BIP 340: secp256k1のためのSchnorr署名
著者: ピーター・ウィーユ、ジョナス・ニック、ティム・ルフィング ステータス: ファイナル タイプ: スタンダードトラック 作成日: 2020年1月19日 有効化: 2021年11月14日(Taprootとともに、ブロック709,632)
概要
BIP 340は、ビットコインで使用されるsecp256k1楕円曲線のためのSchnorr署名検証を定義した。Schnorr署名は、ビットコインで当初使用されていたECDSAスキームに対していくつかの利点を持つ。
なぜSchnorrか?
サトシ・ナカモトがビットコインの当初の設計でSchnorrではなくECDSAを選んだのは、おそらくSchnorr特許(米国特許4,995,082)が2008年まで失効しなかったため、自由な使用に不確実性があったからである。2020年までには特許は長く失効していた。
ECDSAに対する利点
証明可能な安全性: Schnorr署名には数学的な安全性の証明がある(ランダムオラクルモデルの下で)。一方、ECDSAの安全性は仮定に基づいている。
展性なし: ECDSAと異なり、Schnorr署名は唯一の有効な表現を持ち、第三者による展性を排除する。
線形性: 最も重要な性質。Schnorr署名は線形であり、複数の署名を代数的に結合できる:
- 鍵集約 — 複数の公開鍵を単一の鍵に集約可能
- 署名集約 — 複数の参加者が単一の署名を生成可能
- マルチシグトランザクションがオンチェーンでシングルシグトランザクションと同一に見える
バッチ検証: 複数のSchnorr署名を同時に検証でき、個別に検証するよりも高速。
意義
BIP 340はTaprootアップグレード(BIP 341)の暗号学的基盤を築いた。両者を合わせて、SegWit以来最も重要なビットコインのプライバシーと効率の改善を表している。鍵集約の特性により、マルチシグウォレット、ライトニングネットワークチャネル、複雑なスマートコントラクトがすべてブロックチェーン上で単純なシングル署名の支払いとして表示される。