BLS 디지털 서명

BLS 디지털시그니처(Boneh-Lynn-Shacham^[1](BLS)이라고도 함)는 사용자가 서명자가 진짜인지 확인할 수 있는 암호화 서명 방식입니다.

이 방식에서는 검증에 쌍선형 쌍을 사용하며 시그니처는 타원곡선 그룹의 요소입니다.타원곡선 그룹에서 작업하면 인덱스 미적분 공격에 대해 어느 정도 방어할 수 있습니다(이러한 공격은 페어링의 타깃 $그룹{\displaystyle {}_{}}$(\$displaystyle G_{T})$에서도 가능하다는 주의사항).따라서 FDH 시그니처보다 짧은 시그니처를 사용하여 동일한 수준의 보안을 실현할 수 있습니다.

BLS 시그니처 방식에 의해 생성되는 시그니처는 보통 쇼트시그니처, BLS 쇼트시그니처 또는 단순 BLS ^[2]시그니처라고 불립니다.시그니처 스킴은 계산상의 Diffie의 난해성을 전제로 랜덤오라클 모델에서 보증할 수 있습니다(어댑티브 선택 메시지 공격에서는 스킴은 존재 불가).틈새에 있는 헬먼 문제 디피-헬만 그룹.^[1]

페어링 기능

갭 그룹은 계산 디피가 다음과 같은 그룹입니다.Hellman 문제는 다루기 어렵지만 결정적 디피-헬먼 문제는 효율적으로 해결될 수 있다.퇴화되지 않고 효율적으로 계산 가능한 쌍선형 쌍은 이러한 그룹을 허용합니다.

$e{\displaystyle }$:${\displaystyle G}$ × ${\displaystyle G}$ $→$ ${\displaystyle G_{}}$ T$$\ $times G$ \ $rightarrow$G _ { $T$} let$$ 、 G \ display$$ $style$$$G _ { T $\}$ 、 $G{\displaystyle }$$$\ $display style$ G _ { T } 、 G$$\ $display$$style$ $G{\displaystyle }$_ { T$$$\}$ 。$$CDH 문제의 $예$로서 g$(\displaystyle$${\displaystyle {}^{}}$), g $(\$ g$^{x$ g$$(\$displaystyle$ g$^{$$y$$\})$를 생각할 수 있습니다.직감적으로 $쌍함수{\displaystyle }$e(\$displaystyle$g$^{$xy$\})$는 CDH 문제의 해결책인 ${\displaystyle g^{}}$ ${\displaystyle x^{}}$ y$(\$})를 $계산$하는 데 도움이 되지 않습니다.CDH 문제의 이 인스턴스는 다루기 어려운 것으로 추측됩니다.${\displaystyle g^{}}$z(\$displaystyle$ g$^{z$$\})$를 지정하면$$e${\displaystyle (g^{}}$x , g${\displaystyle {}^{}{y}^{}}$ ) ${\displaystyle =e}$ (${\displaystyle {}^{}}$ ,${\displaystyle {}^{}{g}^{}}$) \ $displaystyle$ e$^$ {$g$} { displaystyle $x$$$} ,$y{\displaystyle }$ \ $displaystyle$y$$= $^$ {$xy$$} without$ $g{\displaystyle {}^{}}$ g ${\displaystyle {}^{}}$ = z = = $of{\displaystyle }$ given given given of of of of of = g ${\displaystyle z^{}}$ $=$ $,$ g, g, g, g, g, g, g, g, g, g, g, g, g, g, g, g, g, g, g쥔다.

쌍선형 $특성{\displaystyle }$x +${\displaystyle y}$ +$$({$displaystyle$ x$+y+z}$회$$)를 사용하면 $e{\displaystyle (g}$ x${\displaystyle {}^{}}$ ${\displaystyle {}^{}}$ ${\displaystyle y^{}{}^{}}$ ${\displaystyle =e}$(${\displaystyle {}^{},}$ ${\displaystyle g{}^{}}$ ${\displaystyle x^{}}$ y ${\displaystyle {}^{}e(}$g${\displaystyle ,}$ ${\displaystyle g^{}}$ z ${\displaystyle {}^{}}$ $e$(${\displaystyle g,}$ g z$)$ {$displaystyle$ e$(g^{x, g$)$$= e$(g,$g)^xy}$=$e$(g,$g, g)인 경우 알 수 있습니다.$style$ xy$=z$ 입니다.

BLS 시그니처 방식

시그니처 스킴은 generate, sign, ^[1]verify의 3가지 기능으로 구성됩니다.

키 생성

키 생성 알고리즘은 0< < \ $displaystyle$0 <$x < r$ 와 같은 $임의$의 정수x$(\$ $displaystyle$x)를$$ 선택합니다.개인 키는 x$(\displaystyle$ x$)$입니다.개인 키 보유자는 공개 키 ${\displaystyle g^{}}$x {\$displaystyle$ g$^{x$을 공개합니다.

서명

개인 $키{\displaystyle }$x(\$displaystyle$ x$)$와 $메시지{\displaystyle }$ m$(\displaystyle$ m$)$을 지정하면 비트 $문자열{\displaystyle }$m(\$displaystyle$ m$)$을 h $(m$로 해시하여 시그니처를 계산합니다.$시그니처{\displaystyle }$ ${\displaystyle =}$ ${\displaystyle h^{}}$ x$(\$ \$displaystyle =$ h$(m$) $=$$h^{x$

검증

시그니처$$\$displaystyle$\$displaystyle$$$g$^{x$와 $공개키{\displaystyle {}^{}}$ g$$$displaystyle$ g$^{x})$를 $지정$하면 e${\displaystyle (}$,${\displaystyle }$, ${\displaystyle g}$) ${\displaystyle =}$ e( ${\displaystyle H}$( \ $displaystyle e$ ( \ displaystyle , g )$= e$( $H$( \ $displaystyle$ , g ) ) } }$$。

특성.

• 단순 임계값^{[citation needed]} 시그니처
• 시그니처 집약:여러 메시지에 대해 여러 공개 키로 생성된 여러 시그니처를 하나의 ^[3]시그니처로 집약할 수 있습니다.
• 고유하고 결정론적: 특정 키 및 메시지에 대해 유효한 시그니처는 1개뿐입니다(RSA PKCS1 v1.5, EdDSA, RSA PSS, DSA, ECDSA 및 Schnorr ^{[citation needed]}등).

적용들

• Chia 블록체인은 현재 BLS 시그니처를 사용하고 있습니다.
• 2020년까지, BLS 서명은 IETF 초안 BLS 서명 사양에 명시된 대로 Etherminum 블록체인의 버전 2(Eth2)에서 광범위하게 사용되었으며, 이는 특정 Eth2 검증자가 실제로 특정 트랜잭션을 ^[2]확인했음을 암호화적으로 보증하기 위해 사용되었습니다.Ethernet에서 BLS 서명을 사용하는 것은 BLS 서명이 양자적으로 안전하지 않기 때문에 중기적으로만 검증 병목현상에 대한 해결책으로 여겨진다.장기적으로는 예를 들어 2025–2030년에 걸쳐 STARK 집약이 BLS 집약을 대신할 것으로 예상됩니다.^[4]

「 」를 참조해 주세요.

• 페어링 기반의 암호화

레퍼런스

외부 링크

• Algorand의 표준 작업 초안에 대한 요약 설명
• 벤 린의 PBC 라이브러리
• 치아 네트워크의 BLS 시그니처 실장(C++)