通過本章的學(xué)習(xí)，可以幫你很具象的熟悉錢包的原理，以及私鑰、公鑰、比特幣地址和錢包的關(guān)系。本章可以為產(chǎn)品和技術(shù)人員設(shè)計(jì)研發(fā)數(shù)字錢包時(shí)提供參考。

閱讀時(shí)長(zhǎng)：15分鐘左右

4.1 ?私鑰、公鑰、地址和錢包的關(guān)系

錢包：錢包是私鑰的容器，錢包中只包含私鑰，不包含比特幣，錢包定義了一套生成私鑰、管理私鑰以及使用私鑰簽名的規(guī)則。

私鑰：作用是對(duì)交易進(jìn)行簽名。由錢包通過隨機(jī)熵源生成，也可由錢包導(dǎo)入已有的私鑰。

公鑰：由私鑰通過特定的橢圓曲線函數(shù)生成。由私鑰可以推出公鑰，但由公鑰很難計(jì)算出私鑰。

比特幣地址：由公鑰經(jīng)過單向的雙哈希函數(shù)生成，通過Base58check編碼的方式呈現(xiàn)，比特幣地址以數(shù)字1開頭。

在了解以上4個(gè)概念的關(guān)系后，下面詳細(xì)講解私鑰、公鑰、地址的生成原理以及錢包的分類。

4.2 ? ?私鑰的生成原理

私鑰就是一個(gè)隨機(jī)選出的數(shù)字而已，該隨機(jī)數(shù)是一個(gè)二進(jìn)制的256位數(shù)字。隨機(jī)性數(shù)據(jù)來源于符合密碼學(xué)安全的隨機(jī)數(shù)生成器，即從一堆隨機(jī)源的數(shù)據(jù)中取出一串隨機(jī)字節(jié)，通過SHA算法轉(zhuǎn)化成256位的二進(jìn)制數(shù)字，再驗(yàn)證選擇的隨機(jī)數(shù)是否處于1到n-1之間(其中n是一個(gè)常數(shù)，略小于2^256)，如果運(yùn)算結(jié)果小于n-1，則隨機(jī)數(shù)合適，否則需要重新選取隨機(jī)數(shù)，直至所選取的隨機(jī)數(shù)滿足驗(yàn)證條件為止。

當(dāng)然，不同的錢包選取的隨機(jī)數(shù)位數(shù)可能不一樣。

私鑰的表示方法

私鑰的常見表示法有十六進(jìn)制、WIF格式、WIF-compressed格式。

十六進(jìn)制格式的私鑰，是將原始256位的二進(jìn)制數(shù)據(jù)轉(zhuǎn)換成了64位的十六進(jìn)制數(shù)據(jù)表示出來；

WIF（Wallet Import Format），即錢包導(dǎo)入格式，指將私鑰導(dǎo)入新的錢包中時(shí)，錢包用來識(shí)別私鑰的格式，所以在錢包導(dǎo)出私鑰時(shí)，會(huì)生成該格式的私鑰。WIF格式的私鑰以5開頭，代表該格式的私鑰需要生成非壓縮格式的公鑰。

WIF-compressed，即錢包導(dǎo)入壓縮格式，該私鑰的格式以K或L開頭，將私鑰導(dǎo)入到錢包后，代表錢包會(huì)用該格式的私鑰生成壓縮格式的公鑰，以便正確解析比特幣地址。

4.3公鑰的生成原理

私鑰通過橢圓曲線函數(shù)，可以計(jì)算得到公鑰，這是不可逆的過程：K=k * G。其中k是私鑰，G是橢圓曲線上定義的初始常數(shù)點(diǎn)，K是公鑰。

比特幣的橢圓曲線方程：y^2=x^3+7, 這條曲線定義在素?cái)?shù)階p的有限域內(nèi)，可以想象為在一個(gè)極大的網(wǎng)格上定義了一系列復(fù)雜的散點(diǎn)。公鑰K的計(jì)算運(yùn)用了橢圓曲線的加法和乘法規(guī)則：k*G=G+G+……+G（k次），且該橢圓曲線上的兩個(gè)點(diǎn)想加，其相加的和等于與橢圓曲線相交于另一點(diǎn)、然后在X軸上的反射點(diǎn)。那么G+G的值相當(dāng)于從G點(diǎn)做切線后與曲線相交點(diǎn)，其在X軸上的反射點(diǎn)2G，如下圖所示：

圖一 橢圓曲線同點(diǎn)相加，圖片來源于網(wǎng)絡(luò)

公鑰K定義為該反射點(diǎn)的坐標(biāo)K=（x，y）。

公鑰的表示方法

公鑰是根據(jù)橢圓曲線計(jì)算出來的坐標(biāo)（x，y），知道了x的值，可以根據(jù)函數(shù)求出對(duì)應(yīng)y的值。如果同時(shí)將x和y用256位二進(jìn)制存儲(chǔ)的話，所占空間將增大1倍，存儲(chǔ)空間上有些浪費(fèi)。所以，公鑰的表示格式分為非壓縮格式和壓縮格式。

非壓縮格式的公鑰，是指生成的公鑰拼接了x和y的值，非壓縮格式的公鑰，以前綴04開頭。

壓縮格式的公鑰，是指生成的公鑰中只包含了x的值，壓縮格式的公鑰，以前綴02或03開頭。如上述橢圓曲線同點(diǎn)相加圖示，同一個(gè)橫坐標(biāo)x可能對(duì)應(yīng)2個(gè)y值，由于y在有限域中只有正數(shù)，此處的2個(gè)y值分別對(duì)應(yīng)奇數(shù)和偶數(shù)，前綴02開頭表示y是偶數(shù)，前綴03開頭表示y是奇數(shù)。

由私鑰生成壓縮格式的公鑰時(shí)，會(huì)在私鑰的后面拼接01，用以表明該私鑰來自于一個(gè)較新的錢包，只能用來生成壓縮的公鑰。對(duì)于私鑰本身，是不會(huì)改變?cè)刀鴫嚎s的。這樣做的目的是為了給導(dǎo)入私鑰的錢包一個(gè)信號(hào)：到底是使用壓縮格式公鑰和比特幣地址去掃描區(qū)塊鏈，還是使用非壓縮格式公鑰和比特幣地址。

4.4比特幣地址

比特幣地址是將公鑰經(jīng)過雙哈希，得到公鑰哈希后，采用Base58check編碼的形式展示。比特幣地址以1開頭。

Base64編碼是將任意的一長(zhǎng)串輸入轉(zhuǎn)化成特定長(zhǎng)度的數(shù)字和字母組成的表示法，其編碼字符使用了26個(gè)小寫字母、26個(gè)大寫字母、10個(gè)數(shù)字和兩個(gè)符號(hào)+以及/，Base58編碼舍棄了一些容易錯(cuò)讀和混淆的字符，其不含數(shù)字0，小寫o、大寫O、小寫i、大寫I以及+和/兩個(gè)字符。Base58check編碼采用的是Base58編碼，同時(shí)加入了校驗(yàn)的功能。

最終的比特幣地址由版本前綴、公鑰哈希和校驗(yàn)碼3部分組成。其中版本前綴用來標(biāo)識(shí)編碼后得到的是比特幣地址，如采用Base58check編碼時(shí)，比特幣地址的前綴是0，私鑰編碼的前綴為128；公鑰哈希，即將原始公鑰經(jīng)過SHA256和RIPEMD計(jì)算后得到的20字節(jié)的值；校驗(yàn)碼，是由前綴拼接公鑰哈希后，經(jīng)過2次SHA256，取計(jì)算后的值的前4個(gè)字節(jié)得到。

比特幣地址的生成原理，如下圖所示：

圖二 比特幣地址的生成原理

使用Base58check編碼格式時(shí)，編碼軟件會(huì)計(jì)算原始數(shù)據(jù)的校驗(yàn)碼和結(jié)果數(shù)據(jù)中自帶的校驗(yàn)碼進(jìn)行對(duì)比，二者不匹配則表明有錯(cuò)誤產(chǎn)生，那么這個(gè)地址也是無效的。

4.5比特幣錢包的分類

錢包是用來管理私鑰的容器。比特幣錢包分為非確定性錢包（隨機(jī)）錢包和確定性（種子）錢包。

非確定性錢包：由錢包預(yù)先隨機(jī)生成N個(gè)私鑰，每個(gè)私鑰一旦使用，需要單獨(dú)備份，當(dāng)密鑰足夠多時(shí)，很難管理、備份和導(dǎo)入到新錢包，所以這種錢包使用起來很不方便，正被確定性錢包替代。

確定性錢包：又稱種子錢包，顧名思義，即通過一個(gè)種子即可推出所有密鑰。所以，在備份密鑰或?qū)氲叫洛X包時(shí)，只需要備份種子密鑰即可，剩余的密鑰可以根據(jù)既定規(guī)則推算出來。常見的確定性錢包，包含助記碼詞匯以及分層確定性錢包。

助記碼詞匯

助記碼詞匯是用英文單詞序列代表作種子，來對(duì)應(yīng)確定性錢包的隨機(jī)數(shù)。單詞的順序就是錢包的備份，也就是對(duì)應(yīng)的私鑰集合。助記碼詞匯可以讓使用者復(fù)制錢包更容易一些，它們相對(duì)于隨機(jī)數(shù)字順序來說，可以很容易的被讀并且正確抄寫。

助記碼和種子的創(chuàng)建過程如下：

1.創(chuàng)造一個(gè)128到256位的隨機(jī)順序；

2.使用SHA256哈希該隨機(jī)順序，取前幾位作為校驗(yàn)和。所選取的隨機(jī)數(shù)的位數(shù)不同，校驗(yàn)和的字符數(shù)也不相同。

3.把校驗(yàn)和拼接在隨機(jī)順序的后面

4.按順序把拼接后的值分解成11位不同的集合，并用這些集合去和一個(gè)預(yù)先已經(jīng)定義的2048個(gè)單詞字典做對(duì)應(yīng)

5.取出對(duì)應(yīng)的單詞，按順序即可生成一個(gè)12至24個(gè)詞的助記碼。

分層確定性錢包（HD錢包）

分層確定性錢包，是通過單個(gè)種子生成主密鑰，再由主密鑰以樹狀結(jié)構(gòu)衍生子密鑰，子密鑰又可以通過規(guī)則衍生出孫密鑰，以此類推，一個(gè)種子可以衍生出無窮個(gè)子密鑰，而且備份時(shí)只需備份種子即可將錢包中的所有密鑰備份。

由種子衍生主密鑰的過程：

如上圖所示，由隨機(jī)數(shù)生成種子后，通過單向哈希函數(shù)，輸出512位的值，其中左邊的256位做為主密鑰，右邊的256位作為主鏈編碼。

由父私鑰衍生子私鑰的過程：

如上圖所示，父私鑰衍生子私鑰時(shí)，先由父私鑰生成父公鑰，再由父公鑰、父鏈編碼和索引號(hào)通過單向哈希函數(shù)計(jì)算輸出512位的值，左邊的256位對(duì)應(yīng)子密鑰，右邊的256位對(duì)應(yīng)子鏈編碼。其中索引號(hào)用來標(biāo)識(shí)子私鑰對(duì)應(yīng)的位置。

4.6總結(jié)

通過本章的學(xué)習(xí)，可以很具象的熟悉私鑰、公鑰和比特幣地址的背后原理，同時(shí)了解錢包的本質(zhì)及其管理私鑰的方式。本章可以為產(chǎn)品和技術(shù)人員設(shè)計(jì)研發(fā)數(shù)字錢包時(shí)提供參考。

本文首發(fā)于微信公眾號(hào)“Tina說”：轉(zhuǎn)型區(qū)塊鏈，來這里就對(duì)了。

推薦閱讀

區(qū)塊鏈基礎(chǔ)知識(shí)篇——《精通比特幣》第三章“比特幣客戶端”解讀

區(qū)塊鏈基礎(chǔ)知識(shí)篇——《精通比特幣》第二章“比特幣的原理”解讀

區(qū)塊鏈基礎(chǔ)知識(shí)篇——比特幣經(jīng)典書籍《精通比特幣》第一章解讀