SSP Editorial Team

2-of-2 vs 2-of-3 vs m-of-n multisig: doğru eşiği seçmek

·8 dk okuma·Yazar: SSP Editorial Team
Lacivert SSP kapağı; karanlık degrade üzerinde anahtar, kalkan ve kilit ikonları; Multisig Deep Dive serisinin m-of-n seçim bölümü

Önceki yazıda multisig'in ne olduğunu kapsadık: para hareket etmeden önce m adet n anahtarın imzalamak zorunda olduğu bir harcama kuralı. SSP seni varsayılan olarak bir 2-of-2'ye koyar — iki cihaz, ikisi de gerekli, tartışılacak yeter sayı yok. O default, "ilk bin dolar" ile "bu artık benim için gerçek para" arasındaki çoğu solo kullanıcı için doğrudur. Herkes için doğru değil.

Bu yazı seçici. Üç yapılandırma, gerçek dünyadaki multisig kurulumlarının ezici çoğunluğunu kapsar: 2-of-2, 2-of-3 ve 3-of-5 (veya daha yüksek). Her biri belirli koşullar altında diğerlerinden açıkça daha iyidir, ve diğerleri altında açıkça daha kötüdür. Bu yazının sonunda şuna cevap verebilmelisin: gerçekten korumaya çalıştığım şeye hangi m-of-n uyuyor?

TL;DR

  • 2-of-2 kişisel stack'in default'u. İki cihazı olan tek kullanıcı için, düşük koordinasyon yükü, mütevazı miktarlarda en iyi. Tüm SSP ürünü bunun etrafında inşa edilmiştir.
  • 2-of-3 kullanıcının bir anahtarı kaybetmeyi planlamak istediği zaman atılan adım — telefon kaybı, backup kaybı, aile miras senaryoları. Solo multisig'in "yedeklemeli" sürümü.
  • 3-of-5 veya daha yüksek, birden fazla kişinin imzalaması gerektiğinde, coğrafya önemli olduğunda, ya da fonlar kişiden çok bir şirkete / DAO'ya / family office'e ait olduğunda cevaptır.
  • m'i yükseltmek sadece güvenlik eklemez — liveness riski (uygun olması gereken daha çok anahtar) ve koordinasyon maliyeti ekler. Doğru m-of-n ikisinin toplamını minimize eder.
  • Tek bir kullanıcı için 2-of-3'ün üstüne çıkmak genellikle bir hatadır. Marjinal koruma küçük; operasyonel acı büyük.

m-of-n'i belirleyen üç soru

Resmi threat modeling'i bir saniye atla. Pratikte üç soru hangi yapılandırmanın uyduğuna karar verir:

  1. Kimin imzalaması gerekiyor? Bir kişi mi? İki kişi mi? Dönen bir takım mı? İmzacıların gelip gittiği bir kuruluş mu?
  2. Hangi başarısızlığa karşı koruma alıyorsun — kayıp mı, hırsızlık mı? Multisig ikisini de halleder, ama m'in n'e oranı birini diğerinin üzerine ağırlık verir. Yüksek n kayba karşı daha çok yedeklilik demek; yüksek m (n'e göre) hırsızlığa karşı daha çok direnç demek.
  3. Bir imzacıyı kaybetmenin operasyonel maliyeti nedir? Cevap "telefonuma bir gün ulaşamayacağım" ise maliyet hafiftir. Cevap "maaş çıkacakken CFO uçakta" ise maliyet çok büyüktür.

Bu üç hat aşağıdaki üç yapılandırmaya oldukça temiz şekilde haritalanır.

2-of-2: yedeklemeli-solo default'u

Setup: İki anahtar var. İkisi de imzalamak zorunda. SSP'nin default'u — bir anahtar tarayıcı eklentinde, bir anahtar SSP Key mobil uygulamasında.

En iyi: Saldırı yüzeyini paylaşmayan iki cihazı olan bir kişi, bir cüzdan (Mac laptop ve iPhone, Android ve Windows makinesi, vs.). Koruma cihaz ayrımından gelir: laptop'taki kötü yazılım telefona ulaşamaz, tersi de.

Güçlü yanlar:

  • Tüm multisig'lerin en düşük koordinasyon maliyeti. İki cihaz da senin, ikisi de genelde cebinde veya masanda.
  • Hırsızlık çıtasını çok yükseltir. İki cihazından birini tamamen tehlikeye atmış bir saldırgan yine de para hareket ettiremez. Kazanmak için diğerini de tehlikeye atmalı — neredeyse her zaman farklı OS, farklı saldırı zinciri.
  • İki seed'i, iki yerde, iki ayrı yedekle tutmaya zorlar. Tipik "çekmecede tek seed kağıdı" kurulumundan çok daha iyi varsayılan duruş.

Zayıf yanlar:

  • Her iki anahtar da yük taşıyıcı. İki cihazdan herhangi birini ve seed'ini kaybedersen cüzdan ölü demektir. Bu yüzden Self-Custody Fundamentals kontrol listesi her iki seed'i ayrı ayrı yedeklemeye bu kadar ağırlık verir. 2-of-2'de opsiyonel değildir.
  • Kötü bir imzacıyı "oyla geçecek" bir yeter sayı yok. İki imzacı da sensen sorun değil; bir 2-of-2'de hiç başka biriyle bir anahtarı paylaşacak olsaydın, ikiniz de rehine gücüne sahip olurdunuz.

Bu, mevcut What is 2-of-2 multisig? yazısının ayrıntılı olarak açtığı yapılandırmadır. Onu bu yazıdan sonra SSP'ye özgü mekanik için oku; bu yazı sadece ne zaman doğru tercih olduğunu kalibre ediyor.

2-of-3: bir kullanıcı kaybı planlamak istediğinde

Setup: Üç anahtar var. Herhangi ikisi imzalamak zorunda. Solo kullanıcı için yaygın yerleşim: günlük kullanım için "sıcak" bir cihazda bir, evde tutulan bir donanım cüzdanında bir, başka yerde tutulan bir kurtarma cihazında bir (kasa kiralık, anne baba evi, banka kasası — coğrafi olarak ayrılmış bir yer).

En iyi: Bir kişi, ama "tek bir nesne yansa bile yine de kurtarabilmek istiyorum" eşiğini geçmiş biri. ~$10k ile ~$100k arası self-custody kullanıcıları sık sık buraya göç eder.

Güçlü yanlar:

  • Herhangi bir anahtarın kaybına (ya da yok olmasına) dayanır. Ev yangını donanım cüzdanını mı yedi? Hâlâ laptop + uzak cihazın var — 2-of-3 yeter sayısı için yeterli.
  • Herhangi bir anahtarın çalınması yine yetmez — saldırganın üç anahtardan ikisini tehlikeye atması gerekir. Coğrafi ayrım üçüncü anahtara ulaşmayı çok zorlaştırır.
  • Temiz bir miras yolu sağlar. Üçüncü anahtarı bir aile üyesine veya avukata, tek başlarına hareket edemeyecekleri (üçte biri var) ama kalan anahtarlarından biriyle birleştirip tanımlanmış bir senaryoda cüzdanı kurtarabilecekleri biçimde bırakabilirsin.

Zayıf yanlar:

  • Hazırlanacak, yedeklenecek, test edilecek daha çok anahtar. Her birinin benzersiz bir seed'i ve benzersiz bir saklama yeri olmalı. Seed phrase best practices yapmadan önce gerekli okuma.
  • Biraz daha geniş saldırı yüzeyi — üç anahtar, saldırganın tehlikeye atmayı deneyebileceği üç yer demek, iki tanesini tehlikeye atmak gerekse de.
  • Daha karmaşık kurtarma provası. Üç anahtardan ikisini harcamak için gerçekten birleştirebildiğini periyodik olarak test etmelisin. Operasyonel bir uğraş.

Yararlı bir zihinsel kısayol: 2-of-2 seni saldırıya karşı korurken kayba karşı kırılgan olma maliyetine katlanır. 2-of-3 seni ikisine karşı korurken daha çok anahtar yönetme maliyetine katlanır.

3-of-5 (ve daha yüksek): takımlar ve hazineler sahneye geldiğinde

Setup: Beş anahtar var, herhangi üçü imzalamak zorunda. Şirketler, ortaklıklar, DAO'lar, family office'ler tarafından kullanılır. Beş anahtar genelde kişiler, roller ve coğrafyalar arasında dağıtılır.

En iyi: Tek bir insana ait olmayan fonlar. İki ya da daha fazla kişinin meşru olarak harcamayı onaylaması gereken her yer, ve "tek imzacı tatilde" senaryosunun operasyonları dondurmasına izin verilmemesi gereken her yer.

Güçlü yanlar:

  • Tek bir kişi parayı kontrol etmez. Tehlikeye atılmış veya bağımsız iki imzacı yine de fonları hareket ettiremez.
  • Operasyonel süreklilik. Herhangi bir kişi uygun olmayabilir (hasta, seyahatte, işten çıkarılmış) ve diğer dördü hâlâ yeter sayıya sahiptir.
  • Görev ayrımını doğal olarak destekler — bir controller, bir CFO, bir CEO, bir dış denetçi ve bir sıcak imzacı hepsi ayrı roller olabilir. Eşik şirketin yönetişimine uyacak şekilde ayarlanabilir.

Zayıf yanlar:

  • Koordinasyon yükü gerçek. Beşten üç insanın tanımlı bir pencerede gerçekten bir işlemi imzalamasını sağlamak, kendi cebinde bir veya iki cihazı imzalatmaktan açıkça daha zordur.
  • Her yeni imzacı saldırı yüzeyi ekler. Beş anahtar, beş ayrı cihaz, beş ayrı backup prosedürü, bir imzacı ayrıldığında beş ayrı ardıllık planı demek.
  • Özel iş akışları. Çoğu tüketici cüzdanı 3-of-5'i varsayılan olarak vermez; bu eşiği geçtiğinde genellikle uzman araçlara (Safe, Casa, özel multisig kurulumları) geçilir. SSP Wave 1, 2-of-2 etrafında kuruludur ve bu ölçek için doğru yer değildir.

Yaygın bir varyant — sosyal imzacıları olan 2-of-3 — solo 2-of-3 ile kurumsal 3-of-5 arasında oturur. Sen iki anahtarı tutarsın; güvenilir bir aile üyesi veya avukat üçüncüyü tutar. Tek başlarına harcayamazlar (bir anahtar yetmez), ama seninkilerden birini kaybedersen kurtarmana yardım edebilirler.

Boyutun düzelttiği — ve düzeltmediği — şey

2-of-2'den 2-of-3'e 3-of-5'e geçmek doğrusal bir "daha çok güvenlik" kaydırıcısı değildir. Bazı özellikler iyileşir; başkaları kötüleşir.

n'i yükseltmek şuna yardım eder:

  • Kayba karşı dayanıklılık (daha çok anahtar daha çok yedeklilik demek).
  • Miras planlaması.
  • Çok kişilik operasyonel uygunluk.

n'i yükseltmek şuna zarar verir:

  • Sonsuza dek yapman gereken seed-phrase hijyen iş miktarı.
  • Saldırganın saldırıda başarısız olması gereken yer sayısı, ama aynı zamanda başarılı olması gereken yer sayısı — anahtarlar gerçekten bağımsız değilse bazen daha kötü.

m'i (eşiği) yükseltmek şuna yardım eder:

  • Hırsızlığa direnç (saldırganın daha çok anahtara ihtiyacı var).
  • İmzacılar arasında güven minimizasyonu (m'in altındaki herhangi bir alt küme hareket edemez).

m'i yükseltmek şuna zarar verir:

  • Liveness. Eğer harcamak için m anahtar uygun olmak zorundaysa, n - m + 1 anahtarın çevrimdışı olması cüzdanı dondurur. Dört insanın koordinasyonunu gerektiren 4-of-5 efsane derecede kırılgan olarak bilinir.

Sanat, m ve n'i, m imzacı gerektirmenin uygunluk maliyeti, m imzacı gerektirmenin güvenlik faydası ile eşleşecek biçimde seçmektir. Solo kullanıcıların çoğu için 2-of-2 sweet spot'a düşer. Takımların çoğu için 3-of-5. Ortadaki durum — kaybı planlayan solo kullanıcı için 2-of-3 — retail self-custody'de en az kullanılan yapılandırmadır.

Bu senin için ne anlama geliyor

Üç çıkarım:

  1. Beş haneye kadar solo kullanımda 2-of-2'yi default al. SSP bunun için kuruldu, Meet SSP Wallet bunu anlatıyor, ve güvenlik duruşunu maddi olarak yükselten en düşük sürtünmeli kurulumdur.
  2. Bir anahtarı kaybetmenin maliyeti üçü yönetmenin maliyetini aştığında 2-of-3'e geç. Kabaca: "Bu gerçek bir varlık" eşiğini geçtiğinde, net bir miras sorun varsa, ya da yakın bir recovery korkusu yaşadıysan.
  3. 3-of-5+'ya, bir kişiden fazlasına ait fonları korumadıkça uzanma. Bu, kuruluşlar için doğru cevap, bireyler için pek değil — yüksek net değerli olanlar bile tam 3-of-5 yerine custodial yardımcı ile 2-of-3 kullanmaya eğilim duyar.

Bu serideki sonraki yazı, BIP48 explained: the derivation path behind SSP, bir 2-of-2 (veya 2-of-3) cüzdanın aslında zincir üzerinde nasıl kurulduğuna girer — çoklu anahtarların işbirliği yapmasını sağlayan standart ve çoğu modern multisig cüzdanın birlikte çalışabilir olmasının nedeni.

Bu makaleyi paylaş

İlgili makaleler

Lacivert SSP kapağı; karanlık degrade üzerinde kalkan, anahtar, kapalı göz ve CPU ikonları; Multisig Deep Dive'in arıza modları bölümü

Multisig arıza modları ve SSP onları nasıl azaltır

Beş somut multisig arıza modu — cihaz kaybı, seed kaybı, anahtar tehlikesi, sunucu kesintisi, tam yıkım — ve SSP'de her biri için kurtarma yolu.

10 min read
Lacivert SSP kapağı; karanlık degrade üzerinde anahtar, şimşek ve kalkan ikonları; Multisig Deep Dive'in single-signer UX bölümü

Single-signer multisig: SSP iki cihazı nasıl bir cüzdan gibi hissettiriyor

SSP, 2-of-2 multisig protokolünü single-signer UX'e nasıl indirgiyor, ne gizleniyor, soyutlama nerede kırılıyor ve gördüğünüz sürtünme neden güvenliktir.

9 min read
Lacivert SSP kapağı; karanlık degrade üzerinde anahtar, kalkan, parmak izi ve kilit ikonları; Multisig Deep Dive'in social-recovery karşılaştırma bölümü

Social recovery vs multisig: anahtar kaybına iki yanıt

Multisig hırsızlığa karşı, social recovery kayba karşı korur. Solo, ortak ve takım kurulumlarında hangisinin ne zaman kazandığı.

8 min read