R-Puzzle是一种新型脚本，允许付款方使用任何有效的比特币密钥对来对输入中使用的UTXO进行签名。这可用于签署Metanet节点地址，或持有token的地址，甚至是随机生成的地址。

K值

在R-Puzzle中，用户想要花费一笔资金需要使用一个被称为“k”值的知识证明。“k”来自与比特币私钥相同的数学集合，付款者知道它，并用它生成出“r”，即k的x坐标乘以Generator点G。“r”是从交易中使用的签名中提取的，并测试存储在ScriptPubKey中的哈希值。我们可以使用与比特币密匙串相同的确定性技术来管理k-链。

生成ECDSA签名涉及以下几个步骤：

签名中输入：

1. k值 “k”
2. 密钥对“P1”=“S1”·G
3. 消息“m”

使用的方法：

1. 计算R=k·G
2. 定义r=R的x坐标
3. 计算s=k-1(H(m)+S1*r)mod n

签名是 <r, s> 加上5个字节的格式和一个SIGHASH类型

签名结构

序列化后的签名看起来如下：

3046022100e9d34347e597e8b335745c6f8353580f4cbdb4bcde2794ef7aab915d996642022100df2ccb52c7243c55bde35937bd345737bd3bd1bf1bc64bd3457bc64bd35cb0d1b4bd4bd1

提取r

下面的脚本通过首先提取R的长度（即数据包的第4个字节）从签名字符串中取出r，然后使用它从签名中将r拆分出来。

OP_3 OP_SPLIT OP_NIP OP_1 OP_SPLIT OP_SWAP OP_SPLIT OP_DROP

P2RPH 

将此下标打包成以下内容，就给出了一个Pay to R-Puzzle Hash脚本： OP_OVER OP_3 OP_SPLIT OP_NIP OP_1 OP_SPLIT OP_SWAP OP_SPLIT OP_DROP OP_HASH160 <Hash(r)> OP_EQUALVERIFY OP_CHECKSIG

安全须知

保护私钥

如果使用相同的k发布两个签名，那么知道k值的任何人都可以推导出用于创建签名的密钥。

为了减缓这一问题，请确保永远不会使用相同的k值和私钥来创建多个签名。

签名的可伪造性

给定R-puzzle签名<r, s>，公钥P和消息m，伪造者可以创建一个不同的消息 m‘，并计算新的公钥P‘，使得：

P’ = P + [ r ^-1 [ H(m) – H(m’) ] ] · G

那么签名<r,s>就是消息 m’上关于公钥 P’的有效签名。需要注意的是，伪造者并不知道，也不需要知道这次伪造中P’对应的私钥。

在应用R-puzzle时，必须要考虑到这一点。

减缓这种情况的一种方法是要求提交另一个签名，以证明签名者知道与R-puzzle中使用的公钥相对应的私钥。也就是说，解锁脚本中的两个签名，<r, s>和<r’,s’>，以及一个公钥P。出于第一个安全考虑，让r不等于r’很重要。在相同的公钥P下，两个签名都应该是有效的。

该解决方案提议使用以下输入解决方案：

<sig’> <pubkey> <sig_r>

它使用以下脚本来花费输出：

OP_DUP OP_3 OP_SPLIT OP_NIP OP_1 OP_SPLIT OP_SWAP OP_SPLIT OP_DROP OP_HASH160 <rhash> OP_EQUALVERIFY OP_OVER OP_CHECKSIGVERIFY OP_CHECKSIG