Les signatures seuil : explications

La puissance de la cryptographie

Pour appréhender le Threshold Signature Scheme (TSS), il convient d'abord de définir les fondamentaux de la cryptographie. Depuis les années 1970, de plus en plus de systèmes Internet, tels que TLS (Transport Layer Security) et PGP (Pretty Good Privacy), reposent sur la cryptographie asymétrique, appelée aussi cryptographie à clé publique (PKC). Ce mode de cryptographie fait appel à deux clés distinctes : une clé publique et une clé privée. La clé publique peut être diffusée librement et utilisée par quiconque sans compromettre la sécurité, tandis que la clé privée demeure une donnée confidentielle centrale, véritable socle de l’architecture de sécurité du système.

Le chiffrement et la signature numérique constituent les deux applications majeures de la PKC. Ces deux schémas reposent sur trois algorithmes principaux. Le premier permet de générer la paire de clés privée et publique, définissant leur relation cryptographique. Le deuxième algorithme produit soit un texte chiffré (pour le chiffrement), soit une signature (pour la signature numérique). Le troisième assure le déchiffrement ou la vérification, afin de garantir la validation des opérations cryptographiques par les parties habilitées.

Dans le cadre des signatures numériques, l’algorithme de signature requiert la clé privée, connue uniquement de son détenteur, pour produire une signature unique. Cette dernière est mathématiquement associée à un message de sorte que toute personne disposant de la clé publique puisse en vérifier l’authenticité et la validité. Ce processus assure que le message n’a pas été modifié et qu’il émane bien du propriétaire de la clé privée, garantissant intégrité et non-répudiation des communications numériques.

Technologie blockchain et fondements cryptographiques

Il ne fait aucun doute que la technologie blockchain représente une rupture majeure dans le domaine des systèmes distribués. Elle offre une couche de consensus robuste, permettant d’organiser et d’enregistrer les événements de façon transparente et immuable. Cette infrastructure donne la possibilité aux utilisateurs de bâtir des économies, des systèmes de gouvernance et des applications financières décentralisés, sans intermédiaires centralisés. On constate ainsi que la cryptographie nécessaire au fonctionnement d’une blockchain de base peut se limiter aux signatures numériques, ce qui en fait l’une des applications les plus élégantes de la cryptographie à clé publique.

Dans les systèmes blockchain, les clés privées incarnent des identités ou des droits de propriété uniques, tandis qu’une signature équivaut à une déclaration ou revendication publique faite par cette identité. Le réseau blockchain ordonne ces déclarations dans le temps et les valide selon un ensemble de règles de consensus prédéfinies. Ces règles garantissent notamment que les signatures sont cryptographiquement infalsifiables et mathématiquement correctes, assurant ainsi les garanties de sécurité pour des transactions sans tiers de confiance.

À la différence de la cryptographie classique utilisée dans les premières blockchains, la cryptographie moderne réunit de nombreuses techniques avancées aux propriétés impressionnantes : preuves à divulgation nulle de connaissance permettant de prouver une information sans rien révéler, chiffrement homomorphe autorisant le calcul sur des données chiffrées, ou encore calcul multipartite qui permet à plusieurs parties de calculer une fonction tout en gardant privées leurs données. En dix ans, la recherche sur la blockchain a fait progresser la cryptographie appliquée de manière spectaculaire, avec des avancées majeures dans l’ensemble de ces domaines.

Dans cet article, nous mettons l’accent sur une avancée qui concerne directement la sécurité blockchain et la gestion des clés : les signatures seuil efficaces et sécurisées.

Calcul multipartite et Threshold Signature Scheme

Le calcul multipartite sécurisé (MPC) est une spécialité de la cryptographie née des travaux fondateurs d’Andrew C. Yao il y a près de quarante ans. Dans les protocoles MPC, plusieurs parties, sans se faire mutuellement confiance, cherchent à calculer ensemble une fonction sur leurs entrées privées, tout en préservant la confidentialité de ces données. Ce mécanisme permet la collaboration sans divulgation d’informations sensibles.

À titre d’illustration, supposons que n employés d’une entreprise souhaitent identifier celui disposant du salaire le plus élevé, sans révéler la valeur de leur rémunération individuelle. Ici, les salaires sont les entrées privées, et le résultat requis est le nom de l’employé le mieux rémunéré. Avec les techniques MPC, ce calcul s’effectue sans qu’aucune donnée salariale ne soit révélée, assurant la confidentialité tout en fournissant le résultat.

Deux propriétés fondamentales définissent les protocoles MPC :

• Correction : le résultat calculé est conforme à celui qu’un tiers de confiance obtiendrait avec l’accès à toutes les données.
• Confidentialité : les données secrètes de chaque participant demeurent confidentielles et ne sont pas divulguées aux autres, pendant ou après le calcul.

On peut appliquer les principes MPC au calcul de signatures numériques de manière distribuée, créant ainsi un schéma de signature seuil. Examinons comment ces propriétés s’appliquent à la génération de signatures. La signature numérique classique implique trois étapes, chacune devant être adaptée au contexte distribué :

• Génération de clés : Cette étape est la plus complexe en mode distribué. Il faut générer une clé publique pour la vérification future, sans qu’une partie ne détienne la clé privée complète. On attribue à chaque participant une part secrète personnelle. La génération de clés fournit la même clé publique à tous, mais une part différente à chacun. La confidentialité assure que les parts ne fuient pas entre participants et la correction garantit que la clé publique dépend bien de l’ensemble des parts secrètes.

• Signature : Cette étape correspond à la génération distribuée de la signature. Chaque participant utilise sa part secrète, issue de la génération de clés, comme entrée. Un message public à signer est connu de tous. Le protocole aboutit à une signature qui, à l’extérieur, est identique à celle d’un signataire unique possédant la clé privée complète. La confidentialité garantit l’absence de fuites sur les parts secrètes, même face à des participants malveillants.

• Vérification : L’algorithme de vérification reste identique au modèle classique à clé unique. Pour garantir la compatibilité avec les infrastructures blockchain existantes, toute personne disposant de la clé publique peut vérifier la signature avec les procédures standard. C’est précisément ce que font les nœuds validateurs lors du traitement des transactions, qui ne peuvent distinguer une signature TSS d’une signature classique à clé unique.

On nomme Threshold Signature Scheme (TSS) la composition de protocoles de génération et de signature distribuées, créant un système complet de gestion distribuée des clés cryptographiques.

Combiner TSS et systèmes blockchain

La manière la plus naturelle d’intégrer TSS à l’infrastructure blockchain consiste à modifier le logiciel client pour générer clés et signatures via TSS, plutôt que par les méthodes classiques à clé unique. Par « client blockchain », on désigne l’ensemble des commandes et opérations d’un nœud complet du réseau. En pratique, la technologie TSS permet de remplacer toutes les opérations sur clé privée par des calculs distribués impliquant plusieurs parties.

Pour détailler cette intégration, décrivons la création d’adresses dans la blockchain classique. Habituellement, une nouvelle adresse est générée en créant une clé privée via un générateur aléatoire sécurisé, puis en calculant la clé publique (par multiplication sur courbe elliptique, par exemple). L’adresse blockchain est ensuite dérivée de la clé publique par une succession de fonctions de hachage et d’encodage.

Avec TSS, ce processus est profondément transformé. Au lieu qu’un acteur unique génère la clé privée, n parties calculent ensemble la clé publique selon un protocole distribué. Chacun détient seulement une part secrète de la clé privée, et ces parts ne sont jamais divulguées pendant le calcul. À partir de la clé publique conjointe, on dérive l’adresse blockchain de la même façon que dans le système classique, ce qui rend le réseau indifférent au mode de génération. L’avantage majeur : la clé privée n’est plus un point de défaillance unique, personne ne pouvant forger de signature isolément.

La même approche distribuée s’applique à la signature des transactions. Plutôt qu’un signataire unique avec sa clé privée complète, un protocole de génération de signature distribué est exécuté entre plusieurs parties. Chacune utilise sa part secrète, et la signature produite, vérifiable avec la clé publique, est identique à celle d’un signataire unique, mais nécessite la collaboration d’un seuil de parties. On passe donc d’un calcul local, vulnérable, à un calcul distribué interactif, bien plus résilient face aux attaques.

Il convient de souligner que la génération de clés distribuée peut être adaptée à divers modèles d’accès. Le plus courant : le mode « t sur n », où n’importe quelles t parties sur n peuvent collaborer à une signature valide. Cette configuration tolère jusqu’à t-1 défaillances ou compromissions lors des opérations sur la clé privée, sans compromettre la sécurité globale. Cette souplesse permet d’adapter la sécurité aux besoins et contraintes spécifiques de chaque organisation.

TSS vs. Multisig

Certains protocoles blockchain intègrent une fonctionnalité analogue à TSS, dite multisignature ou multisig. Pour bien distinguer les approches, on peut considérer le multisig comme une fonctionnalité TSS implémentée au niveau applicatif de la blockchain, et non au niveau cryptographique.

En d’autres termes, multisig et TSS poursuivent des objectifs similaires—exiger plusieurs autorisations pour une transaction—mais selon des mécanismes différents. TSS utilise la cryptographie en dehors de la chaîne pour produire une signature unique standard. Le multisig, lui, fonctionne sur chaîne en requérant la validation de plusieurs signatures distinctes par la blockchain.

Cette différence d’architecture a des conséquences importantes. Le réseau blockchain doit gérer l’encodage et le traitement des transactions multisig, ce qui peut affecter la confidentialité, car la structure d’accès (nombre et identité des signataires) est visible sur la chaîne. En outre, les transactions multisig coûtent généralement plus cher, car toutes les informations sur les signataires et leurs signatures doivent être incluses et stockées sur la blockchain.

À l’inverse, TSS intègre tous les détails des signataires dans une transaction qui ressemble à une simple signature unique, réduisant les coûts et la quantité d’informations révélées, pour une meilleure confidentialité. Toutefois, le multisig a l’avantage d’être non interactif une fois la transaction diffusée, évitant ainsi la complexité d’une couche de communication entre signataires pendant la signature.

L’écart principal : le multisig dépend du protocole blockchain et doit être développé spécifiquement pour chaque chaîne. Sur certains réseaux, notamment anciens, le multisig n’est pas supporté, ou de manière limitée. TSS, à l’inverse, s’appuie sur la cryptographie pure et fonctionne indépendamment du protocole blockchain : il est théoriquement compatible avec toute blockchain utilisant des schémas de signature numérique standard.

TSS vs. Schéma de partage de secret de Shamir

Le schéma de partage de secret de Shamir (SSSS) propose une autre méthode pour distribuer la clé privée. SSSS permet de stocker la clé privée en la fragmentant sur plusieurs emplacements, mais deux différences majeures l’opposent à TSS :

• Génération de clés : Dans SSSS, un acteur unique (« dealer ») produit la clé privée complète puis la segmente en parts secrètes. La clé privée existe donc intégralement à un moment, avant d’être répartie. Cela crée une vulnérabilité lors de la génération. Avec TSS, ce rôle disparaît : la génération de clé est distribuée, la clé privée complète n’existant jamais à un endroit, ce qui renforce la sécurité dès l’origine.

• Signature : En SSSS, il faut reconstituer la clé privée complète pour signer, créant un point de défaillance à chaque opération, la clé existant alors temporairement. Avec TSS, la signature est calculée de façon entièrement distribuée, sans jamais reconstruire la clé privée. Chaque participant utilise uniquement sa part, et la signature est produite sans qu’aucun n’accède à la clé complète.

En résumé, TSS garantit que la clé privée, garante ultime de la sécurité du système, n’existe jamais en un lieu unique, ni lors de la génération, ni lors de la signature, ni lors d’aucune autre opération. Cela améliore fondamentalement la sécurité par rapport à SSSS pour les opérations cryptographiques actives.

Portefeuilles seuil

Un portefeuille de crypto-monnaie basé sur TSS fonctionne très différemment des portefeuilles classiques. Un portefeuille standard génère une phrase de récupération (souvent 12 ou 24 mots) qu’il utilise pour dériver de façon déterministe toutes les adresses et clés privées associées. L’utilisateur peut ainsi accéder à ses clés pour signer des transactions ou les récupérer en cas de perte, grâce à la structure hiérarchique déterministe (HD).

Dans un portefeuille seuil, l’architecture est plus complexe. Bien qu’il soit possible de générer une structure HD équivalente, sa création s’effectue de façon distribuée via un protocole MPC. Les parties doivent décider ensemble de la prochaine clé à dériver dans la séquence HD. Chacune détient une phrase de récupération distincte, générée séparément lors d’un processus distribué et jamais combinée. Cela maintient la sécurité distribuée tout au long de la dérivation des clés, aucune partie ne pouvant dériver seule les clés privées.

Les portefeuilles TSS offrent également une fonctionnalité de sécurité supplémentaire : la rotation de la clé privée sans changer la clé publique ni l’adresse blockchain. Cette rotation, ou partage proactif de secret, est un protocole MPC qui prend les parts existantes en entrée et produit un nouveau lot de parts. Les anciennes parts peuvent être supprimées, les nouvelles étant utilisées pour signer avec la même clé publique et la même adresse.

Cette structure ajoute une dimension temporelle à la sécurité : un attaquant doit compromettre plusieurs emplacements simultanément pour parvenir à attaquer un portefeuille seuil. Combiner des parts d’avant et d’après la rotation ne permet pas de forger des signatures. Le système devient ainsi résilient aux attaques progressives dans le temps, où un attaquant compromettrait différentes parties à différents moments.

L’inconvénient est l’absence de phrase de récupération unique, ce qui le rend incompatible avec les portefeuilles classiques à clé unique et les procédures de récupération classiques. L’utilisateur ne peut pas simplement noter 12 mots pour restaurer son portefeuille ailleurs. Il est donc essentiel de bien choisir qui détient les parts, ainsi que les modalités de sauvegarde et de récupération.

On distingue plusieurs architectures possibles pour les portefeuilles seuil :

• Externalisation du TSS : l’utilisateur délègue le calcul TSS à n serveurs indépendants qui exécutent les protocoles en son nom. Cela externalise la génération, la gestion et la signature des clés à des prestataires, qui ne détiennent pas les actifs mais assurent une sécurité contre rémunération. Ce modèle rappelle le fonctionnement de nombreux services cloud.

• Utilisation de plusieurs appareils : l’utilisateur exécute les protocoles TSS sur plusieurs appareils personnels (IoT, téléphone, ordinateur portable, etc.). Cela offre un contrôle total, mais exige la coordination entre appareils.

• Approche hybride : certains participants sont des prestataires externes, d’autres sont des appareils de l’utilisateur, combinant ainsi les deux modèles précédents.

La première méthode décharge l’utilisateur du calcul TSS, mais expose au risque de collusion des prestataires pour voler les actifs. Même si on suppose qu’un nombre suffisant de prestataires reste intègre, ils peuvent subir des pressions juridiques ou des attaques coordonnées.

La seconde méthode donne à l’utilisateur le contrôle complet et élimine le risque tiers, mais rend les transactions plus lourdes, car plusieurs appareils doivent être connectés et participer au calcul TSS en même temps.

La troisième option est souvent le meilleur compromis, offrant la rapidité et la praticité lors des transactions tout en exigeant l’autorisation de l’utilisateur. Même si certains prestataires sont compromis, un attaquant ne pourra pas forger de signatures sans compromettre aussi les appareils personnels de l’utilisateur.

TSS et smart contracts

Les usages innovants des signatures numériques sont nombreux et parfois très sophistiqués. Comme mentionné, TSS est une primitive cryptographique qui améliore considérablement la sécurité dans les systèmes blockchain. À plus large échelle, de nombreuses fonctionnalités historiquement implémentées via des smart contracts peuvent être remplacées par des protocoles cryptographiques TSS.

Des applications décentralisées, des solutions de mise à l’échelle de layer 2, des atomic swaps, des protocoles de mixage, des mécanismes d’héritage, etc., peuvent être construits avec TSS. Cela permettrait de substituer à certaines opérations de smart contracts on-chain coûteuses et risquées des alternatives cryptographiques off-chain moins coûteuses, plus fiables et plus efficaces. En déplaçant la logique complexe de la blockchain vers des protocoles cryptographiques, on réduit les coûts de transaction et on améliore la confidentialité.

Parmi les exemples concrets : Multi-Hop Locks emploie astucieusement les signatures à deux parties et peut servir d’alternative à certains réseaux de paiement layer 2, en rendant le réseau plus sûr et privé avec moins d’informations publiées on-chain. ShareLock est l’une des solutions de mixage on-chain les plus économiques pour les plateformes de smart contracts, reposant sur la vérification d’une signature seuil unique plutôt que sur une logique contractuelle complexe. Ces exemples montrent comment TSS ouvre la voie à de nouveaux designs auparavant impossibles.

Risques et limitations

Le nombre et la qualité des implémentations TSS ont nettement progressé ces dernières années. Mais, en tant que technologie encore jeune dans la blockchain, TSS présente certaines limites et précautions à prendre. Contrairement à la cryptographie à clé publique classique, longuement étudiée et éprouvée, les protocoles TSS sont bien plus complexes à concevoir et à implémenter.

Cette complexité explique que TSS n’a pas encore fait l’objet du même niveau d’audit et de « battle-testing » que les primitives cryptographiques traditionnelles. Les protocoles TSS reposent souvent sur des hypothèses cryptographiques supplémentaires, parfois moins robustes, comparativement aux signatures numériques simples : schémas d’engagement, preuves à divulgation nulle de connaissance ou autres outils auxiliaires. Par conséquent, de nouveaux vecteurs d’attaque, absents des systèmes à clé unique, continuent d’être découverts et étudiés par la communauté scientifique.

Les bugs d’implémentation constituent un autre risque, la nature distribuée des protocoles multipliant les possibilités d’erreurs subtiles. Il est indispensable de consulter des ingénieurs sécurité et cryptographes spécialisés en MPC et TSS pour déployer la technologie en production, et de mener des audits et tests rigoureux.

Côté positif, l’écosystème TSS se renforce et mûrit rapidement, porté par les contributions de la recherche, l’audit professionnel, la revue par les pairs des protocoles et l’amélioration continue des performances algorithmiques. À mesure que la technologie se déploie et s’éprouve en conditions réelles, la confiance dans la sécurité de TSS s’affermit.

Malgré ces défis, les avantages potentiels de TSS pour la sécurité blockchain et la gestion des clés en font une technologie prometteuse qui mérite une attention et un développement soutenus.

À prendre en compte en pratique

L’intégration de TSS dans les systèmes blockchain suppose plusieurs considérations pratiques. La charge de communication entre parties peut être importante, notamment pour les protocoles à multiples tours d’interaction. La latence et la fiabilité du réseau deviennent alors capitales pour la performance des systèmes TSS. Il faut concevoir une architecture réseau assurant des communications efficaces et robustes lors de la génération des clés et des signatures.

La gestion des défaillances et de la récupération des parties est également cruciale. Dans un système distribué, il est inévitable que certaines parties deviennent injoignables. Les protocoles TSS doivent donc être conçus pour maintenir le fonctionnement du système tant que le seuil est atteint, et il faut prévoir des procédures pour ajouter ou retirer des parties compromises.

Le choix des paramètres seuil (t et n dans un schéma t-sur-n) est déterminant et dépend des exigences de sécurité et des contraintes opérationnelles. Un seuil plus élevé renforce la sécurité mais nécessite la collaboration de plus de parties, ce qui peut affecter la disponibilité et la performance. Il s’agit donc d’arbitrer entre sécurité, disponibilité et efficacité opérationnelle pour toute implémentation TSS.

Enfin, l’expérience utilisateur reste un enjeu central pour les portefeuilles et applications TSS. La nature distribuée peut générer de la latence et de la complexité, sources d’incompréhension ou de frustration pour l’utilisateur. Un design d’interface soigné et une communication claire sur les bénéfices de sécurité permettent de faciliter l’acceptation de ces compromis. Avec la maturité de la technologie et l’optimisation des implémentations, ces obstacles devraient progressivement être surmontés et les systèmes TSS deviendront plus accessibles au grand public.

FAQ

Que sont les signatures seuil (门槛签名) ? En quoi diffèrent-elles des signatures numériques classiques ?

Les signatures seuil permettent à plusieurs participants de générer ensemble une signature, sans qu’aucun ne détienne la clé privée complète. Contrairement aux signatures numériques classiques, elles renforcent la sécurité et la résilience en répartissant le pouvoir de signature entre les participants.

Quelles sont les applications concrètes des signatures seuil dans la blockchain et la cryptomonnaie ?

Les signatures seuil répartissent le pouvoir de signature entre plusieurs participants, permettant une autorisation collective tout en renforçant la sécurité. Elles sont utilisées dans les portefeuilles multi-signatures, les solutions de conservation décentralisée et les mécanismes de gouvernance distribuée afin d’éviter tout point de défaillance unique.

Quelle différence et quel lien entre signatures seuil et portefeuilles multi-signatures ?

Les deux exigent plusieurs signatures pour valider une transaction. Les portefeuilles multi-signatures utilisent des smart contracts avec plusieurs clés privées indépendantes, tandis que les signatures seuil s’appuient sur le partage cryptographique du secret. Elles sont plus privées et efficaces, car générées hors chaîne sans exposer de fragments de clé individuels.

Comment assurer une gestion des clés sécurisée et décentralisée avec les signatures seuil ?

Les signatures seuil imposent la coopération de plusieurs parties pour signer une transaction. Même en cas de compromission de certaines clés, les actifs restent protégés tant que le seuil requis est respecté. Cette approche renforce la sécurité, permet une gouvernance décentralisée et élimine les points de défaillance uniques.

Quels avantages de sécurité offrent les signatures seuil face aux méthodes classiques de gestion des clés ?

Les signatures seuil répartissent le contrôle des clés entre plusieurs parties, éliminant les points de défaillance uniques. Aucun individu ne détient l’autorité de signature complète, limitant les risques de compromission. Elles requièrent un consensus de quorum pour chaque transaction, offrant une meilleure protection contre le vol de clés et l’accès non autorisé qu’une gestion centralisée.

Quels fondements cryptographiques sont nécessaires pour implémenter des signatures seuil, comme le schéma de partage de secret de Shamir ?

La mise en œuvre des signatures seuil requiert la maîtrise de l’algorithme de partage de secret de Shamir, des schémas multi-signatures et des principes de gestion distribuée des clés afin de répartir et reconstituer les clés cryptographiques de façon sécurisée entre plusieurs parties.