Un outil Tez Capital conçu par des boulangers, pour des boulangers
Depuis le début, la boulangerie Tezos a été conçue pour être ouverte et flexible. Quiconque possède des tez mis en jeu et la bonne configuration peut participer à la sécurisation du réseau. Au fil du temps, cela a conduit à une séparation claire des responsabilités : le Baking Stack et le Signer.
Le Baking Stack comprend le nœud, le démon de boulanger et l'accusateur. Ensemble, ils maintiennent l'état de la blockchain, proposent des blocs, produisent des attestations et surveillent les comportements invalides. Ce côté a toujours été flexible, fonctionnant sur tout, des Raspberry Pis aux machines virtuelles cloud en passant par des serveurs dédiés.
Le Signataire est bien plus sensible. Il autorise la participation au consensus et a historiquement détenu à la fois les clés administratives et les clés de consensus ensemble, ce qui signifie qu'un seul appareil contrôlait tout. Pour cette raison, les signataires étaient isolés et renforcés. Les individus comptaient sur des appareils Ledger, tandis que les opérateurs plus importants utilisaient des HSM ou des solutions KMS dans le cloud.
Les mises à jour récentes du protocole permettent désormais aux boulangers de séparer les clés administratives des clés de consensus. Cela garde la clé administrative sécurisée tandis que la clé de consensus peut vivre sur du matériel de signature dédié, ouvrant la porte à de nouvelles solutions.
Cette configuration fonctionnait lorsque les demandes de signature étaient faibles. Mais à mesure que Tezos évoluait vers des blocs plus rapides et des attestations universelles, les signataires matériels comme les appareils Ledger atteignaient leurs limites, préparant le terrain pour l'ère des signataires BLS (bonjour les Raspberry Pi).
Pourquoi BLS est important
BLS (Boneh–Lynn–Shacham) est un schéma de signature déjà utilisé par la couche de consensus d'Ethereum, Zcash et d'autres systèmes modernes de preuve d'enjeu. Sa caractéristique définissante est l'agrégation de signatures, qui permet de combiner plusieurs signatures en une seule.
Avant BLS, chaque bloc nécessitait des centaines de signatures d'attestation individuelles, consommant une bande passante significative avec seulement une participation partielle des boulangers par bloc. Avec les adresses tz4 utilisant BLS, toutes ces signatures se compressent en une seule attestation agrégée. Cela signifie que tous les boulangers peuvent désormais attester chaque bloc tout en utilisant moins de bande passante.
Les avantages au niveau du réseau sont substantiels : garanties de sécurité renforcées, récompenses prévisibles, charge de nœud réduite, logique de protocole plus claire et comptes multisig natifs disponibles exclusivement pour tz4. La mise à niveau à venir de Tallinn pousse cela plus loin avec des temps de bloc plus rapides.
Le protocole a évolué. L'infrastructure des signataires devait suivre.
Le Nouveau Paysage des Signataires
Avec Ledger n'étant plus viable pour la boulangerie tz4, plusieurs alternatives de signature émergent. Certaines proviennent de l'équipe de développement principal et d'autres sont dirigées par la communauté.
Les options de développement principales incluent le Signataire BLS par Nomadic Labs, qui fonctionne sur un Raspberry Pi Zero offrant une option matérielle dédiée à faible coût actuellement en prototype, et Signatory par ECAD Labs, conçu pour les opérateurs institutionnels avec un support KMS et HSM dans le cloud.
Les alternatives dirigées par la communauté incluent TezSign et Russignol. Ce qui rend TezSign particulièrement spécial, c'est qu'il a été financé par la communauté à travers le DAO de l'Écosystème Tezos. Cela représente un véritable effort communautaire pour offrir une nouvelle solution. Voir le DAO de la communauté utilisé activement de cette manière est très apprécié.
TezSign, développé par TEZ Capital, est la solution que j'utilise actuellement pour mes opérations de boulangerie. Son intégration étroite avec TezBake a rendu l'installation et l'utilisation immédiate simples, et c'est ce qui a permis ma migration vers BLS.
Plongée Profonde dans TezSign
TezSign n'est pas un outil autonome. C'est une partie d'un ensemble opérationnel plus large conçu par des boulangers, pour des boulangers. Au cœur, TezSign gère la signature du consensus, TezBake orchestre les opérations de boulangerie, et TezPay gère la distribution des récompenses. Tous les composants sont conçus pour fonctionner ensemble de manière transparente.
Comme mentionné précédemment, ce qui distingue TezSign, c'est son approche axée sur la communauté. L'équipe de TEZ Capital fournit un support technique actif via Discord et Telegram, ce qui en fait probablement la solution la plus accessible pour les boulangers qui ont besoin d'aide pratique. Cela est particulièrement important pour les petits boulangers communautaires comme moi, qui peuvent ne pas avoir d'équipes d'infrastructure dédiées. TezBake est devenu un choix populaire parmi les petits opérateurs précisément en raison de cette structure de soutien, et TezSign s'intègre naturellement dans ce flux de travail.
La philosophie de conception met l'accent sur un minimum de frais d'exploitation, une intégration CLI serrée et une transparence open-source. Au lieu de construire une plateforme de signature générique, TEZ Capital s'est concentré sur ce dont les boulangers ont réellement besoin pour faire fonctionner une infrastructure stable.
Alors que Tezos passe pleinement à l'ère BLS, les signataires ne sont plus des accessoires interchangeables. Ils sont l'infrastructure de protocole de base où la correction opérationnelle compte autant que la cryptographie. TezSign reflète un écosystème de boulangerie en maturation, s'éloignant des raccourcis matériels grand public et se dirigeant vers une infrastructure soutenue par la communauté. En tant que membre de la communauté, je ne pourrais pas être plus heureux avec ces initiatives.
TezSign par les Nombres
TezSign est écrit en Go et est activement maintenu avec 24 versions à ce jour et 64 commits. Le projet est sous licence SSPL (Server Side Public License), le maintenant ouvert et transparent.
Du côté matériel, TezSign prend en charge le Raspberry Pi Zero 2W, le Raspberry Pi 4 et le Radxa Zero 3, avec des coûts d'entrée commençant sous 20 $ USD. Le Raspberry Pi 5 n'est pas recommandé en ce moment.
L'architecture est construite autour d'une sécurité à l'écart de l'air : les clés vivent sur du matériel isolé connecté à l'hôte via USB à travers un protocole de fil personnalisé. Cette conception est renforcée contre la corruption due à une perte de puissance, ce qui signifie qu'une panne soudaine ne compromettra pas votre environnement de signature. TezSign prend également en charge les configurations multi-appareils et multi-boulangers dès la sortie de la boîte, avec un déverrouillage automatique optionnel au démarrage pour une flexibilité opérationnelle. À environ 200 Mo, l'empreinte d'image est minimale par rapport à d'autres solutions.
Où allons-nous à partir d'ici
Le passage à BLS et tz4 marque un tournant pour la boulangerie Tezos.
Lorsque Ledger n'a pas pu s'adapter, l'écosystème a répondu avec de meilleures alternatives. Des signataires comme TezSign ont émergé, rendant l'infrastructure de boulangerie plus professionnelle et accessible qu'auparavant.
BLS améliore déjà l'efficacité du consensus grâce à l'agrégation de signatures. En regardant vers l'avenir, Tezos explore la résistance quantique. Selon mes recherches précoces et mes spéculations, les futures mises à jour du protocole pourraient potentiellement introduire des adresses tz5 utilisant ML-DSA-44, une méthode de signature résistante aux quantiques approuvée par le NIST. Alors que tz4 optimise le consensus aujourd'hui, tz5 viserait à protéger contre les menaces quantiques de demain.
Des signatures agrégées à la cryptographie résistante aux quantiques, Tezos construit une infrastructure conçue pour durer des décennies (ou des siècles).
TezSign et l'ère des Signataires BLS ont été initialement publiés dans Tezos Commons sur Medium, où les gens poursuivent la conversation en mettant en avant et en répondant à cette histoire.
