加密钱包如何生成私钥和公钥？

密钥生成过程

1. 加密钱包通过在特定有限域内生成加密安全随机数（对于 Bitcoin 和以太坊来说通常是 256 位整数）来启动密钥生成。

2. 该整数成为私钥，表示为 64 个字符的十六进制字符串或通过 BIP-39 标准编码的 12 或 24 字助记词短语。

3. 然后将私钥输入椭圆曲线乘法函数（特别是 Bitcoin 和以太坊的 secp256k1），以导出相应的公钥。

4. 公钥经过 SHA-256 哈希处理，然后经过 RIPEMD-160 哈希处理，产生 160 位输出，构成钱包地址的基础。

5. 在 Base58Check 编码将结果转换为最终的人类可读地址格式之前，附加版本字节和校验和。

椭圆曲线密码学基金会

1. secp256k1 曲线定义了主要区块链使用的数学结构：在质数域上模 p = 2²⁵⁶ − 2³² − 977 上的 y² = x³ + 7。

2. 私钥是应用于该曲线上固定生成点 G 的标量乘数。

3. 公钥作为标量乘法后的结果点 (x, y) 坐标出现——此操作计算效率高，但如果没有暴力方法，则不可逆。

4.离散对数问题确保以当前的计算能力从公钥推导出私钥仍然是不可行的。

5. 每个有效的私钥都精确地映射到一个公钥，但多个私钥在标准派生路径下不能产生相同的公钥。

钱包地址推导

1. 钱包获得未压缩的公钥（65字节）后，应用SHA-256将其压缩为32字节的摘要。

2. 该摘要通过 RIPEMD-160 生成 20 字节哈希值——链上交易中使用的核心标识符。

3. 特定于网络的前缀（例如，Bitcoin 主网为 0x00，测试网为 0x01）添加到 RIPEMD-160 输出之前。

4. 双 SHA256 校验和计算前四个字节，附加到前缀哈希。

5. 完整的二进制有效负载经过 Base58Check 编码以生成旧版 P2PKH 地址，例如1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa 。

助记词整合

1. BIP-39 使用从 128-256 位熵生成的 12 或 24 字种子短语引入了确定性密钥派生。

2、从固定2048词词典中选词；每个字编码 11 位，从而能够精确重建原始熵。

3. 校验和在单词映射之前扩展了熵——确保手动输入期间的拼写错误。

4. PBKDF2-HMAC-SHA512 进行 2048 次迭代，从助记词和可选密码短语中导出 512 位种子。

5. 该种子用作 BIP-32 分层确定性 (HD) 钱包算法的输入，允许从单个根派生出无数密钥对。

密钥生成的安全影响

1. 弱熵源（例如可预测的系统时钟或低熵操作系统 RNG）可能会产生统计上有偏差的私钥，容易被重建。

2. 在多个链或上下文中重复使用相同的私钥会增加暴露面积，但没有加密优势。

3. 硬件钱包将密钥生成隔离在安全元件内，防止创建或签名操作期间发生泄漏。

4. 如果实施不当，仅依赖基于浏览器的 Web Crypto API 的软件钱包可能会将熵的生成暴露给定时侧信道攻击。

5.缺乏真正的随机性会使整个加密保证失效，甚至使数学上合理的曲线对目标恢复无效。

常见问题解答

问：两个不同的钱包可以生成相同的私钥吗？统计上可能，但实际上不可能——有 2²⁵⁶ 个唯一值，使得碰撞概率小于 10⁷⁷ 中的 1。

问：为什么有些钱包同时显示压缩和未压缩的公钥？压缩密钥通过仅对 x 坐标和奇偶校验位进行编码，将存储需求减半；两种形式在散列时都会产生相同的地址。

问：使用开源工具离线生成密钥安全吗？是的——如果环境是气隙的，熵源得到验证，并且在生成过程中没有网络堆栈处于活动状态。

问：更改 BIP-39 钱包中的密码是否会改变派生私钥？是的，密码在 PBKDF2 中充当盐，产生完全不同的种子，从而产生不同的密钥层次结构。