“没有Schnorr，Taproot不会让你一路走到你想去的地方。—— Pieter Wuille

原标题：《Schnorr 即将开启的多签时代意味着什么》作者：货币信

特约撰稿人李华“Schnorr signature、Taproot和具有多个签名的签名聚合很可能同时作为升级包添加到比特币中，这是一些非常令人兴奋的加密创新”，Andreas M. Anton。

Andreas M. 蓑衣网小编2022Antonopoulos，知名比特币传道者

Antonopoulos是《精通比特币》(掌握比特币)》的作者，也是加密货币界重要的技术专家和受人尊敬的人。他预测，比特币的升级将在6个月内以软叉的形式实现，包括Schnorr在内的升级将为用户带来比特币今天所没有的隐私利益。

升级后的BIP已经创建，相关规范正在定稿。比特币的核心开发者Pieter Wuille等开发者已经写好了实现代码，第一个原型也已经造出来，以Schnorr为核心的比特币豪华升级包正在路上。

那么，深受比特币开发者欢迎的Schnorr是什么？它带来了什么？

1。施诺尔的签名到底是什么

比特币通过数字签名解锁UTXO中未用完的余额，从而完成交易。

以下图为例。在交易B中，鲍勃转给卡罗尔一枚比特币。Bob需要分两步完成交易：

1)证明自己拥有这个比特币。

为什么鲍勃拥有这个比特币，因为爱丽丝给了他这个比特币；在交易A的“锁定”部分，Alice用Bob的公钥hash为Bob锁定了这个比特币，这个公钥hash也是Bob的钱包地址。

鲍勃在交易B的“解锁”部分，通过提供自己的公钥和用私钥创建的签名，可以证明这枚比特币是自己的，从而完成解锁，使用这枚比特币。

2)把这个比特币给卡罗尔。

Bob在交易B的“锁”部分用Carol的公钥hash锁定了这枚比特币，表示这枚比特币属于Carol。

当Carol想使用这个比特币时，比如她想转给Dave，Carol需要创建一个交易c，首先她会在“解锁”部分用自己的公钥和私钥签名解锁这个比特蓑衣网小编2022 币，然后在“锁定”部分用Dave的公钥hash锁定这个比特币。

不难发现，比特币需要使用公钥锁定，使用私钥签名解锁，才能实现加密货币的交易。如何生成公钥、私钥及其签名？通过数字签名算法。

施诺尔是一种数字签名算法，将在下一次升级中取代比特币目前使用的签名算法ECDSA。施诺尔是由德国数学家和密码学家克劳斯施诺尔提出的。这个算法可以使用和ECDSA: secp256k1一样的椭圆曲线，所以升级不会有太大变化。

schn orr最突出的特点是“线性”，即可以将多个公钥或多个私钥签名聚合成一个新的公钥或一个新的签名(也可以理解为将需要同时开锁的多个锁变成一把锁，将开锁的一系列钥匙变成一把钥匙)，这个新的公钥或签名也满足线性特征。

打个不是特别合适但能说明问题的比喻。在使用Schnorr的多签名交易中，如果Alice的公钥或签名是1，Bob的是2，Carol的是3，Dave的是4，那么在该交易中显示的公钥或签名是10 (1 2 3 4=10)，而不是1、2、3和4。

二、施诺尔签名算法的好处

施诺尔的开发者Andrew Poelstra认为，人们对施诺尔感兴趣是因为它提高了比特币的可扩展性，允许人们与许多参与者创建多重签名交易，不仅包括许多人，还包括流动网络、闪电网络、智能合约等等。

此外，Andrew认为Schnorr signature在与Taproot和Scriptless脚本结合时，将使所有比特币交易看起来都一样，无论是普通交易还是复杂交易，这将大大提高比特币的隐私性。

这些优势源于在多重签名的情况下，如果使用ECDSA，使用N个公钥进行锁定，则需要N个与之对应的签名进行验证和解锁，验证工作也需要进行N次；如果使用Schnorr，n个公钥可以聚合成一个公钥，验证只需要一个聚合签名。

这种“线性”的特性使得Schnorr在性能、体积和隐私方面都优于ECDSA。

性能：Schnorr的性能优势是显而易见的，它减少了一个多签名交易的验证工作量，还可以实现多个交易的批量验证，即用一个块中所有交易的聚合签名一次性验证所有交易，从而提高比特币的验证速度。

卷：Schnorr使用聚合公钥和聚合签名，这样会减少多重签名的大小。通过将不相关的数据移出区块链，系统的可伸缩性将得到提高，节点将拥有更多带宽并减少存储。安德鲁认为，如果所有人都采用这种方法，将变相增加比特币10%至20%的容量。

隐私：Schnorr的隐私优势在于它使用聚合公钥和聚合签名来完成交易脚本中的锁定和解锁操作，一个用户的原始公钥和原始签名不会被暴露。外界只能看到10，看不到1，2，3，4。外界甚至无法知道这是多签交易还是非多签交易。

Schnorr signature有更有趣的使用方式，比如调整后就可以使用。人们可以将一个聚合公钥乘以2作为新的聚合公钥来锁定它，只需要将聚合签名乘以2就可以解锁。这样别人就无法知道原来的聚合公钥和原来的聚合签名是什么，也看不到公钥或签名是否被调整过。

三、施诺尔和塔普尔特的组合

印币矿池创始人潘志标也认为这次升级意义重大。他在个人微博中写道：“马斯特、施诺尔、塔普特组合爆炸”。Schnorr如何与Tapoort等技术手段结合使用？这种组合拳能给比特币带来什么好处？

从知道它们是什么开始。Schnorr是签名算法，是这些技术中最基础最核心的；MAST、Taproot、Graftroot、无脚本脚本等。都是脚本结构，使用Schnorr可以充分发挥其功能。

比特币脚本是比特币交易的载体：通过执行一个比特币脚本来实现一次比特币交易。解锁意味着执行“输入脚本”，锁定意味着执行“输出脚本”。脚本结构是指比特币脚本的数据结构。

如上所述，当人们使用自己未用完的余额进行比特币交易时，需要在输入脚本中提供自己的公钥和私钥签名，以证明自己拥有这些余额。

P2SH是比特币最基本的脚本结构，显示整个脚本的内容，包括公钥和私钥签名的信息，节点通过它来验证交易。但同时，节点和任何人都可以获得交易的所有细节。

所以我们说比特币是透明的。虽然可以将物理实体的个体与比特币账户隔离开来，实现物理个体的匿名性，但是从比特币账户的角度来说，P2SH并没有为账户提供隐私，每个人都可以知道资金以什么方式使用在哪个/哪些账户上。

因为P2SH的缺点，开发者提出了一种新的脚本结构MAST，这是一种树形结构，具体来说就是一棵Merkel树，也就是哈希树，每个节点存储一个哈希值。其结构如下图所示。

树形结构

比特币交易中MAST结构的使用是指在多个签名的情况下，将一笔使用条件不同的钱分别进行哈希运算，生成一个哈希值，存储在这棵树的叶节点中；这些哈希值一步一步递归，最后生成一个哈希值放在树的顶层节点，也就是默克尔根。

这样，在验证一个交易时，不需要暴露所有的脚本信息，只需要提供达到某个使用条件的默克尔根和默克尔路径的数据，其他信息仍然处于哈希密文状态。主脚本结构不仅提供了保密性，还提高了数据处理效率。

现在我们可以讨论主根了。

Taproot是基于Schnorr签名特殊主。它可以像MAST一样包含复杂的交易条件和资金使用明细，然后把这些内容全部作为新的资金使用条件(新锁)提供给外界。这种新的使用条件和这种使用条件下的解锁方式(新钥匙)是由Schnorr的线性特性支持的。

在最终演示中，Taproot不需要公开任何脚本信息，也不需要暴露原始公钥和原始签名。它的输出被聚合签名锁定，它只需要被聚合签名解锁。

再打一个不是特别合适但能说明问题的比喻。孙悟空能把猴子的毛变成猴子的毛，而直根做到了。也就是说，我们把一个普通的交易当做猴毛，把MAST支持的复杂交易当做厉害的猴子。Taproot可以把一只猴子变成猴子的毛，也就是安德鲁说的所有比特币交易看起来都一样，不管它有多复杂。

这大大提高了比特币的隐私性，包括多签交易下的账户隐私性，智能合约的隐私性，以及流动网络和闪电网络的隐私性。因为智能合约，流动网络，闪电网络，更多的链外扩展方案都是一种多签，一种复杂的交易。

四、组合拳开启多签大幕

在现实生活中，我们往往崇尚某种“生活方式”。在加密货币的生活中，或许我们应该倡导多签作为一种生活方式，让多签成为一种常识和习惯性的资金使用方式。

如上所述，基于Schnorr和Taproot的多重签名可以提高交易的私密性，可以隐藏参与者公钥和私钥的签名信息，也可以隐藏资金使用的细节。

多签还有一个好处就是提高安全性。无论是加拿大QuadrigaCX交易所创始人去世导致1.6亿美元加密货币被锁定，还是Mt.Gox以来交易所钱包连续被盗，都可以通过多签得到改善。

多重签名提供了一种“找回”加密货币的方法，让我们在无法通过某种路径或某种方式解锁比特币时，可以有其他的解锁方式。这就像在现实生活中，如果我们丢失了储蓄卡，无法取钱，我们仍然可以用存折取钱。

(注：当然是要补办储蓄卡了，但是这种补卡的方式和多签的方式是完全不同的。加密货币是没有办法补办卡的，因为私钥本身就是终极唯一的凭证，不像银行在账户凭证上面有用户身份证明。

多重签名还可以提供严格的加密货币“使用”条件。一般情况下，只有同时满足这些条件，比特币才能解锁。就像进入银行金库，需要刷卡刷视网膜才能打开金库大门，需要密码和钥匙才能打开保险柜。

以上就是多签带来的好处，而Schnorr和Taproot的结合进一步升级了这种好处，让多签以更高效、更私密的方式实现。

需要注意的是，即使是升级后，一个没有多签的普通交易也无法获得Schnorr和Taproot带来的收益，其隐私级别与升级前相同。

所以，一方面要提倡多签。另一方面，即使在普通交易中不使用多重签名，在大量的应用场景中也需要多重签名，比如通过智能合约使用比特币，通过流动网络、闪电网络使用比特币，以及更多的链外扩容方式。多签本身的地位也越来越重要。

以及Schnorr和Taproot ——的组合，其中可能包括更多的多重签名脚本结构，如Graftroot，将大大增强多重签名的性能，并使比特币蓑衣网小编2022上的复杂交易成为可能。

过去复杂的交易可以很容易识别，但是升级后看起来就像普通的交易，交易就变成私密的了。比如用户打开或关闭闪电网通道时，除了参与者没有人知道发生了什么，其他人只看到一个普通的锁定的公钥。Wuille称Schnorr和Taproot是比特币隐私的伟大胜利。

Wuille也认为Schnorr和Taproot是比特币智能合约的伟大胜利。它们将允许创建具有复杂使用条件的多签交易，在Schnorr线性特性的支持下，可能会衍生出许多新的应用和离线创新。

此外，在Schnorr和Taproot的支持下，复杂的交易不仅执行效率高，而且不需要占用额外的比特币区块链空间。Schnorr使用聚合公钥和聚合签名，只需要一次验证；Taproot支持大的脚本树，但是占用的空间很小。

不难发现，虽然之前比特币支持多签，但包括Schnorr和Taproot在内的比特币升级包无疑将拉开多签的大幕，多签不仅会带来更安全、更私密、更可扩展的比特币区块链，还会带来未来支持智能合约、流动网络、闪电网络和更多比特币应用的基础设施。

这是一个值得期待的美好未来。