Merkle Root与Taproot Protocol

这篇文章直观地解释比特币中的Taproot协议，特别是如何利用merkle tree来隐藏多种可能花费条件的复杂性。

目录

1. Taproot协议
2. merkle tree
   • merkle tree作为承诺方案
3. Taproot与merkle tree的结合
4. 用途是什么

Taproot 协议

Taproot 于 2021 年 11 月作为软分叉在比特币网络中激活。其设计目标包括：

1. 增强隐私性：隐藏交易条件及多签名的使用痕迹。
2. 减少链上数据：仅需提交默克尔树的根哈希，无需暴露叶子节点。
3. 采用 Schnorr 签名：提升签名效率并支持签名聚合。

本文重点解析第二个目标：如何用默克尔树隐藏交易条件的复杂性（Schnorr 签名的细节可参考 conduition 的精彩文章）。

默克尔树

默克尔树是一种二叉树，其叶子节点为数据，inner 节点为子节点的串联哈希。树的顶端称为默克尔根。示例结构如下：

图中叶子节点为数字 0、1、2、3，视为想承诺的数据。通过哈希这些叶子节点以及它们的串联哈希构建这颗树。

默克尔树作为承诺方案

在密码学中有一种称为 承诺方案的设计。

密码学中的承诺方案允许在不暴露具体值的情况下承诺该值，即 隐藏性（Hiding）特性；且使得参与一方承诺之后无法再更改数据或状态，这叫做绑定性（bindin）特性。

最经典的例子是哈希函数。假设有一个x值想承诺它，可以对x值做哈希然后发送哈希值到其它参与方；未来你可以披露x的值然后其它参与方对它做哈希、检查与你发送的哈希是否匹配。

哈希函数是单值承诺方案的典型例子。对于多值承诺，默克尔树通过以下方式实现：

• 提交根哈希：承诺所有叶子节点。
• 包含证明：通过提供从叶子到根的路径（空间复杂度为 O(logn)），可验证某叶子属于该树。 默克尔树的高效性使其成为理想的多条件承诺工具。

Taproot 与默克尔树的结合

Pay-to-Taproot（P2TR）地址的结构如下：

• 内部密钥（Internal Key）：所有者的公钥（密钥路径）。
• 默克尔根（Merkle Root）：交易条件的默克尔树根（脚本路径）。 示例结构：

使用场景：

1. 密钥路径：直接使用内部密钥签名（适用于单签或聚合签名）。
2. 脚本路径：满足默克尔树中任一条件（如多签、时间锁等）。

关键优势：

• 隐私性：链上仅暴露根哈希，实际条件保持隐藏。
• 灵活性：将高频条件置于树浅层以减少验证成本（如示例中的 S1）。

技术细节：

• 脚本路径基于 P2SH（Pay-to-Script-Hash）模型，仅在花费时揭示脚本并验证哈希匹配。
• 可通过调整内部密钥强制仅使用脚本路径（详见 BIP 341）。

总结

Taproot 通过默克尔树将复杂的交易条件压缩为一个根哈希，既节省链上空间，又增强隐私性。结合 Schnorr 签名，比特币网络的效率和可扩展性得以显著提升。

参考

https://storopoli.com/blog/taproot/