# 深入解析 FROST

By [BitSafe中文](https://paragraph.com/@bitsafe) · 2025-10-09

---

灵活轮次优化 Schnorr 门限签名（FROST） 是支撑 BitSafe 的 CBTC 在比特币侧安全性与去中心化的核心技术。作为一种门限签名方案，FROST 允许多个参与者共同生成一个 Schnorr 签名，且在整个过程中没有任何单个参与者能访问完整私钥。

本文提供 FROST 的全面技术概览、它在 CBTC 中的集成方式，以及其为机构级比特币托管带来的重要优势。

1.  理解 FROST
    
    1.1 什么是 FROST？
    

FROST（Flexible Round-Optimized Schnorr Threshold Signatures）是一种门限签名方案，可通过一组分布式密钥份额来生成 Schnorr 签名。

在 FROST 的实现中，一个完整私钥被拆分成多个份额，只有当达到预设门限（threshold）数量的份额持有者协作时，才能生成一个有效签名。整个过程中，完整私钥从未被重构，从而消除单点失效风险，并显著提升安全性。

最终生成的签名与普通单签 Schnorr 签名完全无法区分，在保证隐私的同时，也提升了效率。

1.2 为什么 CBTC 选择 FROST？

在 BitSafe 的链上比特币托管金库中，我们选择使用 FROST 来实现比特币的去中心化控制，这一决策是经过深思熟虑的。相较于传统多签方案或其他门限签名协议，FROST 具有明显优势。

特性 传统多签 FROST 对 CBTC 的优势 链上记录（On-Chain Footprint） 记录多个公钥和签名，导致交易体积和成本上升 只记录一个聚合公钥和签名 更低交易费：交易体积更小，网络处理更快更便宜 隐私（Privacy） 从链上可看出是多签交易及参与者数量 FROST 签名与单签完全无差别 更高隐私性：无法从链上数据识别 CBTC 使用门限签名 安全性（Security） 易受复杂攻击，安全模型难管理 具备强可证明安全性，防范多种伪造攻击 更强安全性：FROST 提供更稳健的资金保护模型

虽然类似 MuSig2 等协议也具备门限功能，但我们选择 FROST 是因为其具备：

更高灵活性（Flexible）

轮次优化（Round-Optimized）

更强的安全保证（Proven Security）

FROST 的设计专门针对并缓解了其他 Schnorr 门限方案可能遭遇的伪造攻击（Forgery Attacks）。

2\. FROST 的工作原理

FROST 协议在安全性与效率间取得平衡，具有清晰的密钥生成、签名和验证流程。以下是其核心机制的概述：

2.1 密钥生成（Key Generation）

在建立签名组之前，必须生成并分发密钥份额。FROST 支持两种主要方式：

✅ 1. 可信经销者生成（Trusted Dealer Generation）

由单一可信方生成完整私钥，再拆分为多个份额并分发。 优点是实现简单，但缺点是存在“单点信任”与“内存暴露风险”，不适合高安全场景。

✅ 2. 分布式密钥生成（Distributed Key Generation, DKG）

由所有参与者协同生成群组公钥和各自的秘密份额，任何单一方都无法访问完整私钥。 该过程为多轮交互，消除单点失效，是 CBTC 等高安全应用的首选方案。

完成后，每个参与者持有：

一个独特的秘密份额（Secret Share）；

对应的验证份额（Verifying Share）；

整体群组验证密钥（Verifying Key）。

2.2 签名过程（Signing Process）

FROST 签名协议为两轮制，由一个协调者（Coordinator）负责管理（可为签名者之一，也可为独立实体）。 在 CBTC 中，该角色由 比特币网络上的协调节点 执行。

第一轮：承诺（Commitment）

协调者选择待签消息及参与者（即“见证者 Attestors”），每位参与者生成新的随机数（nonce）及对应公有承诺（commitment），并发送给协调者。

第二轮：签名份额生成（Signature Share Generation）

协调者收集所有承诺后广播给全体签名者。 每位签名者验证承诺有效性后，计算自己的签名份额并发送回协调者。

2.3 签名聚合与验证（Signature Aggregation and Verification）

协调者收到足够数量（达门限）的签名份额后，将其聚合为单一 Schnorr 签名。 最终签名由群组公钥验证。若验证通过，交易即被授权。

该签名与普通 Schnorr 签名完全兼容，可由任何标准 Schnorr 验证器验证。 这意味着 FROST 与现有比特币基础设施完全兼容，并保持门限安全模型的隐私性。

3\. 高级特性与安全机制

FROST 拥有多项高级功能，使其在长期、高价值资产管理场景中更具灵活性与鲁棒性。

3.1 可验证份额再分配（Verifiable Secret Resharing, VSR）

FROST 支持重新生成新份额而无需更换群组公钥，旧份额自动作废。 这项特性在以下场景中至关重要：

吊销泄露份额：若某参与者的份额被泄露，可执行再分配操作，使泄露份额失效。

防御渐进式攻击者：定期再分配可主动撤销已被潜在攻击者控制的份额。

变更签名组结构：支持添加/移除参与者，或修改门限参数，增强治理灵活性。

3.2 安全模型

FROST 的安全性建立在严格的密码学假设与形式化模型上：

协议可抵御最多 t-1 个恶意参与者；

能防御多种已知攻击，包括：

伪造攻击（Forgery Attack）：FROST 的设计针对性缓解此类 Schnorr 门限伪造风险。

遗忘与宽恕攻击（Forget-and-Forgive Attack）：防止组内因再分配失步而导致的分裂，通过“确认步骤（acknowledgment step）”确保所有成员成功更新份额后再废弃旧份额。

FROST 协议的安全性已在原始论文中得到形式化证明，并收录于官方 RFC 9591 。

4\. FROST 在 CBTC 中的实现细节

BitSafe 在 CBTC 的比特币侧架构中应用 FROST，以其安全性与高效性为基础，构建跨链托管与治理体系。

4.1 见证者网络架构（Attestor Network Architecture）

CBTC 运行于去中心化的机构级见证者网络（Attestors）上。 该网络目前包括 9 个外部节点运营方（如 P2P、Everstake 等），以及 1 个 BitSafe 自营节点。 每个运营方均管理超过 10 亿美元资产（AUM），具备强技术能力与经济激励以维护系统完整性。

每个见证节点同时运行在 比特币网络 与 Canton 网络 上：

在比特币侧参与门限签名；

在 Canton 侧参与治理协调。

4.2 协调者与治理集成（Coordinator and Governance Integration）

系统设有一个协调者节点（Coordinator），每 60–120 秒 执行：

监控存款账户；

构造比特币交易；

提交治理动作。

协调者通过 BitSafe 的 治理模块 与见证网络协作。 在关键事件（如存款确认、提现授权）中，每个见证者必须独立提交确认签名。

4.3 门限签名过程（Threshold Signing Process）

当需要授权比特币交易（例如提现）时，FROST 让见证者网络通过门限协作生成有效签名。 只有达到门限的见证者共同参与，交易才可被执行。 这确保包括协调者在内的任何单一实体都无法单独移动资金。

FROST 签名与 Taproot 地址 完全兼容，使交易在链上仍表现为普通交易，从而保持隐私。

4.4 双网络安全模型（Dual-Network Security Model）

CBTC 的安全性依赖于两个网络的协同：

比特币 L1 —— 负责最终结算（Final Settlement）；

Canton 网络 —— 负责治理与协调。

这种双层结构确保：

比特币托管与 CBTC 链上操作由同一套去中心化见证网络保护， 在两条区块链之间实现无缝安全衔接。

1.  延伸阅读
    

Komlo, C. & Goldberg, I. “The Flexible Round-Optimized Schnorr Threshold (FROST) Protocol for Two-Round Schnorr Signatures.” RFC 9591, 2024.

Zcash Foundation. “Understanding FROST.” [https://frost.zfnd.org/frost.html](https://frost.zfnd.org/frost.html)

“FROST Resharing Readme.” Notion 文档：[https://www.notion.so/FROST-Resharing-Readme-1cf636dd0ba58034ac25f1002fdea8cf](https://www.notion.so/FROST-Resharing-Readme-1cf636dd0ba58034ac25f1002fdea8cf)

Komlo, C. & Goldberg, I. (2020). “FROST: Flexible Round-Optimized Schnorr Threshold Signatures.” Cryptology ePrint Archive, Report 2020/852. [https://eprint.iacr.org/2020/852](https://eprint.iacr.org/2020/852)

---

*Originally published on [BitSafe中文](https://paragraph.com/@bitsafe/frost-2)*