Задний план
MuSig — это расширение или производное от сигнатур Шнорра с использованием циклических групп на эллиптических кривых. в оригинальная бумага, авторы отмечают, что наивный мульти-Шнорр уязвим для атаки мошеннического ключа:
Данный $\Bbb G$ циклическая группа простого порядка; $г$ – образующая точка; $Ч$ является хеш-функцией; $м$ сообщение для подписи; и здесь $n$ участники:
Позволять $L = \{ X_1 = g^{x_1},..., X_n = g^{x_n} \}$ быть мультимножеством ключей участников.
Пусть каждый одноразовый номер будет $R_i = г^{r_i}$.
Вычислите совокупный одноразовый номер: $R = \prod_{i=1}^nR_i$
Вычислите совокупный ключ: $\тильда X = \prod_{i=1}^nX_i$
Вычислите задачу: $c = H(\тильда X, R, m)$
Вычислите каждую частичную подпись: $s_i = r_i + cx_i$
Вычислите совокупную подпись: $s = \sum_{i=1}^ns_i$
Подпись для совокупного ключа $\тильда X$ и сообщение $м$ сейчас $(R, с)$ и можно проверить:
$g^s = R\тильда X^c$
Если один участник является злоумышленником и ждет, чтобы собрать ключи всех других участников, прежде чем отправить свой собственный, он может вычислить пару ключей, которая позволит ему подписать для группы, инвертируя частичное произведение:
$X_1 = g^{x_1} * {(\prod_{i=2}^nX_i)}^{-1}$
Основным вкладом документа MuSig является схема, которая предотвращает атаку мошеннического ключа путем преобразования каждого ключа участника после обмена ключами таким образом, чтобы обеспечить агрегацию ключей в простой модели открытого ключа:
Позволять $\лангле L\rangle$ быть детерминированным порядком $L$.
Позволять $a_i = H(\langle L \rangle, X_i)$
Вычислить $\тильда X = \prod_{i=1}^n{X_i}^{a_i}$
Одна хорошо известная проблема с обменом одноразовыми номерами заключается в том, что в одновременных сеансах с предварительно общими одноразовыми номерами злоумышленник может использовать обобщенную атаку дня рождения Вагнера, чтобы исказить вывод хэша и, таким образом, эффективно подделать подпись. Решение этой проблемы состоит в том, чтобы все участники фиксировали значение одноразового номера и предварительно делились обязательством, а не одноразовым номером; когда приходит время для создания групповой подписи, происходит обмен одноразовыми номерами, и протокол прерывается, если полученный одноразовый номер не соответствует обязательству.
Вопрос
Может ли атака с мошенническим ключом быть решена путем фиксации открытого ключа перед обменом этими ключами? Это позволит всем участникам определить, пытается ли какой-либо другой участник манипулировать своим открытым ключом, чтобы разрешить одиночные подписи для группы. Затем сеанс может быть отменен, а мошеннический совокупный ключ проигнорирован.
Достаточно ли этого для смягчения атаки мошеннического ключа или в определенных обстоятельствах ему не хватает гарантий безопасности?