⚠️原文：Schnorr Applications: MuSig

⚠️写在前面：本文属搬运博客，自己留存学习。

1 什么是多签名？

多签名 是指：一组签名密钥 $(X_1,X_2,...,X_n)$ 共同生成一条消息的签名。

任何正常签名方案 —— 如 Schnorr 或 ECDSA —— 的多签名方案，最简单的方法是将每个签名者对给定消息的单个签名连接起来：$s=(s_1,s_2,...,s_n)$ 。

个人理解：默认的 Schnorr 或 ECDSA 是单签名方案，但它们也可以有多签名版本。最简单的方式，就是将各个单签名连接起来，构成一个多签名。

这个方案已在比特币中通过操作 OP_CHECKMULTISIG —— 简称 OP_CMS —— 得到支持。实际上，OP_CMS 支持更多的操作，你可以创建一个由 m-of-n 参与者控制的地址，其中 m ≤ n，但我们今天只考虑 n-of-n 的情况。

什么是 m-of-n 参与者？答：意思是，至少需要 n 个参与者中的 m 个人同意，才能生成一个有效的签名。当 m=1 时，它等同于传统的单签名方案，即只需要一个人同意即可生成签名。

虽然 OP_CMS 是一个正确的多签名方案，但它有一些严重的缺点。在这种方案中，n-of-n 多签名将是常规签名的 n 倍 大小，因为它需要在链上放置 n 个签名和公钥对。同样，这比验证单个签名需要更长的时间。最后，它没有隐私功能，因为所有参与者都是公开的，即所有 n 个密钥都必须用于验证。

为什么需要在链上放置 n 个签名和公钥对？答：因为在验证签名的时候，我们需要使用相应的签名和公钥。由于在 OP_CMS 方案中，一个多签名是由 n 个签名拼接来的，因此我们在验证时需要这 n 个签名和它们各自对应的公钥。

MuSig 旨在解决这些问题，它是一个 Schnorr 多签名方案。无论签字方的数量多少，它都能产生一个与普通 Schnorr 签名无法区分的签名。因此，MuSig 签名的验证与普通 Schnorr 签名完全相同。此外，它支持 密钥聚合，因此单个签名密钥可以保持私密。

与 OP_CMS 相比，MuSig 降低了存储负担、减少了验证时间、保护了密钥隐私????

具体来说，假设有 n 个签名者 $X_1,X_2,...,X_n$ 和一条消息 $m$，他们希望共同签署这条消息。通过使用 MuSig，他们可以生成一个单一的 Schnorr 签名 $(R,s)$ 。

这将使用 聚合密钥 $X=agg(X_1,X_2,...,X_n)$ 对 $m$ 进行有效签名，这样在任何公共空间 —— 如区块链 —— 中，这 n 个签名者们可以假装自己只是一位拥有密钥 $X$ 的签名者。简而言之，我们可以使得多签名输出和标准输出没有区别。

2 朴素 Schnorr 多签名

针对签名者 $i$，我们对其所使用的变量进行说明：

• 私钥：$x_i$
• 公钥：$X_i=x_i\ast G$
• 一次性私钥：$k_i$
• 部分签名：$R_i=k_i\ast G$
• 部分签名：$s_i=k_i+H(X,R,m)\ast x_i$

为什么叫作一次性私钥？答：签名者 $i$ 每次签名都会重新生成一个随机值 $k_i$，对 $k_i$ 是用完即弃，与 $x_i$ 这种长期性私钥应该区分开来。

假设有 $n$ 个签名者。

朴素 Schnorr 多签名让每个签名者分享自己的公钥 $X_i$，计算并定义聚合密钥为：

$$X=X_1+X_2+...+X_n$$

让每个签名者生成并分享自己的部分签名 $R_i$，计算并定义部分聚合签名为：

$$R=R_1+R_2+...+R_n$$

为什么 $R_i$ 被称为 部分签名， $R$ 被称为 部分聚合签名？答：因为一个完整的签名是 $(R,s)$，所以单独的 $R$ 或 $s$ 只能算作部分签名或者部分聚合签名。

获得部分聚合签名 $R$ 后，每个签名者可以自行计算他们的部分签名 $s_i$：

$$s_i=k_i+H(X,R,m)\ast x_i$$

为了让 $s_i$ 们可以相加，朴素 Schnorr 多签名 将 Schnorr 签名 中的 $H(X,R_i,m)$ 改为了 $H(X,R,m)$。

然后再分享自己的部分签名 $s_i$，计算并定义部分聚合签名为：

$$\begin{array}{rl}s& =s_1+s_2+...+s_n\\ & =(k_1+...+k_n)+H(\\ & \end{array}$$