Schnorr Multi-Signatures

在描述 Schnorr 签名时，有乘法群和加法群两种形式。如果是乘法群，从私钥推导出公钥的公式为 $X=g^x$ ；如果是加法群，从私钥推导出公钥的公式为 $X=xG$ 。论文 BN06/MuSig/MuSig2 中使用的是 $X=g^x$ 形式；论文 MuSig-DN 中使用的是 $X=xG$ 形式。本文将采用 $X=xG$ 形式。

下面回顾一下 Schnorr 签名。

设椭圆曲线定义在有限素数域 ${\mathbb{F}}_p$ 上，椭圆曲线的 Generator 为 $G$ ，用户的私钥和公钥分别为 $(x,X)$ ，记待签名的消息为 $m$ ，则生成 Schnorr 签名的过程如下：

1. 随机选择 $r\in {\mathbb{F}}_p$
   
2. 计算 $R=rG$
   
3. 计算 $c=\text{H}(X,R,m)$
   
4. 计算 $s=r+cxmodp$
   
5. 输出签名 $(R,s)$
   

签名验证时，如果 $(R,s)$ 满足下面等式则通过验证： $$sG\stackrel{?}{=}R+\text{H}(X,R,m)X$$

前面介绍的 Naive Way 是不安全的，容易遭受 Rogue-key 攻击。 具体来说，假设第 1 个参与者是个恶意攻击者，他先不给其它参与者发送他的公钥 $x_{1}G$ ，而是收到所有其它参与者发来的公钥后，把 $x_{1}G-\sum _{i=2}^n{X}_i$ 作为他的公钥发送给其它参与者。从而，群体的公钥就是 $(x_{1}G-\sum _{i=2}^n{X}_i)+X_2+\cdots +X_n=x_{1}G$ ，换句话说这时 $x_1$ 就是群体私钥了，也就是说第 1 个参与者可以代表群体独自完成签名了，这显然违背了多签的意图。

要防止 Rogue-key 攻击，一种常用的思路是参与者提供零知识证明，以证明他确实拥有公钥背后的私钥（Knowledge Of Secret Key, KOSK）。比如，上面例子中第 1 个参与者发送 $x_{1}G-\sum _{i=2}^n{X}_i$ 给其它参与者时，他还必须证明他拥有这个公钥所对应的私钥，显然第 1 个参与者无法提供这个证明，因为他并不知道 $x_1-\sum _{i=2}^n{x}_i$ 的值。

前面提到，基于 KOSK 可以避免 Rogue-key 攻击。不过，基于 KOSK 有一些不足，RY07 中对此进行了总结：

Unfortunately, there are substantial drawbacks to using the KOSK assumption. Bellare and Neven discuss this in [BN06]; we briefly recall some of their discussion. First and foremost, the KOSK assumption is not realized by existing public key infrastructures (PKI). Registration protocols specified by the most widely used standards (RSAPKCS#10, RFC 4210, RFC 4211) do not specify that CA’s should require proofs of knowledge. Thus, to use schemes proven secure under the KOSK assumption, one would be faced with the daunting task of upgrading existing (and already complex) PKI. This would likely require implementing clients and CA’s that support zero-knowledge (ZK) proofs of knowledge that have extraction guarantees in fully concurrent settings. Non-interactive ZK proofs of knowledge could also be utilized, but these are more computationally expensive.

除了后面的 MOR01 协议可以认为是在 Keygen 阶段进行 KOSK 外，本文介绍的其它协议都不是基于 KOSK 来避免 Rogue-key 攻击，而是使用其它手段来避免 Rogue-key 攻击。

假设 Alice 和 Bob 的私钥和公钥分别为 $(x_1,X_1)$ 和 $(x_2,X_2)$ 。要确定性地生成 nonce 值，一种直观的想法是 Alice 通过某个函数 $F(x_1,m)$ 唯一地推导出 nonce 值 $r_1$ ，Bob 通过函数 $F(x_2,m)$ 唯一地推导出 nonce 值 $r_2$ ，剩下和流程和 MuSig 类似。 Alice 计算 $s_1=r_1+c{a}_1{x}_{1}modp$ 发送给 Bob，Bob 计算 $s_2=r_2+c{a}_2{x}_{2}modp$ 发送给 Alice。

上面这种方法是不安全的。下面介绍一种攻击方法：Bob 通过两次签名可以获得 Alice 的私钥。第一次签名时，Alice 发送了 $s_1$ 给 Bob，Bob 收到后不发送 $s_2$ ，而是直接退出协议。Alice 以为 Bob 离线了，再次尝试。第二次签名时，还是对同一消息进行签名，Alice 把 $R_1$ 发送给 Bob，而 Bob 发给 Alice $R_2^{\prime }\ne R_2$ （Alice 期望 Bob 发送 $R_2$ 给她，但 Bob 发送的是另一个数 $R_2^{\prime }$ ）。Alice 计算 $\widetilde{R^{\prime }}=R_1+R_2^{\prime },s_1^{\prime }=r_1+c^{\prime }{a}_1{x}_{1}modp$ 其中 $c^{\prime }={\text{H}}_{\text{sig}}(\tilde{X},\widetilde{R^{\prime }},m)$ ，发送 $s_1^{\prime }$ 给 Bob。这样，Bob 利用两次签名的数据就可以得到 Alice 的私钥了 $x_1=(s_1-s_1^{\prime })/(a_1(c-c^{\prime }))$ 。

显然，如果 Alice 可以检测出 Bob 发送给他的 $R_2^{\prime }$ 是错误的，那么 Alice 可以退出协议，保护自己的私钥。

MuSig-DN 是 MuSig 的一种变种，它的主要思想是使用零知识证明来强制所有参与者确定性地生成他们的 nonce 值。

具体来说， 每个参与者都有一个 nonce key $u_i$ ，使用这个 nonce key 根据函数 $F(x_i,m)$ 来确定地生成 $r_i$ ，然后计算 $R_i=r_{i}G$ ，且生成能证明 $R_i$ 满足要求的零知识证明，别人利用 host key $U_i=u_{i}G$ 可以校验 $R_i$ 确实是按要求生成的。

这个场景和 Verifiable Random Function（VRF）有点像，但其实不然。因为使用 VRF 生成结果 $r_i$ 后，要公开 $r_i$ 给别人验证。但在多签协议中， $r_i$ 是个私密值，不能公开的，公开的是 $R_i=r_{i}G$ ，所以 VRF 不能直接拿来使用。

如果不考虑性能，可以直接使用 HMAC 或者 AES 来实现 $F$ ，但是 HMAC 或者 AES 对应的算术电路很复杂，生成和校验零知识证明时性能较差。MuSig-DN 在论文中提出了一种性能更好的被称为 Purify 的构造，这里不详细介绍。