阅读 252

[译]无脚本的脚本:比特币如何支持没有智能合约的智能合约

Scriptless Scripts
比特币的能力是有限的。同时,智能合约可能是资源密集型的。所以即使比特币一直支持基本的智能合约功能,但这两者从来都不是天作之合。

但是由 Blockstream 的数学家 Andrew Poelstra 带头研究的最近一个话题可以帮助解决这个问题。 最近他在 “ Scaling Bitcoin Stanford” 演讲中提及的关键内容,“无脚本脚本”有可能将某些智能合约完全从比特币区块链中移除 - 同时仍然保证比特币的所有安全性。

比特币和智能合约

在20世纪90年代,数字货币大佬 Nick Szabo 首次提出的智能合约基本上是自动执行合约。 最典型的是,如果满足特定的条件,他们会把钱从某人那里汇给某人。 例如,如果有人在播放一首歌曲,这笔钱则会从流媒体机构自动支付给艺术家

虽然智能合约通常与以太坊等 “第二代” 区块链有关,但比特币也一直支持基本的智能合约。 从某种意义上说,任何比特币交易在技术上都是一个 “聪明” 的合同:只要提供有效的加密签名,资金通常就会在该条件下移动。 稍微更先进的智能合约(如多重数据和时间锁定)可用于启用 Lightning Network 等第二层协议。

但基于区块链的智能合约是存在问题的。 首先,这个过程变得越来越复杂,需要更多的资源来执行。 这就存在很大的问题,因为这要求网络上的所有节点都需要执行合同 - 而不仅仅是参与合同的各方。

整个网络的执行也意味着,整个网络将确切的知道我的智能合约,完全没有什么秘密可言。 此外,这对于可互换性也是不利的。 如果智能合约由于某种原因而不受欢迎,所涉及的资金(在区块链上公开可见)就会受到破坏。

随着智能合约变得越来越复杂,甚至可能成为安全风险。 例如,替代软件的实现可能会使合同的细节略微不同,使网络上的所有节点达成一致变得困难起来。 这些智能合约中的潜在缺陷也是公开的,这就给黑客以可乘之机。

但是 Poelstra 等人认为,这些问题中的许多问题都可以通过将大量合同移出区块链来解决。 只有合约涉及的各方才能执行这个功能,而不是让网络上的所有节点都计算出整个智能合约。

问题的关键就在于确保网络的其他部分仍然能够正确执行合同的结果:只有满足所需条件,才能进行支付。

Schnorr 签名

Poelstra 最初开始在 Mimblewimble 协议的背景下研究 “Scriptless Scripts”(他自己创造的一个短语)。 比特币的精简版本提供了更多的隐私和更好的可扩展性,但不支持脚本:在比特币交易中的代码位允许最基本的智能合约功能。

所以,Poelstra 想出了如何获得脚本所提供的实用程序,而不需要在区块链上使用脚本:Scriptless Scripts

Scriptless Scripts 的关键在于规则的加密签名可以间接地揭示不属于包含签名的事务的一部分。 换句话说,当有人签署验证一个普通的比特币交易时,它认为一个没有托管在区块链上的智能合约仍然忠实地执行。

这就使得 Schnorr 签名成为可能。 这些类型的签名还没有在比特币协议上实现,但是从现在开始的一年左右就可能部署。

Schnorr 签名允许的签名:几个签名可以在数学上组合成一个签名。 而且,对于这个用例来说重要的是,这个数学是“线性的”。这基本上意味着可以对这些签名执行相对直接但非常有表现力的数学运算。

简化之后,它的作用就像这样:

当然,私钥和签名实际上只是数字,后者来自前者。 我们举个简单的例子来辅助理解,假设一个私钥是 10,从该私钥导出的 Schnorr 签名的前半部分为 10000. 另一个私钥是 15,Schnorr 签名的后半部分为 15000. 在这个例子中,Schnorr 签名就是 25000(或10000 + 15000)。发现了没有,所谓 Schnorr 签名就是由两个人的私钥生成的 Schnorr 签名的两部分之和(有点绕)

而且由于签名的两半只是数字,所以可以在它们之间进行数学运算。 例如,在这个简化的例子中,这两半之间的差异是5000(或15000-10000)。

当然实际比这复杂的多,但是 Schnorr 签名线性的特性允许有几种这样的数学“技巧”。

智能合约

举个例子:一个人(小明)想听一位艺术家(贝多芬)的第七交响曲。 毫无疑问,贝多芬是这首歌曲的所有者,如果(并且只有)贝多芬的签名被提供给托管该歌曲的服务器,服务器才能够播放这首歌。假设这个“歌曲签名”是7000. 那么小明就可以通过支付给贝多芬一个比特币的歌曲签名听歌曲。(他非常想听这首歌。)

在这个简单的例子中,小明和贝多芬可以通过做两件事来使这个交易自动执行。 首先,他们创建了一个相当普通的比特币交易,如果小明和贝多芬都提供一半的 Schnorr 签名来创建一个完整的 Schnorr 签名,则从小明向贝多芬发送一个比特币。 (这一步需要一些额外的安全措施,以确保没有人破坏这笔交易)

下一步有点复杂。

现在,贝多芬知道小明一半 Schnorr 签名的内容; 假设为 8000. 贝多芬当然知道自己的歌曲签名是什么样的,比如是:7000. 因此,贝多芬很容易可以计算出这两者之间的差异为:1000. 这就是所谓的适配器签名。 然后,贝多芬把这个适配器签名 - 1000 - 交给小明。

下面就是密码学的用处所在。

通过修改普通的签名验证方法,小明即使不能访问任何一个签名,但同样可以验证他刚接收到的适配器签名(1000)的确是贝多芬的 半Schnorr签名和她的歌曲签名之间的差异。

现在,在验证适配器签名(1000)检验出来之后,小明可以将其一半的Schnorr 签名给予贝多芬,因为一旦贝多芬使用小明的一半签名来创建完整的签名并广播到比特币网络中,那么,贝多芬同时也就自动将她的一半Schnorr签名(8000)也显示给小明。

使用贝多芬的 Schnorr 签名的一半,小明现在可以减去自适应签名:1000. 通过从贝多芬的半Schnorr签名(8000-1000)减去自适应签名,这时小明就获得了贝多芬的“歌曲签名”:7000。OK, 现在他可以听这首歌了。

换句话说,通过广播支付贝多芬一个比特币的交易,贝多芬自动地将这个签名卖给了这个小明。

总结

从区块链的角度来看,交易是相当规范的。 除了“结算交易”之外,智能合约的任何内容都不会记录在区块链上。 没有人会知道一个潜在的合同被执行 ,合同相关的数据也不需要由有关各方以外的任何人计算或存储。

引用

原文链接:Scriptless Scripts

转自:无脚本的脚本:比特币如何支持没有智能合约的智能合约


本文由 Copernicus 团队 冉小龙 翻译,转载无需授权。

关注下面的标签,发现更多相似文章
评论