비트코인 옵테크 #141: 서명 위임 및 탭루트 활동

비트코인 오프텍 뉴스레터는 독자들에게 비트코인에서 일어나는 가장 중요한 기술 뉴스의 최상위 요약과 함께 더 많이 배울 수 있는 리소스를 제공합니다. 독자들이 비트코인에 대한 최신 정보를 유지할 수 있도록, 우리는 아래에 이 뉴스레터의 최신 호를 재발행하고 있습니다. 구독하여 이 콘텐츠를 직접 받을 수 있는 것을 잊지 마세요.

이번 주 뉴스레터에서는 비트코인의 기존 합의 규칙에 따른 서명 위임 기술을 설명하고, 탭루트가 비트코인의 양자 암호 저항에 미치는 영향에 대한 논의를 요약하며, 탭루트를 활성화하기 위한 일련의 주간 회의를 발표합니다. 또한 서비스 및 클라이언트 소프트웨어의 주목할 만한 변화, 새로운 릴리스 및 릴리스 후보, 인기 있는 비트코인 인프라 소프트웨어의 주목할 만한 변화에 대한 정기 섹션도 포함되어 있습니다.

뉴스

• 기존 합의 규칙에 따른 서명 위임: 앨리스가 자신의 UTXO 중 하나를 즉시 온체인 거래를 생성하거나 개인 키를 제공하지 않고 밥이 사용할 수 있도록 하고 싶다고 상상해 보세요. 이것을 위임이라고 하며, 이는 수년 동안 논의되어 왔습니다. 최근에는 그래프트루트 제안의 일환으로 특히 주목받았습니다. 지난주, 제레미 루빈은 비트코인-개발 메일링 리스트에 오늘날 비트코인을 사용하여 위임을 수행하는 기술에 대한 설명을 게시했습니다.
  앨리스가 UTXO_A를 가지고 있고 밥이 UTXO_B를 가지고 있다고 가정해 보겠습니다. 앨리스는 UTXO_A와 UTXO_B를 사용하는 부분 서명 거래를 생성합니다. 앨리스는 SIGHASH_NONE 서명 해시 플래그를 사용하여 자신의 UTXO에 서명하는데, 이는 서명이 거래의 출력에 대한 어떤 것도 약속하지 않도록 합니다. 이렇게 하면 거래의 다른 입력의 소유자인 밥이 출력 선택에 대한 일방적인 제어권을 가지게 되며, 그는 정상적인 SIGHASH_ALL 플래그를 사용하여 그 출력에 대해 약속하고 다른 사람이 거래를 수정하지 못하도록 합니다. 이 이중 입력 SIGHASH_NONE 트릭을 사용하여 앨리스는 자신의 UTXO에 대해 밥이 서명할 수 있는 능력을 위임합니다.
  이 기술은 주로 이론적인 관심이 있는 것으로 보입니다. 그래프트루트, OP_CHECKTEMPLATEVERIFY 및 OP_CHECKSIGFROMSTACK을 포함한 다른 제안된 위임 기술들이 여러 면에서 우수할 가능성이 있지만, 현재 이 기술만이 실험을 원하는 누구나 메인넷에서 사용할 수 있습니다.
• 탭루트에 대한 양자 컴퓨터 공격 논의: 원래 비트코인 소프트웨어는 비트코인을 받는 두 가지 방법을 제공했습니다:
• Pay-to-Public-Key (P2PK)는 비트코인을 공개 키로 받고 서명으로 그 코인을 사용할 수 있도록 하는 원래 비트코인 문서에 설명된 간단하고 명확한 방법을 구현했습니다. 비트코인 소프트웨어는 공개 키 자료를 소프트웨어로 완전히 처리할 수 있을 때 기본적으로 이를 사용했습니다.
• Pay-to-Public-Key-Hash (P2PKH)는 공개 키를 사용할 해시 다이제스트로 비트코인을 받는 간접적인 방법을 추가했습니다. 코인을 사용하려면 공개 키가 서명과 함께 공개되어야 하며, 해시 다이제스트에 할당된 20바이트는 오버헤드 비용이 됩니다. 이는 결제 정보가 사람이 처리해야 할 필요가 있을 때 기본적으로 사용되었습니다. 예를 들어, 복사 및 붙여넣기가 가능한 주소입니다.
• 나카모토는 왜 두 가지 방법을 구현했는지 설명하지 않았지만, 비트코인 주소를 더 작게 만들어 더 쉽게 전달할 수 있도록 해시 간접성을 추가했다고 널리 믿어지고 있습니다. 원래 비트코인 구현에서 공개 키는 65바이트였지만, 주소 해시는 20바이트에 불과했습니다.
  그 이후 10년 동안 여러 발전이 있었습니다. 특정 멀티시그 프로토콜을 기본적으로 간단하고 안전하게 만들기 위해, 다자간 프로토콜을 위한 스크립트는 아마도 32바이트 커밋을 사용해야 한다고 결정되었습니다. 비트코인 개발자들은 또한 공개 키를 33바이트로 압축할 수 있는 이전에 알려진 기술에 대해 배웠으며, 나중에 이를 32바이트로 최적화하는 방법을 설명했습니다. 마지막으로, 탭루트의 주요 혁신은 32바이트 공개 키가 32바이트 해시와 유사한 보안으로 스크립트에 커밋할 수 있음을 보여주었습니다. 이는 해시나 공개 키를 사용하든 관계없이 사람들이 전달해야 하는 주소 데이터 양이 더 이상 변하지 않음을 의미합니다. 그러나 공개 키를 직접 사용하면 해시 간접성으로 인한 추가 대역폭 및 저장 공간이 제거됩니다. 모든 결제가 32바이트 해시 대신 공개 키로 간다면 매년 약 13기가바이트의 블록체인 공간을 절약할 수 있습니다. 탭루트의 BIP341 사양은 공개 키에 대한 결제를 P2PK 스타일로 수용하는 이유로 공간 절약을 설명합니다.
  그러나 P2PKH 해시 간접성은 한 가지 장점이 있습니다: 필요할 때까지 키를 공개적으로 숨길 수 있습니다. 이는 공개 키의 보안을 손상시킬 수 있는 능력이 있는 적이 거래가 방송될 때까지 그 능력을 사용하지 못할 수 있음을 의미하며, 거래가 특정 깊이로 확인된 후에는 그 키로 제어되는 자금을 훔칠 수 있는 능력을 잃을 수 있습니다. 이는 공격에 사용할 수 있는 시간의 양을 제한하며 느린 공격이 효과를 발휘하지 못할 수 있습니다. 비트코인-개발 메일링 리스트에서 탭루트가 P2PK 스타일로 공개 키를 직접 사용하기로 선택한 맥락에서 이전에 이와 관련된 논의가 길게 이루어졌지만, 이번 주에는 비트코인-개발 메일링 리스트에서 탭루트에 반대하는 이메일이 발표된 후 다시 논의의 주제가 되었습니다. 그 이메일은 비트코인 스타일의 공개 키를 공격할 수 있는 강력한 양자 컴퓨터가 “10년 말까지 나타날 수 있다”는 두려움에서 출발했습니다.
  메일링 리스트 논의에 참여한 사람들은 탭루트에 반대한다고 말하지 않았지만, 그들은 주장의 전제 조건을 검토하고 대안을 논의하며 그 대안이 암시하는 거래를 평가했습니다. 그 대화의 일부를 아래에 요약합니다:
•  현재 QC 저항을 잘 수행하지 않는 해시: 2019년 조사에 따르면, 강력한 QC와 비트코인 블록체인의 복사본 외에는 아무것도 없는 공격자는 모든 비트코인의 1/3 이상을 훔칠 수 있었습니다. 대부분은 사용자가 주소를 재사용한 결과일 것이며, 이는 권장되지 않는 관행이지만 곧 사라질 것 같지는 않습니다.
  또한 논의 참가자들은 개별 공개 키 또는 BIP32 확장 공개 키(xpubs)를 제3자와 공유하는 모든 사람이 공개 키가 유출될 경우 강력한 QC의 위험에 처할 것이라고 지적했습니다. 이는 하드웨어 지갑이나 LN 결제 채널에 저장된 대부분의 비트코인을 포함할 가능성이 높습니다. 요약하자면, 오늘날 거의 보편적으로 P2PKH 스타일의 해시된 공개 키를 사용하더라도, 강력한 QC가 공개 또는 제3자 데이터에 접근할 수 있다면 거의 모든 비트코인이 도난당할 수 있습니다. 이는 탭루트와 함께 P2PK 스타일의 비해시 공개 키를 사용하는 선택이 비트코인의 현재 보안 모델을 크게 변경하지 않는다는 것을 의미합니다.
•  탭루트가 QC 이후 복구를 개선하는 비용: 비트코인 사용자가 강력한 QC가 나타났거나 곧 나타날 것이라는 사실을 알게 되면, 그들은 단일 서명만 사용되는 탭루트 키 경로 지출을 거부할 수 있습니다. 그러나 탭루트 주소를 생성할 때 미리 준비한 사용자는 스크립트 경로 지출을 사용하여 해당 주소로 수신된 비트코인을 지출할 수 있습니다. 이 경우, 탭루트 주소는 사용자가 사용하고자 하는 탭 스크립트의 해시에 커밋합니다. 이 해시 커밋은 QC에 안전한 새로운 암호 알고리즘으로 전환하는 계획의 일부로 사용될 수 있으며, 또는 QC가 위협이 되기 전에 그러한 알고리즘이 비트코인에 표준화된다면 비트코인의 소유자가 즉시 새로운 계획으로 전환할 수 있게 해줍니다. 이는 개별 사용자가 백업 탭 스크립트 지출 경로를 생성하고, 해당 백업 경로에 관련된 공개 키(BIP32 xpubs 포함)를 공유하지 않으며, 강력한 QC에 대해 너무 많은 피해를 주기 전에 우리가 알게 될 경우에만 작동합니다.
• 공격이 현실적인가? 한 응답자는 10년 말까지 빠른 QC가 “예상되는 발전 속도의 매우 낙관적인 측면”이라고 생각했습니다. 다른 한 응답자는 단일 느린 QC의 설계를 QCs의 농장으로 전환하여 병렬로 작업할 수 있는 “상당히 간단한 엔지니어링 도전”이라고 언급했습니다. 이는 P2PKH 스타일의 해시 간접성으로부터의 보호를 무의미하게 만듭니다. 세 번째 응답자는 빠른 QC에서 진전을 이루는 사람만이 지출할 수 있는 특별한 비트코인 주소를 구축할 것을 제안했습니다. 사용자는 이러한 주소에 비트코인을 자발적으로 기부하여 인센티브가 있는 조기 경고 시스템을 만들 수 있습니다.
•  탭루트가 활성화된 후 해시 스타일 주소를 추가할 수 있습니다: 상당수의 사용자가 강력한 QC의 갑작스러운 출현이 위협이라고 생각한다면, 우리는 해시를 사용하는 대체 P2PKH 스타일의 탭루트 주소 유형을 추가하기 위해 후속 소프트 포크를 사용할 수 있습니다. 그러나 이는 여러 응답자가 반대하는 결과를 초래합니다:
• 혼란을 초래할 것입니다
• 블록 공간을 더 많이 사용할 것입니다
• 탭루트의 익명성 집합의 크기를 직접적으로 줄이며, 링 서명 멤버십 증명 또는 조항과 같은 프로토콜을 사용할 때도 줄어듭니다
• 대역폭/저장 비용 대 CPU 비용: 서명과 서명하는 거래 데이터에서 공개 키를 유도하여 해시 간접성으로 인한 추가 32바이트 저장 오버헤드를 제거할 수 있는 방법이 있습니다. 이를 키 복구라고 합니다. 다시 말하지만, 이는 반대되었습니다. 키 복구는 노드를 느리게 할 수 있는 상당한 양의 CPU를 요구하며, 역사적 블록 검증을 최대 3배 더 빠르게 만들 수 있는 슈노르 배치 검증의 사용을 방해합니다. 또한 익명 멤버십 증명 및 관련 기술을 개발하기 더 어렵고 CPU 집약적으로 만듭니다. 특허 문제도 있을 수 있습니다.
• 현재 이 글을 작성하는 시점에서 메일링 리스트 논의는 탭루트에 대한 커뮤니티 지원의 명백한 손실 없이 종료된 것으로 보입니다. 연구자들과 기업들이 양자 컴퓨팅의 최첨단을 계속 개선함에 따라, 우리는 비트코인을 안전하게 유지하는 방법에 대한 미래의 논의를 기대합니다.
• 주간 탭루트 활성화 회의: 탭루트 활성화와 관련된 세부 사항을 논의하기 위한 10회의 주간 회의가 매주 화요일 19:00 UTC에 ##taproot-activation IRC 채널에서 예정되어 있으며, 첫 번째 회의는 어제(3월 23일)에 열렸습니다.

서비스 및 클라이언트 소프트웨어의 변화

이번 월간 특집에서는 비트코인 지갑 및 서비스에 대한 흥미로운 업데이트를 강조합니다.

• OKCoin, 라이트닝 입출금 시작: 블로그 게시물에서 OKCoin의 라이트닝 입출금 지원을 설명합니다. 그들은 또한 최소 입출금 한도를 0.001에서 0.000001 BTC로 낮췄습니다. 현재 LN을 사용하여 거래할 때 OKCoin의 한도는 0.05 BTC입니다.
• BitMEX, bech32 지원 발표: 블로그 게시물에서 BitMEX는 bech32 입금 지원의 출시 계획을 자세히 설명했습니다. BitMEX는 이전에 bech32 출금(전송) 지원을 롤아웃했습니다.
• Specter v1.2.0 출시: Specter v1.2.0은 비트코인 코어 설명자 지갑 및 코인 제어 기능을 지원합니다.
• Breez, 라이트닝 결제를 위한 오디오 스트리밍: Breez 지갑은 오디오 플레이어를 통합하여 키 전송과 결합하여 사용자가 결제를 스트리밍하면서 팟캐스트를 들을 수 있도록 합니다.
• 키 관리자 Dux Reserve 발표: Thibaud Maréchal은 MacOS, Windows 및 Linux에서 지원되는 베타 오픈 소스 데스크탑 키 관리자 Dux Reserve를 발표했습니다. Ledger, Coldcard 및 Trezor 하드웨어 지갑을 지원합니다.
• Coldcard, libsecp256k1 사용: Coldcard의 버전 4.0.0은 기타 기능 중에서 비트코인 코어의 libsecp256k1 라이브러리를 암호화 작업에 사용하도록 전환합니다.

릴리스 및 릴리스 후보

인기 있는 비트코인 인프라 프로젝트의 새로운 릴리스 및 릴리스 후보입니다. 새로운 릴리스로 업그레이드하거나 릴리스 후보 테스트를 도와주시기 바랍니다.

• C-Lightning 0.10.0-rc1은 이 LN 노드 소프트웨어의 다음 주요 버전의 릴리스 후보입니다.

주목할 만한 코드 및 문서 변경 사항

이번 주 비트코인 코어, C-Lightning, Eclair, LND, Rust-Lightning, libsecp256k1, 하드웨어 지갑 인터페이스(HWI), Rust Bitcoin, BTCPay Server, 비트코인 개선 제안(BIPs), 라이트닝 BOLTs에서의 주목할 만한 변화입니다.

• 비트코인 코어 #20861은 BIP350(버전 1+ 증인 주소의 Bech32m 형식)에 대한 지원을 구현합니다. Bech32m은 버전 1-16의 네이티브 세그윗 출력에 대한 주소 형식으로 bech32(BIP173)를 대체합니다. 네이티브 세그윗 버전 0 출력(P2WPKH 및 P2WSH)은 계속해서 bech32를 사용할 것입니다. 이 PR은 비트코인 코어 사용자가 네트워크에서 탭루트 출력(BIP341)이 정의되면 Pay to Taproot(P2TR) 주소로 결제를 보낼 수 있도록 합니다. 이 변경은 메인넷 시스템에 영향을 주지 않아야 하지만, 탭루트가 이미 활성화된 테스트 환경인 시그넷에서 bech32 인코딩된 주소를 사용하는 경우 주소 호환성 문제를 일으킬 수 있습니다. Bech32m 지원은 비트코인 코어 0.19, 0.20 및 0.21에도 백포트될 것입니다.
• 비트코인 코어 #21141은 로드된 지갑에 영향을 미치는 거래가 감지될 때마다 사용자 지정 명령을 호출하는 -walletnotify 구성 설정을 업데이트합니다. 두 개의 새로운 플레이스홀더가 명령에 전달될 수 있는 인수에 추가되며, %b는 거래를 포함하는 블록의 해시, %h는 블록의 높이를 나타냅니다. 두 값 모두 확인되지 않은 거래에 대해 정의된 값으로 설정됩니다.
• C-Lightning #4428은 fundchannel_complete RPC의 txid 수용을 더 이상 지원하지 않으며, 대신 PSBT를 전달하도록 요청합니다. PSBT는 자금 출력을 포함하는지 확인할 수 있어, 잘못된 데이터를 전달한 사용자가 자금을 회복할 수 있는 능력을 잃는 문제를 제거합니다.
• C-Lightning #4421은 지난 주 뉴스레터에서 다룬 자금 거래 회복 절차를 구현합니다. 사용자가 첫 번째 당사자 변조 거래(예: RBF 사용)로 채널에 자금을 잘못 제공했지만 아직 채널을 사용하지 않았다면, 이제는 자신의 거래 출력을 lightning-close 명령에 제공하여 shutdown_wrong_funding 기능을 지원하는 피어와 회복을 협상할 수 있습니다.
• LND #5068은 LND가 처리하는 네트워크 가십 정보의 양을 제한하기 위한 여러 새로운 구성 옵션을 제공합니다. 이는 자원이 제한된 시스템에서 도움이 될 수 있습니다.
• Libsecp256k1 #831은 서명 검증 속도를 15% 높일 수 있는 알고리즘을 구현합니다. 또한 서명을 생성하는 데 걸리는 시간을 25% 줄이면서도 사이드 채널 저항을 극대화하는 상수 시간 알고리즘을 사용합니다. 또한 Libsecp256k1의 다른 라이브러리에 대한 의존성을 일부 제거합니다. 이 최적화에 대한 자세한 내용은 뉴스레터 #136을 참조하십시오.

BIPs #1059는 메일링 리스트에서 이전에 논의된 대로 버전 2 PSBT를 지정하는 BIP370을 추가합니다(뉴스레터 #128 참조).