что такое taproot в биткоине
Как повлияет на цену BTC обновление Биткойна Taproot?
Taproot, возможно, является самым ожидаемым обновлением сети Биткойн со времен SegWit. В этой статье мы подробно рассмотрим, что такое Taproot, как он работает и как влияет на блокчейн Биткойн, а также на его пользователей. Наконец, мы обсудим, что Taproot может означать для цены биткойна.
Что такое Taproot?
В январе 2018 года разработчик Bitcoin Core Грегори Максвелл представил предложение, призванное обновить сеть Биткойн с помощью переключаемых сценариев, сохраняющих конфиденциальность.
Максвелл обрисовал схему, включающую ряд криптографических инструментов для значительного повышения конфиденциальности пользователей биткойнов. Предложение называлось «Taproot: переключаемые сценарии с сохранением конфиденциальности».
Чтобы лучше понять, как Taproot будет делать это, давайте углубимся в отдельные BIP и посмотрим, как они работают.
BIP 340
BIP 340 предлагает введение подписей Шнорра для блокчейна Биткойн.
Подписи Шнорра были впервые описаны в статье 1991 года и с тех пор защищены патентом США. Однако в 2008 году срок действия патента истек, что сделало возможным его более широкое использование.
BIP 340 описывает использование подписей Шнорра для сети Биткойн: как должны кодироваться открытые ключи и подписи, созданные с использованием схемы подписи Шнорра. Это приводит к экономии места для блокчейна по сравнению с используемыми в настоящее время подписями на основе ECDSA. Подписи Шнорра также поддерживают агрегирование, то есть они могут создать единую уникальную подпись путем объединения нескольких ключей внутри сложной биткойн-транзакции. Подпись или объединение ключей, возможно, являются наиболее значительным преимуществом этого конкретного предложения по улучшению.
BIP 341
BIP 341 касается того, как подписи Шнорра должны быть интегрированы в сеть Биткойн.
BIP 341 называется Taproot. Taproot описывает, как нужно обновить биткойн-скрипт для оценки и интеграции подписей Шнорра. Это делается с помощью Merkelized Alternative Script Trees (MAST).
BIP 341 также позволяет по-новому тратить биткойны с помощью нового типа скрипта. В типе сценария, называемом Pay-to-Taproot (P2TR), пользователи могут оплачивать открытый ключ Schnorr или корень Merkle для других сценариев. С P2TR UTXO могут быть разблокированы и потрачены в одном из двух сценариев: владельцем закрытого ключа или любой стороной, которая может удовлетворить требования любого сценария в Дереве Меркла, как это предусмотрено функцией агрегации ключей подписей Шнорра.
Если пользователь использует BIP 341 и отправляет биткойны в P2TR, создается единый открытый ключ. Назовем его S. Этот открытый ключ S, однако, представляет собой объединение открытого ключа отправителя, скажем P, и открытого ключа корня Меркла, скажем M. Таким образом, любой сценарий в дереве Меркла может использовать выходные данные. BIP 341 позволяет пользователям выбирать между простыми сценариями с оплатой по общему ключу или с оплатой по основному корневому каталогу во время траты, благодаря чему все выходные данные корневого корневого каталога выглядят как простые выходы. Это стало возможным благодаря функции агрегирования ключей схемы Шнорра и поддержке MAST.
BIP 342
BIP 342 называется Tapscript. Как следует из названия, он связан с обновлением и добавлением кодов операций, которые могут проверять расходы Taproot и подписи Шнорра.
Хотя обновление Taproot было включено в код, неясно, когда оно будет запущено в сети. Это зависит от одобрения майнера.
Сомнения по поводу Taproot
Хотя сообщество Биткойн в целом поддерживало обновление Taproot, возникли некоторые разногласия по поводу включенной в предложение функции «lockinontimeout» (LOT). Эта функция предназначена для обеспечения того, чтобы в случае, если майнеры не сигнализируют о поддержке Taproot, как это было в ситуации со спорным обновлением SegWit в 2017 году, обновление все равно будет происходить, потому что LOT вызовет активируемую пользователем софт-форк (UASF). Некоторые разработчики считают, что принудительное обновление таким образом может идти вразрез с духом Биткойна, который должен быть цифровой валютой, управляемой сообществом, а не разработчиками. В конце концов, Speedy Trial, путь активации через узлы майнеров, сигнализирующих об одобрении, был выбран в качестве способа активации Taproot. Однако Люк Дашджир, разработчик биткойнов, выразил свое недовольство Speedy Trial. Затем он продвигал новую версию Bitcoin Core с уже активированным Taproot.
Предлагаемое обновление Taproot имеет ряд преимуществ для пользователей биткойнов. В этом разделе мы углубимся в основные значения Taproot.
Повышенная надежность
С математической точки зрения сигнатуры Шнорра считаются более безопасными, чем сигнатуры ECDSA, поскольку они доказуемо безопасны с использованием меньшего числа предположений. Кроме того, природа подписей Шнорра исключает возможность податливости подписи и вытекающую из этого теорию двойного расходования, которая является теоретической проблемой для ECDSA. Хотя SegWit эффективно решил эту проблему, теоретически она остается проблемой из-за использования ECDSA. Схема Шнорра решает эту проблему.
Эффективное использование пространства
Большинство выходов Taproot (P2TR) занимают меньше места в блокчейне, чем обычные выходы хеширования с оплатой за открытый ключ. Однако они немного больше, чем выходы SegWit. В долгосрочной перспективе они, вероятно, означают большую эффективность использования пространства на блокчейне. Ключи и подписи Schnoor также меньше, чем их аналоги, что еще больше усугубляет это преимущество. Другими словами, при более эффективном использовании пространства блоков блогчейн биткойнов должен иметь более высокую пропускную способность, что приведет к более быстрым транзакциям.
Более низкие транзакционные сборы для сложных транзакций
Из-за ключевой функции агрегирования размер данных транзакции для выполнения сложных транзакций биткойнов значительно уменьшается. Создается только один ключ, что приводит к гораздо более низким транзакционным издержкам для сложных транзакций. Примеры сложных расходов включают транзакции с несколькими подписями или кошельки с временной блокировкой. Экономия на гонорарах также связана с длиной подписей и ключей Шнора. Они занимают меньше места и, следовательно, требуют меньших затрат.
Повышенная конфиденциальность
Эта функция, возможно, является наиболее важной и ожидаемой частью обновления, поскольку она сделает большинство инструментов и форм аналитики блокчейн бесполезными. Это обеспечит большую конфиденциальность сети Биткойн.
Расширенная функциональность сложных сценариев
Наконец, Taproot обеспечивает большую функциональность в отношении сложных сценариев. Это позволяет заблокировать Биткойн для нескольких скриптов. Объединив это и другие преимущества, разработчики могут создавать кошельки или другие функции поверх сети Биткойн с большей функциональностью.
Хорошим примером этого является создание кошельков с временной блокировкой и несколькими условиями погашения. В текущих ситуациях возможна безвозвратная потеря биткойнов, если не будут соблюдены все условия. Однако, используя Taproot, кошелек с несколькими подписями может быть разработан с применением условий, которые учитывают сложность реальной жизни, что значительно снижает вероятность потери доступа к биткойнам. Например, если человек хочет отдать своим четверым детям биткойны после своей смерти, он может создать кошелек с несколькими подписями 4 из 6, который «меняется» на кошелек 2 из 5 при соблюдении определенных условий. Другими словами, вместо того, чтобы требовать от четырех из шести членов семьи подписать транзакцию, кошелек с несколькими подписями изменяется так, что для обработки платежей детям требуется только два члена семьи, чтобы подписать транзакцию. Кроме того, Taproot поддерживает конфиденциальность, поскольку невозможно определить настроенный кошелек, изучив данные в сети.
Повлияет ли Taproot на цену биткойнов?
Конфиденциальность долгое время была проблемой для Биткойна, поскольку она создает угрозу устойчивости к цензуре, которая, возможно, является самой мощной особенностью Биткойна.
Учитывая множество преимуществ Taproot для сети Биткойн, в первую очередь последствия для конфиденциальности, цена биткойна может положительно отреагировать после реализации обновления. Ценность цифровой валюты может резко возрасти в долгосрочной перспективе, поскольку разработчики Биткойна внедряют столь необходимые решения по обеспечению конфиденциальности для сети, чтобы гарантировать преобладание сопротивления цензуре Биткойна.
Что такое подписи Шнорра? Что такое Taproot?
Что такое схема подписей Шнорра?
Кто и когда изобрел схему подписей Шнорра?
Схема подписей Шнорра и технология Taproot – это предложения по улучшению протокола биткоина BIP-340 и BIP-341. 21 января 2020 года разработчик Питер Велле включил в запрос на принятие изменений для софтфорка.
Схему подписей Шнорра предложил в 1991 году немецкий криптограф, профессор Франкфуртского университета Клаус-Петер Шнорр.
Предложенная Шнорром схема является модификацией схем Эль-Гамаля (1985) и Фиата-Шамира (1986), но имеет меньший размер подписи, а также использует наработки криптографа Дэвида Чаума.
Перед публикацией схемы Шнорр получил на нее ряд патентов, срок действия которых истек в 2008 году, когда Сатоши Накамото представил биткоин. Подписи Шнорра на тот момент уже можно было использовать, но они не были стандартизированы и не получили широкого распространения.
Когда Накамото создавал биткоин, он должен был выбрать одну из существующих схем подписи. Ему был необходим простой в использовании и безопасный алгоритм с открытым исходным кодом. Этим требованиям отвечала ECDSA. Предшественник ECDSA, алгоритм DSA, представлял собой гибрид схемы Шнорра и схемы Эль-Гамаля и был создан для обхода патентов Шнорра.
ECDSA в биткоине стала быстрее и эффективнее благодаря работам Питера Велле и его коллег, которые создали улучшенную эллиптическую кривую, secp256k1.
ECDSA имеет отдельные недостатки, и разработчики искали альтернативу. Первые обсуждения возможной реализации подписей Шнорра в сети биткоина состоялись в 2014 году, а спустя несколько лет разработчик Питер Велле опубликовал Schnorr BIP.
Каковы ключевые технические особенности подписей Шнорра и их преимущества над ECDSA?
Как и ECDSA, подписи Шнорра используют задачу дискретного логарифмирования. Преимущество подписей Шнорра в том, что они используют меньшее число допущений и имеют надежное формально-логическое доказательство: их безопасность легко доказать при использовании модели случайных оракулов и достаточно сложной задачи дискретного логарифмирования в группе точек эллиптической кривой (elliptic curve discrete logarithm problem, ECDLP).
Подписи Шнорра – более прозрачная прикладная технология, с которой проще работать криптографам.
Подписи Шнорра являются доказуемо негибкими, тогда как ECDSA-подписи – гибкие, что дает третьей стороне, не имеющей доступа к закрытому ключу, возможность изменить существующую действительную подпись и произвести двойную трату.
Существенное преимущество подписей Шнорра – свойство линейности, реализуемое за счет линейной математики.
Подписи Шнорра линейны в том смысле, что они могут быть предметом добавления или вычитания. Результат таких операций – действительная подпись, соответствующая тому же сложению (или вычитанию) открытых ключей. В случае ECDSA такая схема не работает – вычитание или добавление таких цифровых подписей не имеет смысла.
Свойство линейности подписей Шнорра позволяет агрегировать ключи и подписи. Агрегирование означает возможность объединения нескольких открытых ключей в один с тем, чтобы всем сторонам требовалась одна подпись. Через сложение ключей нескольких входов их можно агрегировать в единую подпись, состоящую из частичных подписей всех подписантов.
Уравнения ниже иллюстрируют процесс агрегирования, возможный благодаря свойству линейности подписей Шнорра. Никто, кроме участников, не знает, что за одним открытым ключом/подписью стоят три человека.
В мультиподписных транзакциях M-из-n частичные подписи известны как пороговые подписи. Как показывает график ниже, в мультиподписи 3-из-5 мы имеем M=3 подписи (из n=5) как часть входов транзакции.
Мультиподписным транзакциям M-из-n необходимо как минимум M подписантов и верификация каждой подписи. Чтобы подтвердить владение UTXO мультиподписного ключа, деблокирующий скрипт scriptSig должен содержать число M подписей ECDSA. Размер scriptSigs растет линейно в соответствии с числом M подписей, что увеличивает размер этих транзакций (и сумму транзакционных комиссий).
Кроме того, наблюдатель будет знать, что A, B и C подписали транзакцию, и сможет идентифицировать используемую мультиподписную схему.
С помощью подписей Шнорра M подписей агрегируются в единую подпись. Как только предоставлены открытые ключи и пороговые подписи, транзакция авторизована и выглядит как обычная P2PKH-транзакция.
Подписи Шнорра позволяют создавать только одну подпись для всех M сторон. Деблокирующий скрипт будет иметь одну подпись, представляющую собой агрегат всех подписей участников.
Наблюдатель более не сможет связать подпись транзакции с одним человеком, множеством людей или пороговым количеством людей. Хотя адреса и суммы в транзакциях по-прежнему доступны для всеобщего обозрения, подписи Шнорра затрудняют использование технологии идентификационных отпечатков кошелька/сценария использования.
Уменьшение размера транзакции и повышение скорости верификации
По своему размеру подписи Шнорра на 11% меньше существующих подписей, которые занимают приблизительно 70–72 байт в транзакции. Поскольку они занимают меньше места в блокчейне (их фиксированный размер – 64 байта), это позволяет уменьшить размер транзакции и снизить комиссии.
Также, если транзакция биткоина содержит множество входов, каждому из них нужна отдельная подпись. Для транзакции биткоинов, контролируемых многими подписантами, каждый подписант должен поставить отдельную подпись ECDSA. Эти подписи подтверждаются индивидуально. Чтобы эффективно верифицировать группу подписей, необходимо использовать математические расчеты.
Благодаря подписям Шнорра всем входам понадобится только одна объединенная подпись. Включение в транзакцию одной подписи дает дополнительные возможности для других транзакций. Уменьшение размера транзакций для мультиподписных транзакций позволяет уменьшить комиссии. Агрегирование ключей позволяет отказаться от проверки каждого индивидуального входа и ускорить процесс подтверждения.
Компактную мультиподпись с ECDSA труднее создать, поскольку такие подписи кодируются по стандарту DER, в отличие от подписей Шнорра, кодировка которых требует меньшего пространства.
Как будет внедряться схема подписей Шнорра?
BIP-340 – стандартизация подписей Шнорра, позволяющая интегрировать их в протокол биткоина.
Само по себе обновление не вызывает в среде разработчиков возражений. Они считают данную схему лучшей из ныне существующих, поскольку ее математические свойства обеспечивают высокий уровень корректности вычислений, она устойчива к пластичности и относительно быстрая в плане подтверждения транзакций.
Если подписи Шнорра имплементируют, обычный пользователь фактически не заметит их появления (за исключением одного символа в адресах SegWit). Подписи Шнорра не заменят ECDSA в биткоине – обе схемы будут сосуществовать.
Что такое Taproot (BIP-341)?
Taproot (BIP-341) – это вторая часть предложения, включающего Шнорр/Taproot/Tapscript. Если схема Шнорра предлагает новый тип подписи, то Taproot расширяет их функционал, представляя новую версию выхода транзакции и новый способ определения условий расходования.
Кто и когда изобрел Taproot?
В апреле 2018 года математик Эндрю Поэлстра опубликовал математическое доказательство безопасности (security proof). В июле того же года инженер Xapo и разработчик Bitcoin Core Энтони Таунс предложил решение, позволяющее увеличить объем данных, используемых Taproot.
6 мая 2019 года Питер Велле опубликовал предложения по улучшению протокола биткоина, в котором представил обновления Taproot в связке с подписями Шнорра и MAST. Для имплементации обновлений в кодовую базу биткоина Велле предложил провести софтфорк.
21 января 2020 года Велле включил Taproot в запрос на принятие изменений для очередного софтфорка.
The Schnorr/Taproot proposal is now published as BIPs 340, 341, and 342; see https://t.co/33uiulO8RA
Note that the assignment of BIP numbers is not any kind of stamp of approval; it just means the process was followed (which includes some amount of public discussion).
Какие возможности дает Taproot?
Если подписи Шнорра позволяют мультиподписным транзакциям выглядеть как стандартные (Pay-to-Public-Key-Hash) транзакции, то Taproot в сочетании с подписями Шнорра расширяет такие возможности, увеличивая группу типов транзакций, которым можно придавать видимость стандартных:
Эти четыре категории сценариев использования представляют большинство транзакций биткоина на сегодняшний день. Независимо от сложности контракта, Taproot позволяет придавать совместному результату в блокчейне вид расходов одного ключа.
Остальные скрипты, отображающие другие результаты контракта, не добавляются в блокчейн, благодаря чему в конкретном блоке высвобождается пространство для более сложных транзакций.
Как работает Taproot?
Понимание Taproot требует предварительного понимания решения MAST.
Технологию MAST (абстрактное синтаксическое дерево на базе дерева Меркла) предложил в 2016 году разработчик Джонсон Лау.
MAST предлагает использование новой программы-свидетеля и с помощью дерева Меркла декодирует взаимоисключающие ветви в скрипте.
Дерево Меркла – это структура данных; термин «дерево» описывает структуру его ветвей. Обычно дерево Меркла изображают, как на графике ниже: корень находится вверху, листья – в нижней части графика.
С помощью MAST можно создавать сложные контракты с множеством различных спецификаторов. Открывается только выполняемый скрипт, что экономит пространство в блокчейне и позволяет реализовывать более сложные скрипты/контракты.
Дерево Меркла создается через индивидуальное хеширование каждого скрипта с целью получения короткого уникального идентификатора. Далее каждый идентификатор объединяется с другим идентификатором и снова хешируется, создавая еще один короткий уникальный идентификатор для данной пары.
Этот процесс повторяется и продолжается до тех пор, пока не остается только один идентификатор, именуемый корнем Меркла (Адрес = Хеш (1,2) на графике выше), который уникальным образом идентифицирует весь набор данных в нескольких байтах. Корень Меркла можно рассматривать как «сейф» для монет.
В отличие от Pay-to-Script-Hash (P2SH), MAST позволяет структурировать в дереве Меркла множество условий расходования. При этом раскрываются только выполненные условия: с помощью корня и дерева Меркла подтверждается, что условие находится в дереве Меркла. Остальное дерево остается скрытым.
Например, если у нас есть сложный скрипт, который говорит, что сторона не может потратить свои монеты до истечения срока в месяц (таймлок), или монеты можно потратить посредством 3-из-5 мультиподписной транзакции, то оба условия будут раскрыты, как только монеты окажутся потрачены (такая схема работает сейчас в биткоине).
MAST дает следующую возможность: если любые данные в дереве Меркла раскрываются, то корень Меркла и ряд дополнительных данных (именуемых путем Меркла) можно использовать для подтверждения того, что конкретные данные были включены в дерево Меркла. Остальное дерево (и, соответственно, другие условия) остаются хешированными и скрытыми. Это означает, что при условии согласия всех участников раскрывать необходимо только выполненное условие.
Пользователи сложных контрактов могут создавать транзакции меньшего размера, а выигрыш в эффективности оказывается больше в случае более сложных контрактов с большим числом подскриптов. MAST, в отличие от любых других существующих механизмов, позволяет иметь множество дополнительных ветвей, что позволяет создавать более продвинутые смарт-контракты без дополнительной стоимости, которая обременяла бы ноды биткоина.
На иллюстрации выше Алиса может даже добавить к структуре MAST более длинную цепь бенефициаров, не изменяя количество используемых байтов. Размер комиссий не увеличивается, поскольку она по-прежнему тратит свои биткоины, используя всего лишь 32 байта. На уровне сети блоки смогут обрабатывать большее число сложных транзакций.
Изъян состоит в том, что по умолчанию для сохранения должного уровня приватности каждый вынужден использовать структуру MAST. Верхняя ветвь дерева Меркла всегда видима, и наблюдатели могут понять, что существуют другие условия траты. Кроме того, возрастает нагрузка на большинство транзакций, не нуждающихся в дополнительном скрипте, что приводит к росту их стоимости.
MAST до сих пор не имплементирован в биткоин, так как необходимые для этого изменения слишком сложны и могут привести к последствиям, которые нелегко просчитать. Возможным решением проблемы может стать пакет решений Шнорр/Taproot/Tapscript, поскольку он выступает золотой серединой между простотой и дополнительным функционалом.
Как Taproot улучшает MAST?
Taproot предлагает собственную версию дерева Меркла, именуемую деревом скрипта. Участники могут выбрать расходование с помощью:
В первом варианте это путь расходования по умолчанию, где одиночные или мультисторонние публичные ключи неразличимы.
Во втором случае скрытые скрипты не раскрываются до тех пор, пока не произведена трата. Разные скрипты можно организовать в дерево Меркла, и выходы также можно потратить, раскрыв один из спецификаторов.
Если мы расходуем транзакцию с помощью первичного скрипта траты, мы просто приводим доказательство Меркла, которое состоит из первичного скрипта траты и хеша альтернативного скрипта траты – этого достаточно для подтверждения того, что первичный скрипт траты содержится в дереве скрипта.
Taproot использует структуру MAST, чтобы скрыть условия, стоящие за корнем Меркла. Сам корень Меркла в этом сценарии скрывается и позволяет осуществлять посредством ключа прямые траты. В блокчейн отправляется только одиночный ключ – никто не видит, что существуют дополнительные условия.
В комбинации с подписями Шнорра структура MAST скрыта благодаря выходам Taproot. В верхней части дерева Меркла присутствует опция публикации одиночного публичного ключа и подписи. В результате транзакции P2PKH и P2SH выглядят идентично.
Иллюстрацией может служить закрытие Lightning-канала.
Lightning-каналы – это вариации мультиподписи 2-из-2. Вместо того, чтобы закрывать транзакцию с помощью громоздкого скрипта, Шнорр позволяет объединить подписи и представить в виде открытого ключа/подписи Taproot. Когда обе стороны согласны, то результат выглядит так, словно кто-то израсходовал этот выход с помощью обычной подписи, послав на два адреса. Наблюдатель не сможет определить, что это Lightning-канал.
TapBranch – это дерево скрипта (TapTree) для закрытия канала Lightning
Чтобы скрыть структуру MAST, хеш TapBranch на графике выше хешируется с помощью агрегированного публичного ключа (благодаря схеме Шнорра Алиса и Боб могут добавлять свои публичные ключи для создания внутреннего ключа Taproot).
Полученный хеш используется в качестве закрытого ключа, из которого выводят другой измененный публичный ключ. Изменение ключей, также известное как сокрытие пары ключей, включает встраивание скриптов 1 и 2.
Далее измененный публичный ключ добавляется к внутреннему ключу Taproot для создания ключа выхода Taproot. Процесс проиллюстрирован ниже:
Как было сказано, существуют два ключа траты. Путь расходования по умолчанию – это когда Алиса и Боб соглашаются закрыть Lightning-канал, а ключ выхода Taproot гарантирует, что транзакция выглядит как стандартная транзакция P2PKH. В других сценариях используемый скрипт раскрывается, как только монеты потрачены, тогда как все другие опции остаются скрытыми.
В вышеприведенном примере, если Алиса и Боб соглашаются осуществить Lightning-платеж, они могут совместно объединить подписи Шнорра, создать главный публичный ключ, вместе добавить подписи и создать главную подпись.
Обе стороны ставят частичные подписи с помощью своих индивидуальных ключей, а закрытие канала Lightning выглядит как прямой платеж публичному ключу.
В случае, когда закрытие несовместное, раскрывается только используемый скрипт. Верифицирующие смогут определить, что пороговый публичный ключ был изменен посредством корня Меркла. Однако все остальные опции/скрипты останутся скрытыми.
График выше показывает, что дерево скрипта предлагает новую опцию восстановления для получения доступа к биткоинам. Taproot обеспечивает опцию восстановления для потерянных монет (для пользователей с обновленными кошельками). Если теряется одиночный ключ, он утрачен безвозвратно. Если же пользователь теряет закрытый ключ, и его средства находятся в форме выхода Taproot, то должен существовать другой путь, посредством которого можно заявить права на монеты (например, восстановить резервные ключи 3-из-5, которые удерживают родственники пользователя).
Taproot повышает степень приватности, эффективности и гибкости скриптов биткоина, позволяя разработчикам писать сложные скрипты, минимизируя при этом воздействие на блокчейн.
Усложненные транзакции позволяют значительно сэкономить на комиссиях, поскольку требующие обработки большого количества данных скрипты уже не должны платить комиссии, суммы которых превышают суммы комиссий в стандартной транзакции Pay-to-Public-Key-Hash. Чем сложнее транзакции, тем выше их эффективность.
Поскольку Taproot позволяет осуществлять усложненные транзакции с помощью всего лишь одной подписи, количество байтов, используемых для агрегированных ключей и подписей, не меняется в зависимости от числа подписантов. При использовании мультиподписи Witness-Script-Hash (P2WSH) каждый дополнительный публичный ключ добавляет 8,5 байтов, а каждая дополнительная подпись – приблизительно 18,25 байтов.
С точки зрения приватности Taproot позволяет минимизировать информацию об условиях расходования для выхода транзакции, которая раскрывается в блокчейне. Благодаря Taproot большинство приложений могут использовать путь расходования на основе ключа, конфиденциальность которого защищена.
Хотя схема Шнорра позволяет придавать мультиподписным транзакциям видимость обычных транзакций Pay-to-Public-Key-Hash, Taproot расширяет круг транзакций, которым можно придать такую видимость (сделать Pay-to-Public-Key-Hash и Pay-to-Script-Hash неотличимыми).