SCH:干貨 | 一文讀懂比特幣的Taproot/Schnorr升級

本文作者為萬向區塊鏈、PlatON首席經濟學家鄒傳偉。

2020年1月，由比特幣核心開發人員PieterWuille于去年5月提出的Taproot/Schnorr軟分叉升級提案已正式作為比特幣改進提案發布，相關提案序號為BIP340-342。Taproot/Schnorr升級如果獲得社區支持，將是比特幣自閃電網絡上線后最大的技術拓展。本文查詢了BIP340-342相關文檔，對Taproot/Schnorr升級做一個簡單介紹。本文分三部分，第一部分簡單介紹比特幣目前的ECDSA簽名算法，第二部分詳細介紹Schnorr簽名算法，第三部分介紹Taproot。

一、比特幣ECDSA簽名算法

比特幣目前使用的ECDSA簽名算法與建議的Schnorr簽名算法，都屬于橢圓曲線數字簽名算法，它們使用的橢圓曲線都是secp256k1。這一部分先介紹橢圓曲線secp256k1，再介紹ECDSA簽名算法。

橢圓曲線secp256k1

圖1：橢圓曲線圖示

Bitfinex上線WhiteBIT Token（WBT），6月1日開放交易:5月31日消息，據官方公告，Bitfinex宣布將上線WhiteBIT交易所原生代幣WBT。Bitfinex計劃于UTC時間5月30日中午12點左右開放WhiteBIT Token（WBT）充值。WBT交易將于UTC時間6月1日10點左右開放，提供USD和USDT交易對。[2023/5/31 11:50:18]

ECDSA簽名算法

注：G坐標為，階等于FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141，均采用16進制表達。

Messari發布波場TRON2022年第四季度報告:據官方消息，頂級加密數據研究機構Messari已正式發布波場TRON2022年第四季度報告。

報告從新增用戶、網絡活躍度、TRX供應情況、鏈上穩定幣市值、網絡發展進程等多維度，對波場TRON的表現進行了深入研究與分析。

報告指出，盡管遇到了不利的市場環境，但波場網絡依然迎來了新用戶增長和網絡活躍度的提升，并保持了在穩定幣領域的重要地位。此外，本季度TRX被大量銷毀，這使得TRX的稀缺性進一步提升。[2023/2/8 11:54:27]

二、Schnorr簽名算法

這一部分先介紹Schnorr簽名算法主要特點，再分步驟介紹Schnorr簽名算法及批驗證，最后介紹基于Schnorr簽名的多重簽名算法。

主要特點

Schnorr簽名算法與ECDSA簽名算法使用同樣的橢圓曲線secp256k1和哈希函數SHA256，所以在這個層面它們具有同樣的安全性。Schnorr簽名算法主要有以下優點。

第一，Schnorr簽名算法有可證明安全性。在假設橢圓曲線離散對數問題難度的隨機寓言模型，以及假設原像抗性和次原像抗性的通用群模型下，Schnorr簽名算法具備選擇消息攻擊下的強不可偽造性。換言之，如果不知道Schnorr簽名的私鑰，即使有針對任意消息的有效Schnorr簽名，也沒法推導出其他有效Schnorr簽名。而ECDSA簽名算法的可證明安全性則依賴于更強的假設。

第二，Schnorr簽名算法具有不可延展性。簽名延展性的含義是，第三方在不知道私鑰的情況下，能將針對某一公鑰和消息的有效簽名，改造成針對該公鑰和信息的另一個有效簽名。ECDSA簽名算法則有內在的可延展性，這是BIP62和BIP146針對的問題。

美國法官批準媒體請求FTX公布完整債權人名單的動議:金色財經報道，美國法官John Dorsey周五裁定，包括紐約時報和彭博社在內的媒體公司將獲準正式請求FTX公布多達100萬名債權人的完整名單。

FTX一直試圖對其債權人名單保密，認為這是一項“資產”，可能會給競爭對手帶來優勢并違反隱私法，并且在其破產程序的后續階段可能會有用。美國政府官員和記者予以反駁，包括紐約時報和彭博社在內的媒體最近以公眾利益為由，在FTX案中提出了公開債權人信息的動議。Dorsey是特拉華州破產法院的聯邦法官，他表示同意讓包括金融時報和道瓊斯在內的媒體機構進行干預以提高透明度，破產案中關于該事項的下一次聽證會定于1月11日舉行。[2022/12/17 21:50:15]

第三，Schnorr簽名算法是線性的，使得多個合作方能生成對他們的公鑰之和也有效的簽名。這一特點對多重簽名、批驗證等應用非常重要，既能提高效率，也有助于保護隱私。而在ECDSA簽名算法下，如無額外的見證數據，批驗證相對逐個驗證并無效率提升。

最后，Schnorr簽名算法因為使用同樣的橢圓曲線secp256k1和哈希函數SHA256，能兼容目前的比特幣公私鑰生成機制。

Schnorr簽名算法

公私鑰生成

美聯儲點陣圖：上調2023年利率預期至5.1%:金色財經報道，美聯儲公布點陣圖：預計2023年年底的聯邦基金利率為5.1%，9月份料為4.6%；預計2024年年底的聯邦基金利率為4.1%，9月份料為3.9%；預計2025年年底的聯邦基金利率為3.1%，9月份料為2.9%；預計長期聯邦基金利率預期為2.5%，9月份料為2.5%。[2022/12/15 21:45:36]

簽名生成

簽名驗證

比特幣礦企Marathon Digital二季度開采707個比特幣 持有量增加到10,055 枚:金色財經消息，比特幣礦企Marathon Digital (MARA) 第二季度產出707枚比特幣，比一年前的第二季度增長了 8%，但低于第一季度開采的 1,259 個。原因是“運營障礙”，包括維護問題和為該公司的Hardin、MT 鉆機供電的發電廠的嚴重風暴，以及德克薩斯州近30,000 臺已安裝礦機的供電持續延遲。

此外，Marathon自2020年10月以來一直沒有售出比特幣，現其持有的比特幣已增至10055枚，公允市值為1.989億美元。（Coindesk）[2022/7/8 1:59:13]

批驗證

圖2：逐個驗證簽名的時間/批驗證所需時間

Schnorr簽名算法與多重簽名

密鑰生成

簽名生成

簽名驗證

三、Taproot升級

Taproot升級可以視為默克抽象語言樹的一個應用，而MAST又與支付到腳本哈希有關。因此，這部分依次介紹P2SH、MAST和Taproot。

P2SH

P2SH是2012年推出的一類新型交易，使復雜腳本的使用與直接向比特幣地址支付一樣簡單。在P2SH中，復雜的鎖定腳本被其哈希值所取代，稱為兌換腳本。當隨后出現的一筆交易試圖花費這個UTXO時，必須包含與哈希值匹配的腳本，同時解鎖腳本。P2SH的主要優點包括：一是在交易輸出中，復雜腳本由哈希值取代，使得交易代碼變短。二是將構建腳本的負擔轉移至接收方，而非發送方。三是隱私保護性更好。理論上，除了接收方，任何其他方都可以不知道兌換腳本中包含的支出條件。比如，在多重交易中，發送方可以不知道與多重簽名地址有關的公鑰；只在接收方支出資金時，才披露公鑰。但P2SH也存在不足：一是所有可能的支出條件最終都必須被披露，包括那些實際上沒有被觸發的支出條件。二是在有多個可能的支出條件時，P2SH將變得繁復，會增加計算和驗證的工作量。

MAST

MAST使用默克樹來加密復雜的鎖定腳本，其葉子是一系列相互不重疊的腳本。要支出時，只需披露相關腳本以及從該腳本通向默克樹根的路徑。比如，在圖3中，要使用script1，只需披露script1、script2以及hash3即可。

圖3：MAST，來源：?https://medium.com/@listedreserve/schnorr-and-taproot-cc4fa1edc828

MAST的主要優點包括：一是支持復雜的支出條件。二是不用披露未被執行的腳本或未被觸發的支出條件，提供更好的隱私保護。三是壓縮交易大小。隨著腳本數量的增加，非MAST交易大小是線性增長，而MAST交易大小是對數增長。

圖4：腳本數量與交易大小，來源：https://bitcointechtalk.com/what-is-a-bitcoin-merklized-abstract-syntax-tree-mast-33fdf2da5e2f

Taproot

但P2SH與常見的支付到公鑰哈希在表現上不一樣，仍然有隱私保護問題。有沒有可能讓P2SH和P2PKH在鏈上看起來一樣？這就是Taproot要解決的問題。

涉及有限數量簽名者的腳本，可以分解成兩部分：第一部分是多重簽名，所有簽名者都同意某一支出結果，稱為「協作式支出」；第二部分稱為「非協作式支出」，可以有非常復雜的腳本結構。這兩部分是「或」的關系。比如，在圖3中，Script3是一個2-of-2型多重簽名，需要Alice和Bob兩人都簽名才有效，是「協作式支出」；Script1和2是「非協作式支出」。

圖5：Taproot，來源：https://medium.com/@listedreserve/schnorr-and-taproot-cc4fa1edc828

參考文獻

1Maxwell,Gregory,AndrewPoelstra,YannickSeurin,andPieterWuille,2018,"SimpleSchnorrMulti-SignatureswithApplicationstoBitcoin".

Tags：SCH比特幣TapOOTasch比特幣行情軟件下載MetaPlanetZoneloot幣總量

ICP