門限簽名技術火了 它的硬核之處絕不僅僅是秘密共享_ARPA

門限簽名是一種分布式多方簽名協議，包含有分布式密鑰生成，簽名和驗簽算法。近幾年，伴隨區塊鏈技術的快速發展，簽名算法在學術研究和商業應用中獲得廣泛關注，尤其在安全性，易用性，可擴展性，可分布化等維度上。

因為區塊鏈技術和簽名算法之間緊密而又重要的連結，簽名算法的發展和新范式的引入都將直接影響區塊鏈網絡的特性和效率。另外，由分布式賬本激發的機構和個人賬戶密鑰管理需求也催生了諸多錢包應用，這種改變甚至波及到傳統企業。

無論在區塊鏈還是傳統金融機構中，門限簽名方案都可帶來多種場景下的安全性和隱私性提升。作為新興技術，門限簽名還在學術研究和落地探討之中，其中仍有未被驗證的安全隱患和使用不便之處。

本文將從技術原理出發，探討密碼學，區塊鏈，安全多方計算與門限簽名之間的關系。并討論不同簽名范式的優缺點，列舉門限簽名的應用場景，從而讓讀者快速了解門限簽名。

生活中的密碼學

在了解門限簽名之前，我們應該對密碼學有個大概的認知，密碼學如何保護數字信息，如何在數字世界里建立一個身份。

密碼學建立之初，人們希望進行安全存儲和安全傳輸，當一個人創建了一個密鑰，他就可以用對稱加密算法來存儲秘密，當兩個人擁有同一個密鑰，他們之間就可以實現安全傳輸，比如國王加密一個命令，將軍用對應的密鑰來解密。

BlockFi：對FTX和Alameda索賠訴訟的成功與否將對客戶產生超過10億美元的差異:金色財經報道，在提交給美國新澤西地區破產法院的清算計劃中，BlockFi表示，對FTX和Alameda索賠訴訟的成功與否，對等待取回資金的客戶來說將產生超過10億美元的差異。該計劃還列出了一份預計回收的清單，包括清算約10.6億美元的BlockFi Inc. 利息賬戶索賠約10.6億美元，BlockFi Lending LLC私人客戶賬戶索賠2.16億美元，BlockFi International Ltd.私人客戶和利息賬戶索賠3.71億美元。[2023/5/15 15:04:21]

“虎符”是古代皇帝調兵遣將用的兵符，用青銅或者黃金做成伏虎形狀的令牌，劈為兩半，其中一半交給將帥，另一半由皇帝保存。只有兩個虎符同時合并使用，持符者即獲得調兵遣將權。

但如果兩個人沒有安全信道可以利用，要怎么樣才能讓兩個人創建一個共同密鑰呢？這時候，密鑰交換協議應運而生。

同樣的，如果數字世界中，國王對人民發布了一個命令，如何證明這句話源自國王？于是數字簽名協議被發明出來。而這兩者都基于公鑰密碼算法，或者叫非對稱密碼算法。

對稱密碼算法和非對稱密碼算法構成了現代密碼學的主要部件，這兩種密碼算法都有著固定的三個部分：密鑰生成，加密運算，解密運算。

只關注數字簽名協議的話，密鑰生成過程產生了一對關聯的密鑰：公鑰和私鑰。公鑰公開給所有人，私鑰只保存在用戶手中，代表了身份，誰擁有私鑰，就擁有私鑰所代表的身份。

央視推出數字藏品平臺“央數藏”:金色財經報道，據央視網公眾號消息，央視網孵化建立的數字藏品發售平臺“央數藏（YSC）”已于9月16日正式上線，“YSC”系列藏品與央數藏平臺同步上線，各發行2022份。該系列藏品以央數藏的首字母“Y”、“S”、“C”作為創意出發點，“Y”對應板塊：“小央藝術”，主要包含：國內著名IP及品牌、各級政府、國內地標性建筑、國家名片、大型活動、大型賽事等。“S”對應板塊：“數字潮流”，主要包含：潮玩、數字文創、電影、音樂等。“C”對應板塊：“文化非遺藝術”，主要包含：博物館及文物、非遺藝術家及作品、現代藝術、藝術類展覽展示活動。[2022/9/17 7:02:43]

加密算法，或者叫簽名算法，使用私鑰進行計算，用于對一段信息產生一個簽名。

解密算法，或者叫驗簽算法，使用公鑰進行計算，用于任何人驗證簽名的合法性以及信息的正確性。

區塊鏈中的簽名算法

我們把關注點放回區塊鏈技術。區塊鏈作為一項開拓性的技術，利用共識算法構造了分布式賬本，而簽名協議為區塊鏈提供了身份信息。所有區塊鏈上的交易信息通過簽名標定了交易發起方的身份，區塊鏈則通過特定規則驗證簽名確保交易信息正確，這一切都得益于簽名的不可篡改和可校驗性。

區塊鏈對于密碼學而言，絕不僅僅是在于它使用了簽名協議，或者是基于工作量驗證的共識算法使用了哈希函數。區塊鏈的分布式網絡特性為數字世界構建了一層共識和交易的基礎設施，而在這之上，新型密碼學協議，如安全多方計算、零知識證明、同態加密都煥發了新的活力。

LG介紹將區塊鏈技術作為其業務重點的一部分:9月3日消息，韓國電子巨頭LG宣布，該公司最近放棄了其移動硬件業務，轉向軟件解決方案。在該公司最新的股東大會上，LG介紹了區塊鏈技術作為其業務重點的一部分，包括開發和銷售基于區塊鏈的軟件的部門作為其可能的業務擴展。

此前消息，LG宣布它正在開發一個加密貨幣錢包，該錢包將被稱為Wallypto，將成為該公司新業務階段的一部分，該錢包在推出時將只支持HedraHashgraph資產。Wallypto將由HedraHashgraphy區塊鏈驅動，并將支持HTS代幣。[2022/9/3 13:05:44]

比如天然適配于分布式網絡的安全多方計算，可以在區塊鏈上構建安全數據流轉平臺，聯合機器學習等應用。而擁有特別性質的零知識證明則為可驗證的匿名交易提供了可行性。這些前沿密碼學協議和區塊鏈技術之間的相輔相成將會在下一個十年推動數字世界的發展，衍生出安全數據分享，隱私保護，或者更多現在難以想象的應用。

安全多方計算和門限簽名

在介紹完數字簽名協議如何影響我們的生活，以及如何幫助區塊鏈識別身份，記錄交易之后，我們要提一句安全多方計算，因為從這里我們能看到門限簽名是如何實現了分布式這一特征，關于安全多方計算的更多的細節請參考本專欄之前的文章，文中詳細介紹了安全多方計算的技術路徑，具體內容和應用場景。

安全多方計算，顧名思義，是多個參與方共同完成的一次安全計算，這里的安全是指，在一次計算中，所有的參與方都可以提供自己的隱私輸入，并能從計算中得到計算結果，而無法獲得其他參與方隱私輸入的任何信息。

加密交易平臺Koinal在立陶宛開設新辦事處，拓展歐洲業務:6月12日消息，加密金融服務提供商SG Veteris宣布旗下加密貨幣交易平臺Koinal已在立陶宛開設新的辦事處，以拓展歐洲業務。

SG Veteris已被授權提供加密貨幣兌換法幣的交易服務，以及作為加密貨幣錢包服務提供商，允許立陶宛的用戶訪問其Koinal和Bitpace（加密B2B支付網關服務）產品。（FX Empire）[2022/6/12 4:20:29]

1982年，姚期智先生在提出安全多方計算這一概念時，他舉了一個稱為“百萬富翁問題”的例子，是指兩個百萬富翁想知道誰更富有，而不希望別人知道自己資產的真實數額。具體而言，安全多方計算會關心以下性質：

隱私性：任何一個參與方不能獲得其他參與方的任何隱私輸入數據，除去能從計算結果中推斷出的信息。

正確性和可驗證性：計算應能保證正確執行，并且這一過程的合法性和正確性應可被參與方或者第三方驗證。

公平性或健壯性：參與計算的各方，如非提前約定，應能同時獲得計算結果或者無法獲得結果。

假想我們利用安全多方計算去進行一次一般意義的數字簽名，我們會按照如下方式進行：

密鑰生成：所有未來會參與到簽名過程的參與方聯合在一起，執行兩件事情：1）為每一個參與方生成一個秘密的私鑰；2）共同計算出一個公鑰用于對應這一個私鑰序列。

郵儲銀行山東省分行將首發5件限量數字藏品:金色財經報道，郵儲銀行山東省分行成為山東首家進軍元宇宙數字藏品領域的銀行，據悉該行將以獨立母品牌IP化數字藏品的身份登陸“海豹數藏”平臺，運用區塊鏈和大數據等技術，陸續發行首批5件限量數字藏品，并且還將開設數字金融館及專區，與多個品牌展開聯名計劃，實現數字藏品在線交易。（中華網山東頻道）[2022/5/22 3:33:37]

簽名算法：參與某次簽名的參與方分別將自己的私鑰作為隱私輸入，需要簽名的信息作為公共輸入，進行一次聯合簽名運算，得到簽名。在這個過程中，安全多方計算的隱私性保證了參與方并不能獲得其他方的私鑰信息，但都可以得到簽名。正確性和健壯性保證了簽名的不可偽造。

驗簽算法：利用對應于本次交易參與方的公鑰，按照傳統簽名算法的驗簽方式即可完成。因為在驗簽過程中，沒有“秘密輸入”，這意味著不需要一次安全多方計算就可以執行驗簽過程，這將成為利用安全多方計算執行分布式簽名的優點之一。

這種基于安全多方計算思想構造的簽名協議即是門限簽名，需要注意的是，我們在介紹的時候，略去了一些細節，因為安全多方計算其實是一類密碼協議的統稱，這類協議中，針對不同的安全假設，門限設置，有著不同的構造方式，因此，不同設置的門限簽名也會有不同的性質，這里就不一一展開，而在下一節中直接以對比的方式介紹出來。

單簽名，多重簽名與門限簽名

那么，除去門限簽名，我們還可以選用什么簽名方式呢？

在比特幣這一區塊鏈設計之初，最直觀的想法是一個賬戶對應一對公私鑰，所有利用私鑰進行簽名的信息都被認為是合法的。進一步的，無論是考慮避免將雞蛋放在一個籃子里出現單點故障，還是引入多人管理的賬戶，比特幣提供了多重簽名功能。

多重簽名可以簡單的理解為每一個參與方在信息上進行一次簽名，而在鏈上，對所有簽名信息進行依次驗簽，當滿足特定條件時，這次交易就認為是合法的，從而達成了多個私鑰控制一個賬戶的目的。那么多重簽名和門限簽名之間有什么樣的區別呢？

多重簽名的幾個掣肘之處在于以下幾方面。

訪問結構無法調整。如果給定了一個賬戶的訪問結構，即哪些私鑰可以完成一次合法簽名，這個結構無法在后期進行調整，比如一個參與方退出或者新加入方需要調整訪問結構。如果必須進行調整，則需要重新完成一次初始設置過程，這會使得公鑰發生改變，同時意味著賬戶地址發生改變。這帶來的麻煩是難以處理的。

效率問題，第一是鏈上的驗簽過程是消耗所有節點算力的，從而需要為此付出手續費，那么多重簽名的驗證大約相當于多次單簽名。第二則是速度問題，這個線上所進行驗證過程也顯而易見的會更長。

需要智能合約支持以及因鏈而異的算法設計，因為不是天然支持的簽名算法，所以很多鏈需要智能合約來滿足對多重簽名的支持，因為智能合約可能存在的漏洞，這種支持被認為存在隱患；

無匿名性，這一點不能直接稱之為缺點或優點，因為對匿名性的要求是因地制宜的。這里的匿名性是指，多重簽名會直接暴露交易的所有參與簽名者。

那么門限簽名相對應的，則提供了以下特性：

訪問結構的易于調整，通過一次額外的多方安全計算，即可以將現有的私鑰序列進行擴充，從而給新加入的參與方分配私鑰，這個過程不會暴露舊有的和新產生的私鑰，同時也不會改變公鑰以及賬戶地址。

快捷高效，對于鏈上而言，門限簽名所產生的簽名信息與一次單簽名無差異，這意味著以下幾個效率的提升：a）驗簽過程與單簽名相同，不會產生額外的手續費；b）參與簽名者的信息將不可見，因為對于鏈上節點，每次信息都是用同一個公鑰解密；c）鏈上無需新的智能合約來提供額外的簽名算法支持。

除了以上討論，還有一種實現分布式簽名的方案是利用Shamir秘密分享，秘密分享算法是一個歷史很久的技術，常被用來分片式存儲信息，并可用來進行信息糾錯。從多方安全計算的底層算法，到光碟的信息校驗，這個技術都一直扮演了重要作用。

但是其主要問題在于，用于簽名協議中時，Shamir秘密分享需要復原主私鑰，而不是像多重簽名或者門限簽名，主私鑰從來沒有重建過，哪怕是在內存或者緩存中，對于至關重要的賬戶而言，這種短暫的重建也是不能容忍的。

門限簽名的限制之處

就像其他安全多方計算算法一樣，由于引入了其他參與方的存在，安全模型和傳統的點對點加密傳輸產生了極大的區別，參與方共謀以及作惡的方式是之前算法未曾考慮過的。

因為無法限制物理實體的行為，以及作惡者被引入到了參與團體內部，多方參與的密碼學協議無法獲得之前密碼學協議的安全強度。所以我們仍需要一段時間去開發門限簽名應用，融合現有基礎設施，并去測試門限簽名的真正實力。

門限簽名的應用場景

目前，門限簽名主要在以下兩個方面有所應用：

1、密鑰管理

利用門限簽名實現的密鑰管理系統可以實現更靈活的管理方式，比如ARPA提供的企業密鑰管理API，可以利用門限簽名的訪問結構設計不同權重和不同組合的授權方式。另外，對于新的參與實體的進入，門限簽名可以快速刷新密鑰，而這種操作也可以周期性的進行從而增大作惡者同時獲得多個私鑰的難度。最后由于對于校驗方而言，門限簽名與傳統簽名無差別，所以其可直接兼容舊有的設備，降低更新成本。ARPA的企業密鑰管理模塊已經支持橢圓曲線數字簽名協議的ED25519參數組，未來會兼容更廣泛的數字簽名算法。

ARPA密鑰管理解決方案架構

2、加密錢包

對于數字資產而言，相對于之前的錢包，基于門限簽名的錢包因為無需重建私鑰而提高了安全性，因無需將多個簽名信息公開而獲得了匿名性，同時相較于多重簽名擁有更低的交易手續費。與密鑰管理應用類似，數字資產賬戶的管理權也可以更靈活的調整，并可用于各種不原生支持多重簽名的區塊鏈，降低因智能合約帶來的漏洞風險。

結束語

本文主要介紹了為什么需要門限簽名，以及門限簽名可以帶來哪些有趣的性質，可以看到門限簽名有著更高的安全性，更靈活的控制能力，更高效的驗證過程。其實，不同的簽名技術有著不同的應用場景，比如文中未提到的聚合簽名，基于BLS的多重簽名，都是最近新興的簽名方案，也有著各自不同的特性。

同時，也歡迎讀者更多的了解安全多方計算這一領域，安全計算是密碼學協議的圣杯，其能完成的事情遠超過門限簽名這一應用，不久的將來，安全計算或許可以在數字世界解決更多具體的應用問題。

* 關于作者 

 蘇冠通，ARPA密碼算法工程師，清華大學密碼芯片博士，擁有七年密碼算法和芯片設計與研究經驗。對安全多方計算協議，雙線性對算法，格公鑰密碼算法有深入研究并在相關領域有多篇論文發表。ARPA是一家專注于安全加密計算和區塊鏈底層技術的研發的公司，其核心產品為基于安全多方計算的隱私計算平臺，并提供全套區塊鏈+安全計算解決方案。同時ARPA作為行業成員，參與起草了工信部中國信息通信研究院即將出臺的安全多方計算標準。

Tags：區塊鏈ARPAARPKFI區塊鏈工程專業學什么女生arpa幣是哪個國家的STARPARKKFI價格

Coinw