พื้นหลัง
MuSig เป็นส่วนเสริมของ/มาจากลายเซ็นของ Schnorr โดยใช้กลุ่มวงกลมบนเส้นโค้งวงรี ใน กระดาษต้นฉบับผู้เขียนชี้ให้เห็นว่า multi-Schnorr ที่ไร้เดียงสานั้นเสี่ยงต่อการถูกโจมตีด้วยคีย์อันธพาล:
ที่ให้ไว้ $\Bbb G$ เป็นกลุ่มวัฏจักรของไพรม์ออร์เดอร์ $g$ เป็นจุดกำเนิด; $H$ เป็นฟังก์ชันแฮช $m$ เป็นข้อความให้ลงชื่อ และมี $n$ ผู้เข้าร่วม:
อนุญาต $L = \{ X_1 = g^{x_1},..., X_n = g^{x_n} \}$ เป็นคีย์ผู้เข้าร่วมหลายชุด
ปล่อยให้แต่ละ nonce แบ่งปันเป็น $R_i = g^{r_i}$.
คำนวณการรวม nonce: $R = \prod_{i=1}^nR_i$
คำนวณคีย์รวม: $\tilde X = \prod_{i=1}^nX_i$
คำนวณความท้าทาย: $c = H(\tilde X, R, m)$
คำนวณแต่ละลายเซ็นบางส่วน: $s_i = r_i + cx_i$
คำนวณลายเซ็นรวม: $s = \sum_{i=1}^ns_i$
ลายเซ็นสำหรับคีย์รวม $\tilde X$ และข้อความ $m$ ตอนนี้ $(ร, ส)$ และสามารถตรวจสอบได้:
$g^s = R\tilde X^c$
หากผู้เข้าร่วมคนหนึ่งเป็นนักแสดงที่ไม่ดีและรอที่จะรวบรวมคีย์ผู้เข้าร่วมคนอื่นทั้งหมดก่อนที่จะส่งคีย์ของเขาเอง เขาสามารถคำนวณคู่คีย์ที่อนุญาตให้เขาลงชื่อสำหรับกลุ่มโดยสลับผลคูณบางส่วน:
$X_1 = g^{x_1} * {(\prod_{i=2}^nX_i)}^{-1}$
การสนับสนุนหลักของกระดาษ MuSig เป็นรูปแบบที่ป้องกันการโจมตีคีย์ปลอมโดยการแปลงคีย์ผู้เข้าร่วมแต่ละคีย์หลังจากการแลกเปลี่ยนคีย์ในลักษณะที่อนุญาตให้มีการรวมคีย์ในรูปแบบคีย์สาธารณะธรรมดา:
อนุญาต $\langle L \rangle$ เป็นคำสั่งกำหนดของ $L$.
อนุญาต $a_i = H(\langle L \rangle, X_i)$
คำนวณ $\tilde X = \prod_{i=1}^n{X_i}^{a_i}$
ปัญหาหนึ่งที่ทราบกันดีเกี่ยวกับการแลกเปลี่ยน nonce คือภายใต้เซสชันพร้อมกันกับ nonce ที่แชร์ล่วงหน้า ผู้โจมตีสามารถใช้การโจมตีวันเกิดทั่วไปของ Wagner เพื่อไบอัสเอาต์พุตแฮช และปลอมแปลงลายเซ็นได้อย่างมีประสิทธิภาพ วิธีแก้ไขปัญหานี้คือการให้ผู้เข้าร่วมทุกคนยอมรับในคุณค่า nonce และแบ่งปันความมุ่งมั่นล่วงหน้าแทนที่จะเป็น nonce เมื่อถึงเวลาสร้างลายเซ็นกลุ่ม nonce จะถูกแลกเปลี่ยน และโปรโตคอลจะยกเลิกหาก nonce ที่ได้รับไม่ได้จับคู่กับข้อผูกมัด
คำถาม
การโจมตีด้วยคีย์ปลอมสามารถแก้ไขได้โดยการใช้คีย์สาธารณะก่อนที่จะแลกเปลี่ยนคีย์เหล่านั้นหรือไม่ สิ่งนี้จะช่วยให้ผู้เข้าร่วมทุกคนสามารถตรวจจับได้ว่ามีผู้เข้าร่วมรายอื่นพยายามควบคุมคีย์สาธารณะของเขาเพื่ออนุญาตให้ใช้ลายเซ็นเดียวสำหรับกลุ่มหรือไม่ เซสชันนั้นสามารถถูกละทิ้งและคีย์รวมที่ฉ้อฉลจะถูกเพิกเฉย
สิ่งนี้เพียงพอที่จะลดการโจมตีด้วยคีย์ปลอมหรือไม่ หรือไม่มีการรับประกันความปลอดภัยในบางสถานการณ์