Immagina di dover firmare un documento importante. Con il sistema attuale, ogni persona che firma deve aggiungere la propria firma fisica su carta, rendendo il documento sempre più grande e visibile a tutti. Ora immagina un nuovo metodo dove dieci persone possono combinare le loro firme in una singola impronta digitale compatta. Questo è esattamente ciò che sta accadendo nella crittografia di Bitcoin, la valuta digitale decentralizzata più diffusa al mondo.
Per anni, Bitcoin ha utilizzato un algoritmo chiamato ECDSA, Elliptic Curve Digital Signature Algorithm, lo standard per le firme digitali dal 2009. Era affidabile, ma ingombrante. Nel novembre 2021, con l'aggiornamento Taproot, la rete ha adottato ufficialmente le firme Schnorr, un protocollo di firma digitale più efficiente introdotto da Claus-Peter Schnorr negli anni '80. Ma perché questo cambiamento tecnico dovrebbe interessarti? La risposta breve è: privacy, velocità e costi inferiori.
Cosa cambia realmente tra ECDSA e Schnorr?
La differenza fondamentale risiede nella matematica sottostante. L'ECDSA utilizza equazioni non lineari, il che significa che i calcoli sono complessi e difficili da ottimizzare. Le firme Schnorr, invece, si basano su equazioni lineari. Sembra un dettaglio tecnico, ma ha conseguenze pratiche enormi.
Pensa alla linearità come alla capacità di sommare numeri interi. Se vuoi combinare due firme ECDSA, non puoi semplicemente aggiungerle insieme; dovresti usare metodi complicati che aumentano la dimensione della transazione. Con Schnorr, puoi aggregare le firme. Questa proprietà matematica permette di ridurre drasticamente lo spazio occupato sui blocchi della blockchain.
| Caratteristica | ECDSA (Vecchio Standard) | Firme Schnorr (Taproot) |
|---|---|---|
| Dimensione Firma | 70-72 byte (variabile) | 64 byte (fissa) |
| Chiave Pubblica | 33 byte | 32 byte |
| Aggregazione Chiavi | No (richiede workaround complessi) | Sì (via MuSig) |
| Malleabilità | Vulnerabile (senza patch extra) | Non malleabile per natura |
| Velocità Verifica | Standard | ~15% più veloce |
Il potere dell'aggregazione: MuSig e le Multisig
Uno dei vantaggi più trasformativi delle firme Schnorr è il supporto nativo all'aggregazione delle chiavi attraverso protocolli come MuSig, protocollo crittografico che permette di aggregare multiple chiavi pubbliche in una singola chiave.. Prima di Schnorr, se volevi creare un portafoglio multi-firma (multisig) dove, ad esempio, 2 persone su 3 devono approvare una spesa, la transazione risultava enorme e facilmente riconoscibile come multisig.
Con Schnorr e MuSig, quelle tre persone possono combinare le loro chiavi in una sola. Quando firmano, producono una singola firma valida. Per un osservatore esterno sulla blockchain, quella transazione appare identica a una semplice transazione singola firmata da una sola persona. Questo migliora la privacy in modo significativo.
Considera un'azienda che usa un portafoglio aziendale. Invece di esporre pubblicamente che ci sono cinque amministratori che devono approvarne uno per spendere fondi, la transazione sembra provenire da un'unica entità. Non solo riduci le dimensioni della transazione (risparmiando commissioni), ma nascondi anche la struttura interna del tuo team decisionale.
Privacy migliorata grazie a Taproot
L'aggiornamento Taproot, soft fork di Bitcoin attivato nel 2021 che introduce le firme Schnorr e i contratti intelligenti semplici. non ha portato solo Schnorr, ma ha cambiato come le condizioni di spesa vengono visualizzate sulla blockchain. In passato, se usavi uno script complesso (come "pagami solo se fornisci questa password" o "pagami dopo questa data"), tutto il codice dello script era visibile pubblicamente quando la condizione veniva soddisfatta.
Ora, grazie alla combinazione di Schnorr e Merkleized Alternative Payment Scripts (MASC), puoi nascondere queste condizioni complesse dentro una singola chiave pubblica. Se paghi normalmente, nessuno sa che esistevano alternative complesse. Solo se devi attivare una condizione speciale (ad esempio, recuperare fondi persi), riveli la prova specifica. Per la stragrande maggioranza delle transazioni, la blockchain vede solo una firma semplice e pulita.
Sicurezza e resistenza agli attacchi
Entrambi gli schemi, ECDSA e Schnorr, si basano sul problema del logaritmo discreto sulle curve ellittiche. Questo significa che, teoricamente, offrono lo stesso livello di sicurezza contro attacchi computazionali diretti. Tuttavia, Schnorr ha vantaggi pratici nella robustezza implementativa.
Le firme ECDSA sono soggette a malleabilità. Un attaccante può modificare una firma valida in modo che rimanga valida per la stessa transazione, ma cambi l'indirizzo di destinazione o altri dettagli, creando confusione nello stato della blockchain. Questo problema ha causato problemi storici, come il caso Mt. Gox. Le firme Schnorr sono intrinsecamente non malleabili. Una volta firmata, la firma è unica e immutabile senza bisogno di patch aggiuntive.
Inoltre, la semplicità matematica di Schnorr riduce il rischio di errori di implementazione. Meno codice complesso significa meno bug potenziali. Gli sviluppatori riportano casi limite significativamente minori quando scrivono librerie di verifica per Schnorr rispetto a ECDSA.
Perché Bitcoin ha usato ECDSA fino al 2021?
Se Schnorr è meglio, perché aspettare? La ragione principale erano i brevetti. Claus-Peter Schnorr ha brevettato il suo algoritmo negli anni '80. Per decenni, questi brevetti hanno impedito l'adozione libera e open-source su larga scala, specialmente in progetti come Bitcoin che vogliono evitare rischi legali. L'ECDSA fu creato parzialmente come alternativa libera da brevetti allo standard DSA (Digital Signature Algorithm), che a sua volta era influenzato dai brevetti di Schnorr.
Solo dopo la scadenza dei brevetti principali, gli sviluppatori di Bitcoin hanno potuto valutare seriamente l'implementazione di Schnorr tramite la BIP-340. Il percorso è stato lungo, richiedendo anni di dibattito sulla comunità per garantire che l'aggiornamento non introducesse vulnerabilità di consenso.
Impatto sulle commissioni e scalabilità
Lo spazio nei blocchi di Bitcoin è limitato (1 MB base, espandibile con SegWit). Ogni byte conta. Ridurre la dimensione di una firma da 72 byte a 64 byte sembra poco, ma moltiplicato per milioni di transazioni, il risparmio è enorme. Ancora più importante, l'aggregazione delle firme significa che una transazione multisignatura complessa occupa lo stesso spazio di una transazione semplice.
Questo favorisce direttamente la scalabilità. Più transazioni possono entrare in ogni blocco, riducendo la congestione della mempool (la coda delle transazioni in attesa). Di conseguenza, le commissioni medie tendono a stabilizzarsi o diminuire durante picchi di attività, specialmente per utenti che utilizzano funzionalità avanzate come i portafogli condivisi o i canali Lightning Network.
Come prepararsi per l'era post-ECDSA
Se sei un utente comune, probabilmente non devi fare nulla subito. La maggior parte dei moderni portafogli software (come BlueWallet, Sparrow Wallet o Ledger Live) supportano già nativamente le firme Schnorr e gli indirizzi Taproot (che iniziano con 'bc1p').
Tuttavia, è consigliabile verificare che il tuo portafoglio generi nuovi indirizzi compatibili con Taproot. Gli vecchi indirizzi legacy (iniziante con '1') o SegWit-native (iniziante con 'bc1q') continuano a funzionare, ma non beneficiano delle nuove efficienze. Migrare gradualmente i tuoi fondi verso indirizzi bc1p ti garantisce di sfruttare appieno i vantaggi di privacy e riduzione delle commissioni offerti dalle firme Schnorr.
Per gli sviluppatori, integrare librerie come libsecp256k1 aggiornate alle specifiche BIP-340 è essenziale per costruire applicazioni future-proof. La transizione è graduale, ma la direzione è chiara: Schnorr è il presente e il futuro della sicurezza digitale su Bitcoin.
Le firme Schnorr rendono Bitcoin più sicuro?
Sì, indirettamente. Mentre la forza crittografica di base è simile a ECDSA, Schnorr elimina vulnerabilità note come la malleabilità delle firme e riduce i rischi di errori di implementazione grazie alla sua semplicità matematica. Inoltre, la migliore gestione dei nonce (numeri casuali usati nella firma) offre una maggiore resilienza contro certi attacchi side-channel.
Posso ancora usare i miei vecchi indirizzi Bitcoin?
Assolutamente sì. I vecchi indirizzi ECDSA continuano a essere validi e sicuri. Tuttavia, inviando fondi a nuovi indirizzi Taproot (che usano Schnorr), ottieni transazioni più piccole, private ed economiche. Non c'è obbligo immediato di migrare, ma è vantaggioso farlo nel tempo.
Cos'è MuSig e perché è importante?
MuSig è un protocollo che permette a più parti di combinare le loro chiavi pubbliche in una sola chiave aggregata. È importante perché rende le transazioni multisignatura indistinguibili da quelle singole sulla blockchain, migliorando drasticamente la privacy e riducendo le dimensioni della transazione, risparmiando così commissioni.
Le firme Schnorr funzionano anche su Lightning Network?
Sì, anzi, sono fondamentali. Lightning Network beneficia enormemente dall'aggregazione delle firme Schnorr, poiché ogni canale LN implica aggiornamenti frequenti dello stato. Firme più piccole e verifiche più veloci riducono il carico computazionale e migliorano l'efficienza generale della rete secondaria.
Quando saranno completamente rimosse le firme ECDSA?
Non ci sarà una rimozione forzata. ECDSA rimarrà supportato all'indietro per sempre per garantire la compatibilità con i vecchi fondi. Tuttavia, l'ecosistema si sposterà naturalmente verso Schnorr per i nuovi indirizzi e le nuove applicazioni a causa dei suoi vantaggi economici e di privacy.
