mutourend
mutourend

ECDSA VS Schnorr signature VS BLS signature

1. ECDSA

ECDSA,全称为Elliptic curve Digital Signature Algorithm,采用Elliptic curve cryptography来实现的数字签名算法。

目前Bitcoin采用的是ECDSA签名方案。

公私钥对 ( p k , P ) (pk,P) (pk,P),其中公钥 P = p k × G P=pk\times G P=pk×G G G G为所选椭圆曲线的base point。(elliptic curve base point: a point on the curve that generates a subgroup of large prime order n n n n × G = O n\times G=\mathcal{O} n×G=O, O \mathcal{O} O is the identity element。)

1.1 ECDSA签名

ECDSA对消息 m m m的签名流程为:

  • 1)计算消息 m m m的hash值: e = h a s h ( m ) e=hash(m) e=hash(m)。(hash函数可为SHA-2,输出转换为数值。)
  • 2)若group order n n n的bit length为 L n L_n Ln,则取 e e e值最左侧的 L n L_n Ln bits赋值给 z z z。(注意, z z z值可以比 n n n大,但bit length不能比 n n n的长。)
  • 3)选择随机数 k ∈ R [ 1 , n − 1 ] k\in_R [1,n-1] kR[1,n1]。(注意,不信任一般的随机数生成器,因为不好的RNG有太多的failures和vulnerabilities,可采用RFC6979 根据 p k pk pk m m m来计算deterministic k k k。)(如:2013年8月,安卓Bitcoin钱包因使用了错误的随机数生成器,引起私钥泄露,导致资金损失;2010年12月,索尼PS3游戏机因错误的使用了静态而不是随机的 k k k值,导致其ECDSA私钥泄露。)
  • 4)计算curve point ( x 1 , y 1 ) = k × G (x_1,y_1)=k\times G (x1,y1)=k×G
  • 5)计算 r = x 1 m o d    n r=x_1\mod n r=x1modn,若 r = 0 r=0 r=0,则跳转继续执行步骤3)。
  • 6)计算 s = ( z + r ⋅ p k ) / k m o d    n s=(z+r\cdot pk)/k \mod n s=(z+rpk)/kmodn,若 r = 0 r=0 r=0,则跳转继续执行步骤3)。
  • 7)最终的签名为 ( r , s ) (r,s) (r,s)。(注意, ( r , − s m o d    n ) (r,-s\mod n) (r,smodn)也为有效签名。)

整个ECDSA签名流程中,要求:

  • k k k值应为secret。
  • 不同的签名应选择不同的 k k k值,否则会泄露私钥 p k pk pk
    在这里插入图片描述

1.2 ECDSA验签

对收到的签名 ( r , s ) (r,s) (r,s),采用公钥 P P P进行验签的流程为:

  • 1)验证公钥 P P P不等于identity element O \mathcal{O} O,且为其坐标为valid。
  • 2)验证公钥 P P P lies on the curve。
  • 3)验证公钥 P P P的order为 n n n,即 n × P = O n\times P=\mathcal{O} n×P=O
  • 4)验证签名 ( r , s ) (r,s) (r,s)有效,即满足 r ∈ [ 1 , n − 1 ] , s ∈ [ 1 , n − 1 ] r\in [1,n-1],s\in [1,n-1] r[1,n1],s[1,n1]
  • 5)计算消息 m m m的hash值,所采用的hash函数应与签名时一致。 e = h a s h ( m ) e=hash(m) e=hash(m)
  • 6)取 e e e的最左侧 L n L_n Ln bits赋值给 z z z
  • 7)计算 u 1 = z / s m o d    n , u 2 = r / s m o d    n u_1=z/s\mod n,u_2=r/s\mod n u1=z/smodn,u2=r/smodn
  • 8)计算curve point ( x 1 , y 1 ) = u 1 × G + u 2 × P (x_1,y_1)=u_1\times G+u_2\times P (x1,y1)=u1×G+u2×P。若 ( x 1 , y 1 ) = O (x_1,y_1)=\mathcal{O} (x1,y1)=O,则签名无效。
  • 9)若 r ≡ x 1 ( m o d    n ) r\equiv x_1(\mod n) rx1(modn)成立,则签名有效,否则签名无效。

注意,以上ECDSA验签算法可做如下改进:

  • 只计算一次 1 / s m o d    n 1/s\mod n 1/smodn
  • 使用Shamir’s trick,a sum of two scalar multiplication u 1 × G + u 2 × P u_1\times G+u_2\times P u1×G+u2×P can be calculated faster than two scalar multiplications done independently。(参考2014年论文《The Double-Base Number System in Elliptic Curve Cryptograhy》)

ECDSA总的签名和验签流程可以如下图示意:
ECDSA VS Schnorr signature VS BLS signature_第1张图片

1.3 ECDSA的public key recovery

ECDSA也支持public key recovery算法,前提是提前知道签名方的公钥或者公钥hash值,否则有可能恢复出错误的公钥信息。
ECDSA VS Schnorr signature VS BLS signature_第2张图片

1.4 ECDSA的弊端

Bitcoin中采用ECDSA的弊端主要有:

  • 1)ECDSA的验签过程中,需要进行求倒数和scalar multiplication运算,这些运算操作都是computationally heavy的。
    在Bitcoin中,每个节点都需要验证所有的交易,当你广播一条交易时,数以千记的计算机都需要验证你的签名。因此,Making verification process simpler will be very beneficial even if signing process is harder。

  • 2)每个节点需要分别验证每个签名。对于m-of-n multisig transaction,节点甚至需要对同一签名进行多次验证。如具有7-of-11 multisig input的transaction,将包含7个签名,同时需要网络中的每个节点验证7到11个签名信息。同时,这样的transaction将占据区块中大量的空间,需要pay larger fees for that。

1.5 ECDSA支持2-of-2 multisignature

观察ECDSA的签名 ( r , s = ( z + r ⋅ p k ) / k m o d    n ) (r,s=(z+r\cdot pk)/k \mod n) (r,s=(z+rpk)/kmodn)(其中 z = h a s h ( m ) z=hash(m) z=hash(m) k k k为随机数, R = k × G R=k\times G R=k×G,r为random point R R R x x x坐标),尽管其没有Schnorr和BLS签名的linearity,无法通过对公钥和签名的addition来进行key aggregation,但是multiplication可以。

aggregated public key可为:
P = p k 1 ⋅ p k 2 × G P=pk_1\cdot pk_2\times G P=pk1pk2×G
通过Diffie Helman key exchange即可实现——every party takes the public key of another party and multiplies it by his private key, then both parties know the common public key without exposing anything about their private keys。

R 1 = k 1 × G R_1=k_1\times G R1=k1×G
R 2 = k 2 × G R_2=k_2\times G R2=k2×G
aggregated random point为:
R = k 1 ⋅ k 2 × G R=k_1\cdot k_2\times G R=k1k2×G
相应的aggregated r r r为aggregated random point R R R x x x 坐标。

接下来的目标是构建 s = ( z + r ⋅ p k 1 ⋅ p k 2 ) / k 1 / k 2 s=(z+r\cdot pk_1\cdot pk_2)/{k_1}/k_2 s=(z+rpk1pk2)/k1/k2,但是要求private key和random number of one party stay unknown to another。可利用同态属性来实现。
具体流程如下图所示:(其中红色字体代表的是private data, 蓝色字体代表的是public data,橙色的字体代表的是homomorphic encryption and decryption。)
ECDSA VS Schnorr signature VS BLS signature_第3张图片
上图中的e()同态加密算法和d()同态解密算法可以借助Paillier scheme类似的思路来实现。
详细为:

  • 选择两个长度一样的large prime numbers p , q p,q p,q
    n = p ⋅ q n=p\cdot q n=pq g = n + 1 g=n+1 g=n+1 ( n , g ) (n,g) (n,g)为public,用于加密。
    λ = l c m ( p − 1 , q − 1 ) \lambda=lcm(p-1,q-1) λ=lcm(p1,q1)lcm表示最小公倍数。) λ \lambda λ具有Carmichael function 有趣的特性,满足:任意的 r r r值, r λ ≡ 1 m o d    n , r λ ⋅ n ≡ 1 m o d    n 2 , r − 1 ≡ r λ − 1 m o d    n r^{\lambda}\equiv 1 \mod n,r^{\lambda\cdot n}\equiv 1\mod n^2,r^{-1}\equiv r^{\lambda -1}\mod n rλ1modn,rλn1modn2,r1rλ1modn,当 r = λ r=\lambda r=λ时,仍然成立。于是有: μ = λ − 1 = λ λ − 1 m o d    n \mu=\lambda^{-1}=\lambda^{\lambda-1}\mod n μ=λ1=λλ1modn ( λ , μ ) (\lambda,\mu) (λ,μ)为secret,用于解密。

  • 对secret number x x x进行加密的流程为:
    选择随机的 r r r e ( x ) = g x ⋅ r n m o d    n 2 e(x)=g^x\cdot r^n\mod n^2 e(x)=gxrnmodn2
    e ( x ) ⋅ g a = g x + a ⋅ r n m o d    n 2 = e ( x + a ) e(x)\cdot g^a=g^{x+a}\cdot r^n\mod n^2=e(x+a) e(x)ga=gx+arnmodn2=e(x+a),具有加法同态属性。
    e ( x ) b = g ( x ⋅ b ) ⋅ ( r b ) n m o d    n 2 = e ( x ⋅ b ) e(x)^b=g^{(x\cdot b)}\cdot (r^b)^n\mod n^2=e(x\cdot b) e(x)b=g(xb)(rb)nmodn2=e(xb),具有乘法同态属性。(The random number changes from r r r to r b r^b rb, but we don’t really care. It’s just a different random number. )

  • 对secret number x x x的解密流程为:
    x = ( e ( x ) λ m o d    n 2 − 1 ) / n ⋅ μ m o d    n x=(e(x)^{\lambda}\mod n^2-1)/n\cdot \mu\mod n x=(e(x)λmodn21)/nμmodn
    具体为:
    e ( x ) λ m o d    n 2 = g ( x ⋅ λ ) ⋅ r ( n ⋅ λ ) m o d    n 2 = g ( x ⋅ λ ) m o d    n 2 e(x)^{\lambda}\mod n^2=g^{(x\cdot \lambda)}\cdot r^{(n\cdot \lambda)}\mod n^2=g^{(x\cdot \lambda)}\mod n^2 e(x)λmodn2=g(xλ)r(nλ)modn2=g(xλ)modn2
    注意之前有 g = n + 1 g=n+1 g=n+1,利用 binomial theorem :
    ECDSA VS Schnorr signature VS BLS signature_第4张图片
    g x m o d    n 2 = ( n + 1 ) x m o d    n 2 = ( 1 + x ⋅ n + x ⋅ ( x − 1 ) / 2 ⋅ n 2 + ⋯   ) m o d    n 2 = ( 1 + x ⋅ n ) g^x\mod n^2=(n+1)^x\mod n^2=(1+x\cdot n+x\cdot (x-1)/2\cdot n^2+\cdots)\mod n^2=(1+x\cdot n) gxmodn2=(n+1)xmodn2=(1+xn+x(x1)/2n2+)modn2=(1+xn)
    于是令 x = λ x x=\lambda x x=λx有: g ( x ⋅ λ ) m o d    n 2 = 1 + λ x ⋅ n g^{(x\cdot \lambda)}\mod n^2=1+\lambda x\cdot n g(xλ)modn2=1+λxn
    于是 e ( x ) λ m o d    n 2 − 1 ) / n ⋅ μ m o d    n = ( 1 + λ x ⋅ n − 1 ) / n ⋅ μ = x e(x)^{\lambda}\mod n^2-1)/n\cdot \mu\mod n=(1+\lambda x\cdot n -1)/n\cdot \mu=x e(x)λmodn21)/nμmodn=(1+λxn1)/nμ=x成立。

同时,以上流程图setup 阶段,Party 1在发送 e ( p k 1 ) e(pk_1) e(pk1)的同时,应该再发送proof证明密文 e ( p k 1 ) e(pk_1) e(pk1)确实是public key P 1 P_1 P1的秘钥。Party 2验证通过后,则setup phase结束。

详细的协议实现参看 Yehuda Lindell 2017年论文《Fast Secure Two-Party ECDSA Signing》:
ECDSA VS Schnorr signature VS BLS signature_第5张图片

2. Schnorr signature

2.1 Schnorr签名、验签

Schnorr signature与ECDSA比,仅有轻微的差异:

  • ECDSA的签名信息 ( r , s ) (r,s) (r,s)为2个scalar,而Schnorr的签名信息 ( R , s ) (R,s) (R,s)为1个point R R R和1个scalar s s s R = k × G R=k\times G R=k×G为a random point on elliptic curve。
  • Shnorr签名中的 s s s计算方式不同, s = k + h a s h ( P , R , m ) ⋅ p k s=k+hash(P,R,m)\cdot pk s=k+hash(P,R,m)pk,其中 p k pk pk为私钥, P = p k × G P=pk\times G P=pk×G为公钥, m m m为待签名消息。
  • Schnorr的验签过程,验证 s × G = R + h a s h ( P , R , m ) × P s\times G=R+hash(P,R,m)\times P s×G=R+hash(P,R,m)×P是否成立。

Schnorr的签名验签总体流程示意图如下:
ECDSA VS Schnorr signature VS BLS signature_第6张图片

2.2 Schnorr signature的优势

Schnorr signature验签过程中使用的方程式 s × G = R + h a s h ( P , R , m ) × P s\times G=R+hash(P,R,m)\times P s×G=R+hash(P,R,m)×P为线性的。因此有一些很好的特性。如:

2.2.1 Schnorr signature支持 batch validation

在Bitcoin中,需要首先验证区块内的所有签名均有效,若其中某一签名无效,不用关心具体是哪一个,直接拒绝整个区块。
若采用ECDSA,需要对每个签名都分别进行验证,若区块内有1000个签名,则需要进行1000次倒数运算和2000次point multiplication运算,总的有大约3000次heavy operations。
若采用Schnorr signature,则仅需将所有的验签方式累加一块进行验证,可节约计算资源。若区块内有1000个签名,仅需验证:
( s 1 + s 2 + ⋯ + s 1000 ) × G = ( R 1 + ⋯ + R 1000 ) + ( h a s h ( P 1 , R 1 , m 1 ) × P 1 + ⋯ + ( h a s h ( P 1000 + R 1000 + m 1000 ) ) × P 1000 ) (s_1+s_2+\cdots+s_{1000})\times G=(R_1+\cdots+R_{1000})+(hash(P_1,R_1,m_1)\times P_1+\cdots+(hash(P_{1000}+R_{1000}+m_{1000}))\times P_{1000}) (s1+s2++s1000)×G=(R1++R1000)+(hash(P1,R1,m1)×P1++(hash(P1000+R1000+m1000))×P1000)
对应有一些point additions(几乎可忽略相应的计算开销)和1001次point multiplication,相对于ECDSA方案验签速度几乎提升了3倍。相当于对one heavy operation per signature。

总体示意如下图所示:
ECDSA VS Schnorr signature VS BLS signature_第7张图片

2.2.2 Schnorr signature支持Key aggregation

为保证比特币安全,用户通常会有至少2个不同的私钥用于控制其所拥有的比特币。如1个私钥用于笔记本上的热钱包,1个私钥用于硬件钱包或者冷钱包。当某一个私钥泄露了,要求仍然可以控制比特币账户的安全。

目前采用的方案是使用2-of-2 multisig script,即要求在交易中包含2个不同的签名。

Naive方案:
采用Schnorr signature,使用2个私钥 ( p k 1 , p k 2 ) (pk_1,pk_2) (pk1,pk2)生成shared public key P = P 1 + P 2 = p k 1 × G + p k 2 × G P=P_1+P_2=pk_1\times G+pk_2\times G P=P1+P2=pk1×G+pk2×G。生成随机数 ( k 1 , k 2 ) (k_1,k_2) (k1,k2),对应的随机point ( R 1 = k 1 × G , R 2 = k 2 × G ) (R_1=k_1\times G,R_2=k_2\times G) (R1=k1×G,R2=k2×G) R = R 1 + R 2 R=R_1+R_2 R=R1+R2计算通用 h a s h ( P , R , m ) hash(P,R,m) hash(P,R,m),计算 s 1 = k 1 + h a s h ( h a s h , R , m ) ⋅ p k 1 , s 2 = k 2 + h a s h ( h a s h , R , m ) ⋅ p k 2 s_1=k_1+hash(hash,R,m)\cdot pk_1, s_2=k_2+hash(hash,R,m)\cdot pk_2 s1=k1+hash(hash,R,m)pk1,s2=k2+hash(hash,R,m)pk2。基于shared public key P = P 1 + P 2 = p k 1 × G + p k 2 × G P=P_1+P_2=pk_1\times G+pk_2\times G P=P1+P2=pk1×G+pk2×G生成的shared signature为: ( R , s ) = ( R 1 + R 2 , s 1 + s 2 ) (R,s)=(R_1+R_2,s_1+s_2) (R,s)=(R1+R2,s1+s2)
这种直观naive的签名方案存在以下几个问题:

  • 1)要求私钥方相互间能够interact。
    ECDSA VS Schnorr signature VS BLS signature_第8张图片
    且当有 > 2 >2 >2个以上的私钥需要进行key aggregation时,整个交互流程将更复杂。
    而事实上上图流程还需要额外增加一个环节:
    在发送 R i R_i Ri之前,应将其hash值 t i = h a s h ( R i ) t_i=hash(R_i) ti=hash(Ri),这样每个人才能be sure that you will not change your mind after learning other’s random numbers。

  • 2)存在Rogue key attack流氓密钥攻击问题。
    Alice公私钥对为 ( p k 1 , P 1 ) (pk_1,P_1) (pk1,P1),同时知道Bob的公钥 ( p k 2 , P 2 ) (pk_2,P_2) (pk2,P2),Bob可以伪造声称其公钥为 P ’ = P 2 − P 1 P’=P_2-P1 P=P2P1,其他人会认为 P = P 1 + P ’ P= P_1+P’ P=P1+P为Alice和Bob的aggregated key,但事实上其 P P P仅包含Bob的公钥,Bob可以自己进行签名然后声称其为与Alice的联合签名。这就是流氓密钥攻击。
    ECDSA VS Schnorr signature VS BLS signature_第9张图片
    避免流氓密钥攻击的方法之一是要求Alice和Bob都能证明其actually possess the private keys corresponding to their claimed public keys。即each participant would need to prove to others, that their Public Key is valid according to Signature produced by its corresponding Private Key。这种方案,将把问题带回到on-chain proof for each participant generating a Signature to validate the authenticity of a Public Key, 从而失去了scaling和efficiency benefits。
    需要构建a scheme whose security does not rely on out-of-band verification of the keys。

  • 3)在签名过程中,无法使用deterministic k k k。假设私钥 p k 1 pk_1 pk1被黑客攻击控制,理论上认为,仍然可以使用 ( p k 1 , p k 2 ) (pk_1,pk_2) (pk1,pk2)联合签名保证账户资金安全。但是,如下图所示,私钥 p k 2 = ( s 2 − s 2 ’ ) / ( h a s h ( P , R 1 + R 2 , m ) − h a s h ( P , R 1 ’ + R 2 , m ) ) pk_2=(s_2-s_2’)/(hash(P,R_1+R_2,m)-hash(P,R_1’+R_2,m)) pk2=(s2s2)/(hash(P,R1+R2,m)hash(P,R1+R2,m))也被泄露。因此,在key aggregation时,需要使用good random number generators everywhere。
    ECDSA VS Schnorr signature VS BLS signature_第10张图片

2.2.3 Musig方案

鉴于naïve Schnorr multi-signatures存在以上问题,Blockstream团队Maxwell等人2018年论文《Simple Schnorr Multi-Signatures with Applications to Bitcoin》中提出了MuSig方案,可有效解决流氓密钥攻击问题。
Musig方案的目的是aggregate signatures and public keys from several parties/devices to a single one but without proving that you have a private key corresponding to the public key。
The aggregated signature corresponds to the aggregated public key.
与naïve方案中将所有签名方公钥直接相加不同,Musig方案中的aggregated public key生成方式为:
P = h a s h ( L , P 1 ) × P 1 + ⋯ + h a s h ( L , P n ) × P n P=hash(L,P_1)\times P_1+\cdots+hash(L,P_n)\times P_n P=hash(L,P1)×P1++hash(L,Pn)×Pn
其中 L = h a s h ( P 1 , ⋯   , P n ) L=hash(P_1,\cdots,P_n) L=hash(P1,,Pn),为a common number depending on all public keys。
这种非线性可有效防止流氓密钥攻击。
Musig的签名流程为:

  • 1)每个签名方都选择自己的随机数 k i k_i ki,对所有其它方分发 R i ( = k i × G ) R_i(=k_i\times G) Ri(=ki×G)。【各签名方存在多轮信息交互。】
  • 2)每个签名方收集好所有其它方发送的 R i R_i Ri后,自己计算 R = R 1 + ⋯ + R n R=R_1+\cdots+R_n R=R1++Rn,然后生成自己的签名 s i = k i + h a s h ( P , R , m ) ⋅ h a s h ( L , P i ) ⋅ p k i s_i=k_i+hash(P,R,m)\cdot hash(L,P_i)\cdot pk_i si=ki+hash(P,R,m)hash(L,Pi)pki,发送 s i s_i si
  • 3)最终的的aggregated signature为 ( R , s ) = ( R 1 + ⋯ + R n , s 1 + ⋯ + s n ) (R,s)=(R_1+\cdots+R_n, s_1+\cdots +s_n) (R,s)=(R1++Rn,s1++sn)
  • 4)验签过程为,验证 s × G = R + h a s h ( P , R , m ) × P s\times G=R+hash(P,R,m)\times P s×G=R+hash(P,R,m)×P

2.2.4 Schnorr支持m-of-n multisig

采用的是Merkle Multisig方案。
MuSig和key aggregation要求的是所有签名方对同一交易进行签名。当需要2-of-3 multisig with public keys P 1 , P 2 , P 3 P_1,P_2,P_3 P1,P2,P3时,需要construct a Merkle tree of aggregated public keys for所有可能的组合: ( P 1 , P 2 ) , ( P 2 , P 3 ) , ( P 1 , P 3 ) (P_1,P_2),(P_2,P_3),(P_1,P_3) (P1,P2),(P2,P3),(P1,P3),and put the root in the locking script。当需要spend bitcoins时,需要提供a signature and a proof that our public key is in the tree。

当需要7-of-11 multisig时,涉及的组合可能有 11 ! / 7 ! / 4 ! = 330 11!/7!/4!=330 11!/7!/4!=330种,相应的proof将需要8个elements。且对于m-of-n multisig,the number of elements in the proof scales almost linear with the number of keys in multisig ( log ⁡ 2 ( n ! / m ! / ( n − m ) ! ) \log_{}2(n!/m!/(n-m)!) log2(n!/m!/(nm)!))。

3. BLS signature

BLS signature 来自于Boneh,Lynn和Shacham 2001年论文《Short signatures from the Weil pairing》。
如Boneh 2018年论文《Compact Multi-Signatures for Smaller Blockchains》中指出,BLS signature具有一些Schnorr签名所没有的extremely nice features。

ECDSA 存在的问题是can’t combine signatures or keys and every signature has to be verified independently。对于多重签名的交易,采用ECDSA的化需要逐个验证所有公钥和签名,浪费区块空间和交易费用。
Schnorr signature如果设计好的话,支持combine all signatures and public keys in the transaction to a single key and a signature,而且nobody will find out that they correspond to multiple keys。因为可以一次对所有签名进行验证,区块验证速度更快。
Schnorr multisig方案存在以下问题:

  • 1)各签名方需要several communication rounds。当涉及冷钱包密钥时将很麻烦。
  • 2)signature aggregation时需要依赖random number generator,无法像ECDSA中那样选择random point R R R deterministically。
  • 3)构建m-of-n multisig需要借助merkle tree of public keys,相应的proof将get pretty large for large m and n。
  • 4)因为针对的是同一交易的签名聚合,无法实现combine all signatures in the block to a single signature。

BLS signature可有效解决以上问题:

  • 1)BLS signature中压根不需要随机数。
  • 2)BLS signature支持将区块内的所有签名combine to a single signature。
  • 3)BLS signature很容易实现m-of-n multisig。
  • 4)BLS signature不需要serveral communication rounds between signers。
  • 5)BLS signature的签名长度要比ECDSA和Schnorr短2倍,仅需要a single curve point就可以代表其签名。

BLS signautre为completely deterministic signature algorithm。

BLS signature中需要用的两个关键点是:

  • 1)Hashing to the curve:
    ECDSA和Schnorr 签名过程中,需要使用hash函数将消息 m m m映射为a number。
    而BLS signature中需要调整hash算法,将消息 m m m hashes directly to the elliptic curve。
    最简单的方式是,仍然将消息 m m m通过hash函数映射为a number,然后将该number作为elliptic curve 上point的x坐标。
    Elliptic curves通常有 2 256 2^{256} 2256个points,采用SHA-256 算法可以生成256-bit result。
    但是对于 y 2 = x 3 + a x + b y^2=x^3+ax+b y2=x3+ax+b形式的eclliptic curve,相同的x坐标,存在 ( x , y ) 和 ( x , − y ) (x,y)和(x,-y) (x,y)(x,y)两个point均在curve上的情况。这就意味着借助SHA-256有约50%的概率能找到two points for some x x x,有50%的概率找到point on the curve。
    ECDSA VS Schnorr signature VS BLS signature_第11张图片
    为了保证对任意的消息 m m m均能hashing to the curve,可以在消息 m m m后面追加数字,依次尝试直到能找到相应的curve point。如若 h a s h ( m ∣ ∣ 0 ) hash(m||0) hash(m0)不能find a point,则依次试 h a s h ( m ∣ ∣ 1 ) , h a s h ( m ∣ ∣ 2 ) hash(m||1),hash(m||2) hash(m1),hash(m2),直到找到point on the curve。【对于 ( x , y ) 和 ( x , − y ) (x,y)和(x,-y) (x,y)(x,y)两个point,实际选择y坐标值更小的那个point。】(如上图所示)

  • 2)curve pairing
    BLS signautre要求能够将(相同或者不同)curve上的P和Q两个点映射a number:
    e ( P , Q ) ↦ n e(P,Q)\mapsto n e(P,Q)n
    同时,应满足如下属性:(使得secret number x x x unreveal。)
    e ( x × P , Q ) = e ( P , x × Q ) e(x\times P,Q)=e(P,x\times Q) e(x×P,Q)=e(P,x×Q)
    更通用的表达为应具有如下属性:
    e ( a × P , b × Q ) = e ( P , a b × Q ) = e ( a b × P , Q ) = e ( P , Q ) ( a b ) e(a\times P,b\times Q)=e(P,ab\times Q)=e(ab\times P,Q)=e(P,Q)^{(ab)} e(a×P,b×Q)=e(P,ab×Q)=e(ab×P,Q)=e(P,Q)(ab)

Bitcoin 的secp256k1不具有pairing属性,不满足以上条件。需要使用pairing-friendly curve。

私钥 p k pk pk,对应的公钥为 P = p k × G P=pk\times G P=pk×G。待签名消息 m m m

3.1 BLS 签名

BLS signature的签名流程为:

  • 1)通过 H ( m ) H(m) H(m)将消息 m m m映射为point on the curve, G m = H ( m ) G_m=H(m) Gm=H(m)
  • 2)将私钥与 H ( m ) H(m) H(m)相乘, S = p k × H ( m ) S=pk\times H(m) S=pk×H(m) S S S即为相应的签名。

BLS signature is just one single point on the curve that takes only 33bytes in compressed serialization format。
具体如下图示意:
ECDSA VS Schnorr signature VS BLS signature_第12张图片

3.2 BLS 验签

BLS的验签流程为:

  • 1)通过 H ( m ) H(m) H(m)将消息 m m m映射为point on the curve, G m = H ( m ) G_m=H(m) Gm=H(m)
  • 2)验证 e ( P , H ( m ) ) = e ( G , S ) e(P,H(m))=e(G,S) e(P,H(m))=e(G,S)成立即可。

具有pairing属性,以上验签等式恒成立:
e ( P , H ( m ) ) = e ( p k × G , H ( m ) ) = e ( G , p k × H ( m ) ) = e ( G , S ) e(P,H(m))=e(pk\times G,H(m))=e(G,pk\times H(m))=e(G,S) e(P,H(m))=e(pk×G,H(m))=e(G,pk×H(m))=e(G,S)
具体如下图示意:
ECDSA VS Schnorr signature VS BLS signature_第13张图片
整个BLS signature非常简洁优美。

3.3 BLS signature的优势

3.3.1 BLS支持signature aggregation

与Schnorr aggregation仅支持对同一message m m m进行聚合签名不同,BLS signature支持对不同消息 m i m_i mi的不同签名的聚合,即支持combine all signatures in the block。

假设区块中有1000笔交易,每笔交易包含签名 S i S_i Si、公钥 P i P_i Pi及所签名的消息 m i m_i mi
Aggregated signature仅需要对所有的签名进行累加即可:
S = S 1 + S 2 + ⋯ + S 1000 S=S_1+S_2+\cdots+S_{1000} S=S1+S2++S1000

验签仅需要验证以下等式成立即可:
e ( G , S ) = e ( P 1 , H ( m 1 ) ) ⋅ e ( P 2 , H ( m 2 ) ) ⋯ e ( P 1000 , H ( m 1000 ) ) e(G,S)=e(P_1,H(m_1))\cdot e(P_2,H(m_2))\cdots e(P_{1000},H(m_{1000})) e(G,S)=e(P1,H(m1))e(P2,H(m2))e(P1000,H(m1000))

以上等式恒成立,因为:
e ( G , S ) = e ( G , S 1 + S 2 + ⋯ + S 1000 ) = e ( G , S 1 ) ⋅ e ( G , S 2 ) ⋯ e ( G , S 1000 ) = e ( G , p k 1 × H ( m 1 ) ) ⋅ e ( G , p k 2 × H ( m 2 ) ) ⋯ e ( G , p k 1000 × H ( m 1000 ) ) = e ( P 1 , H ( m 1 ) ) ⋅ e ( P 2 , H ( m 2 ) ) ⋯ e ( P 1000 , H ( m 1000 ) ) e(G,S)=e(G,S_1+S_2+\cdots +S_{1000})=e(G,S_1)\cdot e(G,S_2)\cdots e(G,S_{1000})= e(G,pk_1\times H(m_1))\cdot e(G,pk_2\times H(m_2))\cdots e(G,pk_{1000}\times H(m_{1000}))= e(P_1,H(m_1))\cdot e(P_2,H(m_2))\cdots e(P_{1000},H(m_{1000})) e(G,S)=e(G,S1+S2++S1000)=e(G,S1)e(G,S2)e(G,S1000)=e(G,pk1×H(m1))e(G,pk2×H(m2))e(G,pk1000×H(m1000))=e(P1,H(m1))e(P2,H(m2))e(P1000,H(m1000))
整个signature aggregation仍然需要知道所有的public keys P 1 , P 2 , ⋯   , P 1000 P_1,P_2,\cdots,P_{1000} P1,P2,,P1000,需要进行1001次pairing计算,但是可以将区块内的所有签名压缩为33bytes。而且signature aggregation can be done by a miner and save a lot of space in the block。

3.3.2 BLS支持key aggregation and n-of-n multisignature

对于multisignature,需要sign the same transaction with different keys。BLS可实现与Schnorr类似的key aggregation——combine all signatures and all keys to a single pair of a key and a signature。

Naïve方案为:
S = S 1 + S 2 + S 3 S=S_1+S_2+S_3 S=S1+S2+S3
P = P 1 + P 2 + P 3 P=P_1+P_2+P_3 P=P1+P2+P3
验签等式为:
e ( G , S ) = e ( P , H ( m ) ) e(G,S)=e(P,H(m)) e(G,S)=e(P,H(m))

以上等式恒成立,因为:
e ( G , S ) = e ( G , S 1 + S 2 + S 3 ) = e ( G , ( p k 1 + p k 2 + p k 3 ) × H ( m ) ) = e ( ( p k 1 + p k 2 + p k 3 ) × G , H ( m ) ) = e ( P 1 + P 2 + P 3 , H ( m ) ) = e ( P , H ( m ) ) e(G,S)=e(G,S_1+S_2+S_3)=e(G,(pk_1+pk_2+pk_3)\times H(m))=e((pk_1+pk_2+pk_3)\times G,H(m))=e(P_1+P_2+P_3,H(m))=e(P,H(m)) e(G,S)=e(G,S1+S2+S3)=e(G,(pk1+pk2+pk3)×H(m))=e((pk1+pk2+pk3)×G,H(m))=e(P1+P2+P3,H(m))=e(P,H(m))

与Schnorr naïve方案类似,需要能抵抗rogue key attack流氓密钥攻击,方式可为:

  • 要求每个签名方都证明其拥有与其公钥对应的私钥;【会失去scaling和efficiency benefits。】
  • 为与Musig方案类似,采用nonlinear方式构建 S S S

具体为:
S = a 1 × S 1 + a 2 × S 2 + a 3 × S 3 S=a_1\times S_1+a_2\times S_2+a_3\times S_3 S=a1×S1+a2×S2+a3×S3
P = a 1 × P 1 + a 2 × P 2 + a 3 × P 3 P=a_1\times P_1+a_2\times P_2+a_3\times P_3 P=a1×P1+a2×P2+a3×P3
其中 a i = h a s h ( P i , P 1 , P 2 , P 3 ) a_i=hash(P_i,{P_1,P_2,P_3}) ai=hash(Pi,P1,P2,P3),或者实际操作时将这些公钥拼接在一起再hash,如 a i = h a s h ( P i ∣ ∣ P 1 ∣ ∣ P 2 ∣ ∣ P 3 ) a_i=hash(P_i||P_1||P_2||P_3) ai=hash(PiP1P2P3)
验签等式 e ( G , S ) = e ( P , H ( m ) ) e(G,S)=e(P,H(m)) e(G,S)=e(P,H(m))仍然恒成立。

与Schnorr方案相比,各签名方不需要进行多轮communication。

3.3.3 BLS支持m-of-n multisig (subgroup multisignature scheme)

为了支持m-of-n multisig,Schnorr需要借助merkle tree of public keys。存在的问题是当 n , m n,m n,m值增大时,merkle tree size blows up exponentially。

BLS为了支持m-of-n multisig,需要用到:

  • 1)正常的hash函数,输出为a number, h a s h ( x ) hash(x) hash(x)
  • 2)a hash to the curve,输出为curve上的point, H ( x ) H(x) H(x)
  • 3)需要有“setup” phase,setup后不再需要communicate,可以用来sign any amount of transactions。

以下以2-of-3 multisig scheme with keys stored on 3 different devices为例:(可扩展至任意的 m , n m,n m,n值。)

  • 1)Setup phase:【要求每个签名方维护相同的序号 1 , 2 , 3 1,2,3 1,2,3,即依次为签名方1,签名方2,签名方3.。。。】
    P = a 1 × P 1 + a 2 × P 2 + a 3 × P 3 P=a_1\times P_1+a_2\times P_2+a_3\times P_3 P=a1×P1+a2×P2+a3×P3,其中 a i = h a s h ( P i , P 1 , P 2 , P 3 ) a_i=hash(P_i,{P_1,P_2,P_3}) ai=hash(Pi,P1,P2,P3)
    所有签名方对数字 i i i(其值必须在序号范围内)进行签名然后key aggregation,每个签名方 i i i存储与其序号一致的key aggregation信息:
    M K i = ( a 1 ) × ( p k 1 × H ( P , i ) ) + ( a 2 ) × ( p k 2 × H ( P , i ) ) + ( a 3 ) × ( p k 3 × H ( P , i ) ) = ( a 1 ⋅ p k 1 ) × H ( P , i ) + ( a 2 ⋅ p k 2 ) × H ( P , i ) + ( a 3 ⋅ p k 3 ) × H ( P , i ) MK_i=(a_1)\times (pk_1\times H(P,i))+ (a_2)\times (pk_2\times H(P,i))+ (a_3)\times (pk_3\times H(P,i))=(a_1\cdot pk_1)\times H(P,i)+ (a_2\cdot pk_2)\times H(P,i)+ (a_3\cdot pk_3)\times H(P,i) MKi=(a1)×(pk1×H(P,i))+(a2)×(pk2×H(P,i))+(a3)×(pk3×H(P,i))=(a1pk1)×H(P,i)+(a2pk2)×H(P,i)+(a3pk3)×H(P,i)
    Setup phase的主要目的就是为了构建membership key M K i MK_i MKi,用于证明we are valid participants of the multisignature scheme。
    其实 M K i MK_i MKi可理解为对消息 H ( P , i ) H(P,i) H(P,i)的n-of-n signature,满足:
    e ( G , M K i ) = e ( P , H ( P , i ) ) e(G,MK_i)=e(P,H(P,i)) e(G,MKi)=e(P,H(P,i))

  • 2)签名阶段:
    如使用 p k 1 和 p k 3 pk_1和pk_3 pk1pk3进行签名:
    S 1 = p k 1 × H ( P , m ) + M K 1 , S 3 = p k 3 × H ( P , m ) + M K 3 S_1=pk_1\times H(P,m)+MK_1,S_3=pk_3\times H(P,m)+MK_3 S1=pk1×H(P,m)+MK1,S3=pk3×H(P,m)+MK3
    直接累加有:
    ( S ’ , P ’ ) = ( S 1 + S 3 , P 1 + P 3 ) (S’,P’)=(S_1+S_3,P_1+P_3) (S,P)=(S1+S3,P1+P3)
    其中 P ’ P’ P为aggregated public key of participating signers。

  • 3)验签阶段:
    验证2-of-3 signature,仅需验证:【验签阶段,除了 P ’ , S ’ P’,S’ P,S之外,还需要知道indexes of participating signers,如本例indexes为数字1和3。】
    e ( G , S ’ ) = e ( P ’ , H ( P , m ) ) ⋅ e ( P , H ( P , 1 ) + H ( P , 3 ) ) e(G,S’)=e(P’,H(P,m))\cdot e(P,H(P,1)+H(P,3)) e(G,S)=e(P,H(P,m))e(P,H(P,1)+H(P,3))
    以上等式恒成立。因为membership keys e ( G , S ’ ) = e ( G , S 1 + S 3 ) = e ( G , p k 1 × H ( P , m ) + M K 1 + p k 3 × H ( P , m ) + M K 3 ) = e ( P ’ , H ( P , m ) ) ⋅ e ( P , H ( P , 1 ) + H ( P , 3 ) ) e(G,S’)=e(G,S_1+S_3)=e(G, pk_1\times H(P,m)+MK_1+ pk_3\times H(P,m)+MK_3)= e(P’,H(P,m))\cdot e(P,H(P,1)+H(P,3)) e(G,S)=e(G,S1+S3)=e(G,pk1×H(P,m)+MK1+pk3×H(P,m)+MK3)=e(P,H(P,m))e(P,H(P,1)+H(P,3))

3.4 BLS signature的弊端

BLS signature的弊端主要有:

  • 1)依赖pairing运算,计算效率不高。BLS signature的验签过程要比ECDSA要难很多。主要优势是能将同一区块内的所有签名aggregated to almost 32 bytes。Schnorr签名的aggregated后的验签效率要比ECDSA约提高3倍。
  • 2)pairing的安全性证明不易论证。一方面我们希望pairing to be efficient to verify signatures faster,另一方面又不希望reveal any information about our secret key。在选择paring-friendly curve时要格外小心。

事实上已经存在针对elliptic curve crypto system的MOV attack。

参考资料:

[1] https://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm
[2] Stepan medium博客 How Schnorr signatures may improve Bitcoin
[3] Stepan medium博客BLS signatures: better than Schnorr
[4] Stepan medium博客 ECDSA is not that bad: two-party signing without Schnorr or BLS
[5] Chris Coverdale bitcointalk博客 Scaling Bitcoin: Schnorr Signatures
[6] Blockstream 博客 Key Aggregation for Schnorr Signatures
[7] Blockstream团队Maxwell等人2018年论文《Simple Schnorr Multi-Signatures with Applications to Bitcoin》

你可能感兴趣的:(基础理论)

  • HarmonyNext实战:基于ArkTS的跨设备分布式数据同步应用开发 harmonyos-next
    HarmonyNext实战:基于ArkTS的跨设备分布式数据同步应用开发引言在分布式系统的开发中,跨设备数据同步是一个极具挑战性的问题。随着HarmonyOSNext的发布,ArkTS作为其核心开发语言,为开发者提供了强大的分布式能力。本文将深入探讨如何利用ArkTS在HarmonyNext平台上开发一个跨设备分布式数据同步应用。我们将从分布式数据管理的基础理论出发,逐步构建一个完整的应用,涵盖数
  • cv君独家视角 | AI内幕系列七:EfficientViT模型:基于多尺度线性注意力模块,实现高效的高分辨率密集预测 cv君 cv君独家视角AI内幕系列原创项目级实战项目深度学习与计算机视觉精品1024程序员节EfficientViT高分辨率密集预测任务高分辨率视觉模型Transformer人工智能计算机视觉
    专题概况cv君独家视角|AI内幕系列是一个专注于人工智能领域的深度专题,旨在为读者揭开AI所有领域技术的神秘面纱,展示其背后的科学原理和实际应用。通过一系列精心策划的文章,我们将带您深入了解AI的各个领域,从计算机视觉到文本语音等多模态领域,从基础理论到前沿技术,从行业应用到未来趋势。无论您是AI领域的工程师或者专家,还是对这一领域充满好奇的读者,这个系列都将为您提供高价值的见解和启发,为您带来横
  • AI的发展历程,你知道是从什么时候开始的吗? A达峰绮 人工智能ai经验分享
    AI的发展历程是一段充满探索、突破与起伏的历史,以下是其主要阶段的介绍:诞生与早期探索阶段(20世纪50年代-60年代)基础理论奠基:1943年,美国神经生理学家沃伦·麦卡洛克和数学家沃尔特·皮茨发表了《Alogicalcalculusofideasimmanentinnervousactivity》论文,提出M-P模型,为神经网络的研究奠定了基础。1950年,阿兰·图灵发表《ComputingM
  • 使用Python进行火焰检测与识别:从基础理论到高级实现的全面指南 快撑死的鱼 python算法解析python开发语言
    使用Python进行火焰检测与识别:从基础理论到高级实现的全面指南火灾是一种常见而危险的自然灾害,在工业、家庭和公共场所中,实时检测火焰并做出响应是保障安全的重要手段。随着计算机视觉技术的发展,使用图像处理和机器学习的方法进行火焰检测已经成为可能。Python作为一种功能强大且广泛使用的编程语言,提供了丰富的库和工具,能够有效地实现火焰检测和识别。在本文中,我们将深入探讨如何使用Python进行火
  • 深度学习/机器学习入门基础数学知识整理(一):线性代数基础,矩阵,范数等 chljerry_mouse 线性代数深度学习机器学习
    前面大概有2年时间,利用业余时间断断续续写了一个机器学习方法系列,和深度学习方法系列,还有一个三十分钟理解系列(一些趣味知识);新的一年开始了,今年给自己定的学习目标——以补齐基础理论为重点,研究一些基础课题;同时逐步继续写上述三个系列的文章。最近越来越多的研究工作聚焦研究多层神经网络的原理,本质,我相信深度学习并不是无法掌控的“炼金术”,而是真真实实有理论保证的理论体系;本篇打算摘录整理一些最最
  • 中级网络工程师面试题参考示例(1) 他不爱吃香菜 网络协议网络面试解答网络运维面试职场和发展
    一、基础理论1.OSI七层模型与TCP/IP四层模型的区别是什么?请举例说明第三层(网络层)和第四层(传输层)的核心协议。参考答案:OSI七层模型分为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层;TCP/IP四层模型分为网络接口层、网络层、传输层、应用层。网络层核心协议:IP、ICMP、ARP、OSPF。传输层核心协议:TCP(可靠传输,三次握手)、UDP(无连接,低延迟)。2.子网
  • 微博舆情分析:使用Python进行深度解析 傻啦嘿哟 关于python那些事儿python开发语言
    目录一、准备工作二、基础理论知识三、步骤详解数据预处理情感分析关键词提取四、案例分享数据爬取数据分析五、优化六、结论在当今信息爆炸的时代,社交媒体平台如微博已成为公众表达意见和情感的重要渠道。微博舆情分析通过对大量微博数据进行挖掘和分析,可以揭示公众对某些事件或话题的态度和情绪。本文将详细介绍如何使用Python进行微博舆情分析,包括数据获取、预处理、情感分析、关键词提取和数据可视化等步骤,并附上
  • 黑客入门手册 嗨起飞了 网络安全网络攻击模型网络安全
    零基础入门网络安全:黑客技术学习路线与实战手册摘要:本文面向网络安全初学者,系统化拆解黑客技术学习路径,涵盖基础理论、实战工具和代码实例。内容遵循合法合规原则,仅用于技术研究。一、黑客技术学习的认知前提1.1什么是真正的"黑客"黑客精神的核心:探索系统原理与漏洞本质白帽/灰帽/黑帽的伦理边界(以《网络安全法》为准则)1.2学习前的法律警示渗透测试授权原则虚拟机实验环境搭建的重要性推荐工具:VMwa
  • 面试基础---分布式架构基础:CAP 理论与 BASE WeiLai1112 后端面试redisjunitjava架构分布式后端
    分布式架构基础:CAP理论与BASE理论深度解析引言在互联网大厂的高并发、高可用场景下,分布式系统的设计是至关重要的。CAP理论和BASE理论是分布式系统设计的基石,理解这些理论对于设计高可用、高性能的分布式系统至关重要。本文将深入探讨CAP理论和BASE理论,结合实际项目案例和源码分析,帮助读者深入理解其实现原理。1.CAP理论CAP理论是分布式系统设计的基础理论之一,由EricBrewer在2
  • 深度学习模型:原理、应用与代码实践 accurater c++算法笔记人工智能深度学习
    引言深度学习作为人工智能的核心技术,已在图像识别、自然语言处理、代码生成等领域取得突破性进展。其核心在于通过多层神经网络自动提取数据特征,解决复杂任务。本文将从基础理论、模型架构、优化策略、应用场景及挑战等多个维度展开,结合代码示例,系统解析深度学习模型的技术脉络与实践方法。一、深度学习基础理论神经网络基本原理神经网络由输入层、隐藏层和输出层构成,通过反向传播算法调整权重。以全连接网络为例,前向传
  • 高频算法题精讲(Java解法)——算法+实际场景化拆解 大熊计算机毕设 技术博文算法java开发语言
    结合高频算法题,逐步带你走向深度理解。无论你是准备面试,还是在开发中需要优化,掌握这些基础的算法思维将会让你事半功倍。第一部分:算法的基础理论与实际意义在进入具体的算法问题之前,我们首先要理解一个问题:为什么要学习算法?在日常编程中,我们往往会遇到各种问题,而每一个问题背后都有不同的解法。而高效的算法不仅仅是为了拿到面试的offer,它们能帮助我们在工作中提升性能,减少复杂度,使得产品运行更加顺畅
  • 关于网络数通工程师 OSPF 协议的常见面试问题 他不爱吃香菜 网络面试解答网络协议网络服务器php面试运维网络协议
    基础理论部分‌‌OSPF是什么?其核心设计目标及主要特性有哪些?‌OSPF(开放式最短路径优先)是基于链路状态的内部网关协议(IGP),使用Dijkstra的SPF算法计算最短路径树,核心目标包括快速收敛、分层网络设计(区域划分)和避免路由环路‌12。‌主要特性‌:支持VLSM/CIDR,适用于复杂IP规划‌12。通过组播(224.0.0.5/224.0.0.6)传递协议报文,减少广播流量‌13。
  • HarmonyNext实战:基于ArkTS的高性能实时音视频通信应用开发 harmonyos-next
    HarmonyNext实战:基于ArkTS的高性能实时音视频通信应用开发引言实时音视频通信是现代应用中不可或缺的功能,尤其是在远程会议、在线教育、社交互动等场景中。HarmonyNext作为华为最新的操作系统,提供了强大的多媒体处理能力和高效的网络通信支持。本文将深入探讨如何在HarmonyNext平台上使用ArkTS开发一个高性能的实时音视频通信应用,涵盖从基础理论到实战案例的完整流程。1.实时
  • 职坐标AIGC课程实战项目深度解析 职坐标在线 其他
    内容概要在人工智能技术加速渗透各行业的背景下,职坐标IT培训体系中的AIGC课程以实战项目经验为核心,构建了从基础理论到产业落地的立体化培养框架。课程聚焦人工智能生成内容(AIGC)的核心技术链,涵盖自然语言处理、生成模型架构及多模态数据融合等模块,通过电商智能客服系统与新媒体文案生成工具两类典型场景的深度实践,强化学员对模型训练、参数调优及商业落地的综合能力。为适配行业需求,课程设计采用“三阶递
  • 自然语言处理之语法解析:BERT:自然语言处理基础理论 zhubeibei168 自然语言处理1024程序员节自然语言处理bert语音识别人工智能
    自然语言处理之语法解析:BERT:自然语言处理基础理论自然语言处理基础自然语言处理的定义与应用自然语言处理(NaturalLanguageProcessing,NLP)是计算机科学领域与人工智能领域中的一个重要方向。它研究如何处理和运用自然语言;自然语言认知则是指让计算机“懂”人类的语言。NLP建立于20世纪50年代,随着计算机技术的飞速发展,NLP技术在信息检索、文本挖掘、语音识别、机器翻译、情
  • 爬虫和逆向教程-专栏介绍和目录 数据知道 2025年爬虫和逆向教程爬虫python数据采集网络爬虫逆向
    文章目录一、爬虫基础和进阶二、App数据采集三、爬虫项目四、爬虫面试本专栏为爬虫初学者和进阶开发者量身定制的爬虫和逆向学习园地。为你提供全面而深入的爬虫和逆向技术指导,从入门到精通,从基础理论到高级实战,助你在数据的海洋中畅游,挖掘出有价值的信息。通过本专栏的学习,你将具备独立开发和优化爬虫程序的能力,及逆向分析能力和项目开发能力,成为爬虫领域的佼佼者。《本专栏持续更新中…(早订阅优惠仅需9.9元
  • 网络安全加密python代码 黑客Ash web安全安全
    点击文末小卡片,免费获取网络安全全套资料,资料在手,涨薪更快网络信息安全中遇到的各种攻击是防不胜防的,采取适当的防护措施就能有效地保护网络信息的安全,包括防火墙、入侵检测系统、漏洞扫描技术以及加密技术等多种防护措施。而信息安全的本质就是要保护信息本身和信息系统在存储、传输中的完整性和保密性,保障不被攻击和篡改,上述的主动攻击、被动攻击和病毒袭击都会造成信息的破坏和泄密,我们以信息安全中的基础理论出
  • 代码随想录 Day 37 | 【第九章 动态规划part 01】理论基础、509. 斐波那契数、70. 爬楼梯、746. 使用最小花费爬楼梯 Accept17 动态规划算法
    一、理论基础理论基础无论大家之前对动态规划学到什么程度,一定要先看我讲的动态规划理论基础。如果没做过动态规划的题目,看我讲的理论基础,会有感觉是不是简单题想复杂了?其实并没有,我讲的理论基础内容,在动规章节所有题目都有运用,所以很重要!如果做过动态规划题目的录友,看我的理论基础就会感同身受了。代码随想录视频:从此再也不怕动态规划了,动态规划解题方法论大曝光!|理论基础|力扣刷题总结|动态规划入门_
  • 西工大SSD7课程:固态硬盘技术习题解答大全 金尼玛哈
    本文还有配套的精品资源,点击获取简介:SSD7是关于固态硬盘技术的高级课程,覆盖了固态存储的基础理论、工作原理、设计与优化等方面。本资源集合了西安工业大学SSD7课程的所有习题解答,内容全面、格式规范,对于希望深入了解固态硬盘技术的学生和从业者非常有帮助。解答内容涵盖固态硬盘基础、NAND闪存类型、SSD控制器功能、读写操作、缓存与接口技术、性能指标、维护与优化等关键知识点,旨在帮助学习者掌握固态
  • 点云配准技术的演进与前沿探索:从传统算法到深度学习融合(1) 点云SLAM 点云数据处理技术算法深度学习点云数据处理点云配准刚体变换
    1、点云配准的基础理论1.1点云数据的特性与获取点云数据是一种通过大量离散的三维坐标点来精确表示物体或场景表面几何形状和空间位置关系的数字化信息表达方式。在实际应用中,点云数据展现出诸多独特的特性。从表达形式来看,点云数据能够直观地呈现出物体或场景的三维结构,每个点都包含了其在空间中的X、Y、Z坐标信息,这使得点云数据可以精确地描述物体表面的形状和位置。例如,在对古建筑进行三维建模时,通过点云数据
  • 01 目录-具身智能学习规划 天机️灵韵 具身智能人工智能具身智能机器人生物信息学
    具身智能(EmbodiedIntelligence)强调智能体通过身体与环境的动态交互实现学习和决策,是人工智能、机器人学、认知科学和神经科学交叉的前沿领域。其核心在于打破传统AI的“离身认知”,将智能与物理实体、感知-运动系统紧密结合。以下是具身智能学习规划的框架:一、基础理论储备数学与编程基础数学:概率统计、线性代数、微积分、优化理论、微分几何(运动规划)。编程:Python(主流工具链)、C
  • 程序员初识宏观经济学 猿脑2.0 python
    这是宏观经济学学习、核心内容概括、数据资源及实际作用的系统性总结:一、宏观经济学学习框架1.核心知识模块模块关键内容基础理论-国民收入核算(GDP、GNP)-总需求与总供给模型(AD-AS)-IS-LM模型与货币政策传导经济增长-索洛增长模型-内生增长理论(知识、技术的作用)-中国经济增长模式与挑战经济周期-经济波动的原因(需求冲击、供给冲击)-实际经济周期(RBC)与新凯恩斯主义理论失业与通胀-
  • 程序员读点微观经济学 猿脑2.0 python
    微观经济学学习路径、核心内容、数据来源、实际作用及案例实践的系统性总结:一、微观经济学学习框架1.核心知识模块模块关键内容基础理论-供需理论(均衡价格、弹性分析)-消费者行为(效用最大化、无差异曲线)-生产者行为(成本曲线、利润最大化)市场结构-完全竞争市场-垄断与寡头(价格歧视、博弈论)-垄断竞争(产品差异化)市场失灵与政策-外部性(污染、补贴)-公共物品与搭便车问题-信息不对称(逆向选择、道德
  • Golang从入门到精通 Wxhzy930120
    课程概述Golang从入门到精通,本课程以学习Golang语言开发互联网产品为目标,从基础理论知识入手,详实地讲解Golang语言的开发方法与技巧,并通过大量的线上训练,带领同学们全面掌握服务端高并发、过载保护、水平扩展、服务降级、服务限流以及微服务等主流互联网产品的开发技术栈,快速达到大公司工作两年的技术水平。章节1:Golang环境搭建课时1课程介绍10:08课时2Go的发展历史02:08课时
  • 企业项目管理入门指南:3000字实战宝典(附工具对比表)
    一、为什么每个企业都逃不开项目管理?(认知破冰)项目管理如同企业的"中枢神经系统",据哈佛商学院研究显示,使用规范项目管理的企业交付效率提升47%,成本超支率降低28%。以特斯拉Model3量产为例,正是通过敏捷项目管理突破"产能地狱",成为经典案例。二、新手必知的三大知识模块(认知脚手架)1.基础理论框架(项目管理DNA)五大过程组:启动→规划→执行→监控→收尾(PMBOK经典模型)十大知识领域
  • Python部署工控安全风险评估系统 mosquito_lover1 安全pytorchpython
    1.工控安全基础理论1.1风险评估概念风险定义:风险=事件发生的可能性×事件的影响影响分析(ImpactAnalysis):评估特定事件(如设备故障、网络攻击)对工控系统的关键资产(设备、数据、流程)的破坏程度,通常从以下维度分析:机密性(Confidentiality):数据是否被泄露。完整性(Integrity):数据或设备是否被篡改。可用性(Availability):系统是否能够正常运行。
  • 《机器学习实战》专栏 No12:项目实战—端到端的机器学习项目Kaggle糖尿病预测 带娃的IT创业者 机器学习实战机器学习人工智能分类算法python
    《机器学习实战》专栏第12集:项目实战——端到端的机器学习项目Kaggle糖尿病预测本集为专栏最后一集,本专栏的特点是短平快,聚焦重点,不长篇大论纠缠于理论,而是在介绍基础理论框架基础上,快速切入实战项目和代码,所有代码都经过实践检验,是读者入门和熟悉上手的上佳知识材料在本集中,我们将通过Kaggle平台的经典糖尿病预测(PimaIndiansDiabetesDataset)数据集,系统回顾完整的
  • 【架构】分层架构 (Layered Architecture) _君莫笑 软件架构架构c++
    一、分层模型基础理论![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/0365cf0bfa754229bdedca6b472bffc7.png1.核心定义分层架构(LayeredArchitecture)模型是一种常见的软件设计架构,它将软件系统按照功能划分为不同的层次,每个层次都有特定的职责和功能,层与层之间存在清晰的依赖关系。这种架构有助于提高软件的可
  • 知识图谱:【知识图谱基础理论(八)】——知识更新 J_Xiong0117 python基础理论自然语言处理知识图谱人工智能自然语言处理
    从逻辑上看,知识库的更新包括概念层的更新和数据层的更新。更新的两种方式:数据驱动下的全面更新增量更新
  • 揭密 scaling laws deardao 机器学习
    ScalinglawsOpenAI在其早期的关于scalinglaws的论文[1]中提出了基础理论,但该文缺乏一些具体的求解过程,且未能在更大规模的模型上进行验证。与此同时,后续研究,例如DeepMind的ChinChilla[2]还提出了不同的结论。论文题目:UnravelingtheMysteryofScalingLaws:PartI论文地址:https://arxiv.org/abs/240
  • 书其实只有三类 西蜀石兰
    一个人一辈子其实只读三种书,知识类、技能类、修心类。 知识类的书可以让我们活得更明白。类似十万个为什么这种书籍,我一直不太乐意去读,因为单纯的知识是没法做事的,就像知道地球转速是多少一样(我肯定不知道),这种所谓的知识,除非用到,普通人掌握了完全是一种负担,维基百科能找到的东西,为什么去记忆? 知识类的书,每个方面都涉及些,让自己显得不那么没文化,仅此而已。社会认为的学识渊博,肯定不是站在
  • 《TCP/IP 详解,卷1:协议》学习笔记、吐槽及其他 bylijinnan tcp
    《TCP/IP 详解,卷1:协议》是经典,但不适合初学者。它更像是一本字典,适合学过网络的人温习和查阅一些记不清的概念。 这本书,我看的版本是机械工业出版社、范建华等译的。这本书在我看来,翻译得一般,甚至有明显的错误。如果英文熟练,看原版更好: http://pcvr.nl/tcpip/ 下面是我的一些笔记,包括我看书时有疑问的地方,也有对该书的吐槽,有不对的地方请指正: 1.
  • Linux—— 静态IP跟动态IP设置 eksliang linuxIP
    一.在终端输入 vi /etc/sysconfig/network-scripts/ifcfg-eth0 静态ip模板如下: DEVICE="eth0" #网卡名称 BOOTPROTO="static" #静态IP(必须) HWADDR="00:0C:29:B5:65:CA" #网卡mac地址 IPV6INIT=&q
  • Informatica update strategy transformation 18289753290
    更新策略组件: 标记你的数据进入target里面做什么操作,一般会和lookup配合使用,有时候用0,1,1代表 forward  rejected rows被选中,rejected row是输出在错误文件里,不想看到reject输出,将错误输出到文件,因为有时候数据库原因导致某些column不能update,reject就会output到错误文件里面供查看,在workflow的
  • 使用Scrapy时出现虽然队列里有很多Request但是却不下载,造成假死状态 酷的飞上天空 request
    现象就是: 程序运行一段时间,可能是几十分钟或者几个小时,然后后台日志里面就不出现下载页面的信息,一直显示上一分钟抓取了0个网页的信息。 刚开始已经猜到是某些下载线程没有正常执行回调方法引起程序一直以为线程还未下载完成,但是水平有限研究源码未果。 经过不停的google终于发现一个有价值的信息,是给twisted提出的一个bugfix 连接地址如下http://twistedmatrix.
  • 利用预测分析技术来进行辅助医疗 蓝儿唯美 医疗
    2014年,克利夫兰诊所(Cleveland Clinic)想要更有效地控制其手术中心做膝关节置换手术的费用。整个系统每年大约进行2600例此类手术,所以,即使降低很少一部分成本,都可以为诊 所和病人节约大量的资金。为了找到适合的解决方案,供应商将视野投向了预测分析技术和工具,但其分析团队还必须花时间向医生解释基于数据的治疗方案意味着 什么。  克利夫兰诊所负责企业信息管理和分析的医疗
  • java 线程(一):基础篇 DavidIsOK java多线程线程
                                                            &nbs
  • Tomcat服务器框架之Servlet开发分析 aijuans servlet
    最近使用Tomcat做web服务器,使用Servlet技术做开发时,对Tomcat的框架的简易分析: 疑问: 为什么我们在继承HttpServlet类之后,覆盖doGet(HttpServletRequest req, HttpServetResponse rep)方法后,该方法会自动被Tomcat服务器调用,doGet方法的参数有谁传递过来?怎样传递? 分析之我见: doGet方法的
  • 揭秘玖富的粉丝营销之谜 与小米粉丝社区类似 aoyouzi 揭秘玖富的粉丝营销之谜
    玖富旗下悟空理财凭借着一个微信公众号上线当天成交量即破百万,第七天成交量单日破了1000万;第23天时,累计成交量超1个亿……至今成立不到10个月,粉丝已经超过500万,月交易额突破10亿,而玖富平台目前的总用户数也已经超过了1800万,位居P2P平台第一位。很多互联网金融创业者慕名前来学习效仿,但是却鲜有成功者,玖富的粉丝营销对外至今仍然是个谜。     近日,一直坚持微信粉丝营销
  • Java web的会话跟踪技术 百合不是茶 url会话Cookie会话Seession会话Java Web隐藏域会话
    会话跟踪主要是用在用户页面点击不同的页面时,需要用到的技术点   会话:多次请求与响应的过程     1,url地址传递参数,实现页面跟踪技术          格式:传一个参数的 url?名=值     传两个参数的 url?名=值 &名=值   关键代码
  • web.xml之Servlet配置 bijian1013 javaweb.xmlServlet配置
    定义: <servlet> <servlet-name>myservlet</servlet-name> <servlet-class>com.myapp.controller.MyFirstServlet</servlet-class> <init-param> <param-name>
  • 利用svnsync实现SVN同步备份 sunjing SVN同步E000022svnsync镜像
    1. 在备份SVN服务器上建立版本库    svnadmin create test 2. 创建pre-revprop-change文件     cd test/hooks/     cp pre-revprop-change.tmpl pre-revprop-change 3. 修改pre-revprop-
  • 【分布式数据一致性三】MongoDB读写一致性 bit1129 mongodb
    本系列文章结合MongoDB,探讨分布式数据库的数据一致性,这个系列文章包括: 数据一致性概述与CAP 最终一致性(Eventually Consistency) 网络分裂(Network Partition)问题 多数据中心(Multi Data Center) 多个写者(Multi Writer)最终一致性 一致性图表(Consistency Chart) 数据
  • Anychart图表组件-Flash图转IMG普通图的方法 白糖_ Flash
    问题背景:项目使用的是Anychart图表组件,渲染出来的图是Flash的,往往一个页面有时候会有多个flash图,而需求是让我们做一个打印预览和打印功能,让多个Flash图在一个页面上打印出来。   那么我们打印预览的思路是获取页面的body元素,然后在打印预览界面通过$("body").append(html)的形式显示预览效果,结果让人大跌眼镜:Flash是
  • Window 80端口被占用 WHY? bozch 端口占用window
    平时在启动一些可能使用80端口软件的时候,会提示80端口已经被其他软件占用,那一般又会有那些软件占用这些端口呢?    下面坐下总结:         1、web服务器是最经常见的占用80端口的,例如:tomcat , apache  , IIS , Php等等;         2
  • 编程之美-数组的最大值和最小值-分治法(两种形式) bylijinnan 编程之美
    import java.util.Arrays; public class MinMaxInArray { /** * 编程之美 数组的最大值和最小值 分治法 * 两种形式 */ public static void main(String[] args) { int[] t={11,23,34,4,6,7,8,1,2,23}; int[]
  • Perl正则表达式 chenbowen00 正则表达式perl
    首先我们应该知道 Perl 程序中,正则表达式有三种存在形式,他们分别是: 匹配:m/<regexp>;/ (还可以简写为 /<regexp>;/ ,略去 m) 替换:s/<pattern>;/<replacement>;/ 转化:tr/<pattern>;/<replacemnt>;
  • [宇宙与天文]行星议会是否具有本行星大气层以外的权力呢? comsci
          举个例子: 地球,地球上由200多个国家选举出一个代表地球联合体的议会,那么现在地球联合体遇到一个问题,地球这颗星球上面的矿产资源快要采掘完了....那么地球议会全体投票,一致通过一项带有法律性质的议案,既批准地球上的国家用各种技术手段在地球以外开采矿产资源和其它资源........    &
  • Oracle Profile 使用详解 daizj oracleprofile资源限制
    Oracle Profile 使用详解 转 一、目的: Oracle系统中的profile可以用来对用户所能使用的数据库资源进行限制,使用Create Profile命令创建一个Profile,用它来实现对数据库资源的限制使用,如果把该profile分配给用户,则该用户所能使用的数据库资源都在该profile的限制之内。 二、条件: 创建profile必须要有CREATE PROFIL
  • How HipChat Stores And Indexes Billions Of Messages Using ElasticSearch & Redis dengkane elasticsearchLucene
    This article is from an interview with Zuhaib Siddique, a production engineer at HipChat, makers of group chat and IM for teams. HipChat started in an unusual space, one you might not
  • 循环小示例,菲波拉契序列,循环解一元二次方程以及switch示例程序 dcj3sjt126com c算法
    # include <stdio.h> int main(void) { int n; int i; int f1, f2, f3; f1 = 1; f2 = 1; printf("请输入您需要求的想的序列:"); scanf("%d", &n); for (i=3; i<n; i
  • macbook的lamp环境 dcj3sjt126com lamp
      sudo vim /etc/apache2/httpd.conf   /Library/WebServer/Documents 是默认的网站根目录   重启Mac上的Apache服务   这个命令很早以前就查过了,但是每次使用的时候还是要在网上查: 停止服务:sudo /usr/sbin/apachectl stop 开启服务:s
  • java ArrayList源码 下 shuizhaosi888 ArrayList源码
    版本 jdk-7u71-windows-x64   JavaSE7 ArrayList源码上:http://flyouwith.iteye.com/blog/2166890     /** * 从这个列表中移除所有c中包含元素 */ public boolean removeAll(Collection<?> c) {
  • Spring Security(08)——intercept-url配置 234390216 Spring Securityintercept-url访问权限访问协议请求方法
    intercept-url配置 目录 1.1     指定拦截的url 1.2     指定访问权限 1.3     指定访问协议 1.4     指定请求方法   1.1   &n
  • Linux环境下的oracle安装 jayung oracle
    linux系统下的oracle安装 本文档是Linux(redhat6.x、centos6.x、redhat7.x) 64位操作系统安装Oracle 11g(Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production),本文基于各种网络资料精心整理而成,共享给有需要的朋友。如有问题可联系:QQ:52-7
  • hotspot虚拟机 leichenlei javaHotSpotjvm虚拟机文档
    JVM参数  http://docs.oracle.com/javase/6/docs/technotes/guides/vm/index.html   JVM工具 http://docs.oracle.com/javase/6/docs/technotes/tools/index.html   JVM垃圾回收 http://www.oracle.com
  • 读《Node.js项目实践:构建可扩展的Web应用》 ——引编程慢慢变成系统化的“砌砖活” noaighost Webnode.js
    读《Node.js项目实践:构建可扩展的Web应用》 ——引编程慢慢变成系统化的“砌砖活” 眼里的Node.JS 初初接触node是一年前的事,那时候年少不更事。还在纠结什么语言可以编写出牛逼的程序,想必每个码农都会经历这个月经性的问题:微信用什么语言写的?facebook为什么推荐系统这么智能,用什么语言写的?dota2的外挂这么牛逼,用什么语言写的?……用什么语言写这句话,困扰人也是阻碍
  • 快速开发Android应用 rensanning android
    Android应用开发过程中,经常会遇到很多常见的类似问题,解决这些问题需要花时间,其实很多问题已经有了成熟的解决方案,比如很多第三方的开源lib,参考 Android Libraries 和 Android UI/UX Libraries。 编码越少,Bug越少,效率自然会高。 但可能由于 根本没听说过、听说过但没用过、特殊原因不能用、自己已经有了解决方案等等原因,这些成熟的解决
  • 理解Java中的弱引用 tomcat_oracle java工作面试
     不久之前,我 面试了一些求职Java高级开发工程师的应聘者。我常常会面试他们说,“你能给我介绍一些Java中得弱引用吗?”,如果面试者这样说,“嗯,是不是垃圾回收有关的?”,我就会基本满意了,我并不期待回答是一篇诘究本末的论文描述。   然而事与愿违,我很吃惊的发现,在将近20多个有着平均5年开发经验和高学历背景的应聘者中,居然只有两个人知道弱引用的存在,但是在这两个人之中只有一个人真正了
  • 标签输出html标签" target="_blank">关于标签输出html标签 xshdch jsp
    http://back-888888.iteye.com/blog/1181202 关于<c:out value=""/>标签的使用,其中有一个属性是escapeXml默认是true(将html标签当做转移字符,直接显示不在浏览器上面进行解析),当设置escapeXml属性值为false的时候就是不过滤xml,这样就能在浏览器上解析html标签, &nb
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他