比特币终于整合了Schnorr和Taproot代码，多重签名时代要来了吗？

原标题：Schnorr即将到来的多重签名时代意味着什么

原标题：《Schnorr即将到来的多重签名时代意味着什么？》

撰稿：笔心特约撰稿人 李华

比特币协议终于集成了 Schnorr Signature 和 Taproot 等重要功能的代码。 两者的结合有望进一步提高多重签名地址的隐私性，为区块腾出更多空间。 目前矿池和矿工支持软分叉升级90%以上的算力。 至于激活方式和具体上线时间，还得看未来相关方如何协商合作。 如何支持第三方应用和生态，可能是一个持续数年的缓慢过程。 相比之下，另一个好消息是，经过讨论，比特币核心开发者最终决定放弃之前的版本号命名规则，将版本0.x调整为版本x.0。 下一个主要版本将从“22.0”开始。

“Schnorr 签名、Taproot 和带有多重签名的签名聚合可能会作为升级包同时添加到比特币中。这些都是一些非常令人兴奋的密码学创新。” Andreas M. Antonopoulos 今年早些时候提到比特币时，我无法掩饰对下一次升级的兴奋。

著名的比特币布道者 Andreas M. Antonopoulos

Antonopoulos 是 Mastering Bitcoin 的作者，领先的技术专家和加密货币世界中备受尊敬的人物。 他预测，比特币的升级将在 6 个月内以软分叉的形式实现，包括 Schnorr 在内的升级将为用户带来比特币今天所没有的隐私利益。

更新后的 BIP 已经创建，相关规范正在定稿中。 比特币核心开发者Pieter Wuille等开发者已经编写了实现代码，第一个原型也已经创建，以Schnorr为核心的比特币豪华升级包正在路上。

那么，广受比特币开发者青睐的Schnorr到底是什么？ 它带来了什么？

Schnorr 签名究竟是什么

比特币使用数字签名来解锁 UTXO 中未花费的余额来完成交易。

以下图为例。 在交易 B 中，Bob 将一个比特币转给 Carol。 Bob需要分两步完成这笔交易：

1）证明你拥有这一枚比特币。

Bob为什么拥有这个比特币，因为Alice给了他这个比特币； Alice 在交易 A 的“锁定”部分用 Bob 的公钥哈希锁定了这个给 Bob 的比特币，公钥哈希 H 也就是 Bob 的钱包地址。

Bob在交易B的“解锁”部分提供了自己的公钥和用私钥创建的签名，可以证明这个比特币是他自己的，从而完成解锁并使用这个比特币。

2) 把这一个比特币给卡罗尔。

Bob在交易B的“锁定”部分用Carol的公钥哈希锁定了这个比特币，也就是说这个比特币是属于Carol的。

当Carol要使用这个比特币时，比如要转给Dave，Carol需要创建一个交易C，先在“解锁”部分使用自己的公钥和私钥签名来解锁比特币，然后然后“锁定”用 Dave 的公钥哈希部分锁定这个比特币。

不难发现，比特币需要用公钥锁定，用私钥签名解锁，才能实现加密货币的交易。 公钥、私钥及其签名是如何生成的？ 通过数字签名算法。

Schnoor 是一种数字签名算法，将在下一次升级中取代比特币当前使用的签名算法 ECDSA。 Schnorr 是由德国数学家和密码学家 Claus Schnorr 提出的。 该算法可以使用与ECDSA相同的椭圆曲线：secp256k1，所以升级不会有太大变化。

Schnorr最突出的特点是它是“线性的”比特币账户是什么样子的，即可以将多个公钥或多个私钥签名聚合成一个新的公钥或一个新的签名（也可以理解为组合多个需要的锁同时被解锁成为一把锁，用于解锁的那串钥匙成为一把钥匙），而这个新的公钥或签名也满足线性特征。

打个不是特别合适但能说明问题的比喻，在一个使用Schnorr的多重签名交易中，如果Alice的公钥或签名为1，Bob的为2，Carol的为3，Dave的为4，那么公钥或者本次交易显示的签名是10（1+2+3+4=10），不是1、2、3、4。

Schnoor 签名算法的好处

Schnorr 开发者 Andrew Poelstra 认为，人们对 Schnoor 感兴趣是因为它提高了比特币的可扩展性，并允许人们创建具有非常多参与者的多重签名交易。 ，可能还有 Liquid Network、Lightning Network、Smart Contracts 等。

此外，安德鲁认为，Schnorr 签名结合 Taproot 和 Scriptless Scripts 将使所有比特币交易看起来都一样，无论是普通交易还是复杂交易，这种方式将大大提高比特币的隐私性。

这些优点源于在多重签名的情况下，如果使用ECDSA，使用N个公钥进行锁定，则需要N个对应的签名进行验证和解锁，同时还需要进行N个验证工作次； 如果使用Schnorr，可以将N个公钥聚合成一个公钥，验证时只需要一个聚合签名进行验证。

这种“线性”特性使得 Schnorr 在性能、大小和隐私方面优于 ECDSA。

性能：Schnorr 的性能优势明显。 它减少了多重签名交易的验证工作量。 此外，还可以实现多笔交易的批量验证，即使用一个区块中所有交易的聚合签名一次性验证所有交易。 从而提高比特币的验证速度。

Volume：Schnorr 使用聚合公钥和聚合签名，这将减少多重签名的大小，通过将不相关的数据移出区块链来提高系统的可扩展性，节点将拥有更多的带宽，同时减少存储。 安德鲁认为，如果大家都采用这种方式，将会变相增加比特币容量10%到20%。

隐私性：Schnorr的隐私性优势是在交易脚本中使用聚合公钥和聚合签名完成加锁和解锁操作，不会暴露用户的原始公钥和原始签名。 外界只能看到10，而看不到1、2、3、4，外界甚至无法知道这是多签交易还是非多签交易。

有更多有趣的方式来使用 Schnorr 签名，例如它可以被调整使用。 人们可以将聚合公钥乘以2作为新的聚合公钥进行锁定，解锁时只需将聚合签名乘以2即可完成解锁。 这样别人就不知道原来的聚合公钥和原来的聚合签名是什么，也看不到公钥或签名有没有被调整过。

Schnorr 和 Taproot 的结合

碧音池创始人潘志彪也认为，此次升级意义重大。 他在个人微博上写道：“MAST、Schnorr、Taproot，结合起来，就会爆发。” 如何将Schnorr与Taproot等技术手段结合起来？ 这种组合拳能给比特币带来什么好处？

首先了解它们是什么。 Schnorr是一种签名算法，是这些技术中最基础、最核心的； MAST、Taproot、Graftroot、Scriptless scripts等都是脚本结构，使用Schnorr可以充分发挥其功能。

比特币脚本是比特币交易的载体：一次比特币交易是通过执行比特币脚本来实现的，解锁就是执行一个“输入脚本”，锁定就是执行一个“输出脚本”。 脚本结构是指比特币脚本的数据结构。

如前所述，当人们使用自己未花费的余额进行比特币交易时，需要在输入脚本部分提供自己的公钥和私钥签名，以证明自己拥有这些余额。

P2SH是比特币最基本的脚本结构。 它显示了整个脚本的内容，包括公钥和私钥签名的信息。 节点使用此信息来验证交易。 但与此同时，节点和任何人都可以获得这笔交易的所有细节。

因此我们说比特币是透明的。 虽然它可以将物理实体的个体与比特币账户隔离，实现物理个体的匿名性，但是从比特币账户的角度来看，P2SH不为账户提供隐私，每个人都可以知道使用了哪些/哪些账户以什么方式。

由于P2SH的不足，开发者提出了一种新的脚本结构MAST比特币账户是什么样子的，它是一种树结构，具体是Merkle树，即哈希树，树上的每个节点存储的都是哈希值。 其结构如下图所示。

树

比特币交易中使用MAST结构，意味着在多重签名的情况下，对一笔资金的不同使用情况分别进行哈希计算，生成一个哈希值存储在树的叶子节点中； 这些哈希值逐层往上递归，最后生成一个哈希值，放在树的最顶端的节点，也就是Merkle根。

这样，在验证某笔交易时，不需要暴露所有的脚本信息，只需要提供Merkle根和Merkle路径上的数据到某个使用条件，其他信息仍然处于状态哈希密文。 MAST 脚本结构不仅提供了隐私，还提高了数据处理效率。

现在是讨论 Taproot 的时候了。

Taproot 是一种特殊的 MAST，基于 Schnorr 签名。 它可以包含复杂的交易条件和资金使用明细，就像MAST一样，然后将所有这些内容作为一个新的资金使用条件（新锁）提供给外界。 这种新的使用条件和使用条件下的解锁方法（新密钥）由 Schnorr 的线性特性支持。

在最终的呈现中，Taproot 不需要公开任何脚本信息，也不需要暴露原始公钥和原始签名。 它的输出是一个聚合签名来锁定，只需要用聚合签名解锁。

同样，一个不太合适但很能说明问题的比喻。 孙悟空可以把猴毛变成猴子，而Taproot做的就是把猴子变成猴毛，也就是说我们把普通的交易当成猴毛，把MAST支持的复杂交易当成强大的猴子，Taproot可以把MAST猴子变成猴毛，也就是Andrew所说的让所有的比特币交易看起来都一样，不管它有多复杂。

这大大提高了比特币的隐私性，包括多重签名交易下的账户隐私、智能合约隐私，以及Liquid Network、Lightning Network等的隐私。因为智能合约、Liquid Network、Lightning Network等更多的链下扩容解决方案都是多重签名和复杂的交易。

组合拳拉开多重签名的帷幕

在现实生活中，我们常常提倡某种“生活方式”。 在加密货币世界的生活中，或许我们应该提倡将多重签名作为一种生活方式，让多重签名成为加密货币的常识和本质。 资金使用习惯。

基于 Schnorr 和 Taproot 多重签名的交易隐私改进上面已经解释过了。 它可以隐藏参与者的公钥和私钥的签名信息，也可以隐藏资金使用的细节。

多重签名的另一个好处是提高了安全性。 无论是加拿大QuadrigaCX交易所创始人去世导致1.6亿美元加密货币被锁定，还是自Mt.Gox以来交易所钱包不断被盗，都可以通过多重签名来改善.

多重签名提供了一种“恢复”加密货币的方法，让我们在无法通过某种路径或某种方法解锁比特币时，可以有其他的解锁方式。 这就好比在现实生活中，如果我们的储蓄卡丢了，不能取钱，我们仍然可以用存折取钱。

（注：当然现在是补卡，但是补卡的方式和多重签名的方式完全不同，加密货币是没办法换卡的，因为私钥本身就是最终且唯一的证书，与银行不同。在帐户凭证之上，还有一层可用于构成卡的用户身份凭证）。

多重签名还可以提供严格的加密货币“使用”条件。 一般情况下，只有同时满足这些条件才能解锁比特币。 这就像进入银行金库。 您需要刷卡和视网膜才能打开金库门，并且需要密码和钥匙才能打开保险箱。

这些都是多重签名带来的好处，而Schnorr和Taproot的结合进一步升级了这个好处，让多重签名能够以更高效、更私密的方式实现。

需要注意的是，即使升级后，没有多重签名的普通交易也无法享受到 Schnorr 和 Taproot 的好处，其隐私级别与升级前相同。

因此，一方面需要推广多重签名，另一方面即使普通交易不使用多重签名，在大量的应用场景中也需要多重签名，比如使用比特币通过智能合约，通过 Liquid Network，Lightning Network 等链下扩容的方式使用比特币。 多重签名本身的地位越来越重要。

复杂的交易在过去很容易识别，但升级后它们看起来和普通交易一样，交易会变得私密，比如当用户打开或关闭闪电网络通道时，除了参与方之外没有人知道什么发生了什么，其他人看到的是一个普通的锁定公钥。 Wuille 称 Schnorr 和 Taproot 是比特币在隐私方面的巨大胜利。

Wuille 还认为 Schnorr 和 Taproot 是比特币智能合约的巨大胜利。 它们将允许创建具有复杂使用条件的多重签名交易，并且在 Schnorr 的线性特性的支持下，可能会衍生出许多新的应用和链下创新。

此外，在Schnorr和Taproot的支持下，复杂的交易不仅执行效率高，而且不需要在比特币区块链中额外占用空间。 Schnorr 使用聚合公钥和聚合签名，只需要一次验证； Taproot 支持非常大的脚本树，但占用空间非常小。

不难发现，虽然此前比特币支持多重签名，但包括Schnorr、Taproot在内的比特币升级包无疑将全面拉开多重签名的帷幕，多重签名带来的不仅是更安全、更便捷。私有的、可扩展性更强的比特币区块链也是一个支持智能合约、Liquid 网络、闪电网络等未来的基础设施。