深入理解The Lightning Network Book中的简化Schnorr签名示例

引言

在区块链技术领域，Schnorr签名因其简洁性和安全性而备受关注。本文将通过The Lightning Network Book中的简化示例，深入浅出地讲解Schnorr签名的工作原理及其在多重签名(MuSig)中的应用。

Schnorr签名基础

Schnorr签名是一种基于离散对数问题的数字签名方案，相比ECDSA签名具有以下优势：

• 线性特性，支持签名聚合
• 更简单的安全性证明
• 更小的签名尺寸

简化示例设置

示例中使用了一个极小的循环群(阶为23)来演示Schnorr签名，这使得我们可以手动验证所有计算：

p = 23  # 群的阶
points = {i: chr(97+i) for i in range(p)}  # 将数字映射为字母表示

密钥对生成

在Schnorr签名中，每个参与者都有自己的私钥和公钥：

x_a = 17  # 用户A的私钥
A = points[x_a]  # 用户A的公钥
x_b = 15  # 用户B的私钥
B = points[x_b]  # 用户B的公钥

签名过程

Schnorr签名的生成包含以下步骤：

1. 选择一个随机数r(称为nonce)
2. 计算R = r·G (G是生成元)
3. 计算e = H(R||m) (消息的哈希)
4. 计算s = r + e·x
5. 签名为(R, s)

示例中的实现：

def sign(m, priv):
    r = random.randint(0, 22)  # 随机nonce
    return (r + H(m)*priv) % p, points[r]  # 返回(s, R)

验证过程

验证签名时，检查以下等式是否成立：

s·G = R + e·P

其中P是公钥，e是消息哈希。

示例中的验证函数：

def verify(s, R, m, pub):
    lhs = points[s]  # s·G
    rhs = add_points(R, scalar_mult_point(H(m), pub))  # R + e·P
    return lhs == rhs

多重签名(MuSig)

Schnorr签名的线性特性使其非常适合多重签名场景。多个参与者可以合作生成一个聚合签名，验证时只需验证这个聚合签名。

聚合过程

1. 聚合公钥：P = P₁ + P₂
2. 聚合R值：R = R₁ + R₂
3. 聚合签名：s = s₁ + s₂

示例代码：

AB = add_points(A,B)  # 聚合公钥
R_ab = add_points(R_a, R_b)  # 聚合R值
s_ab = (s_a + s_b) % p  # 聚合签名

安全性考虑

虽然示例使用了极小的群来简化理解，但实际应用中需要注意：

1. 必须使用足够大的群(如256位)来保证安全性
2. nonce必须随机且不可预测
3. 实际实现应使用标准化的椭圆曲线(如secp256k1)

结语

通过这个简化示例，我们深入理解了Schnorr签名的工作原理及其在多重签名中的应用。这种签名方案因其简洁性和可聚合性，在闪电网络等二层解决方案中发挥着重要作用。

理解这些基础概念对于深入研究区块链技术，特别是闪电网络等二层扩容方案至关重要。希望本文能帮助读者建立对Schnorr签名的直观理解。