签名算法 - BLS签名算法介绍

BLS签名算法是斯坦福大学计算机系三人提出：Dan Boneh，Ben Lynn以及Hovav Shacham。BLS签名算法论文的下载地址：https://www.iacr.org/archive/asiacrypt2001/22480516.pdf。

最近在Medium上看到一篇介绍BLS签名算法比较清楚的文章，部分翻译整理一下。Medium上的原文链接：https://medium.com/cryptoadvance/bls-signatures-better-than-schnorr-5a7fe30ea716。

详细介绍BLS签名算法过程之前，需要介绍两个辅助知识。

1）新型散列函数（Hash函数）

为啥称为新型散列函数呢？原因是一般的hash（散列）函数的结果都是数值。在BLS签名算法中需要用的散列函数的结果是椭圆曲线上的一个点。也就是说，散列结果对应椭圆曲线上的一个点。举EC（椭圆曲线）和SHA-256为例。比特币用的椭圆曲线是secp256k1，也就是该曲线由2²⁵⁶个点组成。SHA-256普通Hash函数的结果也是256位。如果用Hash函数的数值结果，对应于椭圆曲线上点横坐标x，有两个点y和-y都在椭圆曲线y²=x³+ax+b上。说明SHA-256的结果，50%的概率，要不找到两个点，要不找不到点。

为了让每个SHA-256的结果，都能映射到椭圆曲线上的一个点，采用如下的方法：在消息m内容上或上一个序号，直至Hash的结果能映射到椭圆曲线上。示意如下：

序号0以及序号1的hash结果都不能映射，直至hash(m||2)结束。

2）双线性映射e函数

函数e，针对曲线上的两个点，e函数能映射它们到一个数值。

e(P, Q) → n

并且该函数满足以下的操作（给定一个数值x，不论x和P或者Q哪个点相乘，e函数的结果相同）：

e(x×P, Q) = e(P, x×Q)

也就是，满足如下的交换规则：

e(a×P, b×Q) = e(P, ab×Q) = e(ab×P, Q) = e(P, Q)^(ab)

具体的证明过程，本文省略。感兴趣的小伙伴可以自行研究。对于双线性椭圆曲线，存在特殊函数e满足如上的交换规则。

3）BLS签名过程

给定私钥pk，公钥P = pk×G，以及待签名的消息为m。签名的计算公式如下：

S = pk×H(m)

其中H(m)是第一节中讲述的新型的Hash函数。过程如下图所示：

 

验证过程涉及e函数，计算如下的等式是否成立：

e(P, H(m)) = e(G, S)

证明过程如下：

e(P, H(m)) = e(pk×G, H(m)) = e(G, pk×H(m)) = e(G, S)

证明过程示意如下：

 

4）签名合并

BLS的算法有很多应用，其中一个是签名的合并。想象一下，一个区块中有1000个交易，每个交易都有独立的公钥Pi，签名Si，以及交易内容mi。如果需要知道区块中的交易的签名是否都正确，传统的方式，区块中的交易需要一个个的验证签名。并且，区块中需要存储所有交易的签名。用BLS算法进行签名的合并只需要存储一个33个字节的BLS签名。合并签名的结果是：

S = S1+S2+…+S1000

验证过程是：

e(G, S) = e(P1, H(m1))⋅e(P2, H(m2))⋅…⋅e(P1000, H(m1000))

证明过程如下：

e(G, S) = e(G, S1+S2+…+S1000) = e(G, S1)⋅e(G, S2)⋅…⋅e(G, S1000) = e(G, pk1×H(m1))⋅…⋅e(G, pk1000×H(m1000)) = e(pk1×G, H(m1))⋅…⋅e(pk1000×G, H(m1000)) = e(P1, H(m1))⋅e(P2, H(m2))⋅…⋅e(P1000, H(m1000))

从证明过程可见，主要是用了e函数的交换规则。BLS算法在多签以及m/n签名还有更多应用，本文不详细展开。感兴趣的小伙伴可以深入研究。 

总结：BLS签名算法是斯坦福大学计算机系三人提出：Dan Boneh，Ben Lynn以及Hovav Shacham。BLS的主要思想是待签名的消息散列到一个椭圆曲线上的一个点，并利用双线性映射e函数的交换性质，在不泄露私钥的情况下，验证签名。BLS的算法在签名合并，多签，m/n多签有丰富的应用。