ROAST
ROAST (Robust Asynchronous Schnorr Threshold signatures) améliore FROST face aux participants malicieux. Recommandé pour t-of-n en environnement adverse.
Origine
ROAST (Robust Asynchronous Schnorr Threshold) est un schéma de signatures à seuil publié en 2022 par Tim Ruffing, Viktoria Ronge, Elliott Jin, Jonas Schneider-Bensch et Dominique Schröder (papier "ROAST: Robust Asynchronous Schnorr Threshold Signatures"). Il a été conçu pour pallier les faiblesses opérationnelles de FROST en environnement réseau adverse.
Le problème que ROAST résout
FROST, le standard académique pour les signatures à seuil Schnorr, est sûr cryptographiquement mais fragile à l'exécution :
- Un seul signataire qui refuse de participer ou répond trop tard fait échouer la session.
- Un attaquant interne peut ainsi bloquer toutes les signatures sans être détectable.
- Sur un canal asynchrone (Internet, Tor), les abandons sont fréquents et non malveillants.
Avec un quorum t-of-n classique (par exemple 3-of-5), il suffit qu'un participant malveillant ralentisse ou ignore le protocole pour que toutes les signatures soient compromises en disponibilité.
L'apport de ROAST
ROAST organise les sessions FROST en plusieurs sous-sessions parallèles construites sur des sous-ensembles différents de signataires. Dès qu'un quorum honnête répond complètement dans l'une des sous-sessions, la signature est produite. Les signataires bloquants ne peuvent que ralentir une partie des sous-sessions, jamais toutes.
Formellement, ROAST garantit :
| Propriété | FROST | ROAST | |-----------|-------|-------| | Unforgeability | Oui | Oui | | Liveness asynchrone | Non | Oui (avec t honnêtes) | | Robustesse aux abandons | Faible | Forte | | Complexité | 1 round | O(n−t+1) rounds parallèles |
Cas d'usage Bitcoin
ROAST est pertinent pour :
- Multisig institutionnel : un exchange ou une trésorerie d'entreprise dont certains signataires sont parfois indisponibles.
- Custodians distribués : Casa, Unchained ou Nunchuk, qui orchestrent des signatures avec des co-signataires distribués géographiquement.
- Fédérations : Liquid, Cashu, eCash mints, où la disponibilité doit être garantie même si quelques membres tombent.
- DAO et trésoreries : où une partie des signataires peut être occasionnellement malicieuse.
Combiné à Taproot et aux signatures Schnorr, ROAST produit une seule signature 64 octets indistinguable d'une signature single-sig classique, préservant à la fois la confidentialité et la robustesse.
Limites
ROAST reste plus lourd que FROST en bande passante et en coordination, et son adoption en production Bitcoin est encore limitée. Les bibliothèques secp256k1-frost et roast-bitcoin existent mais sont expérimentales.
À retenir
ROAST n'invente pas une nouvelle cryptographie : il rend FROST utilisable en pratique sur Bitcoin face à des signataires non coopératifs. C'est la couche d'orchestration que toute application multisig à seuil sérieuse devra finir par adopter.
Termes lies
- FROSTFROST est un schéma de signature Schnorr distribuée à seuil (t-of-n). Permet d'éviter qu'une seule clé soit reconstituée. Utilisé pour multisigs avancés et infrastructures critiques. Implémenté dans Frostsnap, ROAST.
- Schnorr (signature)Schnorr est un schéma de signature numérique introduit dans Bitcoin par le soft fork Taproot (2021). Il offre la linéarité, qui permet l'agrégation des signatures (MuSig). Plus simple, plus rapide et plus sûr que ECDSA. Il ouvre la voie à de nouveaux usages comme MuSig2, FROST et Tapscript.
Glossaire inspire du dictionnaire de Loic Morel sur Pandul.fr.