一文了解比特币地址生成使用的椭圆曲线算法

Louis
发布于 1天前
阅读 86

比特币的私钥和公钥生成使用的是椭圆曲线数字签名算法（ECDSA），具体基于secp256k1椭圆曲线。

## 基本概念：

比特币的私钥和公钥生成使用的是**椭圆曲线数字签名算法（ECDSA）** ，具体基于 **secp256k1** 椭圆曲线。

## 算法概述：

**ECDSA（Elliptic Curve Digital Signature Algorithm）**  
ECDSA 是一种基于椭圆曲线的公钥加密算法，用于生成密钥对（私钥和公钥）以及进行数字签名。比特币选择 ECDSA 是因为它在较短的密钥长度下提供高安全性，计算效率也较高。

**secp256k1 曲线**  
比特币使用的具体椭圆曲线是 **secp256k1**，由 NIST（美国国家标准与技术研究院）定义。这条曲线具有以下特点：

-   方程：y² = x³ + 7（在有限域 GF(p) 上，其中 p 是一个大素数）。
-   提供 256 位密钥长度，安全性相当于 128 位对称加密。
-   相比其他曲线（如 secp256r1），secp256k1 的参数更高效且专为加密货币设计。

## 私钥和公钥生成过程

### 私钥生成:

**定义**：私钥是一个随机的 256 位数字（32 字节）。

**生成方法**：

-   使用加密安全的随机数生成器（CSPRNG）生成一个 256 位随机数。
-   确保该数字在 secp256k1 曲线的阶（order）范围内，即 1 ≤ 私钥 < n，其中 n 是曲线的阶（一个大素数，约为 2²⁵⁶）。

**格式**：

-   私钥通常以原始的 32 字节二进制形式存储。
-   为方便使用，私钥可能被编码为 **WIF（Wallet Import Format）** ，如 Base58Check 编码，添加前缀和校验和（例如：5J... 或 K...）。

### 公钥生成

**定义**：公钥是从私钥通过椭圆曲线运算生成的点 (x, y)，位于 secp256k1 曲线上。

**生成方法**：

-   使用 secp256k1 曲线的基点（generator point）G。
-   私钥（一个标量）与基点 G 进行**椭圆曲线点乘**运算：  
    公钥 = 私钥 × G
-   点乘运算基于椭圆曲线的数学性质，生成一个新的点 (x, y)，即公钥。

**格式**：

-   **未压缩公钥**：由前缀 0x04 加上 32 字节的 x 坐标和 32 字节的 y 坐标组成，共 65 字节。  
    例：0x04 + x + y
-   **压缩公钥**：仅包含 x 坐标（32 字节）加上一个前缀（0x02 或 0x03，表示 y 的奇偶性），共 33 字节。  
    例：0x02 + x（如果 y 是偶数）或 0x03 + x（如果 y 是奇数）。
-   比特币地址通常基于压缩公钥生成（更节省空间）。

## 从公钥生成比特币地址（简要说明）

虽然问题聚焦于私钥和公钥生成，但地址生成与公钥相关，简单概述：

-   对公钥（通常是压缩格式）进行 **SHA-256** 哈希。
-   对 SHA-256 结果进行 **RIPEMD-160** 哈希，得到 20 字节的哈希值。
-   添加网络前缀（如主网为 0x00）和校验和，编码为 **Base58Check** 格式，生成比特币地址（如 1A1zP1...）。
-   现代比特币地址可能使用 **Bech32** 格式（SegWit 地址，如 bc1...），基于不同的编码规则。

## 算法细节

**椭圆曲线运算**：

-   点加法：将曲线上的两个点相加，得到一个新点。
-   点倍增：将一个点重复加自身，相当于标量乘法。
-   比特币的公钥生成依赖于标量乘法（私钥 × 基点 G），这是一个单向函数，难以通过公钥反推私钥。

**安全性**：

-   ECDSA 的安全性依赖于**离散对数问题**的难度，即给定公钥和基点 G，计算私钥在计算上是不可行的。
-   secp256k1 的参数经过优化，确保没有已知的数学漏洞。

**随机数生成**：

-   私钥的随机性至关重要。如果随机数生成器不安全，可能导致私钥被破解（如 2013 年 Android 钱包的随机数漏洞）。
-   比特币软件通常使用操作系统提供的加密安全随机数生成器（如 /dev/urandom 或 Windows 的 CryptGenRandom）。

## 代码示例（伪代码）

以下是生成比特币私钥和公钥的简化伪代码（基于 secp256k1）：

```
from ecdsa import SigningKey, SECP256k1
import os

# 生成私钥
private_key = os.urandom(32)  # 随机 32 字节
signing_key = SigningKey.from_string(private_key, curve=SECP256k1)

# 生成公钥
verifying_key = signing_key.get_verifying_key()
public_key = verifying_key.to_string("compressed")  # 压缩格式，33 字节

print("私钥（HEX）：", private_key.hex())
print("公钥（HEX）：", public_key.hex())
```

## 总结：

-   **算法**：比特币私钥和公钥生成使用 **ECDSA**，基于 **secp256k1** 椭圆曲线。
-   **私钥**：随机 256 位数字，使用加密安全的随机数生成器生成。
-   **公钥**：通过私钥与 secp256k1 基点 G 的椭圆曲线点乘运算生成，可为压缩（33 字节）或未压缩（65 字节）格式。
-   **安全性**：依赖椭圆曲线离散对数问题的计算难度和随机数生成的质量。

基本概念：

比特币的私钥和公钥生成使用的是椭圆曲线数字签名算法（ECDSA） ，具体基于 secp256k1 椭圆曲线。

算法概述：

ECDSA（Elliptic Curve Digital Signature Algorithm）
ECDSA 是一种基于椭圆曲线的公钥加密算法，用于生成密钥对（私钥和公钥）以及进行数字签名。比特币选择 ECDSA 是因为它在较短的密钥长度下提供高安全性，计算效率也较高。

secp256k1 曲线
比特币使用的具体椭圆曲线是 secp256k1，由 NIST（美国国家标准与技术研究院）定义。这条曲线具有以下特点：

方程：y² = x³ + 7（在有限域 GF(p) 上，其中 p 是一个大素数）。
提供 256 位密钥长度，安全性相当于 128 位对称加密。
相比其他曲线（如 secp256r1），secp256k1 的参数更高效且专为加密货币设计。

私钥和公钥生成过程

私钥生成:

定义：私钥是一个随机的 256 位数字（32 字节）。

生成方法：

使用加密安全的随机数生成器（CSPRNG）生成一个 256 位随机数。
确保该数字在 secp256k1 曲线的阶（order）范围内，即 1 ≤ 私钥 < n，其中 n 是曲线的阶（一个大素数，约为 2²⁵⁶）。

格式：

私钥通常以原始的 32 字节二进制形式存储。
为方便使用，私钥可能被编码为 WIF（Wallet Import Format） ，如 Base58Check 编码，添加前缀和校验和（例如：5J... 或 K...）。

公钥生成

定义：公钥是从私钥通过椭圆曲线运算生成的点 (x, y)，位于 secp256k1 曲线上。

生成方法：

使用 secp256k1 曲线的基点（generator point）G。
私钥（一个标量）与基点 G 进行椭圆曲线点乘运算：
公钥 = 私钥 × G
点乘运算基于椭圆曲线的数学性质，生成一个新的点 (x, y)，即公钥。

格式：

未压缩公钥：由前缀 0x04 加上 32 字节的 x 坐标和 32 字节的 y 坐标组成，共 65 字节。
例：0x04 + x + y
压缩公钥：仅包含 x 坐标（32 字节）加上一个前缀（0x02 或 0x03，表示 y 的奇偶性），共 33 字节。
例：0x02 + x（如果 y 是偶数）或 0x03 + x（如果 y 是奇数）。
比特币地址通常基于压缩公钥生成（更节省空间）。

从公钥生成比特币地址（简要说明）

虽然问题聚焦于私钥和公钥生成，但地址生成与公钥相关，简单概述：

对公钥（通常是压缩格式）进行 SHA-256 哈希。
对 SHA-256 结果进行 RIPEMD-160 哈希，得到 20 字节的哈希值。
添加网络前缀（如主网为 0x00）和校验和，编码为 Base58Check 格式，生成比特币地址（如 1A1zP1...）。
现代比特币地址可能使用 Bech32 格式（SegWit 地址，如 bc1...），基于不同的编码规则。

算法细节

椭圆曲线运算：

点加法：将曲线上的两个点相加，得到一个新点。
点倍增：将一个点重复加自身，相当于标量乘法。
比特币的公钥生成依赖于标量乘法（私钥 × 基点 G），这是一个单向函数，难以通过公钥反推私钥。

安全性：

ECDSA 的安全性依赖于离散对数问题的难度，即给定公钥和基点 G，计算私钥在计算上是不可行的。
secp256k1 的参数经过优化，确保没有已知的数学漏洞。

随机数生成：

私钥的随机性至关重要。如果随机数生成器不安全，可能导致私钥被破解（如 2013 年 Android 钱包的随机数漏洞）。
比特币软件通常使用操作系统提供的加密安全随机数生成器（如 /dev/urandom 或 Windows 的 CryptGenRandom）。

代码示例（伪代码）

以下是生成比特币私钥和公钥的简化伪代码（基于 secp256k1）：

from ecdsa import SigningKey, SECP256k1
import os

# 生成私钥
private_key = os.urandom(32)  # 随机 32 字节
signing_key = SigningKey.from_string(private_key, curve=SECP256k1)

# 生成公钥
verifying_key = signing_key.get_verifying_key()
public_key = verifying_key.to_string("compressed")  # 压缩格式，33 字节

print("私钥（HEX）：", private_key.hex())
print("公钥（HEX）：", public_key.hex())