數字化契約如何守護？解析聚合簽名的妙用_SCH:etschain

作者：李昊軒|微眾銀行區塊鏈核心開發者

來源：微眾銀行區塊鏈微信公眾號

海量數字簽名數據如何進行高效存儲和驗證？能否對來自多個參與方的簽名實現數據聚合壓縮？如果每個參與方使用不同的簽名私鑰對不同消息進行簽名，聚合簽名技術是否依舊可以支持？聚合簽名技術使用過程中又有哪些值得警惕的風險？

伴隨著經濟數字化轉型深入，以區塊鏈技術為代表的多方協作技術逐漸普及，如何驗證承載著多樣化價值的數據有效性早已成為全行業的普遍需求。滿足這一需求的關鍵是引入各式各樣數字化契約，而支持契約中數字簽名高效驗證則是關鍵中的關鍵。

海量數據帶來了海量數字契約，海量數字契約也進一步帶來了海量數字簽名，由此難免遇到數字簽名數據飛速增長、驗證效率不斷下降的困擾。

以區塊鏈應用為例，一般情況下，在區塊鏈節點共識過程中，所有節點都需要對整個區塊進行簽名，并將相關數據，如區塊數據、節點公鑰、簽名數據存儲在區塊中。隨著應用使用量增加，簽名相關存儲數據也會不停增長。不同于傳統應用，鏈上數據在理論上只增不減，而海量簽名帶來的海量數據，對于數據存儲、網絡傳輸、簽名驗證都是巨大負擔。

在保證海量簽名數據可驗證的前提下，對數字簽名數據進行聚合壓縮，其具體技術如何實現？聚合簽名在提升系統效率的同時，有沒有帶來額外風險？且看本文對此逐一解析。

香港證監會：支持關于推動香港數字化經濟發展和成立虛擬資產發展專責小組的建議:金色財經報道，香港證監會歡迎財政司司長陳茂波先生于2023至2024年度政府財政預算案中為進一步鞏固香港作為國際金融中心的地位而提出的各項措施。證監會主席雷添良先生表示，有關將香港發展成為國際綠色科技及金融中心的建議措施，將透過科技創新引領可持續及高質量增長。證監會亦支持關于推動香港數字化經濟發展和成立虛擬資產發展專責小組的建議。在這方面，證監會最近就適用于虛擬資產交易平臺的建議監管規定，展開公眾諮詢。這些規定旨在確保投資者可藉一系列妥善的保障措施而得到充分保護。

金色財經此前報道，香港財政司司長陳茂波表示，將撥款5000萬港幣元加速Web3生態發展，此外，將成立并領導一個虛擬資產發展專責小組，成員包括相關決策局、金融監管機構，以及市場人士，就行業的可持續和負責任發展，向政府提交建議。[2023/2/22 12:22:54]

1.聚合簽名的高效性

一個典型的數字契約一般包括消息原數據、公鑰、簽名三部分。用戶通過公鑰確認簽名者身份，通過數據確認契約內容，從而來認證數字契約的有效性。

對應地，聚合簽名的主要設計目標是將多個簽名數據壓縮合并成單個聚合簽名。驗證者通過所有簽名相關的數據和公鑰組成的列表對單個聚合簽名進行驗證，若驗證通過，其效果等同于對所有相關簽名進行獨立驗證且全部通過。

聲音 | 央行副行長范一飛：穩妥推進數字化形態法定貨幣出臺應用:11月28日，人民銀行副行長范一飛在出席新浪金麒麟論壇時表示，目前，央行法定數字貨幣DC/EP在堅持雙層投放、M0替代、可控匿名的前提下，基本完成頂層設計、標準制定、功能研發、聯調測試等工作。下一步，將遵循穩步、安全、可控原則，合理選擇試點驗證地區、場景和服務范圍，不斷優化和豐富DC/EP功能，穩妥推進數字化形態法定貨幣出臺應用。[2019/11/28]

一般情況下，聚合簽名產生的簽名數據具有大小固定的特性，即無論有多少原始簽名，聚合后簽名數據的大小總是恒定的。

聚合簽名可以有效降低存儲空間和驗證過程中網絡流量成本，尤其對簽名頻次較低但驗證頻次較高的業務場景有顯著效果。

回到區塊鏈節點共識應用場景，當前大多數聯盟鏈共識采用ECDSA簽名算法。針對區塊數據，每個節點用自身私鑰生成獨立的數字簽名，并廣播給其他節點。其他節點會驗證該簽名，并將其寫入下一區塊數據中。

使用這種方式，當共識節點數較多時，會導致每輪共識區塊存儲的簽名數據不斷增加，占用存儲空間。每當新節點加入網絡，需要同步歷史區塊時，大量簽名數據會對網絡帶寬造成不小的挑戰。

聚合簽名方案可以在一定程度上解決以上問題。相比直接保存多個獨立簽名，使用聚合簽名技術后，每個節點會收集其他節點廣播的聚合簽名分片，然后將簽名分片聚合保存。這樣，當新節點加入時，同步歷史區塊只需下載聚合后的簽名數據，大大減少對網絡帶寬的占用。

聲音 | 金書波：蜂業通過區塊鏈等體系在全產業鏈推進數字化管理 可有效助力精準扶貧:據人民網消息，首屆中國數字化蜂業高質量發展峰會5月18日在浙江淳安楓樹嶺鎮舉行。中國綠色供應鏈聯盟理事長金書波表示，數字化養蜂是順應滿足市場蜂業產品需求的有效渠道，蜂業通過互聯網、大數據、區塊鏈體系在全產業鏈推進數字化管理，可有效助力精準扶貧。[2019/5/20]

除了數據存儲和傳輸效率提高，當被聚合的數字簽名數量足夠大，理論上也能提高簽名驗證的計算效率。聚合簽名方案的實際性能與其具體構造方式密不可分，下面我們將以目前最常用的Schnorr與BLS聚合簽名為例，介紹其構造細節。

2.Schnorr和BLS聚合簽名構造

根據不同聚合能力，以及是否支持對不同消息產生簽名進行聚合，常見的聚合簽名方案可以分成以下兩類：

只能對同一個消息使用的不同簽名進行聚合，即甲、乙、丙三方對同一份合同A簽名，期間產生的三個簽名可以合并成一個聚合簽名。其典型的構造方案是Schnorr聚合簽名，此類構造方案也常被稱為

多重簽名方案。

可以對不同消息使用的不同簽名進行聚合，即甲對合同A簽名、乙對合同B簽名、丙對合同C簽名，三個不相干的簽名可以合并成一個聚合簽名。其典型的構造方案是BLS聚合簽名。

聲音 | 黃振平：產業互聯網比拼的是數字化供應鏈:據中文科技資訊，近日，在2018全球供應鏈論壇中，鮮易控股集團副總裁黃振平指出，產業互聯網的核心是建立在數字化技術基礎上的新型供應鏈業務網絡，源于數字化技術，基于產業生態的最佳實踐與管理創新的融合。他認為未來的生鮮智慧供應鏈將建立在大數據、人工智能、物聯網和區塊鏈技術至上，依托于產業鏈資源，打通端到端節點信息，優化供應端和物流網絡，再結合大數據挖掘和市場洞察，從根本上提升用戶體驗，降低生產成本，大幅提升生產和交易效率，最終實現商業盈利。[2018/12/26]

Schnorr聚合簽名

Schnorr聚合簽名可以看作一類橢圓曲線上數字簽名方案的擴展，其基本構造方式如下：

使用Schnorr聚合簽名的交互過程如下：

值得注意的是，相比經典數字簽名，Schnorr聚合簽名多了交互隨機數和聚合簽名過程，同時這里所有簽名均是對同一個消息進行簽署。

BLS聚合簽名

金色財經現場報道 節點資本投資合伙人史翔宇：區塊鏈時代是個數字化的真實世界，數字資產的規模必將超過物理資產:金色財經現場報道，今日2018區塊鏈無國界峰會在紐約舉行，節點資本投資合伙人史翔宇發表題為“公鏈的贏家：建筑師與傳教士”的演講。他表示，人類活動的復雜程度超過互聯網構架的承載范圍，數字資產的規模必將超過物理資產。舊技術加上多中心化的結構，可以創造一個全新的世界，新世界的起點是公鏈。區塊鏈時代是個數字化的真實世界，物理價值與數字資產是映射的關系。需要傳教士來傳播新世界的信仰與共識。區塊鏈構建的世界中，效率時代終結，結構競爭將取代效率競爭。[2018/5/12]

有別于Schnorr聚合簽名，BLS聚合簽名額外引入了雙線性映射，其具備以下特性：

該特性是BLS聚合簽名實現對多個不相關的數字簽名聚合的關鍵，其基本構造方式如下：

使用BLS聚合簽名的交互過程如下：

通過引入雙線性映射，BLS聚合簽名打破了簽名所對應的消息必須是同一個的限制，由此可靈活地支持各類簽名聚合需求。同時BLS在聚合過程中交互較少，無需交換隨機數的過程，可以有效減少網絡傳輸帶來的性能損耗。

但是，雙線性映射帶來神奇特性的同時，也提升了計算成本。但目前已知的雙線性映射構造復雜，計算性能在工程實現上慢了幾個數量級。

Schnorr聚合簽名和BLS聚合簽名各有所長。在聚合能力上，BLS占優，在計算性能上，Schnorr占優，兩者具體比較與使用注意事項將在下節中展開。

3.聚合簽名的使用注意事項

聚合簽名的性能

聚合簽名的首要設計目標是壓縮簽名數據，節省數據存儲和網絡傳輸成本。對現有計算機系統，I/O耗時通常是關鍵性能瓶頸，所以此項優化通常可以提升驗證海量簽名數據的整體吞吐量。

一般情況下，假定安全參數為256位，對于Schnorr聚合簽名，其典型的簽名數據為一個聚合后的點和數，大小恒定為64字節，對于BLS聚合簽名，其典型的簽名數據為橢圓曲線上壓縮后的一個點，大小恒定為33字節。

除了吞吐量之外，驗證數字簽名的延時通常也是重要性能指標，但這不是聚合簽名的強項，以下給出一些基于開源代碼實現的實測性能比較結果。

對于Schnorr聚合簽名，盡管其驗簽的理論復雜度比ECDSA簽名低，但由于在驗證時需要使用公鑰列表進行聚合，其性能并沒有明顯提升；另一方面，在簽名過程中，Schnorr聚合簽名多了一些交互流程，性能接近但也不及ECDSA簽名。

對于BLS聚合簽名，由于使用了構造復雜的雙線性映射，各項計算性能均顯著低于ECDSA簽名。同時，雙線性映射目前缺乏對應的硬件加速，軟件優化也不是很成熟，這種狀況可能在未來會得到改善。

聚合簽名的國密化

國密化支持是當前密碼技術應用的熱點方向，然而我國密碼行業標準化技術委員會目前發布的標準，尚未明確規定建議使用的聚合簽名算法。

我們需要根據現有的國密技術規范，提煉出聚合簽名所需的密碼學原語，基于標準方案進行適配構造，具體如下：

橢圓曲線公鑰密碼算法：GM/T0003.5-2012《SM2橢圓曲線公鑰密碼算法第4部分：公鑰加密算法》

消息摘要算法：GM/T0004-2012《SM3密碼雜湊算法》

雙線性映射：GM/T0044.5-2016《SM9標識密碼算法第5部分：參數定義》

聚合簽名的安全風險

無論是Schnorr還是BLS聚合簽名，在設計過程中都提供了理論證明——

即便聚合了海量簽名，最終產生單個聚合簽名的安全性，都與聚合前的經典數字簽名安全性相當。

但是，相比原來只有單方計算的經典數字簽名，聚合簽名計算過程涉及多方交互，一旦參與聚合的任一方有意作惡，恰逢不安全的工程實現，難免會引發額外的安全風險。

以Schnorr聚合簽名為例，一些工程實現為了減少交互成本，在關鍵的隨機數交互過程中，采用預計算方式初始化隨機數。然而，如果攻擊者不遵守協議約定，構造惡意的特殊數據作為隨機數，可能會造成其他用戶的密鑰泄露。

類似地，對于BLS聚合簽名，一些工程實現為了提升計算效率，使用不安全的曲線組合來構造雙線性映射，從而破壞了聚合簽名算法的整體安全性，進而泄露用戶密鑰。

預防這些安全風險的關鍵在于，聚合簽名的工程實現應嚴格按照論文或標準中的算法流程和推薦參數設置，切記不要為了優化性能而引入嚴重的安全風險。

總體而言，聚合簽名為多方協作場景提供了一種節省存儲空間和驗證過程中的網絡流量、提升批量數字簽名驗證性能的解決方案。

不同的聚合簽名針對不同規模的數據量、不同業務領域均具備獨特優勢，其基礎技術選型可以參考下圖：

正是：海量契約驗證難勝任，聚合簽名一鍵理萬機！

通過對多個用戶生成的簽名進行聚合壓縮，聚合簽名大幅提升數字簽名存儲、傳輸、驗證效率，使得海量數字契約中的海量數字簽名得以高效驗證。

除了本文介紹的Schnorr和BLS聚合簽名，基于雙線性映射、同態加密或同態性等密碼學原語，還可以構造出其他聚合簽名方案，比較知名的方案有CL聚合簽名、IBAS基于身份的聚合簽名等。根據具體的業務需求，選用合適方案，可以顯著提升數字簽名的使用效率和系統的整體擴展性。

不知不覺，《隱私保護周三見》已與大家相伴近５個月，感謝交流群內各位專家的不吝分享，給予了我們許多啟發。本論是欄目第一季的收官分享，下一季，我們將聚焦到具體場景中的隱私保護技術與解決方案，敬請持續關注！

Tags：SCHBLS區塊鏈ECDetschainBLST幣區塊鏈的未來發展前景與應用ECD價格

火必