Taproot と SSP の Bitcoin マルチシグ
2021 年以降、Bitcoin の周辺で少しでも時間を過ごしたことがあれば、「Taproot」という言葉を耳にしたはずです。それはたいてい暗号学の専門用語に包まれてやってきます——Schnorr 署名、鍵の集約、BIP-341——そのせいで実際よりもはるかに抽象的に聞こえます。しかし、マルチシグウォレットを使う人にとって、Taproot は具体的で実用的なものです。あなたの支払いがネットワークの他の参加者にどう見えるかを変え、それにかかるコストを変えます。
このガイドでは、従来の Bitcoin マルチシグと Taproot マルチシグの違い、そして SSP が今どこに位置しているかを説明します。2 鍵ウォレットという考え方が初めてなら、まず 2-of-2 マルチシグとは何かについての基礎的な解説から始め、それからここに戻ってきてください。Bitcoin が SSP の中でどのように振る舞うかの全体像については、SSP における Bitcoin ハブが正式なリファレンスです。
従来のマルチシグの支払いは実際にどう動くのか
Bitcoin のマルチシグウォレットは特別な口座の種類ではありません。それは、支払い条件がスクリプトである普通のアドレスです。「このアウトプットは、これら N 個の公開鍵のうち少なくとも M 個によって署名された場合にのみ使用できる」というスクリプトです。Bitcoin の歴史の大半において、このスクリプトは次の 2 つの方法のいずれかでチェーン上にコミットされていました。
1 つ目は Pay-to-Script-Hash(P2SH)でした。あなたが受け取るアドレスは、マルチシグスクリプトのハッシュです。スクリプトそのものは、あなたが使用するまで隠されたままです。使用時には、完全なスクリプトを開示しなければなりません——N 個の公開鍵すべてに加え、必要な M 個の署名です。
2 つ目は、SegWit とともに導入された Pay-to-Witness-Script-Hash(P2WSH)でした。概念的には同じように動作しますが、スクリプトと署名をトランザクションのウィットネス部分に移します。これにより手数料が下がり、トランザクションの可鍛性が修正されます。P2WSH は現代のマルチシグウォレットの標準であり、今日ほとんどのハードウェア署名者の構成が使用しているものです。
両者の重要な性質は同じです。使用すると、その仕組み全体が公開されます。 ブロックチェーンを観察する誰もが、そのコインが 2-of-2 ウォレットに置かれていたことを見て取り、鍵の数を数え、署名を見ることができます。あなたのセキュリティ構成の構造は非公開ではありません。それは無料でもありません——余分な公開鍵や署名はすべて余分なバイトであり、バイトこそがトランザクション手数料で支払うものだからです。
Taproot が変えるもの
2021 年に有効化され、BIP-341 で規定された Taproot は、同じアドレスから 2 つの異なる方法で使用できる新しいアウトプットタイプを導入します。
1 つ目はキーパス(key path)です。Taproot のアウトプットは単一の公開鍵を持ち、そのための署名を 1 つ作成できれば、スクリプトを一切開示せずに使用できます。チェーン上では、これはあり得る限り最も単純なトランザクションのように見えます——誰かが基本的な単一鍵ウォレットから資金を移動させるのと区別がつきません。
2 つ目はスクリプトパス(script path)です。同じ Taproot のアウトプットは、代替の支払いスクリプトのツリーにもコミットしています。キーパス署名が利用できない場合、代わりにそのツリーの 1 つの枝を開示してそれを満たすことができます。重要なのは、あなたが使った 1 つの枝だけを開示するということです——他の枝は隠されたままです。
これをマルチシグにとって強力なものにする部分が、Schnorr 署名(BIP-340)と MuSig2 と呼ばれるプロトコルです。Schnorr 署名は線形であり、つまり複数の公開鍵を数学的に 1 つの集約鍵に結合でき、複数の部分署名を 1 つの集約署名に結合できます。MuSig2 を使えば、n-of-n マルチシグの参加者は協力して、キーパスを満たす単一の Schnorr 署名を作成できます。
その結果、n-of-n の Taproot マルチシグは、全員が協力すれば、チェーン上では普通の単一鍵の支払いとして決済されます。観察者はそれを日常的な支払いと区別できません。これは本物のプライバシー上の利得であり——あなたのウォレットの構造はあなただけのことのままです——そして通常は手数料上の利得でもあります。なぜなら、多数ではなく 1 つの鍵と 1 つの署名を公開するからです。
正直な留意点
Taproot マルチシグは魔法ではありません。MuSig2 がカバーするのは n-of-n の協力的な支払いです。3 つの鍵のうち任意の 2 つで足りる 2-of-3 のような真のしきい値には、単純な鍵集約以上のものが必要であり、そのためのツールはまだ成熟途上です。共同署名者が利用できないときには、スクリプトパスがフォールバックであり続け、スクリプトパスの支払いはその枝を開示するため、プライバシー上の利益が完全に適用されるのは協力的なケースだけです。これらはどれも Taproot を避ける理由ではありません——それは単に、エコシステムが一夜にしてではなく慎重にそれを展開してきた理由です。
SSP は今どこに位置しているか
これが正確な状況です。SSP の 2-of-2 モデルは、署名をあなたの電話のウォレットと 2 台目の端末上の SSP Key に分割します。いかなる Bitcoin が動く前にも、両者が署名しなければなりません。今日、SSP はその 2-of-2 ウォレットを、マルチシグ口座向けの BIP-48 標準のもとで導出された鍵を用いて、ネイティブ SegWit P2WSH マルチシグとして導出します。これは、ハードウェアウォレットのエコシステム全体で使われている、十分に検証され広くサポートされた同じ構成です。
つまり、SSP の Bitcoin 支払いは現在、チェーン上では 2-of-2 の P2WSH 支払いとして表示されます——上で説明したとおり、両方の公開鍵と両方の署名が見えます。それは堅牢で相互運用可能であり、それが今日提供されているものだと言���のが正直なところです。
Taproot は、今 SSP に貼り付けるべき機能ラベルとしてではなく、Bitcoin エコシステムが向かっている方向として理解するのが最善です。前進への道——マルチシグユーザーにとってのより良いオンチェーンのプライバシーとより軽い手数料——は Taproot と MuSig2 を通り、それは 2-of-2 プロダクトにとって自然な進化です。このガイドは、今日あなたが切り替えられるスイッチの説明としてではなく、その方向のための文脈として捉えてください。
これらのいずれによっても変わらないのは、セキュリティモデルです。支払いが P2WSH として決済されようと、将来 Taproot のキーパス支払いとして決済されようと、保護は同じです。2 台の端末上の 2 つの独立した鍵であり、攻撃者はその両方を必要とします。Taproot は、そのポリシーをチェーン上で表現することのプライバシーとコストを改善します。ポリシーそのものは変えません。
実践的な要点
中級の Bitcoin ユーザーとして身につけておく価値のあることがいくつかあります。
- アドレスタイプは、どこで受け取るかの性質であり、トランザクションの途中で切り替える設定ではありません。 P2WSH アドレスに送られたコインは P2WSH として使用されます。アウトプットタイプを移行するとは、資金を新しいアドレスに移すことを意味します。
- オンチェーンのプライバシーは構造的なものです。 従来のマルチシグはそれ自身を宣伝します。Taproot のキーパス支払いはしません。オンチェーンのプライバシーが重要なら、それは Taproot の進展を追う本物の理由です。
- 手数料はバイト数に比例します。 チェーン上の鍵と署名が少ないほど、トランザクションは小さくなり手数料は小さくなります。Taproot マルチシグの使用が通常より安いのはそのためです。
- これらのいずれも自己管理を弱めるものではありません。 あなたのシードフレーズは、今までとまったく同じだけ重要であり続けます。引き続きシードフレーズのベストプラクティスに従い、より大きな残高についてはSSP マルチシグによる Bitcoin のコールドストレージをお読みください。
Taproot は、Bitcoin が提供してきた中でも、より静かでありながらより重大なアップグレードの 1 つです。マルチシグユーザーにとって、それは、強固なセキュリティがもはやそれを持っていると公言することを意味しない未来を指し示しています。SSP は今日、実証済みの P2WSH マルチシグを動かしています。Taproot の方向は、エコシステムが——そしてその上に構築されたプロダクトが——向かっている先です。
