2-of-2 vs 2-of-3 vs m-of-n multisig: chọn ngưỡng đúng

Trong bài trước, chúng ta đã trình bày multisig là gì: một quy tắc chi tiêu trong đó m trong n khóa phải ký trước khi tiền di chuyển. SSP đặt bạn mặc định vào 2-of-2 — hai thiết bị, cả hai đều bắt buộc, không có quorum để bàn. Mặc định đó đúng cho phần lớn người dùng solo nằm giữa "một nghìn đô đầu tiên" và "đây đã là tiền thật với tôi". Nó không đúng cho tất cả mọi người.

Bài này là bộ chọn. Ba cấu hình bao trùm tuyệt đại đa số các setup multisig thực tế: 2-of-2, 2-of-3, và 3-of-5 (hoặc cao hơn). Mỗi cái thực sự tốt hơn các cái khác trong những điều kiện cụ thể, và thực sự tệ hơn ở những điều kiện khác. Đến cuối bài này, bạn nên trả lời được: m-of-n nào khớp với cái mà tôi thực sự đang cố bảo vệ?

TL;DR

• 2-of-2 là mặc định của stack cá nhân. Tốt nhất cho một người dùng với hai thiết bị, chi phí phối hợp thấp, số tiền vừa phải. Toàn bộ sản phẩm SSP được xây quanh điều này.
• 2-of-3 là bước đi khi người dùng muốn lên kế hoạch mất một khóa — mất điện thoại, mất backup, các kịch bản thừa kế trong gia đình. Phiên bản "có dự phòng" của multisig solo.
• 3-of-5 hoặc cao hơn là câu trả lời khi nhiều hơn một người cần ký, khi địa lý có ảnh hưởng, hoặc khi tiền thuộc về một công ty / DAO / family office chứ không thuộc về một cá nhân.
• Đẩy m lên không chỉ thêm bảo mật — còn thêm rủi ro liveness (nhiều khóa hơn cần có mặt) và chi phí phối hợp. m-of-n đúng tối thiểu hóa tổng của cả hai.
• Đi vượt 2-of-3 cho một người dùng đơn lẻ thường là sai lầm. Bảo vệ tăng thêm thì nhỏ; cơn đau vận hành thì lớn.

Ba câu hỏi quyết định m-of-n

Hãy bỏ qua threat modeling chính quy một giây. Trên thực tế, ba câu hỏi quyết định cấu hình nào hợp:

1. Ai cần ký? Một người? Hai người? Một đội luân phiên? Một tổ chức nơi người ký đến rồi đi?
2. Lỗi nào là chủ đạo mà bạn đang phòng — mất hay trộm? Multisig xử lý cả hai, nhưng tỉ lệ đúng giữa m và n ưu tiên cái này hơn cái kia. n cao hơn nghĩa là dự phòng cao hơn trước mất; m cao hơn (so với n) nghĩa là chống trộm tốt hơn.
3. Chi phí vận hành khi mất một người ký là bao nhiêu? Nếu câu trả lời là "tôi không lấy được điện thoại trong một ngày", chi phí nhẹ. Nếu câu trả lời là "CFO đang trên máy bay khi phải chốt bảng lương", chi phí khổng lồ.

Ba đường này ánh xạ khá gọn sang ba cấu hình bên dưới.

2-of-2: mặc định solo-có-dự-phòng

Setup: Có hai khóa. Cả hai phải ký. Mặc định của SSP — một khóa trong tiện ích trình duyệt, một khóa trong ứng dụng di động SSP Key.

Tốt nhất cho: Một người, một ví, hai thiết bị không chia sẻ bề mặt tấn công (một laptop Mac và một iPhone, một Android và một máy Windows, v.v.). Bảo vệ đến từ sự tách biệt thiết bị: malware trên laptop không vươn tới điện thoại được, và ngược lại.

Điểm mạnh:

• Chi phí phối hợp thấp nhất trong các multisig. Cả hai thiết bị đều là của bạn, cả hai thường ở trong túi hoặc trên bàn.
• Nâng ngưỡng cho trộm cắp lên rất nhiều. Kẻ tấn công đã hoàn toàn xâm phạm một trong hai thiết bị vẫn không di chuyển được tiền. Phải xâm phạm thiết bị còn lại — gần như luôn khác OS, khác chuỗi tấn công — mới thắng.
• Bắt bạn phải giữ hai seed, ở hai nơi, với hai backup riêng. Đó là tư thế mặc định tốt hơn nhiều so với kiểu một-seed-trên-giấy-trong-ngăn-kéo thường thấy.

Điểm yếu:

• Cả hai khóa đều chịu tải. Mất bất kỳ thiết bị nào và seed của nó là ví chết. Vì vậy checklist Self-Custody Fundamentals đặt nhiều trọng lượng lên việc sao lưu cả hai seed riêng rẽ. Không tùy chọn trong 2-of-2.
• Không có quorum để "bỏ phiếu loại" một người ký xấu. Nếu cả hai người ký là bạn, không vấn đề; nếu bạn từng chia một khóa với một người khác trong 2-of-2, cả hai sẽ có quyền lực con tin.

Đây là cấu hình mà bài hiện có What is 2-of-2 multisig? mở ra chi tiết. Đọc nó sau bài này để xem cơ chế cụ thể của SSP; bài này chỉ đang hiệu chỉnh khi nào nó là lựa chọn đúng.

2-of-3: khi một người dùng muốn lên kế hoạch cho mất

Setup: Có ba khóa. Bất kỳ hai khóa nào phải ký. Bố trí phổ biến cho người dùng solo: một trên thiết bị "nóng" cho dùng hàng ngày, một trên ví cứng giữ ở nhà, một trên thiết bị recovery để ở nơi khác (két thuê, nhà bố mẹ, két ngân hàng — đâu đó tách biệt về địa lý).

Tốt nhất cho: Một người, nhưng đã vượt ngưỡng "nếu bất kỳ vật gì cháy, tôi vẫn muốn có thể phục hồi". Người dùng self-custody giữa ~$10k và ~$100k thường chuyển sang đây.

Điểm mạnh:

• Sống sót qua việc mất (hoặc bị phá hủy) bất kỳ khóa nào. Cháy nhà ngấu nghiến ví cứng của bạn? Bạn vẫn còn laptop + thiết bị xa — đủ cho quorum 2-of-3.
• Trộm bất kỳ khóa nào vẫn chưa đủ — kẻ tấn công phải xâm phạm hai trong ba. Sự tách biệt địa lý khiến khóa thứ ba khó với tới hơn nhiều.
• Cung cấp đường thừa kế gọn gàng. Bạn có thể để khóa thứ ba cho một thành viên gia đình hoặc luật sư theo cách họ không thể hành động một mình (họ chỉ có một trong ba) nhưng có thể kết hợp với một trong các khóa còn lại của bạn để phục hồi ví trong một kịch bản đã xác định.

Điểm yếu:

• Nhiều khóa hơn để cung cấp, sao lưu, kiểm thử. Mỗi khóa cần một seed duy nhất và một vị trí lưu trữ duy nhất. Seed phrase best practices là bài đọc bắt buộc trước khi làm điều này.
• Bề mặt tấn công hơi rộng hơn — ba khóa nghĩa là ba nơi kẻ tấn công có thể thử xâm phạm, dù phải xâm phạm hai.
• Diễn tập phục hồi phức tạp hơn. Bạn nên định kỳ kiểm thử rằng bạn thực sự có thể kết hợp hai trong ba khóa để chi tiêu. Đó là một công việc vận hành.

Một lối tắt tinh thần hữu ích: 2-of-2 bảo vệ bạn trước tấn công với cái giá là dễ vỡ trước mất. 2-of-3 bảo vệ bạn trước cả hai, với cái giá là nhiều khóa hơn để quản lý.

3-of-5 (và cao hơn): khi đội nhóm và ngân quỹ vào sân

Setup: Có năm khóa, bất kỳ ba khóa nào phải ký. Được dùng bởi công ty, đối tác, DAO, family office. Năm khóa thường được phân bố giữa người, vai trò và địa lý.

Tốt nhất cho: Quỹ không thuộc về một con người duy nhất. Bất cứ đâu hai hay nhiều người cần hợp pháp ủy quyền chi tiêu, và nơi kịch bản "người ký duy nhất đang nghỉ phép" không nên được phép đóng băng hoạt động.

Điểm mạnh:

• Không một người đơn lẻ nào kiểm soát tiền. Hai người ký bị xâm phạm hoặc bất tuân vẫn không di chuyển được tiền.
• Tính liên tục vận hành. Bất kỳ một người nào có thể không có mặt (ốm, đi công tác, bị sa thải) và bốn người còn lại vẫn có quorum.
• Hỗ trợ tự nhiên việc tách biệt nhiệm vụ — một controller, một CFO, một CEO, một kiểm toán độc lập và một người ký nóng tất cả có thể là vai trò riêng. Ngưỡng có thể được tinh chỉnh khớp với quản trị công ty.

Điểm yếu:

• Chi phí phối hợp là thật. Khiến ba trong năm con người thực sự ký một giao dịch trong một cửa sổ đã định khó hơn nhiều so với khiến một hoặc hai thiết bị trong túi bạn ký.
• Mỗi người ký mới thêm bề mặt tấn công. Năm khóa nghĩa là năm thiết bị riêng, năm quy trình backup riêng, năm kế hoạch thay người riêng khi một người ký rời đi.
• Workflow tùy chỉnh. Phần lớn ví tiêu dùng không có 3-of-5 mặc định; bạn thường chuyển sang công cụ chuyên dụng (Safe, Casa, setup multisig tùy chỉnh) sau ngưỡng này. SSP Wave 1 được xây quanh 2-of-2 và không phải nơi đúng cho quy mô này.

Một biến thể phổ biến — 2-of-3 với người ký xã hội — nằm giữa 2-of-3 solo và 3-of-5 doanh nghiệp. Bạn giữ hai khóa; một người nhà tin cậy hoặc luật sư giữ khóa thứ ba. Họ không thể chi một mình (một khóa không đủ), nhưng có thể giúp bạn phục hồi nếu bạn mất một trong các khóa của mình.

Kích thước có — và không — sửa cái gì

Đi từ 2-of-2 sang 2-of-3 sang 3-of-5 không phải là thanh trượt "thêm bảo mật" tuyến tính. Một số thuộc tính tốt lên; một số xấu đi.

Tăng n giúp:

• Khả năng chịu mất (nhiều khóa hơn nghĩa là nhiều dự phòng hơn).
• Kế hoạch thừa kế.
• Tính sẵn sàng vận hành với nhiều con người.

Tăng n hại:

• Lượng công việc giữ vệ sinh seed-phrase mà bạn phải làm mãi mãi.
• Số nơi kẻ tấn công phải thất bại trong tấn công, nhưng cũng là số nơi kẻ tấn công phải thành công — đôi khi tệ hơn nếu các khóa không thực sự độc lập.

Tăng m (ngưỡng) giúp:

• Chống trộm (kẻ tấn công cần nhiều khóa hơn).
• Tối thiểu hóa niềm tin giữa các người ký (bất kỳ tập con nào dưới m không thể hành động).

Tăng m hại:

• Liveness. Nếu m khóa phải có mặt để chi tiêu, thì n - m + 1 khóa ngoại tuyến đóng băng ví. Một 4-of-5 yêu cầu bốn con người phối hợp nổi tiếng là dễ vỡ.

Nghệ thuật là chọn m và n sao cho chi phí sẵn sàng khi cần m người ký khớp với lợi ích bảo mật khi cần m người ký. Với phần lớn người dùng solo, 2-of-2 rơi vào điểm ngọt. Với phần lớn đội nhóm, 3-of-5. Trường hợp ở giữa — 2-of-3 cho người dùng solo lên kế hoạch cho mất — là cấu hình ít được dùng nhất trong self-custody bán lẻ.

Điều này có nghĩa gì với bạn

Ba điều rút ra:

1. Mặc định sang 2-of-2 cho dùng solo dưới năm chữ số. SSP được xây cho điều đó, đó là điều Meet SSP Wallet giải thích, và đó là setup ít ma sát nhất nâng tư thế bảo mật của bạn một cách thực chất.
2. Chuyển sang 2-of-3 khi chi phí mất một khóa vượt chi phí quản lý ba. Đại khái: khi bạn đã bước vào "đây là tài sản thật", khi có câu hỏi thừa kế rõ ràng, hoặc khi bạn đã trải qua một phen hoảng vì recovery.
3. Đừng với tới 3-of-5+ trừ khi bạn đang bảo vệ quỹ thuộc về nhiều hơn một người. Đó là câu trả lời đúng cho tổ chức và không thật sự cho cá nhân — kể cả người có giá trị tài sản ròng cao cũng có xu hướng dùng 2-of-3 với một người trợ giúp custodial thay vì 3-of-5 đầy đủ.

Bài tiếp theo trong loạt này, BIP48 explained: the derivation path behind SSP, đi vào việc một ví 2-of-2 (hoặc 2-of-3) thực sự được xây dựng trên chuỗi như thế nào — chuẩn cho phép nhiều khóa hợp tác và là lý do hầu hết các ví multisig hiện đại có thể tương tác với nhau.