2021年11月14日、ビットコインのブロック高709,632にてTaproot(タップルート)と呼ばれるソフトフォークが有効化されました。これはビットコインにとって2017年のSegWit以来最大規模のプロトコルアップグレードであり、プライバシー、スクリプト能力、手数料効率の三つの観点から大きな改善をもたらしました。本記事では、Taprootの技術的な背景から実際の活用事例まで、幅広く解説します。
Taprootアップグレードの背景と目的
ビットコインスクリプトの限界
ビットコインのトランザクションはScriptと呼ばれるプログラミング言語によって条件付けされています。最もシンプルなP2PKH(Pay to Public Key Hash)から、マルチシグ、タイムロック、ハッシュタイムロックコントラクト(HTLC)など、様々な支払い条件を表現できます。しかし従来の実装では、マルチシグや複雑なスクリプトを使用した場合、使用された条件の詳細がブロックチェーン上に公開されてしまいます。これはプライバシーの観点から問題があるだけでなく、複雑なスクリプトほどトランザクションサイズが大きくなり手数料が増加するという課題もありました。
Taprootが解決する問題
Taprootはこれらの課題に対して根本的なアプローチを提供します。主な革新点は三つあります。一つ目はSchnorr署名の導入による署名の集約とプライバシー向上。二つ目はMASTと呼ばれる仕組みによる未使用スクリプトの非公開化。三つ目はTaprootScript(旧Tapscript)による柔軟なスクリプト能力の拡張です。これらが組み合わさることで、複雑な支払い条件を持つトランザクションが、シンプルな単一署名トランザクションと見た目上区別できなくなります。
Schnorr署名の仕組みと革新性
従来のECDSA署名との違い
ビットコインはSegWitまでECDSA(楕円曲線デジタル署名アルゴリズム)を使用してきました。ECDSAは安全かつ実績のある署名方式ですが、線形性(linearity)を持たないという特性があります。これは、複数の署名を数学的に統合できないことを意味します。Schnorr署名は1980年代にClaus-Peter Schnorrが考案した署名方式で、線形性を持つためより簡潔かつ効率的な特性を持ちます。特許の問題からビットコインへの採用が遅れていましたが、特許期限切れにより採用が可能になりました。
MuSig2とキー集約
Schnorr署名の最大の利点の一つが「キー集約(Key Aggregation)」です。MuSig2と呼ばれるプロトコルを使用することで、複数の参加者の公開鍵を一つの集約公開鍵に統合できます。例えば、3-of-3マルチシグウォレットでは、従来は3つの公開鍵と3つの署名がブロックチェーンに記録されていました。MuSig2を使用すると、外部から見たときに通常の単一鍵・単一署名のトランザクションと区別がつかなくなります。これはプライバシーを大幅に向上させるとともに、トランザクションサイズと手数料の削減にも貢献します。
MAST(Merkelized Alternative Script Trees)の仕組み
MASの概念と利点
MAST(マークル木化代替スクリプトツリー)はビットコインのスクリプト能力を革新する重要な要素です。従来のビットコインスクリプトでは、P2SH(Pay to Script Hash)を使用した場合でも、コインを使用する際に完全なスクリプトを公開する必要がありました。MASを使用すると、複数の支払い条件(スクリプト)をマークルツリーと呼ばれるデータ構造に格納し、実際に使用した条件のみを公開することができます。未使用の条件はハッシュとして隠蔽されるため、プライバシーが向上します。
複雑なスマートコントラクトへの応用
MASの恩恵は特に複雑なスマートコントラクトで顕著です。例えば、「通常は2-of-2マルチシグ、15ブロック後は単独署名、30日後はさらに別の条件」というような複雑な回復メカニズムを持つウォレットを構築できます。通常の使用ケース(2-of-2マルチシグ)では、他の条件を一切公開せずにトランザクションを実行できます。これにより、複雑な条件を持つウォレットのプライバシーと効率性が両立されます。Lightning Networkのチャネル管理やDLC(Discreet Log Contract)などの応用でも大きな恩恵をもたらします。
Taprootアドレスとその識別方法
bech32mアドレスフォーマット
Taprootアドレスはbech32m(ベック32エム)と呼ばれる新しいアドレスフォーマットを採用しています。従来のSegWitアドレス(bech32)と比較して、より堅牢なエラー検出能力を持ちます。Taprootアドレスは「bc1p」で始まり、SegWitのbech32アドレス(「bc1q」で始まる)と視覚的に区別できます。ウォレットソフトウェアは対応するアドレスタイプを正しくサポートする必要があり、古いウォレットではTaprootアドレスへの送金ができない場合があります。現在では主要なウォレットの多くがTaprootに対応しています。
P2TR(Pay to Taproot)の構造
TaprootはP2TR(Pay to Taproot)と呼ばれる新しい支払いタイプとして実装されています。P2TRアドレスは「tweaked public key(調整された公開鍵)」と呼ばれる特殊な公開鍵で構成されています。この公開鍵は、内部公開鍵とスクリプトツリー全体をコミットするハッシュから生成されます。コインを使用する際は、「key path spend(鍵パス使用)」または「script path spend(スクリプトパス使用)」の二つの方法があります。スクリプトパスが不要な場合はキーパスを使用することで、よりシンプルかつプライバシーの高いトランザクションが実現します。
Taprootがビットコインのプライバシーに与える影響
通常払いとマルチシグの見た目の統一
Taprootの導入前、マルチシグトランザクションはブロックチェーン上で容易に識別できました。必要な署名数や公開鍵の数が明示されていたため、チェーン分析者はマルチシグウォレットの使用を特定し、ユーザーの行動パターンを分析できました。Taprootとキーパス使用を組み合わせることで、2-of-2マルチシグも3-of-5マルチシグも、通常の単一署名支払いと区別がつかなくなります。これはビットコインのホモジニティ(均一性)を高め、個々のトランザクションを識別することを難しくします。
Lightning Networkチャネルのプライバシー向上
Lightning NetworkはTaprootの恩恵を大きく受ける技術の一つです。従来のライトニングチャネルはマルチシグを使用しており、チャネルの開設・閉鎖トランザクションがブロックチェーン上で識別可能でした。Taproot対応のライトニングチャネル(Simple Taproot Channels)では、チャネルのオープン・クローズトランザクションが通常のP2TRトランザクションとして記録されます。チャネルの不正閉鎖(ペナルティ条件)などの複雑なスクリプトも、実際に使用されない限り公開されません。これによりライトニングを使用する事実自体が外部から分かりにくくなります。
Taprootの採用状況と課題
ウォレットとサービスの対応状況
2021年11月の有効化から時間が経過するにつれ、TaprootのエコシステムへのUpgradeは着実に進んでいます。Bitcoin Core、Electrum、Sparrow Wallet、Ledger、Trezorなどの主要ウォレットがTaprootをサポートしています。取引所では、Bitstamp、Kraken、Binanceなどが対応しています。しかし、Taprootによるプライバシー向上効果を最大化するには、エコシステム全体でのTaproot採用率が重要です。多くのトランザクションがTaprootを使用することで、個々のTaprootトランザクションが目立たなくなります。
CrossInputSignatureAggregation(CISA)への展望
Taprootの次のステップとして、Cross-Input Signature Aggregation(CISA)が議論されています。CISAはSchnorr署名の線形性をさらに活用し、一つのトランザクション内の複数のインプットの署名を一つに集約する技術です。これにより、CoinJoinトランザクションの手数料が大幅に削減され、プライバシー技術の経済的インセンティブが向上します。CISAはビットコインへのさらなるソフトフォークを必要とするため、実現には広範なコミュニティの合意が必要です。しかし、多くの開発者がその価値を認めており、将来的な実装が期待されています。
TaprootとDLC(Discreet Log Contract)
DLCの基本概念
DLC(Discreet Log Contract)はThaddeus Dryjが提案したビットコイン上のスマートコントラクト技術です。オラクル(外部情報源)の情報をビットコインのスクリプトと統合することで、価格予測、スポーツ賭博、保険などのユースケースをビットコイン上で実現できます。従来のDLC実装では複雑なスクリプトがブロックチェーン上に露出していましたが、Taprootを活用することで、DLCのセットアップトランザクションと通常の2-of-2マルチシグを区別することが難しくなります。
Taprootによるプライバシー強化DLC
Taproot対応DLCでは、様々な結果(アウトカム)に対応するスクリプトをMASTに格納します。実際に発生した結果のスクリプトのみを公開すればよく、他の可能性はハッシュとして隠蔽されます。さらに、正常な合意解決の場合はキーパスを使用することで、DLC契約の存在自体をブロックチェーン上で隠蔽できます。これにより、ユーザーがDLCを活用した金融契約を締結している事実が外部に露出しにくくなります。
Taprootの実装における注意点
ウォレットのバックアップとリカバリー
Taprootウォレットを使用する際には、バックアップ手法に注意が必要です。従来のHD(Hierarchical Deterministic)ウォレットではニーモニックフレーズによるバックアップが一般的でしたが、Taprootウォレットでは複雑なスクリプト条件もバックアップする必要があります。特にMASを使用したマルチシグや複雑なスクリプト構成では、スクリプトの詳細情報(descriptor)も保存しておかないと、コインを回収できなくなるリスクがあります。Output Script Descriptor(アウトプットスクリプトデスクリプター)の管理が重要になります。
互換性とアップグレードの注意事項
Taprootに対応していない古いウォレットやサービスからTaprootアドレスへの送金を行う際は注意が必要です。古いソフトウェアはTaprootアドレスを認識できず、エラーが発生する場合があります。また、ハードウェアウォレットのファームウェアアップデートが必要な場合もあります。Taprootを最大限活用するには、使用するウォレット、取引所、その他サービスが最新の状態であることを確認してください。自己管理型ウォレットを使用している場合は特に、バージョン管理と互換性確認が重要です。
まとめ
Taprootは2021年11月にビットコインへ有効化された、プライバシー・効率性・スクリプト能力を大幅に向上させるアップグレードです。Schnorr署名によるキー集約、MASTによる未使用スクリプトの非公開化、TaprootScriptによる柔軟な条件表現が組み合わさることで、複雑な支払い条件を持つトランザクションが通常のシンプルな支払いと区別できなくなります。Lightning Networkチャネル、DLC、マルチシグウォレットなど多くのユースケースでプライバシーと効率性が向上します。CISAなど次世代技術との組み合わせにより、ビットコインのプライバシーはさらなる進化が期待されます。
よくある質問
TaprootはSegWitとどう違いますか?
SegWitは主にトランザクションマリアビリティ(改ざん可能性)の問題を解決し、ブロックの容量効率を改善することを目的としていました。Taprootはその上に構築され、Schnorr署名、MAST、新しいスクリプト能力などを追加することでプライバシーとスクリプトの柔軟性を大幅に向上させます。両者は互いに補完的な関係にあります。
Taprootを使うとトランザクション手数料は変わりますか?
Taprootを使用することで、特にマルチシグや複雑なスクリプトを使う場合に手数料が削減される傾向があります。Schnorr署名はECDSAより若干コンパクトであり、MASにより未使用スクリプトをチェーンに記録する必要がなくなるためです。ただし、シンプルな単一署名トランザクションではその差は小さいです。
Taprootはビットコインをイーサリアムのようにしますか?
TaprootはビットコインにDeFi(分散型金融)エコシステムをそのまま持ち込むものではありません。Taprootはビットコインの既存のスクリプト言語を拡張し、プライバシーと効率性を高めますが、イーサリアムのようにチューリング完全なプログラミング環境を提供するわけではありません。ビットコインは「シンプルな価値の保存と移転」を基本コンセプトとしており、Taprootもその延長線上にあります。
※本記事は情報提供を目的としており、投資を推奨するものではありません。暗号資産への投資は元本割れのリスクがあります。投資判断はご自身の責任で行ってください。
