投资百科/加密货币/门限签名Threshold Signature是什么?多方如何共同生成一个签名?

门限签名Threshold Signature是什么?多方如何共同生成一个签名?

门限签名把私钥能力分散给多方,达到阈值后共同生成普通可验证签名。本文解释M-of-N、DKG、MPC钱包及其与多签的区别。

2026-06-11

门限签名(Threshold Signature)允许N个参与者共同控制一把签名权,只要其中至少M个参与者合作,就能生成一个对外看起来与普通签名相同的有效签名。少于M份密钥材料的参与者通常无法独立签名,也无法恢复完整私钥。

它常用于MPC钱包、机构托管、验证者密钥和跨链协议。门限签名与链上多签都能降低单点私钥风险,但实现层、链上表现、恢复方法和审计边界不同。

定义

M-of-N 是门限结构的基本表达:

  • N是参与者或密钥份额总数;
  • M是完成签名所需最少份额数。

例如2-of-3表示三方中任意两方合作即可签名。单独一方泄露不足以转走资产,一方设备丢失也不会立即锁死资金。

门限签名通常包含两个阶段:

  1. 密钥生成或分片:建立分布式密钥份额;
  2. 签名协议:达到阈值的参与者交换消息,生成最终签名。

最终链上只看到对应公钥和一个标准签名,不一定知道背后有几方参与。

DKG是什么?

分布式密钥生成(Distributed Key Generation,DKG)让参与者共同产生公钥和各自密钥份额,而不在任何时刻组合出完整私钥。

每方贡献随机材料,通过承诺、证明和安全通信验证其他方没有作弊。最终所有参与者得到自己的Share,系统得到一个公共公钥。

若某个中心服务器先生成完整私钥,再切成三份分发,虽然也能实现恢复阈值,但生成瞬间存在完整密钥单点。真正的DKG目标是避免这个时刻。

签名怎样完成?

以2-of-3钱包为例,Alice与Bob准备签名一笔交易:

  1. 双方独立核对链、地址、金额与Nonce;
  2. 各自生成一次性签名材料;
  3. 交换协议消息与证明;
  4. 使用自己的密钥份额计算部分签名;
  5. 聚合部分结果形成标准签名;
  6. 将签名交易广播到链上。

不同算法需要不同轮数。有的协议可预计算部分材料以加快在线签名,有的需要实时多轮通信。

一次性Nonce若重复、泄露或由恶意方操纵,可能暴露密钥份额。门限签名安全不只取决于长期Share,还取决于每次签名随机数管理。

与链上多签的区别

对比项门限签名智能合约多签
链上外观通常是一个公钥和一个签名合约记录多个Owner与阈值
协议支持底层签名算法支持即可链上需支持多签脚本或合约
隐私阈值结构通常不直接公开Owner和批准常公开
Gas接近普通签名交易合约验证可能更贵
权限模块依赖钱包系统设计合约可加入限额、守卫和模块
恢复与升级需要份额轮换协议可由合约交易更换Owner
审计边界密码学协议、通信和终端合约代码、模块与Owner

门限签名不是“更高级所以一定更安全”。链上多签透明、容易独立审计;门限签名链下实现复杂,用户可能难以验证实际参与者是否独立。

与密钥分片备份的区别

Shamir Secret Sharing可以把已有秘密分成M-of-N份,需要恢复时把足够份额组合出完整私钥。它适合备份,但恢复过程中完整密钥会出现。

门限签名允许各方在不重建完整私钥的情况下共同签名。日常签名和灾难恢复因此可以使用不同机制。

有些产品把“助记词分成三份”宣传为MPC钱包,实际只是备份分片。用户应询问签名时是否重构完整密钥、在什么设备和内存中出现。

数字案例:机构2-of-3钱包

机构把三个Share分别放在:

  • 交易团队硬件设备;
  • 独立风控部门;
  • 灾备托管机构。

日常提款需要交易团队与风控共同签名;主办公室故障时,交易团队或新授权人与灾备方合作。

如果交易与风控Share都运行在同一云账户,2-of-3在组织图上分散,技术上仍可能被一次云凭证泄露攻破。真正独立需要设备、管理员、网络、地域和审批路径分离。

主动安全与被动安全

被动安全假设攻击者观察协议但不发送恶意消息;主动安全则考虑参与者故意发送错误Share、选择恶意Nonce或中断流程。

生产系统需要可验证秘密分享、零知识证明、消息认证和恶意参与者识别。仅证明“少于M份无法计算私钥”不足以保证主动攻击下安全。

协议还要明确Abort行为。一方可在最后一轮拒绝发送消息,导致签名失败。它可能偷不到钱,却能持续阻断提款,形成可用性攻击。

密钥刷新与轮换

门限系统可以在公钥不变的情况下刷新各方Share,使旧泄露份额失效;也可以更换参与者或阈值。

理想刷新协议不会重构完整私钥。员工离职、设备报废或怀疑泄露时,应及时执行,而不是只删除本地文件。

轮换前必须验证新参与者设备和备份。若先移除旧份额、再发现新份额不可用,可能让可用Share低于阈值。

如何实际评估MPC钱包?

  1. 确认使用哪种门限签名协议和签名算法。
  2. 询问密钥是DKG生成还是先生成后切分。
  3. 确认签名时是否出现完整私钥。
  4. 列出Share所在设备、运营者和地域。
  5. 检查一次性Nonce如何生成与防重复。
  6. 了解轮换、恢复、提高或降低阈值流程。
  7. 测试一方离线时是否仍能签名。
  8. 测试达到阈值但一方恶意中断时如何处理。
  9. 确认交易内容是否在每个独立设备上显示。
  10. 查看协议与实现审计,而不只看公司宣传。

第一次使用应小额完成签名、设备丢失、成员轮换和恢复演练。

交易内容核验

门限签名只保证达到阈值的设备参与,不保证参与者理解签了什么。如果所有设备都从同一被攻破前端读取交易,可能一致签署恶意地址。

每个签名方应通过独立可信界面核对:

  • 链ID;
  • 收款地址;
  • 资产合约;
  • 原始金额与小数位;
  • 调用方法;
  • 授权额度;
  • Nonce与费用;
  • 模拟后的状态变化。

组织审批与密码学阈值必须同时独立。

备份与灾难恢复

每个Share需要加密备份,但不能把所有备份集中到同一管理员保险柜,否则攻击者一次获取即可达到阈值。

恢复演练要覆盖设备损坏、人员失联、供应商倒闭、客户端下线和网络不可用。仅确认备份文件存在,不代表能够恢复协议状态。

使用托管恢复方时,应明确它能否单独改变参与者、延迟签名或读取交易隐私。恢复便利通常引入额外信任。

门限BLS与门限ECDSA

BLS签名天然支持聚合,门限构造相对直观,常见于共识与验证者集合。ECDSA在许多链上广泛使用,但门限ECDSA协议更复杂,涉及交互式乘法和Nonce安全。

Schnorr签名具有线性结构,适合MuSig和门限方案,但具体协议仍需防止恶意密钥与Nonce攻击。

不能因为底层曲线相同,就认为不同门限实现可以互换。链是否接受最终签名格式、协议安全证明和库实现都要核对。

跨链与桥的门限签名

一些桥由M-of-N签名者共同授权铸币或提款。即使链上只看到普通签名,安全实际上依赖这组签名者。

研究时应确认签名者是谁、是否真正独立、阈值多高、能否更换公钥、密钥轮换由谁控制,以及达到阈值能否无限铸币。

“使用MPC”只描述签名技术,不等于桥资产有充分抵押或没有治理后门。

常见误区

误区 1:门限签名等于把助记词切成几份

备份分片可能在恢复时重构私钥,门限签名日常无需完整私钥出现。

误区 2:2-of-3天然没有单点

三份Share若由同一云账户、管理员或软件控制,仍可能共同失陷。

误区 3:链上只看到一个签名,所以没有治理风险

链下参与者、轮换服务器和恢复方仍是控制面。

误区 4:少于阈值偷不到钱就没有风险

少数参与者仍可能阻断签名、泄露隐私或破坏可用性。

误区 5:协议有安全证明,实现就一定安全

随机数、通信、终端、依赖库和部署错误都会破坏假设。

误区 6:MPC可以阻止恶意交易

如果达到阈值的参与者都被欺骗或合谋,系统仍会生成有效签名。

常见问题 FAQ

门限签名可以改变阈值吗?

取决于协议。通常需要Share刷新或重新分布,不能只改界面数字。

一份Share丢失怎么办?

只要剩余可用份额达到阈值,可通过协议刷新或替换;应在更多份额失效前处理。

最终签名与普通钱包签名有区别吗?

对链上验证通常没有区别,这也是兼容性和隐私优势。

门限签名需要智能合约吗?

不一定。它在链下生成底层链可直接验证的标准签名。

多签和门限签名怎样选择?

重视链上透明、模块权限可选合约多签;重视跨链兼容、隐私与普通签名费用可研究门限方案,同时承担更复杂链下安全。

一句话总结

KEY TAKEAWAY

门限签名让M-of-N参与者在不重构完整私钥的情况下共同生成一个标准签名;真正安全不只看阈值数字,还要验证DKG、Nonce、Share独立性、轮换恢复、交易核验和少数参与者阻断服务的风险。