Tác giả: Jonas Nick
Nguồn : Key
Tác giả: Jonas Nick, Kiara Bickers, Tim Ruffing
Bài báo gốc được xuất bản vào tháng 8 năm 2024.
Đối với hầu hết mọi người trong cộng đồng Bitcoin , "Multisig" là một khái niệm quen thuộc: một giao dịch multisig yêu cầu sự cho phép từ nhiều người tham gia để hợp lệ. Tuy nhiên, chúng ta cần phân biệt giữa multisig " n-of-n " và chữ ký ngưỡng " t-of-n "; loại thứ nhất đề cập đến n người tham gia, tất cả đều cần sự cho phép; trong khi loại thứ hai đề cập đến t (một số lượng người tham gia nhỏ hơn) là đủ để ủy quyền cho giao dịch. Sử dụng các lược đồ multisig, MuSig-DN và MuSig2 , cũng như các lược đồ chữ ký ngưỡng như FROST (được đề xuất bởi Komlo và Goldberg), có thể giảm chi phí giao dịch và cải thiện tính riêng tư của ví multisig.
Cho đến nay, FROST chỉ được sử dụng trong hoàn cảnh thử nghiệm trong cộng đồng Bitcoin . Trong bài viết này, chúng tôi sẽ giải thích lý do cho tình trạng này và cách chúng tôi đang nỗ lực đưa FROST vào hoàn cảnh sản xuất của Bitcoin — thông qua bản dự thảo BIP mới được phát hành gần đây cho giao thức tạo khóa phân tán "ChillDKG".
Vậy trước tiên, việc sử dụng lược đồ chữ ký ngưỡng FROST có những ưu điểm gì?
Việc sử dụng MuSig2 và FROST có thể mang lại lợi ích về quyền riêng tư và hiệu quả.
Sử dụng các phương pháp như MuSig2 hoặc FROST, ngay cả khi có nhiều người tham gia vào quá trình ký, kết quả cuối cùng chỉ là một chữ ký duy nhất.
Điều này không chỉ mang lại lợi thế về quyền riêng tư cho người tham gia — giao dịch cuối cùng trông giống hệt như một giao dịch ví điện tử có chữ ký đơn thông thường — mà còn giúp đơn giản hóa giao dịch, giảm kích thước giao dịch và do đó giảm phí giao dịch. Tất cả đều là những điều tốt đẹp!
MuSig2 và FROST giảm chi phí giao dịch cho người dùng ví đa chữ ký Bitcoin xuống mức tương đương với ví đơn chữ ký thông thường. Lợi thế về chi phí này cực kỳ quan trọng đối với các hệ thống có lượng lớn và giao dịch thường xuyên—chẳng hạn như sidechain liên minh như Liquid và Fedimint . Các kịch bản đa chữ ký truyền thống để lại dấu vân tay có thể nhận dạng được, cho phép người quan sát blockchain xác định các giao dịch đa chữ ký; tuy nhiên, các giao dịch từ ví dựa trên FROST không thể phân biệt được với các giao dịch từ ví đơn chữ ký thông thường trên blockchain. Do đó, nó cung cấp tính bảo mật cao hơn so với ví đa chữ ký truyền thống.
Mặc dù MuSig2 đã được chấp nhận rộng rãi trong ngành công nghiệp Bitcoin, FROST (ít nhất theo hiểu biết của chúng tôi) vẫn chưa đạt được mức độ chấp nhận tương tự. Điều này có thể gây ngạc nhiên, xét đến sự tồn tại của nhiều triển khai FROST khác nhau, chẳng hạn như ZF FROST (từ Zcash Foundation), secp256kfun (từ Lloyd Fournier), và một triển khai thử nghiệm trong libsecp256k1-zkp (từ Jesse Posner và Blockstream Research). FROST thậm chí còn có một đặc tả IETF (Internet Engineering Nhiệm vụ Force): RFC 9591 (mặc dù đặc tả này không tương thích với Bitcoin do điều chỉnh khóa Taproot và định dạng khóa công khai chỉ x). Một lời giải thích hợp lý là quy trình tạo khóa của FROST phức tạp hơn đáng kể so với MuSig2.
Bí ẩn chưa được giải đáp: FROST vẫn chưa được đưa vào sản xuất hoàn cảnh.
Về cơ bản, FROST bao gồm hai phần: tạo khóa và ký. Mặc dù quy trình ký của nó rất giống với MuSig2, nhưng quy trình tạo khóa lại phức tạp hơn nhiều. Quy trình tạo khóa của FROST có thể được tin cậy hoặc phân tán.
- Trong quy trình "Tạo khóa tin cậy", một "Bộ xử lý tin cậy" sẽ tạo ra khóa và sau đó phân phối các mảnh khóa cho người ký. Bộ xử lý này đại diện cho một điểm yếu duy nhất: nếu chúng độc hại hoặc bị chiếm đoạt, ví FROST sẽ có rủi ro bị xâm phạm.
- Trong phương thức tạo khóa phân tán (Distributed Key Generation - DKG), mặc dù không còn yêu cầu bộ xử lý đáng tin cậy, phương thức này cũng đặt ra những thách thức riêng: tất cả người tham gia cần thực hiện một "nghi thức" tạo khóa tương tác; chỉ sau khi nghi thức hoàn tất thì quá trình ký mới có thể bắt đầu.
Video: Andrew Poelstra thảo luận về FROST trong việc đưa ra các chữ ký ngưỡng
Thách thức cốt lõi: Sự đồng thuận
Các DKG thường yêu cầu một kênh liên lạc an toàn—nghĩa là được xác thực và crypto—giữa các bên tham gia để phân phối các mảnh giá trị bí mật cho mỗi người ký; và một cơ chế thỏa thuận an toàn. Mục đích của cơ chế thỏa thuận an toàn là để đảm bảo rằng tất cả các bên tham gia cuối cùng đều đồng ý về kết quả của DKG, bao gồm không chỉ các tham số (chẳng hạn như khóa công khai ngưỡng được tạo ra), mà còn cả việc có xảy ra lỗi hay nghi thức bị gián đoạn do hành vi sai trái của một bên tham gia hay không.
Tuy nhiên, đặc tả IETF hoàn toàn bỏ qua DKG, và các triển khai FROST được đề cập ở trên cũng không thực hiện các cơ chế đồng thuận an toàn, để lại nhiệm vụ này cho người dùng mã nguồn. Nhưng việc triển khai các cơ chế đồng thuận không hề đơn giản: có vô số giao thức tồn tại, mỗi giao thức có những ưu tiên riêng, từ các sơ đồ phát sóng phản hồi đơn giản đến các giao thức đồng thuận Byzantine hoàn chỉnh; hơn nữa, các đảm bảo về tính bảo mật và khả năng sử dụng của chúng cũng khác nhau đáng kể (mặc dù cũng có một số khác biệt nhỏ).
Mặc dù quy trình chấp thuận này khá rắc rối, nhưng những ưu tiên cụ thể của DKG đối với các cơ chế chấp thuận mà họ dựa vào thường không được truyền đạt rõ ràng cho các kỹ sư, khiến họ bối rối.
ChillDKG: Một DKG độc lập được thiết kế cho FROST
Để khắc phục trở ngại này, chúng tôi đề xuất "ChillDKG," một giao thức DKG "sẵn sàng sử dụng" mới được thiết kế riêng cho việc sử dụng FROST ( bản dự thảo ). Chúng tôi cung cấp mô tả chi tiết dưới dạng bản dự thảo BIP; bản thân BIP này nhằm mục đích đóng vai trò là đặc tả để hướng dẫn những người triển khai.
Điểm mấu chốt của ChillDKG là tính độc lập: việc thiết lập các kênh bảo mật và sự đồng ý an toàn được hoàn tất trong chính giao thức, che giấu tất cả các phức tạp tiềm ẩn và chỉ cung cấp một API đơn giản, dễ bị lạm dụng. Do đó, ChillDKG sẵn sàng cho việc sử dụng thực tế, không dựa trên bất kỳ giả định khởi tạo nào khác ngoài việc mỗi người ký đều biết tập hợp những người đồng ký, được xác định bằng một khóa công khai duy nhất. ChillDKG dựa trên giao thức "SimplPedPop"; Blockstream Research đã tham gia vào thiết kế và các bằng chứng bảo mật chính thức của giao thức này, như được trình bày chi tiết trong bài báo "Practical Schnorr Threshold Signatures Without Algebraic Group Patterns" được xuất bản tại CRYPTO 2023, do Chu, Gerhart, Ruffing (từ Blockstream Research) và Schröder viết.
Các mục tiêu thiết kế khác của ChillDKG bao gồm:
- Tính ứng dụng rộng rãi : ChillDKG hỗ trợ nhiều tình huống thực tế, từ các trường hợp thiết bị ký điện tử đều do một người nắm giữ và được kết nối với nhau, đến các trường hợp nhiều người nắm giữ thiết bị ở các địa điểm khác nhau tự quản lý thiết bị ký điện tử của riêng mình.
- Sao lưu đơn giản : ChillDKG cho phép khôi phục ví chỉ dựa vào từ khóa khôi phục thiết bị và dữ liệu công khai (giống nhau cho tất cả người tham gia DKG) mà không cần sao lưu các giá trị bí mật từ những người ký khác ở một vị trí an toàn. Do đó, kẻ tấn công có được dữ liệu sao lưu công khai sẽ không thể có được khóa ký bí mật, và nếu người dùng mất bản sao lưu, nó có thể được khôi phục từ những người ký trung thực khác.
BIP ChillDKG hiện đang trong giai đoạn dự thảo và chúng tôi đang tìm kiếm phản hồi về các lựa chọn thiết kế và chi tiết triển khai. Mặc dù đặc tả phần lớn đã hoàn thiện, nhưng nó vẫn thiếu các vectơ kiểm thử, và chúng tôi cũng đang xem xét bổ sung một số tính năng khác (chẳng hạn như "kết thúc có thể nhận dạng"). Sau khi hoàn thiện, BIP này có thể được kết hợp với BIP được viết cho việc ký FROST để tạo thành một thể hiện hoàn chỉnh của giao thức FROST.
(qua)
