UC-Secure Star DKG for Non-Exportable Key Shares with VSS-Free Enforcement

Este artigo apresenta o SDKG, um protocolo DKG seguro sob o modelo UC que, ao utilizar módulos de hardware para manter as partes da chave não exportáveis e empregar técnicas de extração em linha reta, permite a geração distribuída de chaves com consistência afim verificável sem a necessidade de compartilhamento secreto verificável (VSS) tradicional.

O essencial

Imagine que você tem um cofre digital super seguro (como um chip de segurança no seu celular ou um dispositivo especial chamado HSM) onde você guarda a chave mestra da sua conta bancária ou carteira de criptomoedas. A regra de ouro desse cofre é: ele nunca, jamais, deixa a chave sair de dentro dele. Nem mesmo para mostrar, nem para copiar, nem mesmo para fazer uma "fotografia" dela. Isso é o que os especialistas chamam de Chave Não Exportável (NXK).

O problema é: como você pode usar essa chave para assinar transações importantes se ela nunca sai do cofre? E pior: como várias pessoas (ou dispositivos) podem combinar suas chaves para criar uma chave coletiva, sem que ninguém precise revelar a parte delas para os outros?

É aqui que entra o artigo que você pediu para explicar. Vamos descomplicar essa "Distribuição de Chaves" (DKG) usando analogias do dia a dia.

1. O Cenário: O Cofre que não fala

Imagine que você tem um Cofre Mágico (o KeyBox).

• Regra 1: Você pode pedir ao cofre para assinar algo, e ele assina.
• Regra 2: Você não pode pedir para o cofre mostrar a chave, nem mesmo uma parte dela.
• Regra 3: O cofre é "teimoso". Se você tentar reiniciá-lo ou copiá-lo para tentar enganar o sistema (como um "rewind" de filme), ele não deixa. Ele mantém o estado atual e não volta atrás.

No mundo antigo da criptografia, para criar chaves em grupo, as pessoas trocavam pedaços de papel (as "shares") entre si. Mas no nosso cenário, o Cofre Mágico diz: "Não, eu não vou entregar esse pedaço de papel. Ele fica preso aqui dentro".

2. O Problema: Como confiar sem ver?

Se eu não posso ver o pedaço de papel que você guardou no seu cofre, como eu sei que você não está mentindo? Como eu sei que, quando somarmos todos os pedaços, eles vão formar a chave correta e não uma chave falsa?

Normalmente, para resolver isso, usamos um sistema de "provas" onde você mostra o papel e diz "olha, é este". Mas como o cofre não deixa o papel sair, essa prova tradicional falha. É como tentar provar que você tem um segredo sem nunca revelar o segredo.

3. A Solução Criativa: O "Selo de Confiança" (USV)

O autor do artigo, Vipin Singh Sehrawat, inventou uma solução genial chamada USV (Verificação de Estrutura Única).

A Analogia do Selo de Cera:
Imagine que você tem um segredo escrito em um papel dentro de um cofre. Você não pode tirar o papel. Mas você pode colocar um Selo de Cera especial na porta do cofre.

• Esse selo tem uma forma única.
• Qualquer pessoa que olhar para o selo pode deduzir matematicamente: "Ok, se esse selo é válido, então a chave dentro do cofre, quando transformada em um número público, deve ser exatamente X".
• O Pulo do Gato: Você nunca revelou o segredo (o papel), nem a chave em si. Você só mostrou o Selo. Mas o Selo é tão matematicamente perfeito que ele garante que a chave dentro do cofre é exatamente a que dizemos que é.

No mundo do artigo, esse "Selo" é um certificado digital (USV) que o cofre gera internamente. Ele prova que a chave existe e é válida, sem nunca deixar a chave sair do cofre.

4. A Estrutura Estrela (Star DKG)

O artigo foca em um tipo específico de segurança chamado Estrutura Estrela.

• O Centro da Estrela: É um serviço obrigatório (como um banco ou um servidor de recuperação). Ele precisa estar presente para assinar qualquer coisa.
• As Pontas da Estrela: São seus dispositivos pessoais (seu celular, seu notebook, seu dispositivo de recuperação).
• A Regra: Para assinar, você precisa do Centro E de pelo menos uma das Pontas. O Centro sozinho não pode assinar (segurança contra servidores maliciosos). Uma Ponta sozinha não pode assinar (segurança contra dispositivos roubados).

O protocolo SDKG (Star DKG) é a receita de bolo para criar essa chave coletiva onde o Centro e as Pontas se combinam, sem que ninguém precise exportar suas chaves secretas.

5. O "Detetive" que não precisa de Replay (Extração em Linha Reta)

Na criptografia antiga, para provar que alguém sabia um segredo, o "juiz" muitas vezes precisava pedir para a pessoa refazer a prova várias vezes, mudando um detalhe aqui e ali (como dar um "rewind" no filme).
Mas nosso Cofre Mágico não permite "rewind". Se ele reiniciar, ele não volta atrás.

O autor usa uma técnica chamada Fischlin Transform (uma espécie de "truque de mágica matemática") que permite ao juiz verificar a prova de uma só vez, sem precisar pedir para refazer. É como se o juiz pudesse ver o "rastro de pensamento" do cofre (os registros de consultas que ele fez internamente) e deduzir a prova sem precisar interagir de volta. Isso é chamado de "extração em linha reta".

6. Resumo da Ópera: O que isso significa para você?

1. Segurança Máxima: Suas chaves nunca saem do hardware seguro (como o chip de segurança do seu iPhone ou um cofre em nuvem). Nem mesmo para o seu próprio computador.
2. Sem "Papelada" Exportada: Não há troca de pedaços de chaves pelo mundo. Tudo é feito através de "Selos" (certificados) que provam a validade sem revelar o segredo.
3. Recuperação Fácil: Se você perder seu celular, pode registrar um novo dispositivo (como um tablet) que assume o lugar do antigo na "Estrela", sem precisar recriar a chave do zero. O sistema apenas "cola" o novo dispositivo na estrutura existente.
4. Tamanho: A prova matemática necessária para tudo isso é pequena (cerca de 11 a 13 KB, o tamanho de um pequeno e-mail), o que é ótimo para internet e celulares.

Em suma:
O artigo apresenta um novo método para criar chaves de segurança em grupo que funciona perfeitamente com os cofres de hardware mais modernos e restritivos. Ele resolve o paradoxo de "como provar que tenho a chave sem mostrar a chave" usando certificados mágicos (USV) e matemática inteligente, permitindo que você tenha carteiras de criptomoedas ultra-seguras onde um serviço central e seus dispositivos pessoais precisam trabalhar juntos, mas ninguém consegue trapacear ou roubar a chave.

Resumo técnico

Resumo Técnico: UC-Secure Star DKG para Chaves Não Exportáveis com Aplicação de VSS Livre

1. O Problema

O artigo aborda um desafio fundamental na gestão de chaves para carteiras de criptomoedas baseadas em Computação Multi-Partidária (MPC): como realizar uma Geração de Chaves Distribuída (DKG) segura e universalmente composável (UC) em um ambiente onde as partes utilizam módulos de hardware de isolamento de chaves (como TEEs - Trusted Execution Environments ou HSMs) que impõem o modelo de Chave Não Exportável (NXK - Non-eXportable Key).

Os principais obstáculos identificados são:

• Restrição de Exportação (NXK): Em módulos de hardware seguros, as chaves secretas (partes da chave) não podem ser exportadas, nem mesmo em formas afins invertíveis pelo chamador. Isso impede os mecanismos clássicos de DKG que dependem de compartilhar, revelar ou manipular partes da chave fora do hardware.
• Incompatibilidade com VSS Clássico: A maioria dos esquemas de DKG UC-seguros utiliza uma camada de Aplicação de Compartilhamento Verificável (VSE), baseada em Verifiable Secret Sharing (VSS) ou compromissos com provas de conhecimento. Esses mecanismos exigem que as partes exportem valores derivados das suas partes secretas para verificar consistência e evitar "equivocação" (um participante malicioso enviando informações inconsistentes para diferentes partes). No modelo NXK, essa exportação é proibida.
• Impossibilidade de Extração por "Rewinding": Em ambientes de hardware com continuidade de estado (onde o estado não pode ser revertido ou clonado para forçar o mesmo compromisso sob dois desafios diferentes), as técnicas de extração de testemunhas baseadas em rewinding ou forking (comuns em provas de conhecimento zero interativas) tornam-se inaplicáveis. É necessária uma extração "straight-line" (em linha reta).
• Estrutura de Acesso Estrela: Aplicações práticas (como carteiras corporativas ou de custódia regulada) frequentemente exigem uma estrutura de acesso em forma de estrela: um serviço central (P1) deve co-assinar com qualquer um dos dispositivos de recuperação (P2, P3, ...), mas o serviço central nunca deve poder assinar sozinho. Estruturas de limiar uniforme (t-out-of-n) não atendem a esse requisito específico.

2. Metodologia e Abordagem

O autor propõe uma nova arquitetura que desacopla a confidencialidade (garantida pelo hardware) da consistência (garantida pelo protocolo), sem depender da exportação de partes secretas.

• Modelo KeyBox: O hardware é modelado como uma funcionalidade ideal FKeyBox que mantém as partes secretas internas, impede sua exportação e garante continuidade de estado (sem rollback).
• Verificação de Estrutura Única (USV - Unique Structure Verification):
  • Esta é a contribuição central para contornar a restrição de exportação. O USV é um certificado não interativo e publicamente verificável.
  • O hardware gera um compromisso sobre um escalar oculto (a parte da chave) e emite um certificado.
  • Inovação: Qualquer verificador pode derivar deterministicamente o elemento de grupo público correspondente (ex: $M = mG$) a partir do certificado, sem nunca revelar o escalar $m$ ou exportá-lo. Isso permite que o protocolo verifique a consistência afim das contribuições usando apenas dados públicos derivados do transcript, sem violar a opacidade da chave.
• Extração Straight-Line via Fischlin:
  • Para evitar o rewinding, o protocolo utiliza a Transformada de Fischlin otimizada em um modelo de Oráculo Aleatório Global com Programabilidade Restrita de Contexto (gRO-CRP).
  • Isso permite a extração de testemunhas (provas de conhecimento) em linha reta, inspecionando o log de consultas do oráculo, o que é compatível com a semântica de chamadas locais do KeyBox (onde o simulador não vê o log interno do hardware).
• Protocolo SDKG (Star DKG):
  • Um protocolo de DKG em duas rodadas (constante) para uma estrutura de acesso 1+1-out-of-n.
  • Implementa a lógica onde o nó central (P1) e qualquer nó folha (P2, P3...) formam um conjunto autorizado mínimo.
  • Inclui um mecanismo de Registro de Dispositivo Baseado em Função (RDR) para adicionar novos dispositivos de recuperação após a DKG inicial, sem precisar de resharing (recompartilhamento) da chave principal.

3. Principais Contribuições

1. Definição do Modelo NXKey/KeyBox: Formalização rigorosa de um ambiente onde as chaves são não exportáveis e o estado é contínuo, demonstrando a incompatibilidade direta entre os mecanismos tradicionais de VSS e esse modelo.
2. Introdução do USV (Unique Structure Verification):
   • Um primitivo criptográfico que permite a derivação pública e determinística de um elemento de grupo ($mG$) a partir de um compromisso, mantendo o escalar ($m$) oculto e não exportável.
   • Prova de segurança UC (Universalmente Composável) para o USV no modelo gRO-CRP.
3. SDKG (Star DKG):
   • Construção de um esquema de DKG UC-seguro para a estrutura de acesso em estrela (1+1-out-of-n).
   • Substituição da camada de VSE clássica por uma combinação de USV e Provas de Conhecimento Zero Não Interativas (NIZK) extraíveis em linha reta.
   • Suporte a RDR (Role-based Device Registration): Permite registrar novos dispositivos de recuperação como "front-ends" redundantes para a mesma função, usando selagem KeyBox-a-KeyBox, sem expor a chave.
4. Análise de Segurança e Complexidade:
   • Prova de que o protocolo realiza uma funcionalidade ideal de DKG sob ataques adaptativos e corrupções, assumindo a dificuldade do Logaritmo Discreto (DL) e DDH.
   • Demonstração de que a extração straight-line é viável mesmo com a restrição de não exportação, desde que as provas de consistência sejam geradas fora do KeyBox (pelo host), enquanto a geração de chaves ocorre dentro.

4. Resultados e Desempenho

• Segurança: O protocolo é provado ser UC-seguro no modelo híbrido FKeyBox + gRO-CRP. Ele garante:
  • Sigilo: Conjuntos não autorizados não aprendem nada sobre a chave secreta além do público.
  • Unicidade: Existe uma única chave compartilhada consistente com o transcript.
  • Não Exportabilidade: As partes secretas nunca deixam o hardware.
• Complexidade Computacional e de Comunicação:
  • Base (1+1-out-of-3): O transcript tem um tamanho de aproximadamente 11–13 KiB (para segurança de 128 bits).
  • Custo de Comunicação: $\tilde{O}(n \log p)$ bits.
  • Custo Computacional: $\tilde{O}(n \log^{2.585} p)$ operações de bits (dominado por multiplicações de escalar no grupo).
  • Registro de Dispositivo (RDR): Adicionar um novo dispositivo de recuperação custa $\tilde{O}(\log p)$ em comunicação e $\tilde{O}(\log^{2.585} p)$ em computação, sem necessidade de reexecutar a DKG completa.
• Eficiência: O protocolo evita a complexidade quadrática ($\Theta(n^2)$) típica de esquemas VSS tradicionais, pois não requer distribuição de partes para todos os pares (all-to-all), mas sim uma estrutura estrela.

5. Significado e Impacto

Este trabalho é significativo por resolver o impasse entre a segurança de hardware de ponta (NXK/TEEs) e a necessidade de protocolos criptográficos complexos e composáveis (UC-DKG).

• Viabilidade Prática para Carteiras MPC: Permite a implementação de carteiras de criptomoedas onde uma empresa de custódia (serviço) deve co-assinar transações, mas não pode ter acesso à chave completa, e onde dispositivos de recuperação podem ser adicionados dinamicamente sem comprometer a segurança ou exigir a exportação de chaves.
• Mudança de Paradigma: Demonstra que é possível realizar DKG seguro sem VSS exportável, introduzindo o conceito de "Verificação de Estrutura Única" para substituir a necessidade de revelar partes da chave para verificação.
• Resiliência a Rollback: A metodologia de geração de nonces determinísticos baseada em sementes estáticas dentro do hardware (LinOS) mitiga ataques de rollback que poderiam levar à exposição da chave em esquemas tradicionais.

Em suma, o artigo fornece a base teórica e prática para a próxima geração de carteiras MPC seguras, projetadas especificamente para operar dentro das restrições rígidas de módulos de hardware modernos, garantindo segurança composável sem sacrificar a privacidade das chaves.