Multisig este un concept familiar pentru majoritatea Bitcoin: o tranzacție multisig necesită aprobarea mai multor părți înainte de a putea fi executată. Facem distincție între semnăturile multiple „n-of-n”, unde numărul de părți implicate este n, și toate trebuie să aprobe, și semnăturile de prag „t-of-n”, unde doar un număr mai mic de participanți au nevoie a aproba. Schemele criptografice precum MuSig, MuSig-DN și MuSig2 pentru semnături multiple și FROST de Komlo și Goldberg pentru semnături de prag pot reduce costurile tranzacției și pot îmbunătăți confidențialitatea portofelelor multisig.
Până acum, în comunitatea Bitcoin, FROST a fost folosit doar în implementări experimentale. În această postare, explicăm de ce este cazul și cum ne propunem să avansăm FROST într-un mediu de producție Bitcoin prin publicarea recentă a unui proiect BIP pentru protocolul de generare a cheilor distribuite ChillDKG.
În primul rând, care sunt beneficiile FROST?
Confidențialitate și eficiență câștigă cu MuSig2 și FROST
Cu MuSig2 și FROST, chiar dacă mai mulți participanți contribuie la procesul de semnare, rezultatul este o singură semnătură.
Acest lucru nu numai că oferă o mai bună confidențialitate participanților, făcând tranzacția să arate ca o tranzacție obișnuită cu un singur portofel. De asemenea, reduce tranzacția, reducând dimensiunea acesteia și, prin urmare, scăzând comisionul de tranzacție. Toate lucrurile grozave!
MuSig2 și FROST permit utilizatorilor Bitcoin să opereze un portofel multisig cu același cost de tranzacție ca un portofel obișnuit cu o singură semnătură. Beneficiile din punct de vedere al costurilor sunt deosebit de semnificative pentru sistemele cu un număr mare de semnatari și tranzacții frecvente, cum ar fi sidechain-uri federate precum Liquid sau Fedimint. Spre deosebire de multisig tradițional, care lasă o amprentă distinctă care le permite observatorilor blockchain să identifice tranzacțiile portofelului, portofelele bazate pe FROST nu se pot distinge de portofelele obișnuite cu o singură semnătură de pe blockchain. Prin urmare, oferă o îmbunătățire a confidențialității în comparație cu portofelele tradiționale multisig.
În timp ce MuSig2 a fost adoptat de industria Bitcoin, nu același lucru se poate spune despre FROST din câte știm. Acest lucru poate fi surprinzător, având în vedere existența mai multor implementări FROST, cum ar fi în ZF FROST (de către Fundația Zcash), secp256kfun (de Lloyd Fournier) și o implementare experimentală în libsecp256k1-zkp (de Jesse Posner și Blockstream Research). Există chiar și o specificație IETF pentru FROST, RFC 9591 (deși nu este compatibilă cu Bitcoin din cauza modificării Taproot și a cheilor publice doar x). Una dintre cele mai plauzibile explicații este că procesul de generare a cheilor FROST este considerabil mai complex în comparație cu MuSig2.
Puzzle-ul nerezolvat al FROST în sistemele de producție
FROST constă în esență din două părți: generarea cheii și semnarea. În timp ce procesul de semnare seamănă foarte mult cu cel al MuSig2, generarea cheilor este semnificativ mai implicată decât în MuSig2. Generarea cheilor în FROST este fie de încredere, fie distribuită:
Generarea cheii de încredere implică un „dealer de încredere” care generează cheia și distribuie părți cheie semnatarilor. Dealerul reprezintă un singur punct de eșec: dacă este rău intenționat sau piratat, portofelul FROST riscă să fie golit.
Generarea de chei distribuite (DKG), în timp ce elimină necesitatea unui dealer de încredere, prezintă propriile provocări: toți participanții trebuie să fie implicați într-o „ceremonie” interactivă de generare a cheilor înainte de a începe semnarea.
Provocarea de bază: acord
DKG necesită, de obicei, canale securizate (adică, autentificate și criptate) între participanți pentru a livra părți secrete semnatarilor individuali și un mecanism de acord securizat. Scopul mecanismului de acord securizat este de a se asigura că toți participanții ajung în cele din urmă la un acord asupra rezultatelor DKG, care includ nu numai parametri precum cheia publică de prag generată, dar și dacă nu a apărut nicio eroare și ceremonia nu a fost întreruptă de un participant prost comportament.
În timp ce specificația IETF consideră DKG în afara domeniului de aplicare în întregime, implementările FROST menționate mai sus nu implementează acordul securizat, lăsând această sarcină utilizatorului bibliotecii. Dar acordul nu este trivial de implementat: există nenumărate protocoale și variante de acord, de la simple scheme de difuzare cu eco până la protocoale de consens bizantin cu drepturi depline, iar garanțiile de securitate și disponibilitate ale acestora diferă semnificativ și uneori subtil.
În ciuda confuziei care poate apărea din cauza acestei jungle de protocoale de acord, aroma exactă a acordului pe care se bazează DKG nu este adesea comunicată clar inginerilor, lăsându-i în întuneric.
ChillDKG: un DKG autonom pentru FROST
Pentru a depăși acest obstacol, propunem ChillDKG, un nou protocol DKG „gata de utilizare” adaptat utilizării în FROST (schiță). Oferim o descriere detaliată sub forma unei schițe a unei propuneri de îmbunătățire a Bitcoin (BIP), care este destinată să servească drept specificație pentru implementatori.
Principala caracteristică a ChillDKG este că este independent: stabilirea comunicațiilor securizate și a acordului securizat se face în cadrul protocolului, în timp ce toată această complexitate subiacentă este ascunsă în spatele unui API simplu și greu de utilizat greșit. Ca rezultat, ChillDKG este gata de utilizare în practică și nu se bazează pe nicio ipoteză de configurare, cu excepția faptului că fiecare semnatar a decis asupra setului de co-semnatari identificați prin cheile publice individuale. ChillDKG se bazează pe protocolul SimplPedPop, în a cărui proiectare și dovada formală de securitate a fost implicată Blockstream Research, a se vedea lucrarea CRYPTO 2023 „Practical Schnorr Threshold Signatures Without the Algebraic Group Model” de Chu, Gerhart, Ruffing (Blockstream Research) și Schröder
Obiectivele suplimentare pentru designul ChillDKG includ:
Aplicabilitate largă: ChillDKG acceptă o gamă largă de scenarii, de la cele în care dispozitivele de semnare sunt deținute și conectate de o singură persoană până la cele în care mai mulți proprietari gestionează dispozitivele din locații distincte.
Copii de rezervă simple: în loc să fie nevoie să faceți copii de siguranță ale secretelor primite de la ceilalți semnatari într-o locație sigură, ChillDKG permite restaurarea portofelului numai din semințele dispozitivului și datele publice care sunt aceleași pentru toți participanții la DKG. În consecință, un atacator care obține acces la datele publice de backup nu obține cheia secretă de semnare, iar dacă un utilizator își pierde backupul, o poate solicita de la un alt semnatar sincer.
ChillDKG BIP este în prezent în faza de proiect și căutăm feedback cu privire la alegerile de proiectare și detaliile de implementare. Deși specificația este în mare parte completă, îi lipsesc vectorii de testare și luăm în considerare adăugarea unor caracteristici suplimentare (de exemplu, „avorturi identificabile”). Odată finalizat, ChillDKG BIP poate fi utilizat în combinație cu un BIP pentru semnarea FROST pentru a instanția întregul protocol FROST.
Aceasta este o postare pentru invitați a lui Jonas Nick, Kiara Bickers și Tim Ruffing. Opiniile exprimate sunt în întregime proprii și nu reflectă neapărat cele ale BTC Inc sau Bitcoin Magazine.
Sursa: Bitcoin Magazine
Postarea Cheia pentru FROST: Ce este generarea cheilor distribuite? a apărut prima dată pe Crypto Breaking News.
