Bitcoin Taproot アップグレードが間もなく登場: その起源、内容、影響は何か?

ウー氏は、著者は  |  袁本

この号の編集者  |  コリン・ウー

近い将来（2021 年 11 月 14 日頃）、ビットコインは独自の重要なソフトフォークアップグレードである Taproot を導入する予定です。マイナーの 90% 以上がこのアップグレードに同意しているため、SegWit アップグレード中に発生したようなコミュニティフォークの議論が発生する可能性は低いです。このアップグレードはあまり注目されていないようですが、多くの記事ではこれを最も重要なアップグレードと呼んでいます。

Taproot アップグレードとは一体何でしょうか。そして、それは本当に興奮するほどのものなのでしょうか。

主根自体は、下の写真のような主根系を持つ植物を意味します。 Taprootの提案者であるグレゴリー・マクスウェル氏は、ビットコインの取引支払いのプロセスが主根植物のようになり、大きな主根に焦点を当て、不要な小さな枝を隠すことを望んでいると説明した。

不可能三角形への道

どのようなブロックチェーンがアップグレードされても、最終的に解決されるのはブロックチェーンにおける不可能三角形問題です。ブロックチェーンの世界における不可能三角形理論は、Vitalik 氏が「ブロックチェーンのシャーディングについて」という記事で提唱しました。つまり、ブロックチェーンネットワークにおいて、分散化、セキュリティ、パフォーマンス（効率性、スケーラビリティ）を同時に実現することは非常に難しいということです。多くの場合、2 つの条件を改善すると、3 番目の条件を犠牲にしなければならないというのが現実です。

この Taproot アップグレードは、実際にはこの大きなフレームワークから逸脱するものではありません。 Taproot のアップグレードは主に 2 つの側面に対応します。第一の目的は、匿名性をさらに向上させること、つまりセキュリティをさらに向上させることです。一方、ブロック自体のデータ構造を変更することで、トランザクションのパフォーマンスが向上し、トランザクションにおける不要なデータ負荷が軽減されることが期待されています。

主根を分解する

Taproot アップグレードは、Schnorr 署名 (BIP 340)、Taproot (BIP 341)、TapScript (BIP 342) を含む 3 つの補完的な BIP の総称です。

シュノア署名

シュノア署名はドイツの暗号学者クラウス・シュノアによって提案されましたが、特許上の理由により、2008 年までシュノア署名は無料で利用できませんでした。そのため、2008 年に誕生したビットコインはそれを逃し (2008 年に公開された元の論文を参照)、代わりに ECDSA 署名を採用しました。

現在、Schnorr 署名はパフォーマンスとセキュリティのほぼすべての面で ECDSA 署名を上回っています。さらに重要なのは、Schnorr と ECDSA は同じ楕円曲線アルゴリズムを使用するため、アップグレードの実装が容易になることです。 Schnorr の最も目を引く部分は、トランザクション出力レベルで動作する集約署名です。

マルチ署名の状況では、特に署名の数が多い場合は、トランザクション データに複数の署名を入れる必要があることが多く、トランザクション手数料とメモリの負担が大きくなります。しかし、集約署名を使用すると、下の図に示すように、複数の署名を 1 つの署名に結合することができます。

同様に、Schnorr 署名では公開鍵も集約できるため、トランザクション中の Bitcoin ネットワークのパフォーマンスが大幅に向上します。

検証の際、従来の ECDSA では 1 対 1 の検証しかサポートできませんが、Schnoor では集約コンセプトによりノード上でバッチ検証を実行できます。

主根

匿名性は常にビットコインが追求してきた重要なセキュリティ問題であったことは周知の事実です。アドレスレベルでは、ビットコイン アドレスの疑似匿名性により、物理世界の ID とオンチェーン世界のアドレスがある程度分離されていますが、異なるトランザクションのアドレスの種類は非常に明確に分離されています。以下のアドレスのトランザクションの種類は一目でわかるため、攻撃者はトランザクションのアドレスを分析することができます。

Taproot の目標は、ビットコイン アドレスの匿名性を高め、すべてのアドレスを同じに見せ、アドレスからトランザクションの種類を分析できないようにすることです。 Taproot を使用すると、独立した P2PKH と P2SH を統合して、互いに区別できないようにすることができますが、負担する取引手数料は同じであり、これはまさに Schnorr のアイデアです。

同時に、Taproot は Schnorr を使用して Merkle 抽象構文木 (MAST、抽象構文木と Merkle 木を組み合わせたデータ構造) を作成します。前述の状況で、トランザクションがあり、このトランザクションに設定されている条件は、ユーザー A はトランザクションが開始されてから最初の 30 日以内にトランザクションを使用でき、ユーザー B はトランザクションが開始されてから 30 日後からトランザクションを使用できることです。結局、誰がトランザクションを使用するかに関係なく、ユーザー A と B の情報が公開されることになり、これは明らかに不必要です。

MAST では、トランザクションを使用したユーザーのみが公開され、他のユーザーの情報は非表示になるため、ユーザーのプライバシーが大幅に保護されます。

タップスクリプト

BIP 342 は Taproot スクリプトの具体的な実装に関するものです。 Taproot、Schnorr、ソフトフォーク、その他のコードレベルの関数 (「OP_CHECKSIGADD」など) を実行および展開するためのオペコードがいくつか追加されます。 OP_CHECKMULTISIG や OP_CHECKMULTISIGVERIFY などの非効率的なオペコードを無効にしました。 Schnorr 機能を提供するために OP_CHECKSIG と OP_CHECKSIGVERIFY を改訂しました。 Taproot のアップグレードに適応するために、Bitcoin スクリプトの内容が全体的に改善されました。

要約する

要約すると、Taproot のアップグレードには確かにいくつかのハイライトがありますが、Taproot は、bip-0341 の要約で説明されているように、SegWit の従来の問題に対する改良と補足のようなものです。「このドキュメントでは、新しい SegWit バージョン 1 出力タイプを提案しています...」これは、SegWit 出力レベルに対する新しいソリューションにすぎません。

もう 1 つの問題は、Taproot のアップグレードはソフトフォークであり、Schnorr の実際のアクティベーションは来年まで開始されないため、Taproot 自体のアップグレード プロセスは一夜にして完了しないということです。 P2TR (Taproot の下のアドレス) が主流にならない場合、P2TR は他のアドレスからの匿名性という目的を達成していないことは明らかです。

また、Taproot によってアドレス空間の断片化が起こり、攻撃者による解析が容易になるのではないかと考え、Taproot の実際の効果を疑問視する声もあります。

一般ユーザーにとって、Taproot の最も直感的な利点は、取引手数料が削減され、取引の匿名性と効率性が向上することです。いずれにせよ、Taproot のアップグレードがビットコインにどのような影響を与えるか、また期待される目標を達成できるかどうかは、時間の経過とともに明らかになるでしょう。