Che cos'è la multifirma e come si usa?

Che cos'è la multifirma?

Un wallet Bitcoin standard richiede esattamente una chiave privata per autorizzare una transazione. Chi controlla quella chiave controlla i bitcoin. La multifirma, comunemente abbreviata in multisig, cambia completamente questo requisito. Invece di affidarsi a una singola chiave, un wallet multisig richiede più chiavi private per firmare una transazione prima che la rete Bitcoin la accetti come valida.

La logica di fondo è semplice: distribuire l'autorizzazione su più chiavi elimina ogni singolo punto di vulnerabilità che potrebbe compromettere i fondi.

Tecnicamente, un wallet multisig è definito da due numeri: M e N. N è il numero totale di chiavi nella configurazione. M è il numero minimo di chiavi necessarie per autorizzare una transazione di spesa. La configurazione più comune è 2-di-3, ovvero esistono tre chiavi e qualsiasi coppia di esse può firmare un trasferimento valido.

Questa struttura è codificata direttamente nel linguaggio di scripting di Bitcoin, standardizzata nella Bitcoin Improvement Proposal BIP-0011 e applicata da ogni nodo della rete. Nessuna terza parte arbitra le regole. Sono definite a livello di protocollo e non possono essere modificate.

Perché usare il multisig?

Per la maggior parte degli utenti, un wallet a firma singola ben protetto offre già una protezione robusta. Il multisig ha senso in situazioni specifiche in cui quel livello di protezione non è genuinamente sufficiente.

Il primo caso è la resistenza al furto. Una singola chiave rubata o compromessa non basta più per svuotare il wallet. Un attaccante deve compromettere almeno M chiavi contemporaneamente, il che è significativamente più difficile che prendere di mira una sola.

Il secondo è la ridondanza. In una configurazione 2-di-3, una chiave può andare persa o distrutta senza perdere l'accesso ai fondi. Finché rimangono intatte due chiavi, è ancora possibile spendere. Questo è un vantaggio concreto rispetto ai wallet a firma singola, dove la perdita della seed phrase significa la perdita permanente dell'accesso.

Il terzo è la custodia condivisa. Organizzazioni, famiglie o soci d'affari possono strutturare un wallet in modo che sia necessario l'accordo tra più parti prima che qualsiasi fondo possa essere spostato. Nessuna singola persona detiene il controllo unilaterale.

Configurazioni multisig comuni

Diverse configurazioni M-di-N offrono diversi compromessi tra sicurezza e ridondanza. La scelta giusta dipende dal profilo di rischio specifico e dalla complessità operativa che si è disposti a gestire.

La configurazione 2-di-3 è la più utilizzata per il self-custody personale. Combina una resistenza significativa al furto con una ridondanza pratica: una chiave può andare persa o essere conservata in un luogo separato, e la configurazione continua a funzionare.

Come funziona il multisig: cosigner e indirizzi

Ogni chiave in una configurazione multisig appartiene a quello che viene chiamato cosigner. Nel contesto dei wallet hardware, ogni cosigner è tipicamente un dispositivo fisico separato con la propria seed phrase e chiave privata.

Per ricevere bitcoin, un wallet multisig deve prima generare un indirizzo di ricezione. A differenza di un indirizzo a firma singola derivato da una sola chiave pubblica, un indirizzo multisig codifica le informazioni su tutti i cosigner. La rete Bitcoin deve conoscere l'intera configurazione per applicare correttamente i requisiti di firma quando i fondi vengono successivamente spesi.

È qui che la chiave pubblica estesa, nota come xpub, diventa critica. Ogni cosigner esporta il proprio xpub e il software coordinatore del wallet li combina tutti per generare indirizzi di ricezione condivisi. Le chiavi private non lasciano mai i rispettivi dispositivi. Solo le chiavi pubbliche vengono condivise per la generazione degli indirizzi.

Comprendere questo processo è essenziale prima di analizzare dove le cose possono andare storte.

Errore 1: mescolare hot e cold wallet

Quando si configura un multisig 2-di-3, alcuni utenti includono un software wallet sul telefono o sul computer come uno dei tre cosigner, insieme a due wallet hardware. Il ragionamento sembra pratico: i software wallet sono gratuiti, convenienti, e di certo una chiave compromessa su tre non può essere catastrofica.

Questo ragionamento non regge.

I wallet hardware esistono proprio perché il software in esecuzione su dispositivi connessi a internet non può essere completamente considerato affidabile. Un software wallet compromesso potrebbe sostituire silenziosamente il proprio xpub con uno controllato da un attaccante durante il processo di configurazione del wallet. I wallet hardware non hanno modo di rilevare questa sostituzione. Ricevono i dati xpub dal software coordinatore e non hanno altra scelta che accettarli per buoni.

L'indirizzo di ricezione risultante apparterrebbe all'attaccante piuttosto che a te. I fondi inviati lì sarebbero irrecuperabili. Un attaccante potrebbe in alternativa tenere la chiave sostituita in ostaggio e richiedere un pagamento per l'accesso, una posizione dalla quale non ci sarebbe via d'uscita.

La sicurezza di una configurazione multisig è pari a quella del cosigner più debole. Tutti i dispositivi nella configurazione dovrebbero rispettare lo stesso standard di sicurezza. Combinare software wallet online con wallet hardware offline crea un punto debole che vanifica l'intero scopo dell'impostazione.

Errore 2: backup incompleti

Il backup di un wallet multisig è più complesso di quanto la maggior parte degli utenti si aspetti. L'istinto è proteggere le seed phrase di ogni cosigner. Questo è necessario, ma da solo non è sufficiente.

Per ricostruire un wallet multisig e derivarne gli indirizzi, sono necessarie le chiavi pubbliche estese di tutti i cosigner, non solo la propria. Senza un set completo di xpub e i parametri di configurazione M-di-N, è possibile dimostrare la proprietà della propria chiave individuale ma non determinare quali indirizzi appartengono al wallet.

Considera una configurazione 2-di-3 in cui un dispositivo viene perso. Hai ancora due seed phrase. Ma senza l'xpub del cosigner perso, non puoi ricostruire gli indirizzi del wallet. Sapresti che i tuoi bitcoin si trovano da qualche parte nella rete, ma non saresti in grado di identificare dove.

Ogni backup in una configurazione multisig dovrebbe includere gli xpub di tutti i cosigner insieme ai parametri M-di-N. Gli xpub non sono segreti poiché sono chiavi pubbliche, ma sono essenziali e devono essere conservati con la stessa cura delle seed phrase.

Un approccio pratico è annotare tutti gli xpub dei cosigner su ogni singolo backup, in modo che qualsiasi backup contenga informazioni sufficienti per ricostruire autonomamente l'intera configurazione del wallet.

Errore 3: verifica degli indirizzi

Questo è il problema tecnicamente più impegnativo e quello più comunemente trascurato.

Gli indirizzi di ricezione in una configurazione multisig sono derivati dagli xpub combinati di tutti i cosigner. Il software coordinatore sul computer assembla questi xpub e genera gli indirizzi. Quel software agisce da intermediario tra i wallet hardware e deve essere considerato affidabile nel trasmettere i dati xpub correttamente senza alterarli.

Un coordinatore compromesso potrebbe sostituire uno o più xpub con chiavi che controlla. Gli indirizzi risultanti apparirebbero completamente validi, ma ogni bitcoin inviato a loro sarebbe sotto il controllo dell'attaccante dal momento della ricezione. Non ci sarebbe alcun avviso visibile.

Sono necessari due passaggi di verifica prima di potersi fidare di qualsiasi indirizzo di ricezione.

Il primo è la verifica individuale dell'xpub. Ogni xpub deve essere confrontato con il display del rispettivo wallet hardware. Questo conferma che l'xpub appartiene effettivamente a quel dispositivo e non è stato alterato durante il transito dal software coordinatore.

Il secondo è la verifica incrociata. Sul wallet hardware che visualizzerà l'indirizzo di ricezione, verificare che gli xpub degli altri cosigner corrispondano a quelli confermati nel primo passaggio. Questo garantisce che il coordinatore non abbia scambiato silenziosamente alcuna chiave durante il processo di generazione degli indirizzi.

Solo dopo entrambi i passaggi un indirizzo mostrato sul display di un wallet hardware può essere considerato affidabile con sicurezza.

Questo processo è accurato per la configurazione iniziale, ma è poco pratico ripeterlo manualmente per ogni nuovo indirizzo di ricezione. I wallet hardware che supportano la registrazione dei cosigner risolvono questo problema. Dopo la verifica iniziale, il dispositivo memorizza la configurazione completa dei cosigner e controlla automaticamente tutti i futuri indirizzi. Senza questa funzionalità, è richiesta una verifica manuale continua e nella pratica la maggior parte degli utenti alla fine smette di farla. Quando ciò accade, il modello di sicurezza collassa senza alcun segnale visibile.

Prima di scegliere wallet hardware per una configurazione multisig, verifica che ogni dispositivo supporti la visualizzazione degli xpub dei cosigner e la registrazione dell'intera configurazione. Senza queste capacità, una verifica affidabile degli indirizzi non è possibile.

Quando ha senso il multisig?

Il multisig non è lo strumento giusto per ogni situazione. Prima di impegnarsi in una configurazione, vale la pena chiedersi onestamente se la complessità aggiunta affronta i rischi reali, o se ne introduce di nuovi.

Ha più senso quando si conserva una quantità significativa di bitcoin su un orizzonte temporale lungo e il rischio che un singolo dispositivo venga compromesso o perso giustifica il carico operativo aggiuntivo. Si adatta anche agli accordi di custodia condivisa in cui nessuna singola parte dovrebbe detenere il controllo unilaterale sui fondi.

Per la maggior parte degli individui che iniziano con il self-custody, un wallet hardware a firma singola ben configurato protegge già dalle minacce più comuni. La complessità del multisig introduce modalità di errore come backup incompleti, indirizzi non verificati e livelli di sicurezza dei cosigner incoerenti, ognuna delle quali può comportare la perdita permanente dei fondi se gestita in modo errato.

Se la preoccupazione principale è perdere una seed phrase, aggiungere una passphrase a un wallet a firma singola può essere una misura più semplice ed egualmente efficace. Se la preoccupazione è che un luogo di archiviazione venga compromesso, distribuire i backup su luoghi fisici separati può fornire una ridondanza simile con una complessità considerevolmente inferiore.

Il multisig è uno strumento potente. Premia gli utenti attenti e ben informati. Punisce quelli negligenti in modo più severo di quasi qualsiasi altra misura di sicurezza Bitcoin.

Conclusione

I wallet multifirma offrono reali vantaggi in termini di sicurezza: resistenza alla compromissione di una singola chiave, ridondanza integrata e la capacità di distribuire il controllo su più chiavi e luoghi. Queste sono proprietà strutturali della configurazione, applicate a livello di protocollo, non affermazioni di marketing.

Ma questi vantaggi comportano requisiti operativi facili da sottovalutare. I tre errori trattati in questo articolo, mescolare cosigner hot e cold, backup xpub incompleti e verifica insufficiente degli indirizzi, possono ciascuno ridurre una configurazione multisig a qualcosa di più debole di un wallet a firma singola standard, nonostante i costi più elevati e la maggiore complessità.

Configurato correttamente, con una verifica iniziale rigorosa e backup completi su tutti i cosigner, il multisig è una delle opzioni di self-custody più robuste disponibili per bitcoin. Il prerequisito è una chiara comprensione del modello di minaccia prima di scegliere lo strumento.

Se sei nuovo al self-custody, inizia prima dalle basi. Impara cosa sono le seed phrase, come conservare bitcoin in sicurezza e le differenze tra hot e cold wallet prima di passare al multisig. Una base solida è sempre il punto di partenza giusto.