Підпис адаптера та його застосування в крос-ланцюгових атомарних обмінах

З розвитком рішень для розширення Bitcoin Layer2, частота міжмережевих передач активів між Bitcoin та мережами Layer2 значно зросла. Ця тенденція сприяє більш широкому прийняттю та інтеграції Bitcoin у різних застосуваннях. Взаємодія між Bitcoin та мережами Layer2 стає ключовим компонентом екосистеми криптовалют, сприяючи інноваціям та надаючи користувачам більш різноманітні та потужні фінансові інструменти.

Наразі існує три основні варіанти крос-ланцюгових транзакцій між біткоїном та Layer2: централізовані крос-ланцюгові транзакції, міст BitVM та крос-ланцюгові атомарні обміни. Ці три технології мають свої переваги та недоліки в аспектах довірчих припущень, безпеки, зручності, обсягу транзакцій тощо, що дозволяє задовольнити різні потреби застосувань.

Крос-ланцюг атомарний обмін — це технологія, яка є децентралізованою, не підлягає цензурі і має хорошу захист конфіденційності, здатна здійснювати високочастотні крос-ланцюгові транзакції та широко використовується на децентралізованих біржах. Наразі крос-ланцюговий атомарний обмін в основному включає два рішення: на основі хеш-тайм-лок (HTLC) та на основі адаптерного підпису. У порівнянні з HTLC, атомарний обмін на основі адаптерного підпису має переваги, такі як легкість, нижчі витрати та краща конфіденційність.

Ця стаття представляє принципи підпису адаптера Schnorr/ECDSA та крос-ланцюгового атомарного обміну, аналізує проблеми безпеки випадкових чисел, які існують у підписах адаптера, а також проблеми системної та алгоритмічної гетерогенності в крос-ланцюгових сценаріях, і надає відповідні рішення. Нарешті, обговорюється застосування підпису адаптера в неінтерактивному зберіганні цифрових активів.

Підпис адаптера та крос-ланцюгова атомна обміна

Підпис адаптера Schnorr та атомний обмін

Основний процес підписання адаптера Schnorr виглядає так:

1. Аліса генерує випадкове число r, обчислює R = r·G
2. Alice обчислює адаптивний підпис: s^ = r + cx
3. Bob верифікує підпис адаптера: s^·G = R + cY
4. Еліс розкриває Бобу s = s^ + y
5. Боб верифікує повний підпис: s·G = R + cY + T

Тоді T = y·G є точкою налаштування.

Процес крос-ланцюгового атомного обміну на основі підписів адаптерів Schnorr:

1. Аліса генерує транзакцію txA, передаючи біткойни Бобу
2. Боб генерує транзакцію txB, передаючи активи Layer2 Алісі
3. Аліса генерує підпис адаптера s^A для txA
4. Боб генерує підпис адаптера s^B для txB
5. Аліса підтверджує s^B, Боб підтверджує s^A
6. Bob транслює txB
7. Аліса отримує sB, отже отримує активи Layer2
8. Аліса розкриває Бобу sA
9. Боб отримує біткоїн

підпис адаптера ECDSA та атомарний обмін

Основний процес підпису адаптера ECDSA виглядає так:

1. Аліса генерує випадкове число k, обчислює R = k·G
2. Alice обчислює адаптований підпис: s^ = k^(-1)(h + xr)
3. Боб перевіряє підпис адаптера: R = (h·G + r·Y)·s^^(-1)
4. Аліса розкриває Бобу s = s^ + y
5. Боб підтверджує повний підпис: R = (h·G + r·Y)·s^(-1) - T·s^(-1)

де T = y·G є точкою адаптації.

Процес атомного обміну крос-ланцюгів на основі підпису адаптера ECDSA подібний до Schnorr.

Питання та рішення

проблема випадкових чисел та рішення

У сигнатурі адаптера існує ризик витоку та повторного використання випадкових чисел, що може призвести до витоку приватного ключа. Рішенням є використання специфікації RFC 6979, яка дозволяє виводити випадкові числа з приватного ключа та повідомлення детермінованим способом, уникнувши проблем з безпекою генератора випадкових чисел.

проблеми та рішення в крос-ланцюгових сценаріях

1. Проблема гетерогенності між системами UTXO та облікової моделі:

Біткоїн використовує модель UTXO, тоді як ефір використовує модель облікових записів, що ускладнює підписання угод на повернення коштів заздалегідь в ефірі. Рішення полягає в реалізації логіки атомарного обміну за допомогою смарт-контрактів на стороні ефіру.

2. Однакові криві, безпечність підпису адаптерів з різними алгоритмами:

Коли два ланцюги використовують одну й ту ж криву (, таку як Secp256k1), але різні алгоритми підпису (, такі як Schnorr та ECDSA), підпис адаптера все ще безпечний.

3. Небезпечний підпис адаптера для різних кривих:

Якщо дві ланцюги використовують різні еліптичні криві, то не можна безпосередньо використовувати підпис адаптера для крос-ланцюгового атомного обміну.

Застосування зберігання цифрових активів

На основі підпису адаптера можна реалізувати неінтерактивне зберігання цифрових активів, основний процес наведено нижче:

1. Аліса та Боб створюють фінансову транзакцію з виходом 2-of-2 MuSig
2. Аліса та Боб відповідно генерують підпис адаптера та перевірене шифроване повідомлення
3. Сторони підписують та транслюють фінансування після верифікації.
4. У разі виникнення суперечки, зберігач може розшифрувати шифротекст і надіслати адаптеру secret відповідній стороні.
5. Сторона, яка отримала секрет, може завершити підписання адаптера та транслювати угоду про розрахунок.

Верифіковане шифрування є ключовою технологією для реалізації неінтерактивного зберігання активів, наразі існує два основних рішення: Purify та Juggling.

Підсумок

Ця стаття детально описує застосування адаптерного підпису в крос-ланцюговому атомному обміні, аналізує пов'язані проблеми безпеки та рішення, а також обговорює розширене застосування в таких сценах, як управління цифровими активами. Адаптерний підпис пропонує децентралізоване, ефективне і конфіденційне нове рішення для крос-ланцюгової взаємодії, яке, ймовірно, відіграє важливу роль у майбутній інтероперабельності блокчейнів.