アダプター署名とそのクロスチェーン原子交換における応用

ビットコインLayer2拡張ソリューションの急速な発展に伴い、ビットコインとそのLayer2ネットワーク間のクロスチェーン資産移転の頻度が著しく増加しています。この傾向は、Layer2技術が提供するより高いスケーラビリティ、より低い取引手数料、高いスループットによって促進されています。これらの進展は、より効率的で経済的な取引を促進し、さまざまなアプリケーションにおけるビットコインのより広範な採用と統合を推進します。したがって、ビットコインとLayer2ネットワーク間の相互運用性は、暗号通貨エコシステムの重要な構成要素となり、革新を促進し、ユーザーにより多様で強力な金融ツールを提供しています。

ビットコインとLayer2間のクロスチェーン取引には主に3つのソリューションがあります: 中央集権型クロスチェーン取引、BitVMクロスチェーンブリッジ、そしてクロスチェーン原子交換です。これら3つの技術は、信頼仮定、安全性、利便性、取引額などの点で異なり、さまざまなアプリケーションのニーズに応えます。

中央集権型クロスチェーン取引の利点は、速度が速く、マッチングプロセスが比較的簡単であることです。しかし、その安全性は中央集権機関の信頼性と信用に完全に依存しており、中央集権機関に問題が発生した場合、ユーザーの資金は高いリスクにさらされます。さらに、中央集権型クロスチェーン取引はユーザーのプライバシーを漏洩する可能性もあります。

BitVMクロスチェーン橋技術は相対的に複雑で、複数の署名と楽観的チャレンジ機構が関与しています。この技術は主に超大額取引に適しており、使用頻度は低いです。

クロスチェーン原子交換は、検閲を受けず、プライバシー保護が優れているなどの利点を持つ分散型の技術であり、分散型取引所で広く使用されています。現在、クロスチェーン原子交換は主にハッシュタイムロック(HTLC)とアダプター署名の2つの方案を含んでいます。

HTLCと比較して、アダプタ署名に基づく原子交換には以下の利点があります:

1. はオンチェーンスクリプトを置き換え、オンチェーンでのスペースの占有が小さく、コストが低くなります;
2. 取引はリンクできません、より良いプライバシー保護を実現します。

本文はアダプタ署名とそのクロスチェーン原子交換における応用について紹介します。以下のいくつかの側面を含みます:

1. Schnorr と ECDSA アダプタの署名原則
2. クロスチェーン原子交換の実現
3. アダプタ署名におけるランダム数のセキュリティ問題とその解決策
4. クロスチェーンシーンにおけるシステムの異種性とアルゴリズムの異種性の問題および解決策
5. アダプター署名の非対話式デジタル資産保管への適用

! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析

アトミックスワップを使用した Schnorr アダプタの署名

Schnorr署名の生成プロセスは以下の通りです:

1. ランダム数rを選択し、R = r * Gを計算します。
2. 計算チャレンジc = H(R||P||m)
3. s = r + cx を計算します

ここで、Gは基点、Pは公開鍵、mはメッセージ、xは秘密鍵です。署名は(R,s)です。

検証プロセスは: sG ?= R + cP をチェックすることです

Schnorrアダプター署名の生成プロセスは以下の通りです:

1. ランダム数rを選択し、R = r * Gを計算する
2. 計算チャレンジc = H(R + Y||P||m)、ここでYは適応点です
3. s' = r + cx を計算します

予備署名は(R,s')です。完全署名は(R,s = s' + y)であり、ここでyは適合値で、Y = y * Gを満たします。

検証プロセスは: sG ?= R + Y + cPをチェックします

原子交換プロセス:

1. アリスがプレサインを生成し、ボブに送信します。
2. ボブはプレサインを検証し、自分のプレサインを生成してアリスに送信します。
3. アリスはボブのプレサインを検証し、自分の完全な署名をブロードキャストする。
4. ボブはアリスの完全な署名からyを抽出し、自分の署名を完成させてブロードキャストします。

! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析

ECDSA アダプターの署名はアトムと交換されます

ECDSA署名の生成プロセスは以下の通りです:

1. ランダム数kを選択し、R = k * G、r = R_x mod nを計算する
2. s = k^(-1)(H(m) + rx) mod n

ここで、Gは基点、nは曲線の階数、xは秘密鍵、mはメッセージを示します。署名は(r、s)です。

検証プロセスは次のとおりです: R'_x ?= rをチェックします。ここで、R' = s^(-1)H(m)G + s^(-1)rPです。

ECDSAアダプタ署名の生成プロセスは次のとおりです:

1. ランダム数kを選択し、R = k * G,r = R_x mod nを計算します。
2. s' = k^(-1)(H(m) + r(x+ y)) mod n、ここでyは適応値

事前署名は (R, s') です。 完全な署名は (R、s = s' * (x + y) / x) です。

検証プロセスは次のとおりです: R'_x ?= r をチェックします。ここで R' = s^(-1)H(m)G + s^(-1)r(P + Y)

原子交換プロセスはSchnorrに似ています。

! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析

ランダム数の問題と解決策

Schnorr/ECDSAアダプタ署名のプレ署名は、ランダム数rに対してコミットメントを行います。ランダム数が漏洩または再利用されると、秘密鍵が漏洩する可能性があります。

解決策はRFC 6979を使用し、決定論的手法を通じて秘密鍵とメッセージから乱数を導出することです:

k = SHA256(sk、msg、counter)

これにより、kは各メッセージに対してユニークであり、同じ入力に対して再現性を持ち、乱数生成器に関連する秘密鍵の露出リスクを減少させます。

! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析

クロスチェーンシーンの問題と解決策

UTXOとアカウントモデルシステムの異種性: ビットコインはUTXOモデルを採用しており、イーサリアムはアカウントモデルを採用しています。アカウントモデルでは、事前に返金取引に署名することができません。解決策は、イーサリアム側でスマートコントラクトを使用して原子交換ロジックを実現することです。

同じ曲線異なるアルゴリズム: もし2つのチェーンが同じ曲線を使用しているが、異なる署名アルゴリズム(（1つはSchnorr、もう1つはECDSA)）を使用している場合、アダプタ署名は依然として安全です。

異なる曲線: もし二つのチェーンが異なる曲線を使用している場合、アダプタ署名は安全ではありません。なぜなら、曲線の階が異なり、モジュロ係数も異なるからです。

! 解析ビットコインおよびレイヤー2資産クロスチェーン技術

デジタル資産の保管アプリケーション

アダプター署名は、非対話型のデジタル資産の保管を実現するために使用できます:

1. アリスとボブが2-of-2マルチシグ出力を作成する
2. アリスとボブはそれぞれプレサインを生成し、ホスティング者の公開鍵で各自のアダプティブ値を暗号化します。
3. 争議が発生した場合、管理者は適合値を復号して一方に送信し、署名を完了させることができます。

このソリューションは、従来のホスティングに比べて、より柔軟で分散型です。

検証可能な暗号は、このソリューションを実現するための重要な技術であり、主にPurifyとJugglingの2つの方法があります。PurifyはzkSNARKに基づいて実現され、Jugglingはシャーディングと範囲証明の方法を採用しています。

! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析

総じて言えば、アダプタ署名はクロスチェーン原子交換やデジタル資産の保管などのアプリケーションに新しい可能性を提供しますが、実際のアプリケーションではランダム数の安全性やシステムの異種性などの問題を考慮する必要があります。今後、関連技術のさらなる発展に伴い、アダプタ署名はより多くのシーンで重要な役割を果たすことが期待されます。

! 解析ビットコインおよびレイヤー2資産クロスチェーン技術