Criptografia de limiar.

Classe de esquemas criptográficos em que uma chave secreta é dividida por n partes, de modo a que qualquer subconjunto de t delas — e nenhum mais pequeno — possa assinar, decifrar ou realizar outra operação com a chave. Pertence à categoria Criptografia da cibersegurança.

Classe de esquemas criptográficos em que uma chave secreta é dividida por n partes, de modo a que qualquer subconjunto de t delas — e nenhum mais pequeno — possa assinar, decifrar ou realizar outra operação com a chave.

A criptografia de limiar distribui uma capacidade criptográfica — tipicamente assinatura, decifragem ou geração de chaves — por n participantes, de modo que qualquer subconjunto t-de-n possa cooperar para realizar a operação enquanto até t-1 partes corrompidas não aprendem nada. As construções baseiam-se em partilha de segredos (Shamir, Feldman, Pedersen) e em variantes de limiar de RSA, ECDSA, EdDSA, BLS ou esquemas baseados em reticulados, recorrendo frequentemente a MPC para executar o protocolo sem nunca reconstruir o segredo. O NIST está a padronizar a criptografia de limiar através da série NIST IR 8214. Usos práticos incluem gestão de chaves em carteiras custodiais, autoridades de certificação distribuídas, validadores de limiar em blockchains proof-of-stake e proteção de chaves HSM de elevado valor.

As defesas contra Criptografia de limiar costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Nomes alternativos comuns: Assinatura de limiar, Criptografia distribuída de chaves.