MuSig2
Schemat podpisu wielostronnego dla Bitcoina (BIP 327) oparty na agregacji kluczy Schnorr. Kilku sygnatariuszy wspólnie produkuje jeden podpis, który onchain wygląda jak zwykły wydatek Taproot single-key.
Jak działa MuSig2
Idea to agregacja kluczy publicznych: kilku sygnatariuszy łączy swoje klucze w jeden zagregowany klucz publiczny i wspólnie produkuje jeden ważny podpis Schnorr dla tego klucza. Zamiast wstawiać wiele kluczy i podpisów bezpośrednio onchain, wydatek MuSig2 przez Taproot wygląda jak zwykła transakcja single-key.
Proces podpisywania jest interaktywny. Sygnatariusze wymieniają klucze publiczne i obliczają klucz zagregowany, następnie wymieniają nonces, agregują je i produkują częściowe podpisy, które łączą się w jeden finalny. BIP 327 precyzuje, że MuSig2 to schemat n-of-n — wymagani są wszyscy sygnatariusze, nie podzbiór.
BIP 390 proponuje wyrażenie deskryptora musig(), żeby portfele mogły opisywać zagregowane klucze MuSig2 w standardowy sposób.
MuSig2 vs klasyczny multisig Bitcoin
- Widoczność onchain
- MuSig2: wygląda jak single-key Taproot. Klasyczny: widoczne wszystkie klucze i podpisy w skrypcie.
- Opłaty
- MuSig2: niższe — mniejszy ślad onchain. Klasyczny: wyższe — proporcjonalne do liczby kluczy.
- Prywatność
- MuSig2: obserwator nie wie, ile osób podpisało. Klasyczny: liczba sygnatariuszy widoczna publicznie.
- Model podpisu
- MuSig2: n-of-n (wszyscy muszą podpisać). Klasyczny multisig: m-of-n (podzbiór może podpisać).
Najczęstsze błędne założenia
- MuSig2 to schemat n-of-n — wymagani są wszyscy sygnatariusze. Do podpisu t-of-n (np. 2-of-3) potrzebny jest inny protokół (FROST lub klasyczny multisig).
- MuSig2 nie eliminuje potrzeby koordynacji. Każde podpisywanie wymaga dwóch rund komunikacji między uczestnikami.
- MuSig2 to nie to samo co multisig na kontrakcie (jak Safe na Ethereum). To kryptograficzna agregacja na poziomie podpisu, nie smart kontrakt.