Hoy me complace anunciar que Multicoin Capital lideró un recaudo de capital semilla de 2 millones de dólares para Torus con la participación de Binance Labs, Coinbase Ventures, Accomplice, Sixth Horizon y Terminal.
La administración de claves es la mayor restricción de usabilidad en criptografía actualmente. Torus ofrece la solución de administración de claves más elegante. Al usar Torus, el inicio de sesión en las aplicaciones Web3 es indistinguible de las aplicaciones Web2.
El problema
Nick Szabo afirma que "Los terceros de confianza son agujeros de seguridad". Dado que la web moderna se basa en terceros de confianza que almacenan las claves de los usuarios, la web, tal y como la conocemos, es un agujero de seguridad.
¿Por qué la administración de claves es un problema tan difícil? Porque no hay forma de recuperar las claves perdidas. Las claves son la raíz de la confianza y, si se pierden, se pierden definitivamente.
Los consumidores han sido entrenados para asumir que siempre hay segundas opciones:
- ¿Olvidaste tu contraseña? Haz clic en el botón "Olvidé mi contraseña".
- ¿Olvidaste llevar tu licencia de conducir al aeropuerto? Habla con los agentes de seguridad en la parte trasera.
- ¿Perdiste tu pasaporte en un viaje al extranjero? Dirígete a la embajada local.
- ¿Olvidaste los datos de acceso a tu banco en línea? Ve a la sucursal local con tu licencia de conducir.
Los consumidores dependen de terceros de confianza. La creación de un sistema de administración de claves que les dé el control a los consumidores, que funcione con elegancia en todos los dispositivos y que no sufra ningún falso positivo o negativo es un problema muy difícil.
Hay muchos enfoques para la administración de claves en el ámbito de consumidor. Hemos analizado todos los enfoques de la administración de claves y hemos descubierto que Torus ofrece de lejos la mejor experiencia de usuario sin introducir ningún nuevo supuesto de confianza.
Torus hace que las aplicaciones Web3 parezcan aplicaciones Web2.
La evolución de la administración de claves de los consumidores
La primera iteración de la administración de claves en criptografía se reducía a escribir 256 bits de información en un papel y no extraviarlo. La segunda iteración redujo la cantidad de seguridad en términos de bits de entropía al introducir el tan conocido "anotar 24 palabras". Eso es mejor, pero no mucho.
Más recientemente, las aplicaciones empezaron a ofrecer la posibilidad de cifrar las claves con una contraseña generada por el usuario y sincronizar los archivos cifrados entre dispositivos. Esa innovación supuso una enorme mejora de la usabilidad. Sin embargo, esa solución no permite la recuperación de cuentas.
Desde entonces, los equipos de trabajo han estado jugando con algunos enfoques para la recuperación de cuentas, incluyendo enfoques basados en billeteras multisig y Shamir Secret Sharing (SSS). Pero esos enfoques tienen claros inconvenientes: exigen elaborados procesos de configuración que intimidan a los usuarios.
Otros proveedores de servicios de administración de claves ofrecen soluciones basadas en módulos de seguridad de hardware, pero esas soluciones se basan en segundas oportunidades para la recuperación de cuentas, lo que introduce nuevos supuestos de confianza que, en realidad, son peores que el statu quo en muchos aspectos.
Torus es la primera y única solución de administración de claves que funciona de forma nativa en todos los dispositivos y navegadores, incluye la recuperación de cuentas y no introduce ningún nuevo supuesto de confianza.
¿Cómo funciona?
La base de Torus es la generación de claves distribuidas (DKG), que es un tipo específico de computación multipartita (MPC).
Existe una red distribuida de nodos (9 nodos ejecutados por empresas como Binance, Coinbase, ETC Cooperative, Terminal, Kyber, entre otras) que participan en la DKG. Durante ese proceso, los nodos generan colectivamente una clave fragmentada, pero lo importante es que la clave nunca existe en un solo lugar en ningún momento. Eso hace que DKG sea claramente diferente de SSS. Con SSS, la clave se sigue generando en un lugar y luego se fragmenta utilizando SSS. Con DKG, la clave se genera de forma distribuida.
Para volver a armar la clave, el usuario necesita que 5 de 9 nodos compartan sus respectivos fragmentos de clave. En la primera versión de Torus, los usuarios solicitan los fragmentos de clave y los rearman localmente en su navegador en un contexto javascript aparte, o iFrame (para que una aplicación maligna no pueda robar la clave). Cuando los usuarios cierran la pestaña del navegador, las claves se borran de la memoria y del disco.
Las soluciones tradicionales de administración de claves están centralizadas desde el punto de vista de lógica, arquitectura y política. La gracia de Torus es que está centralizado desde el punto de vista lógico, pero descentralizado desde el punto de vista arquitectónico y político. Ofrece el mismo tipo de extremo lógico al que los desarrolladores y consumidores están acostumbrados en el modelo Web2, pero con los supuestos de confianza de Web3.
La red de Torus implementa el estándar oAuth, por lo que los usuarios pueden iniciar sesión con cualquier proveedor de oAuth, incluyendo Google, Facebook y Twitter. Debido al soporte de oAuth, el inicio de sesión en las aplicaciones Web3 con Torus parece ser igual al inicio de sesión en las aplicaciones Web2. La experiencia de usuario es prácticamente idéntica. Eso también significa que Torus puede integrarse con cualquier proveedor de oAuth, permitiendo inicios de sesión basados en Torus para instalaciones de Active Directory empresarial y aplicaciones de terceros que no dependen de Google, Facebook ni Twitter.
Como resultado de esa arquitectura única, Torus ofrece una experiencia fluida de administración de claves e inicio de sesión. Torus funciona de forma nativa en todos los dispositivos y navegadores sin ninguna extensión, soporta la recuperación de cuentas mediante proveedores de oAuth y no introduce ninguna nueva suposición de confianza.
La red de Torus ya está funcionando para las aplicaciones de Ethereum. Y estará disponible próximamente para las cadenas SKALE. Puedes probarla tú mismo aquí. La API también está disponible para los desarrolladores y puede implementarse con unas pocas líneas de código.
Torus llegará a las cadenas de ed25519 en los próximos meses. Esto incluye Tezos, Solana, Near, Helium, Algorand y Libra.
La unión de la Web2 y la Web3
Esperamos que Torus ayude a unir las aplicaciones Web2 y Web3. Por ejemplo, analicemos una aplicación de firma electrónica como Docusign. La mayoría de las aplicaciones de firma electrónica ya le piden al usuario que inicie sesión con un identificador oAuth. En el futuro, las aplicaciones de firma electrónica implementarán Torus para que las aplicaciones de firma electrónica puedan registrar una firma criptográfica en un libro de contabilidad público. Eso significa que los usuarios de la firma electrónica no tendrán que depender de Docusign como árbitro de la verdad, sino que podrán verificar ellos mismos la integridad de las firmas digitales en los libros de contabilidad públicos.
Aunque ese es solo un ejemplo, esperamos que haya muchos análogos a este modelo de uso. A medida que los consumidores siguen perdiendo la confianza en las aplicaciones de la Web2, esos proveedores de aplicaciones buscarán formas de reducir las suposiciones de confianza usando libros de contabilidad públicos. Aunque esto parece contradictorio (después de todo, ¿por qué las aplicaciones de la web2 les permitirían a los usuarios las libertades de la web3?), será cada vez más necesario a medida que se generalizan los ultrafalsos.
El mundo está viviendo un renacimiento de la investigación y el desarrollo de la MPC. Aunque la MPC existe en la literatura académica desde los años 90, sigue siendo un área de la informática lamentablemente poco desarrollada. El equipo de Torus está a la vanguardia de la MPC y nos complace respaldarlos para que liberen el poder de la MPC para el mundo.
Dado que Torus mantiene los mismos puntos finales con lógica descentralizada que las aplicaciones web2 y, dado que se integra tan perfectamente con los flujos de trabajo de web2 que los usuarios ya conocen, Torus está perfectamente posicionado para llevar lo mejor de la Web3 a la Web2, y lo mejor de la Web2 a la Web3.
PD: Si estás interesado en construir el futuro de la MPC y la administración de claves, Torus tiene vacantes.
Disclosure: Unless otherwise indicated, the views expressed in this post are solely those of the author(s) in their individual capacity and are not the views of Multicoin Capital Management, LLC or its affiliates (together with its affiliates, “Multicoin”). Certain information contained herein may have been obtained from third-party sources, including from portfolio companies of funds managed by Multicoin. Multicoin believes that the information provided is reliable and makes no representations about the enduring accuracy of the information or its appropriateness for a given situation. This post may contain links to third-party websites (“External Websites”). The existence of any such link does not constitute an endorsement of such websites, the content of the websites, or the operators of the websites.These links are provided solely as a convenience to you and not as an endorsement by us of the content on such External Websites. The content of such External Websites is developed and provided by others and Multicoin takes no responsibility for any content therein. Charts and graphs provided within are for informational purposes solely and should not be relied upon when making any investment decision. Any projections, estimates, forecasts, targets, prospects, and/or opinions expressed in this blog are subject to change without notice and may differ or be contrary to opinions expressed by others.
The content is provided for informational purposes only, and should not be relied upon as the basis for an investment decision, and is not, and should not be assumed to be, complete. The contents herein are not to be construed as legal, business, or tax advice. You should consult your own advisors for those matters. References to any securities or digital assets are for illustrative purposes only, and do not constitute an investment recommendation or offer to provide investment advisory services. Any investments or portfolio companies mentioned, referred to, or described are not representative of all investments in vehicles managed by Multicoin, and there can be no assurance that the investments will be profitable or that other investments made in the future will have similar characteristics or results. A list of investments made by venture funds managed by Multicoin is available here: https://multicoin.capital/portfolio/. Excluded from this list are investments that have not yet been announced due to coordination with the development team(s) or issuer(s) on the timing and nature of public disclosure. Separately, for strategic reasons, Multicoin Capital’s hedge fund does not disclose positions in publicly traded digital assets.
This blog does not constitute investment advice or an offer to sell or a solicitation of an offer to purchase any limited partner interests in any investment vehicle managed by Multicoin. An offer or solicitation of an investment in any Multicoin investment vehicle will only be made pursuant to an offering memorandum, limited partnership agreement and subscription documents, and only the information in such documents should be relied upon when making a decision to invest.
Past performance does not guarantee future results. There can be no guarantee that any Multicoin investment vehicle’s investment objectives will be achieved, and the investment results may vary substantially from year to year or even from month to month. As a result, an investor could lose all or a substantial amount of its investment. Investments or products referenced in this blog may not be suitable for you or any other party.
Multicoin has established, maintains and enforces written policies and procedures reasonably designed to identify and effectively manage conflicts of interest related to its investment activities. For more important disclosures, please see the Disclosures and Terms of Use available at https://multicoin.capital/disclosures and https://multicoin.capital/terms.