Threshold Signature Schemes (TSS) i les seves variants

Index View

Els threshold signature schemes (TSS, o esquemes de signatura per llindar) representen un avenç significatiu en la criptografia moderna, ja que permeten que diverses parts col·laborin per signar una transacció sense que cap d’elles tingui accés complet a la clau privada. Aquest enfocament elimina el punt únic de fallada i reforça tant la privacitat com la resiliència del sistema.

Per aquest motiu, els TSS són especialment útils en entorns d’autocustòdia distribuïda, com les wallets basades en multiparty computation (MPC), on la seguretat depèn de la col·laboració entre diversos participants. La seva aplicació garanteix un control compartit, segur i resistent davant atacs o compromisos parcials.

Introducció

En aquest article analitzarem en profunditat els fonaments dels threshold signature schemes (TSS), les seves avantatges i limitacions, així com les seves aplicacions pràctiques i variacions avançades com:

Totes aquestes tècniques són clau per a la signatura agregada i el reforç de la privacitat dins de l’ecosistema de tecnologies de registre distribuït.

Conceptes i procés de signatura dels threshold signature schemes (TSS)

Compartició de secrets (Secret Sharing)

La compartició de secrets consisteix a dividir un secret, com ara una clau privada, en múltiples fragments que es distribueixen entre diversos participants. Només un subconjunt autoritzat pot combinar els seus fragments per reconstruir el secret complet. Això incrementa la seguretat del sistema, ja que cap participant individual té accés total a la informació. Així, en cas que una part sigui compromesa, no es posa en risc el conjunt del sistema.

Esquema de llindar (Threshold Scheme)

Un esquema de llindar defineix el nombre mínim de participants (K) necessaris per reconstruir un secret o per executar una operació, com signar una transacció. Si no s’arriba a aquest llindar, no es pot accedir al secret ni completar l’operació. Aquesta lògica garanteix resistència davant compromisos parcials: un atacant hauria de comprometre prou parts per superar el llindar i accedir a la clau.

Generació Distribuïda de Claus (DKG)

El procés de Distributed Key Generation (DKG) permet que un conjunt de N participants generin col·laborativament un parell de claus (pública i privada). En aquest procés, cap dels participants obté mai la clau privada sencera, eliminant així el punt únic de fallada. Només el grup autoritzat pot utilitzar els fragments de la clau privada per crear una signatura digital vàlida.

Interpolació de Lagrange

Es tracta d’una tècnica matemàtica que permet reconstruir un valor (per exemple, una clau privada) a partir dels seus fragments, sense necessitat de recuperar tots els fragments originals. En els TSS, la interpolació de Lagrange és clau per combinar les signatures parcials dels participants i formar una signatura completa, sense comprometre la seguretat ni l’eficiència del procés.

Procés de signatura en els threshold signature schemes (TSS)

Generació distribuïda de claus (DKG): La clau pública i la clau privada del sistema es generen de manera distribuïda entre els N participants, evitant que cap entitat individual tingui control total sobre la clau privada. Cada participant rep un fragment de la clau privada mitjançant un procés de compartició de secrets, com pot ser el Shamir’s Secret Sharing o el Blakley’s Secret Sharing.
Generació de la signatura: Per signar un missatge o transacció, almenys K participants (el llindar definit) han de generar una signatura parcial emprant el seu fragment de la clau privada. Cada participant utilitza la seva part del secret sense compartir-la amb la resta.
Agregació de signatures: Les signatures parcials generades pels K participants es combinen utilitzant la interpolació de Lagrange. Aquest procés permet obtenir una única signatura vàlida que representa la col·laboració del grup autoritzat.
Verificació: La signatura final es pot verificar mitjançant la clau pública col·lectiva, de la mateixa manera que es verifica qualsevol signatura digital estàndard. Qualsevol usuari pot comprovar la validesa de la signatura sense necessitat de conèixer cap fragment privat.

Per què cal que K sigui menor que N?

Tolerància a fallades: Si K és igual a N, el sistema dependria de la participació de tots els membres, cosa que elimina la capacitat d’operar si algun participant no està disponible. Establir K < N permet mantenir la funcionalitat malgrat l’absència parcial de nodes.
Distribució de confiança: L’objectiu dels esquemes per llindar és evitar la concentració de control. Amb K < N s’assegura que cap individu pugui operar sol, reforçant la confiança distribuïda dins del sistema.

Avantatges de les signatures per llindar en l’àmbit de les DLTs

Eficiència: Només cal una signatura final per validar la transacció, cosa que accelera el procés i redueix la càrrega sobre la xarxa.
Seguretat millorada: Distribueixen l’autoritat de signatura, eliminant el risc d’un punt únic de fallada i protegint la integritat del sistema.
Descentralització real: Redueixen la dependència d’un únic node de control, promovent un ecosistema de confiança mútua entre participants.
Tolerància a fallades: El sistema pot continuar funcionant fins i tot si alguns signants no estan disponibles, garantint continuïtat operativa.
Escalabilitat: S’adapten bé al creixement de participants sense afectar el rendiment, cosa fonamental per a aplicacions que creixen dins de l’ecosistema DLT.
Transaccions més lleugeres i econòmiques: La generació d’una única signatura compacta redueix la mida de la transacció i, per tant, també les comissions de xarxa.
Gestió flexible de claus: Permeten actualitzar comparticions de claus de manera dinàmica, sense transaccions complexes a la cadena.
Flexibilitat operativa: Les configuracions poden adaptar-se fàcilment a nous participants sense exposar la clau privada existent.
Interoperabilitat: S’integren de manera fluida en diverses plataformes i protocols, millorant la compatibilitat dins l’ecosistema blockchain.
Resistència a censura: En requerir múltiples participants per autoritzar una transacció, es dificulta que un actor maliciós pugui censurar operacions.
Millora en la gestió de claus: La distribució de la clau privada en fragments redueix el risc de pèrdua total i augmenta la resiliència global.
Auditoria i transparència: Faciliten auditories, permetent rastrejar la participació en transaccions, cosa que reforça la confiança.

Aplicacions pràctiques

Consens distribuït: Optimitza els mecanismes de consens permetent que un subconjunt autoritzat signi i validi transaccions col·lectivament, augmentant l’eficiència i la resiliència.
Multiparty Computation (MPC): Garanteix la integritat i autenticitat dels càlculs col·laboratius sense exposar les dades privades de cada participant.
Organitzacions Autònomes Descentralitzades (DAOs): Assegura processos de votació dins de DAOs, promovent la transparència, la responsabilitat i el control distribuït en la presa de decisions.
Transaccions cross-chain: Millora la seguretat de les transaccions entre cadenes, exigint validacions en ambdues xarxes per garantir la integritat de les operacions.
Mitigació del MEV (Miner Extractable Value): Ajuda a garantir una execució justa de les transaccions, prevenint manipulacions per part de validadors o miners.
Millora de les wallets multifirma: Permet substituir les solucions multisig tradicionals amb més eficiència i menor cost, realitzant operacions fora de la cadena principal (off-chain).
Configuracions de confiança: Facilita la creació de paràmetres criptogràfics compartits a través d’una fase segura de generació distribuïda de claus (DKG).
Votació electrònica: Ofereix un mètode segur i econòmic per emetre i comptabilitzar vots de forma anònima i fiable.
Sistemes de gestió d’identitat distribuïda: Permet que diversos emissors col·laborin en la validació de credencials digitals, millorant la seguretat i la privadesa dels usuaris.
Aprovació col·lectiva de productes: Facilita la validació cooperativa de productes crítics en indústries regulades, com ara salut o seguretat industrial.

Desafiaments i consideracions

Complexitat tècnica: La seva implementació és complexa i requereix protocols criptogràfics sòlids. Els errors en el disseny o la implementació poden introduir vulnerabilitats greus.
Rendiment: Pot afegir càrrega computacional en entorns amb alt volum de transaccions. És essencial optimitzar l’eficiència sense comprometre la seguretat.
Gestió de claus: La seguretat del sistema depèn d’una gestió rigorosa dels fragments de la clau privada, que han de ser emmagatzemats de forma segura i separada.
Supòsits de confiança: La seguretat es basa en la presumpció que una part del conjunt actuarà de manera honesta, una condició que pot ser difícil de garantir en entorns oberts.
Estandardització i interoperabilitat: L’absència d’estàndards consensuats pot dificultar la integració amb plataformes i serveis existents, limitant-ne l’adopció.
Adaptació al panorama de seguretat: Els esquemes han d’evolucionar constantment per respondre a noves amenaces i vulnerabilitats i mantenir així un nivell de confiança elevat.

Atacs i historial d’exploits en threshold signature schemes

Els threshold signature schemes (TSS) han demostrat ser vulnerables a diversos tipus d’atacs al llarg del temps. A continuació es descriuen alguns dels més rellevants.

L’atac Forget-And-Forgive apunta al protocol de multi-party re-sharing, incorporat en una implementació del sistema de generació de claus i signatura per llindar del mètode Fast Multiparty Threshold ECDSA (Elliptic Curve Digital Signature Algorithm) amb configuració ràpida i sense confiança. Aquesta operació de renovació de claus té com a objectiu principal evitar que un atacant comprometi de manera consecutiva tots els sistemes i, finalment, obtingui la clau privada completa. El protocol corresponent s’executa de manera periòdica, mantenint bloquejat l’accés als fons protegits sota la clau pública conjunta.

L’atac Lather, Rinse, Repeat es centra en la implementació bipartida de l’ECDSA, dissenyada per a entorns comercials i d’ús en producció. Igual que en altres threshold signature schemes, el desplegament segur de wallets amb firmes bipartides requereix una actualització recurrent de les accions, per exemple després de cada transacció. Aquest atac és conceptualment semblant al Forget-And-Forgive, tot i que el protocol subjacent és diferent.

L’atac Golden Shoe afecta la implementació de l’ECDSA per llindar del mètode Fast Multiparty Threshold ECDSA, però apunta a un subprotocol diferent del que es veu compromès en el Forget-And-Forgive. La vulnerabilitat es troba en el subprotocol de conversió d’accions (MtA, de multiplicatiu a additiu), que transforma valors secrets multiplicatius en valors secrets additius. En aquest escenari, si la Maria té a i en David té b, i el secret compartit és x = ab mod q, el protocol determina α i β tals que α + β = x. Aquest tipus de protocol s’anomena habitualment MtA en especificacions i implementacions. A més, el protocol MtA requereix proves de coneixement zero (zero-knowledge proofs), cosa que implica que cada part ha de demostrar la validesa del seu missatge sense revelar informació addicional.

Aquests atacs posen en evidència la necessitat de reforçar els protocols TSS i de millorar contínuament les pràctiques de seguretat en la seva implementació. Tot i que els threshold signature schemes ofereixen avantatges importants, també exigeixen una vigilància constant per mitigar riscos i vulnerabilitats.

Wallets basades en TSS amb MPC

Les wallets que utilitzen tecnologia de threshold signature schemes (TSS) en combinació amb multiparty computation (MPC) ofereixen una arquitectura avançada de seguretat distribuïda.

Funcionament general

La generació de claus en aquestes wallets es duu a terme mitjançant la Generació Distribuïda de Claus (DKG). En lloc de generar-se de manera centralitzada, cada participant conserva una part de la clau. Per derivar la clau pública i signar transaccions, cal la col·laboració del nombre de participants establert pel llindar.

Una característica destacada de les wallets TSS és la rotació de claus privades. Aquest procés permet renovar les claus privades sense alterar les claus públiques ni les adreces en sistemes distribuïts, gràcies a un protocol de compartició proactiva de secrets. Això afegeix una capa addicional de seguretat, ja que les claus antigues poden ser eliminades sense posar en risc la funcionalitat del sistema.

Des d’un punt de vista de seguretat temporal, un atacant hauria de comprometre simultàniament múltiples ubicacions o dispositius per accedir a les claus privades. Com que la combinació de fragments secrets abans i després de la rotació no proporciona cap avantatge addicional, es reforça la protecció davant intents d’atac sostinguts.

Possibles arquitectures

Externalització del TSS: En aquest model, la generació i gestió de claus es delega a servidors externs que realitzen els càlculs en nom de l’usuari. Aquest enfocament redueix la càrrega computacional local, però introdueix el risc de col·lusió entre servidors.
Múltiples dispositius propis: L’usuari distribueix les parts de la clau entre diversos dispositius sota el seu control, com ara telèfons mòbils, portàtils o dispositius IoT. Tot i que això augmenta la seguretat, requereix que diversos dispositius estiguin actius per autoritzar transaccions.
Model híbrid: Combina parts distribuïdes entre servidors externs i dispositius de l’usuari, oferint un equilibri entre control i facilitat d’ús.

Recuperació i adaptabilitat

Les wallets TSS basades en MPC poden incorporar mecanismes de recuperació robustos que permeten a l’usuari restaurar l’accés als seus fons en cas de pèrdua. Aquestes solucions són adaptables a diferents configuracions de seguretat i d’usabilitat segons les necessitats particulars de cada entorn.

Threshold Signature Schemes (TSS) i les seves variacions: TRS, Schnorr i FROST

Dins l’ecosistema de wallets basades en MPC, els threshold signature schemes (TSS) tenen un paper clau en permetre que múltiples parts col·laborin en la signatura de transaccions sense exposar cap clau privada completa. Tot i això, les innovacions recents en criptografia han portat aquest concepte més enllà, amb propostes com les Threshold Ring Signatures (TRS), així com millores a través de signatures Schnorr i el protocol FROST, que obren la porta a implementacions més eficients i segures.

Threshold Ring Signatures (TRS)

Les Threshold Ring Signatures (TRS), presentades en el document “Threshold Ring Signatures: New Definitions and Post-Quantum Security“, representen una evolució dels TSS en afegir-hi una capa d’anonimat. A diferència de les signatures d’anell estàndard,on qualsevol membre pot signar en nom del grup, les TRS exigeixen la participació d’un subconjunt mínim (el llindar) de signants per generar la signatura. Aquest enfocament garanteix l’anonimat dins el grup (anell), assegurant alhora que només si un nombre suficient de participants col·labora es pot produir una signatura vàlida.

Aquest tipus de signatures resulta útil en escenaris que requereixen tant col·laboració distribuïda com privacitat dels signants. Tot i així, a diferència dels enfocaments basats en MPC, les TRS no prioritzen el càlcul col·laboratiu segur, sinó la protecció de la identitat del signant. Per tant, poden complementar solucions d’autocustòdia on diverses parts han de cooperar sense revelar-se mútuament, però no substitueixen les garanties de seguretat criptogràfica que ofereixen les wallets MPC.

Integració amb signatures Schnorr: Optimització de la privacitat

Les signatures Schnorr s’han fet populars per la seva simplicitat, eficiència i la capacitat de produir signatures més compactes que altres esquemes com l’ECDSA. Quan s’integren amb TSS, aporten un nivell superior de privacitat, ja que permeten que múltiples parts generin una única signatura conjunta sense revelar la identitat dels participants implicats.

Aquesta combinació és especialment valuosa per a les wallets basades en MPC, ja que redueix la mida i visibilitat de les transaccions en tecnologies de registre distribuït, millorant la privacitat. A més, les signatures Schnorr són ideals per implementar agregació de signatures, permetent fusionar múltiples signatures en una de sola. Això no només optimitza els recursos del sistema, sinó que també dificulta la traçabilitat de les identitats dels signants, oferint una protecció significativa en entorns col·laboratius.

Per a les wallets TSS, la integració amb signatures Schnorr representa una solució robusta i privada, especialment adequada per a plataformes que exigeixen alta eficiència, seguretat i respecte per la privacitat dels usuaris.

FROST: Un enfocament més flexible per a les signatures per llindar

El protocol FROST (Flexible Round-Optimized Schnorr Threshold Signatures) és una innovació recent que optimitza la implementació de signatures per llindar basades en Schnorr. A diferència dels esquemes tradicionals de threshold signature schemes (TSS), FROST permet dur a terme signatures per llindar de manera més eficient i amb menys rondes de comunicació entre els participants.

Aquesta característica és especialment rellevant en l’àmbit de les wallets basades en MPC, on la rapidesa en la generació de signatures és clau per a la custòdia i gestió d’actius digitals. Entre els principals avantatges de FROST destaquen:

Reducció d’interaccions: En minimitzar les rondes de comunicació, FROST redueix la latència i millora l’escalabilitat, un factor essencial per a transaccions àgils i segures.
Flexibilitat: FROST s’adapta a diversos escenaris de custòdia, des de wallets MPC fins a contractes intel·ligents, oferint una solució versàtil per a la gestió distribuïda de claus.

Aquesta capacitat per coordinar signatures amb menys interacció entre les parts és fonamental per millorar la usabilitat de les wallets MPC, ja que ofereix una millor experiència d’usuari sense comprometre la seguretat.

Conclusions

Els threshold signature schemes (TSS) i la multiparty computation (MPC) s’han consolidat com a elements fonamentals per a la seguretat avançada en la gestió d’actius digitals. A diferència dels moneders tradicionals, aquestes tecnologies distribueixen tant la generació com el control de claus entre diversos participants, eliminant el risc d’un únic punt de fallada. L’ús de threshold secret sharing garanteix que la informació sensible només pot ser accedida si col·labora un nombre mínim de parts, mentre que la distributed key generation assegura que cap participant no tingui accés complet a la clau privada, reforçant així la confidencialitat.

A més, innovacions recents com les threshold ring signatures (TRS) afegeixen una capa d’anonimat, en exigir la participació d’un subconjunt mínim de signants. Aquesta característica és clau en sistemes que valoren tant la privacitat com la col·laboració distribuïda. Per la seva banda, les signatures Schnorr milloren l’eficiència i la privadesa, permetent que múltiples parts generin una única signatura sense revelar la identitat dels signants. El protocol FROST optimitza encara més les signatures per llindar, reduint la latència i millorant l’escalabilitat en entorns distribuïts.

L’evolució d’aquests esquemes no només reforça la seguretat, sinó que també millora la usabilitat de les wallets basades en MPC, oferint solucions flexibles per a la rotació de claus, la protecció davant fallades i la recuperació segura en cas de pèrdua. Aquest enfocament modular i resilient és essencial per a una custòdia eficient i segura d’actius digitals en un entorn distribuït i en constant evolució.

En els pròxims articles, aprofundirem en els esquemes de compartició de secrets: Shamir’s Secret Sharing (SSS) i Blakley’s Secret Sharing (BSS), que permeten dividir un secret, com ara una clau privada, entre diverses parts mitjançant mètodes diferents.

Recursos:
[1] Masmoudi (medium) – An overview of multy party computation, threshold signatures wallets
[2] Immunebytes – The power of threshold signatures
[3] Panther protocol – Threshold cryptography an overview
[4] Scryplatform (medium) – Threshold signatures
[5] Blockandcapital – MPC wallets
[6] Threshold Signatures with Private Accountability
[7] Threshold Ring Signatures
[8] Schnorr signatures
[9] FROST
[10] BLS (Boneh-Lynn-Shacham)

FAQs

Quina és la diferència principal entre els threshold signature schemes (TSS) i els esquemes de compartició de secrets com SSS i BSS?

Els TSS generen signatures col·laboratives sense reconstruir la clau privada; les parts només creen signatures parcials que es combinen. En canvi, l’SSS (Shamir’s Secret Sharing) i el BSS (Blakley’s Secret Sharing) divideixen un secret (com una clau privada) en fragments, que es poden reconstruir si s’assoleix un llindar. Els TSS no exposen mai la clau privada.

Per a què serveix el TSS?

El TSS permet que múltiples parts generin una signatura criptogràfica sense que cap d’elles posseeixi la clau privada completa. En lloc de reconstruir la clau, es creen signatures parcials que es combinen, fet que el fa ideal per a aplicacions com les wallets basades en MPC.

Quins avantatges té el TSS respecte als mètodes tradicionals de signatura?

El TSS millora la seguretat en distribuir la clau entre diverses parts, descentralitza la responsabilitat i ofereix més privacitat, ja que cap participant coneix la clau completa. També és escalable en sistemes amb molts participants.

Com es genera una signatura amb TSS?

Primer es duu a terme una Distributed Key Generation (DKG). Després, un conjunt de participants genera signatures parcials, que es combinen mitjançant interpolació de Lagrange per formar la signatura final.

Com es compara el TSS amb les signatures multifirma tradicionals (multisig)?

En un sistema multisig, cada signant utilitza la seva clau privada completa. En canvi, amb TSS es generen signatures parcials sense accedir mai a la clau completa. El resultat és una única signatura agregada, més eficient i privada.

En quin tipus de wallets s’utilitza el TSS?

El TSS s’utilitza principalment en wallets basades en MPC, on diverses parts signen transaccions sense tenir accés total a la clau privada, millorant la seguretat en la gestió d’actius digitals.

Quins avantatges ofereix el TSS davant els esquemes de compartició de secrets com SSS i BSS?

El TSS genera signatures distribuïdes sense reconstruir la clau privada, millorant la seguretat en no exposar-la en cap moment del procés.

Què és la interpolació de Lagrange i per què és important en TSS i SSS?

L’interpolació de Lagrange és una tècnica matemàtica essencial. En TSS, serveix per combinar signatures parcials en una signatura completa, i en SSS, per reconstruir un secret a partir de les seves parts.

Què passa si una de les parts en un esquema TSS es torna maliciosa?

El TSS incorpora mecanismes per evitar compromisos, però si un nombre suficient de parts malicioses arriba al llindar, podrien generar una signatura fraudulenta. Per això és crucial distribuir les comparticions entre entitats de confiança.

És escalable l’ús del TSS en sistemes grans?

Sí, el TSS és escalable, tot i que el llindar es defineix inicialment i habitualment no es modifica dinàmicament. Es pot configurar un llindar adequat per mantenir l’eficiència i la seguretat a mesura que augmenta el nombre de participants.

Quina complexitat computacional afegeix el TSS en comparació amb altres mètodes de signatura?

El TSS pot requerir més recursos computacionals per la necessitat de coordinació entre parts. Tot i així, innovacions com FROST redueixen les interaccions i milloren l’eficiència del procés de signatura.

A Block&Capital, especialistes en selecció de personal, treballem per crear oportunitats on el creixement i l’èxit siguin a l’abast de tothom. Si estàs preparat per fer un pas endavant en la teva carrera professional, no dubtis a contactar amb nosaltres.

Últims posts