霜冻的关键：什么是分布式密钥生成？（转）

对于比特币中的大多数人来说，多重签名是一个熟悉的概念：多重签名交易需要多方批准才能执行。我们区分了“n-of-n”多重签名和“t-of-n”阈值签名，前者涉及的各方数量为n，并且都需要批准，后者只需要批准较少数量的t个参与者。用于多重签名的MuSig、MuSig DN和MuSig2以及用于阈值签名的Komlo和Goldberg的FROST等加密方案可以降低交易成本并提高多重签名钱包的隐私性。
3 i5 v  g. i  K到目前为止，在比特币社区中，FROST只用于实验性实现。在这篇文章中，我们解释了为什么会出现这种情况，以及我们如何通过最近发布的ChillDKG分布式密钥生成协议的BIP草案，在比特币生产环境中推进FROST。
首先，FROST的好处是什么？
6 t" a' n, h5 YMUSIG2和FROST的隐私和效率提升
使用MuSig2和FROST，即使有多个参与者参与签名过程，结果也是一个签名。
这不仅为参与者提供了更好的隐私，使交易看起来像普通的singlesig钱包交易。它还减少了交易，减小了交易规模，从而降低了交易费用。所有伟大的事物！
MuSig2和FROST允许比特币用户以与常规单签名钱包相同的交易成本操作多签名钱包。对于具有大量签名者和频繁交易的系统，如Liquid或Fedimint等联邦侧链，成本效益尤其显著。与传统的多重签名不同，它留下了一个独特的指纹，允许区块链观察者识别钱包的交易，基于FROST的钱包与区块链上的常规单签名钱包没有区别。因此，与传统的多重签名钱包相比，它们在隐私方面有所改善。
虽然MuSig2已经被比特币行业采用，但据我们所知，FROST的情况并非如此。考虑到存在多种FROST实现，例如ZF FROST（由Zcash基金会提供）、secp256kfun（由Lloyd Fournier提供）和libsecp256k1-zkp（由Jesse Posner和Blockstream Research提供）中的实验性实现，这可能令人惊讶。甚至还有一个针对FROST的IETF规范，RFC 9591（尽管由于Taproot调整和仅限x的公钥，它与比特币不兼容）。最合理的解释之一是，与MuSig2相比，FROST的密钥生成过程要复杂得多。
" w+ O+ B, Z3 t生产系统中尚未解决的霜冻难题
8 U: l! Y* f" N. vFROST主要由两部分组成：密钥生成和签名。虽然签名过程与MuSig2非常相似，但密钥生成比MuSig2要复杂得多。FROST中的密钥生成要么是可信的，要么是分布式的：
3 }& p, l0 }5 y' R7 p; f可信密钥生成涉及“可信经销商”，该经销商生成密钥并将密钥份额分发给签名者。经销商代表了一个单点故障：如果恶意或被黑客攻击，FROST钱包有被清空的风险。
6 w& ]. s- T1 J1 N* Q分布式密钥生成（DKG）虽然消除了对可信经销商的需求，但也带来了自己的挑战：所有参与者都需要参与一个交互式密钥生成“仪式”，然后才能开始签名。
核心挑战：协议
' |" F, j: [9 a% a: h5 c+ WDKG通常需要参与者之间的安全（即，经过身份验证和加密的）通道，以便将秘密共享传递给个人签名者，并需要一个安全的协议机制。安全协议机制的目的是确保所有参与者最终就DKG的结果达成一致，其中不仅包括生成的阈值公钥等参数，还包括是否没有发生错误以及仪式是否没有被行为不端的参与者中断。
$ f9 c& L2 R% S/ L2 g  Q; j! d虽然IETF规范认为DKG完全不在范围内，但上述FROST实现没有实现安全协议，将此任务留给库用户。但协议的实现并非易事：存在无数协议和协议类型，从简单的回声广播方案到成熟的拜占庭共识协议，它们的安全性和可用性保证差异很大，有时甚至很微妙。
尽管由于协议协议的丛林可能会出现混乱，但DKG所依赖的协议的确切含义往往没有明确传达给工程师，让他们一无所知。
CHILLDKG：一种用于霜冻的独立DKG
! V6 t9 [' d& W, U* Z0 ^( L为了克服这一障碍，我们提出了ChillDKG，这是一种新的“即用型”DKG协议，专为FROST中的使用而量身定制（草案）。我们以比特币改进提案（BIP）草案的形式提供了详细的描述，该提案旨在作为实施者的规范。
ChillDKG的主要特点是它是独立的：安全通信和安全协议的建立是在协议内完成的，而所有这些潜在的复杂性都隐藏在一个简单而难用的API后面。因此，ChillDKG已准备好在实践中使用，并且不依赖于任何设置假设，除非每个签名者都决定了由单个公钥标识的共同签名者集。ChillDKG基于SimplPedPop协议，其设计和形式化的安全证明区块流研究也参与其中，参见Chu、Gerhart、Ruffing（Blockstream Research）和Schröder在CRYPTO 2023年发表的论文“没有代数群模型的实用Schnorr阈值签名”
; |9 q* `, |: k* lChillDKG设计的其他目标包括：
广泛的适用性：ChillDKG支持广泛的场景，从签名设备由单个个人拥有和连接的场景到多个所有者从不同位置管理设备的场景。
/ z/ ]$ m6 R/ [$ t, |# ]简单备份：ChillDKG允许仅从设备种子和所有DKG参与者相同的公共数据恢复钱包，而不必在安全位置备份从其他签名者收到的机密。因此，访问公共备份数据的攻击者不会获得秘密签名密钥，如果用户丢失了备份，他们可以向另一个诚实的签名者请求。
0 f0 T" b& {/ [ChillDKG BIP目前处于起草阶段，我们正在寻求有关设计选择和实施细节的反馈。虽然规范基本上是完整的，但它缺乏测试向量，我们正在考虑添加一些附加功能（例如，“可识别的中止”）。一旦完成，ChillDKG BIP可以与用于FROST签名的BIP结合使用，以实例化整个FROST协议。
2 |! H' v9 e3 r0 w( [5 a( ~4 g$ W

这个看着还是很复杂的啦。

怎么天朝的节气名称也用到这里来了

是挺好的，也是为数不多可以使用的钱包

还可以啊，现在我也就是用这个钱包

这个也是能看看朋友推荐的钱包了的！

钱包也不用那么多，有一个就可以的了。

还是必定挑选有实力的钱包去交易哦。

钱包这么多，到底选择哪一个确实困难。

这个钱包不错使用，反正吧都是需要小心安全第一啊！

这个钱包我还实在不了解到的.

好多钱包的觉得的呢，为嘛我都不太了解的呢！

钱包一般肯定是会选择能够相信的啊

钱包一般确实是会选择能够相信的啊

这个也是可以看看楼主推荐的钱包了的！

还可以啊，现在我也是用这个钱包

这个钱包我还实在没有了解到的.