比特币技术周报丨Schnorr签名随机数生成为何弃用RFC6979 ？

写在前面：这期的比特币技术周报，我们先讨论一个关于比特币最小允许交易大小的问题，然后是一些新的技术问答，比如关于taproot输入大小、Mempool 300 MB限制以及Schnorr签名nonce生成的问题，最后则是关于比特币基础设施软件的一些重大更新。

(图片来自：tuchong.com)

注：原文内容来自Bitcoin Optech

一、关于最小比特币交易大小的讨论

Thomas Voegtlin在比特币开发者邮件列表中发表了一个 帖子 ，介绍了如何创建只有60字节大小的剥离交易（没有witness内容）。而目前的情况却是，Bitcoin Core拒绝中继或产生小于82字节的交易。对此，Gregory Sanders指出，这个限制规则的原因是为了解决 CVE-2017-12842 漏洞，而攻击者可利用该漏洞将一笔精心编制的64字节交易纳入到一个区块中，然后使用它诱使SPV（轻客户端）钱包确认一笔或多笔其他任意交易（例如支付给轻钱包的假交易）。

正如第36期周报中所述，通过禁止小于65字节的剥离交易，用共识软分叉提议永久性地消除了执行该攻击的能力。

在描述了这一规则的动机之后，Gregory Sanders询问该规则是否可简化为只禁止大小正好为64字节的剥离交易。zmncpxj 回答 称，64字节以下的任何规则都可能会存在漏洞，而65字节或更大的规则则似乎很好。

二、来自比特币StackExchange的精选问答

问题1、 单签名和2-of-3多重签名的taproot输入大小是多少？

Murch答：

taproot通常有两种使用方式。默认方式是使用密钥路径（pay-to-taproot）使用输出，则其行为类似于p2pk输出，除了它使用了schnorr签名以及使用bech32编码的相应地址。

而另一种方法就是多重签名。

实际上，2-of-3多重签名的使用条件被分为3个2-of-2条件：

2-of-{A, B, C} = (A && B) || (A && C) || (B && C)

假设是其中两个密钥是热的，而第三个是用于恢复的备份密钥。使用这两个热密钥进行花费的默认情况是使用MuSig聚合到根路径pubkey中。使用备份密钥的另外花费条件存储在树的子叶中。目前有两种变体：一种是备份密钥能够参与MuSig签名，另一种是退回到更简单的多重签名方案，其中签名是非交互的。

此后，Murch还给出了 相关的成本计算过程和结果 。

问题2: 比特币交易存储池（mempool）超过300 MB会发生什么？

问题具体描述：目前比特币的交易存储池大小为108 MB，根据趋势来看，它正在慢慢接近300 MB，据说这也是BTC交易存储池的限制。那达到300 MB之后会发生什么？

Murch答：

每个节点都会维护一个单独的交易存储池（mempool），虽然默认值是300 MB，但每个节点运营者都可以设置自己的值。mempool限制不适用于序列化数据（这是写入区块的内容，你可以在mempool监视器上看到它的列表），而是与节点上反序列化交易数据的实际存储使用情况有关，而这个存储使用情况取决于平台。

当达到节点的mempool限制时，它将放弃费用率最低的交易，并增加其 minMempoolFeeRate 。它将把新的 minMempoolFeeRate 传达给对等节点，基本上是告诉对方暂时不要转发低于该费用率的交易。请注意，每个节点都单独执行此操作，因此具有较大mempool或不同体系结构的节点可能会在不同的时间丢弃交易。节点将保留与其自己的钱包相关的交易副本。即使所有其他节点都放弃了交易，交易的发送者和接收者也将保留副本。发送者可以强迫其节点丢弃原始交易并发送另一笔有冲突的交易以对其进行更新，或者发送者的节点将继续尝试广播该交易，以便在拥堵过去后最终在网络上再次中继该交易。

在拥堵过去并经历一些延迟之后，节点会降低它的 minmempoolferate ，并再次开始接受它以前拒绝的那些交易。

问题3：为什么不使用RFC6979生成schnorr签名的nonce随机数？

问题具体描述：在阅览 Schnorr签名的BIP 时发现，RFC6979变体并没有被用于Schnorr签名的nonce生成，而是采用了新的生成途径，这是什么原因？

对此问题，Pieter Wuille解释称：

“原因有很多，首先，RFC6979并不便宜，而且相当复杂，计算单个候选nonce，需要22次调用SHA256压缩函数。哈希很快，但这实际上相当于哈希1400字节，与签名时间相比，这不再是微不足道的。而它的目的是实例化一个众所周知的PRNG以生成候选nonce随机数，但这对我们来说开销过高。 secp256k1 有一个有趣的性质，它的group order可以非常接近2^256，因此完全不需要PRNG，一个单独的哈希就足够了，这样复杂性就更低，并且时间也是恒定的。

一个更简单的替代方法是Ed25519所使用的，其中单个SHA512调用生成一个512位数字。我们的构造是不同的，但灵感来自于此，一些更改的地方是：

1. 我们不需要512位的哈希以及模降低，因为曲线order接近2^256,因此我们可以直接使用256位哈希，而不需要缩减；
2. 我们担心签名者的公钥来自不受信任的输入实现（大多数签名API似乎都无法避免这种情况，因为从私钥中重新创建公钥会降低性能）。Greg Maxwell在密码学邮件列表上就此问题展开了讨论：https://moderncrypto.org/mail-archive/curves/2020/001012.html，并收到了DJB等人的回复。我们通过在nonce生成中纳入公钥来解决这个问题。
3. 我们正尝试通过鼓励合成nonce（在可用时包含实际随机性）来防御错误攻击和差分功率分析（DPA）攻击。RFC6979也有一个支持此功能的变体，但由于我们使用了线性派生的私钥（通过BIP32和Taproot）， 因此，DPA攻击更难防范，标准解决方案可能不适用 。请参阅此处的开发者讨论贴：https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2020-March/017711.html

（我同意OP的观点，我们的一些设计选择，还没有在BIP中得到很好的解释） ”

三、比特币主要基础设施的更新

1. Bitcoin Core 0.20.0rc2 是下一版Bitcoin Core软件的最新候选版本；
2. LND 0.10.1-beta.rc2 是下一个LND维护版本软件的最新候选版本；

除了这些之外，本周Bitcoin Core、C-Lightning以及LND还发生了一些显著变化（注：下面提到的Bitcoin Core更改，我们需要等到0.21版本才会看到，而即将发布的0.20版本不会纳入这些新功能）。

1. Bitcoin Core #18956 使用了Windows系统上的API，这就要求使用Windows 7或更高版本的系统。自2018年10月发布Bitcoin Core 0.17以来，所有版本的发行说明都明确提到，使用Windows系统运行core节点，至少是Windows 7或更高版本的系统。
2. Bitcoin Core #18861 阻止节点针对尚未宣布给请求对等方的交易回复P2P协议getdata请求。这可以防止监视节点绕过Bitcoin Core现有的隐私增强行为，即在向每个对等节点（或对等节点组）宣布新交易之前，等待稍长的时间，从而使每笔交易都使用不同的路径在网络中传播。
3. Bitcoin Core＃17681允许钱包内部为BIP32 HD钱包种子获取新地址，即使该种子不再是钱包的活跃种子。这样，即使节点正在执行初始区块链下载（例如在新启动的节点上还原钱包备份时），也可以安全地使用 sethdseed （设置HD种子）RPC切换到新的HD种子。更新的代码，确保钱包可以看到以前从旧HD种子获得的地址的任何付款。
4. Bitcoin Core#18895使用 unbroadcast 字段更新返回有关mempool中个人交易数据的RPC（例如 getrawmempool 和 getmempoolentry ），该字段指示本地节点的任何对等节点是否已请求交易副本（有关广播跟踪的总结，请参阅第96期周报）。此外， getmempoolinfo RPC将使用 unboadcastcount 字段更新。为了保护隐私，只有当交易由节点的钱包或 sendrawtransaction RPC提交时，才会跟踪该交易的广播状态。
5. Bitcoin Core #18677增加了一个新的 --enable-multiprocess 生成配置选项，它将在现有bitcoind和bitcoin-qt二进制文件存在的同时生成额外的二进制文件。目前，新的和旧的二进制文件之间的唯一区别，在于它们的名称。但如果PR#10102被合并，新的二进制文件将把node、wallet和GUI的功能分割成单独的可执行文件，并在必要时相互通信。默认情况下，生成选项当前处于禁用状态。最近一篇关于多进程子项目的文章，请参见第39期周报。
6. Bitcoin Core #18594允许 bitcoin-cli -getinfo 输出多钱包模式加载的每个钱包的余额。
7. C-Lightning#3738利用libwally的PSBT支持，增加了对BIP174部分签名比特币交易（PSBT）的初始支持。用户唯一能够看到的变化是，txprepare RPC返回了交易的PSBT形式，但是PR在GitHub上被标记为努力为新通道提供双重资助（有关使用PSBT进行交互式融资交易的讨论，请参见第83期周报）。
8. LND#4227从各种程序包中删除了原始私钥处理，为硬件钱包签名的支持铺平了道路。