原文链接:

https://bitcoinmagazine.com/technical/the-key-to-frost-what-is-distributed-key-generation

多重签名的熟悉概念

在比特币领域，大多数人对“多重签名（Multisig）”都不陌生： 一个多重签名交易需要多个参与方批准后才能执行。

我们通常区分两种类型：

n-of-n 多重签名（multi-signature）：所有 n 个参与者都必须批准；

t-of-n 门限签名（threshold signature）：只需 t 个（t < n）参与者批准即可。

加密方案如 MuSig、MuSig-DN、MuSig2（用于多重签名）以及由 Komlo 和 Goldberg 提出的 FROST（用于门限签名），能够在保证安全的前提下，降低交易成本并提高多签钱包的隐私性。

FROST 的现状

FROST 是 “Flexible Round-Optimized Schnorr Threshold Signatures” 的缩写。直译为：灵活的轮次优化 Schnorr 门限签名方案。

FROST 的目标是让多方可以联合签名出一个单一的 Schnorr 签名，从而在比特币等系统中：

• 提升隐私（交易看起来像单签）

• 降低交易费用（更小签名尺寸）

• 提高安全性（分布式控制，无单点风险）

到目前为止，在比特币社区中，FROST 仍主要停留在实验性实现阶段。本文将解释其中的原因，以及我们如何通过最近发布的 ChillDKG 分布式密钥生成协议 BIP 草案，推动 FROST 在比特币生产环境中的落地。

首先，FROST 的优势是什么？ MuSig2 和 FROST 带来的隐私与效率提升

使用 MuSig2 或 FROST 时，尽管有多个参与方参与签名过程，最终输出却是单一签名。

这带来了两个关键优势：

隐私性提升：交易在链上看起来与普通单签钱包交易无异，外界无法判断其为多签交易。

费用降低：交易体积更小，因此手续费更低。

简而言之，MuSig2 和 FROST 让比特币用户以单签钱包的成本运营多签钱包。

对于签名者数量多、交易频繁的系统（如 Liquid 或 Fedimint 这样的联邦侧链），节省尤为明显。

与传统多签不同，FROST 生成的钱包不会在区块链上留下明显指纹，从而显著提高隐私性。

为什么 FROST 尚未普及？

尽管 MuSig2 已经被比特币行业采纳，但 FROST 的使用仍相对有限。

这令人意外，因为 FROST 已有多种实现，例如：

ZF FROST（由 Zcash Foundation 开发）；

secp256kfun（由 Lloyd Fournier 编写）；

libsecp256k1-zkp 的实验性版本（由 Jesse Posner 与 Blockstream Research 维护）。

此外，IETF 还发布了 FROST 的规范 RFC 9591 ，但该版本与比特币不兼容（原因在于 Taproot 调整与 x-only 公钥格式）。

造成这种现象的最合理解释之一是：FROST 的密钥生成过程比 MuSig2 要复杂得多。

FROST 在生产系统中的未解之谜

FROST 主要包括两部分：

密钥生成（Key Generation）

签名（Signing）

其中签名过程与 MuSig2 类似，但密钥生成要复杂得多。

密钥生成有两种模式：

1. 可信密钥生成（Trusted Key Generation）

由一个“可信经销者（trusted dealer）”生成密钥，并分发给签名者。 风险：该经销者成为单点故障。一旦遭攻击或恶意行为，整个 FROST 钱包都可能被盗。

1. 分布式密钥生成（Distributed Key Generation，简称 DKG）

无需可信经销者，但要求所有参与者在签名前进行一次交互式的“密钥生成仪式”。

核心挑战：达成一致（Agreement）

DKG 通常要求：

参与方之间建立安全通道（加密与认证）以分发秘密份额；

一个安全的协议机制，确保所有人最终就密钥生成结果达成一致。

该结果不仅包括阈值公钥（threshold public key）等参数，还需保证在仪式过程中无人作恶、无中断。

然而：

IETF 的 FROST 规范完全跳过了 DKG 设计；

现有实现（ZF FROST、libsecp256k1-zkp 等）也没有实现协议层的共识机制。

这意味着开发者必须自行实现复杂的“共识模块”。但在实践中，这极具挑战性： 共识协议的种类繁多，从简单的回声广播到拜占庭容错（Byzantine）机制，其安全性和可用性差异很大，有时差别甚至十分微妙。

结果就是：工程师往往无法明确知道所使用的协议到底依赖哪种“agreement”机制。

ChillDKG：FROST 的独立分布式密钥生成协议

为解决上述难题，我们提出了 ChillDKG —— 一种专为 FROST 设计的“即插即用”型 DKG 协议（草案）。

我们在比特币改进提案（BIP ）草稿中给出了详细规范，供开发者参考与实现。

ChillDKG 的主要特征

独立可运行（Standalone）

协议内部完成安全通信与一致性机制；

复杂过程对开发者透明，仅需简单 API 调用即可使用；

不依赖额外设置，唯一前提是所有签名者已确定各自公钥。

安全基础 ChillDKG 基于 SimplPedPop 协议，该协议由 Blockstream Research 参与设计并在 CRYPTO 2023 论文《Practical Schnorr Threshold Signatures Without the Algebraic Group Model》 中获得形式化安全证明。

广泛适用性

适用于单个用户控制多个签名设备的场景；

也适用于多个机构分布式管理密钥的场景。

简化备份

无需保存其他签名者传来的私密数据；

钱包可仅凭设备种子和所有参与方共享的公共数据恢复；

攻击者即便获取公共备份数据，也无法恢复签名密钥；

若用户丢失备份，可向其他诚实参与者请求恢复。

当前进展与后续计划

ChillDKG 的 BIP 目前处于草稿阶段，我们正在征求对设计和实现细节的反馈。

当前版本功能完整，但仍缺少测试向量；我们还计划增加一些特性（如“可识别中止 Identifiable Aborts”）。

一旦 ChillDKG BIP 定稿，它将与 FROST 签名 BIP 结合，实现完整的 FROST 协议栈。

原文链接:

https://bitcoinmagazine.com/technical/the-key-to-frost-what-is-distributed-key-generation

多重签名的熟悉概念

在比特币领域，大多数人对“多重签名（Multisig）”都不陌生： 一个多重签名交易需要多个参与方批准后才能执行。

我们通常区分两种类型：

n-of-n 多重签名（multi-signature）：所有 n 个参与者都必须批准；

t-of-n 门限签名（threshold signature）：只需 t 个（t < n）参与者批准即可。

加密方案如 MuSig、MuSig-DN、MuSig2（用于多重签名）以及由 Komlo 和 Goldberg 提出的 FROST（用于门限签名），能够在保证安全的前提下，降低交易成本并提高多签钱包的隐私性。

FROST 的现状

FROST 是 “Flexible Round-Optimized Schnorr Threshold Signatures” 的缩写。直译为：灵活的轮次优化 Schnorr 门限签名方案。

FROST 的目标是让多方可以联合签名出一个单一的 Schnorr 签名，从而在比特币等系统中：

• 提升隐私（交易看起来像单签）

• 降低交易费用（更小签名尺寸）

• 提高安全性（分布式控制，无单点风险）

到目前为止，在比特币社区中，FROST 仍主要停留在实验性实现阶段。本文将解释其中的原因，以及我们如何通过最近发布的 ChillDKG 分布式密钥生成协议 BIP 草案，推动 FROST 在比特币生产环境中的落地。

首先，FROST 的优势是什么？ MuSig2 和 FROST 带来的隐私与效率提升

使用 MuSig2 或 FROST 时，尽管有多个参与方参与签名过程，最终输出却是单一签名。

这带来了两个关键优势：

隐私性提升：交易在链上看起来与普通单签钱包交易无异，外界无法判断其为多签交易。

费用降低：交易体积更小，因此手续费更低。

简而言之，MuSig2 和 FROST 让比特币用户以单签钱包的成本运营多签钱包。

对于签名者数量多、交易频繁的系统（如 Liquid 或 Fedimint 这样的联邦侧链），节省尤为明显。

与传统多签不同，FROST 生成的钱包不会在区块链上留下明显指纹，从而显著提高隐私性。

为什么 FROST 尚未普及？

尽管 MuSig2 已经被比特币行业采纳，但 FROST 的使用仍相对有限。

这令人意外，因为 FROST 已有多种实现，例如：

ZF FROST（由 Zcash Foundation 开发）；

secp256kfun（由 Lloyd Fournier 编写）；

libsecp256k1-zkp 的实验性版本（由 Jesse Posner 与 Blockstream Research 维护）。

此外，IETF 还发布了 FROST 的规范 RFC 9591 ，但该版本与比特币不兼容（原因在于 Taproot 调整与 x-only 公钥格式）。

造成这种现象的最合理解释之一是：FROST 的密钥生成过程比 MuSig2 要复杂得多。

FROST 在生产系统中的未解之谜

FROST 主要包括两部分：

密钥生成（Key Generation）

签名（Signing）

其中签名过程与 MuSig2 类似，但密钥生成要复杂得多。

密钥生成有两种模式：

1. 可信密钥生成（Trusted Key Generation）

由一个“可信经销者（trusted dealer）”生成密钥，并分发给签名者。 风险：该经销者成为单点故障。一旦遭攻击或恶意行为，整个 FROST 钱包都可能被盗。

1. 分布式密钥生成（Distributed Key Generation，简称 DKG）

无需可信经销者，但要求所有参与者在签名前进行一次交互式的“密钥生成仪式”。

核心挑战：达成一致（Agreement）

DKG 通常要求：

参与方之间建立安全通道（加密与认证）以分发秘密份额；

一个安全的协议机制，确保所有人最终就密钥生成结果达成一致。

该结果不仅包括阈值公钥（threshold public key）等参数，还需保证在仪式过程中无人作恶、无中断。

然而：

IETF 的 FROST 规范完全跳过了 DKG 设计；

现有实现（ZF FROST、libsecp256k1-zkp 等）也没有实现协议层的共识机制。

这意味着开发者必须自行实现复杂的“共识模块”。但在实践中，这极具挑战性： 共识协议的种类繁多，从简单的回声广播到拜占庭容错（Byzantine）机制，其安全性和可用性差异很大，有时差别甚至十分微妙。

结果就是：工程师往往无法明确知道所使用的协议到底依赖哪种“agreement”机制。

ChillDKG：FROST 的独立分布式密钥生成协议

为解决上述难题，我们提出了 ChillDKG —— 一种专为 FROST 设计的“即插即用”型 DKG 协议（草案）。

我们在比特币改进提案（BIP ）草稿中给出了详细规范，供开发者参考与实现。

ChillDKG 的主要特征

独立可运行（Standalone）

协议内部完成安全通信与一致性机制；

复杂过程对开发者透明，仅需简单 API 调用即可使用；

不依赖额外设置，唯一前提是所有签名者已确定各自公钥。

安全基础 ChillDKG 基于 SimplPedPop 协议，该协议由 Blockstream Research 参与设计并在 CRYPTO 2023 论文《Practical Schnorr Threshold Signatures Without the Algebraic Group Model》 中获得形式化安全证明。

广泛适用性

适用于单个用户控制多个签名设备的场景；

也适用于多个机构分布式管理密钥的场景。

简化备份

无需保存其他签名者传来的私密数据；

钱包可仅凭设备种子和所有参与方共享的公共数据恢复；

攻击者即便获取公共备份数据，也无法恢复签名密钥；

若用户丢失备份，可向其他诚实参与者请求恢复。

当前进展与后续计划

ChillDKG 的 BIP 目前处于草稿阶段，我们正在征求对设计和实现细节的反馈。

当前版本功能完整，但仍缺少测试向量；我们还计划增加一些特性（如“可识别中止 Identifiable Aborts”）。

一旦 ChillDKG BIP 定稿，它将与 FROST 签名 BIP 结合，实现完整的 FROST 协议栈。