比原鏈研究院 | 一種弱同步網絡假設下的門限簽名系統_COM

近幾年門限密碼學在區塊鏈系統里開始逐漸被應用，分為門限加密和門限簽名，一般見于隨機預言機、防審查、減少通信復雜度、共識網絡中防拜占庭以及作為分布式偽隨機數生成器的重要原語，其優越的資產協同防盜特性也慢慢被新興數字資產托管機制所重視，今天我們主要討論公鑰密碼學里的門限簽名機制。一種理想的門限簽名系統是可以在異步的網絡環境里做到容錯容災不可偽造，并且擁有極度可靠安全的消息傳輸通道，簽名份額的生成和驗證是完全非交互式的，在初始密鑰階段具備可以防止拜占庭行為的異步分布式密鑰生成機制。

與基礎簽名機制類似，門限簽名機制也分為兩部分：

門限密鑰生成：基于安全參數構造一種分布式密鑰生成協議DKG，協議運行輸出一個共同的公鑰pk和分屬不同參與方各自所有的私鑰份額ski，聚集起滿足閾值數量的私鑰份額可以構建出真正的私鑰sk。

門限簽名：基于分布式通信網絡，各參與方通過自己的私鑰份額ski完成對消息m的分布式協作簽署并輸出最終的可驗證簽名Sig(sk,m)，這個簽名跟單獨用sk私鑰簽出的一模一樣，可以用所基于的基礎簽名機制里的驗證函數進行本地驗證，無需走通信交互驗證

比原鏈打造的Layer 2價值交換協議“MOV”正式上線:據官方消息，3月30日，比原鏈團隊打造的去中心跨鏈Layer 2價值交換協議——MOV正式上線。

MOV推出轉賬即交易的概念，用戶交易資產就是在錢包上發起一筆鏈上轉賬。同時MOV基于的側鏈Vapor，TPS峰值達1.6萬。 MOV本次上線實現了BTM、USDT、ETH的資產跨鏈和兌換功能，通過磁力合約和閃兌功能在鏈上進行交易，從而實現價值流通。[2020/3/30]

但是大多數情況下會通過使用一個可信的中心節點來實現私鑰份額的生成和分發。沙米爾秘密分享是最簡單的依賴中心dealer節點的門限密鑰生成方法，基本原理是拉格朗日插值，在(t,n)門限構造中，dealer會選擇一個(t-1)次方的隨機多項式f，令f(0)=s，s即為要分享的秘密值，然后向每個節點分發該多項式曲線上的點si=f(i)作為各自的秘密份額值，簡單來講，三個點確定一個二次方程曲線。為了解決中心作惡問題，人們又不斷探索了基于承諾的可驗證秘密分享，以及應用于異步網絡的VSS。有許多優秀成熟的commitmentscheme可以借鑒應用，簡單來講承諾算法=Com(pk,M,r)中pk是與承諾機制有關的公鑰，M是要承諾的原始值，r是一個隨機骰子，算法輸出的C便是commitment，D則是需要秘密保管的decommitment值，在正式公開M之前先公開M的承諾C，即先對自己要公布的消息做個上帝擔保，約束自己無法更換M，而對于M的受眾或者接收者，它們可以通過之前公布的承諾和驗證算法進行驗證唯一性。這里我們主要關注非交互式的VSS實現。

BTCC礦池發布比原鏈(BTM)挖礦0費率優惠期限延長公告:BTCC礦池發布比原鏈(BTM)挖礦0費率優惠期限延長公告，BTCC礦池自2018年5月14日上線比原鏈(BTM)挖礦后，因穩定和0費率高收益而廣受礦工好評。為了感謝廣大礦工的支持與信任，BTCC礦池將原本一個月的0費率模式，延長至三個月，即5月14日至8月13日。\u2028[2018/5/23]

此外，在過往的研究里，簽名的生成和驗證大多是交互式的，并且依賴一個同步通信網絡和廣播通道，節點們在某種設定下接收到特定消息后便同時啟動簽名協議，并嚴格遵循超時機制。而在互聯網環境和區塊鏈網絡里，對網絡假設的限定是有限的，所以門限系統要成功運作除了需要構造真正的DKG協議和非交互式簽名機制外，還需要具備商用級的網絡系統以及被驗證過的成熟代碼實現。這里我們嘗試提出并構建一種弱同步網絡假設下的門限簽名分布式系統，主要對網絡模型、DKG構建、簽名機制進行一些創新結合和應用，探索在實際網絡環境里最小可實用的門限簽名系統原型。

門限系統是一種型fault-tolerance系統，t代表網絡最大容錯，k代表最小門限值，n是節點數，一般設定k>=t+1，但這種對網絡分區是無能為力的，所以在一個異步拜占庭網絡里我們依然選用經典設定k=n-t&t<n/3去達成系統里的一個大多數共識。

比原鏈段新星：4月份，比原將會經歷三個里程碑事件:4月4日，比原鏈創始人段新星在其個人微博中表示，比原在4月份將經歷以下三個里程碑事件：

（1）算法細節發布（意味著各家礦池、芯片制造商均可依據此技術文檔，進行挖礦設備的驅動程序設計、進入比原未來的算力競爭）

（2）主網上線（標志性事件為：創始區塊的挖出）

（3）礦機上市（意味著一般無研發能力的投資者也可以方便購買礦機，部署算力，進入比原生態）

另外，他還提醒大家：在算法、主網都還沒有出來前，網上所謂的“內部渠道”“代購”“大戶專享群”很可能是騙局，一定要注意風險。[2018/4/6]

門限網絡或者通信模型是實現可實用門限系統需要認真考量的一個關鍵點。像HoneyBadgerBFT所構建的接近異步通信網絡在現實案例中是少見的，一般會增加消息復雜度和通信輪次，異步網絡模型主要依賴所接收到的消息類型和數量進行判斷，因為時間因子并不能區分誰是慢節點誰是惡意節點。但在這里我們更傾向采用高效的弱同步網絡假設，即消息延遲和時鐘偏移有上限但未知，延遲的漸進是合理的，保障liveness；能夠對crash、networkfailure、byzantine等不同情況盡量做到分開處理，比如設置規定時間內可容忍的crash閾值，對于誠實節點發生crash后能夠從一個規定的狀態恢復等；并且假設網絡故障總能被修復、遭受的DoS攻擊總會停止；最后在構建通信通路上可以借助PKI和外部CA構建TLS鏈接，以及借助經典的RBC協議。

比原鏈創始人長鋏：2020年區塊鏈將進入3.0，區塊鏈將脫虛向實，服務于實體經濟:日前，巴比特、比原鏈創始人長鋏在出席“2018第二屆萬物生長大會”時表示，2009年是區塊鏈1.0階段，2017年是區塊鏈2.0階段，而2020年的時候會進入到區塊鏈的第三個階段，就是通過智能合約來發行實體資產或者說來幫助現實中的真實資產上鏈，區塊鏈最終還是要脫虛向實，服務于實體經濟。[2018/3/12]

DKG是門限簽名最為核心的環節也是第一階段，負責完成門限密鑰的生成和分發。VSS是DKG的重要組成部分。上面提到VSS的基本原理是承諾機制，一般基于Pedersencommitment，構造形如C=mG+nH的承諾，其中m來自密鑰構造多項式f(x)系數，而n來自dealer另外構造的一個隨機多項式h(x)的系數，承諾集合{Ci,0<i<t}是一種公開可獲取的系數“證據”，用于證明dealer只承認一個合法的密鑰多項式。各個參與方在獲得dealer分發給自己的密鑰份額f(i)和秘密值份額h(i)后，計算f(i)G+h(i)H，如果與對應的承諾值相等，則認為合法，如果不一致，則認為dealer出現作惡行為，開始向網絡提交自己的抗議complaint，其他人可以進行驗證，如果發現事實如此，則立即停止協議，如果其他人驗證后發現該complaint不合法，則發起complaint的節點會被標記不可信。VSS過程簡單來講包括中心初始化密鑰分發、構建承諾和重建密鑰三部分內容，整個網絡交互存在兩輪全網廣播達成一致，最終將密鑰份額和承諾傳遞給每個參與節點，這里我們會定義三種消息類型用于標記多輪消息序列并攜帶足夠的信息用于計算門限密鑰。

比原鏈與追夢者基金旗下10個項目簽定戰略合作協議:比原鏈與追夢者基金旗下10個項目簽定戰略合作協議，包括闖奇科技、聚會玩、時空梭、創客區塊鏈（MakerChain)、9000商學院、筆閣科技、錢到到、鄉墅、Toumaps、畫你都將在比原鏈上開發智能合約。[2017/12/21]

真正的DKG是需要去掉VSS里的那個中心，在分布式協作下生成秘密，避免單點泄漏風險，其原理也很簡單，相當于n個節點同時各自選擇秘密值并運行自己的VSS，每個節點收集來自其他節點的秘密份額完成組裝，組裝后的結果便是真正私鑰的份額，而各個合法節點各自分發的秘密值聚合起來便是最終的構造私鑰，最后在進行承諾驗證。這似乎很像一個Multi-valuedValidatedByzantineAgreement(MVBA)protocol。

不過我們盡量避免這種復雜的實現，一般通過選舉出Leader節點，統一協調處理這些VSS的完成情況和最終共識，定義序列，當大多數節點完成各自的VSS階段并被其他所有誠實節點所確認后，Leader將這些已完成的VSS信息進行收集并重組提案，再經過兩輪全網廣播后，每個節點便會確定下各自最終的秘密份額，因此保障liveness對于我們的系統是十分關鍵的。如果DKG協議里任何一方出現惡意行為，協議都會立即停止，即DKG需要確保所有參與方的誠實行為。至此，一把公共的門限公鑰和分屬不同參與方的門限私鑰份額便構造完畢。

簽名階段簡單來講是基于上面得到的密鑰份額各自完成簽署自己的簽名份額，最后再完成統一組裝，得到最終門限簽名。Thresh-Sig階段的具體實現與所基于的數字簽名算法有很大關系，例如Schnorr算法在計算簽名s值時所依賴的秘密值k在常數項，s=k-z(H(K||M))，所以可以簡單的將秘密值份額相組。而ECDSA中秘密值k是非線性的，即s=(H(M)+zr)/k，存在兩個秘密值的乘運算，所以各個節點不能僅通過擁有k秘密值份額來完成最終簽名值的組裝，需要對公式進行變形，重新定義組合秘密值kz，并分布式完成kz的秘密份額計算以及分發，甚至需要借助安全多方計算、同態加密機制以及零知識證明，因此多方的ECDSA門限簽名在實現和效率上會比較復雜，現階段以可實用的2-2方案研究居多。

不論是采用ECDSA還是Schnorr算法，最核心的問題依然是基于DKG和多方計算的原理去生成和分發簽名算法中需要的秘密值，每個參與方基于各自的密鑰份額和秘密值份額完成自己的簽名過程，最后通過整體的交互組裝獲得最終的合法簽名。同樣的，如果無法達到足夠門限閾值數量的合法簽名方，簽名協議也會立即停止。根據不同的應用場景需求，我們需要認真研究用于實現門限簽名機制的底層簽名算法，比如ECDSA、EdDSA、Schnorr、BLS等，不同的簽名算法對應的門限機制實現復雜度和效率是不同的。

此外，一個完整的門限系統可能會有成員變更的需求，原有的密鑰份額隨之需要新一輪變更，最直觀的做法是引入周期的概念，通過同步網絡和共識協議發起新一輪密鑰生成，產生新的主公鑰和私鑰份額，用超時機制防止阻塞。成員變更和DKG是一種比較精細的系統，任何一個成員fail或者fault都會引發狀況外。在實現上我們用狀態機復制原理構建門限節點，基于消息輸入更換自身狀態。

門限密碼學隨著結合應用場景的需求研究增多，不斷完善自身成熟度，尤其是隨著高度可靠的代碼實現增多，隨著復雜網絡環境里的系統架構成熟，有希望在價值網絡里扮演“門神”的重大作用，同時會促進對零知識證明、同態加密技術的進一步場景化應用，是當下區塊鏈新技術領域為數不多值得深入研究和實戰的研究方向。現代密碼學與價值網絡相輔相成，前者給予后者“上帝保障”，后者給予前者“偉大戰場”。

比原鏈研究院劉秋杉

Tags：比原鏈區塊鏈COMDEA比原鏈幣會值得投資嗎區塊鏈dapp游戲ECOM價格Party Of The Living Dead

火必交易所