数字货币钱包 - 助记词 及 HD 钱包密钥原理
转载:https://zhuanlan.zhihu.com/p/34184347
分类
区块链相关的话题持续发酵之时,应该不少人知道加密货币钱包,钱包是普通用户与加密货币系统交互的入口,各种形态的钱百花齐放,手机钱包、桌面钱包、硬件钱包、网页钱包和纸质钱包等。通过钱包可以无国界无限制地转移你的数字资产。从开发者的角度看,钱包的作用是管理用户的私钥、通过私钥签名交易管理用户在区块链上的数字货币。
Bitcoin Address + Private key = Bitcoin Wallet
根据密钥之间是否有关联可把钱包分为两类:nondeterministic wallet 和 deterministic wallet
- nondeterministic wallet:密钥对之间没有关联
- deterministic wallet: 密钥对由一个原始的种子主密钥推导而来。最常见的推导方式是树状层级推导 (hierarchical deterministic) 简称 HD
比特币钱包 (Bitcoin Core) 生成密钥对之间没有任何关联,属于 nondeterministic wallet ,这种类型的钱包如果想备份导入是比较麻烦的,用户必须逐个操作钱包中的私钥和对应地址。deterministic wallet 基于 BIP32 (Bitcoin Improvement Proposal 32) 标准实现,通过一个共同的种子维护 n 多私钥,种子推导私钥采用不可逆哈希算法,在需要备份钱包私钥时,只备份这个种子即可(大多数情况下的种子是通过 BIP44 生成了助记词,方便抄写),在支持 BIP32, BIP44 标准的钱包只需导入助记词即可导入全部的私钥。
principle of avoiding address reuse: 提倡避免地址重复使用,当数字货币地址已经发生过一次转账就存在私钥泄漏的可能性。
符合 BIP-32/BIP-44 标准的 HD 钱包
上文提到 Deterministic wallets 能够通过一个种子推导出很多密钥,它基于 BIP32 标准实现,种子能够推导出主密钥 (master key), 主密钥推导出子密钥 (children keys),子密钥推导出孙密钥 (grandchildren keys), 以此递推。
- 有树状特征的 HD 钱包非常适用于有组织结构的公司使用
- HD 钱包能够在不需知道私钥的前提下生成大量的公钥,非常适用于只负责收款的服务
BIP32 标准的种子是一个随机 16 字节的 16 进制的字符串。如果能够适用英文单词作为助记词无疑会降低种子备份及恢复钱包难度,BIP39 标准就是为了解决助记词的需求,通过随机生成 12 ~ 24 个容易记住的单词,单词序列通过 PBKDF2 与 HMAC-SHA512 函数创建出随机种子作为 BIP32 的种子。
BIP32/BIP39 标准详解
BIP39 标准定义了钱包助记词和种子生成规则。
通过九个步骤即可生成钱包助记词和种子:
- 步骤 1~6 生成助记词
- 步骤 7~9 把前六步生成的助记词转化为 BIP32 种子
生成助记词
- 规定熵的位数必须是 32 的整数倍,所以熵的长度取值位 128 到 256 之间取 32 的整数倍的值,分别为 128, 160, 192, 224, 256;
- 校验和的长度为熵的长度/32 位, 所以校验和长度可为 4,5,6,7,8 位;
- 助记词库有 2048 个词,用 11 位可全部定位词库中所有的词,作为词的索引,故一个词用 11 位表示,助记词的个数可为 (熵+校验和)/11,值为 12,15,18,21,24
熵(bits)校验和(bits)熵 + 校验和 (bits)助记词长度128413212160516515192619818224723121256826424
- 生成一个长度为 128~256 位 (bits) 的随机序列(熵)
- 取熵哈希后的前 n 位作为校验和 (n= 熵长度/32)
- 随机序列 + 校验和
- 把步骤三得到的结果每 11 位切割
- 步骤四得到的每 11 位字节匹配词库的一个词
- 步骤五得到的结果就是助记词串
通过助记词生成种子
助记词由长度为 128 到 256 位的随机序列(熵)匹配词库而来,随后采用 PBKDF2 function 推导出更长的种子(seed)。生成的种子被用来生成构建 deterministic Wallet 和推导钱包密钥。
在密码学中,Key stretching 技术被用来增强弱密钥的安全性,增加了暴力破解 (Brute-force attack) 对每个可能密钥尝试攻破的时间,增强了攻击难度。各种编程语言原生库都提供了 key stretching 的实现。PBKDF2 (Password-Based Key Derivation Function 2) 是常用的 key stretching 算法中的一种。基本原理是通过一个为随机函数(例如 HMAC 函数),把明文和盐值作为输入参数,然后重复进行运算最终产生密钥。
为了从助记词中生成二进制种子,BIP39 采用 PBKDF2 函数推算种子,其参数如下:
- 助记词句子作为密码
- "mnemonic" + passphrase 作为盐
- 2048 作为重复计算的次数
- HMAC-SHA512 作为随机算法
- 512 位(64 字节)是期望得到的密钥长度
DK = PBKDF2(PRF, Password, Salt, c, dkLen)
BIP32 标准定义了 HD 钱包的生成规则。HD 钱包中的所有层级密钥都是由根种子推导而来,通常根种子由上述步骤 BIP39 生成。所以只需通过助记词就能备份和恢复钱包,这也是 HD 钱包的缺陷,如果你的根种子泄漏,那么全部密钥随之都泄漏。
主私钥和主链码
首先是从根种子生成主密钥 (master key) 和主链码 (master chain code)
上图中根种子通过不可逆 HMAC-SHA512 算法推算出 512 位的哈希串,左 256 位是 Master Private key(m), 右 256 位是 master chain code, 通过 m 结合推导公钥的椭圆曲线算法能推导出与之对应的 264 位 master public Key (M)。chain code 作为推导下级密钥的熵。
子私钥推导
HD 钱包使用 CKD(child key derivation) 函数从父密钥(parent keys)推导子密钥(child keys),CKD 由下列三个要素做单向散列哈希(one way hash function) 。
- 父密钥 (没有压缩过的椭圆曲线推导的私钥或公钥 ECDSA uncompressed key)
- 链码作为熵 (chain code 256 bits)
- 子代索引序号 (index 32 bits)
索引号个数为 2 的 32 次方,每个父级密钥能推导出该数目一半的子密钥 (索引号从 0x00 到 0x7fffffff (0 to 2 的 21 次方减 1) 会生成正常的密钥;索引号从 0x80000000 到 0xffffffff 会生成增强密钥)。CKD 采用不可逆的 HMAC-SHA512 不可逆加密算法,子密钥不能向上推导出父密钥、同时也不能水平推导出同一级的密钥。
扩展密钥
CKD 推导子密钥的三个元素中,其中父密钥和链码结合统称为扩展密钥 (Extended keys)。256 位的密钥和 256 位的链码串联起来的 512 位就是扩展密钥。
- 包含私钥的扩展密钥用以推导子私钥,从子私钥又可推导对应的公钥和比特币地址
- 包含公钥的扩展密钥用以推导子公钥
扩展密钥使用 Base58Check 算法加上特定的前缀编码,编码得到的包含私钥的前缀为 xprv, 包含公钥的扩展密钥前缀为 xpub,相比比特币的公私钥,扩展密钥编码之后得到的长度为 512 或 513 位。
子公钥推导
上述方法中通过推导出的私钥可推导出对应公钥,但 HD 钱包非常好用的特征之一就是在隐藏私钥的前提下通过公钥推导出子公钥,极大加强安全性。在只需要生成地址接受比特币而无权消费的场景下非常有用,通过公钥扩展密钥能生成无穷尽的公钥和比特币地址。
HD 钱包通过公钥推导子公钥的使用场景:在接受数字货币支付的电商系统中,Web 服务中集成了比特币扩展公钥服务,系统为客户的每笔订单生成一个接受比特币支付的地址,不涉及到私钥的 web 服务极大地减低了被盗币的可能性。如果不采用 HD 钱包,通常都是在物理隔绝的服务器中批量生成比特币地址,然后再导入到电商系统,这种方式需要定时生成并导入地址维护防止 web 服务系统把预先导入的地址用完。
子私钥推导流程和子公钥流程基本一样,差异之处有两点:
- 把子私钥推导过程中私钥替换为公钥。
- 子公钥推导出对应出与之的子链码
增强扩展密钥推导
密钥需加强保管以免泄漏,泄漏私钥意味着对应的地址上的币可被转走、泄漏公钥意味着 HD 钱包的隐私被泄漏。增强密钥推导 (Hardened child key derivation) 解决下述两个问题:
- 虽然泄漏公钥并不会导致丢币,但含有公钥的扩展密钥泄漏会导致以此为根节点推导出来的扩展公钥全部泄漏,一定程度上破坏了隐私性。
- 泄漏扩展公钥加上该公钥推导出的后任一代扩展公钥对应的私钥有被推导出该扩展公钥的所有后代私钥的可能性
于此,BIP32 协议把 CKD 函数改为 HKD (hardened key derivation formula) 生成增强密钥推导函数。
CKD 函数以推导扩展密钥的序列号 ( 0x00 到 0x7fffffff)、父链码和父公钥生或父私钥成子链码和子公钥,子私钥从父私钥推导;而 HKD 通过父私钥、父链码和推导增强扩展密钥的序列号 (0x80000000 到 0xffffffff) 增强子私钥和增强子链码。
HD 钱包密钥路径表示
HD 路径密钥描述m/0从主私钥(m) 推导出的第一代的第一个子私钥m/0/0从第一代子密钥m(0)推导出的第二代第一个孙私钥m/0'/0从第一代增强密钥 (m/0')推导出得第二代第一个孙密钥m/1/0从第一代的第二个子密钥推导出的第二代第一个孙密钥
参考和推荐阅读
- List of address prefixes
- PBKDF2 算法概述
- 分层确定性钱包 HD Wallet 介绍
- Bitcoin developer-guide#wallets
- Working with Bitcoin HD wallets II: Deriving public keys
数字货币钱包 - 助记词 及 HD 钱包密钥原理相关推荐
- 比特币/以太坊/加密货币/网络/区块链/钱包助记词:密码学的角度上,24个单词比12个单词更安全吗
我们从密码学角度来聊聊助记词. 随着区块链钱包的发展和分层确定性(HD)钱包技术的普及,越来越多的用户开始熟悉了一个叫"助记词"的概念,很多人都已经习惯了从一开始使用一个钱包的时候 ...
- 数字钱包助记词生成公私钥流程分析
salt : 通过生成一些随机的文本将其附加到密码上来生成 Hash, 主要目的是用来防止预先被计算好的彩虹表攻击. 1.助记词根据生成流程,可看数字钱包助记词生成浅析,返推算出随机byte数组. 2 ...
- 1.16. BIP39协议:使用助记词生成确定性钱包
以太坊系统学习教程: https://www.netkiller.cn/blockchain/bip39.html 1.16. BIP39协议:使用助记词生成确定性钱包 BIP:39 层:应用层 标题 ...
- HPB-Wallet:HPB钱包助记词生成和备份
HPB-Wallet:HPB钱包助记词生成和备份 助 记 词 生 成 1 BIP32, BIP39, BIP44 BIP32:定义 Hierarchical Deterministic wallet ...
- android web3j 代币查询_wallet-eth 以太坊代币钱包 助记词 私钥 keystore 转账
wallet-eth-android wallet-eth 以太坊代币钱包 助记词 私钥 keystore 转账(bip39.bip32.bip44.web3j) 生成钱包地址 // 生成钱包地址 W ...
- coldwallet java eth_wallet-eth 以太坊代币钱包 助记词 私钥 keystore 转账
wallet-eth-android wallet-eth 以太坊代币钱包 助记词 私钥 keystore 转账(bip39.bip32.bip44.web3j) 生成钱包地址 // 生成钱包地址 W ...
- 数字货币钱包 HD Wallet的助记词和种子的生成原理(BIP39)
BIP39描述了如何生成助记符,并将其转换为二进制种子.该种子可以生成确定性钱包. 如何生层助记词 我们先看看助记词范围--单词表.生成助记词的过程就是这个表里(2048个单词,记住这个数值)选 ...
- 比特币钱包开发:通过助记词扩展子地址的原理与编码
[db:标签]标 掌握生成助记词的原理 掌握助记词生成种子的原理 掌握种子生成子秘钥的原理 编程实践:从生成助记词到子地址 前言 为了安全尽量保证比特币地址的公钥未在网络上出现过,这就需要我们每次支付 ...
- HPB钱包助记词生成和备份
助记词生成 1 BIP32, BIP39, BIP44 BIP32:定义 Hierarchical Deterministic wallet (简称 "HD Wallet"),是一 ...
- 通过代码生成以太坊助记词、根据钱包地址获取私钥
生成助记词.公私钥 新建一个目录 在目录下执行 npm init (需安装nodejs)nodejs中文官网 安装依赖 (没有yarn的需要安装,直接执行 npm install -g yarn) ...
最新文章
- Mobileye独创性创新
- [NC16591]关押罪犯 并查集
- R语言常用sys函数汇总:sys.chmod、Sys.Date、Sys.time、Sys.getenv、Sys.getlocale、sys.getpid、sys.glob、sys.info等
- avr-gcc中关于delay延时函数的应用修改版[ourdev]
- Vim和Vi的常用命令
- ab plc编程软件_三菱PLC原装和高仿怎么区分?仿真和编程软件一样吗?
- Power BI 与 Azure Analysis Services 的数据关联:4、Power BI 连接到Azure Analysis Services 并展示...
- 客户机容易随机出现自动重启、游戏卡问题?不妨优化下BIOS中节能技术!
- 【数据库系统工程师复习笔记】0.考试大纲及教程目录
- 街头卖艺里的故事,你还会相信吗?
- spark编程:DataFrame和SQL编程基础-2
- AI弄潮!深圳第一高楼智能访客系统“刷脸”通行
- 微信突破版本限制永久设置透明/半透明头像
- 【动手学习深度学习】01 安装运行环境——Windows
- Keil 5(MDK 5)中的 Pack Installer下载不了库文件包的解决替代方法(在Keil官网下载Packs库文件)
- 基础篇 | 材质01 | 4种法线
- Linux命令入门教程(三):文件基础篇
- 微信小程序如何请求数据
- 以太坊:Etherscan 使用说明
- spring boot服务器内存不足排查