BLS 署名のような署名集約スキームとは何ですか?

暗号化における BLS 署名を理解する

1. BLS (Boneh-Lynn-Shacham) 署名は、複数のデジタル署名を 1 つのコンパクトな署名に結合できる暗号化方式です。これは署名集約として知られており、ブロックチェーン システム内の効率を向上させる上で重要な役割を果たします。 ECDSA などの従来の署名スキームとは異なり、BLS では、信頼性を失うことなく、異なるメッセージに対する複数の参加者の署名をマージできます。

2. BLS の基礎は、楕円曲線グループ上の双線形マップを使用するペアリングベースの暗号化にあります。これらの数学的構造により、単一の操作を通じて集約された署名の検証が可能になり、計算オーバーヘッドが大幅に削減されます。この特性により、BLS は、多くのバリデーターがブロックに署名する必要がある分散型ネットワークのコンセンサス メカニズムにとって特に魅力的になります。

3. BLS の主な利点の 1 つは、その決定論的な性質です。同じメッセージと秘密鍵から生成された署名は常に同じ出力を生成します。これにより、他のスキームに存在する乱数生成に関連する脆弱性が排除されます。さらに、BLS 署名は通常 32 バイトと短いため、ブロックチェーンの肥大化を最小限に抑えることができます。

4. 集約には署名者間の調整は必要ありません。各参加者は個別に署名し、後で第三者がこれらの署名を組み合わせることができます。各署名に対応する公開キーがわかっている限り、検証は安全かつ効率的に行われます。この機能は、数百または数千のバリデータが関与するプロトコルのスケーラビリティをサポートします。

ブロックチェーンネットワークにおけるBLSの応用

1. イーサリアム 2.0 のようなプルーフ オブ ステーク ブロックチェーンでは、BLS 署名がバリデーターの署名に広く使用されています。何千ものバリデーターがコンセンサスに参加しているため、個々の署名を 1 つのコンパクトな署名に集約することで、ネットワーク全体のストレージと帯域幅の両方の要件が軽減されます。

2. BLS は、プロトコル レベルでの認証処理を合理化することで、より高速なファイナリティを実現します。ブロックごとに何百もの個別の署名を検証する代わりに、ノードは 1 つの集約された署名のみを検証するため、計算時間が大幅に削減され、スループットが向上します。

3. BLS を使用して構築されたしきい値署名により、参加者のサブセットが有効なグループ署名を生成できます。これは、すべてのメンバーが署名する必要はないが、結果が集団的な承認を表すマルチ署名ウォレットや分散型ガバナンス システムに役立ちます。

4. サイドチェーンとレイヤー 2 ソリューションは、BLS アグリゲーションを活用してトランザクション メタデータを圧縮します。ユーザーの署名をオフチェーンでバンドルし、単一の集約された証明をオンチェーンで送信することにより、これらのシステムはセキュリティ保証を維持しながら、より高いトランザクション密度を実現します。

BLS 実装のセキュリティとトレードオフ

1. BLS は、ペアリングに適した曲線における計算上のディフィー ヘルマン問題の難易度を前提とした強力なセキュリティを提供しますが、BLS12-381 などの特殊な楕円曲線に依存しています。これらの曲線は ECDSA で使用されているものよりも実戦テストが少なく、暗号解読に対する長期的な回復力についての懸念が生じています。

2.安全な BLS 展開の重要な要件は、メッセージを楕円曲線上の点にマッピングするときに、独自の予測不可能なハッシュから曲線へのメソッドを使用することです。実装が不十分だと、ドメイン分離が適切に実施されていない場合、署名の可鍛性が低下したり、秘密キー回復攻撃が発生したりする可能性があります。

3. 不正キー攻撃は、公開キーを集約する際の潜在的な脆弱性を表します。攻撃者は、集計検証式を侵害する悪意のある公開キーを作成する可能性があります。このリスクを軽減するために、所有証明や集中キー登録などの対策が採用されることがよくあります。

4. パフォーマンスの点では、ペアリングの計算は標準の楕円曲線演算よりも高価です。集約された署名の検証は、多数の個別の署名を検証する場合に比べて高速ですが、ペアリングの初期セットアップ コストにより、リアルタイム パフォーマンスのために最適化されたライブラリとハードウェア アクセラレーションが必要になります。

BLS 署名に関するよくある質問

BLS と Schnorr 署名集約の違いは何ですか? BLS は、任意の数の署名が 1 つになる真の集約を実現しますが、Schnorr では、MuSig スタイルのマルチパーティ計算を使用しない限り、線形サイズの集約が必要です。 BLS は、さまざまなメッセージにわたる非対話型の集約もネイティブにサポートしますが、Schnorr は通常、メッセージの一致を前提としています。

ペアリング機能が侵害された場合、BLS 署名は偽造される可能性がありますか?はい。 BLS のセキュリティは、双線形ペアリングに関連する問題の解決のしやすさに直接かかっています。効率的なアルゴリズムが、ペアリングに適した曲線での離散対数問題を解くなど、基礎となる前提を破ると、スキーム全体が偽造やキー抽出に対して脆弱になります。

ウォレット開発者はどのようにして BLS を安全に実装するのでしょうか?安全な実装には、Herumi や Milagro などの監査済み暗号ライブラリの使用、ハッシュ時の厳密なドメイン分離の強制、集約前の公開キーの検証、署名ルーチンでのサイドチャネル耐性の確保が含まれます。開発者はカスタム曲線演算を避け、標準化されたパラメータに依存する必要があります。