聚合签名并非新鲜事物，早在 21 世纪初就已存在。但构建一个真正适用于比特币安全模型（利用比特币的椭圆曲线）的聚合签名从未得到证实。开发者们推测这或许可行。他们分享了手绘草图，并表示：“也许它会像……一样工作，但可以跨交易输入。”这个想法萦绕了多年，因为开发者的民间传说，接近，从未得到证实。

这种情况最近发生了改变，Blockstream Research 的 Jonas Nick 和 Tim Ruffing 与 Ledger 的 Yannick Seurin 共同发表了一篇论文，将这个密码鬼故事变成了一个具体的、可证明的结果。这是第一个正式的、安全的完全恒定大小聚合签名（CISA）方案适用于比特币的原生曲线！

但这有很多话，所以让我们分解一下：

• 完全聚合：不同输入的多个签名被组合成一个——结果是一个 64 字节的签名，无论有多少签名者或输入，其大小都保持不变。
• 交叉输入：每个签名者可以授权不同的输入，并且所有输入都合并为一个签名。

除了比特币已经依赖的假设之外，它没有添加任何重要的新假设。DahLIAS 使用比特币已经依赖的数学原理构建了一个新的加密原语，从而解锁了一种全新的签名。

让我们谈谈曲线和签名

数字签名是比特币证明用户已授权交易的方式。当你使用比特币时，你的钱包会使用私钥对消息进行签名，然后网络会使用匹配的公钥来验证该签名。

比特币使用secp256k1曲线。它快速、高效，并且经过了长时间的实践检验。它支持以下签名方案：椭圆曲线数字签名算法（比特币的原始签名算法）和施诺尔（2021 年通过 Taproot 添加），这是目前比特币共识允许的唯一签名方案。

传统上，完整的签名聚合依赖于比特币曲线 secp256k1 所不支持的数学运算，这使得它看起来遥不可及。这些功能通常依赖于其他类型的椭圆曲线。例如，BLS（Boneh–Lynn–Shacham）签名使用一种称为配对友好曲线的特殊曲线，这种曲线支持高级操作，例如将多个签名（即使是不同消息上的签名）合并为一个。

问题在于，BLS 签名在 secp256k1 上不起作用。虽然 Schnorr 是 ECDSA 的自然升级，因为它们都依赖于同一种椭圆曲线，但添加 BLS 将是一次更大的飞跃，并且会背离比特币现有的安全模型。虽然技术上可行，但它会引入新的加密假设，并显著增加协议的复杂性。支持像 secp256k1 这样的配对友好型曲线BLS12-381，将是比特币的重大变化.

这就是为什么 secp256k1 上从未进行过完整签名聚合的原因之一。

到目前为止。

聚合签名实际上做什么

大多数比特币用户都熟悉多重签名。多重签名钱包中，多个人共同授权使用单个 UTXO 或某个特定的“币”。每个人都签署相同的输入数据。这种设置对于共享托管钱包等场景非常有用。

聚合签名工作方式有所不同。与多人签署同一输入或代币不同，每个签名者在一笔交易中授权不同的 UTXO。这些单独的签名随后被压缩成一个紧凑的证明。使用 DahLIAS，这意味着单个 64 字节签名在比特币的 secp256k1 曲线上，可以同时验证所有输入。

这意味着，如果你有来自五个不同人的五个输入，那么这笔交易就需要五个不同的签名。有了聚合签名，所有这些输入都可以合并成一个。即使每个签名者使用不同的输入并签署交易的不同部分，最终结果仍然是一个签名，证明整笔交易已获得正确授权。

这就像把一整份批准列表压缩成一个文件。签名虽然紧凑，但仍然可以验证每个签名者都授权了各自的 UTXO。

您无需验证 10 个单独的签名，只需验证一个即可。

这有助于重新调整隐私激励机制。通过将签名开销减少到单个 64 字节证明，DahLIAS 降低了 CoinJoins 中合并输入的成本，从经济角度来看，选择隐私比不选择隐私更明智.

半聚合为何如此接近

在比特币引入 Schnorr 签名后不久，开发人员就探索了压缩多个签名的方法，但这些签名的大小并非固定。每个输入都会增加签名的大小，因此交易大小会随着每个参与者的加入而增长。DahLIAS 通过启用全聚合跨输入和签名者。无论涉及多少人或他们签署了什么，所有签名都会压缩成一个恒定大小的 64 字节证明。

DahLIAS 究竟能解锁什么

这里的主要好处是 DahLIAS 正在减少复杂交易的规模。

DahLIAS 采用两轮交互式签名流程。在这方面，它与 MuSig2 类似，但它并非多重签名协议，因为它不要求所有参与者共同签署同一条消息。相反，它会在整个交易中聚合不同消息上的不同签名。

DahLIAS 的验证速度也比单独检查每个签名更快，在某些情况下甚至快两倍。较低的验证成本使更多人更容易运行完整节点，这有助于长期保持比特币的去中心化。

重要的是，DahLIAS 具有强大的加密保障。该方案包含正式的安全证明。早期的“民间”全签名聚合方法缺乏这一点，有些方法甚至后来被证明不安全。幸运的是，这些方法并没有被过早采用。

值得重复的是：DahLIAS 不是多重签名协议。从功能角度来看，它无法与 MuSig2 或 FROST 相提并论，即使它们共享类似的加密构建块。它服务于不同的目的。它提供了一种新方法，将多个独立的批准编码成一个干净、可验证的包。

未来方向

你可能会想：如果 DahLIAS 这么强大，为什么它不是一个 BIP？为什么不把它提议用于比特币共识？

DahLIAS 签名看起来不像 Schnorr 或 ECDSA 签名。验证算法不同。DahLIAS 验证器不需要单一的公钥、消息和签名，而是需要列表公钥和消息，以及单个 64 字节的证明。

这使得 DahLIAS 与比特币当前的共识规则不兼容。在底层支持它需要共识机制的改变。本文并未提出这种改变，但它做了一些同样重要的工作。

本文表明，比特币原生曲线的完整签名聚合方案是可能的。

仅此一点就是向前迈出的一大步。

要使 DahLIAS 成为比特币的一部分，需要有人编写一份比特币改进提案 (BIP)，甚至可能使用 。这意味着需要详细阐述该方案，考量其对共识和实施的影响，并构建社区支持。本文将为此类讨论奠定密码学基础。

DahLIAS 论文的真正价值在于它所证明的东西。secp256k1 上的完全签名聚合不仅仅是一个思想实验。它是具体的、高效的、安全的。多年来，这个想法一直存在于开发者的传说中。现在，它被记录下来、分析并得到验证。剩下的就是把它带到比特币上——如果我们想要的话。

本文由 Kiara Bickers 客座撰写。文中观点仅代表作者个人，并不一定反映 BTC Inc 或 Bitcoin Magazine 的观点。