schnorr signatures : Taproot pourrait-il créer des risques de sécurité plus importants ou même entraver les futurs ajustements de protocole concernant les menaces Quantum ?
Permettez-moi de commencer par aborder les idées fausses dans les messages que vous citez.
DSA (et Schnorr) sont intrinsèquement basés sur le problème du logarithme discret, qui est vulnérable aux ordinateurs quantiques (suffisamment puissants). Par conséquent, il n’existe pas de « DSA post-quantique ». DSA n’a pas non plus la propriété de linéarité de Schnorr – si « DSA linéaire » signifie quelque chose, ce serait juste une façon étrange de se référer à Schnorr (DSA est une modification de Schnorr qui visait à contourner son brevet). Il existe des schémas de signature numérique qui sont (vraisemblablement) sécurisés post-quantique, mais ils ne sont pas basés sur le problème du logarithme discret, et ils sont généralement très volumineux.
Une autre idée fausse est que Taproot s’appuie sur la linéarité de Schnorr. Ce n’est pas le cas – Taproot pourrait également être construit à l’aide d’ECDSA; ce serait juste beaucoup moins utile. La propriété de linéarité est nécessaire pour une simple agrégation de clés, de sorte qu’une seule clé puisse représenter le consentement de plusieurs parties.
Alors, commencer à s’appuyer sur la linéarité de Schnorr rend-il plus difficile la migration vers les signatures PQC ?
/Taproot en premier lieu.
Il y a cependant des obstacles à cela qui ne sont pas liés à Schnorr/Taproot. Le plus important est probablement le fonctionnement actuel de la dérivation de clé. Les schémas de signature PCQ n’ont rien de similaire à BIP32, et il n’est pas trivial de reprendre une grande partie de l’infrastructure qui existe aujourd’hui autour de la génération de clés (xpubs, chemins de dérivation, PSBT, portefeuilles matériels,..). Je soupçonne que ce sera un problème beaucoup plus difficile à résoudre que les constructions permises par Taproot sur une base script par script.
Idéalement, comment toutes ces fonctionnalités seraient-elles transférées aux systèmes PQC ?
Avant de répondre à cela, permettez-moi de souligner qu’à bien des égards, Schnorr/Taproot ne sont qu’un pas vers la dissimulation de certaines choses dans les scripts. Cela n’apporte des avantages que lorsque les produits peuvent être dépensés par une seule partie ou en coopération par plusieurs. Dans un monde idéal, ils seraient remplacés par une preuve à connaissance nulle que quelles que soient les propriétés avec lesquelles le destinataire d’une pièce voulait encombrer son stockage, il était satisfait en le dépensant, sans rien révéler d’autre.
pas une signature plusieurs parties sont impliquées, et les vérificateurs (nœuds complets qui appliquent les règles de consensus) ne se soucient pas vraiment de la politique qui a été respectée, mais seulement du fait qu’elle correspond à la politique définie par le propriétaire de la pièce.
Il existe des systèmes de preuve à connaissance nulle qui pourraient le faire (dans une plus ou moins grande mesure) aujourd’hui, bien qu’ils s’accompagnent de compromis performances/taille ou d’hypothèses de sécurité qui peuvent être difficiles à adopter pour l’écosystème en ce moment. Cependant, ce domaine de la science a énormément progressé ces dernières années, et je m’attends à ce qu’il continue à le faire.
et beaucoup de choses peuvent se produire dans de tels délais.
