TWI809080B

TWI809080B - 用以移轉數位資產存取權之電腦實施方法及系統

Info

Publication number: TWI809080B
Application number: TW108111949A
Authority: TW
Inventors: 約翰費雷洽; 湯瑪斯特雷維森
Original assignee: 安地卡及巴布達商區塊鏈控股有限公司
Priority date: 2018-04-05
Filing date: 2019-04-03
Publication date: 2023-07-21
Also published as: EP4340295A3; JP7316295B2; SG11202008860YA; CN112204920A; KR20200139223A; US20230231727A1; JP2021519541A; US20210152371A1; GB201805633D0; ZA202006065B; EP4340295A2; WO2019193452A1; EP3777013A1; TW201944755A; DK3777013T3; JP2023134669A; EP4152683A1; EP3777013B1; US11979507B2; EP4152683B1

Abstract

本發明揭示一種移轉對一數位資產之存取權的方法。該方法包含由多個第二參與者中之每一者自一第一參與者接收一第一區塊鏈交易。該第一參與者具有一密碼系統之一對第一私用公用密鑰中之一第一私用密鑰，且每個參與者均具有該密碼系統之一對第二私用公用密鑰中之一第二私用密鑰之一各別第一份額，且該第一區塊鏈交易係用該第一私用密鑰來簽署。由每個第二參與者驗證用該第一私用密鑰對該第一區塊鏈交易之簽署。將一各別第一份額應用於該第一區塊鏈交易以產生用該第二私用密鑰簽署之一第二區塊鏈交易之一各別第二份額。用該第二私用密鑰進行之簽署藉助於一第一臨限數目之第二份額為可能的而對於小於該第一臨限數目之第二份額不可存取。組合來自該第一參與者及多個該等第二參與者的該第一臨限數目之第二份額，產生該簽署。

Description

用以移轉數位資產存取權之電腦實施方法及系統

發明領域

本發明大體上係關於資料及基於電腦之資源的安全性。更特定言之，本發明係關於密碼貨幣及密碼術，以及橢圓曲線密碼術、橢圓曲線數位簽署演算法(ECDSA)及臨限值密碼術。其可有利地用於諸如(例如)比特幣之區塊鏈實施密碼貨幣，但不限於此，且可具有更廣泛適用性。在一個實施例中，本發明可描述為提供臨限值數位簽署方案。

在此文件中，吾人使用術語「區塊鏈」來包括所有形式的基於電腦之電子分散式分類帳。此等分類帳包括基於共識之區塊鏈及交易鏈技術、許可及未許可分類帳、共用分類帳及其變化。區塊鏈技術之最廣泛已知之應用為比特幣分類帳，但已提議並開發了其他區塊鏈實施。雖然本文中可僅出於方便及說明之目的提及比特幣，但應注意，本發明不限於與比特幣區塊鏈一起使用，且替代區塊鏈實施及協定屬於本發明的範疇。

區塊鏈係同級間電子分類帳，其實施為由區塊構成的基於電腦之非集中式系統，該等區塊又由交易構成。每一交易為一資料結構，該資料結構編碼對區塊鏈系統中之參與者之間的數位資產之控制的移轉，且包括至少一個輸入及至少一個輸出。每一區塊含有先前區塊之散列，使得區塊變得鏈接在一起以形成自一開始便已寫入至區塊鏈之所有交易的永久性不可變更之記錄。

非集中化之概念係比特幣方法之基礎。非集中式系統提供如下優點：不同於分散式或集中式系統，其不存在單點失效。因此，其供應等級增強之安全性及彈性。藉由使用諸如橢圓曲線密碼術及ECDSA之已知密碼編譯技術來進一步增強此安全性。

由於需要多於一方之簽署以提供對數位資產的存取權，因此多重簽署系統常用於比特幣區塊鏈中以增強安全性。

ECDSA臨限簽署方案可替換「多重簽署」系統以用於確保比特幣電子錢包的安全，且提供提高之安全性及私密性以及較少(且因此費用較不昂貴)之交易。S.Goldfeder、R.Gennaro、H.Kalodner、J.Bonneau、J.A.Kroll、E.W.Felten及A.Narayanan-經由新DSA/ECDSA臨限簽署方案確保比特幣電子錢包的安全(2015)及R.Gennaro等人，最佳臨限值DSA/ECDSA簽署及對比特幣電子錢包安全性之應用(2016)，關於應用密碼術及網路安全之國際會議ACNS 2016：應用密碼術及網路安全第156至174頁，最佳臨限值ECDSA簽署方案之當前變化，使得n個密鑰份額持有者中之任何t+1可合作以交互式地產生完整簽署，均為1<t

n。

然而，此等方案受到至少二個限制。首先，其取決於新密碼術及相關假定，例如尚未經受時間測試之完全同態加密方案。其次，歸因於其複雜度，及涉及零知識證明-例如，在單獨寫入、產生及驗證零知識證明時每一參與者花費大約10秒-其在計算上為昂貴的且因此係緩慢的。因此，不應信任此等系統能夠確保較大存款的安全，且此等系統並不適合於需要快速簽署(諸如交易操作)之某些應用。

例如，此等方案不可用於基於高頻支付通道之系統中，例如如J Poon；T Dryja；比特幣快速網路：可擴展鏈外即時支付(2016)所揭示。密碼貨幣交易為雙向支付通道之一個應用，及特別期望快速簽署之一個應用。

存在用於產生ECDSA臨限簽署但受到某些限制之較快、較不複雜且較為安全的方案。詳言之，排除t與n之某些組合，包括諸如「2/3」方案之普遍選擇。另外，在此等方案中，相較於用以經由部分簽署之組合產生簽署所需，有可能藉由較少密鑰份額重構私用密鑰。因此，需要改良比特幣交易採用之安全電子錢包服務系統，比特幣交易採用「2/3」多重簽署技術。

例如如J Poon；T Dryja；比特幣快速網路：可擴展鏈外即時支付(2016)中所描述之雙向支付通道可准許在大幅度降低客戶一定處於交易中之信任的同時進行資產貿易。在傳統模型中，客戶可在交易時持有比如比特幣及法定貨幣之存款。在客戶進行貿易時，其擁有之比特幣及法定貨幣之比例發生改變。然而，此等比例取決於如由交易記錄之貿易，且因此客戶必須信任該交易以保存準確記錄。換言之，儘管比特幣(及在符記化情況下為法定貨幣)之存款可藉由採用代管服務(在一定程度上)進行保護以防偷竊，但若交易洩密且貿易記錄丟失或被更改，則客戶仍然可能丟失其存款。

雙向支付通道具有多個其他缺點。考慮雙向支付通道之標準實施。愛麗絲及鮑勃想要在他們自身之間來回發送加密代幣。他們各自藉由商定數目之代幣為「2/2」多重簽署提供資金，且接著藉由交換提交交易發送代幣(更新通道)，以及有效地使通道之先前狀態失效的「值」。若一方廣播過期提交交易，則另一方可以含有適合的「值」的「毀約賠償交易」回應，且藉此要求通道中之完全平衡。

當愛麗絲或鮑勃想要使通道穩定時，他們各自可同意對根據最新通道狀態分配平衡之交易進行簽署(所謂的「軟解析」)。以此方式，從不需要廣播提交交易，只要雙方達成協作。

然而，如J Poon；T Dryja；比特幣快速網路：可擴展鏈外即時支付(2016)中所描述之支付通道由於存在所謂的「故障模式」而具有嚴重的未解決漏洞，其可在使得大量通道打開之一方在長時間段內無回應之情況下出現。此可誘發與其連接之其他方廣播提交交易，且若各方之數目較大，則區塊鏈網路可承受不了。此情形在支付通道之內容背景中尤其危險，由於惡意方可嘗試藉由廣播過期提交交易以希望與其連接之該方將不能以毀約賠償交易即時回應而竊用資金。J Poon；T Dryja；比特幣快速網路：可擴展鏈外即時支付(2016)中描述之配置之另一限制為以下另一複雜情況：其需要隔離見證(以避免雙方中之一者在為通道提供資金之後不願意或不能提供第一提交交易的可能性)。

發明背景

目前先進技術交易安全性

許多密碼貨幣交易平台目前常常經由諸如BitGo供應之第三方服務基於比特幣腳本之多重簽署功能性採用安全電子錢包系統。此等系統將客戶或交易資金置於輸出下，輸出可藉由2/3多重簽署腳本(亦即，藉由供應對應於3個公用密鑰中之任何2個的有效簽署)而贖回。三個對應私用密鑰將分配至該交易、客戶及受信任的第三方/代管方(BitGo)。資金之移動(經由經簽署有效交易)可接著由以下中之任一者授權：i)客戶及交易或ii)交易及BitGo(在客戶不合作或丟失其密鑰之狀況下)。BitGo服務將經由來自交易之經驗證API請求執行簽署操作。

除BitGo自身及其應用程式設計介面(API)之安全性操作及策略之外，此託管系統亦具有若干嚴重缺陷。首先，使用2/3多重簽署輸出損害客戶及交易二者之私密性。2/3多重簽署交易輸出之數目為輸出之總數目之一小部分，由此，此降低之匿名性使得區塊鏈之觀察者較易於識別與BitGo及交易電子錢包相關聯之資金。另外，使用2/3多重簽署輸出亦揭露區塊鏈上之內部交易操作。外部觀察者可基於腳本內之位置判定三個密鑰中之哪一者已經用於授權特定交易。例如，在2016年之$60m Bitfinex侵入(其採用2/3多重簽署BitGo電子錢包系統)中，比特幣區塊鏈觀察者能夠判定密鑰1及3用於竊用資金。此外，使用2/3多重簽署產生大得多的交易規模，且因此需要較大交易(較小)費用以便在區塊鏈上可靠且迅速地進行確認。並且，由於2/3多重簽署腳本在比特幣客戶中被視為「非標準」的，因此其必須實施為呈pay-to-script-hash(P2SH)格式之贖回腳本。P2SH交易輸出類型相較於標準pay-to-public-key-hash(P2PKH)輸出基本上較不安全，歸因於其經受碰撞攻擊(或所謂的生日攻擊)的可能性。P2SH輸出在比特幣中具有160位元之安全性，此意謂僅藉由80位元之安全性防止碰撞攻擊。此等級之安全性目前在計算上無法攻擊，但無法無限期地保持此狀況。碰撞攻擊在P2PKH輸出(其僅使用單個公用密鑰)上並不可能，且因此保持160位元之安全性(在預影像攻擊的狀況下)。

臨限簽署方案

臨限簽署協定使得各方(或節點)之群組能夠在不在任一點重構私用密鑰或任何參與者不知道關於任何其他方之密鑰份額之任何值的情況下共同地使用n個密鑰份額中之臨限值m個而對交易進行簽署。使用此方案防止需要多個單獨方授權交易之系統中之單點故障。

臨限簽署方案可與無交易商(dealer-free)(或無交易商(dealer-less))協定組合以用於建立秘密份額，其中共用秘密(私用密鑰)對於任一方未知(實際上，並不需要在任一時刻曾經明確存在於記憶中)。然而，該群組有可能判定橢圓曲線公用密鑰(對應於尚未知但隱含的共用秘密密鑰)。此意謂可以完全不可靠的方式將比特幣輸出置於共用群組公用密鑰(及對應位址)之控制下，且對交易之簽署僅可在臨限值之各方達成合作時產生，而無需任一個別方知道私用密鑰。

橢圓曲線數位簽署演算法(Elliptic Curve Digital Signature Algorithm，ECDSA)之數學形式之性質意謂針對此類型之簽署建構安全臨限方案並非不重要。詳言之，已證實不可能形成高效且安全的最佳臨限方案-其中產生有效簽署所需的密鑰份額之數目與重構完整私用密鑰所需的份額之數目相同。建構最佳臨限ECDSA方案之第一方法描述於S.Goldfeder、R.Gennaro、H.Kalodner、J.Bonneau、J.A.Kroll、E.W.Felten及A.Narayanan的經由新DSA/ECDSA臨限簽署方案之安全比特幣電子錢包(2015)中，但此方案具有大量缺點。首先，其非常低效：簽署產生需要調用Paillier(附加同態)加密及形成且驗證一系列零知識證明：對於僅2/2簽署，其需要6個通信回合及約10秒之計算時間(每一方)。其次，以乘法方式共用私用密鑰：此意謂僅n/n密鑰共用有可能實現m/n方案，其中m<n需要每一方均需要持有多個密鑰份額(每一方均需要n ^m個密鑰份額)之組合密鑰共用結構。另外，為了以乘法方式共用私用密鑰，相較於在多項式上共用密鑰(如Shamir之秘密共用方案)之情況下，不具有受信任交易商要複雜得多且在計算上昂貴得多。

近年來，具有改良效率(但仍然相對緩慢)之最佳臨限ECDSA方案已經提出於以下各者中：R.Gennaro等人之最佳臨限DSA/ECDSA簽署及對比特幣電子錢包安全性之應用(2016)，關於應用密碼術及網路安全之國際會議ACNS 2016：應用密碼術及網路安全(Applied Cryptography and Network Security)第156至174頁；及Boneh、Dan、Rosario Gennaro及Steven Goldfeder之「使用等級-1同態加密以出於比特幣電子錢包安全性改良臨限DSA簽署」，其採用完全同態的加密系統。此密碼編譯基元具有較高複雜度且依賴於相對未經測試之假定。亦應注意，其他最新的完全同態加密方案已經經受了成功密碼分析且實際上被破壞，例如如Bogos、Sonia、John Gaspoz及Serge Vaudenay之「對同態加密方案之密碼分析」，ArcticCrypt 2016，第EPFL-CONF-220692.2016號及Hu、Yupu及Fenghe Wang之「對完全同態加密方案之攻擊」，IACR Cryptology eprint存檔2012(2012)：561中所描述。

發明概要

本發明之較佳實施例試圖克服已知方案之以上缺點中之一或多者。

本發明提供如隨附申請專利範圍中所定義之方法及系統。

可提供一種移轉對數位資產之存取權的方法，該方法包含：由多個第二參與者中之每一者自第一參與者接收第一區塊鏈交易，其中該第一參與者具有密碼系統之一對第一私用公用密鑰中之第一私用密鑰，且每個該參與者均具有對該密碼系統之一對第二私用公用密鑰中之第二私用密鑰之各別份額，其中該第一區塊鏈交易用該第一私用密鑰來簽署；由多個該等第二參與者驗證該第一區塊鏈交易已經用該第一私用密鑰簽署；將對該第二私用密鑰之各別該份額應用於該第一區塊鏈交易以產生對第一秘密值之各別份額，其中該第一秘密值為用該第二私用密鑰簽署之第二區塊鏈交易，其中該第一秘密值對於該第一秘密值之第一臨限數目之該等份額可存取而對於小於該第一秘密值之該第一臨限數目之份額不可存取；以及組合來自該第一參與者及多個該等第二參與者的該第一秘密值之至少該第一臨限數目之該等份額以產生該第一秘密值。

藉由將第二私用密鑰之各別份額應用於該第一區塊鏈交易以產生用該第二私用密鑰簽署之第二區塊鏈交易之各別份額，其中該經簽署第二區塊鏈交易對於該第一秘密值之第一臨限數目之份額可存取而對於小於該第一臨限數目之份額不可存取，且組合來自該第一參與者及多個第二參與者的該第一秘密值之至少該第一臨限數目之份額以產生該經簽署第二區塊鏈交易，此提供以下優點：若該等第二參與者中之一者變得無效或不合作，則使得能夠對交易進行簽署，由此改良系統之安全性及可靠性。並且，藉由回應於自該第一參與者接收到該第一區塊鏈交易而產生該第一秘密值之份額，此提供另一優點：使得該第一秘密值之該份額能夠自動地產生，使得產生該第一秘密值之至少三個份額，由此使得能夠模擬2/3簽署方案。

多個該等第二參與者中之每一者可具有密碼系統之各別私用密鑰。

此提供以下優點：使得能夠藉助於對應於私用密鑰之公用密鑰驗證用私用密鑰進行之簽署，由此增強系統之安全性。

該方法可進一步包含在該第一參與者與至少一個該第二參與者之間分配具有該第一參與者所擁有的該第二私用密鑰之一該份額之份額。

此提供以下優點：進一步增強安全性。

該方法可進一步包含在該第二參與者無回應之情況下將對該數位資產的存取權移轉至該密碼系統之第三私用密鑰。

該數位資產在預定時間內可仍然在該第三私用密鑰之控制下。

該方法可進一步包含在多個該等參與者之間分配該第二私用密鑰之該等份額。

可提供一種移轉對數位資產之存取權的方法，該方法包含：將第一區塊鏈交易自第一參與者發送至多個第二參與者，其中該第一參與者具有密碼系統之一對第一私用公用密鑰中之第一私用密鑰，且每個該參與者均具有對該密碼系統之一對第二私用公用密鑰中之第二私用密鑰之各別份額，其中該第一區塊鏈交易用該第一私用密鑰來簽署；自多個該等第二參與者接收第一秘密值之各別份額，其中該第一秘密值為用該第二私用密鑰簽署之第二區塊鏈交易，其中該第一秘密值對於該第一秘密值之第一臨限數目之該等份額可存取而對於小於該第一秘密值之該第一臨限數目之份額不可存取，其中在藉由該等對應第二參與者驗證該第一區塊鏈交易已經用該第一私用密鑰簽署之後將該第二私用密鑰之每個該份額應用於該第二區塊鏈交易；以及組合來自該第一參與者及多個該等第二參與者的該第一秘密值之至少該第一臨限數目之該等份額以產生該第一秘密值。

可提供一種用數位方式對訊息進行簽署的方法，該方法包含：在多個參與者之間分配第一秘密值之第一份額，其中該第一秘密值為密碼系統之一對公用私用密鑰中之私用密鑰，該私用密鑰可藉助於第一臨限數目之該等第一份額進行存取，而對於小於該第一臨限數目之該等第一份額不可存取；在多個該等參與者之間分配第二秘密值之第二份額，其中該第二秘密值為用於產生數位簽署之暫時密鑰，其中該暫時密鑰可藉助於該第一臨限數目之該等第二份額進行存取而對於小於該第一臨限數目之該等第二份額不可存取；以及在多個該等參與者之間分配第三秘密值之第三份額，其中每個該第三份額適於應用於訊息以產生第四秘密值之各別第四份額，其中該第四秘密值為用該私用密鑰且使用該暫時密鑰簽署之該訊息，且其中該第四秘密值可藉助於第二臨限數目之該等第四份額進行存取而對於小於該第二臨限數目之該等第四份額不可存取。

藉由在多個參與者之間分配第三秘密值之第三份額，其中每個第三份額適於應用於訊息以產生第四秘密值之各別第四份額，該訊息用該私用密鑰及該暫時密鑰來簽署，其中該第四秘密值可藉助於第二臨限數目之第四份額進行存取而對於小於該第二臨限數目之第四份額不可存取，此提供以下優點：使得能夠預先產生相當大比例之數位簽署份額，且在迅速簽署需要時應用於訊息。這又使得交易能夠進行迅速非交互式簽署且因此適合於交換使用。

分配至每個該參與者之份額對於每個其他該參與者不可存取。

將該等份額分配至每個該參與者之步驟可包含為該參與者或每個該參與者提供各別經加密通信通道。

該等第一及/或第二份額可藉助於各別Shamir秘密共用方案形成。

多個該等第一及/或第二份額可為第一多項式函數之各別值，且可藉由自該第一臨限數目之該等份額導出該多項式函數而判定對應秘密值。

可藉助於聯合隨機秘密共用(joint random secret sharing，JRSS)在多個該等參與者之間共用至少一個該第一及/或第二秘密值。

共用至少一個該第三秘密值可包括共用藉由聯合零秘密共用(joint zero secret sharing，JZSS)產生之遮罩份額。

密碼系統可為橢圓曲線密碼系統，其中藉由將橢圓曲線產生點與該私用密鑰相乘而使每一對該公用私用密鑰中之該公用密鑰與對應私用密鑰相關。

根據本發明之另一態樣，提供一種用於進行如上文所定義之方法的電腦實施系統。

2:系統

4:區塊鏈交易

6:客戶

8:交易方

10:受信任第三方(TTP)

12:代管方

現將參看附圖僅藉由實例且不在任何限制性意義上描述本發明之一實施例，在附圖中：圖1為體現本發明之數位簽署系統；圖2為用於產生用於圖1之過程之數位簽署之份額的過程；圖3為自圖2之過程中產生之份額產生數位簽署之過程；圖4展示用於分裂私用密鑰之份額的過程；且圖5展示用於在無回應或惡意參與者之狀況下執行數位簽署的過程。

較佳實施例之詳細說明

系統概述

參考圖1，用於進行區塊鏈交易4之迅速簽署的體現本發明之系統2具有臨限簽署方案中之四方，各方為客戶6、交易方8、受信任第三方(trusted third party，TTP)10及代管方12。每一方分別具有各別橢圓曲線公用/私用密鑰對(y _C,x _C)、(y _Ex,x _Ex)、(y _T,x _T)、(y _Es,x _Es)。相較於先前技術之典型「2/3」代管配置，本發明之特徵在於額外方，TTP 10。如下文中更詳細地解釋，需要TTP 10參與產生並不涉及代管方12之每個簽署(在解析故障的狀況下)。

TTP 10需要具有與交易方8之快速(低時延)且可靠的連接，且TTP 10與所有其他方應實體分離。

接著在客戶6與交易方8、交易方8與TTP 10、客戶6與TTP 10，及交易方8與代管方12之間確立使得能夠進行加密及驗證二者之安全通信通道。此等通信通道確立共用秘密，其可在不使用國際專利申請案WO 2017/145016中所描述之方法進行額外通信的情況下週期性地更新。

各方持有臨限值私用密鑰x中之秘密密鑰份額x _n；n=1,2,3,4；根據下文更詳細地描述之方法以分配方式產生份額(亦即，在無受信任交易商的情況下)，使得單個位置中從不存在完整私用密鑰。此等份額(以及簽署初始化)可用於在訊息m(比特幣交易散列)上產生部分簽署(或簽署份額)sig _n；n=1,2,3,4。TTP將回應於來自交易方8之驗證請求提供對任何交易之部分簽署。因此，「3/4」臨限方案實際上模仿「2/3」多重簽署。另一可能性為對TTP 10將進行部分簽署之交易之類型存在限制。例如，TTP 10應僅對發送至某些位址之交易進行簽署。此配置具有以下優點：TTP 10將不需要知曉關於交易之任何值且可因此「對其進行盲簽署」。並且，此方案最接近地模仿BitGo之「2/3」結構。

假定各方2、3及4採用受信任硬體，使得在受保護「工作區域」內產生其在臨限值私用密鑰中之份額。可將訊息發送至工作區域且若滿足某些條件，則可輸出訊息上之(部分)簽署，但私密密鑰份額從不離開該工作區域。在此方案中，可在給定二個私用密鑰份額之情況下重構臨限值私用密鑰。然而，在使用受信任硬體之情況下，當二個硬體含有相同產生之密鑰份額時，此攻擊每次將需要對二組硬體的長時間實體存取權。因此，此攻擊實際上將非常難以實現。

交易之基本操作

參考圖1，關於交易操作之臨限電子錢包之高級功能如下：

1.客戶6將一些比特幣B存至與由臨限方案產生之(無交易商)公用密鑰相關聯之帳戶中。

2.執行各種貿易，從而使得B之比例f屬於客戶6。

3.請求結算(由客戶6或交易方8)。可以這樣說，交易方8請求結算，且在交易T中對資金之正確分配進行編碼。

4.藉由交易方8將T及Sig(T,x _Ex )發送至TTP 10。

5.若Sig(T,x _Ex )得以驗證，則TTP 10將其對T之部分簽署(標示為sig ₃)發送至交易方8。TTP 10並不需要知曉T中所含有的資訊，且實際上，若其並不知曉該資訊，則自安全性視角將較佳。此可經由部分盲簽署操作實現。

6.同時，若請求被視為可信(Sig(T,x _E )得以驗證)，且其同意T之內容，則客戶6將Sig(T,x _C )、sig ₁ 、Sig(sig ₁ ,x _C )發送至交易方8。

7.若簽署得以驗證，則交易方8組合sig ₂、sig ₁、sig ₃且檢查簽署Sig(T,x)得以驗證；若如此，則將T、Sig(T,x)廣播至區塊鏈網路。

安全電子錢包協定

此部分描述用於形成安全電子錢包及接著形成臨限簽署操作之協定。協定係依據高級基元描述，高級基元詳細描述於R.Gennaro、S.Jarecki、H.Krawczyk及T.Rabin之穩固臨限DSS簽署，關於密碼編譯技術之理論及應用之國際會議，354至371(1996)中。

無交易商之密鑰產生

藉由在方案中之4個參與者之間重新初始化安全通信通道而起始安全電子錢包之形成(如國際專利申請案WO 2017/145016中所描述)。

交易方8接著協調共用橢圓曲線公用密鑰之無交易商之產生，其中4個參與者中之每一者將持有對應秘密密鑰之份額(基於1次多項式)。若密鑰份額在受信任執行環境中受保護，則此等四個份額中之二個足以重構私用密鑰，但此操作為不可能的，即使在二個參與者串通之情況下。授權交易的唯一可能方式為經由涉及四方中之三方的臨限簽署之產生。

密鑰產生涉及執行可驗證的聯合隨機秘密共用(JVRSS)協定以在每一方具有關於多項式之份額(x _i)之情況下經由指數內插程序形成共用多項式，及對應共用公用密鑰y。指數內插程序為至少自乘以橢圓曲線產生點之臨限數目個份額恢復乘以橢圓曲線產生點之共用秘密，亦即使用將用於自臨限數目個份額恢復共用秘密之類似技術(亦即，拉格朗日內插法)。藉由執行Pedersen協定確保秘密份額之無條件安全驗證[Pedersen 1991]。此過程說明於圖2中。一旦已經可驗證地執行密鑰產生，客戶(或交易)將資金支付給共用公用密鑰(y之對應比特幣位址)，其接著由交易(或客戶)確認。應注意，自w₀之x座標計算出參數r。

暫時密鑰共用

為了使得能夠對給定交易產生迅速且非交互式的簽署，建構簽署所必要的暫時密鑰(k)份額與秘密份額相乘可在簽署程序之前產生。此意謂一旦需要簽署，每一方僅需要計算其簽署份額(給定特定交易散列m)，其接著可經廣播及由任何人內插以產生完整簽署。

圖2展示依據聯合隨機秘密共用(JRSS)協定(共用未知的隨機值)及聯合零秘密共用(JZSS)協定(共用零與隨機份額-用於遮罩)之此「預簽署」程序。執行圖2中所示之操作以在任一方不知道完整暫時密鑰的情況下自暫時密鑰份額共同計算r之值。

此處所描述之共用密鑰產生及「預簽署」配置可同時並行地執行，從而明顯節約通信時延。

簽署產生

如圖3中所示，有效簽署(針對共用公用密鑰y)之產生需要3方之同意(簽署將自2次(t=2)簽署份額多項式上之3個點內插)。在正常操作中，將由客戶6、交易方8及TTP 10產生份額。完整簽署內插法(拉格朗日)可由任一方執行，但在本實施例中由將編譯最終交易且將其廣播至網路之交易方8(或客戶6)執行。圖3展示每一方計算簽署份額且接著對其進行廣播。此份額可為公用的-其不含有關於私用或暫時密鑰份額之資訊，或任何其他識別資訊，歸因於遮罩份額(為零)c _i。圖2中所示之用於分配密鑰及簽署份額之密鑰份額方案之更詳細解釋描述於附件1中。

客戶密鑰管理

除來自用於受到保護資金之無交易商共用密鑰之安全性益處之外，可藉由分裂客戶密鑰份額進一步增強客戶之安全性。此過程展示於圖4中。一旦自可驗證的聯合隨機秘密共用(JVRSS)協定確立，客戶密鑰份額(x ₁)自身可分裂成二個或三個子份額。根據國際專利申請案WO 2017/145010中描述之協定執行分裂。一旦密鑰份額已經分裂，安全地將其刪除。接著將子密鑰份額發送至不同裝置以使得能夠進行二因數驗證(two-factor authentication，2FA)以便授權交易簽署。可藉由儲存客戶子密鑰份額中之一者之交易方實現進一步安全性增強-因此客戶(經由2FA)及交易方需要同意提供客戶部分簽署。

在惡意/無回應方狀況下之解決方案

無回應客戶

參考圖5，在此狀況下，交易8必須涉及代管方12以便針對T建構臨限簽署。該情形與針對BitGo將出現之情形相同。用於說服代管方12參與之程序可相對緩慢且涉及多個檢查(例如，以防止交易8之安全性已經受損之可能性)。對於額外安全性，代管方12可經組配以(最初)僅提供對交易之部分簽署，該交易將資金移動至特殊「持有帳戶」(恢復位址：rec)，亦受到臨限簽署保護，其中代管方必須保持一段時間。僅臨限方案之各方可已知此帳戶之重要性。舉例而言，若客戶錯誤地被視為無回應，則此預防措施將給客戶6時間以介入。

惡意客戶

亦參考圖5，惡意客戶6用以防止藉由提供無效的簽署份額(亦即，s ₁)產生有效臨限簽署(及因此移轉資金)。當組合3個簽署份額以形成完整簽署時，緊接將顯而易見，該簽署不正確(藉由用共用公用密鑰進行之不合格驗證)。在此狀況下，初始步驟為識別三個簽署份額中之哪一者(s ₁、s ₂或s ₃)為無效的。此可反覆地進行：交易方8、TTP 10及代管方12可嘗試將交易簽至恢復位址，且若此失敗，則可自客戶6、TTP 10及代管方12產生簽署份額(亦即，交易方8份額為惡意的)。替代地，可採用簽署份額驗證方案。

本發明實現比特幣交易採用之安全電子錢包服務系統，其採用「2/3」多重簽署技術，以實際上藉由基於採用多項式秘密共用之臨限簽署的方案進行替代(及改良)。本發明亦與經由支付通道之貿易相容，由於其允許在高頻下進行簽署(相比於例如S.Goldfeder、R.Gennaro、H.Kalodner、J.Bonneau、J.A.Kroll、E.W.Felten及A.Narayanan之經由新DSA/ECDSA臨限簽署方案之安全比特幣電子錢包(2015)及R.Gennaro等人之最佳臨限DSA/ECDSA簽署及針對比特幣電子錢包安全性之應用(2016)，關於所應用密碼術及網路安全之國際會議ACNS 2016：所應用密碼術及網路安全第156至174頁)。

本發明亦可在可能存在的無回應交易之情況下保持穩定。由於TTP看得到每個提交交易(且提供對每個提交交易之部分簽署)，因此TTP始終知道當前通道狀態；此意謂TTP可在交易方無回應之情況下與代管方及客戶合作以提供有序的軟解析序列，從而避免上文所描述之「故障模式」。

本發明亦藉由將第一提交交易嵌入於鏈上交易中更換第一提交交易而避免對隔離見證之需求。代管方監測此等交易之區塊鏈，且與適合的各方合作以在超時之前未觀察到相關交易之情況下提供退款。

應注意，各方(及因此系統整體)中之任一者之可用性及安全性可藉由在(私人)「會議」之成員之間進一步共用其私用密鑰及/或臨限私用密鑰中之份額而增強。例如，若在區塊鏈上未觀察到所需的ECT，則代管方可發起退款。在此狀況下，可在屬於大會之成員之TEE內部檢查區塊之難度，並且當且僅當為通道提供資金之後在某一數目個區塊內未觀察到提交交易時才可使虛鏈具現化以建構對退款交易之(部分)簽署。

應注意，上文所提及之實施例說明而非限制本發明，且熟習此項技術者將能夠設計許多替代實施例而不背離本發明之如由所附申請專利範圍定義的範疇。在申請專利範圍中，置放於圓括號中之任何參考符號不應被認為限制申請專利範圍。字組「包含」及類似者並不排除除任何請求項或說明書中整體列出之彼等元件或步驟外的元件或步驟之存在。在本說明書中，「包含」意謂「包括或由……組成」。元件之單數參考並不排除此等元件之複數參考，且反之亦然。本發明可藉助於包含若干相異元件之硬體且藉助於經合適程式化之電腦實施。在枚舉若干構件之裝置請求項中，此等構件中之若干者可由硬體之同一物件體現。某些措施敘述於相互不同的附屬項中的純粹事實並不指示此等措施不能有利地組合使用。

附件1-密鑰份額及簽署份額產生之詳細描述

演算法1-密鑰產生

域參數(曲線、基數n、母點G)

輸入：NA

輸出：公用密鑰Q _A

私用密鑰份額d _A(1),d _A(2),..., d _A(j)

對於來自(j)個參與者之臨界值k個切片，建構與參與者(i)及指定為參與者(h)之(j-1)個參與者相關聯的所建構密鑰片段d _A(i)，該等(j-1)個參與者係參與者(i)與之交換秘密以對密鑰(及因此對比特幣交易)進行簽署的其他方。

‧在該方案中，j係參與者之總數，其中k

j且因此 h=j-1

‧因此，存在(k,j)-臨界值共用方案。

演算法1之方法如下：

1)(j)中之各參與者p _(i)(其中1

i

j)與所有其他參與者交換ECC公用密鑰。此位址係群組識別位址且不需要用於任何其他目的。

2)各參與者p _(i)以對所有其他方秘密之方式選擇具有隨機係數之次數為(k-1)的多項式f _i(x)。

此函數受限於呈參與者之秘密

之形式的選定為多項式自由項的第一秘密值。此值不共用。

f _i(h)定義為函數之結果，f _(x)在點(x=h)處由參與者p _(i)選擇值，且用於參與者p _(i)之基礎方程經定義為如下函數：

在此方程中，a ₀為各參與者p _(i)之秘密且並不共用。

因此，各參與者p _(i)具有秘密地保持之函數f _i(x)，其表達為具有定義為參與者之秘密之自由項

的(k-1)次多項式，使得：

3)各參與者p _(i)使用如上文所示之P _(h)之公用密鑰加密至參與者P _(h)之第一份額f _i(h)且交換P _(h)之值以進行解密。各參與者P_i例如藉助於國際專利申請案WO 2017/145010中所揭示之方法與各其他參與者P_j設置各別的安全加密通信通道。

4)各參與者P _(i)將以下值廣播至所有參與者。

a)

b)f _i(h)G

5)各參與者P _(h≠i)驗證所接收份額與自各其他參與者接收之彼等份額的一致性。

亦即：Σh^K a_K ⁽ⁱ⁾G=f_i(h)G

且f _i(h)G與參與者之份額一致。

6)各參與者P _(h≠i)驗證由彼參與者(P _(h≠i))所擁有且被接收之份額與其他所接收份額一致：

實際上，此步驟由對份額f_i(h)之橢圓曲線加密版本(亦即，f_i(h)G)進行操作組成，若對f_i(h)之未加密版本進行該操作，則將恢復秘密值a₀ ⁽ⁱ⁾，從而恢復G a₀ ⁽ⁱ⁾。因此，在Shamir秘密共用方案之狀況下，係數b_h表示自秘密之對應份額恢復秘密所必要的拉格朗日內插係數。

若此不一致，則參與者拒絕協定且重新開始。此外，因為各參與者P_j藉助於其自身的加密通信通道與參與者P_i通信，因此有可能識別哪一參與者Pj與任何不一致份額相關聯。

7)參與者p _(i)現將其份額d _A(i)計算為：

其中

係自各參與者P _(h≠i)接收之各別第二秘密值a₀中的第二份額

且其中：SHARE(p _(i))

Z_n及d _A(j)

其中：Q _A=Exp-Interpolate(f ₁,L,f _j)>[=G×d _A]

且其中運算Exp-Interpolate()定義為自橢圓曲線加密份額恢復橢圓曲線加密秘密之運算。

返回 (d _A(i),Q _A)

參與者p _(i)現將該份額用於計算簽署。此角色可由任何參與者或由在收集簽署之過程中充當協調者的一方p _(c)擔當。該參與者p _(c)可改變且在每次嘗試收集足夠份額以對交易進行簽署時不需要為同一方。

因此，已形成私用密鑰份額d _A(i)←

，而不知曉其他參與者之份額。

演算法2-更新私用密鑰

輸入：參與者P _i之私用密鑰d _A之份額，表示為d _A(i).

輸出：參與者P _i之新私用密鑰份額d _A(i).

演算法2可用以既更新私用密鑰又將隨機性添加至協定中。

1)各參與者選擇次數為(k-1)之隨機多項式，該多項式將零作為其自由項。此類似於演算法1，但參與者必須驗證所有其他參與者之選定秘密係零。

產生零份額：z _i←

2)d _A(i) '=d _A(i)+z _i

3)返回： d _A(i) '

此演算法之結果係與原始私用密鑰相關聯之新密鑰份額。此演算法之變化使得能夠增加第一演算法之隨機性或參與重新共用練習，其產生新密鑰切片而不需要改變可能的比特幣位址。以此方式，本發明允許群組附加地遮罩私用密鑰份額而不更改基礎的私用密鑰。此過程可用以最小化與個別密鑰份額之持續使用及部署相關聯的任何潛在密鑰洩漏而不改變基礎的比特幣位址及私用密鑰。

演算法3-簽署產生

域參數：曲線、基數n、母點G

輸入：待簽署訊息e=H(m)

私用密鑰份額d_A(i)

輸出：簽署

(r,s)

，對於e=H(m)

A)分配密鑰產生

1)使用演算法1產生暫時密鑰份額：D _k(i) ←

2)使用演算法1產生遮罩份額：α _i ← Z_n

3)藉由演算法2產生遮罩份額：b _i,c _i ←

份額b及c接著由參與者保持秘密。

B)簽署產生

4)e=H(m)驗證訊息m之散列

5)廣播

且ω _i=G×α _i

6)

>[=D _k α mod n]

其中運算μ=Interpolate(υ ₁,L,υ _j)mod n經定義為自份額恢復秘密之運算。

7)θ=Exp-Interpolate(ω ₁,...,ω _n)>[=G×α]

8)計算(R _x,R _y)，其中r _x,y=(R _x,R _y)=θ×μ ^-1>[=G×

]]

9)r=r _x=R _x mod n

若r=0，則重新開始(亦即，自初始分配重新開始)

10)廣播S _i=D _k(i)(e+D _A(i) r)+C _i mod n

11)S=Interpolate(s _i,...,s _n)mod n

若s=0，則自開始(A.1)重新進行演算法3。

12)返回(r,s)

13)在比特幣中，藉由(r,s)對重構交易以形成標準交易。

參考文獻

[Lightning 2016] J Poon; T Dryja; The Bitcoin Lightning Network: Scalable Off-Chain Instant Payments (2016).

[Gennaro 1996] R. Gennaro, S. Jarecki, H. Krawczyk, and T. Rabin. Robust threshold DSS signatures. In International Conference on the Theory and Applications of Cryptographic Techniques, 354-371 (1996).

[Goldfeder 2015] S. Goldfeder, R. Gennaro, H. Kalodner, J. Bonneau, J. A. Kroll, E. W. Felten, and A. Narayanan. Securing Bitcoin wallets via a new DSA/ECDSA threshold signature scheme (2015).

[Gennaro 2016] R. Gennaro et al.. Threshold-optimal DSA/ECDSA signatures and an application to Bitcoin wallet security (2016). International Conference on Applied Cryptography and Network Security. ACNS 2016: Applied Cryptography and Network Security pp 156-174.

[Boneh 2016] Boneh, Dan, Rosario Gennaro, and Steven Goldfeder. "Using Level-1 Homomorphic Encryption To Improve Threshold DSA Signatures For Bitcoin Wallet Security."

[Wright 2016] Wright, C. & Savanah, S. (2016) “Determining a common secret for two Blockchain nodes for the secure exchange of information” "International Patent Application Number: WO 2017/145010". 2016

[Bogos 2016] Bogos, Sonia, John Gaspoz, and Serge Vaudenay. "Cryptanalysis of a homomorphic encryption scheme." ArcticCrypt 2016. No. EPFL-CONF-220692. 2016.

[Yupu 2012] Hu, Yupu, and Fenghe Wang. "An Attack on a Fully Homomorphic Encryption Scheme." IACR Cryptology ePrint Archive 2012 (2012): 561.