You can also read the English version of this article.
Im November 2021, also vor mittlerweile über drei Jahren, wurde das Taproot-Update im Bitcoin-Netzwerk aktiviert und brachte neue Features sowie effizientere Schnorr-Signaturen mit sich. Zwar verlief die Einführung zunächst eher schleppend, doch heute fallen immerhin etwa 20 % aller Bitcoin-Outputs auf das neue Taproot-Format, und auch weitere Anwendungen nutzen bereits die erweiterten Funktionen von Taproot. Natürlich unterstützen die BitBoxApp und BitBox02 seit 2022 ebenfalls das Senden und Empfangen mit Taproot-Adressen.
In diesem Artikel werfen wir einen kleinen Blick in die Zukunft und betrachten neue Multisignaturverfahren wie MuSig2 und FROST, die als Multisig-Wallets durch Taproot von verbesserter Privatsphäre und Effizienz profitieren. Um besser zu verstehen, wie diese Verfahren funktionieren und woher ihre Vorteile eigentlich kommen, schauen wir uns zunächst Taproot und “Bitcoin-Scripting” im Allgemeinen an, bevor wir genauer auf die Signaturverfahren eingehen.
Bitcoin-Scripting
Wenn man Bitcoin empfängt, erstellt der Sender einen neuen Output, der Bitcoin mit einem Skript sperrt – eine technisch genaue Ausdrucksweise für “jemand zahlt an eine Bitcoin-Adresse“. Ein Skript im Kontext von Bitcoin ist ein kleines, simples Programm, das bestimmt, ob eine Transaktion ausgegeben werden darf oder nicht – also genau das, was jeder Netzwerkteilnehmer bei der Verifizierung von Transaktionen prüft. Zum Beispiel sorgt das standardmäßige Skript von Native Segwit (P2WPKH) dafür, dass ein öffentlicher Schlüssel und eine digitale Signatur mit einem existierenden Public-Key-Hash auf der Bitcoin-Blockchain übereinstimmen – und das war’s auch schon. Einfacher ausgedrückt: Das Skript stellt sicher, dass du die richtigen Schlüssel für die Bitcoin-Adresse besitzt.
Es gibt jedoch komplexere Einsatzmöglichkeiten der Script-Sprache von Bitcoin, indem weitere Ausgabebedingungen hinzugefügt werden. Ein bekanntes Beispiel dafür sind Multisig-Wallets, bei denen mehr als eine Signatur erforderlich ist, um Coins auszugeben. Beim Ausgeben von Coins von einer Multisig-Adresse muss dieses komplexere Skript ebenfalls offengelegt werden, um zu beweisen, dass die Signaturen gültig sind, und gleichzeitig anderen die Möglichkeit zu geben, zu überprüfen, dass die Adresse tatsächlich an diese Bedingungen gebunden ist.
Der aktuelle Status quo von Multisig-Wallets hat hauptsächlich zwei Nachteile: Erstens ist er nicht ideal für die Privatsphäre, da jeder die Details der Konfiguration sehen kann (z. B. ob du eine 2-von-3-, 3-von-5- oder eine noch komplexere Aufteilung nutzt). Zweitens gilt: Je mehr Ausgabebedingungen hinzugefügt werden, desto größer wird das Skript – und desto höher fallen die Transaktionsgebühren aus.
Key-Path und Script-Path
Beim Ausgeben von Coins von einer Taproot-Adresse gibt es zwei unterschiedliche Möglichkeiten bzw. oder “Pfade”: Key-Path und Script-Path. Beide haben in bestimmten Situationen Vorteile und ermöglichen privatere und effizientere Transaktionen.
Key-Path Ausgaben
Die standardmäßige bzw. „bevorzugte“ Methode sind Key-Path- Ausgaben, die sich eigentlich recht einfach erklären lassen: Jeder Taproot-Output enthält einen einzelnen öffentlichen Schlüssel und kann mit einer einzigen Signatur ausgegeben werden. Gibt man beim Ausgeben eines Taproot-Outputs also einfach nur eine Signatur an, handelt es sich um eine Key-Path Ausgabe. Beispielsweise ist jede reguläre Taproot-Transaktion, die in der BitBoxApp erstellt wird, eine Key-Path Ausgabe.
Key-Path-Ausgaben sind vorteilhaft, da sie alle irrelevanten Informationen von der Bitcoin-Blockchain entfernen und lediglich einen einzelnen öffentlichen Schlüssel sowie eine digitale Signatur benötigen. Dadurch sehen alle Taproot-Transaktionen, die Key-Path-Ausgaben verwenden, im Wesentlichen gleich aus. Es lässt sich nicht erkennen, welche genaue Bedingung für die Erstellung der Signatur erforderlich war – und das muss es auch nicht. Solange die Signatur gültig ist, ist auch die Transaktion gültig. Ob dahinter eine herkömmliche Wallet, ein Multisig-Setup oder sogar ein ganzer Lightning-Kanal steckt, spielt keine Rolle.
Script-Path Ausgaben
Die zweite Möglichkeit ähnelt dem bisherigen Standard, bei dem Ausgabebedingungen direkt auf der Bitcoin-Blockchain veröffentlicht und verifiziert werden. Ausgaben über einen Script-Path können als alternative Option genutzt werden, um einen Output auszugeben, beispielsweise wenn die üblichen Bedingungen für eine Key-Path-Ausgabe nicht erfüllt sind. Ein Beispiel für eine solche übliche Bedingung könnte eine Hardware-Wallet sein, während als Alternative ein Backup-Schlüssel an einem entfernten Standort dienen könnte, der nur dann benötigt wird, wenn auf die reguläre Hardware-Wallet nicht zugegriffen werden kann.
Script-Path-Ausgaben bieten dank Taproot dennoch Vorteile, da nur jene Teile der Ausgabebedingungen offengelegt werden müssen, die tatsächlich verwendet wurden. Auch dies kann zu verbesserter Privatsphäre und kleineren Transaktionen führen, da nicht alle Details auf der Bitcoin-Blockchain vermerkt werden – nur die jeweils relevanten.
Das Innovative an Taproot ist: Man kann beides nutzen! Ein Taproot-Output, der einen einzelnen öffentlichen Schlüssel enthält, kann entweder mit einer einzigen Signatur (Key-Path) oder durch Aktivierung eines alternativen Pfades (Script-Path) ausgegeben werden. Dabei ist der öffentliche Schlüssel in einem Taproot-Output in kryptografischer Hinsicht eine recht interessante Konstruktion – also weit mehr als „nur ein einfacher öffentlicher Schlüssel“. Aber schauen wir uns das einmal genauer an.
Hörst du die MuSig?
Nachdem wir nun ein Grundverständnis von Bitcoin-Scripting und den verschiedenen Ausgabemöglichkeiten haben, können wir tiefer in verschiedene Multisignaturverfahren eintauchen. In einem der vorangegangenen Abschnitte wurde bereits angedeutet, dass eine Multisig-Wallet mit einer simplen Key-Path Ausgabe verwendet werden kann – aber wie ist das möglich? Wie kann eine einzelne Signatur mehrere Parteien repräsentieren?
Signatur-Aggregation
Die mit dem Taproot-Update eingeführten Schnorr-Signaturen besitzen eine interessante Eigenschaft namens „Linearität“. Dies bedeutet, dass Signaturen einfach addiert werden können, um mehrere Signaturen von verschiedenen Unterzeichnern zu einer einzigen zusammenzufassen bzw. zu “aggregieren”.
Auf diesem Prinzip basierend entwickelten Bitcoin-Experten und Kryptographen ein elegantes Signaturverfahren. MuSig2 fasst Schlüssel und Signaturen zusammen, um n-von-n Multisig-Wallets (z. B. 4-von-4, wie in der Grafik unten dargestellt) zu ermöglichen, ohne dabei Informationen über die einzelnen Signaturen im Bitcoin-Netzwerk preiszugeben.
Niemand außerhalb weiß, dass Alice, Bob, Satoshi und Carol gemeinsam eine Signatur erstellt haben. Tatsächlich ist nicht einmal ersichtlich, dass die Transaktion überhaupt aus einer Multisig-Wallet stammt, was die Privatsphäre verbessert, da sie nahtlos in der Masse anderen Taproot-Transaktionen verschwindet. Zudem hat die Transaktion die gleiche Größe wie eine reguläre Transaktion, da keiner der vier individuellen Schlüssel oder Signaturen veröffentlicht wird – was die Transaktionsgebühren senkt und Bitcoin effizienter macht.
Interaktivität
Wie bei den meisten Dingen im Leben bringt auch MuSig2 Kompromisse mit sich, die sich vor allem in der Interaktivität, die zwischen den Unterzeichnern notwendig ist, widerspiegelt. Bei herkömmlichen Multisig-Wallets müssen die Unterzeichner lediglich die Signaturen, die Teil der finalen Transaktion sind, austauschen. Bei MuSig2 hingegen ist es notwendig, dass die Beteiligten mehrmals miteinander kommunizieren, um die aggregierten Schlüssel und Signaturen sicher berechnen zu können.
Die erste Version von MuSig erforderte drei Kommunikationsrunden und musste aus Sicherheitsgründen leicht angepasst werden. Daher ist das Verfahren heute unter dem Namen des Nachfolgers MuSig2 bekannt, der nur noch zwei Kommunikationsrunden benötigt. Dennoch wird die Komplexität für die Nutzer leicht erhöht, auch wenn für viele die Vorteile in Bezug auf Privatsphäre und Transaktionsgröße dies wahrscheinlich wert sind.
Ein weiterer Aspekt ist die Beschränkung auf n-von-n Setups, ohne die Möglichkeit, direkt einen Schwellenwert oder “Threshold” (z. B. 2-von-3) festzulegen – wie es die meisten Nutzer von Multisig-Wallets zur Absicherung gegen den Verlust eines Schlüssels oft bevorzugen. Um mehr Redundanz hinzuzufügen, können alternative Script-Pfade für eine „Backup-Kombination“ unterschiedlicher Schlüssel eingerichtet werden. Dies würde effektiv einen Schwellenwert einführen, allerdings auf Kosten eines komplexeren Skripts. Aber wie du dir denken kannst, sind wir hier noch nicht fertig!
FROST
Das „Flexible Round-Optimized Schnorr Threshold Signature“ Protokoll, kurz FROST, ist ein weiteres Multisignaturverfahren, das MuSig2 in puncto Signaturerstellung und -aggregation ähnelt. Allerdings verwendet FROST eine andere Konstruktion zur Erzeugung der eigentlichen Schlüssel, um so den Schwellenwert zu ermöglichen.
Um dies sicher umzusetzen und beispielsweise zu erlauben, dass in einem 2-von-4-Setup beliebige zwei Unterzeichner gemeinsam eine gültige aggregierte Signatur erzeugen können, gibt es grundsätzlich zwei Optionen zur Erstellung der Schlüsselanteile vor der Signierung. Die erste Option besteht darin, dass eine vertrauenswürdige Partei die Schlüssel generiert und verteilt, was eine einfache Lösung ist, aber offensichtlich Vertrauen voraussetzt. Die zweite Option besteht darin, dass die beteiligten Parteien in einer interaktiven Sitzung die Schlüssel gemeinsam erzeugen – ein Verfahren, das auch als Distributed Key Generation (DKG) bekannt ist und sichere Kommunikationskanäle zwischen den Unterzeichnern erfordert.
Mit anderen Worten: Das Hinzufügen der Schwellenwert-Funktionalität erhöht zwar die Komplexität, ermöglicht aber auch vielseitigere Setups mit mehr Redundanz. Eine FROST Key-Path Ausgabe würde wieder wie jede andere Taproot-Transaktion aussehen – mit dem zusätzlichen Privatsphäre-Vorteil, dass niemand weiß, welche Kombination der verfügbaren Unterzeichner zusammen die Coins ausgegeben hat.
Zusammenfassung
Wenn wir die einzelnen Konzepte nicht für sich betrachten, sondern stattdessen darüber nachdenken, wie sie in Kombination mit anderen Mechanismen genutzt werden können, eröffnen sich nahezu endlose Möglichkeiten. Nutzer werden in der Lage sein, ihr Wallet-Setup fein abzustimmen – etwa mit Zeitsperren und alternativen Schlüsseln, wie es bereits heute mit der Liana-Wallet und der BitBox02 möglich ist – und dabei von den fortschrittlichen Verfahren profitieren, die wir gerade kennengelernt haben. Skalierungslösungen wie das Lightning-Netzwerk können ebenfalls Verfahren, wie MuSig2, nutzen, um die Verwaltung von Zahlungskanälen effizienter und privater zu gestalten. Das Öffnen und Schließen eines Lightning-Kanals würde im Normalfall aussehen, wie jede andere gewöhnliche Taproot-Transaktion und eine entsprechend niedrigere Gebühr benötigen.
Die Vorteile von MuSig2 und FROST skalieren grundsätzlich mit der Komplexität des Wallet-Setups und der Anzahl der Beteiligten, was sie besonders für größere Unternehmen mit komplexeren Anforderungen interessant macht. Aber auch im privaten Gebrauch können sie dabei helfen, Transaktionsgebühren zu sparen und die Privatsphäre zu erhöhen. Es ist zwar noch früh, doch Taproot und seine Vorteile sind gekommen, um zu bleiben – und es ist zu erwarten, dass die Verbreitung und Benutzerfreundlichkeit von Multisignaturverfahren wie MuSig2 und FROST mit der Zeit zunehmen werden. Wir werden diese Entwicklungen kontinuierlich beobachten, um zu sehen, ob und wie auch BitBox-Nutzer davon profitieren können!
Du hast noch keine BitBox?
Deine Kryptowährungen sicher zu halten muss nicht schwer sein. Die BitBox02 Hardware Wallet speichert die privaten Schlüssel deiner Kryptowährungen offline. So kannst du deine Coins sicher verwalten.
Die BitBox02 gibt es auch als Bitcoin-only-Version mit einer radikal fokussierten Firmware: weniger Code bedeutet weniger Angriffsfläche, was deine Sicherheit weiter verbessert, wenn du nur Bitcoin speicherst.
Hol dir eine in unserem Shop!
Die BitBox-Produkte werden von Shift Crypto, einem privaten Unternehmen mit Sitz in Zürich, Schweiz, entwickelt und hergestellt. Unser Team aus Bitcoin-Entwicklern, Krypto-Experten und Sicherheitsingenieuren entwickelt Produkte, die unseren Kunden eine stressfreie Reise vom Anfänger zum Meister der Kryptowährung ermöglichen. Die BitBox02, unsere Hardware-Wallet der zweiten Generation, ermöglicht es den Nutzern, Bitcoin und andere Kryptowährungen zu speichern, zu schützen und mit Leichtigkeit zu handeln – zusammen mit der dazugehörigen Software, der BitBoxApp.