本文作者：邹传伟，万向区块链、PlatON 首席经济学家

2020 年 1 月，由比特币核心开发人员 Pieter Wuille 于去年 5 月提出的 Taproot/Schnorr 软分叉升级提案已正式作为比特币改进提案（BIPs）发布，相关提案序号为 BIP 340-342。Taproot/Schnorr 升级如果获得社区支持，将是比特币自闪电网络上线后最大的技术拓展。本文查询了 BIP 340-342 相关文档，对 Taproot/Schnorr 升级做一个简单介绍。本文分三部分，第一部分简单介绍比特币目前的 ECDSA 签名算法，第二部分详细介绍 Schnorr 签名算法，第三部分介绍 Taproot。

一、比特币 ECDSA 签名算法

比特币目前使用的 ECDSA 签名算法与建议的 Schnorr 签名算法，都属于椭圆曲线数字签名算法，它们使用的椭圆曲线都是 secp256k1。这一部分先介绍椭圆曲线 secp256k1，再介绍 ECDSA 签名算法。

（一）椭圆曲线 secp256k1

图 1：椭圆曲线图示

（二） ECDSA 签名算法

注： G 坐标为（79BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798, 483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8），
阶等于
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141，
均采用 16 进制表达。注： G 坐标为
（79BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798, 483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8），
阶等于
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141，
均采用 16 进制表达。

二、Schnorr 签名算法

这一部分先介绍 Schnorr 签名算法主要特点，再分步骤介绍 Schnorr 签名算法及批验证，最后介绍基于 Schnorr 签名的多重签名算法。

（一）主要特点

Schnorr 签名算法与 ECDSA 签名算法使用同样的椭圆曲线 secp256k1 和哈希函数 SHA256，所以在这个层面它们具有同样的安全性。Schnorr 签名算法主要有以下优点。

第一，Schnorr 签名算法有可证明安全性。在假设椭圆曲线离散对数问题难度的随机寓言（Random Oracle）模型，以及假设原像抗性（Preimage Resistance）和次原像抗性（Second Preimage Resistance）的通用群模型下，Schnorr 签名算法具备选择消息攻击下的强不可伪造性（Strong Unforgeability under Chosen Message Attack，SUF-CMA）。换言之，如果不知道 Schnorr 签名的私钥，即使有针对任意消息的有效 Schnorr 签名，也没法推导出其他有效 Schnorr 签名。而 ECDSA 签名算法的可证明安全性则依赖于更强的假设。

第二，Schnorr 签名算法具有不可延展性（Non-malleability）。签名延展性的含义是，第三方在不知道私钥的情况下，能将针对某一公钥和消息的有效签名，改造成针对该公钥和信息的另一个有效签名。ECDSA 签名算法则有内在的可延展性，这是 BIP 62 和 BIP 146 针对的问题。

第三，Schnorr 签名算法是线性的，使得多个合作方能生成对他们的公钥之和也有效的签名。这一特点对多重签名、批验证（Batch Verification）等应用非常重要，既能提高效率，也有助于保护隐私。而在 ECDSA 签名算法下，如无额外的见证数据，批验证相对逐个验证并无效率提升。

最后，Schnorr 签名算法因为使用同样的椭圆曲线 secp256k1 和哈希函数 SHA256，能兼容目前的比特币公私钥生成机制。