金色硬核 | Schnorr簽名哪里好 2020年比特幣可能為它軟分叉_比特幣

金色財經近期推出金色硬核（Hardcore）欄目，為讀者提供熱門項目介紹或者深度解讀。

正如我們在“BTC第三次減半全解讀”中所說，比特幣在2020年值得關注的一個進展就是Schnorr/Taproot軟分叉，計劃的這次分叉將包含三個比特幣改進協議BIP 340、341和342。我們將對這三個BIP進行系列解讀，本期金色硬核（Hardcore）解讀BIP340，主要是Schnorr簽名。enjoy it

2020年1月21日，開發者Pieter Wuille提交請求，要求比特幣進行下一個軟分叉升級。這一請求意味更多開發人員將檢查代碼。這對比特幣而言意義重大，因為意味著這些協議整合進比特幣協議中更進了一步。這些升級被稱為比特幣改進協議BIP340、341和342，其中包括Schnorr簽名，Taproot和Tapscript。

這三個BIP，代表了迄今為止比特幣最大的升級，也是兩年前隔離見證（SegWit）激活后的第一次升級。三個協議捆綁在一起升級，對比特幣的功能、可擴展性和隱私性具有顯著的改進。

這一次軟分叉的激活方法正在討論中。BIP沒有規定網絡升級的確切方法。BIP 340–342所述的升級最早可能在2020年冬季實施，當然可能需要更長的時間。

作為本系列的第一篇文章，我們將解釋比特幣交易的工作原理，介紹比特幣使用的腳本系統，概述Schnorr簽名以及BIP 340的優點。未來兩篇文章將介紹Taproot（BIP 341）和Tapscript（BIP 342），請關注金色硬核。

比特幣如何進行交易

金色晨訊 | 7月7日隔夜重要動態一覽:21:00-7:00關鍵詞：以太坊、特斯拉、BlockFi

1.以太坊開發者提議在8月4日進行倫敦硬分叉的主網激活；

2.以太坊2.0質押地址余額超過620萬枚；

3.比特幣日交易量跌至2021年低點；

4.阿拉巴馬州議員Barry Moore已買入DOGE、ADA及ETH；

5.德國數字銀行N26正與加密交易所合作開發新交易功能；

6.加密貨幣金融服務公司BlockFi正在推出其比特幣獎勵信用卡；

7.特斯拉在第二季度面臨高達1億美元的比特幣減值損失；

8.杠桿基金持有的CME比特幣期貨凈空頭頭寸降至去年9月以來新低。[2021/7/7 0:32:36]

比特幣交易不是基于大家可能比較熟悉的如銀行交易那樣的賬號余額形式進行的。

相反，比特幣交易基于未花費交易輸出（UTXO），由輸入和輸出組成。每個UTXO與一個私鑰及交易數據相關聯。當你進行比特幣轉賬時，你是在轉讓UTXO的所有權，你需要通過加密簽名證明所有權。

UTXO由比特幣腳本標記，該腳本描述了花費策略，這些腳本包含了一筆交易的指令列表，說明某個比特幣的新所有者如何使用它們。通過使用Script編程語言，交易可以包含許多條件，其中包括多重簽名（multi-sig）方案。

一筆交易的輸入是UTXO要花費掉的 ，而輸出是交易創建的UTXO 。比如，當你創建新的比特幣交易時，你將使用自己擁有的一組UTXO，并提供證據證明你擁有這些比特幣。要簽署和授權交易，你需要提供與私鑰相關聯的數字簽名，以證明你是所有者。

交易的輸出包含兩個元素：比特幣數量和鎖定腳本（或scriptPubKey），該腳本通過限定花費某些輸出的條件來鎖定比特幣數量。鎖定腳本會將輸出鎖定在特定的比特幣地址，該地址將比特幣的所有權轉讓給新的所有者。

金色算力云合伙人梅洪睿：Filecoin的機制設計盤活了供需關系，會有強大的市場空間:9月4日，2020 幣牛牛武漢國際峰會·華中區塊鏈周盛大舉行，金色算力云合伙人梅洪睿在《分布式存儲和中心化存儲的未來格局》的圓桌主題論壇中表示，分布式存儲的優點是成本低、訪問速度快、安全性高。IPFS作為數據基礎設施，可以方便應用場景大規模落地，Filecoin生態也能帶動挖礦這個行業，讓更多人獲利。金色財經為幫助投資者拓寬投資渠道，助力IPFS挖礦產業健康發展，推出金色算力云平臺，以四大優勢粉碎挖礦痛點，三大保障助推投資者生態良性發展。目前，金色算力云戰略合作伙伴—石榴礦池，公布首批21個集群，暫居太空競賽第一名。

從另外一個角度來說，Filecoin這個機制設計的非常巧妙，盤活了供需關系，在這個里面基本上是按需分配，這個態勢發展，會有比較強大的市場空間。其落地商用至少主網需要上線，全球網絡能在一個高數據量級的處理中，穩定、安全、高效的運行。[2020/9/4]

新的所有者通過提供解鎖腳本（或scriptSig）以及與其私鑰相關聯的簽名來解鎖輸出，然后花費這些比特幣。解鎖腳本是下一筆交易輸入的一部分。

為了確保你不會花費你不擁有的UTXO，比特幣客戶端通過執行腳本來確認交易。每個輸入中的解鎖腳本與相應的鎖定腳本一起執行，以查看是否滿足花費條件。全節點跟蹤并驗證全部UTXO集，從而確保每個人只能花費他們自己擁有的比特幣。

舉例來說明

下圖說明了比特幣交易的工作方式。

Alice想付給Bob 1個BTC，為此，她使用Bob的公共地址創建了一筆交易。為了轉移比特幣，Alice提供了她的數字簽名（由私鑰和交易數據歷史產生），以證明她在UTXO集中擁有至少1個BTC，同時沒有泄露她的私鑰。

金色晨訊 | 8月28日隔夜重要動態一覽:21:00-7:00關鍵詞：人民日報、礦工Circle、美國、YAM

1. 人民日報：加強區塊鏈政務應用的頂層設計，建設統一技術標準;

2. 礦工持有的比特幣數量創兩年新高;

3. Circle及Coinbase發布USDC 2.0版本;

4. 美國政府要求奪回與朝鮮黑客相關的280個加密貨幣帳戶;

5. 福布斯：數字人民幣是中國試圖顛覆全球金融秩序的嘗試;

6. 美國助理司法部長：區塊鏈將對美國政府反壟斷工作產生巨大影響;

7. YAM前100位持有者擁有63.85%的YAMv2;

8. 報告：95％的加密貨幣期貨交易量來自亞洲交易所;

9. 杭州市蕭山區檢察院受理多起虛擬貨幣詐騙案，涉案金額達千萬元。[2020/8/28]

比特幣典型交易的可視化

作為交易的一部分，只有Bob可以解鎖鎖定腳本。交易轉賬后，UTXO便被轉移，并將其添加到比特幣區塊鏈中。通過提供簽名，Bob可以解鎖鎖定腳本（或scriptPubKey），并且可以將UTXO用作下一筆交易的輸入。

比特幣交易最常見也是最基本的形式是使用“ 付款至公鑰哈希”（P2PKH）腳本。比特幣的腳本語言使用命令（或函數）來確定每筆交易記錄的指令以及更復雜的交易。它們被稱為操作碼（OP_CODE），使我們能夠設置某些條件來轉移比特幣的所有權。

例如，多重簽名方案（簡稱multi-sig）可以指定5個參與者中必須有3個參與者提供簽名才能花費比特幣。另一個示例是時間鎖（例如nLockTime）的使用，將比特幣鎖定到將來指定的某個時間點。

金色財經行情播報 | BTC小幅反彈，局部震蕩為主:據火幣行情顯示，BTC昨日反彈觸及9738.89 USDT，隨后震蕩下跌，價格整體處于9600-9400 USDT區間擺動，上午小幅反彈。日線圖大周期上行趨勢未變，均線MA5構成支撐。4小時圖均線MA30支撐扭轉局部下行，9600 USDT一線壓力較大，局部行情震蕩為主。截至10:00，火幣平臺的主流幣的具體表現如下。[2020/6/1]

另一種高級的交易類型是支付到腳本哈希（P2SH），它允許付款方將資金轉入到任意有效腳本的哈希中。P2SH的例子包括多重簽名和非原生SegWit交易。此外，可以組合幾個花費條件來創建復雜的智能合約。

P2SH交易中的鎖定腳本現在被“贖回腳本”（redeem script）替換。當比特幣的所有者花費它們時，所有腳本都會顯示出來，以及鎖定比特幣腳本的解決方案。使用區塊鏈中腳本的哈希，任何人都可以檢查花費這些比特幣的腳本條件。

P2SH地址以“ 3 ” 開頭，而P2PKH地址以“ 1 ” 開頭。P2SH交易的一個缺點是它們會揭示多重簽名中所有可能的條件和身份。

從上圖比特幣富豪排行榜中，我們可以輕松區分P2PKH和P2SH地址。上面“ 3”開頭的地址被標識為多重簽名地址（3-of-5和2-of-3）。以“ 3”開頭的地址也可以是SegWit腳本或Lightning Network客戶端。以“ 1”開頭的地址是P2PKH地址，并且未啟用SegWit。

一旦花掉比特幣，P2SH交易會顯示整個腳本，因此網絡參與者可以發現滿足他們條件的所有不同方式（從而可以區分多簽名交易和P2PKH交易）。網絡參與者也可以推斷出使用了哪種錢包。

金色午報 | 5月4日午間重要動態一覽:7:00-12:00關鍵詞：印度、tBTC、算力、礦工

1. 印度加密貨幣交易所要求央行澄清其地位；

2. Pantera Capital CEO：政府增加印鈔會抬高比特幣價格；

3. TAAL CEO：短期內可開采BTC賺錢，長遠來看礦工更愿意支持BSV；

4. 比特幣核心開發者：比特幣是世界上第一種可以在現在和未來驗證稀缺性的貨幣；

5. tBTC負責人提案tBTC成為Dai抵押品；

6. Cash App將比特幣每周購買限額提高至10萬美元；

7. 比特幣全網算力24小時上漲8.26%達131.033EH/s，逼近歷史高點。

8. BTC現報8730美元，日內跌幅0.87%，市值前十幣種普跌。[2020/5/4]

在可擴展性方面也有一個缺點：復雜的腳本具有更大的交易數據，需要在區塊鏈上占有更多空間（導致更高的交易費用）。

Schnorr簽名（BIP 340）

Pieter Wuille提出的三個BIP中的第一個是BIP 340，提出了針對比特幣的、更有效的數字簽名方案：Schnorr簽名。

什么是Schnorr簽名？

正如前面關于比特幣交易如何工作的部分所述，腳本語言控制著比特幣的花費，并使用數字簽名來轉移比特幣的所有權。比特幣使用橢圓曲線數字簽名算法（ECDSA）來驗證加密簽名（該算法不原生支持多簽交易的，導致了2012年P2SH交易的標準化）。

簡而言之，Schnorr簽名方案是一種更有效的簽名方案。該簽名方案是由Claus-Peter Schnorr在1989年開發的，直到2008年專利才過期。

Schnorr建立在“ 隔離見證”之上，該見證于2017年8月在比特幣上激活，以解決可延展性（ malleability）問題。SegWit將所有腳本和簽名數據移至“見證”部分。見證是交易的一部分，作為一個單獨結構，不再包含在輸入列表中。

讓我們看一下Schnorr的主要屬性以及對比特幣的好處。首先，我們看一下密鑰聚合，它具有線性屬性。

密鑰聚合

Schnorr的主要好處涉及多重簽名交易。

Schnorr簽名是線性的，因為它們可以加或減。對公鑰進行加法（或減法），等同于對應的簽名的加法或減法。而ECDSA并不具有這個特性，加或減ECDSA的數字簽名是沒有意義的。

因為線性特性，Schnorr可以密鑰和簽名聚合。聚合意味著我們可以將多個公鑰組合為一個，因此所有方只需要一個簽名。通過對輸入的密鑰求和，它們被匯總為一個簽名，每個簽名者貢獻部分簽名。

下面的方程式通過Schnorr的線性特性說明了如何聚合。除了參與者之外，沒有人知道在公共密鑰/簽名后面有三個人。

使用Schnorr進行密鑰/簽名聚合

對于M-of-n多簽交易，部分簽名稱為閾值簽名（threshold signatures）。如下圖所示，在當前的3-of-5多重簽名中，有M = 3個簽名（n = 5個）作為交易輸入的一部分。

3-of-5的多重簽名是如何工作的。觀察者可以識別a）這是一個多簽設置，和b）多簽背后的公共密鑰。

M-of-n多簽交易至少需要M個簽名者（并且每個簽名都需要驗證），并且要證明對多簽密鑰的UTXO的所有權，scriptSig（或解鎖腳本）必須包含M個ECDSA簽名。scriptSigs的大小根據M個簽名呈線性增長，這增加了這些交易的大小（也增加了交易費用）。

同樣，觀察者將知道A，B和C簽名了交易，并且他們還可以識別所使用的多簽設置。

但是，使用Schnorr，M個簽名被聚和到單個簽名中。一旦提供了閾值公鑰和閾值簽名，該交易即被授權，并且在觀察者看來就像正常的P2PKH交易。

Schnorr進行3-of-5多簽交易。觀察者無法識別這是一個多簽設置，只能將聚合的簽名/公鑰鏈接到交易。

Schnorr使我們只需為所有M方提供一個簽名。解鎖腳本將只需一個代表參與者簽名集合的簽名。觀察者不能再將交易簽名鏈接到個人。

盡管地址和交易金額仍然是公開可見的，但Schnorr本身使錢包/用處的識別變得更加困難（兩者均可用于交易分析）。

Schnorr的加法或減法可以進一步產生新的有趣的應用程序。一個例子是無腳本腳本（Scriptless Scripts），這是一種在比特幣上執行智能合約的方法。無腳本腳本依靠Schnorr的線性屬性創建適配器簽名（adaptor signatures），從而允許原子交換。

下表顯示了無腳本腳本原子交換的優點。

減少交易數據并加快驗證

Schnorr簽名數據比現有的ECDSA簽名數據小11％，現有簽名每個交易占用70-72個字節。由于Schnorr簽名在交易中/在區塊鏈上占據的空間較小（它們固定為64個字節），因此可以實現較小的交易數據和較低的費用。

另外，如果一個比特幣交易包含許多輸入，每個輸入都需要自己的簽名。請記住，輸入指向你收到比特幣的地址。對于多簽用戶控制的任意數量的比特幣，每個簽名者必須將其單獨的ECDSA簽名發布到交易中。這些簽名要一一驗證，并且要有效地驗證一大批簽名，必須依靠一些數學技巧。

Schnorr簽名，所有輸入僅需要一個組合簽名，因為不同的簽名是聚合在一起的。把交易包含在一個簽名，可以使交易具有更大容量。多簽交易的較小交易數據可降低費用。使用密鑰聚合，我們不必檢查每個單獨的輸入，驗證速度更快。

使用ECDSA的緊湊型多重簽名也比較難以生成，因為它們使用DER（專有編碼規則）進行編碼，而Schnorr簽名以更節省空間的方式進行編碼。

Schnorr至少比ECDSA安全 如果不是更安全的話

ECDSA和Schnorr數字簽名方案都依賴于離散對數問題。但Schnorr的好處是，與ECDSA相比，它使用的假設更少，并且有形式化的證明其是安全的。

ECDSA缺乏正式的安全證明，并且依靠額外的假設來保證這一目標。因此，Schnorr是供密碼學家使用的更清晰的框架。Schnorr至少比ECDSA安全，如果不是更安全的話。

總結

簡而言之，Schnorr對可擴展性和交易隱私（而不是交易鏈接隱私）具有多個意義。效率的提高開放了更復雜的多重簽名交易的使用，從而允許非常大的M-of-n方案和更高級的合同。與Taproot和Tapscript結合使用，Schnorr大大拓展了比特幣的隱私性和可擴展性。

BIP 340 是Schnorr簽名的標準化，可將其集成到比特幣協議中。該提案將經過全面審核，以確保BIP 340概述的參數沒有問題。升級本身沒有爭議。人們普遍認為Schnorr是最好的數字簽名方案之一，并且對比特幣有利。比特幣現金開發人員已經看到Schnorr簽名的價值，并將其部署到它們協議中。

不使用復雜花費策略的普通用戶，將很難注意到新的Schnorr簽名方案（SegWit地址中的一個字符除外）。它們不會替換比特幣中的ECDSA簽名（兩種簽名方案將并存）。就像SegWit一樣，一旦實施，錢包開發人員/用戶須采用Schnorr才能收到好處。

在下一篇，我們將研究Schnorr簽名與Taproot（BIP 341）的結合，如何為比特幣提供更好的隱私性和可擴展性。

原文：How will Schnorr Signatures Benefit Bitcoin?

https://medium.com/interdax/how-will-schnorr-signatures-benefit-bitcoin-b4482cf85d40

Tags：比特幣SCHBIPECD比特幣鉆石GPSChainMobipadecd幣違法嗎

DYDX