ԭ�Ę��}��AdaptorSignaturesandItsApplicationtoCross-ChainAtomicSwaps

ԭ��朽ӣ�https://blog.bitlayer.org/Adaptor_Signatures_and_Its_Application_to_Cross-Chain_Atomic_Swaps/

���ߣ�mutourend,lynndell1.����

�S��BitcoinLayer2�U�ݷ����Ŀ��ٰl(f��)չ��Bitcoin�c��Layer2����(y��ng)�W(w��ng)�j(lu��)֮�g�Ŀ���Y�a(ch��n)�D(zhu��n)���l���@���������@һڅ���ܵ�Layer2���g(sh��)����Bitlayer�����ṩ�ĸ��߿ɔUչ�ԡ����͵Ľ����M�͸����������Ƅ����@Щ�M�����M�˸���Ч������(j��ng)���Ľ������Ķ����MBitcoin�ڸ��N��(y��ng)���еĸ��V�����úͼ����������Bitcoin�cLayer2�W(w��ng)�j(lu��)֮�g�Ļ����������ɞ�Crypto���B(t��i)ϵ�y(t��ng)���P(gu��n)�I�M�ɲ��֣��Ƅӄ�(chu��ng)���������Ñ��ṩ������ӻ��͏���Ľ��ڹ��ߡ�

���1��ʾ��Bitcoin�cLayer2֮�g�Ŀ�朽������������ͷ������քe�����Ļ���朽�����BitVM��朘�Ϳ��ԭ�ӽ��Q���@�������g(sh��)�����μ��O(sh��)����ȫ����������������~�ȵȷ��������ͬ���ܝM�㲻ͬ�đ�(y��ng)��������

��1.��朽��׼��g(sh��)����

2.2ECDSA�m���������cԭ�ӽ��Q

3.��ȫ���}�c��Q����3.1�S�C��(sh��)���}�c��Q����3.1.1�S�C��(sh��)й©���}

Schnorr/ECDSA�m�����������A(y��)���������S�C��(sh��)$r$�M�г��Z=rG����������֪�R�C���Ќ��S�C��(sh��)$v$�M�г��Z$=vG,V=vY$������S�C��(sh��)й©���t����(d��o)��˽�й©��

���w��������Schnorr�f(xi��)�h��������S�C��(sh��)$r$й©���t�܉����(j��)��ʽ

$ =r+cx.$

Ӌ���˽�$x$��

ͬ������ECDSA�f(xi��)�h��������S�C��(sh��)$r$й©���t�܉����(j��)��ʽ

$=r^{-1}(hash(m)+R_xx).$

Ӌ��˽耳�$x$��

���������֪�R�C���f(xi��)�h��������S�C��(sh��)$v$й©���t�܉����(j��)��ʽ

$z:=v+cr.$

Ӌ����S�C��(sh��)$r$���Ķ��Mһ������(j��)�S�C��(sh��)$r$Ӌ���˽�$x$��������S�C��(sh��)ʹ����������̄h����3.1.2�S�C��(sh��)���Æ��}

������ɂ���朽��ף�����m���������f(xi��)�hʹ����ͬ���S�C��(sh��)���t����(d��o)��˽�й©�����w��������Schnorr�f(xi��)�h�У����ʹ������ͬ���S�C��(sh��)$r$���t���·��̽M�ЃH$r$��$x$��δ֪��

$_1=r+c_1x,$

$_2=r+c_2x.$

��ˣ�������ⷽ�̽M���@��˽�$x$��

ͬ������ECDSA�m���������f(xi��)�h�������ʹ����ͬ���S�C��(sh��)$r$���t���·��̽M�ЃH$r$��$x$��δ֪��

$_1=r^{-1}(hash(m_1)+R_xx),$

$_2=r^{-1}(hash(m_2)+R_xx).$

��ˣ�������ⷽ�̽M���@��˽�$x$��

�������֪�R�C���f(xi��)�h�������ʹ����ͬ���S�C��(sh��)$v$���t���·��̽M�ЃH$v$��$r$��δ֪��

$z_1=v+c_1r,$

$z_2=v+c_2r.$

��ˣ�������ⷽ�̽M���@���S�C��(sh��)$r$���Ķ��Mһ���ⷽ�̽M�@��˽�$x$��

�Դ��������ͬ�Ñ�ʹ����ͬ���S�C��(sh��)��Ҳ��й©˽����Q��֮��ʹ����ͬ�S�C��(sh��)�ăɂ��Ñ����܉���ⷽ�̽M���@�Ì�����˽�����ˣ���(y��ng)ʹ��RFC6979��Q�S�C��(sh��)���Æ��}��3.1.3��Q������RFC6979

RFC6979ָ����һ�Nʹ��DSA��ECDSA���ɴ_���Ԕ�(sh��)�ֺ����ķ�������Q���c�����S�Cֵk���P(gu��n)�İ�ȫ���}�����y(t��ng)��DSA��ECDSA������ه��ÿ�κ��������S�C���ɵ��S�C��(sh��)k��������S�C��(sh��)�����û����ɲ�������Σ��˽耵İ�ȫ����RFC6979ͨ�^��˽耺ʹ�������Ϣ�д_���Ե،�(d��o)��$k$�������������S�C��(sh��)���������@�_����ʹ����ͬ˽耺�����ͬ��Ϣ�r������������ͬ�����Ķ������˿��جF(xi��n)�ԺͿ��A(y��)�y�ԡ����w�������_���Ե�$k$����HMAC���ɵ���ԓ�^���漰��ϣ����(sh��)������SHA256����˽�����Ϣ��Ӌ��(sh��)��Ӌ���ϣֵ��

$k=SHA256(sk,msg,counter).$

������ʽ��������_�������H��˽�sk����Ϣmsg��Ӌ��(sh��)��counterӋ���ϣֵ�����HRFC6979��Ӌ���^���漰����Ĺ�ϣӋ����ԓ��ʽ�_��k��ÿ�l��Ϣ����Ψһ����ͬ�r������ͬ��ݔ����п��جF(xi��n)�������Ҝp�����c�����ܓp���S�C��(sh��)���������P(gu��n)��˽耱�¶�L(f��ng)�U����ˣ�RFC6979��ʹ��DSA��ECDSA�Ĵ_���Ԕ�(sh��)�ֺ����ṩ��һ������Ŀ�ܣ���Q���c�S�C��(sh��)�������P(gu��n)���ش�ȫ���}���������˔�(sh��)�ֺ����Ŀɿ��ԺͿ��A(y��)�y�ԡ��@ʹ��ɞ���Ҫ�߰�ȫ�Ժͷ��χ������Ҫ��đ�(y��ng)�ó���Č��F�˜���Schnorr/ECDSA���������S�C��(sh��)ȱ������Ҫʹ��RFC6979�M�з��������������Schnorr/ECDSA���m��������Ҳ�����@Щ���}��Ҳ��Ҫʹ��RFC6979Ҏ(gu��)���Խ�Q�@Щ���}��3.2��月������}�c��Q����3.2.1UTXO�c�~��ģ��ϵ�y(t��ng)����(g��u)���}�c��Q����

��D1��ʾ��Bitcoin����UTXOģ��������Secp256k1�������F(xi��n)ԭ����ECDSA������Bitlayer��EVM����BitcoinL2�������Secp256k1������֧��ԭ����ECDSA�������m�����������F(xi��n)��BTC���Q�����߉݋����Bitlayer���Q����(y��ng)���t��Ethereum���ܺϼs�ď�����֧����

�����m���������Ŀ��ԭ�ӽ��Q�����������O(sh��)Ӌ����ECDSA������semi-scriptless�m���������������cEthereum��������ԭ������Ethereum���~��ģ�͵���������UTXOģ�������w�����������m����������ԭ�ӽ��Q��Ҫ���˿�ױ���A(y��)�Ⱥ��������ǣ���Ethereumϵ�y(t��ng)���������֪��nonce���t�o���A(y��)�Ⱥ��������������һ���������A(y��)�Ⱥ�����ɺͽ��׈�(zh��)��֮�g�l(f��)�ͽ��ס����@��ʹ�A(y��)�Ⱥ����Ľ��ןoЧ�����nonce�ѱ�ʹ���������؏�(f��)ʹ�ã���

���⣬���[˽�Ƕȁ������@��ζ��Bitlayerswap�������Ա�HTLC����(y��u)��swap���p�������ҵ��ϼs����������������Ҫһ���й��_�ϼs��ʹ��Bitlayerswap�������Ե����m�������������������ڛ]�кϼs��һ����swap���׿������c�κ��������׶�һ��������������EVM�ϼs��һ�����������@�Ǟ����Y�a(ch��n)swap���mȻһ���й��_�ϼs�����Ǽ�ʹʹ�Ï�(f��)�s��朷������ߣ�Ҳ�����܌���׷�ݵ���һ�l���

3.2.3��ͬ�������m������������ȫ

���O(sh��)Bitcoinʹ��Secp256k1������ECDSA��������Bitlayerʹ��ed25519������Schnorr������ԓ��r��������ʹ���m��������������������ͬ����(d��o)�™E�A����Ⱥ���A��ͬ����ģϵ��(sh��)��ͬ��Bob��Bitcoinϵ�y(t��ng)�Ќ�$y$�m�䵽ECDSA�����Еr����Ӌ��$s:=+y$���˕r��$y$��ȡֵ���g��Secp256k1�E�A����Ⱥ�Ę������g���S����Alice��Ҫʹ��$y$��ed25519�E�A����Ⱥ���M��Schnorr������������ed25519���������Ӟ�8����ģϵ��(sh��)������Secp256k1�E�A����Ⱥ��ģϵ��(sh��)�������ʹ��$y$��ed25519�������M��Schnorr�����Dz���ȫ�ġ�4.��(sh��)���Y�a(ch��n)�йܑ�(y��ng)��

��(sh��)���Y�a(ch��n)�й����������c�����քe�飺�I��Alice���u��Bob���йܷ���ʹ���m���������܉�?q��)��F(xi��n)�ǽ���ʽ�T�ޔ�(sh��)���Y�a(ch��n)�й������ڟo�轻������r�Œ������T��֧�����Ե��Ӽ���ԓ�Ӽ���2�N���c�߽M�ɣ����c��ʼ���ą��c���������c��ʼ���ą��c�ߣ����߷Q���йܷ����йܷ����ܺ������⽻�ף���ֻ��֧�ֵ�����һ���l(f��)��������

һ���棬�й���ֻ���ڎׂ��̶��ĽY(ji��)�㽻�����M���x�������o���c�������c��֮һ�����µĽ��ס�������@�N����ጷřC��ʹ�÷ǽ���ʽ�T���йܵ��`���Բ����T��Schnorr��������һ����������ʹ���T��Schnorr�����O(sh��)��2-of-3���M�������������T��Schnorr�����f(xi��)�h��Ҫ�����\���M��Decentralization������Ʌf(xi��)�h����ˣ������m�����������Y�a(ch��n)�й܅f(xi��)�h���зǽ�����(y��u)����4.1�����m���������ķǽ���ʽ�Y�a(ch��n)�й�

�D3.�����m���������ķǽ���ʽ�Y�a(ch��n)�й�

��D3��ʾ��Alice��Bob��Ҫ��(chu��ng)��һ�������[�β��Ե�2-of-3����ݔ�������а���һ���йܷ���ȡ�Q�ڗl��$c$��Alice��Bob�ɻ��Mԓ����ݔ�������Alice��Bob֮�g���ڠ��h���t�йܷ�����耞�$E$��˽耞�$e$���Q����Alice��Bob�@��ԓ�Y�a(ch��n)��

��(chu��ng)��һ��δ����funding���ף���BTC�l(f��)�ͽoAlice��Bob֮�g��ij2-of-2MuSigoutput��

Alice�x��һ���S�Cֵ$t_A$����ij���׵�adapator��$t_A G$��Schnorr�A(y��)����$(\hat{R}_A,\hat{s}_A)$�l(f��)�ͽoBob��ԓ���מ錢fundingoutput�l(f��)�ͽoBob��Aliceͬ�r�oBob�l(f��)��һ�����ģ�ԓ���İ���������$t_A$�����йܹ��$E$�{(di��o)����$E_c=E+hash(E,c)G$��\textbf{����C����}$C=Enc(E_c,t_A)$��ԓ�^���У�Bob�յ�Alice���A(y��)�������������Լ��ĺ��������M��2-of-2MuSig���Ķ��o�����Mfundingoutput���H��Bob֪��$t_A$�����йܷ����ṩ������Alice���⺞�����������l(f��)�ͽoBob�����ܻ��Mfundingoutput��

�c֮������(y��ng)��Bob������adaptorsecret$t_B$���؏�(f��)���E��2�����˕rBob�����Ľ��מ錢fundingoutput�l(f��)�ͽoAlice��

Alice��Bob����C�������ĵ���Ч�ԣ��_�J�����nj�$E_c$�����ܵļ������Ķ���funding���׺��𲢏V��������C����ʹ����setup�A�Οo���йܷ����c���Ҳ���Ҫ���_�ϼs$c$��

���Р��h�r��Alice��Bob�Ɍ������Լ��l��c�l(f��)�ͽo�йܷ����t�йܷ��Ɍ��H��r�ЛQ���Ķ�ʹ���{(di��o)��˽�$e+hash(E,c)$�M�н��ܰl(f��)��$t_A/t_B$�oBob/Alice��

����o���h���tAlice��Bob�ɰ�����������M2-of-2MuSigoutput��������ڠ��h���t�κ�һ������“(li��n)ϵ�йܷ�����Ո����adaptorsecret$t_A$��$t_B$����ˣ�����һ�����йܷ��Ď������������ԓ�m�������������V��ԓ�Y(ji��)�㽻����4.2����C����

�����xɢ����(sh��)�Ľ�(j��ng)�����C���ܷ�����PracticalVerifiableEncryptionandDecryptionofDiscreteLogarithms����������Secp256k1adaptors������H֧����C����Y(ji��)��(g��u)����groups��

Ŀǰ����2�N��ǰ���ķ�ʽ������Secp256k1�xɢ����(sh��)������C�������քe��Purify��Juggling��

Purify����Ǟ��˄�(chu��ng)�����д_����nonce��DN����MuSig�f(xi��)�h���������Ҫ��ÿ��������ʹ����֪�R�C����nonce�nj����S�C����(sh��)��PRF�����_��(y��ng)���ڹ�耺���Ϣ�ĽY(ji��)����PurifyPRF����Bulletproofs��֪�R�f(xi��)�h�����g(sh��)�·�и�Ч���F(xi��n)��������Secp256k1�ϵ��xɢ����(sh��)��(chu��ng)������C���ܷ������Q��֮��ʹ��zkSnark���F(xi��n)����C���ܡ�

Juggling���ܰ����Ă����E����1�����xɢ����(sh��)$x$�з֞�����L��$l$��Ƭ��$x_k$��ʹ��$x=\sum_k2^{(k-1)l}x_k$����2��ʹ�ù��$Y$��Ƭ��$x_k G$�M��ElGamal����$\{D_k,E_k\}=\{x_k G+r_k Y,r_k G\}$����3����ÿ��$x_k G$��(chu��ng)�������C�����C��$D_k$��һ��Pedersen���Z$x_k G+r_k Y$������ֵС��$2^l$����4��ʹ��sigma�f(xi��)�h���C��$\{sumD_k,sumE_k\}$�nj�$x_k G$�����_������

�ڽ����^���У���$\{D_k,E_k\}$���ܳ�ÿ��$x_k G$��Ȼ��F�e������$x_k$��ȡֵ������$[0,2^l)$����

Purify����Bulletproofs��(n��i)��(zh��)��һ��PRF��������(f��)�s����Juggling��Փ�ϸ�������������������proofsize���C���r�L����C�r�L�IJ���С��5.���Y(ji��)

���Č�Schnorr/ECDSA�m���������c���ԭ�ӽ��Q��ԭ���M����Ԕ������������������m�������������S�C��(sh��)й©���}���؏�(f��)���}�������ʹ��RFC6979�Խ�Q�@Щ���}�����⣬Ԕ�������˿�朑�(y��ng)�È�������������(y��ng)���]Blockchain��UTXOģ���c�~��ģ��֮�g�ą^(q��)�e��߀��(y��ng)���]�m���������Ƿ�֧�ֲ�ͬ�㷨����ͬ�����Ȇ��}����󣬌��m���������M�ДUչ��(y��ng)�������F(xi��n)�ǽ���ʽ��(sh��)���Y�a(ch��n)�й��������ν�B���漰���ܴa�W(xu��)ԭ�Z--����C���ܡ�

�����īI

GuggerJ.Bitcoin-monerocross-chainatomicswap[J].CryptologyePrintArchive,2020.

FournierL.One-timeverifiablyencryptedsignaturesakaadaptorsignatures[J].2019,2019.

https://crypto-in-action.github.io/ecdsa-blockchain-dangers/190816-secp256k1-ecdsa-dangers.pdf

PorninT.Deterministicusageofthedigitalsignaturealgorithm(DSA)andellipticcurvedigitalsignaturealgorithm(ECDSA)[R].2013.

KomloC,GoldbergI.FROST:flexibleround-optimizedSchnorrthresholdsignatures[C]//SelectedAreasinCryptography:27thInternationalConference,Halifax,NS,Canada(VirtualEvent),October21-23,2020,RevisedSelectedPapers27.SpringerInternationalPublishing,2021:34-65.

https://github.com/BlockstreamResearch/scriptless-scripts/blob/master/md/NITE.md

https://particl.news/the-dex-revolution-basicswap-and-private-ethereum-swaps/

CamenischJ,ShoupV.Practicalverifiableencryptionanddecryptionofdiscretelogarithms[C]//AnnualInternationalCryptologyConference.Berlin,Heidelberg:SpringerBerlinHeidelberg,2003:126-144.

NickJ,RuffingT,SeurinY,etal.MuSig-DN:Schnorrmulti-signatureswithverifiablydeterministicnonces[C]//Proceedingsofthe2020ACMSIGSACConferenceonComputerandCommunicationsSecurity.2020:1717-1731.

ShlomovitsO,LeibaO.Jugglingswap:scriptlessatomiccross-chainswaps[J].arXivpreprintarXiv:2007.14423,2020.