Виклад порогових підписів

Сила криптографії

Щоб зрозуміти Threshold Signature Scheme (TSS), необхідно спершу мати базові знання у криптографії. З 1970-х років все більше інтернет-систем, серед яких TLS (Transport Layer Security) та PGP (Pretty Good Privacy), застосовують асиметричну криптографію, також відому як криптографію з відкритим ключем (PKC). У цьому підході використовуються два окремих ключі: відкритий і приватний. Відкритий ключ можна безпечно оприлюднювати та використовувати будь-кому, не шкодячи безпеці, а приватний ключ залишається захищеною таємницею — основою всієї архітектури безпеки системи.

Шифрування та цифрові підписи — це два ключові застосування PKC. Для обох використовуються три базових алгоритми. Перший алгоритм генерує пару приватного та відкритого ключів, встановлюючи між ними криптографічний зв’язок. Другий алгоритм створює шифротекст (для шифрування) або підпис (для цифрового підпису). Третій алгоритм забезпечує розшифрування або перевірку, щоб авторизовані сторони могли підтвердити криптографічні операції.

У цифрових підписах алгоритм підпису використовує приватний ключ, який відомий лише власнику, щоб створити унікальний підпис. Цей підпис математично прив’язується до повідомлення так, що кожен, хто має відповідний відкритий ключ, може перевірити його автентичність і правильність. Така перевірка гарантує, що повідомлення не було змінено і справді надійшло від власника приватного ключа, забезпечуючи цілісність і незаперечність цифрової комунікації.

Блокчейн-технологія та криптографічні основи

Очевидно, що блокчейн-технологія є революційним досягненням у сфері розподілених систем. Вона забезпечує надійний шар консенсусу, організуючи та фіксуючи події прозоро й незмінно. Така інфраструктура дозволяє користувачам створювати децентралізовані економіки, системи управління та фінансові застосунки без централізованих посередників. Варто зазначити, що для роботи базового блокчейна достатньо цифрових підписів, що є одним із найелегантніших застосувань криптографії з відкритим ключем.

У блокчейн-системах приватні ключі виконують роль унікальних ідентифікаторів або прав власності, а підпис — це публічна заява, зроблена цією ідентичністю. Мережа блокчейна впорядковує такі заяви у хронологічному порядку та перевіряє їх згідно із заданими правилами консенсусу. Серед іншого, ці правила гарантують криптографічну непідробність і математичну коректність підписів, забезпечуючи необхідний рівень безпеки для транзакцій без довіри.

На відміну від класичної криптографії, яку використовували у перших блокчейнах, сучасні криптографічні інструменти включають ряд передових технологій. Серед них — докази з нульовим розголошенням, що дозволяють підтверджувати знання інформації без її розкриття; гомоморфне шифрування, яке дає змогу виконувати обчислення над зашифрованими даними; та багатосторонні обчислення, де кілька сторін спільно обчислюють функцію, не розкриваючи свої приватні дані. За останнє десятиліття дослідження блокчейна значно просунули прикладну криптографію вперед, відкривши нові можливості у всіх згаданих напрямках.

У цій статті розглядається один із таких проривів, важливий для безпеки блокчейна та управління ключами: ефективні захищені порогові підписи.

Багатосторонні обчислення та порогова схема підпису

Багатосторонні обчислення (MPC) — це спеціалізована галузь криптографії, започаткована Ендрю С. Яо майже сорок років тому. У протоколах MPC група учасників, які не обов’язково довіряють одне одному, спільно обчислює функцію над своїми приватними даними, не розкриваючи їх іншим. Це дозволяє співпрацювати без необхідності розкривати конфіденційні дані.

Наприклад, якщо n працівників компанії хочуть визначити, хто отримує найбільшу зарплату, не розкриваючи її розмір іншим. Приватні дані — це зарплати кожного, а результат — ім’я працівника з найбільшою зарплатою. Використовуючи MPC, жодне значення зарплати не буде розкрито, зберігаючи конфіденційність і досягаючи бажаного результату.

Дві ключові властивості MPC-протоколів — це коректність і конфіденційність:

• Коректність: алгоритм видає результат, який відповідає тому, що отримала б довірена третя сторона з доступом до всіх даних.
• Конфіденційність: секретні дані кожної сторони залишаються захищеними і не розкриваються іншим учасникам під час та після обчислення.

Принципи MPC застосовуються для розподіленої генерації цифрових підписів, утворюючи порогову схему підпису. Розглянемо, як ці властивості реалізуються у процесі генерації підпису. Традиційна схема цифрового підпису складається з трьох етапів, які потрібно адаптувати до розподіленого середовища:

• Генерація ключів: найскладніший етап у розподіленій системі. Необхідно створити відкритий ключ для перевірки підписів, але без доступу жодної сторони до повного приватного ключа. Для кожного учасника генерується власна секретна частка. Всі отримують однаковий відкритий ключ, а кожен — свою секретну частку. Конфіденційність гарантує, що частки не розкриваються іншим під час генерації, а коректність — що відкритий ключ є результатом функції всіх часток.

• Підписування: розподілена функція створення підпису використовує секретні частки учасників, створені на попередньому етапі, та спільне повідомлення для підпису. В результаті створюється цифровий підпис, ідентичний тому, який згенерував би один учасник з повним приватним ключем. Конфіденційність гарантує, що частки не розкриваються іншим навіть за спроб витоку інформації.

• Перевірка: алгоритм перевірки не відрізняється від класичного одно-кейового варіанту. Для сумісності з блокчейн-інфраструктурою кожен, хто знає відкритий ключ, може перевірити підпис стандартним способом. Валідаційні вузли блокчейна не можуть відрізнити підписи TSS від традиційних підписів.

Threshold Signature Scheme (TSS) — це поєднання розподіленої генерації ключів і розподіленого підписування, що формує систему для управління криптографічними ключами у розподіленому середовищі.

Інтеграція TSS у блокчейн-системи

Інтегрувати TSS у блокчейн-інфраструктуру можна шляхом модифікації клієнтського програмного забезпечення блокчейна для генерації ключів і підписів за протоколом TSS замість класичних одно-кейових методів. Під "клієнтом блокчейна" мається на увазі повний набір команд і операцій, які виконує повний вузол мережі. TSS дозволяє замінити всі операції з приватним ключем на розподілені обчислення за участю кількох сторін.

Опишемо, як створюються адреси у класичних блокчейнах. Спочатку генерують приватний ключ криптографічно захищеним генератором випадкових чисел. З приватного ключа обчислюють відкритий ключ методом множення на еліптичній кривій чи іншою математичною операцією. З відкритого ключа формують адресу блокчейна за допомогою хеш-функцій і кодування.

При використанні TSS цей процес змінюється. Замість одного учасника приватний ключ розподілено обчислюють n сторін, кожна з яких зберігає свою секретну частку, не розкриваючи її іншим. З розподілено обчисленого відкритого ключа створюється адреса блокчейна так само, як у традиційній системі, і мережа не може визначити, як саме була згенерована адреса. Головна перевага — приватний ключ більше не є єдиною точкою вразливості, оскільки жоден учасник не може підписувати самостійно.

Аналогічний підхід використовується для підписування транзакцій. Замість одного підписанта з повним приватним ключем — розподілена процедура підписування між кількома сторонами, кожна з яких використовує свою секретну частку. В результаті створюється дійсний підпис, який можна перевірити за відкритим ключем. Підпис виглядає ідентично тому, який згенерував би один учасник, але його створення потребує співпраці порогової кількості сторін. Таким чином, обчислення переходить від локального до інтерактивного розподіленого, що підвищує стійкість до атак.

Розподілену генерацію ключів можна налаштувати для різних структур доступу. Найпоширеніша — "t із n", коли будь-які t із загальної кількості n учасників можуть створити дійсний підпис. Така модель витримує до t-1 випадкових збоїв чи компрометацій без втрати загальної безпеки системи, дозволяючи організаціям адаптувати модель безпеки до власних потреб.

TSS і Multisig

Деякі блокчейн-платформи пропонують функціонал, схожий на TSS, як вбудовану чи програмовану частину протоколу. Зазвичай це називають multisig або мультипідписом. Multisig реалізує схожий до TSS функціонал на прикладному рівні блокчейна, а не на криптографічному.

І multisig, і TSS мають на меті забезпечити участь кількох сторін у авторизації транзакції, але вони реалізують це різними способами. TSS використовує криптографію off-chain для створення підпису, що виглядає як стандартний одиночний підпис, а multisig працює повністю on-chain, вимагаючи від блокчейна перевірки кількох окремих підписів.

Ця різниця має важливі наслідки. Блокчейну потрібно кодувати і обробляти multisig-транзакції, що впливає на приватність, оскільки структура доступу, кількість підписантів і їхні ідентичності стають доступними для аналізу. Такі транзакції зазвичай дорожчі, оскільки інформацію про підписантів і їхні підписи треба фіксувати у блокчейні.

Для TSS усі деталі про підписантів приховані у вигляді стандартної транзакції з одним підписом. Це зменшує витрати і обсяг інформації, яку потрібно розкривати, забезпечуючи кращу приватність. Водночас multisig має перевагу неінтерактивності після публікації транзакції — немає необхідності організовувати складну комунікацію між підписантами під час підписування.

Головна відмінність у тому, що multisig специфічний для кожного блокчейн-протоколу і впроваджується окремо. На деяких старих мережах multisig може не підтримуватися або бути доступним лише частково. Натомість TSS базується на криптографії та працює незалежно від протоколу, тож підтримка можлива для будь-якого блокчейна зі стандартною схемою цифрового підпису.

TSS і схема розподілу секрету Шаміра

Shamir Secret Sharing Scheme (SSSS) пропонує інший спосіб розподілу приватного ключа. SSSS дозволяє розподілено зберігати приватний ключ, розділяючи його на частки між різними місцями. Однак існують дві ключові відмінності між SSSS і TSS, що визначають їх застосування:

• Генерація ключа: у SSSS є одна сторона — "dealer", яка генерує повний приватний ключ і розділяє його на частки. На цьому етапі повний ключ існує в одному місці і розповсюджується між сховищами. Це створює вразливість під час генерації. У TSS роль "dealer" відсутня: процес генерації ключа розподілений, і повний ключ ніколи не створюється у жодному місці, що забезпечує кращу безпеку з самого початку.

• Підписування: у SSSS для створення підпису потрібно відновити повний приватний ключ, об’єднавши частки. Це створює точку вразливості щоразу, коли генерується підпис, адже повний ключ існує у пам’яті, навіть якщо тимчасово. У TSS підписування відбувається розподілено, без відновлення повного ключа: кожна сторона використовує лише свою частку для підпису, а підпис генерується спільно без розкриття повного ключа.

У TSS приватний ключ, тобто основа безпеки системи, ніколи не існує у жодному місці протягом усього життєвого циклу — ні при генерації, ні при підписуванні, ні в інших операціях. Це суттєво покращує безпеку порівняно з SSSS для активних криптографічних операцій.

Порогові гаманці

Криптовалютний гаманець на основі TSS функціонує інакше, ніж класичний гаманець. Зазвичай традиційний гаманець генерує seed-фразу (12 або 24 слова) і використовує її для детермінованого створення адрес гаманця та відповідних приватних ключів. Користувач може використовувати цю ієрархічну структуру для доступу до ключів і відновлення гаманця за seed-фразою.

У пороговому гаманці архітектура складніша. Можна створити ієрархічну структуру, але її генерація має проходити розподілено через протокол MPC. Учасники спільно визначають, який ключ генерувати наступним згідно з HD-деривацією. Кожен має власну seed-фразу, згенеровану розподілено, і ці фрази не об’єднуються. Жоден учасник не може самостійно отримати приватні ключі зі своєї seed-фрази, зберігаючи розподілену безпеку на всіх етапах.

Гаманці на основі TSS дають додаткову перевагу — можливість ротації приватного ключа без зміни відкритого ключа та адреси. Ротація, або проактивне розподілення секрету, — це MPC-протокол, який створює нові секретні частки на основі старих. Старі частки можна видалити, а нові використовувати для підписування, не змінюючи адресу чи відкритий ключ.

Ця структура додає часовий аспект до моделі безпеки — зловмисник має скомпрометувати кілька частин одночасно, щоб атакувати гаманець. Комбінація часток до й після ротації не дає зловмиснику змоги підробити підпис, тож система стійка до атак у часі, коли сторони компрометуються поступово.

Недоліком такого гаманця є відсутність єдиної master seed-фрази, що робить його несумісним із класичними гаманцями та процедурами відновлення. Користувач не може просто записати 12 слів для відновлення гаманця на іншому пристрої. Потрібно уважно визначати, хто буде зберігати секретні частки і як організувати резервне копіювання та відновлення.

Існують різні архітектури порогових гаманців:

• Аутсорсинг TSS: користувач делегує обчислення TSS n незалежним серверам, які виконують протоколи. Генерацію ключів, управління й підписування виконують сервіс-провайдери, які не є власниками активів, а забезпечують додаткову безпеку за винагороду чи плату. Ця модель схожа на хмарні сервіси.

• Використання кількох пристроїв: користувач запускає протоколи TSS на власних пристроях, які він контролює. Наприклад, це можуть бути IoT-пристрій, мобільний телефон чи ноутбук. Це дає користувачу повний контроль, але потребує координації між пристроями.

• Гібридний підхід: частина сторін контролюється сервіс-провайдерами, а частина — пристроями користувача. Це поєднує переваги обох моделей.

Перший метод зменшує навантаження на пристрої користувача, але є ризик змови сервіс-провайдерів для викрадення активів. Хоча вважається, що достатня кількість провайдерів не буде скомпрометована одночасно, на практиці вони можуть піддаватися юридичному тиску чи атакам.

Другий спосіб дає повний контроль користувачу та усуває ризик третьої сторони, але транзакції можуть бути незручними — потрібно, щоб кілька пристроїв були онлайн і брали участь у інтерактивних обчисленнях.

Третій варіант часто оптимальний: він забезпечує зручність транзакцій і вимагає авторизації користувача. Навіть якщо частину сторін сервіс-провайдера скомпрометовано, зловмисник не зможе підробити підпис без доступу до пристроїв користувача.

TSS і смарт-контракти

Дослідники відкрили багато інноваційних способів використання цифрових підписів, і деякі з них доволі складні. TSS — це криптографічний примітив, який значно підвищує безпеку блокчейн-систем. У багатьох випадках функції, що традиційно реалізуються через смарт-контракти, можна замінити криптографічними протоколами на основі TSS.

Децентралізовані застосунки, layer 2 рішення, атомарні свопи, міксинг-протоколи, механізми спадкування — все це можна побудувати на TSS. Це дозволяє замінити дорогі й ризиковані ончейн-операції дешевшими, ефективнішими та надійнішими офчейн-криптографічними методами. Перенесення складної логіки з блокчейна у криптографічні протоколи знижує витрати і підвищує приватність.

Конкретні приклади такого підходу: Multi-Hop Locks — це конструкція, що використовує двосторонні підписи для альтернативи layer 2 платіжним каналам, підвищуючи безпеку й приватність. ShareLock — економне рішення для міксингу на смарт-контрактних платформах, базується на перевірці одного порогового підпису замість складної логіки смарт-контракту. Такі приклади демонструють нові можливості, які відкриває TSS.

Ризики та обмеження

В останні роки реалізацій TSS стає дедалі більше й вони стають якіснішими. Однак ця технологія у блокчейні досі нова, має обмеження і питання, які слід враховувати. На відміну від класичної криптографії з відкритим ключем, яка вивчається десятиліттями, протоколи TSS більш складні у розробці та впровадженні.

Складність TSS означає, що вони ще не пройшли такого ж рівня перевірки, як традиційні криптографічні примітиви. Зазвичай TSS-протоколи потребують додаткових, іноді слабших криптографічних припущень. Наприклад, можуть використовуватися схеми комітменту, докази з нульовим розголошенням або інші допоміжні інструменти. Через це постійно з’являються нові вектори атак, які дослідники повинні вирішувати.

Ризик багів у реалізації також суттєвий, оскільки розподілений характер TSS створює більше можливостей для прихованих помилок. Для безпечного впровадження TSS необхідно залучати інженерів із безпеки та прикладних криптографів із досвідом у MPC і TSS, а також проводити якісні аудити і тестування.

З позитивного боку, екосистема TSS стає дедалі зрілішою, завдяки якісним дослідженням, рецензуванню протоколів і реалізацій, професійним аудитам та постійному вдосконаленню алгоритмів. У міру розвитку технології і реальних тестувань довіра до TSS буде зростати.

Попри складнощі, переваги TSS для безпеки блокчейна і управління ключами роблять її перспективною для подальшого розвитку.

Практичні аспекти

Під час впровадження TSS у блокчейн-системах слід враховувати низку практичних питань. Витрати на комунікацію між сторонами можуть бути значними, особливо якщо протокол потребує кількох раундів взаємодії. Затримки та надійність мережі критично впливають на продуктивність TSS-систем. Організації мають ретельно проектувати мережеву архітектуру для ефективної і стабільної взаємодії під час генерації ключів і підписування.

Важливо враховувати відмови сторін і процедури відновлення. У розподіленій системі деякі сторони можуть бути тимчасово недоступними. TSS-протоколи мають бути стійкими: система повинна працювати, якщо порогова вимога виконується, навіть за тимчасової недоступності окремих учасників. Також слід продумати додавання нових сторін або видалення скомпрометованих.

Вибір порогових параметрів (t і n у схемі t із n) має велике значення і залежить від вимог безпеки і операційних обмежень. Вищий поріг підвищує безпеку, але вимагає більшої кількості учасників для кожної операції, що може вплинути на доступність і продуктивність. Потрібно збалансувати безпеку, доступність і ефективність при проектуванні TSS-системи.

Важливим є досвід користувачів у TSS-гаманцях і застосунках. Розподілені операції можуть створювати затримки і складність, які користувачам можуть бути незручними. Продуманий інтерфейс і чітке пояснення переваг безпеки допоможуть користувачам зрозуміти і прийняти компроміси. У міру розвитку TSS і підвищення ефективності реалізацій більшість проблем із досвідом користувачів будуть вирішені, і такі системи стануть доступними для масового користувача.

FAQ

Що таке Threshold Signatures (门槛签名)? Чим вони відрізняються від звичайних цифрових підписів?

Threshold Signatures дають змогу кільком учасникам спільно генерувати підпис, не володіючи повним приватним ключем. На відміну від звичайних цифрових підписів, вони підвищують безпеку й стійкість, розподіляючи повноваження підпису між учасниками.

Які практичні застосування threshold signatures у блокчейні та криптовалютах?

Threshold signatures розподіляють повноваження підпису між кількома учасниками, забезпечуючи спільну авторизацію і підвищуючи безпеку. Вони застосовуються у мультипідписних гаманцях, децентралізованих рішеннях зберігання і механізмах розподіленого управління, щоб уникнути єдиної точки вразливості.

Яка різниця і зв’язок між Threshold Signatures та Multi-Sig Wallets?

Обидва підходи вимагають кількох підписів для транзакцій. Multi-Sig Wallets застосовують смарт-контракти із декількома незалежними приватними ключами, а Threshold Signatures реалізують криптографічне розподілення секрету для розділення ключа. Threshold Signatures є більш приватними та ефективними, оскільки підписи створюються off-chain без розкриття частин ключа.

Як забезпечити захищене і децентралізоване управління ключами через threshold signatures?

Threshold signatures вимагають спільної участі кількох сторін у підписуванні транзакцій. Якщо навіть частина ключів буде скомпрометована, активи залишаються захищеними за умови виконання порогової вимоги. Це підвищує безпеку і децентралізоване управління, запобігаючи єдиній точці вразливості.

Які переваги безпеки мають threshold signatures у порівнянні з традиційними методами управління ключами?

Threshold signatures розподіляють контроль над ключем між кількома учасниками, усуваючи єдину точку вразливості. Жоден учасник не має повних повноважень підпису, що знижує ризик компрометації. Для транзакцій потрібен кворум, що забезпечує захист від крадіжки ключа та несанкціонованого доступу, порівняно з централізованими методами управління ключами.

Які криптографічні основи потрібні для впровадження threshold signatures, наприклад Shamir Secret Sharing?

Threshold signatures вимагають знань алгоритму Shamir Secret Sharing, схем мультипідпису та принципів розподіленого управління ключами для безпечного розділення і відновлення криптографічних ключів між кількома учасниками.