 個月(例如,因為我有一個用於 ecdsa 中的離散日誌的有效算法(我沒有)。還假設我可以快速反轉比特幣地址的雜湊函式。或者假設我們只知道公鑰,因為我是託管服務中的第三方)
通過將聚合私鑰破解為聚合公鑰,我是否能夠在 1 個月內(在上述假設下)破解 MuSig 地址,而在普通 2-2 多重簽名錢包的設置中,我需要 2 個月才能完成能夠提供兩個有效的簽名,因為我必須相互獨立地暴力破解兩個私鑰?
是或否,取決於您的定義。
您是對的,偽造 2-of-2 多重簽名的預期時間是單個簽名的兩倍,因為您顯然需要使用您的偽造算法兩次。
然而,在實踐中,當描述安全級別時,這些常數因素被忽略了。例如,通常 ed25519 和 secp256k1 被放置在同一組 128 位安全性中,儘管 secp256k1 平均需要 4 倍以上的 Pollard rho 算法迭代才能破解 DLP。另一方面,由於 secp256k1 的高效可計算內同態,該算法的單個迭代比預期的要快 1.7 倍。
此外,它們指定的單位是模糊的。在談到 ECDLP 時,通常根據橢圓曲線乘法的次數來指定安全級別。但是 EC 乘法並不是一件小事,它在曲線上的性能也不相同。但是,當以 2^128 的順序談論事物時,這里或那裡的因子 10 只會將指數更改 3.3。當您考慮可以為某些任務建構的專用硬體時,它會變得更加模糊,甚至難以比較。
關鍵是我們不在乎攻擊者需要多長時間。我們只關心它們太長以至於沒有攻擊者可以想像使用它們來構成真正的威脅。
如果偽造兩個簽名需要很長時間,那麼破壞一個簽名也很可能需要很長時間。