<div dir="auto"><div dir="ltr" style="font-family:sans-serif">On Wed, Jul 11, 2018, 02:42 Erik Aronesty via bitcoin-dev &lt;<a href="mailto:bitcoin-dev@lists.linuxfoundation.org">bitcoin-dev@lists.linuxfoundation.org</a>&gt; wrote:<br></div><span style="font-family:sans-serif">&gt; Basically you&#39;re just replacing addition with interpolation everywhere in the musig construction</span> <div dir="auto"><br></div><div dir="auto">Yes, but you can&#39;t do that without a delinearization mechanism to prevent adaptive public key choice being used to break the scheme using Wagner&#39;s attack. It is not specific to addition, it is a generalized birthday attack.</div><div dir="auto"><br></div><div dir="auto">Look at the delinearization mechanism for an intuition, all public keys are hashed along with per value hash, so that pre-commits and forces the public keys to be non-adaptively chosen. </div><div dir="auto"><br></div><div dir="auto">Adaptively chosen public keys are dangerous and simple to exploit for example pub keys A+B, add party C&#39; he chooses C=C&#39;-A-B, now we can sign for A+B+C using adaptively chose public key C.</div><div dir="auto"><br></div><div dir="auto">Btw Wagner also breaks this earlier delinearization scheme S=H(A)*A+H(B)*B+H(C)*C</div><div dir="auto"><br></div><div dir="auto">Adam</div></div>