Mina中的Schnorr signature

mutourend

已于 2022-07-12 16:28:37 修改

阅读量891

点赞数

分类专栏：区块链文章标签：区块链

于 2022-03-22 17:47:25 首次发布

本文链接：https://blog.csdn.net/mutourend/article/details/123666637

版权

区块链专栏收录该内容

132 篇文章 31 订阅

订阅专栏

1. 引言

前序博客有：

ECDSA VS Schnorr signature VS BLS signature

Mina系列博客有：

Mina基于Pasta曲线实现了相应的Schnorr signature。

Mina中采用Schnorr签名对支付交易和质押委托交易进行签名的代码示例有：

https://github.com/MinaProtocol/c-reference-signer（C语言）
https://github.com/MinaProtocol/signer-reference（OCaml语言）

Mina Schnorr签名模块实现有：

O(1) Labs团队 proof-systems中的Schnorr签名模块（Rust语言）
Mina Protocol官方Schnorr签名模块（OCaml语言）
Ledger Nano S 和 Nano X 硬件钱包中集成的Mina Schnorr签名模块（C语言）

2. Mina中的Schnorr signature实现

Mina中的Schnorr签名方案不同于Bitcoin的Schnorr signature方案，Bitcoin的签名结果为 $(R, s)$ ，而Mina的签名结果为 $(R . x, s)$ 。其中 $R\in \mathbb{G},R.x\in \mathbb{F}_p, s\in\mathbb{F}_r$ ， $\mathbb{G}$ 为group point， $\mathbb{F}_p$ 为base field， $\mathbb{F}_r$ 为scalar field。

Mina中的Schnoor签名方案见Mina Schnorr Signatures：
Mina Schnorr签名流程：

Input:
- Secret key d: an integer in the range 1..n-1
- Public key P: a curve point
- Message m: message to be signed
- Network id id: blockchain instance identifier
To sign m for public key P = dG:
- Let k = derive_nonce(d, P, m, id)
- Let R = [k]G
- If odd(y(R)) then negate(k)
- Let e = message_hash(P, x(R), m, id)
- Let s = k + e*d
The signature σ = (x(R), s)

Mina Schnorr验签流程：

Input:
- Public key P: a curve point
- Message m: message
- Signature σ: signature on m
- Network id id: blockchain instance identifier
The signature is valid if and only if the algorithm below does not fail.
- Let e = message_hash(P, x(R), m, id)
- Let R = [s(σ)]G - [e]P
- Fail if infinite(R) OR odd(y(R)) OR x(R) != x(σ)

实际代码实现时，根据不同的network id设置了不同的derive_nonce派生实现：

let derive =
      let open Mina_signature_kind in
      match signature_kind with
      | None ->
          Message.derive
      | Some Mainnet ->
          Message.derive_for_mainnet
      | Some Testnet ->
          Message.derive_for_testnet