Consideremos los siguientes supuestos:
Una computadora puede calcular la clave privada de la clave pública en
naños (connSer un número pequeño, más o menos). Por supuesto, esta suposición es altamente hipotética y actualmente se considera poco realista.Se conocen las claves públicas para las cuentas multisignaturas. Suponemos aquí que no están hash o ocultos. También supongo que Musig2 se usa para cuentas multisignaturas. Se espera que esto suceda en Bitcoin, si no me equivoco. Además, Musig2 no se puede usar para CISA, ya que solo permite pasar un solo mensaje (dime si me equivoco).
Ahora, desde que se mantiene la Asunción 2, podemos agregar el conjunto de claves públicas usando Musig2, produciendo una sola clave pública agregada, AggPub. Debido a que es una clave pública válida de X, hay exactamente dos claves privadas correspondientes, Priv1 y Priv2vinculado a AggPub. Al conocer uno de ellos, puede conocer fácilmente al otro al negar la primera clave privada.
De la Asunción 1, ¿podemos calcular una de las claves privadas (Priv1 o Priv2) de AggPub en la misma cantidad de tiempo, es decir, n ¿años? Desde mi perspectiva, sí podemos.
Por supuesto, la suposición 1 es demasiado fuerte. Pero si la respuesta a la pregunta es sí, sugeriría que la compresión de la firma no es la mejor compensación aquí. De hecho, esto podría incluso explotarse para las cuentas de zombis que usan Musig2, lo que permite el desbloqueo de fondos inactivos con una sola clave privada realizando una easy firma de Schnorr.
Consideremos los siguientes supuestos:
Una computadora puede calcular la clave privada de la clave pública en
naños (connSer un número pequeño, más o menos). Por supuesto, esta suposición es altamente hipotética y actualmente se considera poco realista.Se conocen las claves públicas para las cuentas multisignaturas. Suponemos aquí que no están hash o ocultos. También supongo que Musig2 se usa para cuentas multisignaturas. Se espera que esto suceda en Bitcoin, si no me equivoco. Además, Musig2 no se puede usar para CISA, ya que solo permite pasar un solo mensaje (dime si me equivoco).
Ahora, desde que se mantiene la Asunción 2, podemos agregar el conjunto de claves públicas usando Musig2, produciendo una sola clave pública agregada, AggPub. Debido a que es una clave pública válida de X, hay exactamente dos claves privadas correspondientes, Priv1 y Priv2vinculado a AggPub. Al conocer uno de ellos, puede conocer fácilmente al otro al negar la primera clave privada.
De la Asunción 1, ¿podemos calcular una de las claves privadas (Priv1 o Priv2) de AggPub en la misma cantidad de tiempo, es decir, n ¿años? Desde mi perspectiva, sí podemos.
Por supuesto, la suposición 1 es demasiado fuerte. Pero si la respuesta a la pregunta es sí, sugeriría que la compresión de la firma no es la mejor compensación aquí. De hecho, esto podría incluso explotarse para las cuentas de zombis que usan Musig2, lo que permite el desbloqueo de fondos inactivos con una sola clave privada realizando una easy firma de Schnorr.
