UC-Secure Star DKG for Non-Exportable Key Shares with VSS-Free Enforcement

El artículo presenta Star DKG (SDKG), un esquema de generación distribuida de claves UC-seguro diseñado para entornos de claves no exportables en módulos de hardware, que logra consistencia afín y extracción en línea mediante la combinación de certificados de verificación de estructura única y pruebas de conocimiento cero no interactivas, permitiendo así la creación de carteras umbral multi-dispositivo con una estructura de acceso en estrella.

Lo esencial

¡Hola! Imagina que quieres crear una caja fuerte digital para guardar tus criptomonedas, pero con una regla muy estricta: la llave maestra nunca puede salir de la caja.

Normalmente, para crear una caja fuerte entre varias personas (un banco, tu teléfono y tu computadora), todos tendrían que mostrarse partes de la llave entre sí para verificar que nadie está mintiendo. Pero si usas un chip de seguridad moderno (como los que tienen los iPhones o los servidores bancarios), esa llave no puede salir del chip. Es como si la llave estuviera encerrada en una caja de cristal blindada; puedes usarla para abrir cosas, pero nunca puedes sacarla ni verla.

El problema es: ¿Cómo verificamos que todos están jugando limpio si no podemos sacar las llaves para compararlas?

Este paper presenta una solución genial llamada SDKG (Distribución de Claves en Estrella). Aquí te lo explico con una analogía sencilla:

1. El Problema: La "Llave Fantasma"

Imagina que eres un Banco (P1) y tienes dos clientes: Juan (P2) y Ana (P3).

• La regla es: Para mover dinero, el Banco siempre debe estar presente, y además, o bien Juan o bien Ana deben estar presentes.
• Nadie puede mover el dinero solo (ni el Banco solo, ni Juan solo).
• Todos tienen una "lápiz mágico" dentro de una caja blindada (el chip de seguridad) que les permite firmar, pero no pueden sacar el lápiz ni mostrarlo.

En el pasado, para crear esta caja segura, los participantes se enviaban "trozos de papel" (partes de la llave) entre ellos para verificar que la suma de todos los trozos daba la llave correcta. Pero aquí, el papel no puede salir de la caja blindada. Si intentas sacar el papel, el chip se niega.

2. La Solución: El "Sello de Garantía" (USV)

El autor, Vipin Singh Sehrawat, inventa un nuevo truco llamado Verificación de Estructura Única (USV).

Imagina que Juan tiene su lápiz dentro de la caja blindada. En lugar de sacar el lápiz para mostrarlo, Juan hace lo siguiente:

1. Dentro de la caja, escribe un número secreto en un papel.
2. La caja genera un Sello de Garantía (un certificado digital) que dice: "Yo, Juan, tengo un número secreto que, cuando se convierte en un dibujo público, se ve exactamente así: [Dibujo X]".
3. Juan solo entrega el Sello y el Dibujo Público al Banco y a Ana. Nunca entrega el número secreto.

¿Por qué es mágico?

• Seguridad: Nadie puede saber el número secreto solo con el dibujo (es como un candado matemático).
• Verificación: El Sello garantiza que el dibujo público es real y fue generado por el número secreto de Juan.
• Sin salir de la caja: Todo el proceso de crear el sello ocurre dentro del chip seguro. El número secreto nunca toca el mundo exterior.

3. El Protocolo "Estrella" (Star DKG)

Ahora, el proceso de crear la caja fuerte funciona así:

1. El Inicio: Juan (el cliente principal) usa su caja blindada para crear su "Sello de Garantía" y envía el dibujo público al Banco.
2. La Verificación: El Banco verifica el sello. Si es válido, el Banco sabe que Juan tiene una parte legítima de la llave, aunque nunca la vio.
3. La Construcción: El Banco y Juan hacen una serie de cálculos matemáticos (usando pruebas criptográficas avanzadas llamadas "Fischlin") para combinar sus partes.
   • Piensa en esto como si ambos tuvieran piezas de un rompecabezas dentro de cajas cerradas. Usan un "espejo mágico" (el Sello) para alinear sus piezas sin abrirlas.
4. El Resultado: Al final, todos tienen una parte de la llave guardada en sus cajas blindadas.
   • Si el Banco y Juan quieren firmar, pueden hacerlo.
   • Si el Banco y Ana quieren firmar, pueden hacerlo.
   • Si Juan y Ana intentan firmar sin el Banco, no pueden (el sistema matemático lo impide).

4. ¿Por qué es importante? (La Analogía del "No-Reset")

En el mundo de la criptografía antigua, para verificar que alguien no estaba mintiendo, los expertos usaban un truco llamado "rebobinar" (como en una cinta de video): le decían al sospechoso "vuelve atrás y hazlo de nuevo con una pregunta diferente". Si el sospechoso mintió, sus dos respuestas no coincidirían y sería atrapado.

Pero en los chips de seguridad modernos, no puedes "rebobinar" el tiempo. Una vez que el chip hace algo, no puede volver atrás.

• El paper soluciona esto: Usa un método de "extracción en línea recta". En lugar de rebobinar y preguntar de nuevo, el sistema analiza la única respuesta que el chip dio y, gracias a la magia de los "Sellos de Garantía" y las pruebas matemáticas, deduce automáticamente que la persona tenía la llave correcta. Es como si un detective pudiera saber si un sospechoso es culpable solo mirando una sola foto, sin necesidad de interrogarlo dos veces.

Resumen en una frase

Este paper enseña cómo crear una caja fuerte compartida entre un banco y varios dispositivos, donde las llaves nunca salen de sus cajas de seguridad, usando sellos mágicos que prueban la verdad sin revelar los secretos, permitiendo que el dinero sea seguro y flexible sin necesidad de confiar en nadie.

¿Para qué sirve en la vida real?

• Billeteras de criptomonedas: Para que tu empresa de custodia y tu teléfono personal deban acordar para mover fondos, pero si pierdes el teléfono, puedes registrar uno nuevo sin tener que cambiar toda la seguridad.
• Seguridad corporativa: Para que una empresa no pueda gastar dinero sin la aprobación de un director (el centro de la estrella) y un gerente (la hoja de la estrella).

Resumen técnico

1. El Problema: DKG en Entornos de Claves No Exportables (NXK)

La generación distribuida de claves (DKG) es fundamental para las billeteras de criptomonedas multiparte (MPC), permitiendo a varias partes derivar una clave pública común sin que ninguna posea la clave secreta completa. Sin embargo, los protocolos DKG universales (UC) tradicionales enfrentan dos obstáculos críticos en entornos modernos de hardware seguro:

1. Restricción de Exportación (NXK): En módulos de hardware como Enclaves Seguros (TEE) o HSM configurados como "KeyBoxes", las acciones de firma no pueden exportar las acciones secretas (shares) ni ninguna imagen afín invertible de las mismas. Los protocolos clásicos de DKG dependen de mecanismos de Verifiable Secret Sharing (VSS) o "Verifiable-Sharing Enforcement" (VSE), que requieren que las partes compartan, comprometan y abran (abran pruebas de conocimiento) acciones derivadas de sus secretos. Esto es incompatible con el modelo NXK, donde los secretos residen permanentemente dentro del hardware y no salen de él.
2. Imposibilidad de Rebobinado (State Continuity): La seguridad UC de los protocolos criptográficos a menudo depende de la extracción de testigos mediante el rebobinado o el uso del lema de horquilla (forking lemma) en pruebas de conocimiento cero (ZK). Sin embargo, los módulos de hardware seguros garantizan la continuidad del estado, impidiendo que un adversario rebobine el estado interno del hardware para obtener dos respuestas diferentes a la misma acción. Esto invalida las técnicas de extracción estándar basadas en rebobinado.

Objetivo: Diseñar un protocolo DKG que sea seguro bajo composición universal (UC), compatible con claves no exportables (NXK), que no requiera exportar acciones secretas, y que funcione sin mecanismos de VSS tradicionales ni rebobinado.

2. Metodología y Enfoque Técnico

El autor propone un diseño que desacopla la confidencialidad (delegada al hardware) de la consistencia (enforzada por el protocolo). La solución se basa en tres pilares principales:

A. El Modelo KeyBox y NXK

Se formaliza un modelo ideal donde las acciones secretas residen en un "KeyBox" (funcionalidad ideal $F_{KeyBox}$).

• Las acciones son no exportables: No se pueden leer ni exportar, ni siquiera como imágenes afines invertibles.
• Solo se permite el sellado (sealing) de KeyBox a KeyBox bajo autenticación.
• Se asume continuidad del estado: El hardware no puede ser forzado a volver a un estado anterior (sin rebobinado).

B. Verificación de Estructura Única (USV - Unique Structure Verification)

Para resolver el problema de cómo verificar la consistencia de las acciones sin exportarlas, se introduce USV.

• Concepto: Es un certificado no interactivo y públicamente verificable.
• Funcionamiento: El KeyBox genera un escalar secreto $m$ (no exportable) y produce un certificado $(C, \zeta)$.
• Propiedad Clave: Cualquier verificador puede derivar determinísticamente un elemento público del grupo $M = mG$ a partir del certificado $(C, \zeta)$, sin necesidad de conocer $m$ ni exportarlo.
• Seguridad: El certificado es resistente a la equivocación (no se pueden generar dos certificados válidos para el mismo compromiso que den elementos públicos diferentes) y permite la simulación de etiquetas bajo ciertas condiciones.

C. Extracción en Línea Recta (Straight-Line Extraction) con Fischlin

Dado que el rebobinado está prohibido en el hardware, el protocolo utiliza pruebas de conocimiento cero no interactivas (NIZK) basadas en la transformación de Fischlin en un modelo de Oráculo Aleatorio Global con Programabilidad Restringida de Contexto (gRO-CRP).

• Extracción en línea recta: El simulador UC puede extraer el testigo (la acción secreta) inspeccionando el registro de consultas del adversario al oráculo aleatorio, sin necesidad de rebobinar la ejecución.
• Contextos separados: Se utilizan contextos de oráculo distintos para:
  1. Pruebas de consistencia del protocolo (extraíbles por el simulador).
  2. Pruebas internas del KeyBox (solo simulables, no extraíbles, para mantener la opacidad de la clave).

D. Estructura de Acceso en Estrella (Star DKG - SDKG)

El protocolo está diseñado para una estructura de acceso "1+1-out-of-n":

• Un nodo central obligatorio ($P_1$, servicio designado) debe co-firmar.
• Cualquier nodo hoja ($P_i$) puede co-firmar con el centro.
• El centro nunca puede firmar solo.
• Esto es ideal para billeteras con recuperación o cumplimiento normativo donde un servicio central debe estar involucrado pero no tener control unilateral.

3. Contribuciones Clave

1. Introducción de USV: Un nuevo primitivo criptográfico que permite certificar la estructura pública de una acción secreta residente en hardware sin exportar la acción ni violar la opacidad de la clave.
2. Protocolo SDKG: Un esquema DKG UC-seguro para la estructura de estrella que opera en el modelo NXK.
   • Elimina la necesidad de VSS, reclasificación (resharing) o mecanismos de quejas/abrir compromisos.
   • Utiliza USV para fijar los elementos públicos derivados de las acciones ocultas.
   • Utiliza pruebas NIZK de Fischlin para verificar relaciones afines entre las acciones.
3. Mecanismo de Registro de Dispositivos (RDR): Permite registrar dispositivos de recuperación adicionales después de la generación inicial de la clave.
   • Los nuevos dispositivos se instalan como "frentes redundantes" para un rol existente (ej. rol de recuperación).
   • No se requiere exportar la acción de recuperación; se realiza mediante sellado KeyBox-a-KeyBox atestiguado.
4. Análisis de Seguridad UC: Prueba formal de que el protocolo realiza una funcionalidad ideal DKG en el modelo híbrido $F_{KeyBox}$, asumiendo la dureza del Logaritmo Discreto (DL) y DDH, y bajo corrupciones adaptativas con borrado seguro.

4. Resultados y Complejidad

• Seguridad: El protocolo logra la seguridad UC bajo el modelo de oráculo aleatorio global con restricciones de programación (gRO-CRP) y asumiendo que el hardware mantiene la continuidad del estado y la opacidad de la clave.
• Complejidad de Comunicación:
  • Para una ejecución base (1+1-out-of-3): $\tilde{O}(n \log p)$ bits.
  • El tamaño del transcripto base para una instancia de 128 bits es de aproximadamente 11–13 KiB.
• Complejidad Computacional:
  • Base: $\tilde{O}(n \log^{2.585} p)$ operaciones de bits (dominado por multiplicaciones de escalares).
  • Registro de un nuevo dispositivo: $\tilde{O}(\log p)$ comunicación y $\tilde{O}(\log^{2.585} p)$ computación.
• Eficiencia: A diferencia de los DKGs de umbral tradicionales que requieren comunicación $\Theta(n^2)$ debido a patrones de distribución "todos-con-todos" del VSS, SDKG mantiene una comunicación constante en la ejecución base y lineal en el número de dispositivos registrados.

5. Significado e Impacto

Este trabajo es significativo por varias razones:

1. Viabilidad de Billeteras MPC en Hardware Seguro: Resuelve el cuello de botella teórico que impedía implementar DKGs UC-seguros en entornos donde las claves no pueden salir del hardware (como TEEs o HSMs), un requisito común en instituciones financieras y billeteras corporativas.
2. Superación de Limitaciones de VSS: Demuestra que es posible lograr la consistencia y unicidad de las acciones compartidas sin depender de los mecanismos clásicos de VSS que requieren exportar datos sensibles.
3. Nuevos Paradigmas de Extracción: Proporciona un marco sólido para la extracción de testigos en entornos de hardware sin rebobinado, utilizando la extracción en línea recta basada en el registro de consultas de oráculos aleatorios.
4. Flexibilidad Operativa: La estructura de acceso en estrella y el mecanismo de registro de dispositivos (RDR) ofrecen una solución práctica y escalable para la gestión de claves en escenarios de recuperación de billeteras y cumplimiento normativo, permitiendo la adición de dispositivos sin regenerar la clave maestra.

En resumen, el artículo presenta SDKG, una solución robusta y teóricamente fundamentada para la generación de claves distribuidas en la era de la computación confidencial y el hardware seguro, eliminando la necesidad de exportar secretos mientras mantiene garantías de seguridad composables.