由于其强大的安全性和强大的身份验证功能，我们提倡使用多重签名钱包已有六年多了。然而，我们一直在评估新加密技术的进展。最近几个月，一种叫做多方计算的新技术被频繁引用。多方计算为沙米尔的秘密共享(SSS)提供了一个强大的替代方案。一些钱包供应商认为多方计算可能比多重签名技术更安全、更容易使用。在本文中，我们将描述多方计算以及它与多重签名钱包安全性的区别。我们相信多方计算与多重签名技术相结合可以提供实用性，但我们认为目前它并不是多重签名技术的明智选择。

多方计算的背景 多方计算是一种相对较新的加密方法，它可以将私钥分成几个部分。人们经常把它与一种叫做Chamil的秘密共享技术相比较，这种技术从20世纪70年代末开始就被用来将一个私钥分成多个部分。这两种技术之间的关键概念是密钥对的私有部分可以分为N个部分。因此，为了使用私钥创建签名，需要将这些部分中的M个放在一起。这种类型的技术被称为多对多(M-of-N)，其中N个总部件中的M个保护底层数据。 像多重签名技术一样，Chamil秘密共享和多方计算可以帮助减轻两个关键风险: 偷窃 如果少于m个部分被窃取或黑客攻击，对手就不可能生成有效的签名。 失败 在大多数情况下(m小于n)，一些意外损失可以由备件弥补。 与Chamil中的秘密共享相比，多方计算具有重要优势。对于Chamil中的秘密共享，密钥的独立部分需要在一台机器上重新组装，然后才能用于签名。这将在重新组装密钥的机器上造成单点故障。相反，多方计算不需要在一台机器上重新组装零件。相反，每个部分都可以在单独的机器上用于数学函数，签名只有在m个部分应用于数学函数后才有效。这允许每个部件保持完全分离，并避免单点故障。 在查米尔，秘密共享和多方计算的一个有趣的好处是它们可以在区块链不知情的情况下使用。这对一些尚未提供本地多重签名功能的区块链(如门罗硬币)来说意义重大，因为多方计算签名可以在外部应用。 与多个签名的比较 从功能角度来看，对每个签名钱包使用多对多密钥的多签名钱包类似于基于多方计算的钱包，其使用单个签名钱包的多对多部分作为密钥。不同之处在于，多签名钱包将使用不同私钥生成的唯一签名来保护钱包，而多方计算仅用于创建单个签名，而不考虑所涉及的私钥部分的数量。 签名责任 基于多方计算的钱包引入了多重签名钱包中不存在的一个主要问题:问责制。对于多重签名钱包，我们总是清楚地使用哪些私钥来签署交易。这一点很重要，因为我们通常会将私钥分配给特定的个人，知道谁参与了签名交易也很重要。但是，使用基于多方计算的签名，我们无法区分哪个关键部分用于签署事务。多方计算完成后，所有签名看起来都一样。 问责制听起来并不像是一个巨大的缺点，但它在货币体系中至关重要，尤其是考虑到钥匙各部分通常使用的人员和存储类型的差异: *人员 密钥可能存储在不同的人身上。如果密钥存储在公司的高级管理人员(首席执行官、首席财务官、首席安全官等)中。)而他们中的两个人合谋偷了它，调查人员怎么会知道罪犯是谁？当被问及谁签署了这笔交易时，无辜的高管将如何为自己辩护？ 地理 密钥可以存储在几个不同的位置。如果需要存储在五个位置的三个私钥，证据收集的一个关键部分是知道哪些位置参与了交易。 多机构 安全关键材料可以储存在几个独立的公司。如今，一种常见的做法是为独立公司的独立方提供备份密钥。当备用钥匙能够被清楚地识别时，就像多重签名证券一样，基金所有人不会被备用持有人窃取。但是，如果多方计算取消责任，备份持有人将不愿意持有备份密钥，因为无法区分备份密钥持有人是否参与欺诈交易。 同行审查 今天，许多多方计算实现者正在使用专有的实现和方法，而公共审查有限或没有。正如施奈尔在《论安全》(https://www.schneier.com/blog/archives/2011/04/schneier定律)中所说，“任何人，从最笨拙的业余爱好者到最好的密码学家，都可以创造出一种他无法破解的算法。”不幸的是，许多加密算法从未被数学证明是有效的——。相反，在接受算法可信和安全之前，密码学家依赖于同行评审和足够的评审时间(以年或十年为单位)。由于椭圆曲线数字签名算法(ECDSA)多方计算太新，供应商不愿分享他们的算法、源代码和实现细节。当前的实施已经提交了许多专利申请，这可能进一步限制这些工具的使用。缺乏透明度以及试图限制对这些算法的访问，使得我们无法验证它们的正确性或安全性，也无法预测可能的许可成本。 相比之下，多重签名技术已经在实践中得到测试。它采用众所周知的严格检查的算法，并有多种实现方式。基于多个签名的钱包不承担额外的加密风险；他们使用简单的加密算法，这些算法经过了实践中最严格的检验和理解。 缺乏硬件安全模块(HSM)支持 同样，基于多方计算的签名问题在于缺乏工业级硬件安全模块来支持这一技术。尽管几十年来金融机构一直使用硬件安全模块来保护私钥，但当前的硬件安全模块不支持全新的多方计算加密。安全专家早就认识到，只有通过硬件安全模块专门存储和访问密钥，才能维护基本安全，多方计算也不例外。钥匙或钥匙的一部分必须安全存放。如果多方计算实现者不为他们的技术构建定制的硬件安全模块，我们可以说它的安全性低于单个关键系统的安全性。 对冷藏和硬件安全模块要求的影响 一些多方计算的支持者认为多方计算消除了对“冷藏”的需求，但事实并非如此。 “冷藏”仅指私钥离线存储的任何钱包。类似地，“热存储”是指在线存储私钥的钱包。无论是否使用一个或三个私钥，保护私钥的要求都是完全相同的。 事实是黑客继续困扰着整个行业。Facebook被黑客攻击了。谷歌被黑客攻击了。美国政府遭到黑客入侵。如果多方计算私钥部分存储在网上，它们就像在线存储的任何其他数据一样容易受到黑客和盗窃的攻击。 结论 总而言之，当今数字钱包最强大的安全性仍然是多重签名钱包。通过将一个或多个私钥分成多个部分，多方计算可以用来增强现有的多重签名方案。例如，如果三个人被用来保护一个2-3多重签名钱包，那么这三个用户中的每一个都可以使用多方计算来细分其私钥，并将其多方计算密钥部分存储在单独的机器上。然而，完全依赖没有多重签名保护的多方计算技术将降低安全保护，并显著消除交易时的责任。