On security of adaptor signatures

Abstract

Adaptovatelné podpisy v kryptografii představují rozšíření standardních digitálních podpisů. Umožňují podepisujícímu vytvořit závazek k podpisu, který lze následně získat výměnou za tajnou hodnotu. Tato vlastnost adaptovatelných podpisů se v poslední době využívá v mnoha aplikacích souvisejících s kryptoměnami včetně podmíněných plateb. Naše práce se zabývá bezpečností adaptovatelných podpisových schémat pro Schnorrovy podpisy a ECDSA, motivovanou právě scénářem podmíněných plateb. Identifikujeme omezení stávajících definic bezpečnosti, pokud je uvažujeme vzhledem k praktickým adaptovatelným podpisům pro ECDSA, a představíme i konkrétní problém v kontextu Bitcoinu. Navrhneme nové definice bezpečnosti, které předcházejí těmto problémům, a dokážeme, že praktický adaptovatelný podpis pro ECDSA splňuje námi definovanou bezpečnost.

In cryptography, adaptor signatures extend standard digital signatures. They allow the signer to make a promise on an actual signature, which is then revealed in exchange for a secret value. This functionality of adaptor signatures has recently been used in many applications regarding cryptocurrencies, including conditional payments. This thesis studies the security of adaptor signatures for Schnorr signature and ECDSA motivated by the conditional payments. We identify limitations of existing security definitions when applied to practical adaptor signatures for ECDSA and provide an example of such a limitation in the context of the Bitcoin blockchain. To address these problems, we present new security definitions and prove that the practical adaptor signature for ECDSA satisfies our notion of security.