Blockstream의 Pieter Wuille는 올해의 Blockchain Protocol Analysis and Security Engineering 2018 컨퍼런스(BPASE '18)에 참석하여 Schnorr 서명 및 Bitcoin에서의 사용 방법에 대해 발표했습니다.
Schiller 서명은 수많은 장점이 있기 때문에 비트코인 계에서 오랫동안 관심을 끌었는데, 이와 관련된 내용은Wuille의 BPASE 발표에서도 다뤄졌습니다. Schiller 서명은 보다 작은 온체인을 생성하고, 보다 빠른 검증을 지원하며, 보다 개선된 개인정보 보호 기능을 보유하고 있습니다. Schnorr 서명은 기본적으로 집계(aggregation)를 통해 여러 개의 서명을 하나로 통합할 수 있습니다. 또한 k-of-n 등 더욱 복잡한 지출 정책을 단일 키에 대한 단일 서명으로 표시할 수 있습니다.
그러나 서명 집계에도 문제는 있습니다. Wuille가 직면했던 가장 큰 문제 중 하나는 한 참가자가 특별히 구성된 키를 사용하여 자금을 훔치는 불량키(rogue-key) 공격이었습니다. 간단한 다중 서명의 경우 키 자체가 서명을 하는 등록 절차를 통해 이를 간단하게 해결할 수 있지만, 거래의 여러 입력에 대해 이를 지원하려면 일반 공개 키 보안이 필요합니다. 이는 즉 설정이 없다는 것을 의미합니다.
최초 발견자인 Russell O'Connor의 이름을 따 “Russell의 공격”이라 불리는 또 다른 공격은 한 당사자가 다른 사람의 키 소유권을 주장하며 그 사람의 다른 출력(output)을 소비할 수 있는 다자간 체계에서 발견되었습니다. Wuille에 따르면, “다자간 체계의 공격 모델은 감지하기 매우 어려울 수 있습니다.”
Wuille는 BPASE에서 이러한 문제와 Bellare-Neven 체계를 개선하는 해결 방법에 대해 광범위하게 논의합니다. 또한 Bellare-Neven 체계의 스칼라 곱을 위해 구현된 성능 개선 방안과 그러한 개선 방안이 블록체인에서 일괄 검증(batch validation)을 가능케 하는 방법에 대해서도 설명합니다. 비트코인에서 이러한 개선을 실현시키기 위해 한 세트의 BIP가 진행 중입니다.
이제 Wuille의 BPASE ‘18 Schnorr 서명 세미나를 온라인으로 보실 수 있습니다.
Schnorr 다중 서명의 추가 확장과 키 집계에 대한 적용 가능성은 MuSig 블로그 게시물 및 Gregory Maxwell, Andrew Poelstra, Yannick Seurin, Pieter Wuille의 논문 “Simple Schnorr Multi-Signatures with Applications to Bitcoin” 에서 확인하실 수 있습니다.