Pay-to-Contract (P2C) è un metodo per modificare le chiavi pubbliche Bitcoin che è stato descritto per la prima volta nel 2012, ma di cui non si parla molto.
Consente di ricevere denaro su un commitment privato che può essere mantenuto segreto per sempre o dimostrato pubblicamente in seguito.
È semplice quanto potente.

I protocolli pay-to-contract consentono a chi spende e a chi riceve di concordare il testo di un contratto (o qualsiasi altra cosa) e quindi creare una chiave pubblica con un commit su quel testo. Chi spende può quindi successivamente dimostrare che il pagamento con il commit su quel testo e che sarebbe stato computazionalmente impossibile assumere tale commit senza la cooperazione del destinatario. In breve, P2C consente a chi spende di dimostrare a un tribunale o al pubblico per cosa ha pagato.

È un protocollo di pagamento elettronico per le tipiche relazioni cliente-commerciante che non richiede l'invio di un descrittore di pagamento affidabile (firmato) da parte del commerciante al cliente. Invece, il numero del "conto" di destinazione per il pagamento viene creato esclusivamente sul lato del cliente. Ciò elimina la necessità di qualsiasi comunicazione criptata o autenticata nel protocollo e lo rende sicuro anche se l'infrastruttura online del commerciante viene compromessa. Inoltre, la transazione di pagamento stessa funge da ricevuta con timestamp per il cliente. Prova cosa è stato pagato e chi ha ricevuto i fondi, sempre senza affidarsi a firme del commerciante. In particolare, fondi e ricevuta vengono scambiati in un'unica azione atomica. La natura asimmetrica della relazione cliente-commerciante è fondamentale.

Il protocollo è specificamente progettato pensando a Bitcoin come sistema di pagamento di base. Ciò ha l'utile vantaggio che tutte le transazioni sono pubbliche. Tuttavia, l'unico requisito essenziale per il sistema di pagamento è che gli "account" siano coppie di chiavi arbitrarie create dall'utente di un criptosistema le cui coppie di chiavi godono di una proprietà omomorfa. Tutti i criptosistemi di tipo ElGamal hanno questa caratteristica.