Las firmas agregadas no son nuevas. Han existido desde principios de la d茅cada de 2000. Pero la construcci贸n de uno que realmente funcione en el modelo de seguridad de Bitcoin, con la curva el铆ptica de Bitcoin, nunca se ha probado. Los desarrolladores especularon que podr铆a ser posible. Compartieron bocetos ondulados de mano y dijeron: “Tal vez funcionar铆a como Musig2, pero a trav茅s de las entradas de transacciones”. La idea permaneci贸 durante a帽os como Folklore de desarrolladoresClose, nunca se confirma.
Eso cambi贸 recientemente, cuando Jonas Nick y Tim Ruffing de Blockstream Research, junto con Yannick Seurin de Ledger, publicaron un art铆culo que convirti贸 esta historia de fantasmas criptogr谩ficas en un resultado concreto y comprobable. Dahlias es la primera construcci贸n formal y segura de un esquema de firma agregada de tama帽o constante (CISA) 隆Eso funciona en la curva nativa de Bitcoin!
Pero eso es muchas palabras, as铆 que vamos a desglosar eso:
- Agregaci贸n completa: M煤ltiples firmas en diferentes entradas se combinan en una, y el resultado es una firma de 64 bytes cuyo tama帽o permanece constante, sin importar cu谩ntos firmantes o entradas.
- Entrada cruzada: Cada firmante puede autorizar diferentes entradas, y todos se combinan en una firma.
No agrega nuevas suposiciones significativas m谩s all谩 de los que ya se basan en Bitcoin. Dahlias construye una nueva primitiva criptogr谩fica usando la misma matem谩tica en la que Bitcoin ya se basa, desbloqueando un tipo de firma completamente nuevo.
Hablemos de curvas y firmas
Las firmas digitales son c贸mo Bitcoin demuestra que un usuario ha autorizado una transacci贸n. Cuando va a gastar Bitcoin, su billetera usa una clave privada para firmar un mensaje, y la red verifica esa firma utilizando la clave p煤blica coincidente.
Bitcoin usa el SECP256K1 curva. Es r谩pido, eficiente y ha sido probado con la batalla con el tiempo. Admite esquemas de firma como ECDSA (Algoritmo de firma original de Bitcoin) y Schnorr (agregado a trav茅s de Taproot en 2021), que actualmente son los 煤nicos esquemas de firma permitidos por el consenso de Bitcoin.
Tradicionalmente, la agregaci贸n de firma completa depend铆a de las operaciones matem谩ticas no respaldadas por la curva de Bitcoin, SECP256K1, que lo hizo parecer fuera de alcance. Estas caracter铆sticas generalmente se han basado en otros tipos de curvas el铆pticas. Por ejemplo, las firmas BLS (Boneh-Lynn-Shacham) utilizan un tipo especial de curva llamada curva amigable para el emparejamiento, que permite operaciones avanzadas como combinar muchas firmas, incluso en diferentes mensajes, en una.
El problema es que las firmas de BLS no funcionan en SECP256K1. Si bien Schnorr fue una actualizaci贸n natural de ECDSA, ya que ambos dependen del mismo tipo de curva el铆ptica, agregar BLS ser铆a un salto mucho m谩s grande y una desviaci贸n del modelo de seguridad existente de Bitcoin. Aunque t茅cnicamente es posible, introducir铆a nuevos supuestos criptogr谩ficos y agregar铆a una complejidad significativa al protocolo. Admitiendo una curva que es amigable para el emparejamiento, como BLS12-381ser铆a Un cambio importante para Bitcoin.
Esto es parte de por qu茅 la agregaci贸n de firma completa nunca se ha realizado en SECP256K1.
Hasta ahora.
驴Qu茅 hacen realmente las firmas agregadas?
La mayor铆a de los usuarios de Bitcoin est谩n familiarizados con las multisignaturas. En m煤ltiple Wallet, varias personas autorizan conjuntamente el gasto de un solo UTXO o alguna “moneda” espec铆fica. Todos firman los mismos datos de entrada. Esta configuraci贸n es 煤til para cosas como billeteras de custodia compartida.
Firmas agregadas trabajar de manera diferente. En lugar de que varias personas firmen la misma entrada o moneda, cada firmante autoriza un UTXO diferente en una transacci贸n. Estas firmas separadas se comprimen en una prueba compacta. Con dahlias, eso significa un firma de 64 bytes en la curva SECP256K1 de Bitcoin que verifica todas las entradas a la vez.
Eso significa que si tiene cinco entradas de cinco personas diferentes, la transacci贸n necesita cinco firmas diferentes. Con una firma agregada, todas esas pueden inclinarse en una. Incluso si cada firmante est谩 gastando una entrada diferente y firmando una parte diferente de la transacci贸n, el resultado es una firma que demuestra que toda la transacci贸n estaba correctamente autorizada.
Es como reducir una lista completa de aprobaciones en un solo archivo. La firma es compacta, pero a煤n prueba verificablemente que cada firmante autoriz贸 su utxo espec铆fico.
En lugar de verificar 10 firmas separadas, verifica una.
Esto ayuda a realinear incentivos para la privacidad. Al reducir la sobrecarga de la firma a una sola prueba de 64 bytes, Dahlias reduce el costo de combinar entradas en CoinJoins, haci茅ndolo financieramente m谩s inteligente elegir la privacidad que ir sin ella.
Por qu茅 la media agregaci贸n se acerc贸
Poco despu茅s de que se introdujeran las firmas de Schnorr en Bitcoin, los desarrolladores exploraron media agregaci贸ncomo una forma de comprimir m煤ltiples firmas, pero no eran de tama帽o fijo. Cada entrada contribuye al tama帽o de la firma, por lo que la transacci贸n a煤n crece con cada participante. Dahlias soluciona esto al habilitar agregaci贸n completa a trav茅s de entradas y firmantes. No importa cu谩ntas personas est茅n involucradas o qu茅 est谩n firmando, todas sus firmas se compriman en una prueba de 64 bytes de tama帽o constante.
Lo que las dahlias realmente desbloquean
El principal beneficio aqu铆 es que las dahlias est谩n reduciendo el tama帽o de las transacciones complejas.
Dahlias usa un proceso de firma interactiva de dos rondas. Es similar a Musig2 en ese sentido, pero no es un protocolo multisignatura porque no requiere que todos los participantes firmen el mismo mensaje. En cambio, agrega diferentes firmas en diferentes mensajes a trav茅s de la transacci贸n.
Las dahlias tambi茅n es m谩s r谩pida de verificar que verificar cada firma individualmente, hasta el doble de r谩pido en algunos casos. Los costos de verificaci贸n m谩s bajos hacen que sea m谩s f谩cil para m谩s personas ejecutar nodos completos, lo que ayuda a preservar la descentralizaci贸n de Bitcoin con el tiempo.
Es importante destacar que las dahlias vienen con fuertes garant铆as criptogr谩ficas. El esquema incluye pruebas de seguridad formales. Los enfoques anteriores de ‘folklore’ para la agregaci贸n completa de la firma carec铆an de esto, e incluso se demostr贸 que algunos eran inseguros. Afortunadamente no fueron adoptados prematuramente.
Vale la pena repetir: Dahlias no es un protocolo multisig. No es comparable a Musig2 o Frost desde un punto de vista funcional, incluso si comparte bloques de construcci贸n criptogr谩ficos similares. Sirve un prop贸sito diferente. Ofrece una nueva forma de codificar muchas aprobaciones independientes en un paquete limpio y verificable.
Direcciones futuras
Podr铆as pensar: si Dahlias es tan poderosa, 驴por qu茅 no es una bip? 驴Por qu茅 no proponerlo para el consenso de Bitcoin?
Las firmas de Dahlias no se parecen a las firmas de Schnorr o Ecdsa. El algoritmo de verificaci贸n es diferente. En lugar de tomar una sola clave p煤blica, mensaje y firma, toma un verificador de dahlias liza de claves y mensajes p煤blicos, y una sola prueba de 64 bytes.
Esto hace que las dahlias sean incompatibles con las reglas de consenso actuales de Bitcoin. Apoyarlo en la capa base requerir铆a un cambio de consenso. Este documento no propone ese cambio, pero hace algo igualmente importante.
Este art铆culo muestra que es posible un esquema de agregaci贸n de firma completo para la curva nativa de Bitcoin.
Eso solo es un gran paso adelante.
Para hacer que las dahlias formen parte de Bitcoin, alguien necesitar铆a escribir una propuesta de mejora de Bitcoin (BIP), tal vez incluso usando SECP256K1LAB. Eso significa especificar el esquema en detalle, considerando sus implicaciones para el consenso y la implementaci贸n, y la creaci贸n de apoyo comunitario. Este documento establece la base criptogr谩fica para esa conversaci贸n.
El valor real del documento de Dahlias es lo que prueba. La agregaci贸n de firma completa en SECP256K1 no es solo un experimento mental. Es concreto. Es eficiente. Es seguro. Durante a帽os, la idea vivi贸 en el folklore desarrollador. Ahora, est谩 escrito, analizado y probado. Todo lo que queda es llevarlo a Bitcoin, si lo queremos.
Esta es una publicaci贸n invitada de Kiara Bickers. Las opiniones expresadas son completamente suyas y no reflejan necesariamente las de la revista BTC Inc o Bitcoin.
Esta publicaci贸n no ECDSA. No Schnorr. Conoce a Dahlias. Apareci贸 por primera vez en la revista Bitcoin y est谩 escrita por Kiara Bickers.
