SSP Editorial Team

2-of-2 vs 2-of-3 vs m-of-n multisig: memilih ambang yang tepat

·8 mnt baca·Oleh SSP Editorial Team
Sampul SSP biru navy dengan ikon kunci, perisai, dan gembok pada gradien gelap, bab pemilihan m-of-n dari seri Multisig Deep Dive

Di artikel sebelumnya, kita sudah membahas apa itu multisig: aturan pembelanjaan di mana m dari n kunci harus tanda tangan sebelum uang bergerak. SSP menempatkan kamu secara default ke 2-of-2 — dua perangkat, dua-duanya diperlukan, tanpa kuorum untuk didiskusikan. Default itu tepat untuk sebagian besar pengguna solo yang berada antara "seribu dolar pertama" dan "ini sudah uang sungguhan bagi saya". Itu tidak tepat untuk semua orang.

Artikel ini adalah pemilih. Tiga konfigurasi mencakup mayoritas mutlak setup multisig dunia nyata: 2-of-2, 2-of-3, dan 3-of-5 (atau lebih tinggi). Masing-masing benar-benar lebih baik dari yang lain dalam kondisi tertentu, dan benar-benar lebih buruk di kondisi lain. Pada akhir artikel ini, kamu seharusnya bisa menjawab: m-of-n mana yang cocok dengan apa yang sebenarnya ingin kulindungi?

TL;DR

  • 2-of-2 adalah default stack pribadi. Terbaik untuk satu pengguna dengan dua perangkat, biaya koordinasi rendah, jumlah moderat. Seluruh produk SSP dibangun di sekelilingnya.
  • 2-of-3 adalah langkahnya ketika seorang pengguna ingin merencanakan untuk kehilangan sebuah kunci — kehilangan ponsel, kehilangan backup, skenario warisan keluarga. Versi "berlebih (redundansi)" dari multisig solo.
  • 3-of-5 atau lebih tinggi adalah jawabannya saat lebih dari satu orang harus tanda tangan, saat geografi penting, atau saat dana milik sebuah perusahaan / DAO / family office, bukan milik perseorangan.
  • Menaikkan m tidak sekadar menambah keamanan — menambah risiko liveness (lebih banyak kunci harus tersedia) dan biaya koordinasi. m-of-n yang tepat meminimalkan jumlah keduanya.
  • Melampaui 2-of-3 untuk satu pengguna biasanya adalah kesalahan. Perlindungan marjinalnya kecil; rasa sakit operasionalnya besar.

Tiga pertanyaan yang menentukan m-of-n

Lewati threat modeling formal sejenak. Dalam praktiknya, tiga pertanyaan menentukan konfigurasi mana yang cocok:

  1. Siapa yang harus tanda tangan? Satu orang? Dua orang? Tim yang berputar? Organisasi tempat penandatangan datang dan pergi?
  2. Apa kegagalan dominan yang kamu lindungi — kehilangan atau pencurian? Multisig menangani keduanya, tetapi rasio yang benar antara m dan n memberatkan salah satu di atas yang lain. n lebih tinggi berarti lebih banyak redundansi terhadap kehilangan; m lebih tinggi (relatif terhadap n) berarti perlawanan lebih tinggi terhadap pencurian.
  3. Berapa biaya operasional kehilangan satu penandatangan? Kalau jawabannya "saya tidak bisa mencapai ponsel saya selama sehari", biayanya ringan. Kalau jawabannya "CFO sedang dalam penerbangan ketika gaji harus keluar", biayanya besar sekali.

Tiga garis ini cukup rapi memetakan ke tiga konfigurasi di bawah.

2-of-2: default solo-dengan-redundansi

Setup: Ada dua kunci. Keduanya harus tanda tangan. Default SSP — satu kunci di ekstensi browser, satu kunci di aplikasi seluler SSP Key.

Terbaik untuk: Satu orang, satu dompet, dua perangkat yang tidak berbagi permukaan serangan (laptop Mac dan iPhone, Android dan mesin Windows, dst.). Perlindungan datang dari pemisahan perangkat: malware di laptop tidak bisa mencapai ponsel, dan sebaliknya.

Kekuatan:

  • Biaya koordinasi terendah di antara semua multisig. Kedua perangkat itu milikmu, keduanya biasanya ada di sakumu atau di mejamu.
  • Menaikkan ambang untuk pencurian secara masif. Penyerang yang sudah sepenuhnya mengkompromikan satu dari dua perangkatmu tetap tidak bisa memindahkan uang. Dia harus mengkompromikan yang lain — hampir selalu OS berbeda, rantai serangan berbeda — untuk menang.
  • Memaksamu menyimpan dua seed, di dua tempat, dengan dua backup terpisah. Itu postur default yang jauh lebih baik daripada setup khas seed-tunggal-di-kertas-di-laci.

Kelemahan:

  • Kedua kunci itu menanggung beban. Kehilangan salah satu perangkat dan seed-nya, dan dompetnya mati. Itu sebabnya checklist Self-Custody Fundamentals memberi bobot besar pada mencadangkan kedua seed secara terpisah. Itu bukan opsional di 2-of-2.
  • Tidak ada kuorum untuk "memvotos" penandatangan yang jahat. Kalau kedua penandatangan adalah kamu, itu bukan masalah; kalau kamu pernah berbagi sebuah kunci dengan orang lain dalam 2-of-2, kedua-duanya akan punya kekuatan sandera.

Ini adalah konfigurasi yang post yang sudah ada, What is 2-of-2 multisig?, bongkar secara detail. Bacalah setelah ini untuk mekanika spesifik SSP; artikel ini hanya mengkalibrasi kapan itu pilihan yang tepat.

2-of-3: ketika seorang pengguna ingin merencanakan kehilangan

Setup: Ada tiga kunci. Mana saja dua harus tanda tangan. Pengaturan umum untuk pengguna solo: satu di perangkat "panas" untuk penggunaan harian, satu di dompet keras yang disimpan di rumah, satu di perangkat recovery yang disimpan di tempat lain (safe-deposit box, rumah orang tua, brankas bank — sesuatu yang terpisah secara geografis).

Terbaik untuk: Satu orang, tapi yang sudah melewati ambang "kalau salah satu benda terbakar, saya tetap ingin bisa memulihkan". Pengguna self-custody antara ~$10k dan ~$100k sering pindah ke sini.

Kekuatan:

  • Selamat dari kehilangan (atau kerusakan) kunci yang mana saja. Kebakaran rumah memakan dompet kerasmu? Kamu masih punya laptop + perangkat jarak jauh — cukup untuk kuorum 2-of-3.
  • Pencurian salah satu kunci pun tidak cukup — penyerang harus mengkompromikan dua dari tiga. Pemisahan geografis membuat kunci ketiga jauh lebih sulit dicapai.
  • Memberikan jalur warisan yang bersih. Kamu bisa menitipkan kunci ketiga ke anggota keluarga atau pengacara, sedemikian rupa sehingga mereka tidak bisa bertindak sepihak (mereka hanya punya satu dari tiga) tapi bisa digabungkan dengan salah satu kuncimu yang tersisa untuk memulihkan dompet di skenario yang ditentukan.

Kelemahan:

  • Lebih banyak kunci yang harus disiapkan, dicadangkan, diuji. Setiap kunci butuh seed unik dan lokasi penyimpanan unik. Seed phrase best practices adalah bacaan yang perlu sebelum kamu melakukan ini.
  • Permukaan serangan sedikit lebih besar — tiga kunci berarti tiga tempat penyerang bisa mencoba mengkompromikan, meskipun dia harus mengkompromikan dua.
  • Latihan pemulihan lebih kompleks. Kamu harus secara berkala menguji bahwa kamu benar-benar bisa menggabungkan dua dari tiga kunci untuk membelanjakan. Itu pekerjaan rumah operasional.

Pintasan mental yang berguna: 2-of-2 melindungimu dari serangan dengan harga rapuh terhadap kehilangan. 2-of-3 melindungimu dari keduanya, dengan harga lebih banyak kunci untuk dikelola.

3-of-5 (dan lebih tinggi): ketika tim dan kas masuk panggung

Setup: Ada lima kunci, mana saja tiga harus tanda tangan. Dipakai oleh perusahaan, kemitraan, DAO, family office. Lima kunci biasanya didistribusikan antar orang, peran, dan geografi.

Terbaik untuk: Dana yang bukan milik satu manusia. Di mana pun dua atau lebih orang secara sah harus mengotorisasi pengeluaran, dan di mana skenario "penandatangan satu-satunya sedang berlibur" tidak boleh dibiarkan membekukan operasi.

Kekuatan:

  • Tidak ada satu orang yang mengendalikan uang. Dua penandatangan yang dikompromi atau bandel pun tidak bisa memindahkan dana.
  • Kontinuitas operasional. Satu orang bisa saja tidak tersedia (sakit, bepergian, diberhentikan) dan empat lainnya tetap punya kuorum.
  • Mendukung pemisahan tugas secara alami — seorang controller, CFO, CEO, auditor eksternal, dan penandatangan panas bisa semua jadi peran berbeda. Ambangnya bisa disetel agar cocok dengan tata kelola perusahaan.

Kelemahan:

  • Overhead koordinasi nyata. Membuat tiga dari lima manusia benar-benar menandatangani sebuah transaksi dalam jendela waktu yang ditentukan jauh lebih sulit daripada membuat satu atau dua perangkat di sakumu sendiri menandatangani.
  • Setiap penandatangan baru menambah permukaan serangan. Lima kunci berarti lima perangkat terpisah, lima prosedur backup terpisah, lima rencana suksesi terpisah saat seorang penandatangan pergi.
  • Workflow kustom. Sebagian besar dompet konsumen tidak mengirim 3-of-5 secara default; kamu biasanya pindah ke perkakas spesialis (Safe, Casa, setup multisig kustom) setelah melewati ambang ini. SSP Wave 1 dibangun di sekitar 2-of-2 dan bukan tempat yang tepat untuk skala ini.

Varian umum — 2-of-3 dengan penandatangan sosial — duduk antara 2-of-3 solo dan 3-of-5 korporat. Kamu memegang dua kunci; anggota keluarga tepercaya atau pengacara memegang yang ketiga. Mereka tidak bisa belanja sendiri (satu kunci tidak cukup), tapi bisa membantumu memulihkan jika kamu kehilangan salah satu milikmu.

Apa yang ukuran perbaiki — dan tidak

Pergi dari 2-of-2 ke 2-of-3 ke 3-of-5 bukan slider "keamanan lebih banyak" yang linier. Beberapa properti membaik; yang lain memburuk.

Menaikkan n membantu untuk:

  • Ketahanan terhadap kehilangan (lebih banyak kunci berarti lebih banyak redundansi).
  • Perencanaan warisan.
  • Ketersediaan operasional dengan banyak manusia.

Menaikkan n merugikan:

  • Jumlah kerja kebersihan seed-phrase yang harus kamu lakukan selamanya.
  • Jumlah tempat di mana penyerang harus gagal menyerang, tapi juga jumlah tempat di mana dia harus berhasil — yang kadang lebih buruk jika kunci-kuncinya tidak benar-benar independen.

Menaikkan m (ambang) membantu untuk:

  • Perlawanan terhadap pencurian (penyerang butuh lebih banyak kunci).
  • Minimasi kepercayaan antar penandatangan (subset apa pun di bawah m tidak bisa bertindak).

Menaikkan m merugikan:

  • Liveness. Kalau m kunci harus tersedia untuk belanja, maka n - m + 1 kunci offline akan membekukan dompet. 4-of-5 yang menuntut empat manusia berkoordinasi terkenal rapuh.

Seninya adalah memilih m dan n agar biaya ketersediaan karena membutuhkan m penandatangan cocok dengan manfaat keamanan karena membutuhkan m penandatangan. Untuk sebagian besar pengguna solo, 2-of-2 jatuh di titik manis. Untuk sebagian besar tim, 3-of-5. Kasus di tengah — 2-of-3 untuk pengguna solo yang merencanakan kehilangan — adalah konfigurasi yang paling kurang dipakai dalam self-custody retail.

Apa artinya ini untukmu

Tiga kesimpulan:

  1. Default ke 2-of-2 untuk penggunaan solo di bawah lima digit. Itulah untuk apa SSP dibangun, itulah yang dijelaskan Meet SSP Wallet, dan itu adalah setup dengan friksi paling rendah yang secara material menaikkan postur keamananmu.
  2. Pindah ke 2-of-3 begitu biaya kehilangan satu kunci melebihi biaya mengelola tiga. Kira-kira: ketika kamu sudah melewati ambang "ini kekayaan sungguhan", ketika kamu punya pertanyaan warisan yang jelas, atau ketika kamu sudah pernah mengalami satu pengalaman dekat hampir-recovery.
  3. Jangan menjangkau 3-of-5+ kecuali kamu melindungi dana milik lebih dari satu orang. Itu jawaban yang benar untuk organisasi, dan tidak sungguh-sungguh untuk individu — bahkan yang berkekayaan tinggi cenderung memakai 2-of-3 dengan pembantu custodial daripada 3-of-5 penuh.

Artikel selanjutnya dalam seri ini, BIP48 explained: the derivation path behind SSP, masuk ke bagaimana dompet 2-of-2 (atau 2-of-3) sebenarnya dibangun on-chain — standar yang membuat banyak kunci bisa bekerja sama dan alasan kenapa sebagian besar dompet multisig modern saling interoperable.

Bagikan artikel ini

Artikel terkait

Sampul SSP biru navy dengan ikon perisai, kunci, mata dicoret, dan CPU pada gradien gelap, bab mode kegagalan dari Multisig Deep Dive

Mode kegagalan multisig dan bagaimana SSP memitigasinya

Lima mode kegagalan multisig konkret — perangkat hilang, seed hilang, kompromi kunci, outage server, kehancuran total — dan jalur pemulihan untuk setiap di SSP.

10 min read
Sampul SSP biru navy dengan ikon kunci, petir, dan perisai pada gradien gelap, bab UX single-signer dari Multisig Deep Dive

Multisig single-signer: bagaimana SSP membuat dua perangkat terasa seperti satu dompet

Bagaimana SSP merangkum multisig 2-of-2 menjadi UX single-signer, apa yang disembunyikan, di mana pecah, dan kenapa friksinya adalah keamanan.

9 min read
Sampul SSP biru navy dengan ikon kunci, perisai, sidik jari, dan gembok pada gradien gelap, bab perbandingan social-recovery dari Multisig Deep Dive

Social recovery vs multisig: dua jawaban untuk kehilangan kunci

Multisig melindungi dari pencurian; social recovery dari kehilangan. Kapan masing-masing menang untuk setup solo, bersama, dan tim.

8 min read