MASTの機能を実現するのに新しくBIP-98とBIP-116とBIP-117の3種類のBIPが提案されている。

BIP-116はスクリプトの条件分岐をフラットにしてMASTのマークツリーを構成した結果、スクリプトで実際に使用する条件（サブスクリプト）がそのマークルツリー内に含まれていることを検証するための新しいopcodeMERKLEBRANCHVERIFYを定義した↓

techmedia-think.hatenablog.com

BIP-98はそのMASTのマークツリーを構成する際に使用する効率的なハッシュ関数やマークルパスを指定する際のエンコード方法を新たに定義した↓

techmedia-think.hatenablog.com

最後のBIP-117は、MERKLEBRANCHVERIFYでマークルツリーへの包含が確認できたあと、実際に使用する条件（サブスクリプト）をスクリプトとして実行するためのプロトコルを定義している↓

https://github.com/bitcoin/bips/blob/master/bip-0117.mediawiki

概要

BIP16 (Pay to Script Hash)とBIP141 (Segregated Witness)は、そこにロックされたコインを使用する際にwitnessのデータの一部としてそのスクリプトの内容を公開するようになっている。どちらの場合も１つのスクリプトだけがコミットされる。これはこのBIPの目標を達成するのには便利だが、コインを使用する際に必要かどうかに関係なく全ての内容を１つのスクリプト内に記載する必要がある。

このBIPはBIP116(MERKLEBRANCHVERIFY)と組み合わせて、実質無制限の条件を持つスクリプトにコミットしつつ、コインを使用する際にその条件のうちコインのアンロックに使用する条件のみを公表するようにする。これにより複雑な条件分岐を持つスクリプトを分岐のないフラットな実行パスに分解し、可能なパスのセット全体にコミットし、使用するパスのみを明らかにする一般化されたMASTの形式を実現する。

動機

BIP16 (Pay to Script Hash)とBIP141 (Segregated Witness)は、ポリシーの公開を使用時まで遅延させることができる。しかしこれらのアプローチは、特定のトランザクションのアウトプットに対してコミットできるのは１つのポリシーのみという点で制限されている。複数のポリシーにコミットすることはできず、使用時にどちらを公開するか選択することはできない。

BIP116(MERKLEBRANCHVERIFY)は複数のデータ要素にコミットし、使用時に必要な要素のみを明らかにすることを可能にする。MERKLEBRANCHVERIFY opcodeは予め選択されたデータのセットに対してのみコミットを提供でき、コード自体を実行することはできない。

このBIPでは、redeem scriptがスタックにポリシースクリプトを配置するために必要なあらゆるタイプの計算を実行できるようにすることで、これら従来の方法のアプローチを一般化する。ポリシースクリプトは、BIP16やBIP141でredeem scriptがwitnessスタックの上から実行されるのと同じように、データスタックの先頭から実行される。特に、scriptPubkeyやredeem scriptでMERKLEBRANCHVERIFYを使うとコイン使用の検証に必要な条件のみを含むポリシースクリプトを選択することができる。これは、事前計算の段階でシンタックスツリーを実行可能なパスに分割し、それらを列挙してポリシースクリプトのマークルツリーハッシュにする一般化されたMASTの形式だ。ポリシースクリプトを実行する前に、コインの使用時に提供されたポリシースクリプトがこのツリーの一部であることは証明される。

仕様

スクリプトの実行が終了した際に

• 実行した状態がクリーンでない場合、つまり
  1. メインスタック上に複数の要素がある、もしくは
  2. メインスタックに１つの要素があり、アルトスタックが空でない
• メインスタックの一番上の要素がboolで解釈した際にtrueと評価される、かつ
• メインスタックの一番上の要素が1バイトでないか、0x51(OP_1)〜0x60(OP_16)の範囲外の場合

メインスタックの一番上の要素がポップされ、シリアライズされたスクリプトとして解釈され実行される。その際メインスタックとアルトスタックに残っている残りの要素はインプットとしてそのまま残る。

最後の１つを残して上記の条件を満たした場合以下のようになる。

• 一番上の要素は、0x51（OP_1つまりN=2）から0x60（OP_16つまりN=17）の範囲のシングルバイトである。

そして、

• メインスタック上の次のN-1の要素（メインスタック上の要素が全て使われていた場合はアルトスタック上で継続）は520バイトのプッシュで、
• 続くメインスタック上のN番目の要素（もしくはアルトスタック上）は1〜520バイトのデータ

となる。続いてメインスタック上の一番上の要素がドロップされ、N=2(0x51)〜N=17(0x60)の追加要素がメインスタックからポップされ（メインスタックの要素を全て使い果たした場合はアルトスタックで継続）、逆順でシリアライズされたスクリプトを形成し、両方のスタックの要素をそのインプットとしてスクリプトを実行する。

サブスクリプト内のCHECKSIGやCHECKMULTISIGはグローバルなMAX_BLOCK_SIGOPS_COST制限にカウントされず、サブスクリプトで実行される非プッシュopcodeの数はMAX_OPS_PER_SCRIPTで制限されない。上記の例外を除いて、実行状態はサブスクリプトに引き継がれ、サブスクリプトの終了(terminate)はスクリプト全体の実行の終了(terminate)になる。これはtail-callセマンティクスによる実行と呼ばれる。

このようなサブスクリプトのtail-callはスクリプトの実行コンテキスト毎に１つだけ許可され、かつsegwitのredeem script内からのみ許可される。その他のwitnessスタックの評価やscriptPubkeyやscriptSig、P2SHのredeem scriptの実行の際にtail-callセマンティクスが実行されることはない。

論拠

現状、スクリプトを実行した結果スタック上にシリアライズしたスクリプトが残っているとデータ的にはtrueであると評価されスクリプトの検証結果はtrueになる。そのためこのBIPはこのBitcoinのコンセンサスルールを変更するソフトフォークの提案である。サブスクリプトに実行終了の機会を与えるのは、検証ルールをさらに制約することに過ぎない。唯一falseと評価されるスクリプトは空のスクリプト、もしくはスタックに空/ゼロをプッシュするだけのスクリプトだ。これらのスクリプトにはいずれも現実的な効用はないので、ソフトフォークの互換性のためそれらを除外しても欠点はない。

より一般的なEVAL opcodeではなくtail-callの評価に限定することで、実装を大幅に簡略化する。tail-callセマンティクスとは実行結果が呼び出し元のスクリプトのコンテキストに戻らないこと意味し、このため状態を保存したり後で復元する必要もない。実装は本当にシンプルで、スタックからサブスクリプトを引っ張り出して、いくつかの状態変数をリセットし、スクリプトインタプリタの先頭にジャンプバックするだけである。

tail-callの再帰を1レイヤーのみ許可するという制限はあるが、マルチレイヤーにおけるtail-callの再帰をサポートする技術的課題は重要だ。スクリプトデータの使用状況を追跡するためには、トランザクションデータとwitnessサイズの2つファクターについて新しいメトリックを開発する必要がある。この新しいweightは、トランザクションを使って中継され、手数料計算のベースとして使用され、トランザクションの実行でインラインで検証され、違反するトランザクションを伝搬するDoS禁止ピアの方針を決定する。

ただこれらの問題を克服する場合、単一の再帰の制約を解除すること自体もソフトフォークが必要になる。tail-callの再帰を１レイヤーのみ許可することで、マルチポリシーコミットメント/一般化したMASTの主な利点を享受できるが、いつか必要な変更がリソースアカウンティングとP2Pのトランザクションの配布に行われた場合の将来の一般化されたtail-call再帰への道は残る。

グローバルSIGOP制限やスクリプト単位のopcode制限はポリシースクリプトには適用されない。これはポリシースクリプトを動的に選択すると一般的に静的解析ツールでこれらの制限を検証することができなくなり、libsecp256k1やBitcoin Coreのパフォーマンスが向上したためこれらの制限は必要なくなった（また検証は一度だけ行えばいい）。検証コストはブロックサイズの制限内でエンコード可能な署名操作の数によって依然として制限されており、インプット単位のスクリプトサイズもまだ10,000バイト以下と制限されている。

これらのグローバルやスクリプト単位の制限を外すため、scriptPubKeyで直接tail-callの評価を実行することは許可されておらず、そういったスクリプトはUTXOからフェッチされ検証されるブロックのブロックサイズの制限にはカウントされない。同様にP2SHのredeem scriptのtail-callも、segwitで修正された二次的な脆弱性のためサポートされない。

汎用的なMAST

tail-callをBIP116 (MERKLEBRANCHVERIFY)と組み合わせると汎用的なMASTの機能を利用できるようになる。スクリプトの作成者はまず使用時に検証する完全なコントラクトの記述から始める。記述したコントラクトの条件分岐を条件の検証とブランチに置き換え、スクリプトを実行する際に通る可能性があるパスを列挙する。実行可能性のあるパスのリストはマークルツリーに入れられ、フラット化されたポリシースクリプトがこのツリーのリーフになる。最後に、資金を送金するredeem scriptは以下のようになる。

redeemScript: <root> 2 MERKLEBRANCHVERIFY 2DROP DROP
witness: <argN> ... <arg1> <policyScript> <proof>

policyScriptがフラット化されたポリシースクリプトで、proofはシリアライズされたマークルブランチとパスでpolicyScriptがマークルツリーrootを構成するのに使われセットの一部であることを証明する。arg1〜argNはpolicyScriptが必要とする引数。2は１つのリーフ（1 << 1）が続き、リーフの値が事前にハッシュされていないことを示す。2DROP DROPはMERKLEBRANCHVERIFYの検証を終えた際にその検証に必要だった引数をスタックから削除するのに使われる。

上の例は分かりやすくするために設計されているが、実際はsegwit v0スクリプト実行の際のCLEANSTACKルールに違反している。CLEANSTACKルールが新しいsegwitのアウトプットバージョンで削除もしくは変更されない限り、以下のようにアルトスタックを使用する形にスクリプトを変更する必要がある。

redeemScript: [TOALTSTACK]*N <root> 2 MERKLEBRANCHVERIFY 2DROP DROP
witness: <policyScript> <proof> <arg1> ... <argN>

[TOALTSTACK]*NはTOALTSTACKopcodeがN回繰り返されたことを意味する。これはarg1〜argNをアルトスタックに逆順で移動させ、policyScriptが実行される時にarg1がアルトスタックの先頭に配置する。当然policyScriptもアルトスタックから引数をフェッチするよう変更する必要がある。

ポリシースクリプトのセットの中にさまざまなパラメータ数をとるスクリプトが含まれている場合、合理的な範囲内でサポートすることができる。以下のredeem scriptではポリシースクリプトとマークルプルーフに加え1〜3個のwitness引数を指定できる。

 witness: <policyScript> <proof> <arg1> ... <argN> // N は1〜3
redeemScript: DEPTH TOALTSTACK                    // witness要素の数をアウトスタックに保存
              TOALTSTACK                          // 最初の必須要素をアルトスタックに保存
              DEPTH 2 SUB                         // policyScriptとプルーフを無視して、オプションの数を計算
              DUP IF SWAP TOALTSTACK 1SUB ENDIF   // もし引数の要素が現れたら、オプションの2つ目の要素としてアウトスタックに保存
              IF TOALTSTACK ENDIF                 // もし引数の要素が現れたら、オプションの3つ目の要素としてアウトスタックに保存
              <root> 2 MERKLEBRANCHVERIFY 2DROP DROP
alt-stack: <N+2> <argN> ... <arg1>

witness要素の数がアルトスタックにプッシュされるため、アルトスタックが通常のスクリプトにアクセスできない場合でも、ポリシースクリプトは渡された引数の数を検証できる。上記のredeem scriptを使用する以下のポリシースクリプトは、アルトスタック上の2つのwitness 要素のみを受け入れ、witnessのmalleabilityを防ぐ。

policyScript: FROMALTSTACK ...check arg1... FROMALTSTACK ...check&consume arg2/arg1&2... FROMALTSTACK 4 EQUAL

数値4にはpolicyScriptとproofが含まれていると予想される。

上記の例のような冗長性は、全てのポリシーサブスクリプトのパラメータとして同じ数のwitness要素を使用し、条件及びスタックサイズ数を削除することで回避することができる。将来のスクリプトのバージョンのアップグレードでは、witness/redeem scriptからメインスタックのポリシースクリプトに引数を直接渡せるようにCLEANSTACKルールの緩和も検討する必要がある。

BIP114との比較

BIP114 (Merkelized Abstract Syntax Tree)はBIP141のスクリプトのバージョニングを使って導入するMASTスキームについて定義している。BIP114と異なり、BIP116 (MERKLEBRANCHVERIFY)と共にこのBIPで提案するスキームは、MAST内のポリシースクリプトのメンバーシップを検証するのにスクリプト自体を使ってMAST構造を暗黙的に有効にする。これはMAST自体がプログラマブルであるため、コンセンサスコードの変更が大幅に少なくなるだけでなく、コンセンサスコードの変更を全く必要としない将来のスクリプトベースのイノベーションを可能にする可能性がある。

さらに、NOP拡張スペースを使用する全てのスクリプトにMERKLEBRANCHVERIFYとtail-callセマンティクスを追加することで、BIP141のスクリプトバージョニングは不要となる。これによりこの機能をデプロイする際の、アドレスフォーマットをどうするかいった問題、スクリプトのバージョンアップの展開方法、別の機能がv1アップグレードを使用する際の合意、といったハードルは無くなる。

実装

コンセンサスコードの変更とテストを含むこのBIPの実装は以下のリポジトリで確認できる。

https://github.com/maaku/bitcoin/tree/tail-call-semantics

デプロイ

このBIPはBIP-8を使ってデプロイされ、tailcallという名前でbit 3を使用する。

Bitcoinのmainnetでは、BIP8のstartheightがM（未決定）で、timeoutはM+50,400ブロック後。

Bitcoinのtestnetでは、BIP8のstartheightがT（未決定）で、timeoutはT+50,400ブロック後。

CLEANSTACKは、この機能を使用するトランザクションが既にネットワークルールで非標準とみなされているため、例えばBIP68の時よりデプロイは容易になる。

互換性

v0 segwitのルールではスタックに何らかの要素を残すことは禁止されているので、互換性の理由からv0のパラメータはアルトスタックに渡す必要がある。

Bitcoinのブロックヘッダにはブロックに入っているトランザクションのリストにコミットするため、各トランザクションのTXIDをリーフノードにしたマークルツリーを構築し、そのマークルルートの値が入れられるようになっている。ブロックにどれだけたくさんのトランザクションが含まれていても、それらから計算されるマークルルートは32バイトの固定値で、その固定値が全てのデータセットのコミットメントになる、とても空間効率の良いデータ構造で、ブロックヘッダのマークルルート以外にも様々な使い方が提案されている。

このマークルツリーの構造の改良について、Fast Merkle Treeという新しい提案（BIP-98）が公開され↓

https://github.com/bitcoin/bips/blob/master/bip-0098.mediawiki

↓のような特徴がある。

パフォーマンスの向上

リーフノードからマークルツリーを構築する際、親ノードの値は２つの子ノードの値を結合し、それをdouble-SHA256ハッシュした値になる。この提案では必ずしもここでdouble-SHA256である必要はなく、これをfast-SHA256という新しく定義する暗号学的ハッシュ関数に置き換えることでパフォーマンスを向上させる。ただこのハッシュ関数はインプットとして2つの32バイトのハッシュ値を持つデータに対してのみ有効なハッシュ関数となる。

脆弱性への対応

マークルツリーの構築アルゴリズムでは、マークルツリーのリーフ要素が奇数の場合、奇数の最後の要素を複製して偶数個にするが、ここに重複エントリーの問題がある。奇数個のリストのアイテムを持つマークルツリーと、奇数個の最後の要素と全く同じ要素を加えて偶数個にしたリストのマークルツリーは、リーフノードの要素数は異なるが、それら計算したマークルルートは同じ値になる。Fast Merkle Treeの場合、要素数が奇数個の場合にその要素をコピーして偶数個にすることをしないことで、この脆弱性を回避する。

データがマークルツリーに含まれていることを証明するInclusion Proofのエンコード方法

マークルツリーにあるデータが含まれていることを示すプルーフ提供の仕組みは、SPVノードなどが受け取るmerkleblockメッセージなどで利用されている。このメッセージには

• トランザクション数（リーフノードの数）
• 1つ以上のトランザクションのハッシュと内部ノードのハッシュ
• マークルツリーの特定のノードに↑のハッシュを割り当てるために使うフラグリスト

が含まれており、これをベースにマークルツリーの部分的な復元や検証をしている。この内、フラグリストには1バイト中に8個のフラグビットがセットされ、そのフラグビットの0 or 1でマークツリー内のノードにハッシュを割り当てるかどうか判断している。

一方このFast Merkle Treeでは、ツリーの内部ノードの数を可変長整数でシリアライズし、その後に内部ノードが持つ２つの子ノードが{SKIP,VERIFY,DESCEND}のどの構成であるか示す3 bitのデータをルートノードから順番にバイト列にパックしシリアライズしたデータでツリー構造を表現するようになっている。

用途

↑のような特徴があるFast Merkle Treeだが、既存のブロックヘッダのマークルルートの計算方法をこれに変えようという提案ではなく（変更するとHFになる）、別で提案されているBIP-116のMERKLEBRANCHVERIFYの実装でこのアルゴリズムを使用するようだ。

詳細についてはBIPの内容を見てみる↓

概要

多くのアプリケーションでは、あるデータがデータセット内のデータであることを証明するのに、データセットの全データを明らかにする必要はない。インナー/内部ノードのラベルがその子ノードのハッシュから生成されるマークルハッシュツリーは、それを実現する暗号化ツールだ。Bitcoinではブロック内のトランザクションをブロックヘッダにコミットするのにマークルハッシュツリーを利用している。Satoshiによって作られたこの設計は、National Vulnerability DatabaseのCVE-2012-2459*1に記載されているように重複したエントリーに関連する深刻な欠陥に悩まされており、また不必要なダブルハッシュにより最適なパフォーマンスとは言えない。

このBIPでは、CVE-2012-2459の脆弱性がなく、最適化したSatoshiのマークルハッシュツリー構造の実装に比べてハッシュツリーの構築および検証時間が55%減少する、より効率的なマークルハッシュツリー構造について説明する。

動機

マークルハッシュツリーは、全ての非末端ノードはそのノードに接続されているノードの値もしくはラベルを結合した値のハッシュ値でラベルされる非循環有向グラフのデータ構造である。BitcoinはSatoshiが考案したユニークなマークルハッシュツリー構造を利用して、ブロック内のトランザクションのリストに対するブロックヘッダのコミットメントを計算している。新しいアプリケーションではこれと同じデータ構造を利用することで、実装の共有やメンテナンスコストの削減が見込まれるが、再利用には３つの欠陥がある。

最初に、Satoshiのマークルハッシュツリー構造は重複したエントリーについて深刻な欠陥があり、そのまま使用するとプロトコルにバグをまねく可能性がある。この欠陥の悪用からプロトコルと実装を保護することは可能だが、この脆弱性を回避する安全なプロトコルを設計するには洞察といくつかの注意が必要だ。新しいプロトコルの設計者はネイティブな実装による下流のバグの可能性を確実に減らすため、可能な限りSatoshiのマークルツリーハッシュ構造の使用を避けなければならない。

第二に、Satoshiのマークルツリーハッシュは不要な数の暗号学的ハッシュ関数の圧縮ラウンドを実行する必要があり、本来の用途として必要な数に比べて、簡単な実装では約3倍の計算時間と検証時間がかかり、目的に特化した実装でも2.32倍以上の計算量が必要になる*2。後方互換性を必要としない新しい実装では、不必要な負荷を実行しないハッシュツリーの実装を検討する必要がある。

第三に、Satoshiのアルゴリズムは順序付きリストからツリーインデックスを構築することを前提としているため、ツリー内の全ての要素についてルートからリーフまで均一のパス長をもつバランスの取れたツリーをサポートするよう設計されている。一方、多くのアプリケーションでは不均衡なパス長を持つツリーを活かしている。特に短いパスが使用される可能性が高い場合により効果的だ。Satoshiのハッシュツリーのいくつかの要素を他の要素より短いパスにすることも可能だが、そのためのトリックはツリーのサイズに依存しあまり柔軟ではない。

これら３つの理由は、これらの問題を解決する新しいプロトコルで使用する標準的なマークルハッシュツリー構造を指定する際の正当性を提供する。このBIPではその構造について記述し、実装例を示す。

仕様

このBIPで定義されているマークルハッシュツリーは任意のバランスのバイナリツリーで、その末端のリーフノードはデータのdouble-SHA256ハッシュでラベル付けされ（そのフォーマットは本BIPの範囲外）、内部ノードはその子ノードのラベルのfast-SHA256 から生成された値でラベル付けされる。以下の図はアンバランスなハッシュツリーの例を示している。

AおよびB、Cはリーフラベルで、リーフに関連付けられたデータの32バイトのdouble-SHA256ハッシュである。NodeとRootは内部ノードで、そのラベルはそれぞれの子ノードのラベルのfast-SHA256ハッシュである。NodeはBとCを連結したfast-SHA256ハッシュでラベル付けされる。RootはAとNodeを連結したfast-SHA256ハッシュでラベル付けされ、このツリーのマークルルートである。子ノードが１つだけのノードは許可されない。

double-SHA256暗号学的ハッシュ関数は、任意の長さのデータをインプットとし、FIPS 180-4*3で指定されたSHA256ハッシュ関数を介してデータを実行し、length-extension attack（伸長攻撃）から保護するため同じハッシュを再度実行して32バイトのハッシュを生成する。

fast-SHA256暗号学的ハッシュ関数は２つのハッシュ値を取り、これらを連結して64バイトのバッファを生成し、 カスタム初期化ベクトル (IV)と、メッセージパディング無しでSHA256ハッシュ関数を1回実行する。結果は結合されたハッシュ値と内部ノードのラベルである32バイトのmidstate*4である。変更されたIVは、パス拡張攻撃に対する保護になる。fast-SHA256は2つの32バイトのハッシュに対してのみ有効な定義である。カスタムIVは、以下の16進エンコードされたバイト列について標準のSHA256を実行したmidstateを展開した後に生成される中間ハッシュ値である。

cbbb9d5dc1059ed8 e7730eaff25e24a3 f367f2fc266a0373 fe7a4d34486d08ae
d41670a136851f32 663914b66b4b3c23 1b9e3d7740a60887 63c11d86d446cb1c

このデータは9番目の素数である23の平方根の最初の512小数bitであり、結果得られるmidstateはfast-SHA256暗号学的ハッシュ関数のIVとして使われる。

static unsigned char _MidstateIV[32] =
        { 0x89, 0xcc, 0x59, 0xc6, 0xf7, 0xce, 0x43, 0xfc,
          0xf6, 0x12, 0x67, 0x0e, 0x78, 0xe9, 0x36, 0x2e,
          0x76, 0x8f, 0xd2, 0xc9, 0x18, 0xbd, 0x42, 0xed,
          0x0e, 0x0b, 0x9f, 0x79, 0xee, 0xf6, 0x8a, 0x24 };

fast-SHA256は2つの32バイトハッシュのインプットに対してのみ定義されているので、2つの特殊なケースがある。空のマークルツリーは許可されず、そういったツリーに対してはルートハッシュも定義されない。データが１つだけのマークルツリーの場合、そのルートハッシュはツリーの唯一のリーフノード自身の値と同じになる（パススルー操作でハッシュ計算が行われない）。

論拠

64バイトのデータをFIPS 180-4で指定されているSHA256でハッシュすると（メッセージパディングのため）2回の圧縮が実行され、double-SHA256を計算するのに3回の圧縮が実行される。このためfast-SHA256ハッシュ関数は、用途を特化したdouble-SHA256の実装より2.32倍高速に、通常のSHA256プリミティブを2回適用する実装より3倍高速に計算できる。同様にfast-SHA256のマークルルートの検証は、SatoshiがBitcoinで使用するdouble-SHA256より2倍以上高速に行える。さらにfast-SHA256の実装は一般的なSHA256の実装であり、パフォーマンスコストをかけずに汎用回路やコードへの再利用が可能だ。

fast-SHA256はインプットがハッシュ値で数値と長さが固定されているので、メッセージのパディングやダブルハッシュによる攻撃の影響を受けることはなく、安全に内部ノードのラベル付けを行うことができる。

fast-SHA256の初期化ベクトル（IV）はリーフハッシュや内部ノードのコミットメントが別のリーフハッシュと部分的に衝突するような上位レベルのプロトコルに対する攻撃を防ぐために変更されている。IVはカスタムIVをサポートしていない暗号ライブラリインタフェースとの互換性を保つため、カスタムIVやmidstateからのレジュームをサポートしていない場合、↑の2倍のパフォーマンスを犠牲にして標準のSHA256とmidstateの抽出を行い計算される。ハッシュされたデータは、ハッシュプリイメージが知られていないnothing-up-my-sleeve numberである。2〜19までの最初の8個の素数の先頭bitが既にSHA256自体の設定に使われている定数であるため、その次の9個めの素数23を選択した。次の素数を順番に使うことで一定の因子の再利用による弱点が導入される可能性を減らすことができる。

データ要素が１つしかないツリーのマークルルートハッシュは、何の変更もないリーフハッシュへの単純にパススルーで、スプリットプルーフの連鎖検証を可能にする。これは、Bitcoinスクリプトのプッシュ制限のような検証サイズに制限があるような検証環境において便利だ。連鎖検証により検証者は１つのプルーフを2つ以上に分割することができ、リーフは内部ノードの下に示され、内部ノードがルートの下に示される。データ要素が１つのみツリーにおいてパススルーハッシングでない場合だと、連鎖検証を使うのにチェーンのリンクの数と同じ最小パス数の要件が余計に必要になる。単一要素のパススルーハッシングは１つ以上の連鎖検証の代わりにゼロ長パスからなるNOPプルーフを使うことができ、それにより例えば固定された一連の４つの連鎖検証が長さ３以下のパスを検証できる。

Inclusion Proofs

マークルルートハッシュの使い方で重要なのは、オーダーlog（サイズ）のプルーフで、任意のデータが含まれていることをコンパクトに証明できることだ。このセクションでは、ある複数の要素がツリーに含まれていることを証明するプルーフの標準的なエンコード方法を定義する。

特定のルートを持つマークルツリーにあるハッシュのセットが含まれていることを証明するには次の４つの情報が必要になる。（この要素は既存のマークルツリーの場合と同じ）

1. マークルツリーのルートハッシュ
2. 検証されるハッシュ値。通常データ要素のdouble-SHA256で構成されるが、それか内部ノードのラベルかその両方。
3. ルートから対象のハッシュがあるノードへのパス（シリアライズされたバイナリツリー構造として表現される）。
4. それらのパスに含まれないブランチ（ノード）のハッシュ値

通常↑の最後の２つの要素（パスとパスを辿らないブランチのハッシュ）をまとめてプルーフと呼んでいる。

シリアライズする際は、まずプルーフ内の内部ノードの数Nを可変長整数（Varint）としてエンコードする。次にツリーの構造を、深さ優先で左から右、前順・先行順・前置順・行きがけ順で各内部ノードを走査する前提で、各ノードの構成をパックした3bit表現でエンコードする（ノード数Nに応じて(3*N + 7) / 8バイト消費する）。続いてスキップするハッシュの数（プルーフの中に含まれるハッシュ、プルーフで検証しないもの）は、可変長整数（Varint）でシリアライズされ、その後にプルーフで明かされるハッシュ自体が順番に続く。

以下の図のように８個の内部ノードの構成が可能だ。

この図では、DESCENDは"..."とラベル付けされた子グラフ要素で表されている別の内部ノードへの分岐リンクを意味する。SKIPはそのブランチに省略されたサブツリーのハッシュか要素のハッシュが含まれていることを意味し、このブランチのサブツリーのfast-SHA256ルートハッシュかデータ要素のdouble-SHA256ハッシュのどちらかがプルーフデータの中に含まれている。VERIFYはそのブランチにプルーフの検証に必要なwintessとして外部から提供されたハッシュが含まれていることを意味する。表形式にするとこれらのコード値は以下の通り。

この３つのbitコードは3バイト毎に8つのコードが収まるようバイト列にパックされる。バイトを埋めていく順序は最上位bit0x80で始まり、最下位bit0x01で終わる。内部ノードの数が8の倍数でない限り、シリアライズした最終バイトは下位bitが余ることになり、この余りのbitには全てゼロがセットされなければならない。

ツリーのシリアライゼーションは自己分割であることに注意すること。ツリー構造を追跡することで、プルーフの校正者はパーサーがいつ最後の内部ノードに到達したかを知ることができる。プルーフ内にシリアライズされた内部ノードの数は、ツリー構造自体から推論されるノード数と等しくなければならない。同様に、SKIPハッシュの数はシリアライズされたツリー構造から推論することもでき、プルーフ内のハッシュの数と等しくなければならない。

（内部ノードが無い）シングルハッシュプルーフはN=0で、（内部ノードが無いので）ツリー構造もシリアライズされずSKIPハッシュの数は0または1のいずれか。

例

次のマークルツリー構造を考えてみよう。

この構造では6個の内部ノードがある。深さ優先で左から右、前順・先行順・前置順・行きがけ順で探索するとA→B→→D→F→C→Eの順に回る。３つのSKIPハッシュがあり、0x00... → 0x66... → 0x22...の順に回る。残りの４つのハッシュは実行時に提供されプルーフにより検証される。

シリアライゼーションは内部ノードの数の可変長整数（Varint）で始まるので↑だと0x06、次にツリーのシリアライゼーション自体（↑だと0xbd8440）が続く。次のSKIPハッシュの数も可変長整数としてエンコードされ↑だと0x03、その後に３つのハッシュが順番に続く。結果101バイトのプルーフBase64で以下のようにエンコードされた値となる。

Br2EQAMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAGZmZmZmZmZmZmZmZmZmZmZmZmZmZmZmZmZmZmZmZmZmREREREREREREREREREREREREREREREREREREREREREQ=

論拠

内部ノードの3 bitエンコードは、左右のブランチがそれぞれ｛DESCEND, SKIP, VERIFY｝のいずれかであるかを示す構成をエンコードすることができる。この他、除外された第９のパターンとして、左右のブランチが両方共SKIPであるパターンがある。

このパターンは検証のため許可されていない（そのブランチ自体へのSKIPと同じことであるため）。この２つのSKIPブランチを持つノードを不許可にすることで、プルーフのmalleabitiyの原因を排除している。

プルーフを検証するために必要なハッシュ計算の回数は、ハッシュの数（SKIPとVERIFYを合わせた数）より１つ少なく、内部ノードの数Nと等しい。可変長整数エンコーディングにはシリアライズされた数値も辞書順にソートされたものも数値順にソートされるという性質がある。最初にシリアライズされるのは内部ノードの数であるため、プルーフを辞書順にソートすることはプルーフの検証に必要な作業量でプルーフをソートする効果がある。

プルーフの検証のためのインプットとして必要なハッシュの数は、N+1からSKIPハッシュの数を引いたもので、ツリー構造を解析することなく素早く計算することができる。

シリアライズされたツリー構造のコーディングルールとパッキングルールは辞書比較を有効にするため選択された。もし完全に拡張されたツリー（SKIPが無く全てVERIFYの）を左から右に深さ優先で要素のリストをエンコードするとみなした場合、欠損している値のハッシュをSKIPし、SKIP,SKIPノードを再帰的にプルーニングすることでリストのサブセットのプルーフ抽出することができる。結果得られるシリアライズされたツリー構造を辞書順に比較することは、派生したプルーフによって検証されたオリジナルのリストからインデックスのリストを比較するのと同じことである。

内部ノードの数とSKIPハッシュの数はツリー構造から抽出可能であるため、プルーフ内の可変長整数は両方とも冗長で省略可能だ。しかし、そうするとシリアライゼーションと検証の両方で、デシリアライズの際にメモリ上に明示的にツリーを構築・保持する必要があるか、比較的複雑なツリー解析コードの複製が必要になる。そのため（単一ハッシュのエッジケースの場合も同様）、冗長だが内部ノードの数とSKIPハッシュの数を明示的にシリアライゼーションし、プルーフが有効であるためにはその２つの値がツリー構造から推測される値と一致しなければならない。これによりデシリアライズが簡単になり、検証のタイミングまでツリーの構築を遅らせることができる。これには対数時間の検証アルゴリズムが有効になるという追加のメリットがある。

Fast Merkle Lists

多くのアプリケーションではマークルツリーを使用してリスト内の要素についてのインデックス化やコンパクトなメンバーシップ証明を提供する。この仕組はいろんな長さのリストのための標準的な平衡木構造を構築するアルゴリズムを指定する。このアルゴリズムには、重複エントリーに関連する脆弱性を構造的に防止するため、Satoshiのアルゴリズムとは微細だが重要な点で違いがある。

1. まず任意のデータ文字列のリストがある。
2. リストの各要素をそれぞれdouble-SHA256ハッシュした値に置き換える前処理を行う。
3. リストが空の場合は、ゼロハッシュを返す。
4. リストに２つ以上の要素がある場合は
   • リストの隣接するエントリーを結合し、fast-SHA256ハッシュに渡す。リストの要素が奇数の場合、最後の要素をそのまま残す（これにより脆弱性を修正する）。このステップでN個のリストの要素をceil(N/2) 個のエントリーに減らす。
5. リストに残った最後のアイテムがマークルルートである。

このアルゴリズムはBitcoinで使われているマークルリストと２つの点で異なる。１つめは、内部ノードのラベル付けにdouble-SHA256でなくfast-SHA256が使われる。２つめは、奇数長のリストの最終エントリーは重複してハッシュされない。これはCVE-2012-2459につながった間違いだ。

実装

このBIPのマークルブランチの抽出と高速なマークルブランチの検証は以下のGithubのリポジトリで利用可能だ。

https://github.com/maaku/bitcoin/tree/fast-merkle-tree

このリポジトリにはこのBIPのアルゴリズムを使用してルート値の計算と任意ツリーのinclusion proofsの抽出および値のリストからツリーを構築するmerklebranch RPCと、２つ以上のマークルinclusion proofsを統合する（SKIPハッシュを別のproofから抽出したサブツリーに置き換える）ためのmergemerklebranch RPCが含まれる。

デプロイ

このBIPは、BIP-116（MERKLEBRANCHVERIFY）がソフトフォーク用のNOP拡張opcodeを使用してMerkle inclusion proof の検証をスクリプトに追加するために使用される。MERKLEBRANCHVERIFYのデプロイはこのBIPの内容を決定的にするだろう。BIP-116のデプロイ計画はそのBIPの本文に記載されている。