门限签名 threshold signature

1. 引言

通常的数字签名机制中包含3个函数：KeyGen，Sign和Verify：

• 1）KeyGen：生成公私钥对。私钥用于签名，公钥用于验签。
• 2）Sign：输入为私钥和消息，输出为signature。
• 3）Verify：输入为公钥、消息和signature，输出为True/False。

对于门限签名，会将上面的KeyGen和Sign过程 替换为 多方之间的交互协议。
对于门限签名：

• 1）KeyGen：会在$n$方之间交互生成 m-out-of-n secret sharing of the key。标准的secret sharing为本地生成key，然后在各方之间进行分享。而门限签名中，key是以shared manner方式来生成的，使得若少于$m$方则无法知悉该key信息。所有方生成相同的公钥，而各自不同的secret share。要求满足：a) privacy：即各方之间不泄露secret share data；b) correctness：即输出的公钥为a function of the secret shares。【分为 trusted方式构建——如使用Shamir secret sharing；distributed方式——如MPC】
• 2）Sign：多方交互完成签名。若有$m$方对同一消息签名，则最终会生成一个singature。而若少于$m$方参与签名，则无法生成相应的signature。各方的输入为：同一消息和各自的secret share，最终的输出为signature。privacy属性可保证在多方交互签名过程中不会泄露secret share。
• 3）Verify：输入为公钥、消息和signature，输出为True/False。

MPC 为a general setting where parties compute a function together without revealing anything but the output。BIP032和BIP044的key derivation也需要MPC技术。
门限签名中的KeyGen和Sign可看成是一种特殊的安全多方计算。

门限签名实现可分为：

• 基于RSA的门限签名机制
• 基于ECDSA的门限签名机制
• 基于Schnorr的门限签名机制
• 基于BLS的门限签名机制

2. 多重签名 VS Secret Sharing Scheme VS 门限签名

2.1 多重签名

MultiSig通过增加锁的数量来增加金库的安全性，并将多个钥匙分发给多方。
MultiSig可设计为仅需一部分钥匙就能成功打开金库。若攻击者窃取了一把钥匙，并不能打开该金库。
MultiSig改变了金库的构造，要求金库足够大，能放置多个锁。同时存在隐私问题，任何人都能看出来其采用了an unusual security mechanism，从而很容易被追踪。

同时，对于区块链，不同的区块链平台需要不同的技术来支持MultiSig，此外MultiSig需要encode更多字节来表示额外的签名，从而需要更高的交易费用。

MultiSig的优点为：

• Better security, as the keys are never stored in the same place (if properly constructed)

MultiSig的缺点为：

• Higher fees, less privacy, not universally supported.

2.2 Secret Sharing Scheme

Secret Sharing Scheme是将金库的钥匙切分为多个pieces。可 以冗余的方式来实现，仅需一定数量的key pieces即可恢复相应的functioning key。可将这些key pieces分发给多方。

采用SSS机制，金库看起来和普通金库是一样的，从而可避免MultiSig金库被追踪的问题。但是，SSS有一个主要缺陷是：
当初始生成key或合成用于开锁金库时，它会再次以完整形式存储，从而给了攻击者一个黄金机会来控制完整的functioning key。

SSS机制的优点为：

• 与普通交易类似的费用、隐私和通用支持，当不使用时，key pieces存在不同地方。

SSS机制的缺点为：

• 当创建或使用时，key会以完整形式展现，从而可从单一位置窃取完整的key。

2.3 门限签名

门限签名中：

• keys are ALWAYS separated
• keys NEVER meet each other

在门限签名中：

• 1）各方独立生成一个key。
• 2）然后各方一起合作制作金库的锁。制作的过程为，各方基于各自的key来生成锁的一部分，最终合成为a single modular lock。
• 3）解锁的过程为，各方依次unlocking the vault。Each key can turn the modular lock a few degrees forward. After a few rounds of partial turning of the different keys, the modular lock is fully unlocked。

该modular lock可设计为仅需一部分key就可成功开锁。

采用门限签名的金库看起来与普通的，只有一把钥匙的金库一样。对于外部人员，其无法看出锁的modular特性。

门限签名的优点为：

• 不同的key不会对外泄露。门限签名的金库与普通的金库看起来一样，从而具有相同的隐私和费用。

门限签名的缺点为：

• 制作modular lock过程需要交互，解锁过程也需要交互。而MultiSig可异步进行签名。

3. 基于RSA的门限签名机制

详细可参看：

• Victor Shoup 2000年论文 Practical Threshold Signatures
• 基于RSA的实用门限签名算法

4. 基于ECDSA的门限签名机制

详细可参看：

• Difinity Threshold ECDSA Signatures
• ZenGo团队 Introducing Multi-Party ECDSA library

代码实现有：【已安全审计】

• https://github.com/ZenGo-X/multi-party-ecdsa

在该代码库中，实现了3种threshold ECDSA：

• 1）Yehuda Lindell 2017年论文 Fast Secure Two-Party ECDSA Signing：为2 party protocol。具有很快的signing time。
• 2）Rosario Gennaro 和 Steven Goldfeder 2019年论文 Fast Multiparty Threshold ECDSA with Fast Trustless Setup：为a protocol for any threshold $t$ of corruption and parties $n$。
• 3）Guilhem Castagnos等人2019年论文 Two-Party ECDSA from Hash Proof Systems and Efficient Instantiations：为2 party protocol，signing time要比1）慢，但是基于更好的安全假设。

5. 基于Schnorr的门限签名机制

可参看：

• Stinson等人2001年论文 Provably Secure Distributed Schnorr Signatures and a (t, n) Threshold Scheme for Implicit Certificates

代码实现有：

• https://github.com/ZenGo-X/multi-party-schnorr

6. 基于BLS的门限签名机制

可参看：

• Threshold BLS Signatures
• ECDSA VS Schnorr signature VS BLS signature
• Secret Sharing and Threshold Signatures with BLS

以SSS可信方式运行KeyGen，完整的BLS threshold signature示例为：

相关代码实现有：

• https://github.com/herumi/bls（C++）：实现了 Ethereum 2.0 Phase 0 的新BLS (threshold) signature机制。
• https://github.com/celo-org/celo-threshold-bls-rs（Rust）：采用Distributed Key Generation，具体基于Secure Distributed Key Generation for Discrete-Log Based Cryptosystems论文。

参考资料

[1] 基于RSA的实用门限签名算法
[2] Threshold Signatures: The Future of Private Keys
[3] What is Threshold Signature And Why Use It for Crypto Asset Protection
[4] Threshold Signatures Explained