数字签名是蚁合主权的支抓。1976年公钥密码学的出现为大师通讯引子——互联网和一种全新的货币体式——比特币的出身铺平了说念路。天然公钥密码学的基本属性自那时以来莫得太大的变化开户18～88体验金，但面前，密码学者的用具箱中王人有几十种开源数字签名决议。

当中本聪（Satoshi Nakamoto）启动创造比特币时，需要商量的一个要道设想取舍是，在这个洞开、无需许可的金融体系中使用哪种签名决议。其要求很显著；中本聪需要一种被泛泛使用、易于合股、裕如安全、轻量级且最紧迫的是开源的算法。在其时通盘的备选决议中，他作出了最稳当这一圭臬的取舍：椭圆弧线数字签名算法（ECDSA）。

其时，ECDSA由OpenSSL支抓，OpenSSL是一套开源加密用具，由密码学一又克开荒，用于改善在线通讯的秘籍。与其他流行的决议比较，ECDSA具有筹备需求更少、密钥长度更短的优点；对数字货币来说很有用。同期，它还为RSA（加密算法）这么的决议提供了一定的安全性：举例，256位的ECDSA密钥的安全性非常于3,072位的RSA密钥，但它只是RSA密钥容量的一小部分。

Pieter Wuille等东说念主在改革弧线（如椭圆弧线）secp256k1上的长途使命使比特币的ECDSA变得更快更高效了。关联词，ECDSA仍然存在固有的劣势，需要用其他决议取代它。流程多年的议论和实验，一种旨在进步比特币往复秘籍和后果的新签名决议——Schnorr数字签名决议出现了。

在本文中，我将概括Schnorr签名的多种部署步地罕见相应的优点。然后，我会阐述MuSig这种全新的多重签名圭臬能够为Taproot这么的新式比特币时代带来什么。终末，我要说的是Schnorr若何冲破区块链分析中使用的试探法（heuristics）以及若何匡助比特币的主公约层创建一个弘远的收费市集。

  Schnorr签名的崛起  

尽管Schnorr数字签名决议与ECDSA比较具备很多优点，但它并不是一个新决议。上世纪80年代，德国密码学家以及学者Claus-Peter Schnorr在法兰克福大学担任教学和议论员时发明了这种机制。他淡薄的这种签名决议是说合了David Chaum、Taher EIgamal、Amos Fiat以及Adi Shamir的议论。关联词，在发表之前，Claus-Peter Schnorr为他的新发明央求了多项专利，导致其在多年来无法被平直使用。

道理的是，ECDSA的前身DSA是ElGamal和Schnorr决议的说合，后者十足是为了回避Claus Schnorr的专利而设想的。事实上，就在Schnorr的好意思国专利发布两个月后，DSA的创造者好意思国国度圭臬与时代议论院（NIST）也为其贬责决议央求了专利。这里要说一小段密码一又克的历史：在那之后，Claus-Peter Schnorr为了捍卫他的专利变得相当激进，并平直文书了Coderpunks（设施员一又克）邮件列表中的月旦；这是原始密码一又克邮件列表的一个分支。

2008年，Schnorr签名策动推出近20年后，Claus-Peter Schnorr的专利逾期了。赶巧的是，2008年亦然咱们最心爱的密码一又克中本聪推出比特币的这一年。尽管其时Schnorr签名依然不错被摆脱使用了，但其既莫得达成圭臬化也莫得被泛泛使用，这可能是中本聪转而使用ECDSA的原因之一。尽管密码学者和数学家泛泛用“相当可怕”来形容ECDSA，但其在其时（面前亦然如斯）得到了泛泛使用，何况为比特币提供了更安全的取舍。

  Schnorr与比特币  

十年之后的今天，Schnorr决议就不那么私密了，ed25519之类的圭臬化部署成为了一些竞争币的优选。接洽在比特币上实施Schnorr的非讲求征询不错追思到2014年的BitcoinTalk论坛，但直到Pieter Wuille淡薄了Schnorr BIP之后，这项流程多年议论和实验的时代才讲求登场。这个BIP刻画了一个达成Schnorr的行径和时代细节，与ECDSA比较，其将带来以下上风：

- 安全领悟：当使用一个裕如立时的哈希函数（立时oracle模子）和签名中使用的椭圆弧线抑遏对数问题（ECDLP）裕如贫瘠时，Schnorr签名的安全性很容易得到领悟。但ECDSA不存在这么的领悟。

- 非延展性（Non-malleability）：ECDSA签名本体上是可延展的，它不错使无法看望私钥的第三方更始现存有用签名并双花资金。BIP62讲求征询了这个问题。比较之下，Schnorr签名被领悟是不成延展的。

- 线性特色：Schnorr签名具有一个显耀的性情，即多个参与方不错相助生成对其公钥总数有用的签名。这是进步后果和秘籍的基础，举例多重签名和其他智能合约。

Schnorr提供的安全领悟以及非延展性保证，与ECDSA比较具有显著的上风。仅基于这两个上风，进行软分叉是正确的。关联词，Schnorr的线性性情尤其令东说念主爽快。本体上，这使得多重签名往复中的多个签名者能够将其公钥组合成团聚秘钥；这个特色被称为key aggregation。

尽管组合秘钥的才调听起来微不及说念，然则不应该低估团聚秘钥的上风。由于ECDSA自己并不支抓多重签名，因此它们必须通过一个名为Pay-to-ScriptHash（P2SH）的圭臬化智能合约（没错，比特币也有智能合约）在比特币中部署。这使得用户不错添加名为encumbrances（财产留置权）的开销要求来指定资金的使用步地，举例“唯有当Alice和Bob王人在此音信上签名时，才能解锁余额”。

P2SH存在的第一个问题是，它需要参与多重签名的通盘签名者的公钥，这并非一个有用的系统。团聚这些秘钥将达成更有用的考证，因为蚁合只需要考证一个秘钥，而不是n个。这也意味着占用区块链更少的空间，达成更低的往复资本，改善带宽。

P2SH的第二个问题是，它提供的秘籍保险相当少。正如BIP 13所说，P2SH往复需要以3来源的不同地址。这使得区块链不雅察者不仅不错识别采聚会通盘的P2SH往复开户18～88体验金，还不错在多重签名中确信具体的身份：

在上头的例子中，蚁合不错知说念（1）多重签名往复的存在（2）其由些许签名者构成（3）签名者的身份。这不利于操作安全，罕见是对于像2FA（双身分认证）这么的垄断。而且对秘籍也不利。

另一方面，秘钥团聚允许签名者保抓匿名，何况不会败露解锁余额所需的秘钥，甚而于影响操作安全性。最紧迫的是，秘钥团聚不错让多重签名往复与旧例往复无异：

Schnorr在比特币中的首个版块将淘汰面前与ECDSA一说念使用的OP_CHECKSIG和OP_CHECKMULTISIG操作码，改步改玉的是一个名为OP_CHECKDLS的新代码。DLS是抑遏日记签名，无需太多细节，它允许用更少的操作码更有用地考证签名。

早在2018年头，Gregory Maxwell、Andrew Poelstra、Yannick Seurin和Pieter Wuille就发表了一篇白皮书，征询一种新的基于Schnorr的多重签名决议MuSig。自从MuSig发布以来，他们一直在英勇将这个多重签名决议退换成可用的代码。

在秘钥团聚的环境中，MuSig最道理的一丝是在区块链之外创建特有智能合约的可能性。从本体上讲，MuSig使多重签名参与者能够将encumbrances添加到团聚密钥的链下，这并不需要用到比特币的共鸣规定。

2018年12月，Anthony Towns是第一个淡薄激活Schnorr“半讲求”提议的中枢开荒者，该提议依然被发布在比特币开荒者的邮件列表中。我预测在接下来的几个月里会有更多对于软分叉的征询。

追想： MuSig在比特币中的初版将支抓秘钥团聚，不错立即（1）进步多重签名的秘籍（2）加多往复考证后果（3）通过遗弃ECDSA的固有问题来进步安全性（4）达成Taproot等智能合约决议。

但这只是是个启动。

  跨输入团聚：比特币秘籍的下一步  

正如上文所述，对于耗尽单个输入的多重签名，秘钥团聚是一个相当有用的性情。由于比特币往复泛泛有多个输入，Schnorr的明天迭代也不错用来创建一个交互式团聚签名（IAS）决议，吞并笔往复中的通盘输入王人不错同期使用一个签名。

一样，签名者之间的交互十足发生在链下，然则面前，一个签名就不错耗尽一笔往复的通盘输入。每个输入仍然有我方的公钥，然则不错由Schnorr IAS进行耗尽：

Greg Maxwell、Pieter Wuille、Anthony Towns等东说念主一直极力于于Taproot智能契约决议的改革，以鼓吹这一功能。他们将此决议称为Generalized Taproot，或G’root，它不错使将来从秘钥团聚到跨输入团聚的退换变得愈加容易。

与秘钥团聚一样，跨输入团聚进一步进步了比特币往复的后果。但最紧迫的是，它可能在比特币的基础层启用弘远的秘籍保护机制。

跨输入团聚最令东说念主爽快的方面之一是它不错改革比特币上的CoinJoin往复。CoinJoin是一种秘籍保护时代，不错将多个发送方和摄取方组合在一笔往复中。其办法是使区块链不雅察者难以追踪特定的发送方和摄取方。

这项时代早先是2013年由Greg Maxwell在BitcoinTalk上淡薄的，之后多个平台览动提供这一作事，包括JoinMarket、SharedCoin、ShufflePuff、DarkWallet和CoinShuffle。CoinJoin后续的变化，如Wasabi钱包的Chaumian CoinJoin在很猛进度上改革了早先的模子。关联词，其仍然需要依赖裕如多的用户来期凌他们的余额。

如今CoinJoin濒临的另一个问题是通盘这个词往复类型的可识别性（和潜在的审查）。面前在区块链分析中使用最多的方法等于证据特定的输入来确信两个或多个地址是否属于吞并个实体。举例，若是Alice给Bob转了1.982723 BTC，区块链不雅察者不错追踪该特定输入的一丝位，绘图往复图，或者UTXO的历史分解和通盘权变更。

为了着重这种情况发生，CoinJoin的部署需要数额统一，这么CoinJoin中的每个东说念主王人会发送等额的币。举个例子，Wasabi钱包的用户在100名参与者的CoinJoin往复中王人发送0.1个比特币。天然仍然很难确信发送方和摄取方之间的接洽，然则区块链不雅察者不错通过统一的数额来判断是否发生了CoinJoin往复，并建议其客户审查通盘参与者。

跨输入团聚不错匡助贬责这个问题，因为它在公约层引入了额外的期凌机制。从本体上讲，跨输入团聚不错构建基于Schnorr的CoinJoin往复，该往复有n个签名者，看起来就像是普通的单签名者往复。这也使CoinJoin更容易在流行钱包中达成，这可能会加强蚁合的举座匿名集或使用这项时代的用户数目。

统一数额的问题不错通过其他时代进一步贬责，比如Pay-to-EndPoint（P2EP），它将CoinJoin和中本聪早期在秘籍方面的使命（见P2IP）说合在了一说念，在CoinJoin中发送方和摄取方王人需要提供往复输入。

P2EP是向后兼容的，当与Schnorr一说念使用时，它不错在比特币的基础层提供裕如的秘籍。

  两全其美  

咱们有事理以为，比特币的大规模普及取决于其秘籍保险的力度。与此同期，闪电蚁合的普及，以及它自己承载支付的后劲，为比特币被挖完之后链上结算的需求带来了不确信性。因此，对秘籍的需求以及比特币在莫得区块奖励的情况下的恒久可抓续性，概况是比特币存在的两个最令东说念主担忧的问题。运气的是，Schnorr启用的秘籍机制不错同期贬责这两个问题。

我花了大批的时期来议论复杂的秘籍时代，包括环签名（Ring Signatures）、守密往复（Confidential Transactions）、防弹时代（Bulletproofs）、zkSNARKs、STARKs和MimbleWimble的不同部署场景。天然有些时代依然裕如熟悉，能够部署在比特币基础层，但依然存在特殊的风险和量度。正如你所知说念的那样，比特币不心爱硬分叉，因此很难思象这些时代全部被部署到比特币公约上的场景。

对于同态加密或非交互式零常识领悟系统的使用，东说念主们似乎惦记会扼制比特币货币基础的可考证性。换句话说，若是对往复数额进行加密，就很难考证比特币的供应上限是否保抓在2100万。一样，当往复金额被荫藏时，通胀瑕玷和双花动作也变得愈加难以确信。这是一个非常大的量度，在比特币的基础层达成高度秘籍可能会导致社远隔裂。

那么若是不需要部署这些时代就能为比特币基础层赢得裕如秘籍呢？

Schnorr确信能帮上忙。若是大多数比特币往复王人使用Schnorr的跨输入团聚功能和P2EP，那么跟着时期的推移，只是通过稽查区块链就险些不成能影响期凌机制。比特币的供应仍将是可考证的，同期其往复也将提供更有劲的秘籍保险。

若是存在秘籍需求，咱们也有事理假定，比特币用户和企业可能但愿被迫地参与比特币往复，让他们的钱包在后台束缚地羼杂余额。在这种情况下，对秘籍的需求会平直酿成链上往复用度的加多。和拒绝见证（SegWit）一样，用户很可能是取舍该时代的第一个群体，但企业必须在某个时候也加入进来，以保抓关系性。

假以时日，这些时代会让区块链分析变得毫毋庸处，并像什物现款一样，比特币企业无需络续治服AML/KYC规定。当你把现款存入银行账户时，银行不会追踪账单上是否有毒品往复记载，就算发现了，也不会封闭你把这些先进存入银行。除了区块链分析的扩散，以及莫得Schnorr的时代瑕疵之外，莫得事理只让比特币来治服这一丝。

从这段感情中走出来之后，他爱上了一个叫做安娜的法国犹太人。当年，为了追求妻子，他不仅专门学习了法语，而且还了解了很多的当地文化，只为了和妻子有共同的语言，让自己能够更加靠近喜欢的人。也正是因为这些事迹，慢慢让大家看到他已经从上一段感情中走了出来。

当在特定地址和UTXOs上现实AML/KYC变得不足轻重，热心点转向个东说念主而非余额时，比特币企业将十足设立在秘籍之上。事实上，我以为当这种情况发生时，秘籍和可互换性将成为明天比特币企业价值想法不成或缺的一部分。

最终开户18～88体验金，比特币的基础层取舍更弘远的秘籍机制之后，用户将取得更多职权，与此同期，可能有助于在比特币被挖完之后，创建一个活跃的手续费市集。我的臆测是，这一切王人始于Schnorr的激活，似乎每个名目王人对其感趣味。

• 体验
• 开户
• 签名
• 安全性
• Schnorr