Schnorr

再说一下 Schnorr 签名算法。

• Schnorr 签名的专利于 2008 年才失效，当时没有广泛的开源实现及应用，所以 2009 年诞生的比特币也没有使用，中本聪还是比较谨慎的。签名算法通常是需要深厚的数学理论基础才能设计。一个小的理解偏差、编码错误则可能导致严重问题。
• Schnorr 签名使用的公 / 私钥系统和 ECDSA 相同，因此现有的私钥管理 (如 BIP32) 可以继续使用。
• Schnorr 和 ECDSA 的区别在于：Schnorr 签名是线性的。对于同一内容 X，如果用多个私钥各自签名，然后把对应的多个公钥相加，再把多个签名相加，得出的新签名会是新公钥对内容 X 的有效签名。
• 利用这个特性，签名人数没有理论极限。只要各方一致合作，就可以把签名相加起来，看起来和单方签名无异。
• Schnorr 签名算法的安全性于 2012 年得到数学证明。

Taproot 解决的问题

Taproot 以 Schnorr 签名算法为基础。

• 以 Taproot 进行的智能合约，如果双方合作，不但无需公开合约内容，而且交易会和最简单普遍的单方签名交易看起来没有分别。即交易成本极小化及隐私极大化。
• 如果双方不合作，申诉方仍需要公开合约脚本内容以供区块链仲裁，暴露脚本全部或部分内容，由节点验证执行之。
• 通过使用 MAST （Merklized Alternative Script Trees），申诉方只需要公开合约的相关部分，而非所有合约条款，也因此尽量降低交易成本和对隐私的影响。合约可能有多条执行路径，仅公布即将执行的路径即可。

Taproot 没有解决的问题

Taproot 没有把交易金额隐藏，因此仍可以通过分析输入和输出金额估计资金流向。
Taproot 地址和旧式地址一样，会在区块链公开。如果使用者重复使用 Taproot 地址，那和重复使用旧式地址有相同的隐私问题：太多交易信息集中在一个地址上。

总结

比特币在隐私方向上，有两大待攻克的难题。一是流向隐匿，这在 UTXO 系统里是比较棘手的；二是金额隐匿，可以通过类似 Grin 的技术来解决，需要扩展区块或分叉来实现。

即使上述两大难点并没有解决掉，但 Taproot 对于比特币合约来说，即实现了交易成本极小化，又使得隐私极大化。还是一个显著的进步。

(责任编辑：admin)