Kunci FROST: Apa yang dimaksud dengan Pembuatan Kunci Terdistribusi?
Multisig adalah konsep yang familiar bagi sebagian besar orang di Bitcoin: transaksi multisig memerlukan persetujuan dari banyak pihak sebelum dapat dieksekusi. Kami membedakan antara tanda tangan ganda “n-of-n”, yang jumlah pihak yang terlibat adalah n, dan mereka semua perlu menyetujui, dan tanda tangan ambang batas “t-of-n”, yang hanya memerlukan sejumlah kecil t peserta. untuk menyetujui. Skema kriptografi seperti MuSig, MuSig-DN dan MuSig2 untuk multi-tanda tangan dan FROST oleh Komlo dan Goldberg untuk tanda tangan ambang batas dapat mengurangi biaya transaksi dan meningkatkan privasi dompet multisig.
Sejauh ini, di Komunitas Bitcoin FROST hanya digunakan dalam implementasi eksperimental. Dalam postingan ini, kami menjelaskan mengapa hal ini terjadi dan bagaimana kami bertujuan untuk memajukan FROST dalam lingkungan produksi Bitcoin melalui publikasi terbaru kami mengenai rancangan BIP untuk protokol pembuatan kunci terdistribusi ChillDKG.
Pertama, apa manfaat FROST?
Keuntungan Privasi dan Efisiensi dengan MuSig2 dan FROST
Dengan MuSig2 dan FROST, meskipun banyak peserta berkontribusi pada proses penandatanganan, hasilnya adalah satu tanda tangan.
Hal ini tidak hanya memberikan privasi yang lebih baik kepada peserta dengan membuat transaksi terlihat seperti transaksi dompet tunggal biasa. Ini juga memangkas transaksi, mengurangi ukurannya dan karenanya menurunkan biaya transaksi. Semua hal hebat!
MuSig2 dan FROST memungkinkan pengguna Bitcoin mengoperasikan dompet multisig dengan biaya transaksi yang sama dengan dompet tanda tangan tunggal biasa. Keuntungan biaya sangat signifikan terutama untuk sistem dengan jumlah penandatangan yang banyak dan transaksi yang sering, seperti sidechain gabungan seperti Liquid atau Fedimint. Tidak seperti multisig tradisional, yang meninggalkan sidik jari berbeda yang memungkinkan pengamat blockchain mengidentifikasi transaksi dompet, dompet berbasis FROST tidak dapat dibedakan dari dompet tanda tangan tunggal biasa di blockchain. Oleh karena itu, mereka memberikan peningkatan privasi dibandingkan dengan dompet multisig tradisional.
Meskipun MuSig2 telah melihat adopsi dari industri Bitcoin, hal yang sama tidak berlaku untuk FROST sejauh yang kami tahu. Hal ini mungkin mengejutkan, mengingat adanya beberapa implementasi FROST, seperti di ZF FROST (oleh Zcash Foundation), secp256kfun (oleh Lloyd Fournier), dan implementasi eksperimental di libsecp256k1-zkp (oleh Jesse Posner dan Blockstream Research). Bahkan ada spesifikasi IETF untuk FROST, RFC 9591 (meskipun tidak kompatibel dengan Bitcoin karena penyesuaian Taproot dan kunci publik x-only). Salah satu penjelasan yang paling masuk akal adalah proses pembuatan kunci FROST jauh lebih kompleks dibandingkan dengan MuSig2.
Kunci FROST: Apa yang dimaksud dengan Pembuatan Kunci Terdistribusi?
Baca Juga: Bitcoin Menuju Lebih Tinggi Setelah Kenaikan Harga 9.700% CIO Bitwise Memprediksi
Teka-teki FROST yang Belum Terselesaikan dalam Sistem Produksi
FROST pada dasarnya terdiri dari dua bagian: pembuatan kunci dan penandatanganan. Meskipun proses penandatanganan sangat mirip dengan MuSig2, pembuatan kunci jauh lebih terlibat dibandingkan di MuSig2. Pembuatan kunci di FROST dapat dipercaya atau didistribusikan:
- Pembuatan kunci tepercaya melibatkan “dealer tepercaya” yang menghasilkan kunci dan mendistribusikan bagian kunci kepada penandatangan. Dealer mewakili satu titik kegagalan: jika berbahaya atau diretas, dompet FROST berisiko dikosongkan.
Pembuatan kunci terdistribusi (DKG), meskipun menghilangkan kebutuhan akan dealer tepercaya, juga menghadirkan tantangan tersendiri: Semua peserta harus terlibat dalam “upacara” pembuatan kunci interaktif sebelum penandatanganan dapat dimulai.
Tantangan Inti: Kesepakatan - DKG biasanya memerlukan saluran yang aman (yaitu terautentikasi dan terenkripsi) antar peserta untuk menyampaikan pembagian rahasia kepada masing-masing penandatangan, dan mekanisme perjanjian yang aman. Tujuan dari mekanisme perjanjian yang aman adalah untuk memastikan bahwa semua peserta pada akhirnya mencapai kesepakatan mengenai hasil DKG, yang tidak hanya mencakup parameter seperti ambang batas kunci publik yang dihasilkan, tetapi juga apakah tidak terjadi kesalahan dan upacara tidak diganggu oleh a peserta yang berperilaku buruk.
Meskipun spesifikasi IETF menganggap DKG sepenuhnya berada di luar cakupan, implementasi FROST yang disebutkan di atas tidak mengimplementasikan perjanjian aman, sehingga menyerahkan tugas ini kepada pengguna perpustakaan. Namun perjanjian ini bukanlah hal yang mudah untuk diterapkan: terdapat banyak sekali protokol dan bentuk perjanjian, mulai dari skema siaran gema yang sederhana hingga protokol konsensus Bizantium yang lengkap, dan jaminan keamanan serta ketersediaannya berbeda secara signifikan, dan terkadang tidak kentara.
Meskipun ada kebingungan yang mungkin timbul karena banyaknya protokol perjanjian, bentuk perjanjian yang mendasari DKG seringkali tidak dikomunikasikan dengan jelas kepada para insinyur, sehingga membuat mereka tidak tahu apa-apa.
ChillDKG: DKG Mandiri untuk FROST
Untuk mengatasi kendala ini, kami mengusulkan ChillDKG, protokol DKG “siap pakai” baru yang disesuaikan untuk penggunaan di FROST (draft). Kami memberikan penjelasan rinci dalam bentuk draft Bitcoin Improvement Proposal (BIP) yang dimaksudkan sebagai spesifikasi bagi pelaksana.
Fitur utama ChillDKG adalah bahwa ia berdiri sendiri: Pembentukan komunikasi yang aman dan perjanjian yang aman dilakukan dalam protokol, sementara semua kompleksitas mendasar ini tersembunyi di balik API yang sederhana dan sulit disalahgunakan. Hasilnya, ChillDKG siap digunakan dalam praktik dan tidak bergantung pada asumsi pengaturan apa pun, kecuali bahwa setiap penandatangan telah memutuskan kumpulan penandatangan bersama yang diidentifikasi oleh kunci publik individual. ChillDKG didasarkan pada protokol SimplPedPop, yang di dalamnya desain dan bukti keamanan formal Blockstream Research telah terlibat, lihat, makalah CRYPTO 2023 “Practical Schnorr Threshold Signatures Without the Algebraic Group Model” oleh Chu, Gerhart, Ruffing (Blockstream Research), dan Schröder
Tujuan tambahan untuk desain ChillDKG meliputi:
- Penerapan yang luas: ChillDKG mendukung berbagai skenario, mulai dari skenario di mana perangkat penandatanganan dimiliki dan dihubungkan oleh satu individu hingga skenario di mana banyak pemilik mengelola perangkat dari lokasi berbeda.
- Pencadangan sederhana: Daripada harus mencadangkan rahasia yang diterima dari penanda tangan lain di lokasi yang aman, ChillDKG memungkinkan pemulihan dompet hanya dari benih perangkat dan data publik yang sama untuk semua peserta DKG.
Akibatnya, penyerang yang mendapatkan akses ke data cadangan publik tidak mendapatkan kunci penandatanganan rahasia, dan jika pengguna kehilangan cadangannya, mereka dapat memintanya dari penanda tangan lain yang jujur.
BIP ChillDKG saat ini sedang dalam tahap rancangan, dan kami sedang mencari masukan mengenai pilihan desain dan detail implementasi. Meskipun spesifikasinya sebagian besar sudah lengkap, namun tidak memiliki vektor pengujian, dan kami sedang mempertimbangkan untuk menambahkan beberapa fitur tambahan (misalnya, “pembatalan yang dapat diidentifikasi”). Setelah diselesaikan, BIP ChillDKG dapat digunakan bersama dengan BIP untuk penandatanganan FROST untuk membuat instance seluruh protokol FROST.