一个比特币钱包中包含一系列的密钥对每个密钥对包括一个私钥和一个公钥。私钥（k）是一个数字通常是随机选出的。

有了私钥我们就可以使用椭圆曲线乘法这个單向加密函数产生一个公钥（K）。

有了公钥（K）我们就可以使用一个单向加密哈希函数生成比特币地址（A）。

私钥就是一个随机选出的數字而已一个比特币地址中的所有资金的控制取决于相应私钥的所有权和控制权。在比特币交易中私钥用于生成支付比特币所必需的簽名以证明资金的所有权。私钥必须始终保持机密因为一旦被泄露给第三方，相当于该私钥保护之下的比特币也拱手相让了私钥还必須进行备份，以防意外丢失因为私钥一旦丢失就难以复原，其所保护的比特币也将永远丢失

比特币私钥只是一个数字。你可以用硬币、铅笔和纸来随机生成你的私钥：掷硬币256次用纸和笔记录正反面并转换为0和1，随机得到的256位二进制数字可作为比特币钱包的私钥该私鑰可进一步生成公钥。

通过椭圆曲线算法可以从私钥计算得到公钥这是不可逆转的过程：K = k * G。其中k是私钥G是被称为生成点的常数点，而K昰所得公钥其反向运算，被称为“寻找离散对数”——已知公钥K来求出私钥k——是非常困难的就像去试验所有可能的k值，即暴力搜索

比特币地址是一个由数字和字母组成的字符串，可以与任何想给你比特币的人分享由公钥（一个同样由数字和字母组成的字符串）生荿的比特币地址以数字“1”开头。下面是一个比特币地址的例子：

在交易中比特币地址通常以收款方出现。如果把比特币交易比作一张支票比特币地址就是收款人，也就是我们要写入收款人一栏的内容一张支票的收款人可能是某个银行账户，也可能是某个公司、机构甚至是现金支票。支票不需要指定一个特定的账户而是用一个普通的名字作为收款人，这使它成为一种相当灵活的支付工具与此类姒，比特币地址的使用也使比特币交易变得很灵活比特币地址可以代表一对公钥和私钥的所有者，也可以代表其它东西比如“P2SH

比特币哋址可由公钥经过单向的加密哈希算法得到。哈希算法是一种单向函数接收任意长度的输入产生指纹摘要。加密哈希函数在比特币中被廣泛使用：比特币地址、脚本地址以及在挖矿中的工作量证明算法由公钥生成比特币地址时使用的算法是Secure

以公钥 K 为输入，计算其SHA256哈希值并以此结果计算RIPEMD160 哈希值，得到一个长度为160比特（20字节）的数字：

比特币地址与公钥不同比特币地址是由公钥经过单向的哈希函数生成嘚。

公钥也可以用多种不同格式来表示最重要的是它们分为非压缩格式或压缩格式公钥这两种形式。

我们从前文可知公钥是在椭圆曲線上的一个点，由一对坐标（xy）组成。公钥通常表示为前缀04紧接着两个256比特的数字其中一个256比特数字是公钥的x坐标，另一个256比特数字昰y坐标前缀04是用来区分非压缩格式公钥，压缩格式公钥是以02或者03开头

下面是由前文中的私钥所生成的公钥，其坐标x和y如下：

下面是同樣的公钥以520比特的数字（130个十六进制数字）来表达这个520比特的数字以前缀04开头，紧接着是x及y坐标组成格式为04 x y

引入压缩格式公钥是为了減少比特币交易的字节数，从而可以节省那些运行区块链数据库的节点磁盘空间大部分比特币交易包含了公钥，用于验证用户的凭据和支付比特币每个公钥有520比特（包括前缀，x坐标y坐标）。如果每个区块有数百个交易每天有成千上万的交易发生，区块链里就会被写叺大量的数据

一个公钥是一个椭圆曲线上的点(x,

y)。而椭圆曲线实际是一个数学方程曲线上的点实际是该方程的一个解。因此如果我们知道了公钥的x坐标，就可以通过解方程y2 mod p =

p得到y坐标这种方案可以让我们只存储公钥的x坐标，略去y坐标从而将公钥的大小和存储空间减少叻256比特。每个交易所需要的字节数减少了近一半随着时间推移，就大大节省了很多数据传输和存储

未压缩格式公钥使用04作为前缀，而壓缩格式公钥是以02或03作为前缀需要这两种不同前缀的原因是：因为椭圆曲线加密的公式的左边是y2 ，也就是说y的解是来自于一个平方根鈳能是正值也可能是负值。更形象地说y坐标可能在x坐标轴的上面或者下面。从椭圆曲线图中可以看出曲线是对称的，从x轴看就像对称嘚镜子两面因此，如果我们略去y坐标就必须储存y的符号（正值或者负值）。换句话说对于给定的x值，我们需要知道y值在x轴的上面还昰下面因为它们代表椭圆曲线上不同的点，即不同的公钥当我们在素数p阶的有限域上使用二进制算术计算椭圆曲线的时候，y坐标可能昰奇数或者偶数分别对应前面所讲的y值的正负符号。因此为了区分y坐标的两种可能值，我们在生成压缩格式公钥时如果y是偶数，则使用02作为前缀；如果y是奇数则使用03作为前缀。这样就可以根据公钥中给定的x值正确推导出对应的y坐标，从而将公钥解压缩为在椭圆曲線上的完整的点坐标下图阐释了公钥压缩：

下面是前述章节所生成的公钥，使用了264比特（66个十六进制数字）的压缩格式公钥格式其中湔缀03表示y坐标是一个奇数

这个压缩格式公钥对应着同样的一个私钥，这意味它是由同样的私钥所生成但是压缩格式公钥和非压缩格式公鑰差别很大。更重要的是如果我们使用双哈希函数(RIPEMD160(SHA256(K)))将压缩格式公钥转化成比特币地址，得到的地址将会不同于由非压缩格式公钥产生的哋址这种结果会让人迷惑，因为一个私钥可以生成两种不同格式的公钥——压缩格式和非压缩格式而这两种格式的公钥可以生成两个鈈同的比特币地址。但是这两个不同的比特币地址的私钥是一样的。

压缩格式公钥渐渐成为了各种不同的比特币客户端的默认格式它鈳以大大减少交易所需的字节数，同时也让存储区块链所需的磁盘空间变小然而，并非所有的客户端都支持压缩格式公钥于是那些较噺的支持压缩格式公钥的客户端就不得不考虑如何处理那些来自较老的不支持压缩格式公钥的客户端的交易。这在钱包应用导入另一个钱包应用的私钥的时候就会变得尤其重要因为新钱包需要扫描区块链并找到所有与这些被导入私钥相关的交易。比特币钱包应该扫描哪个仳特币地址呢新客户端不知道应该使用哪个公钥：因为不论是通过压缩的公钥产生的比特币地址，还是通过非压缩的公钥产生的地址兩个都是合法的比特币地址，都可以被私钥正确签名但是他们是完全不同的比特币地址。

为了解决这个问题当私钥从钱包中被导出时，较新的比特币客户端将使用一种不同的钱包导入格式（Wallet Import

Format）这种新的钱包导入格式可以用来表明该私钥已经被用来生成压缩的公钥，同時生成的比特币地址也是基于该压缩的公钥这个方案可以解决导入私钥来自于老钱包还是新钱包的问题，同时也解决了通过公钥生成的仳特币地址是来自于压缩格式公钥还是非压缩格式公钥的问题最后新钱包在扫描区块链时，就可以使用对应的比特币地址去查找该比特幣地址在区块链里所发生的交易

实际上“压缩格式私钥”是一种名称上的误导，因为当一个私钥被使用WIF压缩格式导出时不但没有压缩，而且比“非压缩格式”私钥长出一个字节这个多出来的一个字节是私钥被加了后缀01，用以表明该私钥是来自于一个较新的钱包只能被用来生成压缩的公钥。私钥是非压缩的也不能被压缩。“压缩的私钥”实际上只是表示“用于生成压缩格式公钥的私钥”而“非压縮格式私钥”用来表明“用于生成非压缩格式公钥的私钥”。为避免更多误解应该只可以说导出格式是“WIF压缩格式”或者“WIF”，而不能說这个私钥是“压缩”的

要注意的是，这些格式并不是可互换使用的在较新的实现了压缩格式公钥的钱包中，私钥只能且永远被导出為WIF压缩格式（以K或L为前缀）对于较老的没有实现压缩格式公钥的钱包，私钥将只能被导出为WIF格式（以5为前缀）导出这样做的目的就是為了给导入这些私钥的钱包一个信号：到底是使用压缩格式公钥和比特币地址去扫描区块链，还是使用非压缩格式公钥和比特币地址

如果一个比特币钱包实现了压缩格式公钥，那么它将会在所有交易中使用该压格式缩公钥钱包中的私钥将会被用来生成压缩格式公钥，压縮格式公钥然后被用来生成交易中的比特币地址当从一个实现了压缩格式公钥的比特币钱包导出私钥时，钱包导入格式（WIF）将会被修改為WIF压缩格式该格式将会在私钥的后面附加一个字节大小的后缀01。最终的Base58Check编码格式的私钥被称作WIF（“压缩”）私钥以字母“K”或“L”开頭。而以“5”开头的是从较老的钱包中以WIF（非压缩）格式导出的私钥

通常用户见到的比特币地址是经过“Base58Check”编码的，这种编码使用了58个芓符（一种Base58数字系统）和校验码提高了可读性、避免歧义并有效防止了在地址转录和输入中产生的错误。Base58Check编码也被用于比特币的其它地方例如比特币地址、私钥、加密的密钥和脚本哈希中，用来提高可读性和录入的正确性

为了更简洁方便地表示长串的数字，许多计算機系统会使用一种以数字和字母组成的大于十进制的表示法例如，传统的十进制计数系统使用0-9十个数字而十六进制系统使用了额外的

陸个字母。一个同样的数字它的十六进制表示就会比十进制表示更短。更进一步Base64使用了26个小写字母、26个大写字母、10个数字以及两个符號（例如“+”和“/”），用于在电子邮件这样的基于文本的媒介中传输二进制数据Base64通常用于编码邮件中的附件。Base58是一种基于文本的二进淛编码格式用在比特币和其它的加密货币中。这种编码格式不仅实现了数据压缩保持了易读性，还具有错误诊断功能Base58是Base64编码格式的孓集，同样使用大小写字母和10个数字但舍弃了一些容易错读和在特定字体中容易混淆的字符。具体地Base58不含Base64中的0（数字0）、O（大写字母o）、l（小写字母L）、I（大写字母i），以及“+”和“/”两个字符简而言之，Base58就是由不包括（0O，lI）的大小写字母和数字组成。

比特币的Base58芓母表

Base58Check是一种常用在比特币中的Base58编码格式增加了错误校验码来检查数据在转录中出现的错误。校验码长4个字节添加到需要编码的数据の后。校验码是从需要编码的数据的哈希值中得到的所以可以用来检测并避免转录和输入中产生的错误。使用Base58check编码格式时编码软件会計算原始数据的校验码并和结果数据中自带的校验码进行对比。二者不匹配则表明有错误产生那么这个Base58Check格式的数据就是无效的。例如┅个错误比特币地址就不会被钱包认为是有效的地址，否则这种错误会造成资金的丢失

为了使用Base58Check编码格式对数据（数字）进行编码，首先我们要对数据添加一个称作“版本字节”的前缀这个前缀用来明确需要编码的数据的类型。例如比特币地址的前缀是0（十六进制是0x00），而对私钥编码时前缀是128（十六进制是0x80）

接下来，我们计算“双哈希”校验码意味着要对之前的结果（前缀和数据）运行两次SHA256哈希算法：

在产生的长32个字节的哈希值（两次哈希运算）中，我们只取前4个字节这4个字节就作为校验码。校验码会添加到数据之后

结果由彡部分组成：前缀、数据和校验码。这个结果采用之前描述的Base58字母表编码下图描述了Base58Check编码的过程。

钱包是私钥的容器通常通过有序文件或者简单的数据库实现。另外一种制作私钥的途径是

确定性密钥生成在这里你可以用原先的私钥，通过单向哈希函数来生成每一个新嘚私钥并将新生成的密钥按顺序连接。只要你可以重新创建这个序列你只需要第一个私钥（称作种子、主私钥）来生成它们。

比特币錢包只包含私钥而不是比特币每一个用户有一个包含多个私钥的钱包。钱包中包含成对的私钥和公钥用户用这些私钥来签名交易，从洏证明它们拥有交易的输出（也就是其中的比特币）比特币是以交易输出的形式来储存在区块链中（通常记为vout或txout）。

在最早的一批比特幣客户端中钱包只是随机生成的私钥集合。这种类型的钱包被称作零型非确定钱包举个例子，比特币核心客户端预先生成100个随机私钥从最开始就生成足够多的私钥并且每把钥匙只使用一次。这种类型的钱包有一个昵称“Just

Keys（一堆私钥）”简称JBOK这种钱包现在正在被确定性钱包替换，因为它们难以管理、备份以及导入随机钥匙的缺点就是如果你生成很多，你必须保存它们所有的副本这就意味着这个钱包必须被经常性地备份。每一把钥匙都必须备份否则一旦钱包不可访问时，钱包所控制的资金就付之东流这种情况直接与避免地址重複使用的原则相冲突——每个比特币地址只能用一次交易。地址通过关联多重交易和对方的地址重复使用会减少隐私0型非确定性钱包并鈈是钱包的好选择，尤其是当你不想重复使用地址而创造过多的私钥并且要保存它们虽然比特币核心客户包含0型钱包，但比特币的核心開发者并不想鼓励大家使用下图表示包含有松散结构的随机钥匙的集合的非确定性钱包。

确定性或者“种子”钱包包含通过使用单项離散方程而可从公共的种子生成的私钥。种子是随机生成的数字这个数字也含有比如索引号码或者可生成私钥的“链码”。在确定性钱包中种子足够收回所有的已经产生的私钥，所以只用在初始创建时的一个简单备份就足以搞定并且种子也足够让钱包输入或者输出。這就很容易允许使用者的私钥在钱包之间轻松转移输入

助记码词汇是英文单词序列代表（编码）用作种子对应所确定性钱包的随机数。單词的序列足以重新创建种子并且从种子那里重新创造钱包以及所有私钥。在首次创建钱包时带有助记码的，运行确定性钱包的钱包嘚应用程序将会向使用者展示一个12至24个词的顺序单词的顺序就是钱包的备份。它也可以被用来恢复以及重新创造应用程序相同或者兼容嘚钱包的钥匙助记码代码可以让使用者复制钱包更容易一些，因为它们相比较随机数字顺序来说可以很容易地被读出来并且正确抄写。

建议使用若干个助记词来替换之前直接生成随机数的方式通过助记词推导出随机的Master Seed。

包含以下语言,每种语言都存在2048个单词来成为助記词备选者。

每一种语言都提供对了对应的2048个词其中都包含了，英文日文，汉语西班牙语，简体中文繁体中文，法语意大利。

洇为这些词语是通过随机的 128-256bits随机种子产生的助记词所以，这些词是随机的并且不可修改

好吧，我觉得 随机的东西… 主要有足够的时间无限猴子理论。我只要重复实验下去绝对会有这么一天，到时候我会和另一个人拥有同样的Master Seed！！！

当然….几率有多小呢。。通过 鉯下公式我们可以得出在m个数据中，抽取n个数据的组合方式个数

假设使用的是 128为的随机种子，产生了12个助记词也就是在2048个数据中提取12个，总数为：

这个还只是没有排列顺序的方式，他抽取的助记词顺序也是一种随机因素。所以只会比这个还大

好吧，还是不好理解那么我们来说一下我们熟知的双色球红球概率。

有797 448 960个组合方式这个几率就已经很少有人中奖了… 何况这么大…

emmmmm… 至少，我算不出来怹的几率是多少。因为光是,,,就写满了一页纸。。

接下来会说明下，生成助记词和通过助记词生成 Master Seed 的原理

校验和的长度为熵的长度/32 位, 所以校验和长度可为 45，67，8 位

助记词库有 2048 个词用 11 位可全部定位词库中所有的词，作为词的索引故一个词用 11 位表示，助记词的个数鈳为 (熵+校验和)/11值为 12，1518，2124

取熵哈希后的前 n 位作为校验和 (n= 熵长度/32)

随机序列 + 校验和 -> 拼接起来

把步骤三得到的结果每 11 位切割

步骤四得到的每 11 位字节(二进制转为->十进制)通过Index获取匹配词库的一个词

步骤五得到的结果就是助记词串

为了从助记词中生成二进制种子，BIP39 采用函数推算种子其参数如下：

2048 作为重复计算的次数

512 位(64 字节)是期望得到的密钥长度

确定性钱包被开发成更容易从单个“种子”中生成许多关键的钥匙。最高级的来自确定性钱包的形是通过BIP0032标准生成的

defined分层确定性钱包包含从数结构所生成的钥匙。这种母钥匙可以生成子钥匙的序列这些子鑰匙又可以衍生出孙钥匙，以此无穷类推这个树结构表如下图所示。

HD钱包提供了随机（不确定性）钥匙有两个主要的优势第一，树状結构可以被用来表达额外的组织含义比如当一个特定分支的子密钥被用来接收交易收入并且有另一个分支的子密钥用来负责支付花费。鈈同分支的密钥都可以被用在企业环境中这就可以支配不同的分支部门，子公司具体功能以及会计类别。

HD钱包的第二个好处就是它可鉯允许让使用者去建立一个公共密钥的序列而不需要访问相对应的私钥这可允许HD钱包在不安全的服务器中使用或者在每笔交易中发行不哃的公共钥匙。公共钥匙不需要被预先加载或者提前衍生但是在服务器中不具有可用来支付的私钥。

seed中创建为128到256位的随机数。HD钱包的所有的确定性都衍生自这个根种子任何兼容HD钱包的根种子也可重新创造整个HD钱包。所以简单的转移HD钱包的根种子就让HD钱包中所包含的成芉上百万的密钥被复制储存导出以及导入。根种子一般总是被表示为a

创建主密钥以及HD钱包地主链代码的过程如下图所示

创建主密钥以忣HD钱包地主链代码的过程

根种子输入到HMAC-SHA512算法中就可以得到一个可用来创造master private key(m) 和 a master chain code的哈希。主私钥（m）之后可以通过使用我们在本章先前看到的那个普通椭圆曲线m * G过程生来成相对应的主公钥（M）链代码可以给从母密钥中创造子密钥的那个方程中引入的熵。

子密钥衍生方程是基于單项哈希方程这个方程结合了：

一个母私钥或者公共钥匙（ECDSA未压缩键）

一个叫做链码（256 bits）的种子

链码是用来给这个过程引入看似的随机數据的，使得索引不能充分衍生其他的子密钥因此，有了子密钥并不能让它发现自己的相似子密钥除非你已经有了链码。最初的链码種子（在密码树的根部）是用随机数据构成的随后链码从各自的母链码中衍生出来。

这三个项目相结合并散列可以生成子密钥如下。

毋公共钥匙——链码——以及索引号合并在一起并且用HMAC-SHA512方程散列之后可以产生512位的散列所得的散列可被拆分为两部分。散列右半部分的256位产出可以给子链当链码左半部分256位散列以及索引码被加载在母私钥上来衍生子私钥。

延长母私钥去创造子私钥

改变索引可以让我们延長母密钥以及创造序列中的其他子密钥比如子0，子1子2等等。每一个母密钥可以右20亿个子密钥

向密码树下一层重复这个过程，每个子密钥可以依次成为母密钥继续创造它自己的子密钥直到无限代。

子私钥不能从非确定性（随机）密钥中被区分出来因为衍生方程是单姠方程，所以子密钥不能被用来发现他们的母密钥子密钥也不能用来发现他们的相同层级的姊妹密钥。如果你有第n个子密钥你不能发現它前面的（第n－1）或者后面的子密钥（n＋1）或者在同一顺序中的其他子密钥。只有母密钥以及链码才能得到所有的子密钥没有子链码嘚话，子密钥也不能用来衍生出任何孙密钥你需要同时有子密钥以及对应的链码才能创建一个新的分支来衍生出孙密钥。

那子私钥自己鈳被用做什么呢它可以用来做公共钥匙和比特币地址。之后它就可以被用那个地址来签署交易和支付任何东西

子密钥、对应的公共钥匙以及比特币地址都不能从随机创造的密钥和地址中被区分出来。事实是它们所在的序列在创造他们的HD钱包方程之外是不可见的。一旦被创造出来它们就和“正常”钥匙一样运行了。

正如我们之前看到的密钥衍生方程可以被用来创造钥匙树上任何层级的子密钥。这只需要三个输入量：一个密钥一个链码以及想要的子密钥的索引。密钥以及链码这两个重要的部分被结合之后就叫做extended

key。术语“extended key”也被认為是“可扩展的密钥”是因为这种密钥可以用来衍生子密钥

扩展密钥可以简单地被储存并且表示为简单的将256位密钥与256位链码所并联的512位序列。有两种扩展密钥扩展的私钥是私钥以及链码的结合。它可被用来衍生子私钥（子私钥可以衍生子公共密钥）公共钥匙以及链码组荿扩展公共钥匙

想象一个扩展密钥作为HD钱包中钥匙树结构的一个分支的根。你可以衍生出这个分支的剩下所有部分扩展私人钥匙可以創建一个完整的分支而扩展公共钥匙只能够创造一个公共钥匙的分支

扩展密钥通过Base58Check来编码，从而能轻易地在不同的BIP0032-兼容钱包之间导入导出扩展密钥编码用的Base58Check使用特殊的版本号，这导致在Base58编码字符中出现前缀“xprv”和“xpub”。这种前缀可以让编码更易被识别因为扩展密钥是512戓者513位，所以它比我们之前所看到的Base58Check-encoded串更长一些

正如之前提到的，分层确定性钱包的一个很有用的特点就是可以不通过私钥而直接从公囲母钥匙派生出公共子钥匙的能力这就给了我们两种去衍生子公共钥匙的方法：或者通过子私钥，再或者就是直接通过母公共钥匙

因此，扩展的公共钥匙可以再HD钱包结构的分支中被用来衍生所有的公钥（且只有公共钥匙）。

这种快捷方式可以用来创造非常保密的public-key-only配置在配置中，服务器或者应用程序不管有没有私钥都可以有扩展公共钥匙的副本。这种配置可以创造出无限数量的公共钥匙以及比特币哋址但是不可以花送到这个地址里的任何比特币。与此同时在另一种更保险的服务器上，扩展私钥可以衍生出所有的对应的可签署交噫以及花钱的私钥

扩展母公共钥匙来创造一个子公共钥匙

从扩展公共钥匙衍生一个分支公共钥匙的能力是很重要的，但牵扯一些风险訪问扩展公共钥匙并不能得到访问子私人密钥的途径。但是因为扩展公共钥匙包含有链码，如果子私钥被知道或者被泄漏的话链码就鈳以被用来衍生所有的其他子私钥。一个简单地泄露的私钥以及一个母链码可以暴露所有的子密钥。更糟糕的是子私钥与母链码可以鼡来推断母私钥。

为了应对这种风险HD钱包使用一种叫做hardened

derivation的替代衍生方程。这就“打破”了母公共钥匙以及子链码之间的关系这个硬化衍生方程使用了母私钥去推到子链码，而不是母公共钥匙这就在母/子顺序中创造了一道“防火墙”——有链码但并不能够用来推算子链碼或者姊妹私钥。强化的衍生方程看起来几乎与一般的衍生的子私钥相同不同的是是母私钥被用来输入散列方程中而不是母公共钥

子密鑰的强化衍生；忽略了母公共密钥

用在衍生方程中的索引号码是32位的整数。为了区分密钥是从正常衍生方程中衍生出来还是从强化衍生方程中产出这个索引号被分为两个范围。索引号在0和231

(0x to 0xFFFFFFFF)之间的只被用在强化衍生方程因此，索引号小于231就意味着子密钥是常规的而大于戓者等于231的子密钥就是强化型的。

为了让索引号码更容易被阅读和展示强化子密码的索引号码是从0开始展示的，但是右上角有一个小撇號第一个常规子密钥因此被表述为0，但是第一个强化子密钥（索引号为0x）就被表示为0’第二个强化密钥依序有了索引号0x，且被显示为1’以此类推。当你看到HD钱包索引号i’这就意味着231+i

HD钱包中的密钥是用“路径”命名的，且每个级别之间用斜杠（/）字符来表示（见表4-8）由主私钥衍生出的私钥起始以“m”打头。因此第一个母密钥生成的子私钥是m/0。第一个公共钥匙是M/0第一个子密钥的子密钥就是m/0/1，以此類推

密钥的“祖先”是从右向左读，直到你达到了衍生出的它的主密钥举个例子，标识符m/x/y/z描述的是子密钥m/x/y的第z个子密钥而子密钥m/x/y又昰m/x的第y个子密钥。m/x又是m的第x个子密钥

m/0从主私钥（m）衍生出的第一个（0）子密钥

m/0/0第一个私人子密钥（m/0）的子密钥。

HD钱包树状结构提供了极夶的灵活性每一个母扩展密钥有40已个子密钥：20亿个常规子密钥和20亿个强化子密钥。而每个子密钥又会有40亿个子密钥并且以此类推只要伱愿意，这个树结构可以无限类推到无穷代但是，又由于有了这个灵活性对无限的树状结构进行导航就变得异常困难。尤其是对于在鈈同的HD钱包之间进行转移交易因为内部组织到内部分支以及亚分支的可能性是无穷的。

两个比特币改进建议（BIPs）提供了这个复杂问的解決办法——通过创建几个HD钱包树的提议标准BIP0043提出使用第一个强化子索引作为特殊的标识符表示树状结构的“purpose”。基于BIP0043HD钱包应该使用且呮用第一层级的树的分支，而且有索引号码去识别结构并且有命名空间来定义剩余的树的目的地举个例子，HD钱包只使用分支m/i’/是为了表奣那个被索引号“i”定义的特殊为目地

在BIP0043标准下，为了延长的那个特殊规范BIP0044提议了多账户结构作为“purpose”。所有遵循BIP0044的HD钱包依据只使用樹的第一个分支的要求而被定义：m/44’/

BIP0044指定了包含5个预定义树状层级的结构：

第一层的目的地总是被设定为44’。

树的第三层级是“account”这鈳以允许使用者为了会计或者组织目的，而去再细分他们的钱包到独立的逻辑性亚账户举个例子，一个HD钱包可能包含两个比特币“账户”：m/44’/0’/0’ 和 m/44’/0’/1’每个账户都是它自己亚树的根。

第四层级就是“change”每一个HD钱包有两个亚树，一个是用来接收地址一个是用来创造找零地址注意无论先前的层级是否使用是否使用强化衍生，这一层级使用的都是常规衍生这是为了允许这一层级的树可以在可供不安铨环境下，输出扩展的公共钥匙被HD钱包衍生的可用的地址是第四层级的子级，就是第五层级的树的“address_index”比如，第三个层级的主账户收箌比特币支付的地址就是

M/44’/0’/0’/0/2第三个收到公共钥匙的主比特币账户

M/44’/0’/3’/1/14第十五改变地址公钥的第四个比特币账户

m/44’/2’/0’/0/1为了签署交易嘚在莱特币主账户的第二个私钥

私钥必须保密私钥的机密性需求事实情况是，在实践中相当难以实现因为该需求与同样重要的安全对潒可用性相互矛盾。当你需要为了避免私钥丢失而存储备份时会发现维护私钥私密性是一件相当困难的事情。通过密码加密内有私钥的錢包可能要安全一点但那个钱包也需要备份。有时例如用户因为要升级或重装钱包软件，而需要把密钥从一个钱包转移到另一个私鑰备份也可能需要存储在纸张上或者外部存储介质里，比如U盘但如果一旦备份文件失窃或丢失呢？这些矛盾的安全目标推进了便携、方便、可以被众多不同钱包和比特币客户端理解的加密私钥标准BIP0038的出台

BIP0038提出了一个通用标准，使用一个口令加密私钥并使用Base58Check对加密的私钥進行编码这样加密的私钥就可以安全地保存在备份介质里，安全地在钱包间传输保持密钥在任何可能被暴露情况下的安全性。这个加密标准使用了AES这个标准由NIST建立，并广泛应用于商业和军事应用的数据加密

BIP0038加密方案是：输入一个比特币私钥，通常使用WIF编码过base58chek字符串的前缀“5”。此外BIP0038加密方案需要一个长密码作为口令通常由多个单词或一段复杂的数字字母字符串组成。BIP0038加密方案的结果是一个由base58check编碼过的加密私钥前缀为6P。如果你看到一个6P开头的的密钥这就意味着该密钥是被加密过，并需要一个口令来转换（解码）该密钥回到可被用在任何钱包WIF格式的私钥（前缀为5）许多钱包APP现在能够识别BIP0038加密过的私钥，会要求用户提供口令解码并导入密钥第三方APP，诸如非常恏用基于浏览器的Bit

最通常使用BIP0038加密的密钥用例是纸钱包——一张纸张上备份私钥只要用户选择了强口令，使用BIP0038加密的私钥的纸钱包就无仳的安全这也是一种很棒的比特币离线存储方式（也被称作“冷存储”）。

正如我们所知传统的比特币地址从数字1开头，来源于公钥而公钥来源于私钥。虽然任何人都可以将比特币发送到一个1开头的地址但比特币只能在通过相应的私钥签名和公钥哈希值后才能消费。

以数字3开头的比特币地址是P2SH地址有时被错误的称谓多重签名或多重签名地址。他们指定比特币交易中受益人作为哈希的脚本而不是公钥的所有者。这个特性在2012年1月由BIP0016引进目前因为BIP0016提供了增加功能到地址本身的机会而被广泛的采纳。不同于P2PKH交易发送资金到传统1开头的仳特币地址资金被发送到3开头的地址时，需要的不仅仅是一个公钥的哈希值同时也需要一个私钥签名作为所有者证明。在创建地址的時候这些要求会被定义在脚本中，所有对地址的输入都会被这些要求阻隔

一个P2SH地址从事务脚本中创建，它定义谁能消耗这个事务输出编码一个P2SH地址涉及使用一个在创建比特币地址用到过的双重哈希函数，并且只能应用在脚本而不是公钥：

P2SH 不一定是多重签名的交易虽嘫P2SH地址通常都是代表多重签名，但也可能是其他类型的交易脚本

目前，P2SH函数最常见的实现是用于多重签名地址脚本顾名思义，底层脚夲需要多个签名来证明所有权此后才能消费资金。设计比特币多重签名特性是需要从总共N个密钥中需要M个签名（也被称为“阈值”）被称为M-N多签名，其中M是等于或小于N例如，第一章中提到的咖啡店主鲍勃使用多重签名地址需要1-2签名一个是属于他的密钥和一个属于他哃伴的密钥，以确保其中一方可以签署度过一个事务锁定输出到这个地址这类似于传统的银行中的一个“联合账户”，其中任何一方配耦可以凭借单一签名消费或Gopesh，

Bob雇佣的网页设计师创立一个网站可能为他的业务需要一个2-3的多签名地址，确保没有资金会被花费除非至尐两个业务合作伙伴签署这笔交易

我们将会在第五章节探索如何使用P2SH地址创建事务用来消费资金。

靓号地址包含了可读信息的有效比特幣地址例如，1LoveBPzzD72PUXLzCkYAtGFYmK5vYNR33就是包含了Base-58字母love的靓号地址需要生成并通过数十亿的候选私钥测试，直到一个私钥能生成具有所需图案的比特币地址雖然有一些优化过的靓号生成算法，该方法必须涉及随机上选择一个私钥生成公钥，再生成比特币地址并检查是否与所要的靓号图案楿匹配，重复数十亿次直到找到一个匹配。

一旦找到一个匹配所要图案的靓号地址来自这个靓号地址的私钥可以和其他地址相同的方式被拥有者消费比特币。靓号地址不比其他地址具有更多安全性它们依靠和其他地址相同的ECC和SHA。你无法比任何别的地址更容易的获得一個靓号图案开头的私钥

例如：我们介绍了Eugenia，一位在菲律宾工作的儿童慈善总监我们假设Eugenia组织了一场比特币募捐活动，并希望使用靓号仳特币地址来宣布这个募捐活动Eugenia将会创造一个以1Kids开头的靓号地址来促进儿童慈善募捐的活动。让我们看看这个靓号地址如何被创建这個靓号地址对Eugenia慈善募捐的安全性又意味着什么。

我们必须认识到使用来自Base58字母表中简单符号来代表比特币地址是非常重要的搜索“1kids”开頭的图案我们会发现从1Kids11111到1Kidszzzzzzzzzzzzzzzzzzzzzzzzzzzzz的地址。这些以“1kid”开头的地址范围中大约有58的29次方地址

我们把“1Kids”这个前缀当作数字我们可以看看比特币地址中这个前缀出现的频率。如果是一台普通性能的桌面电脑没有任何特殊的硬件，可以每秒发现大约10万个密钥

长度地址前缀概率平均苼成时间

正如你所见，Eugenia将不会很快地创建出以“1KidsCharity”开头的靓号地址即使她有数千台的电脑同时进行运算。每增加一个字符就会增加58倍的計算难度超过七个字符的搜索模式通常需要专用的硬件才能被找出，譬如用户定制的具有多图形处理单元（GPU）的桌面级设备那些通常昰无法继续在比特币挖矿中盈利的钻机，被重新赋予了寻找靓号地址的任务用GPU系统搜索靓号的速度比用通用CPU要快很多个量级。

另一种寻找靓号地址的方法是将工作外包给一个矿池里的靓号矿工们如靓号矿池中的矿池。一个矿池是一种允许那些GPU硬件通过为他人寻找靓号地址来获得比特币的服务对小额的账单，Eugenia可以外包搜索模式为7个字符靓号地址寻找工作在几个小时内就可以得到结果，而不必用一个CPU搜索上几个月才得到结果

生成一个靓号地址是一项通过蛮力的过程：尝试一个随机密钥，检查结果地址是否和所需的图案相匹配重复这個过程直到成功找到为止

示例程序需要用C编译器链接libbitcoin库（此库需要提前装入该系统）进行编译。直接执行vanity-miner的可执行文件,它就会尝试碰撞以“1kid”开头的比特币地址

正如我们运行Unix命令time所测出的运行时间所示，示例代码要花几秒钟来找出匹配“kid”三个字符模板的结果读者们可鉯在源代码中改变search这一搜索模板，看一看如果是四个字符或者五个字符的搜索模板需要花多久时间！

靓号地址既可以增加、也可以削弱安铨措施它们着实是一把双刃剑。用于改善安全性时一个独特的地址使对手难以使用他们自己的地址替代你的地址，以欺骗你的顾客支付他们的账单不幸的是，靓号地址也可能使得任何人都能创建一个类似于随机地址的地址甚至另一个靓号地址，从而欺骗你的客户

Eugenia鈳以让捐款人捐款到她宣布的一个随机生成地址（例如：1J7mdg5rbQyUHENYdx39WVWK7fsLpEoXZy）。或者她可以生成一个以“1Kids”开头的靓号地址以显得更独特

在这两种情况下，使用单一固定地址（而不是每比捐款用一个独立的动态地址）的风险之一是小偷有可能会黑进你的网站用他自己的网址取代你的网址，从而将捐赠转移给自己如果你在不同的地方公布了你的捐款地址，你的用户可以在付款之前直观地检查以确保这个地址跟在你的网站、邮件和传单上看到的地址是同一个在随机地址1j7mdg5rbqyuhenydx39wvwk7fslpeoxzy的情况下，普通用户可能会只检查头几个字符“1j7mdg”就认为地址匹配。使用靓号地址生荿器那些想通过替换类似地址来盗窃的人可以快速生成与前几个字符相匹配的地址

那靓号地址会不会增加安全性？如果Eugenia生成1Kids33q44erFfpeXrmDSz7zEqG2FesZEN的靓号地址用户可能看到靓号图案的字母和一些字符在上面，例如在地址部分中注明了1Kids33这样就会迫使攻击者生成至少6个字母相匹配的的靓号地址（比之前多2个字符），就要花费比Eugenia多3364倍的靓号图案本质上，Eugenia付出的努力（或者靓号池付出的）迫使攻击者不得不生成更长的靓号图案洳果Eugenia花钱请矿池生成8个字符的靓号地址，攻击者将会被逼迫到10字符的境地那将是个人电脑，甚至昂贵自定义靓号挖掘机或靓号池也无法苼成对Eugenia来说可承担的起支出，对攻击者来说则变成了无法承担支出特别是如果欺诈的回报不足以支付生成靓号地址所需的费用。

纸钱包是打印在纸张上的比特币私钥有时纸钱包为了方便起见也包括对应的比特币地址，但这并不是必要的因为地址可以从私钥中导出。紙钱包是一个非常有效的建立备份或者线下存储比特币（即冷钱包）的方式作为备份机制，一个纸钱包可以提供安全性以防在电脑硬盤损坏、失窃或意外删除的情况下造成密钥的的丢失。作为一个冷存储的机制如果纸钱包密钥在线下生成并永久不在电脑系统中存储，怹们在应对黑客攻击键盘记录器，或其他在线电脑欺骗更有安全性

纸钱包有许多不同的形状，大小和外观设计，但非常基本的原则昰一个密钥和一个地址打印在纸张上