Taproot 与 SSP 的比特币多签

如果你自 2021 年以来对比特币有所关注，就一定听过 "Taproot" 这个词。它常常被裹在密码学术语里——Schnorr 签名、密钥聚合、BIP-341——听起来比实际抽象得多。然而，对于使用多签钱包的人来说，Taproot 是具体而实用的。它改变了你的花费在网络其他参与者眼中的样子，也改变了它的成本。

本指南将解释传统比特币多签与 Taproot 多签之间的区别，以及 SSP 目前所处的位置。如果双密钥钱包的概念对你来说是全新的，请先阅读关于什么是 2-of-2 多签的基础说明，然后再回到这里。要全面了解比特币在 SSP 中的运作方式，SSP 中的比特币中心页是权威参考。

传统多签的花费究竟如何运作

比特币多签钱包并不是一种特殊的账户类型。它是一个普通地址，其花费条件是一段脚本："只有当这些 N 个公钥中至少 M 个进行签名时，这笔输出才能被花费。" 在比特币的大部分历史中，这段脚本通过以下两种方式之一被提交到链上。

第一种是付费到脚本哈希（P2SH）。你接收资金的地址是多签脚本的哈希值。脚本本身在你花费之前一直保持隐藏。在花费时，你必须公开完整的脚本——N 个公钥中的每一个，加上 M 个所需的签名。

第二种是随 SegWit 引入的付费到见证脚本哈希（P2WSH）。它在概念上的工作方式相同，但将脚本和签名移入交易的见证部分，从而降低手续费并修复了交易延展性问题。P2WSH 是现代多签钱包的标准，也是当今大多数硬件签名设置所使用的方式。

两者的重要特性是相同的：当你花费时，整套安排就变得公开了。 任何观察区块链的人都能看到这些币曾存放在一个 2-of-2 钱包中，能数出密钥的数量，也能看到签名。你的安全配置结构并不私密。它也并非免费——每一个额外的公钥和签名都是额外的字节，而字节正是你在交易手续费中所支付的。

Taproot 改变了什么

Taproot 于 2021 年激活，并在 BIP-341 中作出规范，它引入了一种新的输出类型，可以从同一个地址以两种不同的方式被花费。

第一种是密钥路径（key path）。一个 Taproot 输出拥有单个公钥，如果你能为它产生一个签名，那么花费时根本不会公开任何脚本。在链上，这看起来就是最简单的交易——与某人从一个基础的单密钥钱包中转出资金毫无区别。

第二种是脚本路径（script path）。同一个 Taproot 输出还提交了一棵备用花费脚本的树。如果无法获得密钥路径签名，你可以转而公开该树中的一个分支并满足它。关键在于，你只会公开你所使用的那一个分支——其他分支保持隐藏。

让这一切对多签变得强大的关键，是 Schnorr 签名（BIP-340）和一个名为 MuSig2 的协议。Schnorr 签名是线性的，这意味着多个公钥可以在数学上组合成一个聚合密钥，多个部分签名也可以组合成一个聚合签名。借助 MuSig2，一个 n-of-n 多签的参与者可以协作产生一个满足密钥路径的单一 Schnorr 签名。

结果是：一个 n-of-n 的 Taproot 多签，当所有人都协作时，会以普通单密钥花费的形式在链上结算。观察者无法将它与一笔常规支付区分开来。这是一项实实在在的隐私收益——你钱包的结构仍然只属于你自己——通常也是一项手续费收益，因为你公开的是一个密钥和一个签名，而不是许多个。

诚实的注意事项

Taproot 多签并非魔法。MuSig2 涵盖的是 n-of-n 协作花费；像 2-of-3 这样真正的门限——任意三把密钥中的两把即可——所需的不只是简单的密钥聚合，相关工具仍在成熟之中。当某个共同签名者不可用时，脚本路径仍是后备方案，而脚本路径花费会公开那个分支，因此隐私收益只在协作场景中才完全适用。这一切都不是回避 Taproot 的理由——它只是说明了为什么生态系统是谨慎地推出它，而非一夜之间。

SSP 目前所处的位置

这是准确的图景。SSP 的 2-of-2 模型将签名分配在你的手机钱包和第二台设备上的 SSP Key 之间。在任何比特币移动之前，两者都必须签名。如今，SSP 将该 2-of-2 钱包派生为 native SegWit P2WSH 多签，密钥则在用于多签账户的 BIP-48 标准下派生。这与整个硬件钱包生态系统所使用的构造完全相同，经过充分检验且得到广泛支持。

这意味着，SSP 的比特币花费目前在链上显示为一笔 2-of-2 的 P2WSH 花费——两个公钥和两个签名都可见，正如上文所述。它稳健且可互操作，诚实地说，这就是当下所交付的东西。

最好将 Taproot 理解为比特币生态系统正在前进的方向，而不是此刻就贴到 SSP 上的功能标签。前进的道路——为多签用户带来更好的链上隐私和更轻的手续费——要经过 Taproot 和 MuSig2，这对于一个 2-of-2 产品而言是自然的演进。请把本指南视为对那个方向的说明，而不是对一个你今天就能拨动的开关的描述。

无论如何，这一切都不会改变的是安全模型。无论一笔花费是以 P2WSH 结算，还是在未来以 Taproot 密钥路径花费结算，保护都是相同的：两台设备上的两把独立密钥，攻击者两把都需要。Taproot 改善的是在链上表达该策略的隐私与成本；它并不改变策略本身。

实用要点

作为一名中级比特币用户，有几点值得牢记：

• 地址类型是你在何处接收的属性，而不是你在交易中途切换的设置。 发送到 P2WSH 地址的币会以 P2WSH 的方式花费。迁移输出类型意味着将资金转移到一个新地址。
• 链上隐私是结构性的。 传统多签会自我暴露；Taproot 密钥路径花费则不会。如果链上隐私对你重要，那么这就是关注 Taproot 进展的一个实实在在的理由。
• 手续费随字节数增长。 链上更少的密钥和签名意味着更小的交易和更小的手续费，这正是 Taproot 多签通常花费更便宜的原因。
• 这一切都不会削弱自托管。 你的助记词依然同等重要。请继续遵循助记词最佳实践，对于较大的余额，请阅读使用 SSP 多签进行比特币冷存储。

Taproot 是比特币交付的较为低调却更具深远影响的升级之一。对多签用户而言，它指向一个未来：强大的安全性不再意味着昭告天下你拥有它。SSP 今天运行的是经过验证的 P2WSH 多签；而 Taproot 的方向，正是生态系统——以及构建于其上的产品——所要前往的地方。