Aller au contenu principal
Cryptographie

ROAST

ROAST (Robust Asynchronous Schnorr Threshold signatures) améliore FROST face aux participants malicieux. Recommandé pour t-of-n en environnement adverse.

Origine

ROAST (Robust Asynchronous Schnorr Threshold) est un schéma de signatures à seuil publié en 2022 par Tim Ruffing, Viktoria Ronge, Elliott Jin, Jonas Schneider-Bensch et Dominique Schröder (papier "ROAST: Robust Asynchronous Schnorr Threshold Signatures"). Il a été conçu pour pallier les faiblesses opérationnelles de FROST en environnement réseau adverse.

Le problème que ROAST résout

FROST, le standard académique pour les signatures à seuil Schnorr, est sûr cryptographiquement mais fragile à l'exécution :

  • Un seul signataire qui refuse de participer ou répond trop tard fait échouer la session.
  • Un attaquant interne peut ainsi bloquer toutes les signatures sans être détectable.
  • Sur un canal asynchrone (Internet, Tor), les abandons sont fréquents et non malveillants.

Avec un quorum t-of-n classique (par exemple 3-of-5), il suffit qu'un participant malveillant ralentisse ou ignore le protocole pour que toutes les signatures soient compromises en disponibilité.

L'apport de ROAST

ROAST organise les sessions FROST en plusieurs sous-sessions parallèles construites sur des sous-ensembles différents de signataires. Dès qu'un quorum honnête répond complètement dans l'une des sous-sessions, la signature est produite. Les signataires bloquants ne peuvent que ralentir une partie des sous-sessions, jamais toutes.

Formellement, ROAST garantit :

| Propriété | FROST | ROAST | |-----------|-------|-------| | Unforgeability | Oui | Oui | | Liveness asynchrone | Non | Oui (avec t honnêtes) | | Robustesse aux abandons | Faible | Forte | | Complexité | 1 round | O(n−t+1) rounds parallèles |

Cas d'usage Bitcoin

ROAST est pertinent pour :

  • Multisig institutionnel : un exchange ou une trésorerie d'entreprise dont certains signataires sont parfois indisponibles.
  • Custodians distribués : Casa, Unchained ou Nunchuk, qui orchestrent des signatures avec des co-signataires distribués géographiquement.
  • Fédérations : Liquid, Cashu, eCash mints, où la disponibilité doit être garantie même si quelques membres tombent.
  • DAO et trésoreries : où une partie des signataires peut être occasionnellement malicieuse.

Combiné à Taproot et aux signatures Schnorr, ROAST produit une seule signature 64 octets indistinguable d'une signature single-sig classique, préservant à la fois la confidentialité et la robustesse.

Limites

ROAST reste plus lourd que FROST en bande passante et en coordination, et son adoption en production Bitcoin est encore limitée. Les bibliothèques secp256k1-frost et roast-bitcoin existent mais sont expérimentales.

À retenir

ROAST n'invente pas une nouvelle cryptographie : il rend FROST utilisable en pratique sur Bitcoin face à des signataires non coopératifs. C'est la couche d'orchestration que toute application multisig à seuil sérieuse devra finir par adopter.

Termes lies

← Retour au glossaire complet

Glossaire inspire du dictionnaire de Loic Morel sur Pandul.fr.