Una desventaja de un esquema de firmas múltiples HD en comparación con un esquema de secreto compartido de Shamir es la necesidad de hacer una copia de seguridad de las claves xpub. No hay una codificación similar a BIP39 para xpubs, son largos y sensibles, por lo que no puede distribuirlos ampliamente para contrarrestar el riesgo de pérdida.
¿Existe un esquema M-de-N (M < N) de firma múltiple que solo necesita M claves privadas, lo que simplifica considerablemente la copia de seguridad (y la restauración)?
En mi comprensión muy rudimentaria de Taproot, puede encadenar de manera eficiente múltiples scripts. ¿Funcionaría reducir un esquema M-de-N a un conjunto de esquemas M-de-M combinados con OR? Por ejemplo, dividir un 2 de 3 con las teclas A, B, C en un script que acepte (A Y B) O (A Y C) O (B Y C)?
¿Existe un esquema de firma múltiple que solo necesita las claves privadas, lo que simplifica considerablemente la copia de seguridad (y la restauración)?
Sí, el esquema 2 de 2 .
El 2 de 2 está muy subestimado en el contexto del almacenamiento en frío.
Obviamente, no se puede perder ninguna clave, pero eso se puede administrar con copias de seguridad de múltiples ubicaciones.
Una desventaja de un esquema de firmas múltiples en comparación con el esquema secreto compartido de Shamir es la necesidad de hacer una copia de seguridad de las claves xpub.
Si no desea hacer una copia de seguridad del xpub (o xpriv), puede hacer una copia de seguridad de las claves privadas individuales utilizadas en el multisig e ignorar el hecho de que se generaron como parte de un árbol HD (si es que lo fueron). Para gastar de un multigrado 2 de 3, necesitará las 3 claves privadas o 2 claves privadas y una clave pública no asociada con las 2 claves privadas.
En mi comprensión muy rudimentaria de Taproot, puede encadenar de manera eficiente múltiples scripts. ¿Funcionaría reducir un esquema M-de-N a un conjunto de esquemas M-de-M combinados con OR? Por ejemplo, dividir un 2 de 3 con las teclas A, B, C en un script que acepte (A Y B) O (A Y C) O (B Y C)?
Puedes hacer lo que describes con Taproot. Murch ha escrito una publicación de blog sobre cómo hacer esto. Si desea gastar usando A y C y está en la ruta del script (en lugar de la ruta clave), deberá demostrar que está en el árbol Taproot. Por lo tanto, necesitará más que solo las claves privadas de A y C, por lo que no creo que cumpla con su deseo de almacenar solo un mnemotécnico BIP 39.