Las firmas agregadas no son nuevas. Han existido desde principios de la década de 2000. Pero la construcción de uno que realmente funcione en el modelo de seguridad de Bitcoin, con la curva elíptica de Bitcoin, nunca se ha probado. Los desarrolladores especularon que podría ser posible. Compartieron bocetos ondulados de mano y dijeron: “Tal vez funcionaría como Musig2, pero a través de las entradas de transacciones”. La idea permaneció durante años como Folklore de desarrolladoresClose, nunca se confirma.
Eso cambió recientemente, cuando Jonas Nick y Tim Ruffing de Blockstream Research, junto con Yannick Seurin de Ledger, publicaron un artículo que convirtió esta historia de fantasmas criptográficas en un resultado concreto y comprobable. Dahlias es la primera construcción formal y segura de un esquema de firma agregada de tamaño constante (CISA) ¡Eso funciona en la curva nativa de Bitcoin!
Pero eso es muchas palabras, así que vamos a desglosar eso:
- Agregación completa: Múltiples firmas en diferentes entradas se combinan en una, y el resultado es una firma de 64 bytes cuyo tamaño permanece constante, sin importar cuántos firmantes o entradas.
- Entrada cruzada: Cada firmante puede autorizar diferentes entradas, y todos se combinan en una firma.
No agrega nuevas suposiciones significativas más allá de los que ya se basan en Bitcoin. Dahlias construye una nueva primitiva criptográfica usando la misma matemática en la que Bitcoin ya se basa, desbloqueando un tipo de firma completamente nuevo.
Hablemos de curvas y firmas
Las firmas digitales son cómo Bitcoin demuestra que un usuario ha autorizado una transacción. Cuando va a gastar Bitcoin, su billetera usa una clave privada para firmar un mensaje, y la red verifica esa firma utilizando la clave pública coincidente.
Bitcoin usa el SECP256K1 curva. Es rápido, eficiente y ha sido probado con la batalla con el tiempo. Admite esquemas de firma como ECDSA (Algoritmo de firma original de Bitcoin) y Schnorr (agregado a través de Taproot en 2021), que actualmente son los únicos esquemas de firma permitidos por el consenso de Bitcoin.
Tradicionalmente, la agregación de firma completa dependía de las operaciones matemáticas no respaldadas por la curva de Bitcoin, SECP256K1, que lo hizo parecer fuera de alcance. Estas características generalmente se han basado en otros tipos de curvas elípticas. Por ejemplo, las firmas BLS (Boneh-Lynn-Shacham) utilizan un tipo especial de curva llamada curva amigable para el emparejamiento, que permite operaciones avanzadas como combinar muchas firmas, incluso en diferentes mensajes, en una.
El problema es que las firmas de BLS no funcionan en SECP256K1. Si bien Schnorr fue una actualización natural de ECDSA, ya que ambos dependen del mismo tipo de curva elíptica, agregar BLS sería un salto mucho más grande y una desviación del modelo de seguridad existente de Bitcoin. Aunque técnicamente es posible, introduciría nuevos supuestos criptográficos y agregaría una complejidad significativa al protocolo. Admitiendo una curva que es amigable para el emparejamiento, como BLS12-381sería Un cambio importante para Bitcoin.
Esto es parte de por qué la agregación de firma completa nunca se ha realizado en SECP256K1.
Hasta ahora.
¿Qué hacen realmente las firmas agregadas?
La mayoría de los usuarios de Bitcoin están familiarizados con las multisignaturas. En múltiple Wallet, varias personas autorizan conjuntamente el gasto de un solo UTXO o alguna “moneda” específica. Todos firman los mismos datos de entrada. Esta configuración es útil para cosas como billeteras de custodia compartida.
Firmas agregadas trabajar de manera diferente. En lugar de que varias personas firmen la misma entrada o moneda, cada firmante autoriza un UTXO diferente en una transacción. Estas firmas separadas se comprimen en una prueba compacta. Con dahlias, eso significa un firma de 64 bytes en la curva SECP256K1 de Bitcoin que verifica todas las entradas a la vez.
Eso significa que si tiene cinco entradas de cinco personas diferentes, la transacción necesita cinco firmas diferentes. Con una firma agregada, todas esas pueden inclinarse en una. Incluso si cada firmante está gastando una entrada diferente y firmando una parte diferente de la transacción, el resultado es una firma que demuestra que toda la transacción estaba correctamente autorizada.
Es como reducir una lista completa de aprobaciones en un solo archivo. La firma es compacta, pero aún prueba verificablemente que cada firmante autorizó su utxo específico.
En lugar de verificar 10 firmas separadas, verifica una.
Esto ayuda a realinear incentivos para la privacidad. Al reducir la sobrecarga de la firma a una sola prueba de 64 bytes, Dahlias reduce el costo de combinar entradas en CoinJoins, haciéndolo financieramente más inteligente elegir la privacidad que ir sin ella.
Por qué la media agregación se acercó
Poco después de que se introdujeran las firmas de Schnorr en Bitcoin, los desarrolladores exploraron media agregacióncomo una forma de comprimir múltiples firmas, pero no eran de tamaño fijo. Cada entrada contribuye al tamaño de la firma, por lo que la transacción aún crece con cada participante. Dahlias soluciona esto al habilitar agregación completa a través de entradas y firmantes. No importa cuántas personas estén involucradas o qué están firmando, todas sus firmas se compriman en una prueba de 64 bytes de tamaño constante.
Lo que las dahlias realmente desbloquean
El principal beneficio aquí es que las dahlias están reduciendo el tamaño de las transacciones complejas.
Dahlias usa un proceso de firma interactiva de dos rondas. Es similar a Musig2 en ese sentido, pero no es un protocolo multisignatura porque no requiere que todos los participantes firmen el mismo mensaje. En cambio, agrega diferentes firmas en diferentes mensajes a través de la transacción.
Las dahlias también es más rápida de verificar que verificar cada firma individualmente, hasta el doble de rápido en algunos casos. Los costos de verificación más bajos hacen que sea más fácil para más personas ejecutar nodos completos, lo que ayuda a preservar la descentralización de Bitcoin con el tiempo.
Es importante destacar que las dahlias vienen con fuertes garantías criptográficas. El esquema incluye pruebas de seguridad formales. Los enfoques anteriores de ‘folklore’ para la agregación completa de la firma carecían de esto, e incluso se demostró que algunos eran inseguros. Afortunadamente no fueron adoptados prematuramente.
Vale la pena repetir: Dahlias no es un protocolo multisig. No es comparable a Musig2 o Frost desde un punto de vista funcional, incluso si comparte bloques de construcción criptográficos similares. Sirve un propósito diferente. Ofrece una nueva forma de codificar muchas aprobaciones independientes en un paquete limpio y verificable.
Direcciones futuras
Podrías pensar: si Dahlias es tan poderosa, ¿por qué no es una bip? ¿Por qué no proponerlo para el consenso de Bitcoin?
Las firmas de Dahlias no se parecen a las firmas de Schnorr o Ecdsa. El algoritmo de verificación es diferente. En lugar de tomar una sola clave pública, mensaje y firma, toma un verificador de dahlias liza de claves y mensajes públicos, y una sola prueba de 64 bytes.
Esto hace que las dahlias sean incompatibles con las reglas de consenso actuales de Bitcoin. Apoyarlo en la capa base requeriría un cambio de consenso. Este documento no propone ese cambio, pero hace algo igualmente importante.
Este artículo muestra que es posible un esquema de agregación de firma completo para la curva nativa de Bitcoin.
Eso solo es un gran paso adelante.
Para hacer que las dahlias formen parte de Bitcoin, alguien necesitaría escribir una propuesta de mejora de Bitcoin (BIP), tal vez incluso usando SECP256K1LAB. Eso significa especificar el esquema en detalle, considerando sus implicaciones para el consenso y la implementación, y la creación de apoyo comunitario. Este documento establece la base criptográfica para esa conversación.
El valor real del documento de Dahlias es lo que prueba. La agregación de firma completa en SECP256K1 no es solo un experimento mental. Es concreto. Es eficiente. Es seguro. Durante años, la idea vivió en el folklore desarrollador. Ahora, está escrito, analizado y probado. Todo lo que queda es llevarlo a Bitcoin, si lo queremos.
Esta es una publicación invitada de Kiara Bickers. Las opiniones expresadas son completamente suyas y no reflejan necesariamente las de la revista BTC Inc o Bitcoin.
Esta publicación no ECDSA. No Schnorr. Conoce a Dahlias. Apareció por primera vez en la revista Bitcoin y está escrita por Kiara Bickers.