无脚本多重签名 - Scriptless Multisignatures

也涵盖二方 ECDSA（2pECDSA）和双方 ECDSA（Two-Party ECDSA）

无脚本多重签名 是使用两个或多个私钥创建的数字签名，可以仅使用单个公钥和单个签名进行验证。

无脚本多重签名可以与_有脚本的多签名（scripted multisig）_ 进行比较，后者使用比特币的 OP_CHECKMULTISIG 和 OP_CHECKMULTISIGVERIFY 操作码（以及为 tapscript 提议的 OP_CHECKSIGADD 操作码）来使用公钥和签名。多重签名的优势在于，当它们用于比特币交易时，只有单个密钥和单个签名会在链上公布，允许无限数量的签名者支付与单个签名者为同一交易支付的相同交易费用。多重签名支付与单签名支付无法区分，还为两种支付的创建者提供了更大的隐私。

尽管所有版本的比特币都支持 ECDSA 算法的多重签名创建，但为施诺尔签名（schnorr signatures） 创建多重签名更容易，并且已知有几种算法，其中 MuSig 是专门为比特币用户的需求而创建的。

术语：下表总结了_多重签名_和相关术语之间的区别。

术语	私钥数量	消息数量（例如：交易输入）	公开的公钥数量	签名数量	需要的签名者数量	备注
有脚本的多签名（Scripted Multisig）	m	1	m	k 其中 k<=m	k	使用比特币脚本多签名操作码
无脚本多重签名	m	1	1	1	m	与单签名在链上无法区分
门限签名（Threshold Signature）	m	1	1	1	k 其中 k<=m	与单签名在链上无法区分

Optech 新闻简报和网站提及

2023

• 当与多重签名一起使用时，对签名适配器安全性的分析

• BIPs #1372 将 BIP327 分配给用于创建多重签名的 MuSig2 协议

2022

• 关于不同脚本类型可能的最大多签名群的问题

2021

• 为 taproot 准备：多重签名随机数的挑战

• 为 taproot 准备：多重签名概述

• 无需多重签名支持的签名适配器

2020

• 关于多重签名和门限签名的讨论

• 关于使用 160 位地址进行简单多方多重签名的警告

• 签名适配器的 ECDSA 多重签名替代方案

• 减轻功率分析攻击的方法，包括针对多重签名方案的攻击

• 使用多重签名实现 ECDSA 的状态链

• BIPs #876 将 BIP340 分配给新的兼容多重签名方案

2019

• 关于嵌套和可组合多重签名方案的讨论

• 关于减少交互需求的施诺尔多重签名方案的工作

• 关于 taproot 如何在与多重签名结合使用时提高扩展性的讨论

2018

• 发表了关于快速 ECDSA 多重签名的两篇论文

• 无脚本闪电网络支付通道的 ECDSA 多重签名

参见

• MuSig

• 签名适配器（Signature Adaptors）

• 门限签名（Threshold Signature）