比银潘志彪：Taproot，解决比特币隐私问题丨2020全球区块链算力大会

8月22日至23日，“共享新机遇——2020全球区块链算力大会暨新基建挖矿峰会”在成都举行。本次会议由成都市新经济委员会、成都市科技局、成都市成华区人民政府指导。主持人。会上，币印创始人潘志彪分享了题为“Taproot——比特币隐私之路”的主题。

什么是主根？如何解决比特币隐私问题？潘志彪为我们介绍了技术方案。

以下为演讲全文：

今天从隐私问题的角度来介绍一下比特币即将要做的Taproot。下图是Taproot的意思，上面只能看到一张传单，下面可能有各种复杂。

解决比特币的隐私问题，或者说数字货币的隐私问题，主要有三大方向：一、货币是怎么来的？从 A 转到 B，从 B 转到 C。这个流是公开的，所以我们需要解决货币是怎么来的问题；第二，货币是怎么花的，出去的时候去了哪里？目前有很多专业的数据网站通过流量分析和流量分析来解决隐私问题；第三，货币有多少，你给别人转账的时候，别人是公开的，通过简单的数学推理就可以完成漂亮的数学运算。

直根

Taproot 由著名的 Gregory Maxwell 于 2018 年 1 月提出，他在今年发布了代码。开发人员也在进行一些大胆的讨论，这些讨论很快就会出现在 MAST 分支上。MAST，由 Johnson Lau 于 2016 年 4 月由 BIP114 提出。

比特币脚本的演变基本上分为三个阶段：

第一个是P2PKH；

二是P2SH分解比特币，可以做一些多重签名，也可以放一些复杂的脚本；

第三个是Taproot/MAST。Taproot 可以在一定程度上替代 MAST，或者可以将 MAST 应用程序转换为 Taproot。MAST 的脚本输出非常简单。只要有签名，就可以通过。它由一个简单的 OP 代码完成。它实际上是一个语法树的结构分解比特币，里面有一个分支，里面有一个值。扩展的 MAST 语法树在其上方有一个根，然后向下拆分。

MAST 有几个特点：它支持非常复杂和大型的脚本；可以轻松支持10层以上的二叉树结构，突破单个脚本520Bytes字节限制，无需构建balance。

施诺尔签名

Schnorr 签名由德国数学家和密码学家克劳斯·施诺尔提出并于 1990 年获得专利。该专利于 2008 年 2 月到期，基本上在各个方面（性能、安全性、体积、可扩展性等）都碾压了 ECDSA，因为 ECDSA 并不是那么简单。Schnorr Sig 可以使用与 ECDSA 相同的椭圆曲线。

Schnorr 比 ECDSA 更安全。目前，Schnorr 签名有安全证明，而 ECDSA 目前没有类似的证明。Schnorr 没有延展性问题，ECDSA 签名具有延展性。Schnorr是线性的，因为它的签名是线性的，所以公钥和私钥层次可以直接叠加，以前做不到的新东西可以在上面做。Taproot对于一个输出可以有两种执行模式，一种是签名模式，全部签名，另一种是运行一个脚本而不暴露整个脚本。N 个参与者，将其叠加在一起形成一个新的值，这个值称为主公钥，主公钥和脚本的哈希值叠加在主公钥中。主公钥的哈希值是所有相关方都知道的。在交易的输出中，直接填写Segwit格式，填写版本号，填写主公钥。因为激活了Segwit，以后很容易分叉，可以预留一个字节支持很多，为以后做铺垫。

让我们做一个 Taproot 的例子。

模式一、签名模式代价，有A和B两方，其组公钥为C。定义后B的签名可以花费B，然后形成一个新的P，乘以C的hash值由椭圆曲线，所以P是这样的，如果要分解它，就是A、B、D三方。每个人签名，都会得到各自对应的签名。

二是脚本模式。在脚本模式下，由于一方拒绝签名，无法得到公钥P对应的签名，所以公钥C脚本S和可以验证脚本S的数据通过，这样B已花费。Taproot 仅在不合作时公开和执行脚本。

Taproot通常是多方参与的，一方可以，但没有多大意义。在条件执行中，很多情况下基本遵循设置，所以这个脚本中的细节完全不需要暴露，就是正常的签名。有一些非常典型的应用场景，有具体的执行方式，但是看不出脚本在调整。

Taproot其实很灵活，未来会有很多新的应用，也可以解决比特币量的问题。目前，MimbleWimble 是最简单的，但是软分叉现在不太好做。我们只能通过扩展块来实现，比较简单。目前，Wright 社区推荐使用 MimbleWimble。