-
Firmas basadas en hash no admiten ningún esquema de umbralización, según Guillemet.
-
ML-DSA es el único esquema poscuántico compatible con firma por umbral.
Charles Guillemet, director de tecnología (CTO) de Ledger, advirtió este 13 de julio en su cuenta de X que las firmas resistentes a la computación cuántica y la firma por umbral no funcionan bien juntas. Estas son utilizadas en las wallets multifirmas off chain, donde los usuarios dividen las partes de una firma y la reconstruyen fuera de la cadena, a diferencia de las multifirma de tipo script donde en la transacción se incluyen cada una de las firmas necesarias. Según Guillemet la mayor parte de la industria de las criptomonedas aún no ha incorporado este tipo de firmas en sus cálculos de seguridad cuántica.
Según el ejecutivo, este problema afecta de forma directa la migración postcuántica actual, ya que las wallets institucionales y de grupos dependen en gran medida de la firma por umbral, un esquema que permite repartir una clave entre varias partes sin que ninguna la posea por completo.
- La firma por umbral permite que un subconjunto acordado de firmantes produzca una sola firma válida, sin que nadie tenga la clave completa.
- Guillemet la describe como infraestructura de carga para la custodia institucional actual.
El problema con las firmas basadas en hash
Guillemet sostiene que las firmas basadas en función hash, consideradas la opción poscuántica más conservadora y de mayor confianza, no admiten ningún esquema de umbralización. Según explica, no existe una estructura que permita dividir una clave de este tipo y recombinarla en una sola firma.
El ejecutivo advierte que esta limitación debería preocupar a las comunidades de Bitcoin y Ethereum, ya que se trata precisamente de la familia criptográfica a la que las cadenas más conservadoras en seguridad recurrirían de forma natural ante la amenaza cuántica.
Guillemet plantea que ML-DSA, el estándar de firma poscuántica FIPS 204, es el único esquema que sí parece admitir la firma por umbral. Sin embargo, el CTO de Ledger señala que el obstáculo no está en las matemáticas del esquema, sino en un mecanismo llamado muestreo por rechazo, que sirve para que al dividirse entre varias partes, la decisión de descartar un intento fallido requiere conocer el resultado combinado. Esto obliga a los firmantes a revelar sus partes antes de saber si es seguro hacerlo, rompiendo el propósito de mantener el secreto.
Según explica, en un esquema de un solo firmante ese mecanismo es trivial de aplicar en privado. Pero al dividirse entre varias partes, la decisión de descartar un intento requiere conocer el resultado combinado, lo que obliga a cada firmante a revelar su parte antes de saber si el intento es seguro.
Una solución con límites reconocidos
Guillemet cita un estudio reciente que propone una solución funcional para grupos de hasta seis firmantes. La propuesta consiste en dar a cada firmante una porción de clave que pueda verificar en privado, dividir el proceso de descarte en una etapa privada y otra pública, y añadir ruido a los datos que se revelan de forma temprana para evitar filtraciones.
- La solución produce una firma ML-DSA estándar, aceptada por cualquier verificador sin modificaciones.
- Funciona sin necesidad de una configuración de confianza previa.
- Se mantiene segura incluso si todos los firmantes menos uno están comprometidos.
- Sus límites reconocidos son la escala, hasta unos seis firmantes antes de que el costo aumente de forma considerable.
Esta no es la primera vez que Guillemet advierte sobre los desafíos de la migración poscuántica. En junio, el CTO de Ledger había señalado que Bitcoin cuenta con los algoritmos necesarios para resistir ataques cuánticos, pero que su estructura de gobernanza descentralizada dificulta coordinar la adopción, en un contexto donde estima una probabilidad de 50% de que una computadora cuántica rompa ECDSA antes de 2032.
En esa misma línea, Guillemet había explicado previamente que tanto las firmas basadas en hash como las basadas en retículos, entre ellas ML-DSA, imponen costos distintos sobre los esquemas de custodia moderna, incluidas la firma por umbral y los protocolos de computación multipartes.
Guillemet remata su planteamiento con una advertencia que trasciende el debate técnico: la firma por umbral distribuye claves, no confianza. Según sostiene, si los puntos finales de un sistema pueden ser comprometidos, dividir una clave entre ellos solo redistribuye la superficie de ataque. Por eso, insiste, la generación de claves y la firma deben seguir dependiendo de hardware certificado con pantalla confiable, sin importar si el esquema criptográfico subyacente es o no resistente a la computación cuántica. Tomando en cuenta que el comentario viene de el Director de Tecnología de Ledger.








