UC-Secure Star DKG for Non-Exportable Key Shares with VSS-Free Enforcement

Die Arbeit stellt SDKG vor, ein UC-sicheres Distributed-Key-Generation-Verfahren für nicht-exportierbare Schlüsselshares in Hardware-Umgebungen, das mittels Unique Structure Verification und Fischlin-basierter NIZK-Argumente im gRO-CRP-Modell eine VSS-freie, affine Konsistenz für eine 1+1-out-of-n-Stern-Struktur in Multi-Device-Wallets gewährleistet.

Das Wesentliche

Titel: Der unsichtbare Schlüssel – Wie man eine digitale Schatzkiste sicher teilt, ohne den Schlüssel jemals herauszugeben

Stellen Sie sich vor, Sie haben einen riesigen, unschätzbaren Schatz (Ihr Krypto-Wallet). Um ihn zu öffnen, benötigen Sie einen Schlüssel. Aber dieser Schlüssel ist so gefährlich, dass Sie ihn niemals aus dem Tresorraum nehmen dürfen. Wenn Sie ihn auch nur für eine Sekunde herausnehmen, könnte ein Dieb ihn kopieren und Ihren Schatz stehlen.

Das ist das Problem, das dieses Papier löst: Wie können mehrere Parteien (z. B. Ihr Handy, ein Backup-Gerät und ein Sicherheitsdienst) gemeinsam einen Schlüssel erstellen, ohne dass einer von ihnen den eigentlichen Schlüsselteil jemals sieht oder herausgibt?

Hier ist die Geschichte, einfach erklärt:

1. Das Problem: Der "Export-Verbot"-Tresor

Normalerweise teilen sich Leute einen Schlüssel auf, indem sie Teile davon hin- und herschicken (wie Puzzleteile). Aber in der modernen Welt nutzen wir spezielle Hardware-Tresore (wie sichere Chips in Handys oder Servern), die so programmiert sind: "Der Schlüssel bleibt drin. Du darfst ihn nicht herausnehmen, nicht einmal in einer verschlüsselten Form."

Das ist wie ein Tresor, der sagt: "Du darfst nur drinnen arbeiten. Wenn du etwas herausbringst, ist es leer oder unbrauchbar."
Das macht es für die Kriminellen (oder Hacker) unmöglich, den Schlüssel zu stehlen, aber es macht es auch extrem schwer, die Teile zu überprüfen. Wie können die anderen Parteien wissen, dass der Tresor-Inhaber wirklich einen korrekten Puzzleteil hat, wenn sie ihn nicht sehen dürfen?

2. Die alte Lösung (die hier nicht funktioniert)

Früher hat man gesagt: "Schick mir deinen Puzzleteil, ich prüfe ihn, und dann bauen wir den Schlüssel."
Aber in unserem Szenario mit dem "Export-Verbot" ist das unmöglich. Der Tresor sagt: "Nein, ich gebe dir nichts."
Wenn man versucht, den Teil zu verschlüsseln und zu senden, kann der Empfänger den Schlüssel nicht prüfen, ohne ihn zu entschlüsseln – und das würde das "Export-Verbot" brechen.

3. Die neue Erfindung: Der "Unsichtbare Stempel" (USV)

Der Autor, Vipin Singh Sehrawat, hat eine clevere Lösung namens USV (Unique Structure Verification) erfunden.

Stellen Sie sich vor, der Tresor-Inhaber hat einen Stempel. Er kann den Stempel nicht zeigen (weil er den Schlüssel nicht herausgibt), aber er kann einen Zettel mit einem speziellen Stempelabdruck herausgeben.

• Das Geniale: Jeder kann diesen Stempelabdruck auf dem Zettel sehen und prüfen: "Ja, das sieht aus wie ein echter Abdruck von diesem spezifischen Tresor."
• Der Trick: Der Zettel enthält genug Informationen, um zu beweisen, dass der Tresor-Inhaber einen korrekten Teil des Puzzles hat, ohne dass der eigentliche Puzzleteil (der Schlüssel) jemals den Tresor verlässt.

Es ist, als würde jemand in einem geschlossenen Raum eine Zahl raten. Er schreit nicht die Zahl heraus, sondern malt ein Bild, das nur dann passt, wenn er die richtige Zahl im Kopf hat. Alle draußen können das Bild sehen und sagen: "Perfekt, er hat die richtige Zahl!" Aber niemand weiß, was die Zahl ist.

4. Der "Stern" (Star DKG)

Die Lösung ist speziell für eine "Stern-Struktur" gebaut.

• Der Mittelpunkt (P1): Ein zentraler Dienst (z. B. ein Sicherheitsunternehmen oder eine Bank), der immer dabei sein muss, um zu unterschreiben. Aber er kann niemals allein unterschreiben.
• Die Spitzen (P2, P3...): Ihre Geräte (Handy, Laptop, Backup).

Um den Schatz zu öffnen, braucht man immer den Mittelpunkt UND mindestens eine Spitze.

• Mittelpunkt + Handy = OK.
• Mittelpunkt + Laptop = OK.
• Nur Mittelpunkt = Nicht OK (zu gefährlich).
• Nur Handy + Laptop = Nicht OK (der Dienst fehlt).

Das ist ideal für Firmen oder Leute, die eine "Notfall-Regelung" wollen: Wenn Sie Ihr Handy verlieren, kann der Dienst Ihnen helfen, aber nur zusammen mit einem neuen Gerät. Der Dienst kann Sie nicht einfach so ausrauben, und Sie können den Dienst nicht umgehen.

5. Wie alles zusammenpasst (Die Magie der Mathematik)

Das Papier beschreibt, wie diese Parteien in wenigen Runden (wie ein kurzes Gespräch) einen gemeinsamen Schlüssel erstellen:

1. Der Start: Das Handy (P2) geht in seinen Tresor, holt sich einen Teil des Schlüssels und druckt den "Unsichtbaren Stempel" (USV) aus.
2. Der Dienst (P1): Tut dasselbe.
3. Die Prüfung: Sie tauschen die Stempel aus. Jeder prüft die Stempel des anderen. Da die Stempel mathematisch perfekt verknüpft sind, wissen sie, dass der andere einen korrekten Teil hat, ohne den Teil selbst zu sehen.
4. Das Ergebnis: Sie haben einen gemeinsamen öffentlichen Schlüssel (den Schatzschloss-Code), aber die geheimen Teile liegen sicher in ihren jeweiligen Tresoren. Niemand hat sie je gesehen oder übertragen.

6. Warum ist das wichtig?

• Sicherheit: Selbst wenn Ihr Computer gehackt wird, kann der Hacker den Schlüssel nicht stehlen, weil er im Tresor (dem sicheren Chip) bleibt.
• Flexibilität: Sie können später neue Geräte hinzufügen (z. B. ein neues Handy), ohne den alten Schlüssel neu zu erstellen. Das neue Gerät wird einfach als "zweiter Arm" des gleichen Geheimnisses registriert.
• Vertrauen: Es gibt keine "vertrauenswürdige dritte Partei", die den Schlüssel kennt. Alles läuft automatisch und mathematisch gesichert ab.

Zusammenfassung in einem Satz

Dieses Papier zeigt, wie man einen digitalen Schlüssel sicher aufteilt und nutzt, indem man die geheimen Teile in unschlagbaren Tresoren hält und nur mathematische "Stempel" austauscht, um zu beweisen, dass alles korrekt ist – ohne dass der Schlüssel jemals den Tresor verlässt.

Es ist wie ein Tanz, bei dem die Tänzer sich niemals berühren, aber perfekt synchronisiert sind, weil sie sich nur über unsichtbare Signale verständigen.

Technische Zusammenfassung

1. Problemstellung und Motivation

Das Paper adressiert die Herausforderung, Distributed Key Generation (DKG) – also die gemeinsame Erzeugung eines öffentlichen Schlüssels bei verteilter Geheimhaltung des privaten Schlüssels – in Umgebungen zu realisieren, die Non-Exportable Keys (NXK) erfordern.

• Der NXK-Kontext: In modernen MPC-Wallets (Multi-Party Computation) und sicherheitskritischen Anwendungen werden Schlüssel oft in hardware-geschützten Modulen wie Secure Enclaves (TEEs) oder HSMs (Hardware Security Modules) gespeichert. Diese Module sind so konfiguriert, dass sie die langfristigen privaten Schlüsselanteile (Shares) niemals ausgeben dürfen (nicht exportierbar), einschließlich keiner affinen Transformationen, die der Aufrufer entschlüsseln könnte.
• Das klassische DKG-Problem: Herkömmliche UC-sichere (Universally Composable) DKG-Protokolle basieren auf einer Schicht zur Verifiable-Sharing Enforcement (VSE). Diese nutzt typischerweise Verifiable Secret Sharing (VSS), Commitments und Beschwerde-/Öffnungsmechanismen (Complaints/Opening), um sicherzustellen, dass alle Parteien konsistente Anteile erhalten.
• Der Konflikt:
  1. Export-Verbot: VSS erfordert, dass Anteile oder davon abgeleitete Werte (Witnesses) außerhalb des sicheren Moduls berechnet und übertragen werden. Dies widerspricht dem NXK-Prinzip.
  2. Kein Rewinding: Die Sicherheitsbeweise für viele Zero-Knowledge-Beweise (z. B. Schnorr/Fiat-Shamir) basieren auf dem „Forking-Lemma", das erfordert, dass ein Beweiser zurückgesetzt (rewound) wird, um denselben Commitment mit zwei verschiedenen Herausforderungen zu beantworten. In einem state-continuous (zustandskontinuierlichen) Hardware-Modul ist ein Zurücksetzen jedoch unmöglich oder würde zu einem Sicherheitsbruch führen (da der Schlüssel sonst extrahiert werden könnte).
  3. Star-Topologie: Viele Anwendungen (z. B. regulierte Kustoden oder Recovery-Wallets) benötigen eine Star-Access-Struktur: Ein zentraler Dienst ($P_1$) muss bei jeder Transaktion mitwirken, darf aber niemals allein signieren. Er muss mit einem beliebigen anderen Gerät ($P_i$) zusammenarbeiten (1+1-out-of-n). Herkömmliche Schwellenwert-DKGs (t-out-of-n) sind dafür oft ungeeignet oder ineffizient.

2. Methodik und Kernkonzepte

Das Paper löst das Problem durch eine Entkopplung von Vertraulichkeit (die an die NXK-Hardware delegiert wird) und Konsistenz (die durch neue kryptografische Primitive im Transkript erzwungen wird).

A. Unique Structure Verification (USV)

Da die privaten Anteile nicht exportiert werden können, um ihre Gültigkeit zu beweisen, führt das Paper USV ein.

• Funktion: USV ist ein nicht-interaktives, öffentlich verifizierbares Zertifikat.
• Mechanismus: Ein Knoten generiert innerhalb des KeyBox (Hardware) einen geheimen Skalar $m$. Statt $m$ oder $mG$ zu exportieren, berechnet das Modul ein Zertifikat $(C, \zeta)$.
• Eigenschaft: Jeder Verifizierer kann aus $(C, \zeta)$ deterministisch den öffentlichen Gruppenpunkt $M = mG$ ableiten, ohne $m$ zu kennen. Der Skalar $m$ bleibt im KeyBox verborgen und wird nie exportiert.
• Sicherheit: Das Zertifikat verhindert „Equivocation" (dass ein Angreifer zwei verschiedene Öffnungen für denselben Commitment erzeugt) und ermöglicht eine straight-line extraction (direkte Extraktion ohne Rewinding) des öffentlichen Punkts.

B. Straight-Line Extraction via Fischlin-Transform

Da Rewinding im Hardware-Modul verboten ist, müssen alle Zero-Knowledge-Argumente des Wissens (AoK) so konstruiert sein, dass ein Simulator die Beweise extrahieren kann, ohne den Beweiser zurückzusetzen.

• Lösung: Verwendung der Fischlin-Transformation im gRO-CRP-Modell (Global Random Oracle mit Context-Restricted Programmability).
• Vorteil: Diese Transformation erlaubt es, aus dem Transkript eines Beweises (durch Beobachtung der Oracle-Abfragen des Angreifers) den Witness in einem einzigen Durchlauf (straight-line) zu extrahieren. Dies ist essenziell für UC-Sicherheit in diesem Setting.
• LinOS (Linear One-Shot): Ein spezielles Interface für das KeyBox, das Determinismus bei Nonces sicherstellt (basierend auf einem statischen Seed), um zu verhindern, dass ein Angreifer durch ein Rollback des Hardware-Zustands denselben Commitment mit verschiedenen Challenges beantwortet (was sonst zur Schlüsselkompromittierung führen würde).

C. Star DKG (SDKG) Protokoll

Das eigentliche DKG-Protokoll für die 1+1-out-of-n Struktur:

• Akteure: Ein zentraler Dienst ($P_1$) und $n-1$ Clients (Leaves).
• Ablauf:
  1. Round 1 (Leaf): Das Leaf generiert einen USV-Zertifikat für seinen Anteil und sendet dies an $P_1$.
  2. Round 2 (Center): $P_1$ verifiziert das Zertifikat, generiert seinen eigenen Anteil und sendet affine Konsistenzbeweise (NIZK-AoKs) zurück.
  3. Round 3 (Leaf): Das Leaf verifiziert die Beweise, berechnet den finalen öffentlichen Schlüssel und sendet einen Abschlussbeweis.
• Konsistenz: Die affine Konsistenz wird durch NIZK-Beweise erzwungen, die zeigen, dass die öffentlichen Punkte linear mit den geheimen Anteilen verknüpft sind, ohne dass die Anteile selbst offengelegt werden.

D. Role-based Device Registration (RDR)

Das Protokoll unterstützt die Nachrüstung von Recovery-Geräten ohne erneutes DKG.

• Neue Geräte werden als redundante Front-Ends für eine bestehende Rolle (z. B. „Recovery") registriert.
• Die Registrierung erfolgt durch attestiertes KeyBox-to-KeyBox Sealing (Verschlüsselung von Share-Daten direkt von einem KeyBox zum anderen), ohne dass die Daten den vertrauenswürdigen Bereich verlassen oder im Klartext im Transkript erscheinen.

3. Wichtige Beiträge

1. Formalisierung des NXK/KeyBox-Modells: Definition eines idealen KeyBox-Funktionalitätsmodells, das Nicht-Exportierbarkeit, State Continuity (kein Forking/Rollback) und Key-Opacity (Simulierbarkeit der Ausgabe nur aus dem öffentlichen Schlüssel) garantiert.
2. Einführung von USV: Ein neues primitives Konzept, das die Lücke zwischen nicht-exportierbaren Schlüsseln und der Notwendigkeit öffentlicher Strukturüberprüfung schließt. Es ermöglicht die Ableitung öffentlicher Gruppenpunkte aus Commitments ohne Export des Geheimnisses.
3. VSS-freie Enforcement: Demonstration, dass die VSE-Schicht (Verifiable-Sharing Enforcement) in UC-DKGs ohne klassische VSS/Resharing-Mechanismen realisiert werden kann, indem man USV und straight-line-extractable NIZKs kombiniert.
4. SDKG-Protokoll: Konstruktion eines effizienten, UC-sicheren DKG für eine Star-Topologie, das speziell für MPC-Wallets mit einem obligatorischen Co-Signer (z. B. Enterprise-Service oder Recovery-Engine) geeignet ist.
5. Sicherheitsbeweise: Vollständige UC-Sicherheitsbeweise im gRO-CRP-Hybrid-Modell unter den Annahmen von Discrete Logarithm (DL) und Decisional Diffie-Hellman (DDH/DDLEQ), unter Berücksichtigung adaptiver Korruptionen und sicherer Löschung.

4. Ergebnisse und Komplexität

• Kommunikationskosten: Das Protokoll ist konstant-rundig. Für die Basisversion (1+1-out-of-3) beträgt die Transkriptgröße ca. 11–13 KiB (bei 128-Bit-Sicherheit).
• Skalierbarkeit: Für $n$ Geräte (1+1-out-of-n) skaliert die Kommunikation mit $\tilde{O}(n \log p)$ und die Rechenkosten mit $\tilde{O}(n \log^{2.585} p)$ (basierend auf dem Karatsuba-Algorithmus für Multiplikationen).
• Registrierung: Das Hinzufügen eines neuen Recovery-Geräts kostet nur $\tilde{O}(\log p)$ Kommunikation und $\tilde{O}(\log^{2.585} p)$ Rechenzeit, da kein vollständiges DKG neu gestartet werden muss.
• Vergleich: Im Gegensatz zu herkömmlichen VSS-basierten DKGs, die oft $\Theta(n^2)$ Kommunikation benötigen (All-to-All), ist SDKG deutlich effizienter für die Star-Topologie.

5. Bedeutung und Ausblick

Dieses Paper ist von großer Bedeutung für die Sicherheit von MPC-Wallets in der Blockchain- und Krypto-Industrie, insbesondere in regulierten Umgebungen:

• Hardware-Sicherheit: Es ermöglicht die Nutzung von hochsicheren Hardware-Modulen (TEEs/HSMs) für DKG, ohne deren Sicherheitsgarantien (Nicht-Exportierbarkeit) zu brechen.
• Regulatorische Compliance: Die Star-Struktur (obligatorischer Co-Signer) erfüllt Anforderungen von Custodians, die Transaktionen überwachen oder genehmigen müssen, ohne dass der Dienst allein über die Mittel verfügen kann.
• Theoretischer Fortschritt: Es zeigt, dass UC-Sicherheit auch in stark eingeschränkten Hardware-Modellen (ohne Rewinding) erreichbar ist, indem man die Beweismechanismen (Fischlin) und die Commitment-Strukturen (USV) neu anpasst.

Zusammenfassend bietet das Paper eine praktische und theoretisch fundierte Lösung für eines der schwierigsten Probleme im Bereich der verteilten Kryptografie: die Vereinbarkeit von starker Hardware-Isolation mit verifizierbarer Schlüsselgenerierung.