Multisig adalah konsep yang akrab bagi sebagian besar orang di Bitcoin: transaksi multisig memerlukan persetujuan dari banyak pihak sebelum dapat dieksekusi. Kami membedakan antara “N-dari-N“Tanda tangan ganda, menyebutkan jumlah pihak yang terlibat Ndan mereka semua harus setuju, dan “T-dari-N” Tanda tangan ambang batas yang jumlahnya hanya lebih kecil T peserta harus setuju. Skema kriptografi seperti MuSig, MuSig-DN Dan MuSig2 untuk banyak tanda tangan dan EMBUN BEKU dari Komlo dan Goldberg untuk tanda tangan ambang batas dapat mengurangi biaya transaksi dan meningkatkan privasi dompet multisig.
Sampai saat ini, FROST hanya digunakan dalam implementasi eksperimental di komunitas Bitcoin. Dalam postingan ini kami menjelaskan mengapa hal ini terjadi dan bagaimana kami berencana untuk memajukan FROST ke dalam lingkungan produksi Bitcoin melalui rilis terbaru kami Draf BIP untuk ChillDKG Protokol pembangkitan kunci terdistribusi.
Pertama-tama, apa manfaat FROST?
Perlindungan data dan peningkatan efisiensi dengan MuSig2 dan FROST
Dengan MuSig2 dan FROST, hasilnya adalah satu tanda tangan, meskipun banyak peserta terlibat dalam proses penandatanganan.
Hal ini tidak hanya memberikan privasi yang lebih baik bagi peserta karena transaksinya terlihat seperti transaksi dompet sig tunggal biasa. Selain itu, transaksinya dipersingkat, ukurannya diperkecil sehingga biaya transaksinya pun berkurang. Semua hal hebat!
MuSig2 dan FROST memungkinkan pengguna Bitcoin untuk mengoperasikan dompet multisig dengan biaya transaksi yang sama seperti dompet tanda tangan tunggal biasa. Keuntungan biaya sangat penting untuk sistem dengan jumlah penandatangan yang besar dan transaksi yang sering dilakukan, seperti: B. rantai samping gabungan Cairan atau Fedimint. Dengan multisig tradisional, yang meninggalkan sidik jari unik yang memungkinkan pengamat blockchain mengidentifikasi transaksi dompet, dompet berbasis FROST tidak dapat dibedakan dari dompet tanda tangan tunggal biasa di blockchain. Oleh karena itu, mereka menawarkan peningkatan privasi dibandingkan dengan dompet multisig tradisional.
Meskipun MuSig2 telah diadopsi oleh industri Bitcoin, sepengetahuan kami hal yang sama tidak berlaku untuk FROST. Hal ini mungkin mengejutkan mengingat ada beberapa implementasi FROST, misalnya di ZF FROST (dari Yayasan Zcash), secp256kfun (oleh Lloyd Fournier) dan implementasi eksperimental di libsecp256k1-zkp (oleh Jesse Posner dan Blockstream Research). Bahkan ada spesifikasi IETF untuk FROST, RFC 9591 (walaupun tidak kompatibel dengan Bitcoin karena optimasi Taproot dan kunci publik khusus x). Salah satu penjelasan yang paling masuk akal adalah proses pembuatan kunci FROST jauh lebih kompleks dibandingkan dengan MuSig2.
Misteri FROST yang belum terpecahkan dalam sistem produksi
FROST pada dasarnya terdiri dari dua bagian: pembuatan kunci dan penandatanganan. Meskipun proses penandatanganan sangat mirip dengan MuSig2, pembuatan kunci jauh lebih kompleks dibandingkan dengan MuSig2. Pembuatan kunci di FROST dapat dipercaya atau didistribusikan:
- Pembuatan kunci tepercaya melibatkan “dealer tepercaya” yang menghasilkan kunci dan mendistribusikan bagian kunci kepada para penandatangan. Pedagang tersebut mewakili satu titik kegagalan: jika terjadi niat jahat atau serangan peretas, ada risiko dompet FROST akan dikosongkan.
- Meskipun Pembuatan Kunci Terdistribusi (DKG) menghilangkan kebutuhan akan dealer tepercaya, hal ini menghadirkan tantangan tersendiri: semua peserta harus terlibat dalam “upacara” pembuatan kunci interaktif sebelum penandatanganan dapat dimulai.
Tantangan utama: kesepakatan
DKG biasanya memerlukan saluran yang aman (yaitu terautentikasi dan terenkripsi) antar peserta untuk mengirimkan rilis rahasia ke masing-masing penandatangan, serta mekanisme perjanjian yang aman. Tujuan dari mekanisme kesepakatan yang aman adalah untuk memastikan bahwa semua peserta pada akhirnya mencapai kesepakatan mengenai hasil DKG. Hal ini tidak hanya mencakup parameter seperti ambang batas kunci publik yang dihasilkan, namun juga apakah tidak terjadi kesalahan dan upacara tidak diganggu oleh peserta yang berperilaku buruk.
Meskipun spesifikasi IETF menganggap DKG sepenuhnya di luar cakupan, implementasi FROST di atas tidak menerapkan perjanjian aman dan menyerahkan tugas ini kepada pengguna perpustakaan. Namun, mengimplementasikan suatu perjanjian tidaklah mudah: ada banyak sekali protokol dan varian perjanjian, mulai dari sistem siaran gema yang sederhana hingga protokol konsensus Bizantium yang lengkap, dan jaminan keamanan serta ketersediaannya sangat bervariasi dan terkadang tidak kentara.
Meskipun terdapat kebingungan yang dapat timbul dari banyaknya protokol perjanjian ini, sifat sebenarnya dari perjanjian yang menjadi dasar DKG seringkali tidak dikomunikasikan dengan jelas kepada para insinyur, sehingga membuat mereka tidak mengetahui apa-apa.
ChillDKG: DKG independen untuk FROST
Untuk mengatasi kendala ini, kami mengusulkan ChillDKG, protokol DKG “siap pakai” baru yang dirancang untuk digunakan di FROST (Draf). Kami memberikan penjelasan rinci dalam bentuk rancangan Bitcoin Improvement Proposal (BIP) yang dimaksudkan sebagai spesifikasi bagi pelaksana.
Fitur utama ChillDKG adalah bahwa ia bersifat mandiri: pembentukan komunikasi yang aman dan perjanjian yang aman terjadi dalam protokol, sementara semua kompleksitas mendasar tersembunyi di balik API yang sederhana dan sulit untuk disalahgunakan. Hal ini membuat ChillDKG siap digunakan dan tidak bergantung pada asumsi penyiapan, kecuali bahwa setiap penandatangan telah memilih kelompok penandatangan bersama yang diidentifikasi oleh kunci publik individual. ChillDKG didasarkan pada protokol SimplPedPop, dalam desain dan bukti keamanan formal yang melibatkan Blockstream Research, lihat makalah CRYPTO 2023 “Tanda tangan ambang batas Schnorr praktis tanpa model grup aljabar” oleh Chu, Gerhart, Ruffing (Penelitian Blockstream) dan Schröder
Tujuan tambahan untuk desain ChillDKG meliputi:
- Penerapan yang Luas: ChillDKG mendukung berbagai skenario, mulai dari skenario di mana perangkat penandatanganan dimiliki dan dihubungkan oleh satu orang hingga skenario di mana banyak pemilik mengelola perangkat dari lokasi berbeda.
- Pencadangan yang mudah: Daripada harus mencadangkan rahasia yang diterima dari penandatangan lain di tempat yang aman, ChillDKG memungkinkan dompet dipulihkan secara eksklusif dari benih perangkat dan data publik yang sama untuk semua peserta DKG. Akibatnya, penyerang yang mendapatkan akses ke data cadangan publik tidak akan menerima kunci penandatanganan rahasia, dan jika pengguna kehilangan cadangannya, mereka dapat memintanya dari penanda tangan lain yang jujur.
Itu TenangDKG BIP saat ini sedang dalam tahap desain dan kami sedang mencari masukan mengenai keputusan desain dan detail implementasi. Meskipun spesifikasinya sebagian besar sudah lengkap, namun tidak memiliki vektor pengujian dan kami sedang mempertimbangkan untuk menambahkan beberapa fitur tambahan (misalnya, “pembatalan yang dapat diidentifikasi”). Setelah selesai, ChillDKG BIP dapat digunakan bersama dengan BIP untuk tanda tangan FROST untuk membuat instance seluruh protokol FROST.
Ini adalah postingan tamu oleh Jonas Nick, Kiara Bickers dan Tim Ruffing. Pendapat yang dikemukakan adalah sepenuhnya milik mereka sendiri dan tidak mencerminkan pendapat BTC Inc atau Majalah Bitcoin.