MuSig2 多人簽名完整指南

MuSig2 是比特幣 Taproot 升級中最關鍵的密碼學協議之一，它實現了 Schnorr 簽名的密鑰聚合功能，使得多方可以共同產生一個看起來與普通單簽名完全相同的簽名。本文件將深入剖析 MuSig2 的運作原理、安全性證明、以及在比特幣實際應用中的完整實作細節。

MuSig2 的核心價值與設計目標

MuSig2（MuSig version 2）由區塊鏈安全公司 Blockstream 的密碼學團隊開發，最初發表於 2020 年的學術論文中。與傳統的多簽名方案相比，MuSig2 實現了以下幾個核心目標：

第一個目標是簽名聚合。傳統的比特幣多簽名方案（如 2-of-3 P2MULTISIG）需要在區塊鏈上公開所有參與者的公鑰，並且每個簽名都需要单独提交，這不僅增加了交易費用，也暴露了參與者的數量 和閾值配置。MuSig2 允許將多個公鑰聚合成單一的聚合公鑰，產生的簽名在區塊鏈上看起來與普通的單簽名交易完全相同，這極大地提升了交易隱私性和費用效率。

第二個目標是互動輪數優化。早期實現多方簽名的方案（如 MuSig1）需要三輪互動才能完成簽名，這在實際應用中往往過於複雜且容易出錯。MuSig2 將互動輪數優化為兩輪，並允許參與者非同步地交換數據，這使得在實際網路環境中的部署變得更加可行。

第三個目標是抵抗惡意攻擊者。MuSig2 的設計可以承受最多 n-1 個參與者同時被攻破的情況，即使大多數簽名方被惡意控制，攻擊者也無法盜取資金或偽造簽名。這種安全性基於嚴格的密碼學假設，並經過形式化驗證。

密鑰聚合的數學原理

基礎橢圓曲線運算

MuSig2 運作在 secp256k1 橢圓曲線上，這是比特幣所使用的同一條曲線。曲線方程為 y² = x³ + 7，定義在質數域 Fp 上，其中 p = 2²⁵⁶ - 2³² - 977。曲線上有一個生成點 G，其階 n ≈ 2²⁵⁶，這確保了私鑰空間足夠大，無法通過暴力破解。

在橢圓曲線密碼學中，私鑰 d 是一個介於 1 和 n-1 之間的隨機整數，對應的公鑰 P = d × G 通過將生成點 G 與自身相加 d 次來計算。由於離散對數問題的困難性，已知公鑰 P 無法在多項式時間內計算出私鑰 d，這是比特幣安全的數學基礎。

聚合公鑰的建構

假設有 n 個參與者，每個參與者 i 擁有私鑰 dᵢ 和對應的公鑰 Pᵢ = dᵢ × G。在傳統的多簽名方案中，花費資金需要至少 m 個參與者提供各自的有效簽名。然而，MuSig2 允許將這些公鑰聚合成單一的聚合公鑰 K：

K = P₁ + P₂ + ... + Pₙ = (d₁ + d₂ + ... + dₙ) × G

這個聚合公鑰實際上等同於擁有匯總私鑰 d_agg = d₁ + d₂ + ... + dₙ（模 n）的單一實體。關鍵在於，沒有人知道這個匯總私鑰，因為每個參與者只知道自己的私鑰部分。

聚合係數是 MuSig2 協議中的重要概念。為了防止攻擊者操縱聚合結果，每個參與者需要計算一個與所有公鑰相關的係數。對於參與者 i，係數 aᵢ 的計算方式為：

aᵢ = Hash(L || Pᵢ)

其中 L 是所有公鑰的列表哈希值：

L = Hash(P₁ || P₂ || ... || Pₙ)

最終的聚合公鑰修正為：

K = a₁P₁ + a₂P₂ + ... + aₙPₙ

這個修正確保了攻擊者無法通過選擇特定公鑰來操縱聚合結果，是 MuSig2 安全性的關鍵組成部分。

完整協議流程

MuSig2 協議可以分為以下幾個階段：

第一階段：密鑰聚合

在這個階段，所有參與者需要協商並確認最終的聚合公鑰。具體步驟如下：

首先，每個參與者 i 公開自己的公鑰 Pᵢ。所有參與者驗證收到的公鑰是否有效（確保公鑰在曲線上且不為無窮遠點）。然後，所有參與者獨立地計算 L = Hash(P₁ || P₂ || ... || Pₙ)。最後，每個參與者計算自己的係數 aᵢ = Hash(L || Pᵢ)，並計算聚合公鑰 K = Σ(aᵢ × Pᵢ)。

這個階段的輸出是所有參與者認可的聚合公鑰 K，可以用於生成比特幣地址。注意，這個階段只需要一次通訊，所有參與者可以同時發布自己的公鑰。

第二階段：Nonce 交換

在簽名之前，每個參與者需要生成一個隨機的 nonce（一次性隨機數）。這個 nonce 必須是密碼學安全的隨機數，並且必須對每次簽名會話都是獨一無二的。nonce 重用是 MuSig2 協議中最危險的錯誤，可能導致私鑰洩漏。

對於每次簽名會話，參與者 i 執行以下步驟：

首先生成隨機 nonce：選擇兩個隨機數 rᵢ₁ 和 rᵢ₂，計算 Rᵢ = rᵢ₁ × G（這裡的乘法和加法都是橢圓曲線運算）。然後公開 Rᵢ 給所有其他參與者。所有參與者收到所有 nonce 後，計算聚合 nonce：R = R₁ + R₂ + ... + Rₙ。這裡的關鍵是，聚合 nonce R 是所有個別 nonce 的橢圓曲線點之和。

第三階段：挑戰計算

在生成實際簽名之前，所有參與者需要計算簽名挑戰 e：

e = Hash(R || K || m)

其中 m 是要簽名的消息。這個挑戰將被用於後續的簽名計算，確保簽名與特定消息綁定。

第四階段：部分簽名生成

每個參與者現在可以計算自己的部分簽名 sᵢ：

sᵢ = rᵢ + e × aᵢ × dᵢ (mod n)

這裡 rᵢ 是參與者選擇的隨機數（实际上是 rᵢ₁ 的標量部分），e 是挑戰值，aᵢ 是該參與者的係數，dᵢ 是私鑰。

第五階段：簽名聚合

最後，所有參與者或任意收集到足夠部分簽名的參與者可以計算最終的完整簽名：

s = s₁ + s₂ + ... + sₘ (mod n)

其中 m 是滿足閾值要求所需的簽名數量（例如 2-of-3 中 m=2）。

最終的簽名是對 (R, s)，其中 R 是聚合 nonce 點，s 是聚合後的標量。這個簽名的驗證方式與普通 Schnorr 簽名完全相同：

驗證：s × G = R + e × K

安全性證明與分析

MuSig2 的安全性基於幾個核心密碼學假設：

第一個假設是離散對數假設。假設在 secp256k1 曲線上，計算離散對數問題是困難的。也就是說，給定點 G 和點 Q = d × G，無法在多項式時間內計算出 d。

第二個假設是隨機預言機模型。Hash 函數被建模為隨機預言機，其輸出對攻擊者來說是隨機且不可預測的。

第三個假設是應有的安全證明。根據 MuSig2 論文（Maximov, Nikolić, Ristic, 2020），協議在選擇訊息攻擊下是存在不可偽造（EUF-CMA）安全的，假設上述密碼學假設成立。

比特幣中的實際應用場景

Taproot 與 MuSig2 的整合

比特幣的 Taproot 升級（BIP-341）原生支援 Schnorr 簽名，這使得 MuSig2 可以直接應用於比特幣網路。在 Taproot 中，MuSig2 主要用於以下場景：

首先是多簽名錢包。2-of-3、3-of-5 等多簽名配置可以使用 MuSig2 實現，所有簽名聚合後在鏈上看起來與普通單簽名無異。

其次是閾值簽名。MuSig2 自然支援 m-of-n 的閾值配置，例如 2-of-5 意味著五個參與者中任意兩個可以授權交易。

第三是遺產規劃。家庭成員或遺產執行者可以使用 MuSig2 配置，使得資金在特定條件下（如時間鎖或多方同意）才能動用。

P2TR 地址的 MuSig2 配置

使用 MuSig2 生成 Taproot（P2TR）地址的流程如下：

# 概念性的 Python 實現（實際需要 secp256k1 庫）

import hashlib

def compute_keyagg_coefficient(L: bytes, pubkey: bytes) -> int:
    """計算聚合係數"""
    data = L + pubkey
    h = hashlib.sha256(data).digest()
    return int.from_bytes(h, 'big') % curve_order

def aggregate_public_keys(public_keys: list) -> tuple:
    """
    聚合多個公鑰
    返回: (聚合公鑰, L)
    """
    # 計算 L
    L_data = b''.join(sorted(public_keys))
    L = hashlib.sha256(L_data).digest()

    # 計算每個公鑰的係數並聚合
    agg_pubkey = point_at_infinity()  # 單位元

    for pubkey in public_keys:
        coeff = compute_keyagg_coefficient(L, pubkey)
        agg_pubkey = point_add(agg_pubkey, scalar_mul(coeff, pubkey))

    return agg_pubkey, L

def create_taproot_address(aggregated_pubkey: bytes) -> str:
    """
    從聚合公鑰創建 Taproot 地址
    """
    # 計算 taproot tweak
    tap_tweak = hashlib.sha256(
        hashlib.sha256(aggregated_pubkey).digest()  # MAST root (空)
    ).digest()

    # 應用 tweak: output_key = internal_key + G * tweak
    tweak_scalar = int.from_bytes(tap_tweak, 'big') % curve_order
    tweaked_pubkey = point_add(
        aggregated_pubkey,
        scalar_mul(tweak_scalar, curve_generator)
    )

    # bech32m 編碼
    return bech32_encode("bc", 1, tweaked_pubkey)

閃電網路中的 MuSig2

閃電網路是比特幣的第二層擴展解決方案，其核心是支付通道。Taproot 升級為閃電網路帶來了顯著改進，MuSig2 在以下方面發揮作用：

首先是更高效的通道建立。Taproot 通道使用 MuSig2 實現多方簽名，單筆交易即可建立多個通道，降低了鏈上費用。

其次是 PTLC（Point Time Locked Contract）。相較於傳統的 HTLC，PTLC 使用 MuSig2 實現更強的隱私保護，每個支付的路由節點只能看到隨機點，無法確定最終收款人。

第三是合作式關閉。通道的雙方可以使用 MuSig2 進行合作式關閉，產生的交易與普通付款無異，提供了額外的隱私保護。

實作細節與最佳實踐

安全的 Nonce 管理

Nonce 管理是 MuSig2 實作中最關鍵也最容易出錯的部分。錯誤的 nonce 處理可能導致完全的金鑰洩漏，這是所有密碼學系統中最嚴重的安全漏洞。

Nonce 重用會導致災難性後果。假設兩個不同的消息 m 和 m' 使用了相同的 nonce r，那麼攻擊者可以直接計算出私鑰：

s = r + e × d
s' = r + e' × d

s - s' = (e - e') × d
d = (s - s') × (e - e')⁻¹ (mod n)

這意味著一旦發現 nonce 重用，私鑰將完全暴露。因此，必須確保每次簽名會話都使用全新的、密碼學安全的隨機 nonce。

nonce 生成的最佳實踐包括：使用作業系統的密碼學安全隨機數生成器（CSPRNG）；nonce 必須與特定簽名會話綁定，包括消息內容和所有參與者的公鑰；在多輪簽名過程中，nonce 必須在收到所有其他參與者的 nonce 後才能確定；使用固定的 nonce 預計算可以優化效能，但需要極其小心地確保正確性。

實際部署架構

在生產環境中部署 MuSig2 需要考慮以下架構要素：

參與者通訊：所有參與者需要建立安全的通訊通道。這可以是直接的點對點連接，也可以使用訊息队列或專門的簽名服務。通訊協議應該支援非同步操作，因為參與者可能位於不同的時區或網路環境中。

狀態管理：每次簽名會話都需要維護狀態，包括：會話 ID 和關聯的元數據；所有參與者的公鑰列表；各自的 nonce 和聚合後的 nonce；當前的簽名階段。

金鑰存儲：私鑰應該存儲在安全硬體中（如 HSM 或硬體錢包），並且永遠不應該離開安全環境。簽名過程應該在安全硬體中執行，僅輸出最終的簽名部分。

錯誤處理：協議應該處理各種故障場景，包括：網路中斷、參與者離線、超時、無效的公鑰或簽名數據。

驗證與測試

在部署 MuSig2 實作之前，必須進行全面的測試：

首先是標準測試向量驗證。使用已發布的標準測試向量驗證實現的正確性，確保與其他實現的互操作性。

其次是邊界條件測試。測試各種邊界條件，包括：最小和最大數量的參與者；各種閾值配置；邊界值的處理（如接近曲線階的數值）。

第三是故障注入測試。模擬各種故障場景，確保系統正確處理：網路延遲和丟包；參與者離線和重新連接；無效或惡意的輸入數據。

第四是形式化驗證。有條件的團隊應該考慮使用形式化方法驗證協議實現的正確性，這可以發現傳統測試無法發現的微妙錯誤。

安全性考量與常見錯誤

必須避免的錯誤

在 MuSig2 實作中，以下錯誤是致命的，必須不惜一切代價避免：

第一個致命錯誤是 nonce 重用。每次簽名會話必須使用唯一的 nonce。實現應該記錄已使用的 nonce 組合（消息、會話、公鑰），並在重複使用時拒絕簽名。

第二個致命錯誤是私鑰暴露。私鑰應該始終保持在隔離環境中，簽名操作不應該導致私鑰離開安全存儲。

第三個致命錯誤是缺乏輸入驗證。所有來自網路的輸入（公鑰、nonce、簽名部分）都必須經過嚴格驗證，否則可能遭受各種攻擊。

第四個致命錯誤是時間側通道攻擊。簽名驗證的實現必須是時間安全的，不應該通過執行時間洩漏密鑰信息。

攻擊向量分析

了解可能的攻擊向量對於設計安全的 MuSig2 系統至關重要：

盜取金鑰攻擊：如果攻擊者控制了 n-1 個參與者，理論上可以嘗試迫使最後一個參與者簽名有害消息。MuSig2 通過讓每個參與者驗證最終簽名來防止這種攻擊，確保沒有任何單方可以綁架簽名過程。

偽造簽名攻擊：在沒有足夠有效部分簽名的情況下，攻擊者無法生成有效的聚合簽名。協議的安全性基於離散對數問題的困難性。

中間人攻擊：如果通訊通道不安全，攻擊者可能攔截並修改消息。所有重要的通訊應該使用 TLS 或其他加密通道。

Replay 攻擊：已使用的簽名 nonce 不應該被重用於不同的簽名會話。實現應該維護 nonce 使用記錄。

與其他方案的比較

MuSig2 vs 傳統 P2MULTISIG

傳統的比特幣多簽名使用 OP_CHECKMULTISIG 操作碼，要求在解鎖腳本中提供多個公鑰和對應的簽名。與 MuSig2 相比，傳統方案的主要缺點是：

隱私性差：區塊鏈上清楚顯示所有參與者的公鑰和數量；費用較高：每個額外簽名都需要額外的區塊空間；靈活性低：無法實現複雜的閾值邏輯。

MuSig2 解決了所有這些問題，提供了更好的隱私性、更低的費用和更高的靈活性。

MuSig2 vs MuSig1

MuSig1 是 MuSig2 的前身，需要三輪互動才能完成簽名：

第一輪：所有參與者交換公鑰；第二輪：所有參與者交換 nonce；第三輪：所有參與者交換部分簽名並生成最終簽名。

MuSig2 通過允許 nonce 預計算將第二和第三輪合併，實現了兩輪協議：

第一輪：交換公鑰（可選，預先共享）；第二輪：交換 nonce 和部分簽名。

這使得 MuSig2 更適合實際部署，減少了通訊延遲和失敗點。

MuSig2 vs BLS 簽名

BLS（Boneh-Lynn-Shacham）簽名是另一種支持簽名聚合的方案，與 MuSig2 相比：

BLS 的優勢在於單輪簽名：簽名者可以獨立生成簽名，無需多輪互動；固定大小的簽名：BLS 簽名始終是固定大小的，與簽名者數量無關。

MuSig2 的優勢在於：更簡單的安全假設：BLS 需要更強的密碼學假設；更好的比特幣兼容性：原生支援 Schnorr 簽名的比特幣升級；更少的計算開銷：BLS 的配對運算開銷較大。

未來發展與改進

MuSig2 + Taproot Assets

Taproot Assets（之前的 Taro）是比特幣上發行資產的協議，預計將大量使用 MuSig2 來實現資產的多簽名控制。

閾值 MuSig2

標準的 MuSig2 實現的是「全部或無」的簽名模式（n-of-n）。閾值 MuSig2 將允許 m-of-n 的配置，這需要額外的密碼學機制來實現。

硬體錢包支援

主流硬體錢包（如 Ledger 和 Trezor）正在增加對 MuSig2 的支援，這將使普通用戶也能夠安全地使用多簽名功能。

常見問題解答

Q：MuSig2 和 Taproot 有什麼關係？

A：MuSig2 是實現 Taproot 隱私特性的關鍵技術。Taproot 允許將複雜的腳本條件與簡單的密鑰路徑結合，而 MuSig2 提供了高效的密鑰聚合，使得多方可以共同控制一個 Taproot 地址。

Q：MuSig2 是否需要所有參與者在線？

A：不完全是。雖然協議的某些版本需要所有參與者同時在線來交換 nonce，但通過預計算和non-interactive 的設計，可以實現非同步簽名。然而，至少需要 m 個參與者（滿足閾值要求）在簽名時可用。

Q：MuSig2 的安全性是否經過充分審計？

A：MuSig2 的論文經過了學術同儕審查，並且基於比特幣核心團隊使用的 libsecp256k1 庫實現。該庫已經過多個安全審計。

Q：如果一個參與者失去私鑰怎麼辦？

A：這取決於配置。在標準備份方案中，如果配置是 2-of-3，需要至少兩個參與者才能簽名。如果一個私鑰丟失，可以使用其他兩個私鑰移動資金。對於更複雜的配置，可能需要使用金鑰恢復機制。

Q：MuSig2 與比特幣的兼容性如何？

A：MuSig2 完全兼容比特幣的 Taproot 升級。任何支持 Taproot 的比特幣錢包都可以使用 MuSig2 創建的多簽名地址。

更新日期：2026-02-26

版本：1.0