作者:Tom Honzik
來源:https://www.unchained.com/blog/collaborative-multisig-quorum-options
Unchained 已經領導聯合保管比特幣服務行業接近十年。我們開發出的產品專門基於 2-of-3 多簽名在場要求(quorum),它代表了持有比特幣而不擔心單點故障的最簡單的多簽名錢包結構。我們認為,2-of-3 在場要求,是絕大部分人在絕大部分場景下的最佳選擇,而更大的在場要求會帶來不必要的複雜性。
在我們介紹多簽名錢包的文章中,我們創建了一個金字塔圖來介紹(在場要求)這個概念。我們指出,2-of-3 一般來說是理想的,1-of-N 和 N-of-N 在場要求則無法消除單點故障;同時,一些超過 2-of-3 的在場要求,對於具有特殊需求或者說精細需求的個人和企業,可能是有用的:
現在,Unchaied 也支持更大範圍的多簽名在場要求,所以值得更加深入地分析各種選擇的長處和弱點。本文將深入介紹各種選項的取捨,從而讓你可以對自己的比特幣保管安全模型作出明智的選擇。我們將從介紹少量概念開始,比如:在場要求的類型、關鍵類別、自主訪問和代理保險。
多簽名金字塔內的在場要求類型
在我們對超過 2-of-3 的多簽名在場要求的分析中,我們發現,將金字塔上的在場要求分成三種類型,將便於理解:中值、小於中值、大於中值。各個類別內的在場要求都有共性。
中值在場要求
中值在場要求是沿著多簽名金字塔的中線發現的,包括 2-of-3、3-of-5、4-of-7,等等。有個公式可以確定一個 K-of-N 的在場要求是不是一箇中值在場要求:2K - 1 = N 。
中值在場要求可能是最流行的,原因可能在於,它平等對抗你的比特幣所面臨的兩種主要威脅:丟失和盜竊。如果一種參與要求 “太靠左了”,比如 1-of-N ,那麼它對盜竊的保護就相對較少,盜賊可能只需要找出一個物件,就足以訪問你的資金。如果一種在場要求 “太靠右了”,比如 N-of-N ,那麼它對丟失的保護就相對較少,因為它意味著,只要一個私鑰損壞或遺忘,你就無法訪問自己的資金了。因此,中值在場要求對這些顧慮提供了平等的保護。
小於中值的在場要求
小於中值的早場要求是在金字塔的左半邊發現的,包括 2-of-4、2-of-5、2-of-6、3-of-6,等等。確定它的公式是:2K - 1 < N 。請注意,在本分析中,我們拋棄 1-of-N 這種在場要求,因為它無法消除單點故障。
相比於中值要求,小於中值的在場要求有所側重 —— 對丟失私鑰的保護更多,但對未經授權的訪問(也即盜竊)的保護稍微少一些。這也不讓人意外,因為,如果密鑰總數量不變,更小比例的密鑰就足以取走比特幣,那這些比特幣當然是更容易訪問的。
大於中值的在場要求。
大於中值的早場要求是在金字塔的右半邊發現的,包括 3-of-4、4-of-5、4-of-6、5-of-6,等等。確定它的公式是:2K - 1 > N 。同樣地,在本分析中,我們也拋棄 N-of-N 這種在場要求,因為它無法消除單點故障。
大於中值的在場要求與小於中值的早場要求取捨相反。它們對盜竊提供了更多的保護,但對丟失提供了相對更少的保護。因為需要更大比例的密鑰來取走比特幣,那麼訪問當然是更難的。
密鑰分類:自主管理和代理人管理
本分析的另一個重要元素是,用在一個多簽名裝置中的密鑰,也可以分成兩種主要類型。自主管理的密鑰,是由你自己持有的密鑰;或者,在比特幣財庫的情形是,是由你們集體組織中的一個成員持有的密鑰。而 代理人管理的密鑰,則是由一個密鑰代理人持有的 —— TA 並非這些比特幣的主人之一,只是被主人僱傭來保管和操作多簽名裝置中的一個密鑰的人。這個區分很重要,因為它意味著,在任何給定的多簽名在場要求中,都可以形成截然不同的保管結構。
為了說清楚,請形象一個 2-of-3 在場要求的多簽名保管裝置,它可能有 4 種不同的密鑰類型 安排。每一種安排都會產生獨特的可以授權取款的密鑰組合集合,我們稱之為 “訪問模式 ”:
| 密鑰安排(總共 3 個密鑰) | 訪問模式(需要 2 個密鑰) |
|---|---|
| 自主管理的密鑰數量:3 代理人管理的密鑰數量:0 | 2 個自主管理的密鑰 |
| 自主管理的密鑰數量:2 代理人管理的密鑰數量:1 | 2 個自主管理的密鑰;1 個自主管理的密鑰,1 個代理人管理的密鑰 |
| 自主管理的密鑰數量:1 代理人管理的密鑰數量:2 | 2 個代理人管理的密鑰;1 個自主管理的密鑰,1 個代理人管理的密鑰 |
| 自主管理的密鑰數量:0 代理人管理的密鑰數量:3 | 2 個代理人管理的密鑰 |
從上表可知,一些安排會比別的安排提供更多的訪問模式,從而可能對尋求可選性的人更有吸引力,因為(在這些安排中)從冷存儲中取出比特幣時他們必須親身參與。
關於密鑰安排與訪問模式的記號
在本文中,我們將使用一種縮寫系統,以更準確地表示密鑰安排與訪問模式。“2 個自主管理的密鑰及 1 個代理人管理的密鑰” 這樣的安排,將被縮寫為 “2S/1A”(使用斜槓符號)。至於 “1 個自主管理的密鑰 + 1 個代理人管理的密鑰” 這樣的訪問模式,將被縮寫為 “1S + 1A”(使用加號)。
此外,有時候,在多簽名安排中會存在多種不同密鑰的組合,都符合某一種訪問模式;在比較不同的安排時,這個事實也是有關的。一種訪問模式允許的不同密鑰組合可以表示為 “ (1S+1A)2 ”,意思是在這種訪問模式中,還有兩種不同的密鑰組合。
使用這些記號之後,關於 2-of-3 多簽名在場要求的表格可以這樣表達:
| 密鑰安排 | 訪問模式 |
|---|---|
| 3S/0A | (2S)3 |
| 2S/1A | (2S)1 ,(1S + 1A)2 |
| 1S/2A | (1S + 1A)2,(2A)1 |
| 0S/3A | (2A)3 |
代理人管理密鑰的子類別
雖然每一個自主保管的密鑰,一般來說可以認為是彼此相似的(主要的區別跟它們的存放位置有關),但代理人管理的密鑰則可以根據代理人的分類進一步區分。尤其是,區分由精通密鑰代理的 專業機構 持有的密鑰,與 親友(承擔管理某個密鑰的責任的密友或家庭成員)持有的密鑰,是常見做法。在 “Connections” 特性推出之後,Unchained 已經支持這兩種類型的代理人管理密鑰。
區分這些代理人管理的密鑰的類型也是有用的。專業機構一般來說在密鑰管理上會比親友更有經驗,因為他們有謹慎設計的護欄和流程。同時,親友則在機構流程可視為繁瑣障礙的情形中具有優勢,比如在時間緊急的情況下。
自主訪問與代理人保險
評價一種多簽名在場要求安排的最重要指標之一就是它能否提供用戶自主訪問渠道,以及/或者 一個代理人保險。自主訪問 意味著保管中的比特幣可以完全由自主管理的密鑰來訪問,無需任何密鑰代理人的幫助。而 代理人保險 則意味著即使所有自主管理的密鑰都丟失,保管中的比特幣也依然能取出,因為安排中有足夠多的代理人管理的密鑰,可以授權取出比特幣。
只要你希望能夠獨立訪問自己的比特幣、無需第三方參與,自主訪問特性就是有用的;但是,如果你擔心攻擊者勒索你交出資金的可能性,那自主訪問可能就是不討喜的了。如果你擔心自己會弄丟所有的自主管理密鑰,那麼代理人保險可能是個好功能;但如果你擔心你的密鑰代理會惡意串通、奪走你的比特幣,那這個功能又是討厭的了。
| 優勢 | 劣勢 | |
|---|---|---|
| 自主訪問 | 完全獨立控制資金,無需來自密鑰代理人的幫助 | 在面對人身攻擊時,資金可能更加危險 |
| 代理保險 | 即使你所有的密鑰都丟失或被盜了,資金也有可能復原 | 理論上,密鑰代理可能串通來盜取資金 |
還值得指出的是,上面提到的這兩種特性的劣勢都可以通過特定的技術來緩解。如果一種安排包含了自主訪問,並且自主管理的密鑰在空間上充分分散,那麼人身威脅就不那麼可能導致資金丟失。如果一種安排包含了代理人保險,在挑選代理人時謹慎小心,就可以讓串通的概率變得非常低。有可能讓密鑰代理人們不知道彼此的存在。你可以在專業機構和親友之間分割密鑰代理的責任,從而,串謀變得需要多種類型的背叛 —— 既包括 機構/政府 的背叛,又包括個人層面的背叛。
評估中值在場要求
中值在場要求這種要求很有趣,因為它使你必須在自主訪問和代理人保險之間作出選擇。在中值在場要求的裝置中,沒有一種密鑰安排能同時具有這兩種特性,也沒有一種安排是兩者皆失的。
我們來仔細看看中值在場要求的最簡單例子,2-of-3 和 3-of-5 。
2-of-3 多簽名
| 密鑰安排 | 訪問模式 | 自主訪問 | 代理人保險 |
|---|---|---|---|
| 3S/0A | (2S)3 | 有 | 無 |
| 2S/1A | (2S)1 ,(1S + 1A)2 | 有 | 無 |
| 1S/2A | (1S + 1A)2,(2A)1 | 無 | 有 |
| 0S/3A | (2A)3 | 無 | 有 |
2-of-3 多簽名在場要求是受到最廣泛推薦的在場要求,因為它的總密鑰數量最少且管理複雜性最小,同時,又能成功對抗單點故障。它也提供了多種多樣的密鑰安排選擇,來滿足不同的目標。3S/0A 這種安排可以完全依靠自身的努力來搭建,不使用任何密鑰代理,它的取捨我們在較早的一篇文章中分析過。2S/1A 是建立聯合保管關係的一種好方法,它無需放棄自主訪問。1S/2A 和 0S/3A 則是儘可能減少你的密鑰保管責任的方法,而且你不需要信任單個比特幣託管商。
3-of-5 多簽名
| 密鑰安排 | 訪問模式 | 自主訪問 | 代理人保險 |
|---|---|---|---|
| 5S/0A | (3S)10 | 有 | 無 |
| 4S/1A | (3S)4 ,(2S + 1A)6 | 有 | 無 |
| 3S/2A | (3S)1 ,(2S + 1A)6,(1S + 2A)3 | 有 | 無 |
| 2S/3A | (2S + 1A)3,(1S+2A)6,(3A)1 | 無 | 有 |
| 1S/4A | (1S+2A)6,(3A)4 | 無 | 有 |
| 0S/5A | (3A)10 | 無 | 有 |
以更多的密鑰和更多的複雜性為代價,3-of-5 在場要求不僅能夠消除單點故障,還能消除 “雙點故障”(比如說,任何兩個密鑰丟失,資金也依然能復原)。這是能夠實現這一點的最小的在場要求,就像 4-of-7 是能夠消除 “三點故障” 的最小在場要求一樣,以此類推。在現實中,絕大部分人都只需要打敗單點故障,就能成功地長期保護自己的比特幣。
3-of-5 在場要求有一些密鑰安排較為有趣,比如 3S/2A,它實現了自主訪問,但在大部分自主保管的密鑰丟失的條件下也有復原路徑可用。2S/3A 則可通過 3 個不同的代理人實現代理人保險,同時,只要其中一個代理人加上你的兩個自主管理的密鑰,就能取出資金。
評估小於中值的在場要求
小於中值的在場要求較為特殊,因為不需要獲得佔大多數的密鑰,就能花費資金。因此,這一分類以最少的密鑰總數產生了最多的訪問模式和密鑰組合。它是唯一一種可能產生 既可以 自主訪問 又具有 代理人保險的安排的在場要求。
我們來看小於中值的在場要求的兩個最簡單的例子,2-of-4 和 2-of-5 。
2-of-4 多簽名
| 密鑰安排 | 訪問模式 | 自主訪問 | 代理人保險 |
|---|---|---|---|
| 4S/0A | (3S)6 | 有 | 無 |
| 3S/1A | (2S)3 ,(1S + 1A)3 | 有 | 無 |
| 2S/2A | (2S)1 ,(1S + 1A)4,(2A)1 | 有 | 有 |
| 1S/3A | (1S + 1A)3,(2A)3 | 無 | 有 |
| 0S/3A | (2A)3 | 無 | 有 |
2-of-4 多簽名提供的訪問模式與 2-of-3 多簽名所提供的沒有很大區別,只有一個例外:2S/2A 。這種安排是特殊的,因為它表明,2-of-4 在場要求是能夠產生 3 種訪問模式的最小多簽名在場要求。類似地,3-of-6 是能夠產生 4 種訪問模式的最小要求,以此類推。
2S/2A 這種密鑰安排,也是同時擁有自主訪問和代理人保險的最簡單方式。這可能是一種有吸引力的選擇,如果你希望既能 不必依賴於 來自代理人的幫助、獨立訪問自己的比特幣,在完全弄丟自己的自主管理密鑰時又有 可能 獲得來自代理人的協助。
2-of-5 多簽名
| 密鑰安排 | 訪問模式 | 自主訪問 | 代理人保險 |
|---|---|---|---|
| 5S/0A | (2S)10 | 有 | 無 |
| 4S/1A | (2S)6 ,(1S + 1A)4 | 有 | 無 |
| 3S/2A | (2S)3 ,(1S + 1A)6,(2A)1 | 有 | 有 |
| 2S/3A | (2S)1,(1S+1A)6,(2A)3 | 有 | 有 |
| 1S/4A | (1S+1A)4,(2A)6 | 無 | 有 |
| 0S/5A | (2A)10 | 無 | 有 |
對比 2-of-5 多簽名與 2-of-4 多簽名,我們發現,它沒有不同的訪問模式集合。主要區別在於,在產生任何一種訪問模式時,都有更多的密鑰組合可能,這對 2-of-6、2-of-7 這些密鑰總數更多的在場要求上也是成立的。如果你有理由讓某種訪問模式比其它模式更優先,這個事實可能有它的意義。
評估大於中值的在場要求
大於中值的在場要求的獨特性在於,需要獲得絕對多數的密鑰才能花費資金。因此,這一分類產生了最少的訪問模式和密鑰組合。它是唯一一種可能產生 既無法 自主訪問 又沒有 代理人保險的安排的在場要求。
我們來看大於中值的在場要求的兩個最簡單的例子,3-of-4 和 4-of-5 。
3-of-4 多簽名
| 密鑰安排 | 訪問模式 | 自主訪問 | 代理人保險 |
|---|---|---|---|
| 4S/0A | (3S)4 | 有 | 無 |
| 3S/1A | (3S)1 ,(2S + 1A)3 | 有 | 無 |
| 2S/2A | (2S + 1A)2,(1S + 2A)2 | 無 | 無 |
| 1S/3A | (1S + 2A)3,(3A)1 | 無 | 有 |
| 0S/3A | (3A)4 | 無 | 有 |
在密鑰安排相同時,3-of-4 多簽名所能提供的訪問模式,與 3-of-5 多簽名基本上是相同的,只有 2S/2A 有所區別。它是既沒有自主訪問、又沒有代理人保險的最簡單密鑰安排。這對一些既擔心人身威脅、因此希望取款流程有密鑰代理人參與,同時又希望杜絕密鑰代理人勾結的人可能有吸引力。兩種擔心都與盜竊威脅有關,這是大於中值的在場要求優先防止的風險(相比丟失密鑰的危險)。
4-of-5 多簽名
| 密鑰安排 | 訪問模式 | 自主訪問 | 代理人保險 |
|---|---|---|---|
| 5S/0A | (4S)5 | 有 | 無 |
| 4S/1A | (4S)1 ,(3S + 1A)4 | 有 | 無 |
| 3S/2A | (3S + 1A)2 ,(2S + 2A)3 | 無 | 無 |
| 2S/3A | (2S + 2A)3,(1S+3A)2 | 無 | 無 |
| 1S/4A | (1S+3A)4,(4A)1 | 無 | 有 |
| 0S/5A | (4A)5 | 無 | 有 |
相比 3-of-4,4-of-5 在場要求增加了一個密鑰,並且也要求多一個密鑰來授權取款。這使得移動資金變得更加困難,並提高了完全失去訪問權的風險。只要裝置中的兩個密鑰丟失或損耗,保管中的比特幣就永遠無法訪問了。雖然其它在場要求(比如 2-of-3)也有這種情況,但如果密鑰總數更多(比如 5 個),那麼丟失和損壞的風險也會放大。有一些大於中值的在場要求(比如 4-of-6),因為離金字塔的邊緣更遠(更靠近中線),風險會小一些。
確定你的理想保管裝置
如我們前面所證明的,多簽名錢包有許多在場要求和密鑰安排可供選擇,帶來了高度可定製的比特幣保管裝置。有些選項似乎是首屈一指的,但如果你理解所有相關的取捨,你可以優先考慮你最在乎的特性,從而縮小選擇範圍。
| 長處 | 短處 | |
|---|---|---|
| 密鑰總數較少且在場要求低 | 相對簡單,在分析和管理時更少變量 | 定製能力亦相對受限 |
| 密鑰總數較多且在場要求高 | 可以滿足更具體和精細的需要 | 更多密鑰材料和其它變量需要管理,複雜性由此增加 |
| 中值在場要求 | 平等對待丟失和盜竊的風險 | 沒有優先對待哪種擔心 |
| 小於中值的在場要求 | 失去訪問能力的風險較小 | 可能增加盜竊漏洞 |
| 大於中值的在場要求 | 因為盜竊而損失資金的風險較小 | 可能增加資金變得無法訪問的漏洞 |
| 更大比例的自主保管密鑰 | 較少依賴密鑰代理人 | 帶來更多管理密鑰材料的個人責任 |
| 更大比例的代理人管理密鑰 | 儘可能降低了個人的密鑰管理責任 | 更加依賴密鑰代理人 |
一些可以追問自我的問題有:
- 你是否願意並且有信心保管你的比特幣密鑰?
- 自主訪問特性對你來說是好還是不好?
- 代理人保險對你來說是好還是不好?
- 帶有更多元素的複雜安排是否本身讓你困擾,還是說它是滿足你的企業或組織的需要的必要方式?
- 你是否強烈傾向於優先獲得某些保護,比如防止你的比特幣因為丟失訪問能力而丟失,或是盜竊?
在思考這些問題時,大部分人可能會發現,2-of-3 在場要求裡面的某種密鑰安排是能滿足他們的目標的。然而,也有人會為了增加定製能力而走向 3-of-5 在場要求,或者為了同時獲得自主訪問和代理人保險而走向 2-of-4 在場要求,為了長期鎖定資金而選擇 3-of-4 在場要求,或是採用 4-of-6 在場要求來模擬 3-of-4 同時增加對抗密鑰丟失的保護。
(完)
