Protocollo · Tecnica
Taproot e Schnorr Signatures
Taproot (attivato a blocco 709.632, novembre 2021) è il più grande upgrade di Bitcoin dal SegWit del 2017. Introduce tre BIP complementari: Schnorr signatures, MAST e Tapscript. Questa guida spiega come funzionano tecnicamente e quali miglioramenti concreti portano.
BIP340: Schnorr Signatures
Bitcoin usava ECDSA (Elliptic Curve Digital Signature Algorithm) dal 2009. Schnorr signatures (BIP340) le sostituisce con proprietà matematiche superiori:
Linearità
Le firme Schnorr sono lineari: la somma di due chiavi private produce una firma valida per la somma delle chiavi pubbliche corrispondenti. ECDSA non ha questa proprietà.
Impatto: Abilita aggregazione nativa di firme multi-party (MuSig2) senza protocolli aggiuntivi complessi.
Batch Verification
Un validatore può verificare N firme Schnorr insieme in modo più efficiente che verificarle singolarmente. Con ECDSA ogni firma richiede verifica indipendente.
Impatto: I nodi possono validare blocchi più velocemente — riduzione carico computazionale con molte transazioni.
Firma più compatta
Una firma Schnorr è 64 byte. Una firma ECDSA è 71-72 byte (codifica DER). Risparmio di circa 10% per ogni firma nella transazione.
Impatto: Transazioni leggermente più piccole = fee più basse, più transazioni per blocco.
Prove di conoscenza zero (ZK)
La struttura lineare di Schnorr è compatibile con costruzioni crittografiche avanzate come adattori di firma (signature adaptors), usati in Lightning e atomic swap.
Impatto: Fondamento per protocolli di privacy e smart contract off-chain più efficienti.
MuSig2: aggregazione multi-firma
MuSig2 è il protocollo di aggregazione firme costruito su Schnorr. Permette a N partecipanti di produrre una singola firma valida dall'esterno indistinguibile da una firma standard:
Come funziona MuSig2 (semplificato)
Alice (chiave A) e Bob (chiave B) vogliono creare un 2-of-2 multisig
Con Schnorr: combinano A+B in una chiave aggregata X = A + B
X appare on-chain come un indirizzo P2TR normale — non si vede che è multisig
Firmare richiede interazione tra Alice e Bob (scambio di nonces), ma il risultato è una firma singola
Verifica on-chain: un solo controllo firma, identico a transazione singola
Risultato: un wallet 2-of-2 MuSig2 è indistinguibile on-chain da un wallet singola firma. Privacy massima, fee identiche a transazione standard.
BIP341: MAST e Pay-to-Taproot
MAST (Merkelized Alternative Script Trees) permette di nascondere gli script Bitcoin all'interno di un Merkle tree. Solo il percorso effettivamente eseguito viene rivelato on-chain:
Struttura P2TR: un output Taproot contiene una chiave pubblica tweakable. Il tweak incorporate il Merkle root degli script alternativi.
Spesa keypath: se tutte le parti concordano, spendono con la chiave aggregata — nessuno script visibile on-chain. Caso più comune e privato.
Spesa scriptpath: se una condizione script si verifica (es. timelock scaduto, chiave di recupero), si rivela solo quel ramo del Merkle tree.
Vantaggio privacy: un contratto con 10 condizioni diverse rivela solo la condizione usata. Le 9 inutilizzate restano private per sempre.
Vantaggio fee: non si pagano per gli script mai eseguiti. Un HTLC Lightning che si risolve normalmente non rivela il ramo di penalità.
BIP342: Tapscript
Tapscript aggiorna il linguaggio di scripting Bitcoin per i rami script di Taproot:
| Cambiamento | Dettaglio |
|---|---|
| OP_CHECKSIGADD | Sostituisce OP_CHECKMULTISIG — più efficiente per multisig con Schnorr |
| Firma Schnorr obbligatoria | Tutti i controlli firma usano BIP340 Schnorr invece di ECDSA |
| Batch validation | Tutti i CHECK_SIG in un blocco possono essere verificati insieme |
| Opcode riservati | Nuovi opcode possono essere aggiunti in futuro senza soft fork (OP_SUCCESS) |
| Rimozione 10.000 byte limit | Script nei rami Tapscript non hanno il limite classico di peso |
Impatto su Lightning Network
PTLCs al posto di HTLCs
In implementazione gradualeGli HTLC (Hash Time-Locked Contracts) usano un hash condiviso tra hop — un nodo intermedio può correlare i pagamenti. I PTLCs (Point Time-Locked Contracts) usano adattori di firma Schnorr: ogni hop ha un segreto diverso.
Canali con output P2TR
Già disponibile (Simple Taproot Channels)I nuovi canali Lightning aperti con Taproot appaiono on-chain identici a transazioni normali — nessuna struttura di canale visibile fino alla chiusura contestata.
MuSig2 per cooperative close
Disponibile con Simple Taproot ChannelsLa chiusura cooperativa di un canale Taproot produce una firma Schnorr aggregata — indistinguibile da un pagamento normale. Privacy massima alla chiusura.
Adozione P2TR nel 2025-2026
Adozione P2TR: oltre il 60% degli output creati nel 2025 usa già il formato bc1p... (P2TR) — crescita da meno del 1% nel 2022.
Exchange: la maggior parte degli exchange italiani e internazionali supporta indirizzi bc1p per deposito e prelievo nel 2025.
Hardware wallet: Ledger, Trezor, Coldcard supportano P2TR nativamente dalla fine del 2022.
Sparrow Wallet: default su P2TR per nuovi wallet dalla versione 1.7. Coin control con etichette per output type.
Risparmio fee medio: circa 15-20% rispetto a P2WPKH (bech32) per transazioni single-sig, fino al 60% per multisig complesso.
Protocollo e ciclo: ogni settimana
Il Report Fides Bitcoin copre aggiornamenti del protocollo, sicurezza e dati on-chain di ciclo — in italiano, ogni lunedì.
Iscriviti gratis →