Table of Contents
One Round Threshold ECDSA with Identifiable Abort [1] の紹介をします。 まず、既存研究の流れを述べ、本プロトコルの改善点と実装結果を紹介します。
デジタル署名と閾値署名の登場
真正性を証明するためにデジタル署名が使用される。
具体例としてはソフトウェアのアップデート時の検証、ユーザー企業間のやり取りや暗号通貨では取引の認証として使われている。
しかし、単一の署名鍵の盗難や紛失によっては壊滅的な被害が起きうる。 そこで、署名の作成に複数人の協力が必要になる閾値署名が登場した。
既存の閾値ECDSAのスキーム
鍵をn人の参加者にバラして配る。
t人以下が結託しても、無効な署名になる。
t+1人以上が協力することで、有効な署名となる。
ECDSAのための閾値署名スキームは以下が有名。
- Threshold ECDSA from ECDSA Assumptions: The Multiparty Case: https://eprint.iacr.org/2019/523.pdf
- Fast Multiparty Threshold ECDSA with Fast Trustless Setup https://eprint.iacr.org/2019/114.pdf
- Fast Secure Multiparty ECDSA with Practical Distributed Key Generation and Applications to Cryptocurrency Custody https://eprint.iacr.org/2018/987.pdf
既存の閾値ECDSAのデメリット
-
プロトコルのAbort時にどの参加者が悪さをしたのか特定できない。
-
全サーバーのリセットが可能ならそれで済むので、その場合ではデメリットでない。以下が具体例。
-
署名キーを2つのサーバーに分割している暗号通貨取引所
-
Abort→どちらか攻撃された→回復するために全サーバーリセットされる。
-
-
しかし特定できないと壊滅するケースもある。 以下が具体例。
- ユーザーがEthereumブロックチェーン上で、Bitcoin取引をするケース 「委員会ノード」の署名を通して、bitcoin、ethereumブロックチェーン上の資金管理を行うケース。
- Abort→不正が起きた際、どの委員が悪さをしたのか特定できないと罰せられない。
本論文での閾値ECDSAのプロトコル・改善点
-
https://eprint.iacr.org/2019/523.pdf をベースにしている。
-
プロトコルは、オフラインの前処理段階と、オンラインでの各プレイヤー1回のスカラー乗算で構成される。
-
他のプロトコルとは違い、1ラウンド。
-
Abortしているノードの識別ができ、この機能を省くと10%高速になる。
まとめ 既存プロトコルとの速度比較
- Runningは本論文プロトコルでは、ほぼオフラインで構成される。オンラインフェーズはわずか0.0008ミリ秒で完了する。
- ネットワークの待ち時間は考慮されていない。
- ゼロ知識証明を省けば、もっと早くなる。
感想
- 従来のプロトコルではオンラインでやっていた部分をオフライン処理に持ってきている。オフライン部分が大変そう。
参考文献
[1] One Round Threshold ECDSA with Identifiable Abort https://eprint.iacr.org/2020/540.pdf
