加密錢包如何產生私鑰和公鑰？

密鑰產生過程

1. 加密錢包透過在特定有限域內產生加密安全隨機數（對於 Bitcoin 和以太坊來說通常是 256 位元整數）來啟動金鑰產生。

2. 該整數成為私鑰，表示為 64 個字元的十六進位字串或透過 BIP-39 標準編碼的 12 或 24 字助記詞短語。

3. 然後將私鑰輸入橢圓曲線乘法函數（特別是 Bitcoin 和以太坊的 secp256k1），以匯出對應的公鑰。

4. 公鑰經過 SHA-256 哈希處理，然後經過 RIPEMD-160 哈希處理，產生 160 位元輸出，構成錢包位址的基礎。

5. 在 Base58Check 編碼將結果轉換為最終的人類可讀位址格式之前，附加版本位元組和校驗和。

橢圓曲線密碼學基金會

1. secp256k1 曲線定義了主要區塊鏈使用的數學結構：在質數域上模 p = 2²⁵⁶ − 2³² − 977 上的 y² = x³ + 7。

2. 私鑰是應用於此曲線上固定產生點 G 的標量乘數。

3. 公鑰作為標量乘法後的結果點 (x, y) 座標出現－此運算計算效率高，但如果沒有暴力方法，則不可逆。

4.離散對數問題確保以目前的運算能力從公鑰推導出私鑰仍然是不可行的。

5. 每個有效的私鑰都精確地對應到一個公鑰，但多個私鑰在標準衍生路徑下不能產生相同的公鑰。

錢包地址推導

1. 錢包獲得未壓縮的公鑰（65位元組）後，應用SHA-256將其壓縮為32位元組的摘要。

2. 此摘要透過 RIPEMD-160 產生 20 位元組雜湊值－鏈上交易中使用的核心識別碼。

3. 特定於網路的前綴（例如，Bitcoin 主網為 0x00，測試網為 0x01）加入到 RIPEMD-160 輸出之前。

4. 雙 SHA256 校驗和計算前四個字節，附加到前綴雜湊。

5. 完整的二進位有效負載經過 Base58Check 編碼以產生舊版 P2PKH 位址，例如1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa 。

助記詞整合

1. BIP-39 使用從 128-256 位元熵產生的 12 或 24 字種子短語引入了確定性金鑰派生。

2、從固定2048詞詞典中選詞；每個字編碼 11 位，因此能精確重建原始熵。

3. 校驗和在單字映射之前擴展了熵－確保手動輸入期間的拼字錯誤。

4. PBKDF2-HMAC-SHA512 進行 2048 次迭代，從助記詞和可選密碼短語中導出 512 位元種子。

5. 此種子用作 BIP-32 分層確定性 (HD) 錢包演算法的輸入，允許從單一根派生出無數密鑰對。

金鑰產生的安全影響

1. 弱熵來源（例如可預測的系統時鐘或低熵作業系統 RNG）可能會產生統計上偏差的私鑰，容易被重建。

2. 在多個鍊或上下文中重複使用相同的私鑰會增加暴露面積，但沒有加密優勢。

3. 硬體錢包將金鑰產生隔離在安全元件內，防止建立或簽署作業期間發生洩漏。

4. 如果實作不當，僅依賴基於瀏覽器的 Web Crypto API 的軟體錢包可能會將熵的產生暴露給定時側頻道攻擊。

5.缺乏真正的隨機性會使整個加密保證失效，甚至使數學上合理的曲線對目標恢復無效。

常見問題解答

Q：兩個不同的錢包可以產生相同的私鑰嗎？統計上可能，但實際上不可能－有 2²⁵⁶ 個唯一值，使得碰撞機率小於 10⁷⁷ 中的 1。

Q：為什麼有些錢包同時顯示壓縮和未壓縮的公鑰？壓縮密鑰透過僅對 x 座標和奇偶校驗位元進行編碼，將儲存需求減半；兩種形式在雜湊時都會產生相同的位址。

Q：使用開源工具離線產生金鑰安全嗎？是的－如果環境是氣隙的，熵源得到驗證，並且在生成過程中沒有網路堆疊處於活動狀態。

Q：更改 BIP-39 錢包中的密碼是否會改變派生私鑰？是的，密碼在 PBKDF2 中充當鹽，產生完全不同的種子，從而產生不同的密鑰層次結構。