数字签名只能由一个主体签名吗？在涉及多方授权的场景中，如何实现多方联合签名？多方联合签名支持决策权重分配吗？除了支持多方授权功能，它背后的门限签名技术还有什么神奇之处？

在倡导价值循环和价值整合的数字经济中，多党合作随处可见。在此过程中签署的数字合同不可避免地会遇到这样的情况，即需要在多个参与者之间分配独立的决策权值，然后对于一个建议的决策目标，只有当一定数量的合作者同时被授权时，数字合同才会生效。

典型的例子是区块链基金会的基金账户管理。

该账户的资金由多个参与者共享，因此该账户的私钥一般不应由单个主体保存，以避免权利过度集中和资金任意操作的风险。另一方面，如果唯一的私钥丢失，资金可能会永久丢失，潜在的风险是巨大的。

如何让多个参与者公平有效地控制账户资金是一个非常现实的需求。

经典的数字签名技术不能直接用于解决上述问题，因为它只能由单一主体控制。因此，我们需要引入门限签名技术。门限签名如何实现公平有效的多方授权机制？可以支持哪些特定的应用场景？本文将进行专题分析。

1.门限签名的合作

在合作中实现有效的多方授权的关键在于“分权机制”，中国古代就有相应的机制。

“胡夫”是一个典型的证人。作为士兵派遣军队的标志，胡夫是老虎形状的象征，通常由青铜或黄金制成。制作完成后，它被分成两半，分别由将军和皇帝保管。只有当两个对应的胡夫字符被收集并无缝地合并成一个完整的胡夫形式时，操作员才有权派遣部队。

事实上，中文字符生效所需的最小数量对应于密码学中的术语——阈值，并且只有当授权的数量达到阈值时，授权才会生效。

门限签名是门限密码的一个重要分支(见理论13)。从构造的角度来看，门限签名可以看作是数字签名和秘密共享的结合。

对于(t，n)门限签名算法，其典型使用过程如下：

在由n个参与者组成的群中，群中的每个参与者通过一定的方法获得相应的签名私钥片段，群中至少有t个参与者用他们自己的签名私钥片段对相同的数据进行签名，生成签名片段，然后将所有参与者的签名片段进行合并，生成最终的有效签名。其中t是阈值，当签名者的数量小于t时，不能生成有效的签名。

门限签名已经在许多分布式协作场景中得到应用。以下两个典型场景显示了它的效果。

区块链基金会基金账户管理

鉴于其账户资金权需要多方共同授权的需求，门限签名可以用来解决业务难点：

管理基金账户的n个参与者可以各自拥有一个私钥片，并可以进行独立的决策过程。

资金使用账户必须得到至少t个参与者的授权才能签名，以便生成有效的门限签名。

少于t名参与者签名并授权，基金账户不能使用。

此外，阈值签名还提供以下附加功能：

身份隐藏：第三方无法从汇总的阈值签名中恢复授权签名人的个人身份。

灾难恢复：最多允许n-t方的私钥丢失，不影响资金账户的使用。

机构间投票决议

根据大多数独立决策者同意通过决议的要求，门限签名可以很容易地达到这一规则效果。

假设超过50%的选票被批准，阈值可以设置为t n/2。因此，只有当某个决议项目收集了至少t个决策者的签名时，才能为该决议项目生成有效签名，然后才能通过该决议。

与此同时，就像区块链基金会的基金账户中显示的所有身份隐藏功能一样，所有决策者的身份都受到匿名保护，他们可以独立做出符合自己意愿的决定，并且安心。

阈值签名也可以很容易地支持不同决策者不同权重的投票过程。

简单的设计是将不同数量的私钥根据权重分配给相应的决策者，这样每个决策者可以产生不同数量的签名片段，这反映了分布式协作中的权重分配。在高阶设计中可以采用加权门限签名方案，即所有参与者都是一个私钥，但生成的签名有其自身的权重。

由此可见，门限签名可以为多方合作中涉及的联合决策、权重分配、身份保护和灾难恢复等核心需求提供良好的支持。

2.门限签名使用中的注意事项

门限签名的构造和使用相对简单，但也有其特殊的注意事项。

基本算法的选择

构造门限签名的方法有很多，算法也有很多变体，在选择门限签名时会带来一些混乱。

首先，我们需要区分一种类似于门限签名的签名技术，即多重签名技术。其实现机制是让多个参与者执行多个签名操作，最终生成多个签名，但这些签名不能合并，需要根据每个参与者的签名公钥依次进行验证。

下图显示了多重签名和阈值签名之间的具体区别：

多重签名在公钥和私钥对的初始化方便性指标上具有优势，但门限签名通常是更好的选择。

目前常用的门限签名算法有基于RSA的Shoup门限签名方案、基于Elgamal的Harn门限签名方案、基于ECDSA的门限签名方案和基于BLS的门限签名方案。

考虑到综合性能，推荐使用基于ECDSA的门限签名方案和基于BLS的门限签名方案。目前，它们的签名效率可以达到毫秒级。

是否引入可信任的第三方

回到公钥和私钥对的初始化索引，门限签名需要一个协商过程来完成初始化。如何安全初始化并让每个参与者获得自己的私钥片是保证门限签名有效性的关键。

根据在初始化过程中是否需要引入可信第三方，门限签名可以分为以下两类：

集中式门限签名：可信第三方生成所有签名者的私钥片段，然后分发私钥片段，最后每个签名者用私钥片段签名。在生成私钥片段的过程中，签名者之间不需要进行数据交互。

分布式门限签名：不需要引入可信的第三方，签名者可以通过交互协商相关参数来完成其私钥片段的生成过程。在获得私钥片段后，签名者使用它进行签名。

上述两种门限签名方法的区别在于集中式门限签名的签名者之间很少或没有数据交互，这大大降低了通信开销，但所有签名者都需要信任第三方。分布式门限签名不需要可信的第三方，但需要签名者之间的数据交互，这增加了通信开销。

在特定的业务场景中，如果有可信的第三方，集中式门限签名方案是更好的选择，可以提高系统效率。如果没有这样的角色，可以选择分布式门限签名。

3.门限签名应用的评价

随着经济数字化改革的深入，在以区块链为代表的分布式协作技术的推动下，过去难以实现的分布式业务场景成为可能，门限签名得到了广泛应用。

基于门限签名的典型应用场景包括分布式资产托管、一致性区块链预测器、分布式公钥证书服务等。如果我们使用门限签名作为关键字搜索，我们可以找到许多不同类型的融合方案

如理论15所述，公钥基础设施作为验证数字签名有效性的三种基本通用技术之一，解决了公钥密码中公钥有效性认证的核心问题。

一般来说，公钥基础设施由权威机构运行，为实体身份和公钥提供认证服务，并在通过认证后颁发相应的数字证书。数字证书可以证明身份的真实性以及身份和公钥之间的相关性。

传统公钥基础设施的缺点主要体现在传统公钥基础设施证书颁发机构在颁发和管理证书的过程中可能存在单一漏洞，即单个证书颁发机构的私钥被泄露或窃取，导致巨大的声誉和经济损失。

例如，黑客从集中的证书颁发机构获得签名证书，窃取私钥，然后对恶意软件进行签名，生成看似安全的签名认证软件，但这实际上是一个恶意软件，很容易导致网络安全事故。

保证数字证书的有效性是公钥基础设施系统的信任基础，它影响整个系统的可靠性。为了提高系统的可靠性，可以基于门限签名构造分布式公钥证书服务DPKI。

在证书颁发过程中，使用了门限签名算法，使得一个有效的数字证书只有从不小于门限数的数字证书中获取签名片段才能生效。同时，证书验证过程只需要使用单一的合并公钥，因此不会影响原始的证书验证过程。

DPKI实现了一个分布式公钥证书管理系统，它需要多方授权才能颁发数字证书，不再依赖于单个实体保护私钥的能力。当黑客获得的签名私钥数量少于阈值时，他们不能自己签发有效的数字证书，也不能进行网络破坏和攻击。

门限签名使传统公钥基础设施的单一信任点成为分布式公钥基础设施的信任网络，可以有效提高公钥基础设施的健壮性，使公钥基础设施颁发的数字证书更加安全可信。

确切地说：平等和分散的合同必须联合签署，但如果门槛签名不一致，他们将无法达到！

在多方合作、互惠互利的分布式商业环境中，如何有效地支持参与者之间的权利分配和独立决策是一个至关重要的商业需求。门限签名是满足这些协作需求的关键技术，它控制了权利过度集中带来的系统性风险，鼓励更多的实体参与合作，并在数字契约框架下建立公平平等的伙伴关系，有效保护所有参与者的合法权益。

门限签名也为参与者的身份提供匿名保护，但它不为要签名的数据提供直接保护。签名者仍然可以看到待签名数据的明文，这在某些特定的业务场景中是不可接受的。为什么这些业务场景有这样的隐私保护需求？如何在技术上满足这一需求？详情请注意以下细目。