SCH:干货 | 一文读懂比特币的Taproot/Schnorr升级_FFF

本文作者为万向区块链、PlatON首席经济学家邹传伟。

2020年1月，由比特币核心开发人员PieterWuille于去年5月提出的Taproot/Schnorr软分叉升级提案已正式作为比特币改进提案发布，相关提案序号为BIP340-342。Taproot/Schnorr升级如果获得社区支持，将是比特币自闪电网络上线后最大的技术拓展。本文查询了BIP340-342相关文档，对Taproot/Schnorr升级做一个简单介绍。本文分三部分，第一部分简单介绍比特币目前的ECDSA签名算法，第二部分详细介绍Schnorr签名算法，第三部分介绍Taproot。

一、比特币ECDSA签名算法

比特币目前使用的ECDSA签名算法与建议的Schnorr签名算法，都属于椭圆曲线数字签名算法，它们使用的椭圆曲线都是secp256k1。这一部分先介绍椭圆曲线secp256k1，再介绍ECDSA签名算法。

椭圆曲线secp256k1

图1：椭圆曲线图示

分布式资本合伙人RinHuang：中国社区对全球区块链项目的重要度越来越高:12月21日，分布式资本合伙人Rin Huang在《从投资视角看区块链机会》演讲中表示，分布式资本每年都会至少投资20多个项目，而评判一个项目的标准主要可以从赛道、 团队以及商业条款来衡量。

整体来说国内项目有3个特点：1.国内项目更偏流量入口；2.应用落地比较强；3.更容易复制，执行能力强。国外项目主要有2个特点：1.创新能力强，国外底层机制模型创新强；2.数字货币合规性比较强，合规性明确度比较高。 Rin Huang表示，现如今中国社区对全球区块链项目的重要度越来越高，不管国外多厉害的项目，实际上很缺少中国市场，有大量人才缺口，供不应求，都希望可以在中国建立一定的基础社区，来开拓中国市场，中国社区在这方面是非常有优势的。[2020/12/22 16:07:03]

ECDSA签名算法

注：G坐标为，阶等于FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141，均采用16进制表达。

Ciara Sun：区块链与分布式存储互相赋能，提升效率及数据可信度:2020年6月22日，由金色财经主办，节点咨询、IPFS100.com承办，星际特工、麦客存储联合主办的“星际漫游指南——IPFS技术与应用研讨论坛”在深圳拉开帷幕。论坛上Ciara, Vice President of Global Business of Huobi，在题为《审视行业新赛道和存储机会》的主题演讲中指出，预计2025年我国的数据量达到48.6ZB，传统的云存储系统很难保证数据安全和节点信任，存在泄露和被修改的风险，区块链和分布式存储可以保证数据安全、一致、不可篡改。未来区块链分布式存储主要的应用场景，有存储基础设施和点对点内容分发。[2020/6/22]

二、Schnorr签名算法

这一部分先介绍Schnorr签名算法主要特点，再分步骤介绍Schnorr签名算法及批验证，最后介绍基于Schnorr签名的多重签名算法。

主要特点

Schnorr签名算法与ECDSA签名算法使用同样的椭圆曲线secp256k1和哈希函数SHA256，所以在这个层面它们具有同样的安全性。Schnorr签名算法主要有以下优点。

声音 | 澳本聪：“去中心化”一词已成为一种营销策略 不存在没有权限或权力的分布式开发过程:6月6日，澳本聪在其个人网站发文《完全点对点（Fully Peer-to-Peer）》，其表示，2011年，我以Satoshi的身份给Gavin发了最后一封邮件。我构建比特币是为了让它成为一个诚实的、不可改变的系统，不会遭受与ecash、自由储备美元(Liberty Reserve US Dollars)以及其他所有欺诈系统相同的问题。“去中心化”一词已成为一种营销策略。分类账可能是分布式的，但是当讨论的是一个没有设置且可以更改的协议时，那就有了一个由组织控制的软件开发过程。没有加密货币具有分布式开发过程。事实上，不存在没有权限或权力的分布式开发过程。确保分布式系统能够在不受干扰的情况下增长的唯一方法是系统在现有的法律框架内运行，并且开发人员不能更改协议。2015年，有些人想讲述我的故事，但是是在我不知情或未经批准的情况下。问题是，他们不知道完整的故事，给那些不希望我是中本聪的人留下了足够的空白，让他们播下怀疑的种子，散布彻头彻尾的谎言。所以在2016年，我别无选择，只能再次出来。在某种程度上，我之所以使用最初公布比特币时的邮件列表，是因为我以前的一所大学的一些人。我于2005年进入纽卡斯尔大学攻读统计学硕士学位，原因有二:首先，大学里的一些人对网络图理论和建模非常熟练。我需要这样的知识来开发比特币。其次，纽卡斯尔大学的一些人对货币体系的数学非常精通。进入大学后，我可以接触到他们所有的工作，这样我就可以进行研究。[2019/6/9]

第一，Schnorr签名算法有可证明安全性。在假设椭圆曲线离散对数问题难度的随机寓言模型，以及假设原像抗性和次原像抗性的通用群模型下，Schnorr签名算法具备选择消息攻击下的强不可伪造性。换言之，如果不知道Schnorr签名的私钥，即使有针对任意消息的有效Schnorr签名，也没法推导出其他有效Schnorr签名。而ECDSA签名算法的可证明安全性则依赖于更强的假设。

金色财经现场报道蛮子基金金钰：未来分布式存储将推动整个行业的发展:金色财经现场报道，在2018中国区块链高峰论坛以“用什么姿态拥抱区块链”的圆桌论坛上，蛮子基金金钰表示，“在移动互联网时代，硬件的发展已经到极限了，未来5G的出现，可能256G的手机可能链一部影片都存储不了，未来分布式存储将推动整个行业的发展。”[2018/5/20]

第二，Schnorr签名算法具有不可延展性。签名延展性的含义是，第三方在不知道私钥的情况下，能将针对某一公钥和消息的有效签名，改造成针对该公钥和信息的另一个有效签名。ECDSA签名算法则有内在的可延展性，这是BIP62和BIP146针对的问题。

第三，Schnorr签名算法是线性的，使得多个合作方能生成对他们的公钥之和也有效的签名。这一特点对多重签名、批验证等应用非常重要，既能提高效率，也有助于保护隐私。而在ECDSA签名算法下，如无额外的见证数据，批验证相对逐个验证并无效率提升。

最后，Schnorr签名算法因为使用同样的椭圆曲线secp256k1和哈希函数SHA256，能兼容目前的比特币公私钥生成机制。

Schnorr签名算法

公私钥生成

CME“美联储观察”：美联储到9月份加息50个基点的概率为64.5%:8月18日消息，据CME“美联储观察”，美联储到9月份加息50个基点的概率为64.5%，加息75个基点的概率为35.5%；到11月份累计加息75个基点的概率为49.6%，累计加息100个基点的概率为42.2%，累计加息125个基点的概率为8.2%。[2022/8/18 12:32:38]

签名生成

签名验证

批验证

图2：逐个验证签名的时间/批验证所需时间

Schnorr签名算法与多重签名

密钥生成

签名生成

签名验证

三、Taproot升级

Taproot升级可以视为默克抽象语言树的一个应用，而MAST又与支付到脚本哈希有关。因此，这部分依次介绍P2SH、MAST和Taproot。

P2SH

P2SH是2012年推出的一类新型交易，使复杂脚本的使用与直接向比特币地址支付一样简单。在P2SH中，复杂的锁定脚本被其哈希值所取代，称为兑换脚本。当随后出现的一笔交易试图花费这个UTXO时，必须包含与哈希值匹配的脚本，同时解锁脚本。P2SH的主要优点包括：一是在交易输出中，复杂脚本由哈希值取代，使得交易代码变短。二是将构建脚本的负担转移至接收方，而非发送方。三是隐私保护性更好。理论上，除了接收方，任何其他方都可以不知道兑换脚本中包含的支出条件。比如，在多重交易中，发送方可以不知道与多重签名地址有关的公钥；只在接收方支出资金时，才披露公钥。但P2SH也存在不足：一是所有可能的支出条件最终都必须被披露，包括那些实际上没有被触发的支出条件。二是在有多个可能的支出条件时，P2SH将变得繁复，会增加计算和验证的工作量。

MAST

MAST使用默克树来加密复杂的锁定脚本，其叶子是一系列相互不重叠的脚本。要支出时，只需披露相关脚本以及从该脚本通向默克树根的路径。比如，在图3中，要使用script1，只需披露script1、script2以及hash3即可。

图3：MAST，来源：?https://medium.com/@listedreserve/schnorr-and-taproot-cc4fa1edc828

MAST的主要优点包括：一是支持复杂的支出条件。二是不用披露未被执行的脚本或未被触发的支出条件，提供更好的隐私保护。三是压缩交易大小。随着脚本数量的增加，非MAST交易大小是线性增长，而MAST交易大小是对数增长。

图4：脚本数量与交易大小，来源：https://bitcointechtalk.com/what-is-a-bitcoin-merklized-abstract-syntax-tree-mast-33fdf2da5e2f

Taproot

但P2SH与常见的支付到公钥哈希在表现上不一样，仍然有隐私保护问题。有没有可能让P2SH和P2PKH在链上看起来一样？这就是Taproot要解决的问题。

涉及有限数量签名者的脚本，可以分解成两部分：第一部分是多重签名，所有签名者都同意某一支出结果，称为「协作式支出」；第二部分称为「非协作式支出」，可以有非常复杂的脚本结构。这两部分是「或」的关系。比如，在图3中，Script3是一个2-of-2型多重签名，需要Alice和Bob两人都签名才有效，是「协作式支出」；Script1和2是「非协作式支出」。

图5：Taproot，来源：https://medium.com/@listedreserve/schnorr-and-taproot-cc4fa1edc828

参考文献

1Maxwell,Gregory,AndrewPoelstra,YannickSeurin,andPieterWuille,2018,"SimpleSchnorrMulti-SignatureswithApplicationstoBitcoin".

标签：SCHOOTROOTFFFetschainNFTshootoutgROOT价格fff币价格

莱特币热门资讯