Задний план

MuSig — это расширение или производное от сигнатур Шнорра с использованием циклических групп на эллиптических кривых. в оригинальная бумага, авторы отмечают, что наивный мульти-Шнорр уязвим для атаки мошеннического ключа:

Данный $\Bbb G$ циклическая группа простого порядка; $г$ – образующая точка; $Ч$ является хеш-функцией; $м$ сообщение для подписи; и здесь $n$ участники:

Позволять $L = \{ X_1 = g^{x_1},..., X_n = g^{x_n} \}$ быть мультимножеством ключей участников.

Пусть каждый одноразовый номер будет $R_i = г^{r_i}$.

Вычислите совокупный одноразовый номер: $R = \prod_{i=1}^nR_i$

Вычислите совокупный ключ: $\тильда X = \prod_{i=1}^nX_i$

Вычислите задачу: $c = H(\тильда X, R, m)$

Вычислите каждую частичную подпись: $s_i = r_i + cx_i$

Вычислите совокупную подпись: $s = \sum_{i=1}^ns_i$

Подпись для совокупного ключа $\тильда X$ и сообщение $м$ сейчас $(R, с)$ и можно проверить: $g^s = R\тильда X^c$

Если один участник является злоумышленником и ждет, чтобы собрать ключи всех других участников, прежде чем отправить свой собственный, он может вычислить пару ключей, которая позволит ему подписать для группы, инвертируя частичное произведение: $X_1 = g^{x_1} * {(\prod_{i=2}^nX_i)}^{-1}$

Основным вкладом документа MuSig является схема, которая предотвращает атаку мошеннического ключа путем преобразования каждого ключа участника после обмена ключами таким образом, чтобы обеспечить агрегацию ключей в простой модели открытого ключа:

Позволять $\лангле L\rangle$ быть детерминированным порядком $L$.

Позволять $a_i = H(\langle L \rangle, X_i)$

Вычислить $\тильда X = \prod_{i=1}^n{X_i}^{a_i}$

Одна хорошо известная проблема с обменом одноразовыми номерами заключается в том, что в одновременных сеансах с предварительно общими одноразовыми номерами злоумышленник может использовать обобщенную атаку дня рождения Вагнера, чтобы исказить вывод хэша и, таким образом, эффективно подделать подпись. Решение этой проблемы состоит в том, чтобы все участники фиксировали значение одноразового номера и предварительно делились обязательством, а не одноразовым номером; когда приходит время для создания групповой подписи, происходит обмен одноразовыми номерами, и протокол прерывается, если полученный одноразовый номер не соответствует обязательству.

Вопрос

Может ли атака с мошенническим ключом быть решена путем фиксации открытого ключа перед обменом этими ключами? Это позволит всем участникам определить, пытается ли какой-либо другой участник манипулировать своим открытым ключом, чтобы разрешить одиночные подписи для группы. Затем сеанс может быть отменен, а мошеннический совокупный ключ проигнорирован.

Достаточно ли этого для смягчения атаки мошеннического ключа или в определенных обстоятельствах ему не хватает гарантий безопасности?