Schnorr on As it was https://galoishlee.github.io/tags/schnorr/ Recent content in Schnorr on As it was Hugo zh-CN maocred@gmail.com (Halois) maocred@gmail.com (Halois) This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License. Fri, 12 Dec 2025 08:00:00 +0800 secp256k1 的协议定位与签名机制 https://galoishlee.github.io/secp256k1-signature-mechanisms/ Fri, 12 Dec 2025 08:00:00 +0800maocred@gmail.com (Halois) https://galoishlee.github.io/secp256k1-signature-mechanisms/ <blockquote> <p>Reading: same curve, different signature interfaces.</p> </blockquote> <p>上一篇已经把 Web3 里的曲线职责图画出来了。这一篇只把账户层单独拎出来:为什么 Bitcoin 和 Ethereum 长期把 secp256k1 当作账户与交易签名曲线,而不是换到 pairing-friendly curve;以及为什么在同一条曲线上,ECDSA 和 Schnorr 会导向不同的协议接口和工程边界。</p> <p>账户层消费的不是 pairing,也不是多项式 opening proof,而是普通离散对数群上的签名验证关系。这件事决定了 secp256k1 的核心价值并不在“它是哪条曲线”,而在“它背后的实现生态、签名接口和安全边界是否足够稳定”。因此这篇文章真正要比较的对象不是 secp256k1 vs BLS12-381,而是 secp256k1 上的 ECDSA vs Schnorr。<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup> <sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup></p> <p>如果把账户层写成“曲线教程”,重点会跑偏。更有用的顺序是:先说明 secp256k1 为什么留在账户层,再写 ECDSA 的最小验证关系和它对 nonce 的敏感性,再写 Schnorr 如何在同一条曲线上改写签名接口,最后把这些差异落到 Bitcoin、Ethereum、<code>libsecp256k1</code>、RFC 6979 与钱包实现的现实接口上。<sup id="fnref:3"><a href="#fn:3" class="footnote-ref" role="doc-noteref">3</a></sup> <sup id="fnref:4"><a href="#fn:4" class="footnote-ref" role="doc-noteref">4</a></sup></p> <blockquote> <p>Quick Note. This article separates ECDSA and Schnorr verification logic while keeping both on the same curve family. It also explains protocol fit for Bitcoin and Ethereum account usage, and connects implementation constraints to constant-time scalar arithmetic.</p> </blockquote> Sigma 协议的统一视角:Schnorr、表示证明与 Fiat-Shamir https://galoishlee.github.io/sigma-schnorr-fiat-shamir/ Wed, 03 Dec 2025 08:00:00 +0800maocred@gmail.com (Halois) https://galoishlee.github.io/sigma-schnorr-fiat-shamir/ <blockquote> <p>Reading: sigma protocols as the first reusable proof skeleton of the series.</p> </blockquote> <p>上一篇把 Pedersen 承诺写成了一个 relation:</p> $$ C = g^m h^r. $$<p>这一篇开始研究,怎样围绕这种 relation 构造一个既能 extraction、又能 simulation 的三步证明骨架。真正需要记住的不是 “Schnorr” 这个名字,而是同一个模板:first message 先把 witness 压进一个承诺式对象,verifier 给出一个公币 challenge,prover 再用线性响应把 witness 带回来。</p> <p>Sigma 协议之所以重要,不是因为它是某个古典协议家族,而是因为它把三件后面一直会重复出现的东西压进了同一份 transcript:</p> <ul> <li>commitment / first message</li> <li>extractor 需要的两份 accepting transcripts</li> <li>simulator 需要重建的 transcript distribution</li> </ul> <p>这也是它成为后续现代证明系统桥梁的原因。Schnorr 证明离散对数是最小例子,表示证明是直接推广,而 Fiat-Shamir 则显示这套骨架一旦被 hash 取代 challenge,交互虽然消失,模型边界却一起换掉了。<sup id="fnref:1"><a href="#fn:1" class="footnote-ref" role="doc-noteref">1</a></sup> <sup id="fnref:2"><a href="#fn:2" class="footnote-ref" role="doc-noteref">2</a></sup> <sup id="fnref:3"><a href="#fn:3" class="footnote-ref" role="doc-noteref">3</a></sup></p>