原文标题：Adaptor Signatures and Its Application to Cross-Chain Atomic Swaps

原文作者： mutourend,lynndell

引言

ビットコインのLayer2拡張ソリューションの急速な発展に伴い、ビットコインとそのLayer2対応ネットワーク間のクロスチェーン資産移転の頻度が著しく増加しています。この傾向は、Layer2技術（例えばBitlayer）が提供する高いスケーラビリティ、低い取引手数料、高いスループットによって推進されています。これらの進展は、より効率的で経済的な取引を促進し、ビットコインのさまざまなアプリケーションにおけるより広範な採用と統合を促進しています。したがって、ビットコインとLayer2ネットワーク間の相互運用性は、暗号通貨エコシステムの重要な構成要素となり、革新を推進し、ユーザーにより多様で強力な金融ツールを提供しています。

表1に示すように、ビットコインとLayer2間のクロスチェーン取引には、中央集権型クロスチェーン取引、BitVMクロスチェーンブリッジ、クロスチェーン原子交換の3つの典型的なシナリオがあります。これらの3つの技術は、信頼の仮定、安全性、利便性、取引額などの点で異なり、さまざまなアプリケーションのニーズに応えています。

表1. クロスチェーン取引技術の比較

中央集権型クロスチェーン取引：ユーザーはまずビットコインを中央集権機関（プロジェクトチームや取引所など）に支払います。すると、中央集権機関はLayer2ネットワーク上で等価の資産をユーザー指定のアドレスに支払うことで、クロスチェーン資産移転を完了します。この技術の利点は、スピードが速く、マッチングプロセスが比較的容易であることです。なぜなら、中央集権機関は迅速に取引を確認し処理できるからです。しかし、この方法の安全性は完全に中央集権機関の信頼性と評判に依存しています。中央集権機関が技術的な障害、悪意のある攻撃、債務不履行に直面した場合、ユーザーの資金は高いリスクにさらされます。さらに、中央集権型クロスチェーン取引はユーザーのプライバシーを漏洩する可能性があり、この方法を選択する際には慎重な検討が必要です。したがって、その利便性と効率性はユーザーに大きな便利さを提供しますが、安全性と信頼性は中央集権型クロスチェーン取引が直面する主要な課題です。

BitVMクロスチェーンブリッジ：この技術は比較的複雑です。まず、Peg-in段階で、ユーザーはビットコインをBitVM連合が管理するマルチシグアドレスに支払い、ビットコインをロックします。Layer2で対応する数量のトークンが鋳造され、そのトークンを使用してLayer2取引とアプリケーションを実現します。ユーザーがLayer2トークンを破棄すると、オペレーターが立て替えます。その後、オペレーターはBitVM連合が管理するマルチシグプールに対して、対応する数量のビットコインを請求します。オペレーターの悪用を防ぐために、請求プロセスには楽観的チャレンジメカニズムが採用されており、任意の第三者が悪意のある請求行為に対してチャレンジを行うことができます。この技術は楽観的チャレンジメカニズムを導入しているため、技術的には比較的複雑です。さらに、楽観的チャレンジメカニズムには多くのチャレンジと応答取引が関与し、取引手数料が高くなります。したがって、BitVMクロスチェーンブリッジは超大口取引にのみ適用され、Uの増発に類似しているため、使用頻度は低くなります。

クロスチェーン原子交換：原子交換は、非中央集権的な暗号通貨取引を実現する契約です。この場合、「原子」とは、ある資産の所有権の変更が実際には別の資産の所有権の変更を意味することを指します。この概念は2013年にTierNolanによってBitcointalkフォーラムで初めて提案されました。4年間、原子交換は理論的な領域に留まっていました。2017年にDecredとLitecoinが最初に原子交換を成功裏に完了したブロックチェーンシステムとなりました。原子交換は2者を含む必要があり、任意の第三者が交換プロセスを中断または干渉することはできません。これは、この技術が非中央集権的で、検閲を受けず、プライバシー保護が優れており、高頻度のクロスチェーン取引を実現できることを意味し、非中央集権取引所で広く利用されています。現在、クロスチェーン原子交換には4つの取引が必要ですが、いくつかの提案では取引数を2つに圧縮しようとしていますが、交換の両者に対するリアルタイムのオンライン要件が増加するなどの問題があります。最後に、クロスチェーン原子交換技術は主にハッシュタイムロックとアダプタ署名を含みます。

ハッシュタイムロック（HTLC）に基づくクロスチェーン原子交換：最初にクロスチェーン原子交換を成功裏に実現したプロジェクトはDecredであり、「ハッシュロック」と「タイムロック」を利用して、TierNolanが提案した原子交換をオンチェーンスクリプト（またはスマートコントラクト）を通じて実現しました。HTLCは、2人のユーザーが時間制限のある暗号通貨取引を行うことを許可します。つまり、受取人は指定された時間内（ブロック数またはブロック高で決定）に契約に暗号証明（「秘密」）を提出しなければならず、そうでなければ資金は送信者に返還されます。受取人が支払いを確認すれば、取引は成功します。したがって、参加する2つのブロックチェーンは「ハッシュロック」と「タイムロック」機能を持つ必要があります。

HTLC原子交換は非中央集権的な交換技術の分野における重要なブレークスルーですが、以下の問題があります。これらの原子交換取引およびそれに関連するデータはすべてオンチェーンで行われるため、ユーザーのプライバシーが漏洩します。言い換えれば、交換のたびに、2つのブロックチェーン上に同じハッシュ値が現れ、わずか数ブロックの間隔で存在します。これにより、観察者は交換に参加している通貨を関連付けることができ、互いに近いブロック内で同じハッシュ値を見つけることができます（TimeStamp - wise）。クロスチェーンで通貨を追跡する際、出所を特定するのは容易です。この分析は関連する身元データを明らかにすることはありませんが、第三者は関与する参加者の身元を簡単に推測できます。

アダプタ署名に基づくクロスチェーン原子交換：BasicSwapが提供する2番目の交換は「アダプタ署名」原子交換と呼ばれ、Moneroの開発者Joël Guggerが2020年に発表した"Bitcoin--Monero Cross-chain Atomic Swap"という論文に基づいています。この論文は、Lloyd Fournierの2019年の論文One-Time Verifiably Encrypted Signatures, A.K.A. Adaptor Signaturesの実装と見なすことができます。アダプタ署名は、初期署名と組み合わせて秘密データを表示する追加の署名であり、両者が同時に相手に2つのデータ部分を開示できるようにし、Moneroの原子交換を可能にするスクリプトレスプロトコルの重要な構成要素です。

HTLC原子交換と比較して、アダプタ署名に基づく原子交換には3つの利点があります。まず、アダプタ署名交換スキームは「秘密ハッシュ」交換が依存するオンチェーンスクリプト（タイムロックやハッシュロックを含む）を置き換えます。言い換えれば、HTLC交換の秘密と秘密ハッシュはアダプタ署名交換において直接的な対応関係がありません。したがって、ビットコイン研究界では「スクリプトレススクリプト」と呼ばれています。さらに、そのようなスクリプトが関与しないため、オンチェーンの占有スペースが減少し、アダプタ署名に基づく原子交換はより軽量で、手数料が低くなります。最後に、HTLCは各チェーンが同じハッシュ値を使用することを要求しますが、アダプタ署名の原子交換に関与する取引はリンクできず、プライバシー保護を実現します。

この記事では、まずSchnorr / ECDSAアダプタ署名とクロスチェーン原子交換の原理を紹介します。次に、アダプタ署名に存在するランダム数の安全性の問題とクロスチェーンシナリオにおけるシステムの異種性とアルゴリズムの異種性の問題を分析し、解決策を示します。最後に、アダプタ署名の拡張アプリケーションを実現し、非対話型のデジタル資産の保管を実現します。

アダプタ署名とクロスチェーン原子交換

2.1 Schnorrアダプタ署名と原子交換

2.2 ECDSAアダプタ署名と原子交換

2.2.1 ゼロ知識証明 zk { v | Ṽ = v ᐧ G , V = v ᐧ Y }

安全問題と解決策

3.1 ランダム数の問題と解決策

3.1.1 ランダム数漏洩の問題

Schnorr / ECDSAアダプタ署名の事前署名はすべてランダム数rに対してコミットメントを行いますȒ = r ᐧ G 。さらに、ゼロ知識証明においてランダム数vに対してコミットメントṼ= v ᐧ G , V = v ᐧ Y 。ランダム数が漏洩すると、秘密鍵が漏洩することになります。

具体的には、Schnorrプロトコルにおいて、ランダム数rが漏洩した場合、次の等式に基づいて秘密鍵xを計算することができます。

ŝ = r + cx

同様に、ECDSAプロトコルにおいて、ランダム数rが漏洩した場合、次の等式に基づいて秘密鍵xを計算することができます。

ŝ = r \^{-1}( hash ( m )+ R _ x x )

最後に、ゼロ知識証明プロトコルにおいて、ランダム数vが漏洩した場合、次の等式に基づいてランダム数rを計算し、その後ランダム数rに基づいて秘密鍵xを計算することができます。したがって、ランダム数を使用した後はすぐに削除する必要があります。

3.1.2 ランダム数再利用の問題

任意の2つのクロスチェーン取引に対して、アダプタ署名プロトコルが同じランダム数を使用すると、秘密鍵が漏洩します。具体的には、Schnorrプロトコルにおいて、同じランダム数rを使用した場合、次の方程式の中でrとxのみが未知です。

ŝ_1 = r + c _1 x ,

ŝ_2 = r + c _2 x .

したがって、方程式を解くことで秘密鍵xを得ることができます。

同様に、ECDSAアダプタ署名プロトコルにおいて、同じランダム数rを使用した場合、次の方程式の中でrとxのみが未知です。

ŝ_1 = r \^{-1}( hash ( m _1)+ R _ x x )

ŝ_2 = r \^{-1}( hash ( m _2)+ R _ x x )

したがって、方程式を解くことで秘密鍵xを得ることができます。

最後に、ゼロ知識証明プロトコルにおいて、同じランダム数vを使用した場合、次の方程式の中でvとrのみが未知です。

z _1 = v + c _1 r ,

z _2 = v + c _2 r .

したがって、方程式を解くことでランダム数rを得ることができ、その後方程式を解くことで秘密鍵xを得ることができます。

このように、異なるユーザーが同じランダム数を使用すると、秘密鍵が漏洩します。言い換えれば、同じランダム数を使用する2人のユーザーは、方程式を解くことでお互いの秘密鍵を得ることができます。したがって、RFC 6979を使用してランダム数再利用の問題を解決する必要があります。

3.1.3 解決策：RFC 6979

RFC 6979は、DSAおよびECDSAを使用して決定論的なデジタル署名を生成する方法を指定し、ランダム値kの生成に関連する安全性の問題を解決します。従来のDSAおよびECDSA署名は、各署名操作でランダムに生成されたランダム数kに依存しています。このランダム数が再利用されたり、不適切に生成されたりすると、秘密鍵の安全性が脅かされます。RFC 6979は、秘密鍵と署名対象のメッセージから決定論的にkを導出することにより、ランダム数の生成の必要性を排除します。これにより、同じ秘密鍵で同じメッセージに署名する際、署名は常に同じであり、再現性と予測可能性が向上します。具体的には、決定論的なkはHMACによって生成されます。このプロセスでは、秘密鍵（例えばSHA256）、メッセージ、およびカウンターに対してハッシュ関数を計算します。

k = SHA256 (s k , msg , counter )

上記の等式では、表現を簡潔にするために、秘密鍵s k 、メッセージmsg、およびカウンターcounterに対してハッシュ値を計算していますが、実際のRFC 6979では計算プロセスにさらに多くのハッシュ計算が含まれます。この等式は、kが各メッセージに対して一意であり、同じ入力に対して再現性を持ち、弱いまたは損傷したランダム数生成器に関連する秘密鍵の露出リスクを減少させることを保証します。したがって、RFC 6979はDSAおよびECDSAの決定論的デジタル署名に強力なフレームワークを提供し、ランダム数生成に関連する重大な安全性の問題を解決し、デジタル署名の信頼性と予測可能性を向上させます。Schnorr / ECDSA署名にはランダム数の欠陥が存在するため、RFC 6979を使用して防止する必要があります。したがって、Schnorr / ECDSAに基づくアダプタ署名にもこれらの問題が存在し、RFC 6979の規範を使用してこれらの問題を解決する必要があります。

3.2 クロスチェーンシナリオの問題と解決策

3.2.1 UTXOとアカウントモデルのシステム異種性の問題と解決策

図1に示すように、ビットコインはUTXOモデルを採用し、Secp256k1曲線に基づいてネイティブなECDSA署名を実現しています。BitlayerはEVM互換のBitcoin L2チェーンで、Secp256k1曲線を採用し、ネイティブなECDSA署名をサポートしています。アダプタ署名はBTC交換に必要なロジックを実現し、Bitlayer交換の対応側はEthereumスマートコントラクトの強力な機能によって支えられています。

アダプタ署名に基づくクロスチェーン原子交換、または少なくともECDSA曲線用に設計されたセミスクリプトレスアダプタ署名スキームは、Ethereumと互換性がありません。その理由は、Ethereumがアカウントモデルであり、UTXOモデルではないからです。具体的には、アダプタ署名に基づく原子交換では、返金取引が事前に署名される必要があります。しかし、Ethereumシステムでは、nonceが不明な場合、取引を事前に署名することはできません。したがって、一方が事前署名の完了と取引の実行の間に取引を送信することができ、これにより事前署名された取引は無効になります（nonceが使用されており、再利用できないため）。

さらに、プライバシーの観点から見ると、Bitlayer swapの匿名性はHTLCよりも優れています（swapの両者は契約を見つけることができます）。しかし、一方に公開契約が必要なため、Bitlayer swapの匿名性はアダプタ署名の匿名性よりも低くなります。契約がない一方では、swap取引は他の取引と同じように見えます。しかし、EVM契約がある一方では、取引は明らかに資産のswapのためのものです。たとえ一方に公開契約があっても、複雑なチェーン分析ツールを使用しても、他のチェーンに追跡することは不可能です。

図1. UTXOとアカウントモデルの異種システムによるクロスチェーン原子交換

Bitlayerは現在、ネイティブなECDSA署名をサポートしており、スマートコントラクトを通じてSchnorr署名の検証も実現できます。ネイティブなBitlayer取引を使用する場合、原子交換における返金取引を事前に署名することはできません。Bitlayerスマートコントラクト取引を使用する必要がありますが、そのプロセスはプライバシーを犠牲にします。つまり、Bitlayerシステムで原子交換に参加する取引は追跡可能ですが、BTCシステム内の取引には追跡できません。Bitlayer側では、Tornado CashのようなDappアプリケーションを設計して、BTCとBitlayerの原子交換におけるBitlayer側の取引にプライバシーサービスを提供することができます。

3.2.2 同じ曲線、異なるアルゴリズム、アダプタ署名の安全性

図2に示すように、BitcoinとBitlayerが共にSecp256k1曲線を使用していると仮定しますが、BitcoinはSchnorr署名を使用し、BitlayerはECDSAを使用しています。この場合、SchnorrとECDSAに基づくアダプタ署名は、証明可能に安全です。ECDSAとSchnorr署名のオラクルが与えられた場合、シミュレーターSを構築してECDSAを攻撃することができると仮定します。そうすると、ECDSA署名のオラクルが与えられた場合、シミュレーターSを構築してECDSAを攻撃することができます。しかし、ECDSAは安全です。同様に、ECDSAとSchnorr署名のオラクルが与えられた場合、シミュレーターSを構築してSchnorr署名を攻撃することができると仮定します。そうすると、ECDSA署名のオラクルが与えられた場合、シミュレーターSを構築してSchnorr署名を攻撃することができます。しかし、Schnorr署名は安全です。したがって、クロスチェーンシナリオにおいて、アダプタ署名は同じ曲線を使用しますが、署名アルゴリズムが異なる場合、安全です。言い換えれば、アダプタ署名は一方がECDSAを使用し、もう一方がSchnorr署名を使用することを許可します。

図2. 同じ曲線、異なるアルゴリズム、アダプタ署名

3.2.3 異なる曲線、アダプタ署名は安全でない

仮にBitcoinがSecp256k1曲線とECDSA署名を使用し、Bitlayerがed25519曲線とSchnorr署名を使用しているとします。この場合、アダプタ署名を使用することはできません。曲線が異なるため、楕円曲線群の階が異なり、すなわちモジュラス係数が異なります。BobがBitcoinシステムでyをECDSA署名に適合させるとき、s := ŝ+ yを計算します。このとき、yの取値空間はSecp256k1楕円曲線群のスカラー空間です。その後、Aliceはyを使用してed25519楕円曲線群でSchnorr署名を行う必要があります。しかし、ed25519曲線の余因子は8であり、モジュラス係数はSecp256k1楕円曲線群のモジュラス係数とは異なります。したがって、yをed25519曲線上でSchnorr署名に使用することは安全ではありません。

デジタル資産の保管アプリケーション

デジタル資産の保管には、買い手のAlice、売り手のBob、および保管者の3者が関与します。アダプタ署名を使用することで、非対話型の閾値デジタル資産保管を実現でき、相互作用なしに閾値支出戦略のサブセットをインスタンス化できます。このサブセットは、初期化に参加する参加者と初期化に参加しない参加者の2種類で構成され、後者は保管者と呼ばれます。保管者は任意の取引に署名することはできず、サポートされている一方に秘密を送信するだけです。

一方、保管者は数回の固定された決済取引の中から選択することしかできず、他の参加者の一方と新しい取引に署名することはできません。したがって、この秘密解放メカニズムは、非対話型の閾値保管の柔軟性が閾値Schnorr署名よりも劣ることを意味します。一方で、閾値Schnorr署名を使用して2-of-3支出戦略を設定することができます。しかし、閾値Schnorr署名プロトコルは、非中央集権的な鍵生成プロトコルを実行するために3者の運用を必要とします。したがって、アダプタ署名に基づく資産保管プロトコルは非対話型の利点を持っています。

4.1 アダプタ署名に基づく非対話型資産保管

図3. アダプタ署名に基づく非対話型資産保管

図3に示すように、AliceとBobは、保管者を含む2-of-3取引出力を持つ隠れた戦略を持つ取引を作成したいと考えています。条件cに応じて、AliceまたはBobがその取引出力を使用できます。AliceとBobの間に争いがある場合、保管者（公開鍵E、秘密鍵e）はAliceまたはBobがその資産を取得するかを決定します。

1. AliceとBobの間の2-of-2 MuSig出力にBTCを送信する未署名の資金調達取引を作成します。

2. Aliceはランダム値tAを選択し、ある取引のアダプタをtA ᐧ GのSchnorr事前署名(\ha t { R }_ A ,\ha t { s }_ A )としてBobに送信します。この取引は資金調達出力をBobに送信するものです。Aliceは同時にBobに対して、秘密tAに対する暗号文を送信し、保管者の公開鍵EをEc = E + ha s h( E , c ) Gに調整します。\ t ex t bf{検証可能な暗号化}C = E n c ( E _ c , t _ A )。このプロセスで、BobはAliceの事前署名を受け取った後、自分の署名を加えますが、2-of-2 MuSigを満たさないため、資金調達出力を使用することはできません。Bobがt_Aを知っている場合（保管者から提供される）、またはAliceが別途完全な署名をBobに送信する場合にのみ、資金調達出力を使用できます。

3. それに対応して、Bobは自分のアダプタ秘密t_Bに基づいて、ステップ（2）を繰り返します。この時、Bobが署名した取引は資金調達出力をAliceに送信するものです。

4. AliceとBobは受信した暗号文の有効性を確認し、暗号文がE_cに対する秘密の暗号化であることを確認します。これにより、資金調達取引に署名して放送します。検証可能な暗号化により、セットアップ段階で保管者が関与する必要がなく、公開契約cを必要としません。

5. 争いがある場合、AliceとBobは暗号文と条件cを保管者に送信し、保管者は実際の状況を判断し、調整された秘密鍵e + hash ( E , c )を使用して解読し、tA / tBをBob / Aliceに送信します。

争いがない場合、AliceとBobは思い通りに2-of-2 MuSig出力を使用できます。争いがある場合、いずれかの当事者が保管者に連絡し、アダプタ秘密tAまたはtBを要求することができます。したがって、その一方は保管者の助けを借りてアダプタ署名を完了し、その決済取引を放送することができます。

4.2 検証可能な暗号化

離散対数に基づく古典的な検証可能な暗号化スキーム（Practical Verifiable Encryption and Decryption of Discrete Logarithms）は、Secp256k1アダプタには使用できません。なぜなら、特定の構造化されたグループの検証のみをサポートしているからです。

現在、Secp256k1離散対数に基づく検証可能な暗号化を実現するための2つの有望な方法があります。それは、PurifyとJugglingです。

Purifyは、決定論的nonce（DN）を持つMuSigプロトコルを作成するために最初に提案され、各署名者がゼロ知識証明を使用してそのnonceが擬似ランダム関数（PRF）を公開鍵とメッセージに正しく適用した結果であることを証明することを要求します。Purify PRFは、Bulletproofsゼロ知識プロトコルの算術回路内で効率的に実装され、Secp256k1上の離散対数に対して検証可能な暗号化スキームを作成します。言い換えれば、zkSnarkを使用して検証可能な暗号化を実現します。

Juggling暗号化は4つのステップを含みます：（1）離散対数xを長さlの複数のセグメントx_kに分割し、x = \sum _k 2\^{(k-1)l} xk；（2）公開鍵Yを使用してセグメントxk ᐧ GをElGamal暗号化\{ Dk, Ek\} = \{ xk ᐧ G + rk ᐧ Y, rk ᐧ G \}；（3）各xk ᐧ Gに対して範囲証明を作成し、DkがPedersenコミットメントxk ᐧ G + rk ᐧ Yであり、その値が2\^l未満であることを証明します；（4）sigmaプロトコルを使用して、\{sum Dk, sum Ek\}がxk ᐧ Gの正しい暗号化であることを証明します。

解読プロセスでは、\{ D _ k , E _ k \}を解読して各x _ k ᐧ Gを得てから、x _ k（取値範囲は[0, 2\^ l )）を総当たり検索します。

PurifyはBulletproofs内でPRFを実行する必要があり、相対的に複雑ですが、Jugglingは理論的により簡単です。さらに、両者のproof size、証明時間、検証時間の差は非常に小さいです。

まとめ

この記事では、Schnorr / ECDSAアダプタ署名とクロスチェーン原子交換の原理について詳細に説明しました。アダプタ署名に存在するランダム数漏洩問題、再利用問題を深く分析し、RFC 6979を使用してこれらの問題を解決することを提案しました。さらに、クロスチェーンアプリケーションシナリオにおいて、ブロックチェーンのUTXOモデルとアカウントモデルの違いを考慮するだけでなく、アダプタ署名が異なるアルゴリズムや異なる曲線をサポートするかどうかなどの問題も考慮する必要があることを詳細に分析しました。最後に、アダプタ署名の拡張アプリケーションを実現し、非対話型のデジタル資産保管を実現し、関与する暗号学的原則である検証可能な暗号化について簡単に紹介しました。

参考文献

1. Gugger J . Bitcoin - monero cross - chain atomic swap [ J ]. Cryptology ePrint Archive , 2020.

2. Fournier L . One - time verifiably encrypted signatures aka adaptor signatures [ J ]. 2019, 2019.

3. https :// crypto - in - act io n . github . io / ecdsa -blockcha in - dangers /190816- secp256 k1 - ecdsa - dangers . pdf

4. Pornin T . Deterministic usage of the digital signature algorithm ( DSA ) and elliptic curve digital signature algorithm (EC DSA )[ R ]. 2013.

5. Komlo C , Goldberg I . FROST : flexible round - optimized Schnorr threshold signatures [ C ]// Selected Areas in C ryptography: 27th I nternational C onference, Halifax , NS , C anada ( Virtual Event ), October 21-23, 2020, Revised Selected Papers 27. Spr in ger I nternational Publish in g, 2021: 34-65.

6. https :// github . com / BlockstreamResearch / scriptless - scripts / blob / master / md / NITE . md

7. https :// particl . news / the - dex - revolution - basicswap - and - private -e the reum- swaps /

8. C amenisch J , Shoup V . Practical verifiable encryption and decryption of discrete logarithms [ C ]// Annual International C ryptology C onference. Berlin , Heidelberg : Springer Berlin Heidelberg , 2003: 126-144.

9. Nick J , Ruffing T , Seurin Y , et al . MuSig - DN : Schnorr multi - signatures with verifiably d et erministic n on ces [ C ]// Proceedings of the 2020 A C M SIGSA C C on ference on C omputer and C ommunicati on s Security . 2020: 1717-1731.

10. Shlomovits O , Leiba O . J ugglingswap : scriptless atomic cross - chain swaps [ J ]. arXiv preprint arXiv :2007.14423, 2020.