Schnorr 签名与 MuSig:比特币多重签名的新答案

·

为何比特币需要再度升级

当初写下第一行代码时,中本聪恐怕也难以想象十数年后比特币会成为全球数千万人共同维护的清算网络。随着用户数与交易需求几何级数倍增长,比特币区块容量、交易费用、隐私保护之间的矛盾日益尖锐。大量历史教训告诉我们:未经谨慎设计的硬分叉会导致社区撕裂,因此任何一项改动都必须经历「论证 → 编码 → 测试 → 共识 → 激活」这条漫长的流水线。
👉 想快速获知最新协议改进动向?一键追踪比特币扩容与隐私突破

Schnorr 签名:到底特殊在哪?

1. 统一体积,极致精简

2. 隐藏人数,强化隐私

比特币区块链是公开账本。现有 ECDSA 多重签名会在脚本里暴露 Required / Provided(例如 2-of-3,即需要 3 人中的 2 人签名)。
Schnorr 方案把这些信息全部折叠,最终链上仅看到一个签名、一组公钥,从外部无法区分该笔交易是单人签名还是多人协商。

3. 验证高效,释放算力

在大宗单机验证实验中,Schnorr 签名的验证效率比等价的 ECDSA 多重签名提升 20%~30%。别小看这些百分比,数千万笔交易的矿机网络可以因此节省可观算力,间接降低交易手续费。

MuSig:Blockstream 对 Schnorr 的工程化实现

核心团队

两阶协议

  1. Nonce 交换与聚合公钥:所有签名者先交换随机数(Nonce),保证任何人都无法提前预测最终签名。
  2. 共签合拢:利用 Schnorr 数学性质,把多把私钥的「部分签名」压缩成单一签名,提交链上。

安全红线

从实验室到主网:时间表与社区协作

软分叉即可激活

比特币 2017 年引入的隔离见证(SegWit)已经内置脚本版本系统,因此 Schnorr 无需冒硬分叉风险。共识激活大致可分为:

  1. BIP 340/341/342 最终文本冻结;
  2. 比特币核心客户端完成实现并进入 RC;
  3. 矿工、交易所、钱包启动 Signaling(支持率 ≥90%);
  4. 实际激活高度锁定,全网客户端强制升级。

业界普遍预期,若测试无重大回退,最快 2025 年底可见雏形;保守估计则浮动在 2026 下半年。

常见疑问 FAQ

Q1:升级到 Schnorr 后,旧钱包会失效吗?
A:不会。交易的输入输出结构保持不变,旧钱包仍可识别不含 Schnorr 签名的任意交易,只是无法生成 Schnorr 签名。

Q2:多重签名的「阈值」能像传统那样灵活设定吗?
A:可以。MuSig 仅聚合了最终签名阶段,具体脚本的“n-of-m”逻辑仍由 Taproot 输出脚本定义;灵活性与以往相同甚至更细粒度。

Q3:如果某参与者电脑断电,签名协作会卡住吗?
A:不会。MuSig 支持“中断与续签”,断电后只需保存当时会话 ID,同组成员可在下次在线时继续流程,Nonce 仍有效。

Q4:硬件钱包适配难度如何?
A:主流品牌已于 2024 年底完成 Schnorr 相关固件的灰度测试,理论上用户无需更换硬件。

Q5:批量签名是否会泄露参与者身份?
A:MuSig 本身不携带网络层信息;泄漏风险源于链下消息通道,建议使用加密信使或 Tor 传输。

Q6:手续费到底能降多少?
A:以 5-of-7 的多重签名为例,激活 Schnorr 后链上体积将由约 540 字节降至 280 字节,理论成本减半;若配合 Taproot 输出,节省更高。

实际影响:扩容、隐私、用户体验

结语:耐心等待,也要时刻准备

Schnorr 签名与 MuSig 并非比特币的终极方案,却为“在保持去中心化前提下同时实现扩容与隐私”提供了关键拼图。代码已进入公开测试池,真正的考验在于持续审计与社区共识。
👇 作为用户,现在唯一能做的,就是把钱包升级到支持 Taproot;剩下的,让数学、极客与矿工继续写故事。