TSS阈值签名方案是什么? 和多签/MPC有何关系?
非对称密码学是现代数字签名体系的根基。
自20世纪70年代公钥密码学(Public Key Cryptography,PKC)被提出以来,这一模型便成为互联网安全协议(TLS、PGP等)的标准组件。该体系依赖一对数学相关但功能截然不同的密钥:公钥用于公开验证,私钥用于生成不可伪造的签名,其安全性完全取决于私钥是否始终处于不可获取状态。
在区块链系统中,私钥即账户控制权本身,签名等同于对交易的最终授权。节点只需验证签名是否正确,即可确认交易合法性。但这种设计天然存在结构性缺陷:私钥本身构成单点风险。一旦丢失、泄露或被复制,对应资产将立即失去控制权,且无法回滚。
阈值签名方案正是在这一背景下被引入密码学体系,其目标并非增强签名强度,而是重构私钥的存在方式。
TSS的密码学基础:多方安全计算
阈值签名方案(Threshold Signature Scheme, TSS)建立在多方安全计算(Multi-Party Computation, MPC)之上。MPC的概念可追溯至Andrew Yao在20世纪80年代提出的“百万富翁问题”,核心思想在于:
多个相互独立、互不信任的参与方,在不泄露各自私有输入的前提下,共同完成某个计算任务。
MPC协议通常围绕两个核心性质展开。
1、正确性:所有参与方按协议执行时,输出结果与理想函数一致
2、保密性:任何一方无法从协议过程中推断其他参与方的秘密输入
将这两个性质映射到数字签名领域,便形成了阈值签名的理论框架。
阈值签名方案的整体结构
TSS并非单一算法,而是由两个分布式协议组合而成。
1、分布式密钥生成(Distributed Key Generation, DKG)
2、分布式签名协议
完整流程可拆解为三个阶段。
阶段一:分布式密钥生成
在DKG阶段,n个参与方通过交互式协议共同计算出一个公钥,每一方仅持有私钥的一个秘密分片(Secret Share)。
整个过程中,不存在任何时刻将完整私钥集中存放于某一节点。
该阶段需同时满足两个约束。
1、所有参与方最终得到同一个公钥
2、每个参与方的私钥分片对其他任何一方不可见
在工程实现中,DKG通常结合可验证秘密共享(VSS)与零知识证明,用于防止恶意参与方注入无效分片或破坏协议一致性。
阶段二:分布式签名
当系统需要生成交易签名时,满足阈值条件的参与方子集启动签名协议。
各方使用各自的私钥分片作为输入,通过多轮MPC交互,计算出一个合法签名。
该签名在数学形式上与传统单私钥签名完全一致,链上验证逻辑无需任何修改。
对外部观察者而言,该签名不存在可识别的“分布式特征”。
阶段三:签名验证
验证阶段不涉及MPC计算,流程与普通数字签名完全相同。
任何节点只需使用公钥执行标准验证算法即可确认签名有效性。
TSS与相关方案的本质差异
在区块链密钥管理场景中,TSS经常被与多重签名和Shamir秘密共享进行对比。三者目标接近,但安全模型差异明显。
技术机制对比
| 维度 | 阈值签名(TSS) | 多重签名(Multisig) | Shamir秘密共享(SSSS) |
|---|---|---|---|
| 密钥生成 | 分布式生成,私钥未集中出现 | 各签名者独立生成完整私钥 | 单点生成后再拆分 |
| 签名方式 | 多方协作生成单一签名 | 各方独立签名 | 需先重构完整私钥 |
| 链上表现 | 标准单签名 | 多签结构可见 | 标准单签名 |
| 隐私属性 | 外部不可区分 | 访问结构完全公开 | 恢复阶段存在暴露 |
| 成本 | 与普通交易一致 | 较高 | 普通水平 |
| 生命周期风险 | 无私钥重构窗口 | 各自仍存在单点 | 每次签名前均有风险 |
TSS的核心优势不在于“拆分存储”,而在于彻底移除私钥重构这一操作本身。
TSS在区块链系统中的应用方式
客户端级集成
在传统区块链客户端中,地址生成依赖单一私钥派生。
采用TSS后,地址仍由公钥派生,但公钥本身来自分布式计算过程,私钥仅以分片形式存在。
交易签名流程亦从单点操作转变为多方协作,常见配置为t-of-n结构,使系统在部分节点离线或失效时仍可运行。
阈值钱包的架构设计
基于TSS的钱包通常被称为MPC钱包,其结构与传统HD钱包存在根本差异。
1、HD钱包依赖单一助记词派生全部密钥
2、MPC钱包通过分布式协议生成等价的派生结构,各参与方仅保存自身分片
此类钱包普遍支持私钥轮换(Proactive Secret Sharing)机制。
该机制允许在公钥与地址不变的情况下刷新全部私钥分片,使旧分片失效,从而引入时间维度的安全隔离。
常见部署模式
1、外包执行模式:签名由多台服务端节点完成,用户不直接参与计算
2、多设备自持模式:分片分布在用户控制的多个终端
3、混合模式:部分节点由服务商托管,部分节点由用户掌控
业界实践表明,混合模式在可用性与风险隔离之间取得了更优平衡。
行业采用与技术演进
主流解决方案
截至2025年,TSS已成为机构级资产托管的主流架构之一:
1、Fireblocks:自研MPC-CMP协议,支持百余条区块链
2、ZenGo:面向个人用户的无助记词MPC钱包
3、BitGo:MPC与多签混合模式
4、Coinbase Wallet:将MPC集成至自托管体系
技术发展方向
1、更高效的ECDSA / EdDSA / Schnorr阈值签名
2、面向BLS的天然聚合特性
3、抗量子阈值签名研究
4、支持动态阈值与时间锁
5、单轮轻量级协议以适配边缘设备
面向智能合约与应用层的影响
TSS作为通用密码学原语,可在链下完成原本需要智能合约承担的逻辑。
1、DApp授权与治理
2、Layer 2状态通道
3、跨链原子交换
4、低成本混币方案
5、数字资产继承结构
这些方案的共同特征在于:复杂逻辑链下完成,链上仅验证一个标准签名。
风险与现实约束
TSS并非零风险方案,其挑战主要集中在工程层面。
安协议复杂度高,对网络稳定性与实现质量要求极高
依赖的密码学假设更多,引入额外攻击面
历史漏洞多源于实现偏离论文约束
助记词模型无法直接复用
跨实现标准尚未统一
成熟部署通常伴随严格审计、规范化实现与长期漏洞激励机制。
监管与合规趋势
多个司法辖区已将MPC/TSS纳入托管合规体系。
1、欧盟MiCA明确涉及分布式托管
2、新加坡支付服务法认可MPC模型
3、日本强调密钥分片本地化
4、香港VASP监管框架涵盖MPC
5、NIST与FATF文件均强调分布式密钥管理的重要性
