# アダプタ署名とそのクロスチェーン原子交換における応用ビットコインのLayer2拡張ソリューションの急速な発展に伴い、ビットコインとそのLayer2ネットワーク間のクロスチェーン資産移転の頻度が著しく増加しています。この傾向は、Layer2技術が提供するより高いスケーラビリティ、より低い取引手数料、および高いスループットによって推進されています。これらの進展は、より効率的で経済的な取引を促進し、ビットコインのさまざまなアプリケーションにおけるより広範な採用と統合を促しています。したがって、ビットコインとLayer2ネットワーク間の相互運用性は、暗号通貨エコシステムの重要な構成要素となり、革新を促進し、ユーザーにより多様で強力な金融ツールを提供しています。ビットコインとLayer2間のクロスチェーン取引には、中央集権型クロスチェーン取引、BitVMクロスチェーンブリッジ、クロスチェーン原子交換の3つの典型的なソリューションがあります。これらの3つの技術は、信頼の仮定、安全性、利便性、取引額などの点でそれぞれ異なり、異なるアプリケーションのニーズに対応しています。! [ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析](https://img-cdn.gateio.im/social/moments-2f759a084987474f828bddaf6928b645)中央集権的なクロスチェーン取引は速く、マッチングプロセスは比較的容易です。なぜなら、中央集権的な機関が迅速に取引を確認し処理できるからです。しかし、この方法の安全性は完全に中央集権的な機関の信頼性と信用に依存しています。もし中央集権的な機関が技術的な故障、悪意のある攻撃、または違約に遭遇した場合、ユーザーの資金は高いリスクにさらされます。さらに、中央集権的なクロスチェーン取引はユーザーのプライバシーを漏洩する可能性があり、この方法を選択する際には慎重に検討する必要があります。BitVMクロスチェーン橋技術は相対的に複雑です。まず、Peg-in段階では、ユーザーはビットコインをBitVM連合が管理するマルチシグアドレスに支払い、ビットコインをロックします。その後、Layer2で対応する数量のトークンが鋳造され、このトークンを使用してLayer2の取引とアプリケーションを実現します。ユーザーがLayer2トークンを破棄すると、オペレーターが立替えます。次に、オペレーターはBitVM連合が管理するマルチシグプールに対して対応する数量のビットコインを請求します。オペレーターの悪用を防ぐために、請求プロセスには楽観的挑戦メカニズムが採用されており、任意の第三者が悪意のある請求行為に挑戦でき、悪用行為を挫折させることができます。この技術は楽観的挑戦メカニズムを導入しているため、技術は相対的に複雑です。さらに、楽観的挑戦メカニズムは大量の挑戦と応答取引を含むため、取引手数料が高くなります。したがって、BitVMクロスチェーン橋は超大口取引にのみ適しており、Uの増発に似ているため、使用頻度は低くなっています。クロスチェーン原子交換は、非中央集権的な暗号通貨取引を実現する契約です。この場合、「原子」とは、一つの資産の所有権の変化が実際には別の資産の所有権の変化を意味することを指します。この概念は2013年にTierNolanによってBitcointalkフォーラムで初めて提唱されました。4年間、原子交換は理論の領域に留まっていました。2017年にDecredとLitecoinが最初に成功した原子交換を完了したブロックチェーンシステムとなりました。原子交換は二者間で行われる必要があり、第三者は交換プロセスを中断または干渉することはできません。これは、この技術が分散型であり、検閲されず、優れたプライバシー保護を持ち、高頻度のクロスチェーン取引を実現できることを意味し、分散型取引所で広く利用されています。現在、クロスチェーン原子交換には4つの取引が必要です。いくつかの提案では取引の数を2つに圧縮しようとしていますが、交換の両方の当事者に対するリアルタイムオンラインの要件が増加するなどの問題があります。クロスチェーン原子交換技術は、ハッシュタイムロックとアダプタ署名を主に含みます。! [ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析](https://img-cdn.gateio.im/social/moments-d1dea371c4dd34fed51cbd1b2a93474e)ハッシュタイムロック(HTLC)に基づくクロスチェーン原子交換は、2人のユーザーが時間制限のある暗号通貨取引を行うことを可能にします。つまり、受取人は定められた時間内に契約に暗号証明(の"秘密")を提出しなければなりません。そうしないと、資金は送信者に返還されます。受取人が支払いを確認すれば、取引は成功となります。したがって、参加する2つのブロックチェーンはともに"ハッシュロック"と"タイムロック"機能を備えている必要があります。HTLCの原子交換は、分散型交換技術分野における重要なブレークスルーですが、プライバシー漏洩の問題があります。交換のたびに、2つのブロックチェーン上に同じハッシュ値が現れ、わずか数ブロックの間隔で存在します。これは、観察者が交換に参加している通貨を結びつけることができることを意味し、近くにあるブロック内で同じハッシュ値を見つけることができます。クロスチェーンで通貨を追跡すると、出所を特定するのが容易です。このような分析は、関連する身元データを明らかにすることはありませんが、第三者は関与する参加者の身元を容易に推測することができます。アダプタ署名に基づくクロスチェーン原子交換は、Moneroの開発者Joël Guggerによって2020年に提案され、Lloyd Fournierの2019年の論文「One-Time Verifiably Encrypted Signatures, A.K.A. Adaptor Signatures」に基づく実装です。アダプタ署名は追加の署名であり、初期署名と組み合わさって秘密データを表示し、両者が同時に相手に2つの部分データを開示できるようにします。また、Moneroの原子交換を可能にするスクリプトレスプロトコルの重要な構成要素です。! [ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析](https://img-cdn.gateio.im/social/moments-c1f7fb81382024c7d717e75038db0cf1)HTLC原子交換と比べて、アダプタ署名に基づく原子交換には3つの利点があります。まず、アダプタ署名交換スキームは「秘密ハッシュ」交換が依存するオンチェーンスクリプト、すなわちタイムロックとハッシュロックを置き換えます。次に、そのようなスクリプトを含まないため、オンチェーンの占有スペースが減少し、アダプタ署名に基づく原子交換はより軽量で、手数料が低くなります。最後に、HTLCは各チェーンが同じハッシュ値を使用することを要求しますが、アダプタ署名の原子交換に関与する取引はリンクできず、プライバシー保護を実現します。Schnorr/ECDSAアダプタ署名の事前署名は、ランダム数rに対してコミットメントを行います。ランダム数が漏洩すると、秘密鍵が漏洩する可能性があります。また、任意の2つのクロスチェーン取引において、アダプタ署名プロトコルが同じランダム数を使用すると、秘密鍵が漏洩することになります。したがって、RFC 6979を使用してランダム数の再利用問題を解決する必要があります。RFC 6979は、DSAとECDSAを使用して決定論的なデジタル署名を生成する方法を指定しており、ランダム値kの生成に関連するセキュリティ問題を解決しています。具体的には、決定論的なkはHMACによって生成され、ハッシュ関数が秘密鍵、メッセージ、カウンターのハッシュ値を計算することが含まれています。これにより、kは各メッセージに対してユニークであり、同じ入力に対して再現性を持ち、弱いまたは損なわれた乱数生成器に関連する秘密鍵の露出リスクを減少させます。クロスチェーンのシナリオでは、UTXOとアカウントモデルシステムの非互換性の問題を考慮する必要があります。ビットコインはUTXOモデルを採用し、Secp256k1曲線に基づいてネイティブのECDSA署名を実現しています。一方、EVM互換チェーンはアカウントモデルを採用し、ネイティブのECDSA署名をサポートしています。アダプタ署名に基づくクロスチェーン原子交換はイーサリアムと互換性がありません。なぜなら、イーサリアムはアカウントモデルであり、UTXOモデルではないからです。具体的には、アダプタ署名に基づく原子交換では、返金トランザクションは事前に署名されている必要があります。しかし、イーサリアムシステムでは、nonceがわからない場合、トランザクションを事前に署名することができません。! [ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析](https://img-cdn.gateio.im/social/moments-ffe66b54f14cc042d177fac8c071563b)さらに、プライバシーの観点から見ると、アカウントモデルチェーン上のswapの匿名性はHTLCよりも優れています(swapの両者は契約を見つけることができます)。しかし、一方に公開契約が必要なため、アカウントモデルチェーンのswapの匿名性はアダプタ署名の匿名性よりも低くなります。契約のない一方では、swap取引は他の取引と同じように見えます。しかし、EVM契約のある一方では、取引は明らかに資産のswapのためです。一方に公開契約があっても、複雑なチェーン分析ツールを使用しても、別のチェーンに追跡することは不可能です。もし二つのチェーンが同じ曲線を使用しているが、異なる署名アルゴリズムを使用している場合、例えば、一つのチェーンがSchnorr署名を使用し、もう一つのチェーンがECDSAを使用している場合、アダプタ署名は証明可能に安全です。しかし、もし二つのチェーンが異なる曲線を使用している場合、アダプタ署名を使用することはできません。なぜなら、楕円曲線群の位数が異なる、つまりモジュラス係数が異なるため、異なる曲線上で同じアダプタ値を使用することは安全ではありません。! [解析ビットコインおよびレイヤー2資産クロスチェーン技術](https://img-cdn.gateio.im/social/moments-dbf838762d5d60818e383c866ca2d318)アダプタ署名は、非対話型デジタル資産の保管を実現するためにも使用できます。このソリューションには、購入者のアリス、販売者のボブ、そして保管者の3者が含まれます。アダプタ署名を使用することで、非対話型の閾値デジタル資産保管を実現し、対話なしで閾値支出戦略のサブセットをインスタンス化することができます。保管者は任意の取引に署名することはできず、サポートされている一方に秘密を送信するだけです。具体的な実装プロセスには、未署名のファンディングトランザクションの作成、アダプタ署名の交換、暗号文の有効性の検証、争議の処理などのステップが含まれます。争議がない場合、アリスとボブは2-of-2 MuSig出力を自由に使用できます。争議が存在する場合、いずれの当事者もエスクローに連絡し、そのアダプタシークレットを要求できます。! [ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析](https://img-cdn.gateio.im/social/moments-e09f20bac2bd4f245bdfc3006427e45b)実装プロセスでは、検証可能な暗号化技術を使用する必要があります。現在、Secp256k1離散対数に基づいた検証可能な暗号化には、PurifyとJugglingの2つの有望な方法があります。Purifyはゼロ知識証明に基づいて実現されており、Jugglingはシャーディングと範囲証明の方法を採用しています。2つのソリューションは、証明サイズ、証明時間、検証時間の面でわずかな違いがありますが、理論的にはJugglingの方が簡潔です。! [解析ビットコインおよびレイヤー2資産クロスチェーン技術](https://img-cdn.gateio.im/social/moments-9c382f3c2f6eb018947793ebaeed1729)全体的に見ると、アダプタ署名はクロスチェーン原子交換に対してより安全でプライバシーに配慮したソリューションを提供します。しかし、実際のアプリケーションでは、異なるブロックチェーンモデル、署名アルゴリズム、楕円曲線などの要因の影響を考慮し、具体的なシナリオに合わせて適切な実装方法を選択する必要があります。技術の進化が続く中で、アダプタ署名はクロスチェーン取引や資産保管などの分野でより大きな役割を果たすことが期待されています。
アダプタ署名:クロスチェーン原子交換のセキュリティプライバシーソリューションの最適化
アダプタ署名とそのクロスチェーン原子交換における応用
ビットコインのLayer2拡張ソリューションの急速な発展に伴い、ビットコインとそのLayer2ネットワーク間のクロスチェーン資産移転の頻度が著しく増加しています。この傾向は、Layer2技術が提供するより高いスケーラビリティ、より低い取引手数料、および高いスループットによって推進されています。これらの進展は、より効率的で経済的な取引を促進し、ビットコインのさまざまなアプリケーションにおけるより広範な採用と統合を促しています。したがって、ビットコインとLayer2ネットワーク間の相互運用性は、暗号通貨エコシステムの重要な構成要素となり、革新を促進し、ユーザーにより多様で強力な金融ツールを提供しています。
ビットコインとLayer2間のクロスチェーン取引には、中央集権型クロスチェーン取引、BitVMクロスチェーンブリッジ、クロスチェーン原子交換の3つの典型的なソリューションがあります。これらの3つの技術は、信頼の仮定、安全性、利便性、取引額などの点でそれぞれ異なり、異なるアプリケーションのニーズに対応しています。
! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析
中央集権的なクロスチェーン取引は速く、マッチングプロセスは比較的容易です。なぜなら、中央集権的な機関が迅速に取引を確認し処理できるからです。しかし、この方法の安全性は完全に中央集権的な機関の信頼性と信用に依存しています。もし中央集権的な機関が技術的な故障、悪意のある攻撃、または違約に遭遇した場合、ユーザーの資金は高いリスクにさらされます。さらに、中央集権的なクロスチェーン取引はユーザーのプライバシーを漏洩する可能性があり、この方法を選択する際には慎重に検討する必要があります。
BitVMクロスチェーン橋技術は相対的に複雑です。まず、Peg-in段階では、ユーザーはビットコインをBitVM連合が管理するマルチシグアドレスに支払い、ビットコインをロックします。その後、Layer2で対応する数量のトークンが鋳造され、このトークンを使用してLayer2の取引とアプリケーションを実現します。ユーザーがLayer2トークンを破棄すると、オペレーターが立替えます。次に、オペレーターはBitVM連合が管理するマルチシグプールに対して対応する数量のビットコインを請求します。オペレーターの悪用を防ぐために、請求プロセスには楽観的挑戦メカニズムが採用されており、任意の第三者が悪意のある請求行為に挑戦でき、悪用行為を挫折させることができます。この技術は楽観的挑戦メカニズムを導入しているため、技術は相対的に複雑です。さらに、楽観的挑戦メカニズムは大量の挑戦と応答取引を含むため、取引手数料が高くなります。したがって、BitVMクロスチェーン橋は超大口取引にのみ適しており、Uの増発に似ているため、使用頻度は低くなっています。
クロスチェーン原子交換は、非中央集権的な暗号通貨取引を実現する契約です。この場合、「原子」とは、一つの資産の所有権の変化が実際には別の資産の所有権の変化を意味することを指します。この概念は2013年にTierNolanによってBitcointalkフォーラムで初めて提唱されました。4年間、原子交換は理論の領域に留まっていました。2017年にDecredとLitecoinが最初に成功した原子交換を完了したブロックチェーンシステムとなりました。
原子交換は二者間で行われる必要があり、第三者は交換プロセスを中断または干渉することはできません。これは、この技術が分散型であり、検閲されず、優れたプライバシー保護を持ち、高頻度のクロスチェーン取引を実現できることを意味し、分散型取引所で広く利用されています。
現在、クロスチェーン原子交換には4つの取引が必要です。いくつかの提案では取引の数を2つに圧縮しようとしていますが、交換の両方の当事者に対するリアルタイムオンラインの要件が増加するなどの問題があります。クロスチェーン原子交換技術は、ハッシュタイムロックとアダプタ署名を主に含みます。
! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析
ハッシュタイムロック(HTLC)に基づくクロスチェーン原子交換は、2人のユーザーが時間制限のある暗号通貨取引を行うことを可能にします。つまり、受取人は定められた時間内に契約に暗号証明(の"秘密")を提出しなければなりません。そうしないと、資金は送信者に返還されます。受取人が支払いを確認すれば、取引は成功となります。したがって、参加する2つのブロックチェーンはともに"ハッシュロック"と"タイムロック"機能を備えている必要があります。
HTLCの原子交換は、分散型交換技術分野における重要なブレークスルーですが、プライバシー漏洩の問題があります。交換のたびに、2つのブロックチェーン上に同じハッシュ値が現れ、わずか数ブロックの間隔で存在します。これは、観察者が交換に参加している通貨を結びつけることができることを意味し、近くにあるブロック内で同じハッシュ値を見つけることができます。クロスチェーンで通貨を追跡すると、出所を特定するのが容易です。このような分析は、関連する身元データを明らかにすることはありませんが、第三者は関与する参加者の身元を容易に推測することができます。
アダプタ署名に基づくクロスチェーン原子交換は、Moneroの開発者Joël Guggerによって2020年に提案され、Lloyd Fournierの2019年の論文「One-Time Verifiably Encrypted Signatures, A.K.A. Adaptor Signatures」に基づく実装です。アダプタ署名は追加の署名であり、初期署名と組み合わさって秘密データを表示し、両者が同時に相手に2つの部分データを開示できるようにします。また、Moneroの原子交換を可能にするスクリプトレスプロトコルの重要な構成要素です。
! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析
HTLC原子交換と比べて、アダプタ署名に基づく原子交換には3つの利点があります。まず、アダプタ署名交換スキームは「秘密ハッシュ」交換が依存するオンチェーンスクリプト、すなわちタイムロックとハッシュロックを置き換えます。次に、そのようなスクリプトを含まないため、オンチェーンの占有スペースが減少し、アダプタ署名に基づく原子交換はより軽量で、手数料が低くなります。最後に、HTLCは各チェーンが同じハッシュ値を使用することを要求しますが、アダプタ署名の原子交換に関与する取引はリンクできず、プライバシー保護を実現します。
Schnorr/ECDSAアダプタ署名の事前署名は、ランダム数rに対してコミットメントを行います。ランダム数が漏洩すると、秘密鍵が漏洩する可能性があります。また、任意の2つのクロスチェーン取引において、アダプタ署名プロトコルが同じランダム数を使用すると、秘密鍵が漏洩することになります。したがって、RFC 6979を使用してランダム数の再利用問題を解決する必要があります。
RFC 6979は、DSAとECDSAを使用して決定論的なデジタル署名を生成する方法を指定しており、ランダム値kの生成に関連するセキュリティ問題を解決しています。具体的には、決定論的なkはHMACによって生成され、ハッシュ関数が秘密鍵、メッセージ、カウンターのハッシュ値を計算することが含まれています。これにより、kは各メッセージに対してユニークであり、同じ入力に対して再現性を持ち、弱いまたは損なわれた乱数生成器に関連する秘密鍵の露出リスクを減少させます。
クロスチェーンのシナリオでは、UTXOとアカウントモデルシステムの非互換性の問題を考慮する必要があります。ビットコインはUTXOモデルを採用し、Secp256k1曲線に基づいてネイティブのECDSA署名を実現しています。一方、EVM互換チェーンはアカウントモデルを採用し、ネイティブのECDSA署名をサポートしています。アダプタ署名に基づくクロスチェーン原子交換はイーサリアムと互換性がありません。なぜなら、イーサリアムはアカウントモデルであり、UTXOモデルではないからです。具体的には、アダプタ署名に基づく原子交換では、返金トランザクションは事前に署名されている必要があります。しかし、イーサリアムシステムでは、nonceがわからない場合、トランザクションを事前に署名することができません。
! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析
さらに、プライバシーの観点から見ると、アカウントモデルチェーン上のswapの匿名性はHTLCよりも優れています(swapの両者は契約を見つけることができます)。しかし、一方に公開契約が必要なため、アカウントモデルチェーンのswapの匿名性はアダプタ署名の匿名性よりも低くなります。契約のない一方では、swap取引は他の取引と同じように見えます。しかし、EVM契約のある一方では、取引は明らかに資産のswapのためです。一方に公開契約があっても、複雑なチェーン分析ツールを使用しても、別のチェーンに追跡することは不可能です。
もし二つのチェーンが同じ曲線を使用しているが、異なる署名アルゴリズムを使用している場合、例えば、一つのチェーンがSchnorr署名を使用し、もう一つのチェーンがECDSAを使用している場合、アダプタ署名は証明可能に安全です。しかし、もし二つのチェーンが異なる曲線を使用している場合、アダプタ署名を使用することはできません。なぜなら、楕円曲線群の位数が異なる、つまりモジュラス係数が異なるため、異なる曲線上で同じアダプタ値を使用することは安全ではありません。
! 解析ビットコインおよびレイヤー2資産クロスチェーン技術
アダプタ署名は、非対話型デジタル資産の保管を実現するためにも使用できます。このソリューションには、購入者のアリス、販売者のボブ、そして保管者の3者が含まれます。アダプタ署名を使用することで、非対話型の閾値デジタル資産保管を実現し、対話なしで閾値支出戦略のサブセットをインスタンス化することができます。保管者は任意の取引に署名することはできず、サポートされている一方に秘密を送信するだけです。
具体的な実装プロセスには、未署名のファンディングトランザクションの作成、アダプタ署名の交換、暗号文の有効性の検証、争議の処理などのステップが含まれます。争議がない場合、アリスとボブは2-of-2 MuSig出力を自由に使用できます。争議が存在する場合、いずれの当事者もエスクローに連絡し、そのアダプタシークレットを要求できます。
! ビットコインおよびレイヤー2資産のクロスチェーンテクノロジーの解析
実装プロセスでは、検証可能な暗号化技術を使用する必要があります。現在、Secp256k1離散対数に基づいた検証可能な暗号化には、PurifyとJugglingの2つの有望な方法があります。Purifyはゼロ知識証明に基づいて実現されており、Jugglingはシャーディングと範囲証明の方法を採用しています。2つのソリューションは、証明サイズ、証明時間、検証時間の面でわずかな違いがありますが、理論的にはJugglingの方が簡潔です。
! 解析ビットコインおよびレイヤー2資産クロスチェーン技術
全体的に見ると、アダプタ署名はクロスチェーン原子交換に対してより安全でプライバシーに配慮したソリューションを提供します。しかし、実際のアプリケーションでは、異なるブロックチェーンモデル、署名アルゴリズム、楕円曲線などの要因の影響を考慮し、具体的なシナリオに合わせて適切な実装方法を選択する必要があります。技術の進化が続く中で、アダプタ署名はクロスチェーン取引や資産保管などの分野でより大きな役割を果たすことが期待されています。