關鍵要點

  • 閾值簽名方案(TSS)使用多方計算將私鑰生成和簽名分散到多個參與者之間,消除加密錢包中的單點故障。

  • 在密鑰生成、簽名或存儲的任何時候,沒有單個參與者持有完整的私鑰,這可以顯著降低密鑰泄露的風險。

  • TSS在鏈外操作並生成標準的單個簽名,使其與區塊鏈無關,併兼容任何支持數字簽名的網絡。

  • 與鏈上多籤相比,TSS可以提供更低的交易成本、改善的隱私和靈活的閾值配置(t-of-n),而不在鏈上暴露訪問結構細節。

介紹

閾值簽名方案(TSS)是一種用於分佈式密鑰生成和簽名的加密原語。它允許多個參與者協同生成有效的數字簽名,而沒有任何單個參與者擁有完整的私鑰。TSS可以影響區塊鏈應用程序的密鑰管理系統設計,並且在機構保管、去中心化金融(DeFi)協議和跨鏈基礎設施中變得越來越重要。

本文涵蓋了TSS是什麼,它與Shamir祕密共享和多籤方法的比較,如何在區塊鏈客戶端中實施,以及近年來如何影響其採用的開發。

密碼學的力量

要理解TSS,掌握一些密碼學的基礎知識是有幫助的。自1970年代以來,互聯網系統如TLS和PGP依賴於非對稱加密,也稱爲公鑰加密。這種方法使用兩把鑰匙:一個任何人都可以訪問的公鑰和一個必須保持祕密的私鑰。

加密和數字簽名是公鑰加密的兩種最常見應用。數字簽名方案涉及三個算法:密鑰對生成、簽名創建(需要私鑰)和驗證(使用公鑰)。簽名附加在消息上,以便任何持有公鑰的人可以確認其真實性。

區塊鏈和數字簽名

區塊鏈技術提供了一個共識層,用於組織和驗證事件。操作基本區塊鏈所需的密碼學可以完全依賴數字簽名。在這種情況下,私鑰代表身份,而簽名作爲這些身份發出的公共聲明。區塊鏈根據確保簽名不可僞造和正確性的共識規則驗證這些聲明。

除了經典的數字簽名,現代密碼學工具箱還包括強大的原語,如零知識證明、同態加密和多方計算。在過去十年的區塊鏈研究推動了應用密碼學的重大進展,閾值簽名代表了實際密鑰管理中最具影響力的突破之一。

MPC與閾值簽名方案

多方計算(MPC)是密碼學的一個分支,起源於1980年代Andrew C. Yao的研究。在MPC中,一組不信任彼此的參與者聯合計算一個函數,保持這些私有輸入彼此隱蔽。

MPC的兩個主要特性是:

  • 正確性:算法產生的輸出與預期結果相匹配。

  • 隱私:沒有任何參與者會了解到其他參與者的祕密輸入,超出輸出所能推斷的信息。

當MPC應用於數字簽名時,這些特性轉化爲一個強大的框架:

  • 密鑰生成(DKG):各方共同生成公鑰和個別祕密份額。沒有任何一方看到其他方的份額,但所有份額都對應於同一個公鑰。

  • 簽名:每個參與者使用自己的祕密份額作爲輸入。該協議在任何時候都不需要重建完整的私鑰,就能生成有效的數字簽名。

  • 驗證:標準的單鑰驗證算法適用。任何持有公鑰的人都可以驗證簽名,這意味着區塊鏈節點可以在沒有任何協議更改的情況下驗證TSS生成的簽名。

分佈式密鑰生成和分佈式簽名的組合定義了閾值簽名方案。"閾值"指的是生成有效簽名所需的最低參與者數量(從n中選擇t)。

將TSS與區塊鏈結合

TSS可以通過用分佈式計算替換所有與私鑰相關的命令來集成到區塊鏈客戶端中。在傳統設置中,創建新地址涉及生成一個私鑰,計算相應的公鑰,並推導出區塊鏈地址。

通過TSS,一組n個參與者共同計算公鑰,每個參與者持有基礎私鑰的祕密份額。區塊鏈地址是根據公鑰以標準方式推導的,使網絡對密鑰生成方式無關。關鍵優勢是私鑰從未以單一實體的形式存在。

簽署交易遵循相同的分佈式方法。不是一個參與者使用完整的私鑰進行簽名,而是多個參與者運行閾值簽名協議。只要所需的誠實參與者數量(t)參與,就會生成有效簽名。一般的"t-of-n"配置意味着系統可以容忍多達t的任意故障而不影響安全性。

TSS與多籤

一些區塊鏈通過名爲多籤的內置功能提供多方授權。雖然多籤和TSS都旨在分配簽名權限,但它們在重要方面存在差異:

  • 鏈上與鏈外:多簽在鏈上操作,並要求區塊鏈編碼訪問結構(簽署者數量),這可能降低隱私並增加交易成本。TSS在鏈外操作,並生成標準的單個簽名。

  • 區塊鏈兼容性:多籤必須爲每個區塊鏈單獨實現,可能不被所有網絡支持。TSS依賴純加密技術,可以與任何支持標準簽名的鏈一起使用。

  • 隱私:TSS不會在鏈上公開簽署者的數量或閾值配置,從而保持操作隱私。

  • 交互性:多籤可以是非交互式的(每個簽署者獨立提交),而TSS在簽名儀式中需要簽署者之間的通信層。

TSS與Shamir祕密共享

Shamir祕密共享(SSS)提供了一種將祕密拆分爲多個份額的方法,但在兩個基本方面與TSS不同:

  • 密鑰生成:SSS依賴於一個單一的"經銷商",生成私鑰並分發份額。在生成的那一刻,完整的密鑰存在於一個位置。TSS使用分佈式密鑰生成,因此完整的密鑰從未在任何地方顯現。

  • 簽名:SSS每次需要簽名時都需要重建完整的私鑰(組合份額),重新引入單點故障。TSS分佈式計算簽名,永遠不需要重新組裝密鑰。

在TSS中,私鑰在其生命週期的任何時候都不會以完整形式存在,從生成到每一次簽名操作。

閾值錢包

基於TSS技術的錢包不同於傳統的加密錢包。傳統錢包生成種子短語,並使用分層確定性(HD)推導生成地址和私鑰。閾值錢包必須分佈式計算其HD結構,每個參與者持有自己獨立的種子份額,這些份額永遠不會組合。

TSS錢包支持私鑰輪換(主動祕密共享),這是一種從現有份額生成新祕密份額的協議,同時保持相同的公鑰和區塊鏈地址。輪換後可以刪除舊份額,爲安全性增加了時間維度:攻擊者需要在單個輪換週期內同時攻陷多個位置。

常見的部署架構包括:

  • 外包TSS:計算委託給多個服務提供商,他們代表用戶持有份額。這簡化了用戶體驗,但引入了關於提供商串通的信任假設。

  • 多設備:用戶在自己的設備(手機、筆記本電腦、硬件令牌)上運行TSS。這保持了完全控制,但需要多個設備在線以進行簽名。

  • 混合:一些份額由服務提供商持有,其他份額由用戶設備持有。這種方法在可用性和安全性之間取得了平衡,並且到2025年已成爲消費者MPC錢包中最常見的模型。

TSS與智能合約

TSS有可能用更便宜、更私密的鏈外替代方案替代某些鏈上智能合約操作。去中心化應用程序、第二層擴展解決方案、原子交換和繼承方案都可以受益於閾值簽名框架。

例如,多跳鎖定構造使用雙方簽名來啓用私密支付通道網絡。鏈上混合解決方案可以利用單一閾值簽名驗證來實現成本有效的隱私。隨着技術的成熟,TSS爲減少鏈上覆雜性提供了基礎,同時保持密碼學安全保證。

TSS:機構採用及未來

基於MPC的閾值簽名錢包已經從實驗性技術轉變爲主流機構保管基礎設施。主要保管提供商如Fireblocks、BitGo和Blockdaemon依賴TSS作爲其核心簽名機制,管理着數十億美元的資產。

近年來的關鍵發展包括:

  • 監管認可:SEC保管規則現代化框架明確承認MPC和閾值簽名系統作爲可接受的保管架構,使TSS從小衆密碼學轉變爲合規準備基礎設施。

  • 與賬戶抽象(ERC-4337)的融合:MPC簽名可以作爲智能合約錢包的認證層,結合TSS的密鑰管理優勢與可編程事務邏輯,如支出限制、社交恢復和基於角色的批准。

  • 企業級實現:高質量的貢獻、正式審計和算法改進增強了TSS庫的實力。生產部署現在支持ECDSA、EdDSA和基於Schnorr的閾值協議,涵蓋數十個區塊鏈網絡。

  • 擴展的應用案例:跨鏈橋、去中心化預言機網絡和DAO財庫管理越來越依賴TSS進行分佈式簽名授權,而無需鏈上治理開銷。

風險與侷限性

儘管已經顯著成熟,TSS仍然保留某些侷限性:

  • 協議複雜性:TSS協議比標準數字簽名算法更復雜,需要額外的密碼學假設。在傳統的單鑰設置中不存在的攻擊向量可能會出現。

  • 通信開銷:閾值簽名需要參與者之間的交互協議,引入延遲並要求可靠的通信通道。

  • 實施風險:MPC庫中的微妙錯誤可能會破壞安全保證。正式驗證和第三方審計對於生產部署至關重要。

  • 種子短語不兼容:閾值錢包無法生成標準的BIP-39種子短語,使其與傳統錢包恢復流程不兼容。

積極的一面是,越來越多的同行評審實現、開源庫和正式安全證明已經顯著降低了這些風險,相較於技術的早期階段。

常見問題

什麼是閾值簽名方案?

閾值簽名方案(TSS)是一種加密協議,將私鑰生成和簽名分散到多個參與者之間。必須有最低數量的參與者(閾值)合作才能生成有效簽名,但沒有任何單個參與者擁有完整的私鑰。

TSS與多簽有何不同?

多籤要求在鏈上驗證多個單獨的簽名,這暴露了訪問結構並增加了交易成本。TSS在鏈外生成單一標準簽名,保持隱私並降低費用。TSS也是區塊鏈無關的,而多籤依賴於特定鏈的支持。

TSS比常規錢包更安全嗎?

TSS可以通過消除單點故障來提高安全性,而單鑰錢包固有的單點故障。然而,它引入了通信複雜性和對正確MPC實施的依賴。安全性最終取決於實施的質量、閾值配置和操作實踐。

哪些區塊鏈支持閾值簽名?

由於TSS在鏈外操作並生成標準加密簽名,因此幾乎可以與支持ECDSA、EdDSA或Schnorr簽名的任何區塊鏈一起使用。這包括比特幣、以太坊、BNB鏈、Solana及其他主要網絡。

閾值簽名可以與硬件錢包結合嗎?

可以。一些實現將一個或多個祕密份額分配給硬件安全模塊(HSM)或硬件錢包,將抗篡改設備的物理安全性與TSS的分佈式信任模型結合。該混合方法在機構保管設置中很常見。

結語

閾值簽名代表了區塊鏈密鑰管理的重大進展。通過確保私鑰在任何單一位置都不會以完整形式存在,TSS可以降低災難性密鑰泄露的風險,同時與現有區塊鏈基礎設施保持兼容。

進一步閱讀

  • 對稱加密與非對稱加密

  • 密碼學歷史

  • 託管錢包與非託管錢包:有什麼區別?

  • 什麼是節點?

  • 區塊鏈第一層與第二層擴展解決方案

免責聲明:此內容以"原樣"的方式提供,僅供一般信息和教育目的,不提供任何形式的陳述或保證。它不應被解釋爲財務、法律或其他專業建議,也不旨在推薦購買任何特定產品或服務。您應尋求適當專業顧問的建議。若內容由第三方貢獻,請注意這些表達的觀點屬於第三方貢獻者,並不一定反映幣安學院的觀點。數字資產價格可能會波動。您的投資價值可能會下降或上升,您可能無法收回投資金額。您對自己的投資決策負責,幣安學院對您可能遭受的任何損失不承擔責任。有關更多信息,請參見我們的使用條款、風險警告和幣安學院條款。