# FROST 的关键:什么是分布式密钥生成? **Published by:** [BitSafe中文](https://paragraph.com/@bitsafe/) **Published on:** 2025-10-09 **URL:** https://paragraph.com/@bitsafe/frost ## Content 原文链接: https://bitcoinmagazine.com/technical/the-key-to-frost-what-is-distributed-key-generation 多重签名的熟悉概念 在比特币领域,大多数人对“多重签名(Multisig)”都不陌生: 一个多重签名交易需要多个参与方批准后才能执行。 我们通常区分两种类型: n-of-n 多重签名(multi-signature):所有 n 个参与者都必须批准; t-of-n 门限签名(threshold signature):只需 t 个(t < n)参与者批准即可。 加密方案如 MuSig、MuSig-DN、MuSig2(用于多重签名)以及由 Komlo 和 Goldberg 提出的 FROST(用于门限签名),能够在保证安全的前提下,降低交易成本并提高多签钱包的隐私性。 FROST 的现状 FROST 是 “Flexible Round-Optimized Schnorr Threshold Signatures” 的缩写。直译为:灵活的轮次优化 Schnorr 门限签名方案。 FROST 的目标是让多方可以联合签名出一个单一的 Schnorr 签名,从而在比特币等系统中:提升隐私(交易看起来像单签)降低交易费用(更小签名尺寸)提高安全性(分布式控制,无单点风险)到目前为止,在比特币社区中,FROST 仍主要停留在实验性实现阶段。本文将解释其中的原因,以及我们如何通过最近发布的 ChillDKG 分布式密钥生成协议 BIP 草案,推动 FROST 在比特币生产环境中的落地。 首先,FROST 的优势是什么? MuSig2 和 FROST 带来的隐私与效率提升 使用 MuSig2 或 FROST 时,尽管有多个参与方参与签名过程,最终输出却是单一签名。 这带来了两个关键优势: 隐私性提升:交易在链上看起来与普通单签钱包交易无异,外界无法判断其为多签交易。 费用降低:交易体积更小,因此手续费更低。 简而言之,MuSig2 和 FROST 让比特币用户以单签钱包的成本运营多签钱包。 对于签名者数量多、交易频繁的系统(如 Liquid 或 Fedimint 这样的联邦侧链),节省尤为明显。 与传统多签不同,FROST 生成的钱包不会在区块链上留下明显指纹,从而显著提高隐私性。 为什么 FROST 尚未普及? 尽管 MuSig2 已经被比特币行业采纳,但 FROST 的使用仍相对有限。 这令人意外,因为 FROST 已有多种实现,例如: ZF FROST(由 Zcash Foundation 开发); secp256kfun(由 Lloyd Fournier 编写); libsecp256k1-zkp 的实验性版本(由 Jesse Posner 与 Blockstream Research 维护)。 此外,IETF 还发布了 FROST 的规范 RFC 9591 ,但该版本与比特币不兼容(原因在于 Taproot 调整与 x-only 公钥格式)。 造成这种现象的最合理解释之一是:FROST 的密钥生成过程比 MuSig2 要复杂得多。 FROST 在生产系统中的未解之谜 FROST 主要包括两部分: 密钥生成(Key Generation) 签名(Signing) 其中签名过程与 MuSig2 类似,但密钥生成要复杂得多。 密钥生成有两种模式:可信密钥生成(Trusted Key Generation)由一个“可信经销者(trusted dealer)”生成密钥,并分发给签名者。 风险:该经销者成为单点故障。一旦遭攻击或恶意行为,整个 FROST 钱包都可能被盗。分布式密钥生成(Distributed Key Generation,简称 DKG)无需可信经销者,但要求所有参与者在签名前进行一次交互式的“密钥生成仪式”。 核心挑战:达成一致(Agreement) DKG 通常要求: 参与方之间建立安全通道(加密与认证)以分发秘密份额; 一个安全的协议机制,确保所有人最终就密钥生成结果达成一致。 该结果不仅包括阈值公钥(threshold public key)等参数,还需保证在仪式过程中无人作恶、无中断。 然而: IETF 的 FROST 规范完全跳过了 DKG 设计; 现有实现(ZF FROST、libsecp256k1-zkp 等)也没有实现协议层的共识机制。 这意味着开发者必须自行实现复杂的“共识模块”。但在实践中,这极具挑战性: 共识协议的种类繁多,从简单的回声广播到拜占庭容错(Byzantine)机制,其安全性和可用性差异很大,有时差别甚至十分微妙。 结果就是:工程师往往无法明确知道所使用的协议到底依赖哪种“agreement”机制。 ChillDKG:FROST 的独立分布式密钥生成协议 为解决上述难题,我们提出了 ChillDKG —— 一种专为 FROST 设计的“即插即用”型 DKG 协议(草案)。 我们在比特币改进提案(BIP )草稿中给出了详细规范,供开发者参考与实现。 ChillDKG 的主要特征 独立可运行(Standalone) 协议内部完成安全通信与一致性机制; 复杂过程对开发者透明,仅需简单 API 调用即可使用; 不依赖额外设置,唯一前提是所有签名者已确定各自公钥。 安全基础 ChillDKG 基于 SimplPedPop 协议,该协议由 Blockstream Research 参与设计并在 CRYPTO 2023 论文《Practical Schnorr Threshold Signatures Without the Algebraic Group Model》 中获得形式化安全证明。 广泛适用性 适用于单个用户控制多个签名设备的场景; 也适用于多个机构分布式管理密钥的场景。 简化备份 无需保存其他签名者传来的私密数据; 钱包可仅凭设备种子和所有参与方共享的公共数据恢复; 攻击者即便获取公共备份数据,也无法恢复签名密钥; 若用户丢失备份,可向其他诚实参与者请求恢复。 当前进展与后续计划 ChillDKG 的 BIP 目前处于草稿阶段,我们正在征求对设计和实现细节的反馈。 当前版本功能完整,但仍缺少测试向量;我们还计划增加一些特性(如“可识别中止 Identifiable Aborts”)。 一旦 ChillDKG BIP 定稿,它将与 FROST 签名 BIP 结合,实现完整的 FROST 协议栈。 ## Publication Information - [BitSafe中文](https://paragraph.com/@bitsafe/): Publication homepage - [All Posts](https://paragraph.com/@bitsafe/): More posts from this publication - [RSS Feed](https://api.paragraph.com/blogs/rss/@bitsafe): Subscribe to updates - [Twitter](https://twitter.com/NonFungible_Amy): Follow on Twitter