硬件錢包如何用種子生成各種幣的錢包的？

關于種子&助記詞

什么是哈希算法？有什么性質？

什么是公鑰密碼？什么是公鑰與私鑰？

分層確定性錢包表示方法與示例

1、關于種子&助記詞

什么是種子 | Root Seed

種子是一串由隨機數(shù)生成器生成的隨機數(shù)。這串隨機數(shù)可以用來生成錢包中不同種幣和不同賬戶的公私鑰對，所以只需備份種子就相當于備份您的所有錢包了。由于網(wǎng)絡空間存在各種各樣的威脅，備份的私鑰不接觸電腦和手機等設備是最安全的，所以硬件錢包的備份方法是記在紙上。

什么是助記詞 | Mnemonic Seed

種子是一串很長的隨機數(shù)，看起來就是一串十六進制值，不利于人進行記錄，所以我們用算法將其轉化為一串助記詞，人們就可以方便進行記錄。助記詞的產(chǎn)生過程如圖：

不同長度的種子對應的單詞數(shù)量如下表：

總結一下，就是將種子加上校驗信息，每11位進行切分，按照得到的數(shù)字查詢單詞表索引得到單詞。我們記錄的英文單詞是有校驗信息的，所以不是隨意MS個單詞就能得到一個種子哦。以上的算法是可逆的，用記錄下的助記詞可以輕松得出種子。還記得硬件錢包初始化過程中讓您記在紙上的那些英文單詞嗎？它們就相當于種子哦。

2、關于哈希和公私鑰

哈希算法 | Hash Algorithm

密碼哈希函數(shù)是一類數(shù)學函數(shù)，可以在有限合理的時間內，將任意長度的消息壓縮為固定長度的二進制串，其輸出值稱為哈希值，也稱為散列值。

哈希函數(shù)的性質：

1. 抗碰撞性

碰撞是與哈希函數(shù)相關的重要概念，體現(xiàn)著哈希函數(shù)的安全性，所謂碰撞是指兩個不同的消息在同一個哈希函數(shù)作用下，具有相同的哈希值。哈希函數(shù)的安全性是指在現(xiàn)有的計算資源（包括時間、空間、資金等）下，找到一個碰撞是不可行的。

通俗地說，就是很難找到兩個具有相同哈希值的不同消息。消息改變，輸出的哈希值一般就會改變，哈希值可以看作消息的指紋。即使消息被略微篡改，這個指紋也會發(fā)生很大變化。所以哈希值可以用來做完整性校驗。

2. 原像不可逆

通俗地說，知道輸入值，很容易通過哈希函數(shù)計算出哈希值；但知道哈希值，沒有辦法計算出原來的輸入值。

3. 難題友好性

難題友好性指的是沒有便捷的方法去產(chǎn)生滿足特殊要求的哈希值。

3、公鑰密碼算法

公鑰密碼算法需要兩個密鑰：公開密鑰和私有密鑰，簡稱公鑰和私鑰。公鑰和私鑰是一對，如果用公開密鑰對數(shù)據(jù)進行加密，只有用對應的私鑰才能解密；如果用私鑰對數(shù)據(jù)進行加密，那么只有用對應的公開密鑰才能解密。因為加密和解密使用的是不同的密鑰，所以這種算法也叫做非對稱密碼算法。

區(qū)塊鏈中所使用的公鑰密碼算法是橢圓曲線算法，每個用戶擁有一對密鑰，一個公開，另一個私有。利用橢圓曲線密碼算法，用戶可以用自己的私鑰對交易進行簽名，同時別的用戶可以利用簽名用戶的公鑰對簽名進行驗證。在比特幣系統(tǒng)中，用戶的公鑰也被用來識別不同的用戶，構造用戶的比特幣地址。

有一個很重要的特性，已知私鑰通過密碼學算法可以求出公鑰，但知道公鑰沒辦法反推出私鑰。在下面的敘述中用point（）表示由私鑰求公鑰的函數(shù)。在數(shù)字貨幣中，只要您能夠用您的私鑰對交易進行簽名，就代表您有權利花出您手中這些幣，別人只知道您的公鑰，無法得到您的私鑰，是沒有辦法使用您的幣的。您可以簡單認為您的私鑰=您的所有幣。硬件錢包就是要保護您的私鑰，讓它們遠離被盜。

種子與公私鑰對計算

由私鑰創(chuàng)建公鑰

橢圓曲線公鑰創(chuàng)建函數(shù)，point（），輸入為私鑰，輸出為公鑰，即

point（私鑰） == 公鑰

主拓展公鑰與主拓展私鑰的生成

根種子為128、256或512位隨機數(shù)，一般由隨機數(shù)生成器生成。該根種子是用戶唯一需要備份的，由該種子可以創(chuàng)建出用戶所有錢包。

該種子經(jīng)過哈?？梢缘玫?12位的哈希值，左右256位分別為主私鑰m和主鏈碼，主私鑰與鏈碼一起構成主拓展私鑰。主公鑰M由主私鑰通過point（）方式產(chǎn)生，主公鑰與鏈碼一起構成主拓展公鑰。主拓展公鑰和主拓展私鑰位于分層錢包的最頂層。如圖所示：

公鑰生成函數(shù)的性質

由于point（）的工作原理，可以把（父）公鑰與一個通過整數(shù)值i創(chuàng)建的公鑰相結合，得到（子）公鑰。子公鑰也可以通過point（）方式產(chǎn)生，輸入為父私鑰加上整數(shù)i后取模p，用公式描述為

point（ （父私鑰 + i） % p ） == 父公鑰 + point（i） == 子公鑰

通過這種方式，只要確定一個整數(shù)序列，就可以從父公私鑰對產(chǎn)生唯一確定的子公私鑰對。如果僅需要子公鑰，可以在不接觸父私鑰的情況下生成所有子公鑰。

通過這種子密鑰推導操作迭代，子公鑰可以用于生成他們自己的子公鑰（孫公鑰），如下：

point（ （子私鑰+ i） % p ） == 子公鑰 + point（i） == 孫公鑰

普通的分層確定性密鑰推導

普通密鑰推導的過程如圖所示，

指定不同的索引號，可以從相同的父密鑰中創(chuàng)建出不同的子密鑰。使用子鏈碼對子密鑰重復這個過程可以創(chuàng)建出孫密鑰，以此類推，分成結構的密鑰就可以創(chuàng)建出來了。

加強的分層確定性密鑰推導

如果黑客得到了正常的父鏈碼和父公鑰，他就可以通過以上方式暴力枚舉出所有由它推導出的鏈碼和公鑰。如果黑客也獲得任何一個子孫的私鑰，通過逆向上述普通分層確定性密鑰算法，那么父私鑰以及它子孫的所有私鑰也就都泄露了。由于一個私鑰泄露可以導致推導出一串私鑰。圖片中展示出了黑客的推導過程，紅色框部分為黑客獲得信息。

所以用戶不應該導出鏈碼和私鑰到不可信的環(huán)境中。當然這種風險可以通過加強分層確定性密鑰推導算法來避免。普通子私鑰推導和加強子私鑰推導的過程如圖所示。

在加強子私鑰推導中，父拓展公鑰（父公鑰+父鏈碼）已經(jīng)不能產(chǎn)生子鏈碼了，子鏈碼的產(chǎn)生需要父私鑰的參與。加強拓展私鑰就像防火墻一樣，防止了上面攻擊的發(fā)生。

使用普通密鑰推導還是使用加強密鑰推導是由索引決定的，索引號從0x00到0x7fffffff將產(chǎn)生普通密鑰，當索引號從0x80000000到0xffffffff將產(chǎn)生加強密鑰。

簡化表示方法

為了表述方便，使用撇號’來表示加強密鑰，不加撇號為普通密鑰，第一個普通密鑰（0x00）和第一個加強密鑰（0x80000000）都表示為0。

M和m表示密鑰類型，M表示主公鑰，m表示主私鑰。斜杠/表示密鑰的層次。例如m/0’/0/122’表示主私鑰的第一個加強子私鑰的第一個普通子私鑰的第123個加強子私鑰。

下圖是簡化表示方法的示意圖，虛線代表密鑰的推導過程，可以清晰看到加強密鑰和普通密鑰的區(qū)別。

每個層次代表的含義

m / purpose‘ / coin_type’ / account‘ / change / address_index

purpose為加強推導，為固定常數(shù)44’

coin_type為加強推導，代表幣的種類，具體見附錄。

account為加強推導，代表賬戶

change為普通推導，0代表外部鏈，1代表內部鏈。外部鏈用于地址，錢包外部可見，如用于收款。內部鏈錢包外部不可見，用于返回交易改變。

address_index為普通推導，從0開始遞增。

一些栗子

現(xiàn)在你知道這些表示方法的含義了吧？

幣的種類附錄（常見）