<div dir="ltr"><div class="gmail_extra"><div class="gmail_signature">I have one question about these sorts of schemes...</div><div class="gmail_signature"><br></div><div class="gmail_signature">There's a naive approach where you don't attempt to model multisignature trust in terms of a single signature, but rather have a whitelisted set of keys, and have k / n potential signers produce an individual signature.</div><div class="gmail_signature"><br></div><div class="gmail_signature">This clearly takes more space for signatures, but seems a lot more straightforward and easy-to-implement. Also, it can work with any signature scheme, so it's pluggable and easy to switch out once you have the basic framework in place.</div><div class="gmail_signature"><br></div><div class="gmail_signature">What is the advantage of "fancy" threshold signature schemes? I'm really not seeing it aside from the space savings.</div><div class="gmail_signature"><br></div><div class="gmail_signature">FWIW The Update Framework uses a unique signature per principal.</div>
</div></div>