Wanchain 5.0之密码学篇：普适高效的门限签名和基于共识的跨链验证

原创

1417 天前

1449

前言

区块链跨链机制的需要解决的核心问题有两个，即跨链资产的锁定和跨链信息的验证。Wanchain 5.0 的跨链机制是基于多种密码学组件实现，以完全去中心化的方式解决了以上两个跨链难题。本文将详细介绍Wanchain 5.0跨链资产锁定和跨链信息验证的方式，以及它相对于其他解决方案所具备的优势。

跨链资产的锁定

整体设计

当前跨链资产的锁定大致有三种方式，即基于协议的锁定方式，基于多重签名的锁定方式和基于门限签名的锁定方式。而Wanchain正是首次提出基于门限签名的跨链机制，它相对于其他两种方式具有多种优势：

普适性，即适用于任何类型区块链系统，无需改变原链机制；高效性，资产锁定账户与普通账户不可区分，锁定资产的转移只需一个合法签名，而无需像多重签名一样附多个签名，减少了交易占用的存储空间和验证所需要的计算量，从而降低了使用成本；灵活性，支持任意多的节点去管理资产锁定账户，管理逻辑可以灵活设置，同时最终的签名并不会暴露锁定账户的管理逻辑。

Wanchain针对不同的区块链系统使用不同的门限签名算法。具体而言，对于不支持智能合约的区块链系统（如比特币等），采用ECDSA门限签名算法；对于支持智能合约的区块链系统（如以太坊、EOS等），采用Schnorr门限签名算法。与之前相比，Wanchain 5.0对底层的门限签名算法进行了改进，极大提升了跨链的去中心化程度和安全性。

从ECDSA门限签名算法到门限最优ECDSA签名算法

首先我们介绍一下“门限最优”的概念。一般而言，(t,n)门限签名算法是指有n个参与者，只需其中t人参与即可完成合法签名的生成。而门限最优就是指t的选择范围为[1,n]。在此之前，大多数跨链项目使用的ECDSA门限签名算法均来源于发表于1996年的论文《Robust Threshold Dss Signatures》。这一方案并不是门限最优的，即t的选择范围为[1,(n+1)/2]。因为在这一方案下，密钥是通过Shamir秘密分享的方式拆分为秘密碎片掌握在各节点手中，进行秘密分享的多项式次数为t-1，进行多方计算的乘法会将多项式次数提升为2t-2，具体公式如下：

其中s是锁定账户私钥，f(x)为对s进行Shamir秘密分享的多项式，r为ECDSA算法中的随机因子，g(x)为对r进行Shamir秘密分享的多方式。在ECDSA签名过程中，当私钥碎片和随机因子碎片进行乘法运算后，其运算结果对应的多项式F(x)，次数为2t-2。因此恢复计算结果需要节点数为2t-1，需小于总节点数：

由上可知t的选择范围为[1,(n+1)/2]。

Wanchain 5.0将使用最新的ECDSA门限签名研究成果用于BTC等不支持智能合约的区块链系统的跨链过程，具体算法为发表于2018年的论文《Fast Multiparty Threshold ECDSA with Fast Trustless Setup》，其基于同态加密和MtA（乘法变加法）技术保证了签名的门限最优。

门限最优的性质对于跨链功能的安全性和稳定性具有重要的作用，我们可以从两个角度进行分析：

在t固定情况下，普通ECDSA门限签名方案需要总参与者n≥2t-1才能生成合法签名，而门限最优ECDSA签名方案仅需要总参与者n≥t。如在某个应用场景中，账户私钥的恢复需要5个节点共同参与才能完成，那么在普通ECDSA门限签名方案下，要通过多方计算的方式生成合法签名，则是至少需要将密钥分布在9个节点中，攻击者只需攻破其中5个节点即可完成密钥的恢复，并且盗走锁定账户的资产；而同样的情况下，门限最优ECDSA签名方案仅需5个节点，攻击者需要攻破全部节点才能恢复私钥。因此，在t固定情况下，普通ECDSA门限签名方案下，密钥的分布更加分散和广泛，大大增加了被攻击的风险；相比而言，门限最优ECDSA算法则更为安全。

在n固定情况下，普通ECDSA门限签名方案签名门限的值取值范围为[1,(n+1)/2]，而门限最优ECDSA签名方案签名门限的取值范围更广，为[1,n]，差距接近一半。因此，门限最优ECDSA签名方案能够提供更加灵活的业务逻辑设计空间。同时，以t=(n+1)/2为例，在普通ECDSA门限签名方案下，一旦某个节点掉线，那么便无法通过多方计算的方式生成合法签名；而在门限最优ECDSA门限签名方案下，只要掉线节点不超过(n+1)/2，即可生成合法签名。因此，门限最优ECDSA门限签名方案具有更强的容错性，稳定性更高。

从Shamir秘密分享算法到Feldman可验证秘密分享算法

Wanchain跨链机制下，对于支持智能合约的区块链系统（如以太坊、EOS等）采用Schnorr门限签名算法完成跨链资产的锁定。Schnorr门限签名算法相较于ECDSA门限签名算法，具有更小的计算量以及交互次数，因此大大提高了账户管理的效率。由于Schnorr签名算法并非区块链系统原生的签名算法，只能够通过智能合约实现，因此这种方式仅适用于支持智能合约的区块链系统。Wanchain 5.0将对所有Storeman节点全部向社区进行开放，因此需要一套精准的惩罚机制对其中的恶意节点进行惩罚，以保障跨链机制的安全。而设计惩罚机制的基础就是要对节点在门限签名中所发送数据的合法性进行验证，因此要对原有的Schnorr门限签名算法进行升级。我们的解决方案是将原Schnorr门限签名方案中使用的Shamir秘密分享算法替换为Feldman可验证秘密分享算法。替换后，任何节点都能够对其他节点发送给它的数据进行合法性验证，一旦验证不合法，则将其上传到特定智能合约进行存证。智能合约验证后，将对错误数据的发送者进行惩罚。因此，Feldman可验证秘密分享算法为设计一套精准的惩罚机制奠定了理论基础，使得Wanchain 5.0在实现去中心化的同时，保证了跨链的安全性。

跨链信息的验证

跨链信息的验证方式大致分为两类，即基于证明的验证方式和基于共识的验证方式。基于证明的验证方式下，跨链消息的发送者除了跨链消息之外，还需要提供一份证明，保证所发送跨链信息的合法性；基于共识的验证方式下，跨链消息的合法性由一组节点进行共识，共识的结果作为消息是否合法的依据。Wanchain 5.0采用基于共识的验证方式完成跨链信息合法性的验证。秉承着“签名即共识”的设计思路，Wanchain 5.0将跨链消息验证和锁定账户管理有效的融合为一体。具体而言，Storeman节点在看到原链的跨链交易后，先在本地进行合法性验证，验证合法之后在目标链发送锁定账户的签名碎片。当签名碎片数量超过门限值时（如1/2、2/3等），说明Storeman组对此跨链交易达成了共识，同时这些签名碎片也可以合成为完整签名去触发跨链资产的生成和释放过程。相比于基于证明的验证方式，这种方式具有极高的用户友好性，即用户仅需发送一笔交易即可，因此降低了跨链的成本和所需的时间，具有非常重要的意义。

关键词：区块链、密码学、跨链