多重簽名是比特幣中大多數人都熟悉的概念:多重簽名交易需要得到多方批准才能執行。我們區分“n-of-n”多重簽名(其中參與方數量爲 n,並且都需要他們全部批准)和“t-of-n”閾值簽名(其中只需要較少數量的 t 個參與者批准)。用於多重簽名的加密方案(例如 MuSig、MuSig-DN 和 MuSig2)以及用於閾值簽名的 Komlo 和 Goldberg 的 FROST)可以降低交易成本並提高多重簽名錢包的隱私性。
到目前為止,在比特幣社群中,FROST 僅用於實驗性實現。在這篇文章中,我們解釋了為什麼會發生這種情況,以及我們如何透過最近發布的 ChillDKG 分散式金鑰產生協議的 BIP 草案來在比特幣生產環境中推進 FROST。
首先,FROST有什麼好處?
MuSig2 和 FROST 提高隱私性和效率
使用 MuSig2 和 FROST,即使多個參與者參與簽名過程,結果也只是一個簽名。
這不僅使交易看起來像普通的單簽名錢包交易,還為參與者提供了更好的隱私。它還縮減了交易規模,從而降低了交易費用。所有偉大的事!
MuSig2 和 FROST 允許比特幣用戶以與常規單簽名錢包相同的交易成本操作多重簽名錢包。對於具有大量簽署者和頻繁交易的系統(例如 Liquid 或 Fedimint 等聯合側鏈),成本效益尤其顯著。與傳統的多重簽名不同,傳統的多重簽名會留下獨特的指紋,讓區塊鏈觀察者能夠識別錢包的交易,基於 FROST 的錢包與區塊鏈上的常規單簽名錢包沒有區別。因此,與傳統的多重簽名錢包相比,它們提高了隱私性。
雖然 MuSig2 已被比特幣行業採用,但據我們所知,FROST 並非如此。考慮到存在多個FROST 實現,例如ZF FROST(由Zcash 基金會提供)、secp256kfun(由Lloyd Fournier 提供)以及libsecp256k1-zkp 中的實驗性實現(由Jesse Posner 和Blockstream Research 提供),這可能會令人驚訝。甚至還有針對 FROST 的 IETF 規範 RFC 9591(儘管由於 Taproot 調整和僅限 x 的公鑰,它與比特幣不相容)。最合理的解釋之一是,與 MuSig2 相比,FROST 的金鑰產生過程要複雜得多。
生產系統中 FROST 未解之謎
FROST 本質上由兩部分組成:金鑰產生和簽署。雖然簽章過程與 MuSig2 非常相似,但金鑰產生比 MuSig2 涉及更多。 FROST 中的金鑰產生是可信任的或分散式的:
可信任金鑰產生涉及“可信任經銷商”,他產生金鑰並將金鑰份額分發給簽署者。經銷商代表單點故障:如果惡意或被駭客攻擊,FROST 錢包就有被清空的風險。
分散式金鑰產生 (DKG) 在消除對可信任經銷商的需求的同時,也提出了自己的挑戰:所有參與者都需要參與互動式金鑰產生“儀式”,然後才能開始簽署。
核心挑戰:協議
DKG 通常需要參與者之間的安全(即經過身份驗證和加密)通道來向各個簽署者傳遞秘密共享,以及安全的協議機制。安全一致機制的目的是確保所有參與者最終對DKG的結果達成一致,其中不僅包括產生的閾值公鑰等參數,還包括是否沒有發生錯誤以及儀式是否沒有被異常中斷。
雖然 IETF 規範認為 DKG 完全超出範圍,但上述 FROST 實作並未實現安全協議,因此將此任務留給了庫用戶。但協議的實現並不容易:存在無數的協議和協議風格,從簡單的迴聲廣播方案到成熟的拜占庭共識協議,它們的安全性和可用性保證存在顯著差異,有時甚至是微妙的。
儘管由於協議協議的叢林可能會引起混亂,但 DKG 所依賴的協議的確切風格通常沒有清楚地傳達給工程師,使他們一無所知。
ChillDKG:FROST 的獨立 DKG
為了克服這個障礙,我們提出了 ChillDKG,這是一種專為 FROST(草案)中的使用而定制的新的「即用型」DKG 協議。我們以比特幣改進提案(BIP)草案的形式提供了詳細的描述,旨在作為實施者的規範。
ChillDKG的主要特點是它是獨立的:安全通訊和安全協定的建立是在協定內完成的,而所有這些底層複雜性都隱藏在簡單且難以濫用的API後面。因此,ChillDKG 已準備好在實踐中使用,並且不依賴任何設定假設,只是每個簽署者已決定由各個公鑰標識的聯合簽署者集。 ChillDKG 基於 SimplPedPop 協議,其設計和形式安全證明 Blockstream Research 已參與,請參閱 Chu、Gerhart、Ruffing (Blockstream Research) 的 CRYPTO 2023 論文“Practical Schnorr Threshold Signatures Without the Algebraic Group Model”,以及施羅德
ChillDKG 設計的其他目標包括:
廣泛的適用性:ChillDKG 支援廣泛的場景,從簽名設備由單一人擁有和連接的場景到多個所有者從不同位置管理設備的場景。
簡單備份:ChillDKG 無需在安全位置備份從其他簽署者收到的機密,而是僅從設備種子和所有 DKG 參與者都相同的公共資料恢復錢包。因此,存取公共備份資料的攻擊者不會獲得秘密簽署金鑰,如果使用者遺失備份,他們可以向另一個誠實的簽署者請求它。
ChillDKG BIP 目前處於草案階段,我們正在尋求有關設計選擇和實施細節的回饋。雖然規格基本上完整,但缺乏測試向量,我們正在考慮添加一些額外的功能(例如「可識別的中止」)。一旦最終確定,ChillDKG BIP 就可以與 FROST 簽署的 BIP 結合使用,以實例化整個 FROST 協定。
這是 Jonas Nick、Kiara Bickers 和 Tim Ruffing 的客座文章。所表達的觀點完全是他們自己的,並不一定反映 BTC Inc 或比特幣雜誌的觀點。
來源:比特幣雜誌
FROST 的關鍵:什麼是分散式金鑰產生?首先出現在《加密突發新聞》上。
