シュノア署名、Taprootが描くビットコインの未来

1月20日に、TaprootとSchnorr(シュノア)署名に関するBIP(ビットコイン改善提案)に番号が付与され、まもなくBIP340-342として採択される見込みです。これによって、ビットコインの開発プロセスにおいて、BIPの提案→採択→導入、という流れの2段階目まで到達します。

Schnorr署名とは

ビットコインの根底にある暗号化技術における、暗号を署名するアルゴリズムの一つです。これまでビットコインでは世間で広く使われているECDSAという署名アルゴリズムを使っていますが、2008年まで特許で保護されていたシュノア署名のほうがセキュリティ面や効率面で優れているため、導入する機運が高まっています。

※セキュリティ面でのメリットは難解なので割愛します。

Schnorr署名導入のメリット

シュノア署名の主な導入メリットは下記です。

１．手数料が安くなる(スケーリング)

署名自体のサイズもECDSAと比較してわずかに小さいので、通常のトランザクションのサイズも小さくなりますが、特にマルチシグの利用コストが低下します。実はビットコインにおけるマルチシグアドレスはスクリプト(スマートコントラクト)で、参加者全員の公開鍵を記録するためデータ量が大きくなり、利用するのにコストがかかってしまいますが、シュノア署名を利用すると彼らの公開鍵を「足し算」したものを１つ記録するだけで良くなり、マルチシグと通常の取引のデータ量(→したがって手数料)が等しくなります。

2019年5月のマルチシグ利用率を元にしたBitMEX Researchによる試算では、マルチシグ取引１件あたり50～85%の手数料節約と、ネットワーク全体で見れば13.1%程度のブロックサイズ拡大と同じ効果が見込め、将来的にマルチシグの利用が増加することでさらに利益が享受されると考えられます。

２．プライバシーの向上

普通の取引とマルチシグの取引の見た目の区別がつかなくなるので、ブロックチェーンが解析しにくくなるほか、一般ユーザーの正しいマルチシグ利用が増加すれば、攻撃失敗リスクの増加が暴力で秘密鍵を奪ういわゆる「５ドルレンチ攻撃」に対する抑止力になるかもしれません。

また、次に触れるように、Taprootを利用するとその他のスマートコントラクトとも見分けがつかなくなります。このようなプライバシーの向上はネットワーク利用者全体にとってメリットとなります。

なお、シュノア署名やTaprootにアドレスや送金額を秘匿するような効果はありません。あくまで、すべての支払いの見た目の均質化と、スマートコントラクトの支払条件を参加者以外に公開せずに済むだけです。

３．Taprootの導入(複雑なスマートコントラクトに関しても１，２の実現)

今回提案されたBIPのうち後2つを占めるTaprootですが、簡単に説明すると、比較的複雑なスマートコントラクトを、低コストで、比較的高いプライバシーをもって利用するための標準化された構造のようなものです。

これまでなら送金時にスマートコントラクトの使用条件をすべて開示する必要があり、それを記録するコストやプライバシーの面で好ましくありませんでしたが、Taprootを使えば当事者の署名による送金は見た目では普通の送金と区別できなくなります。(非協力的な送金、たとえば期限切れによるものは、使用した条件を公表する必要があります。)

スマートコントラクトであるLightning Networkチャネルの利用コストを下げる効果が期待できるでしょう。

注目点：(一般人の)マルチシグ利用促進

私がこのニュースに関連して個人的に期待しているのは一般人のマルチシグ利用の増加です。例えば個人向けにマルチシグの秘密鍵を1つ預かる定額制サービスがあります。平常時にはユーザーは自身の資産を好きに動かすことができる仕組みなのですが、マルチシグを採用し鍵を別々に保管することは紛失や盗難への対策として効果があります。

あるいは、GreenAddressというウォレットは、ユーザーとマルチシグアドレスを共同管理することで、ユーザーが定めた引出条件や二段階認証などの機能を実現して安全性を向上します。

シュノア署名によるマルチシグ利用のコストダウンは、このような個人のマルチシグ利用を促進する効果があると考えます。また、他者がUTXOを見ただけではマルチシグな可能性が拭えないことも盗難失敗リスクを上げ、セキュリティに貢献します。

また、マルチシグの普及に伴いトランザクションに署名するUIが改善されれば、安全上のメリットまたは規制上の必要性などによりノンカストディアルなサービスも増加するかもしれないと期待しています。