什么是 BLS 签名之类的签名聚合方案？

了解密码学中的 BLS 签名

1. BLS（Boneh-Lynn-Shacham）签名是一种加密方案，可以将多个数字签名组合成一个紧凑的签名。这称为签名聚合，它在提高区块链系统效率方面发挥着至关重要的作用。与 ECDSA 等传统签名方案不同，BLS 允许合并多个参与者在不同消息上的签名，而不会丢失真实性。

2. BLS 的基础在于基于配对的密码学，它使用椭圆曲线群上的双线性映射。这些数学构造可以通过单个操作验证聚合签名，从而大大减少计算开销。这一特性使得 BLS 对于去中心化网络中的共识机制特别有吸引力，在这些网络中，许多验证者必须签署区块。

3. BLS 的一大优势是其确定性——从同一消息和私钥生成的签名将始终产生相同的输出。这消除了其他方案中存在的与随机数生成相关的漏洞。此外，BLS 签名很短，通常为 32 字节，这有助于最大限度地减少区块链膨胀。

4.聚合不需要签名者之间的协调。每个参与者独立签名，第三方可以稍后组合这些签名。只要知道每个签名对应的公钥，验证就保持安全和高效。此功能支持涉及数百或数千个验证器的协议的可扩展性。

BLS在区块链网络中的应用

1. 在以太坊 2.0 等权益证明区块链中，BLS 签名广泛用于验证者签名。由于成千上万的验证者参与共识，将他们的个人签名聚合成一个紧凑的签名可以减少整个网络的存储和带宽需求。

2. BLS 通过简化协议级别的证明处理来实现更快的最终确定。节点不再验证每个块的数百个单独签名，而是仅验证一个聚合签名，从而显着减少计算时间并提高吞吐量。

3. 使用 BLS 构建的阈值签名允许一部分参与者生成有效的群签名。这对于多重签名钱包和去中心化治理系统非常有用，在这些系统中，并非每个成员都需要签名，但结果仍然代表集体批准。

4. 侧链和二层解决方案利用 BLS 聚合来压缩交易元数据。通过在链下捆绑用户签名并在链上提交单个聚合证明，这些系统在保持安全保证的同时实现了更高的交易密度。

BLS 实施的安全性和权衡

1. 虽然 BLS 在配对友好曲线中计算 Diffie-Hellman 问题的难度假设下提供了强大的安全性，但它依赖于专门的椭圆曲线，例如 BLS12-381。与 ECDSA 中使用的曲线相比，这些曲线经过的实际考验较少，引发了人们对密码分析的长期弹性的担忧。

2.安全 BLS 部署的一个关键要求是将消息映射到椭圆曲线上的点时使用独特且不可预测的哈希到曲线方法。如果未正确执行域分离，糟糕的实现可能会导致签名可延展性，甚至导致私钥恢复攻击。

3. 流氓密钥攻击代表聚合公钥时的潜在漏洞。攻击者可以制作恶意公钥来破坏聚合验证方程。通常采用所有权证明或集中密钥注册等对策来减轻这种风险。

4. 从性能角度来看，配对计算比标准椭圆曲线操作更昂贵。虽然聚合签名的验证相对于验证许多单独的签名而言更快，但配对的初始设置成本需要优化的库和硬件加速来实现实时性能。

有关 BLS 签名的常见问题

BLS 与 Schnorr 签名聚合有何不同？ BLS 实现了真正的聚合，其中任意数量的签名成为一个，而 Schnorr 需要线性大小的聚合，除非使用 MuSig 风格的多方计算。 BLS 本身还支持跨不同消息的非交互式聚合，而 Schnorr 通常假设消息一致。

如果配对功能被破坏，BLS 签名是否可以伪造？是的。 BLS 的安全性直接取决于双线性配对相关问题的棘手性。如果有效的算法打破了基本假设（例如解决配对友好曲线上的离散对数问题），则整个方案就很容易被伪造和密钥提取。

钱包开发者如何安全实施BLS？安全实施涉及使用经审计的加密库（如 Herumi 或 Milagro）、在散列过程中强制执行严格的域分离、在聚合之前验证公钥以及确保签名例程中的侧通道阻力。开发人员必须避免自定义曲线算法并依赖标准化参数。