UC-Secure Star DKG for Non-Exportable Key Shares with VSS-Free Enforcement

Dit artikel introduceert Star DKG (SDKG), een UC-veilig protocol voor niet-exporteerbare sleutelverdeling dat verifieerbare geheimdeling (VSS) overbodig maakt door gebruik te maken van hardware-gedwongen sleutelisolatie en Fischlin-gebaseerde NIZK-bewijzen om transcriptgedreven affine consistentie af te dwingen in een 1+1-out-of-$n$ ster-structuur.

De kern

De Grote Dilemma: Hoe deel je een geheim zonder het ooit te laten zien?

Stel je voor dat je een enorm waardevol geheim hebt, bijvoorbeeld de sleutel tot een digitale kluis met miljoenen euro's. Je wilt dit geheim niet op één plek bewaren (want wat als die plek wordt gestolen?), maar je wilt het ook niet zomaar op papier schrijven en rondsturen (want dan kan iedereen het kopiëren).

Normaal gesproken gebruiken cryptografen een truc genaamd DKG (Distributed Key Generation). Hierbij delen ze het geheim op in stukjes (zoals een puzzel) en geven ze elk een stukje aan een ander persoon. Alleen als ze hun stukjes samenleggen, kunnen ze de volledige sleutel gebruiken.

Maar hier komt het probleem:
In de moderne wereld willen veel mensen hun sleutelstukjes bewaren in een veilig hardware-blok (zoals een beveiligde chip in je telefoon of een speciale server). Deze blokken hebben een strikte regel: "Je mag het geheim nooit uit het blok halen." Het blijft voor altijd binnen.

Dit creëert een enorm probleem voor de oude methoden:

1. Om te bewijzen dat je een eerlijk stukje hebt, moesten mensen vroeger hun stukje even "openen" of een bewijs tonen.
2. Maar als je het geheim nooit uit het blok mag halen, kun je het niet tonen.
3. Als je het niet kunt tonen, hoe weet je dan dat de ander niet liegt?

De Oplossing: Een "Magische Stempel" (USV)

De auteur, Vipin Singh Sehrawat, bedacht een nieuwe manier om dit op te lossen. Hij introduceert een concept dat hij USV (Unique Structure Verification) noemt.

De Analogie: De Magische Stempel
Stel je voor dat je een geheim hebt in een glazen kist (het hardware-blok). Je mag de kist niet openen.

• Oude methode: Je zou de kist moeten openen, het geheim eruit halen, en zeggen: "Kijk, dit is mijn getal!" (Dit mag niet).
• Nieuwe methode (USV): Je laat de kist een magische stempel maken. Deze stempel ziet eruit als een ingewikkeld, uniek teken dat iedereen kan zien.
  • Iedereen kan met dat teken berekenen: "Ah, als dit teken klopt, dan moet het geheim in de kist een specifiek getal zijn."
  • Maar niemand kan het getal zelf uit de kist halen of het teken vervalsen.
  • Het is alsof je een handtekening maakt op een brief die je niet mag lezen, maar die wel bewijst dat je de juiste pen hebt gebruikt.

Dit "stempel" (het certificaat) zorgt ervoor dat iedereen kan controleren of het geheim correct is gedeeld, zonder dat het geheim ooit het veilige blok verlaat.

De Ster-structuur: Een Hoofdpersoon en zijn Hulpjes

Deze techniek is speciaal ontworpen voor een situatie die een "Ster-structuur" wordt genoemd.

De Analogie: De Koning en zijn Wacht
Stel je een koning (P1) voor die altijd aanwezig moet zijn bij belangrijke beslissingen, maar die nooit alleen mag beslissen. Hij heeft twee soorten helpers:

1. De Hoofdadviseur (P2): Een vaste persoon die altijd bij de koning is.
2. De Reservehulp (P3, P4, etc.): Mensen die er kunnen zijn als de hoofdadviseur weg is, maar die nooit alleen met de koning mogen werken.

In deze "Ster":

• De Koning + De Hoofdadviseur = Goedkeuring.
• De Koning + Een Reservehulp = Goedkeuring.
• De Koning alleen = Nee.
• De Hoofdadviseur + Reservehulp (zonder Koning) = Nee.

Dit is perfect voor bijvoorbeeld een crypto-wallet van een bedrijf: De CEO (Koning) moet altijd toestemming geven, maar er moet ook een tweede persoon zijn (voor veiligheid). Als de CEO ziek is, kan een reservepersoon helpen, maar alleen met de CEO.

Hoe werkt het technisch? (Zonder de saaie wiskunde)

1. Geen "Terugspoelen": In de oude wereld konden hackers een spelletje "terugspoelen" (zoals in een video) om een geheim te ontdekken. Omdat de hardware-blokken dit niet toestaan (ze zijn "state-continuous", oftewel ze onthouden alles en draaien niet terug), moet de nieuwe methode werken zonder terug te spoelen. De auteur gebruikt een slimme wiskundige truc (Fischlin-transformatie) die direct werkt, alsof je een sleutel in één keer draait in plaats van 100 keer proberen.
2. De "Stempel" (USV) + "Bewijs" (NIZK):
   • De "Stempel" zorgt ervoor dat het publieke deel van het geheim (het getal dat iedereen ziet) klopt met het geheime deel in de chip.
   • De "Bewijs" zorgt ervoor dat niemand een vals getal heeft ingevoerd.
3. Nieuwe apparaten toevoegen: Wat als je later nog een nieuwe telefoon wilt toevoegen aan je wallet? Je hoeft niet opnieuw te beginnen. Je kunt de nieuwe telefoon "inschakelen" door de oude apparaten een versleuteld pakketje te sturen naar de nieuwe. Omdat de oude apparaten het geheim niet uit hun chip halen, maar alleen een versleuteld pakketje sturen, blijft alles veilig.

Waarom is dit belangrijk?

• Veiligheid: Zelfs als je computer wordt gehackt, kan de hacker het geheim niet stelen omdat het in de beveiligde chip zit en daar nooit uitkomt.
• Vertrouwen: Je weet zeker dat niemand liegt over zijn stukje van de puzzel, zonder dat iemand zijn geheim hoeft te onthullen.
• Flexibiliteit: Je kunt apparaten toevoegen of verwijderen zonder het hele systeem opnieuw op te bouwen.

Samenvatting in één zin

Deze paper beschrijft een slimme manier om een digitale sleutel veilig te verdelen over meerdere apparaten die hun geheimen nooit mogen onthullen, door te gebruiken van een "magische stempel" die bewijst dat alles klopt zonder het geheim ooit te laten zien.

Het is alsof je een slot maakt dat alleen open gaat als twee mensen tegelijkertijd op hun eigen, onzichtbare knop drukken, terwijl een onzichtbare bewaker (de stempel) erop toeziet dat ze de juiste knoppen gebruiken.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "UC-Secure Star DKG for Non-Exportable Key Shares with VSS-Free Enforcement" van Vipin Singh Sehrawat, geschreven in het Nederlands.

1. Probleemstelling

Het artikel adresseert een fundamenteel conflict tussen twee eisen in moderne cryptografische sleutelbeheersystemen, specifiek voor Multi-Party Computation (MPC) wallets:

1. Non-Exportable Keys (NXK): In beveiligde hardwareomgevingen (zoals Secure Enclaves, TEE's of HSM's) moeten geheime sleutelshares (de delen van een privésleutel) niet-exportabel zijn. Ze mogen nooit het vertrouwde hardware-bereik verlaten, zelfs niet in versleutelde vorm die door de host kan worden ontsleuteld. Dit is cruciaal voor compliance en beveiliging, maar het blokkeert klassieke protocollen die shares moeten "openen" of herschikken.
2. UC-Beveiliging (Universally Composable): Voor een veilig Distributed Key Generation (DKG) protocol is het noodzakelijk dat de transcriptie (de uitgewisselde berichten) de uniekheid en affiene consistentie van de gegenereerde shares garandeert. Klassiek wordt dit gedaan via een laag van Verifiable-Sharing Enforcement (VSE), vaak geïmplementeerd met Verifiable Secret Sharing (VSS). VSS vereist echter dat shares of afgeleide waarden uitgewisseld en geverifieerd worden, wat in strijd is met het NXK-model.

Het kernprobleem: Hoe bouw je een UC-beveiligd DKG-protocol waarbij de sleutelshares permanent in een "KeyBox" (hardware) blijven, zonder dat deze worden geëxporteerd, en toch de noodzakelijke wiskundige consistentie (affiene relaties) kan worden geverifieerd door de transcriptie? Klassieke extractiemethoden (zoals rewinding/forking lemma's) werken niet omdat de hardware geen staat kan worden teruggedraaid (state continuity).

2. Methodologie en Oplossing

De auteur introduceert een nieuw raamwerk dat de vertrouwelijkheid (confidentiality) en de consistentie (consistency) van elkaar scheidt:

• Vertrouwelijkheid: Wordt volledig overgedragen aan de KeyBox (het hardware-keystore). De geheime scalar $k$ blijft binnen de hardware en wordt nooit geëxporteerd.
• Consistentie: Wordt afgedwongen via een nieuwe cryptografische primitieve en een speciaal ontwerp voor de transcriptie, zonder de geheime waarden te hoeven openen.

Belangrijkste Technische Componenten:

1. Unique Structure Verification (USV):

   • Dit is een niet-interactief, publiek verifieerbaar certificaat.
   • Een partij genereert een certificaat $(C, \zeta)$ binnen de KeyBox voor een verborgen scalar $m$.
   • Het certificaat stelt een externe verifieerder in staat om deterministisch een uniek publiek groepselement $M = mG$ af te leiden uit de transcriptie, zonder dat $m$ ooit wordt blootgelegd.
   • Dit vervangt de klassieke "commit-and-open" mechanismen van VSS. Het certificaat is "equivocation-resistant" (het is onmogelijk om twee verschillende openingen voor dezelfde commit te vinden).

2. Straight-Line Extraction via Fischlin-transformatie:

   • Omdat rewinding (terugdraaien van de uitvoering) in hardware niet mogelijk is, kan de simulator in het UC-bewijs geen gebruik maken van klassieke forking-lemma's.
   • De auteur gebruikt de Fischlin-transformatie in een gRO-CRP-model (Global Random Oracle met Context-Restricted Programmability).
   • Dit maakt straight-line extraction mogelijk: de simulator kan het bewijs van een kwaadaardige partij analyseren en de getuige (witness) extraheren door simpelweg de query-log van de random oracle te inspecteren, zonder de partij te hoeven herstarten.

3. Star DKG (SDKG) Protocol:

   • Het protocol implementeert een 1+1-out-of-n toegangsstructuur. Dit betekent dat een centrale dienst ($P_1$) altijd moet meedoen om te tekenen, maar nooit alleen kan tekenen; hij heeft een "blad" ($P_i$) nodig.
   • Het protocol is ontworpen voor scenario's zoals gereguleerde bewaarders of herstelmechanismen met "frictie".
   • Het gebruikt LinOS (Linear One-Shot): een interface binnen de KeyBox die deterministische nonces genereert op basis van een statische seed om te voorkomen dat een rollback van de hardware leidt tot het hergebruik van nonces (wat de geheime sleutel zou onthullen via special soundness).

4. Role-Based Device Registration (RDR):

   • Het systeem ondersteunt het toevoegen van nieuwe herstelapparaten na de initiële DKG.
   • Nieuwe apparaten worden niet als nieuwe "shares" in een nieuw polynoom toegevoegd (wat resharing vereist), maar als redundante front-ends voor een bestaande rol.
   • Dit gebeurt via KeyBox-to-KeyBox sealing: bestaande apparaten versleutelen de benodigde registratie-data direct naar het nieuwe apparaat, zonder dat de host de shares ziet.

3. Belangrijkste Bijdragen

1. Formalisatie van het NXK/KeyBox-model: De auteur definieert een ideaal "KeyBox"-functionaliteit die state-continuïteit (geen rollback/fork) en key-opacity (geen export van shares of affiene afbeeldingen) garandeert.
2. Introductie van USV: Een nieuwe primitieve die een verborgen scalar koppelt aan een publiek groepselement via een certificaat, wat consistentie afdwingt zonder export.
3. UC-Beveiligd Star DKG (SDKG): Een constructie van een DKG-protocol dat specifiek is ontworpen voor de star-structuur en volledig compatibel is met NXK-hardware.
4. Straight-Line Extractie in UC: Het bewijs dat Fischlin-based NIZK-argumenten van kennis (AoK) kunnen worden gebruikt voor UC-extractie in een model zonder rewinding, mits de juiste random oracle-structuur (gRO-CRP) wordt gebruikt.
5. Efficiëntie en Schaalbaarheid: Het protocol heeft een constante rondetijd voor de basisopstelling en ondersteunt het toevoegen van nieuwe apparaten met minimale overhead, zonder de publieke sleutel te hoeven veranderen.

4. Resultaten en Prestaties

• Veiligheid: Het protocol bewijst UC-beveiliging (Universally Composable) onder de aannames van Discrete Logarithm (DL) en Decisional Diffie-Hellman (DDH/DDLEQ). Het garandeert geheimhouding tegen ongeautoriseerde corrupties en uniekheid van de gegenereerde sleutel.
• Complexiteit:
  • Communicatie: $\tilde{O}(n \log p)$ bits voor een $1+1$-out-of-$n$ structuur.
  • Berekening: $\tilde{O}(n \log^{2.585} p)$ bit-operaties (gebaseerd op Karatsuba-vermenigvuldiging).
  • Registratie: Het toevoegen van een nieuw herstelapparaat kost slechts $\tilde{O}(\log p)$ communicatie en $\tilde{O}(\log^{2.585} p)$ berekening.
• Praktische Implementatie: Voor een 128-bit veiligheidsniveau (standaard ECC) is de basis-transcriptie ongeveer 11–13 KiB. Dit is acceptabel voor moderne toepassingen.
• Robuustheid: Het protocol is bestand tegen adaptieve corrupties en vereist veilige wissen (secure erasures) van tijdelijke geheugenwaarden op de host, maar de lange-termijn shares blijven veilig in de hardware.

5. Betekenis en Impact

Dit artikel is van groot belang voor de ontwikkeling van veilige, compliant cryptowallets en enterprise sleutelbeheer:

• Oplossing voor Hardware-beperkingen: Het lost het dilemma op dat veel bestaande UC-DKG-protocollen niet kunnen worden gebruikt in strikte hardware-omgevingen (zoals cloud KMS of mobiele TEE's) omdat ze shares moeten exporteren.
• Nieuwe Architectuur voor MPC: Het introduceert een "Star"-topologie die ideaal is voor scenario's waarbij een centrale entiteit (zoals een bank of compliance-dienst) altijd moet meedoen, maar niet de enige beslissingsautoriteit mag zijn.
• Toekomstbestendig: Door het gebruik van straight-line extraction en USV, is het protocol voorbereid op een toekomst waarin hardware-beveiliging (TEE/HSM) de norm wordt voor sleutelbeheer, en waar klassieke rewinding-technieken in software niet meer voldoende zijn.
• Compliance: Het maakt het mogelijk om strikte "non-exportable" regels te combineren met complexe multi-party signing workflows, wat essentieel is voor financiële instellingen die voldoen moeten aan regelgeving.

Kortom, het paper levert een theoretisch en praktisch onderbouwd raamwerk voor het bouwen van UC-beveiligde, hardware-gedreven sleutelgeneratieprotocollen die zowel veilig als compliant zijn.