Bitcoin Basics 基本概念.pdf 6 页

比特币椭圆曲线数字签名算法的基本概念 椭圆曲线数字签名算法（ECDSA）是使用椭圆曲线模拟数字签名算法（DSA），是比特币系统的基石。 私钥不公开，所有者需要妥善保管。 它通常由随机算法生成。 说白了就是一个巨大的随机整数，256位，32字节。 介于 1 和 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAE DCE6AF48A03BBFD25E8CD0364141 之间的数字可以认为是合法的私钥。 因此，除了随机方法之外，使用特定算法从固定输入中获取32字节输出的算法也可以成为获取私钥的方法。 于是就有了迷你私钥（MiniPrivkey），原理很简单，比如使用SHA256的一个实现： privatekey=SHA256() 迷你私钥存在安全问题，因为输入集太小, 并且很容易构造出彩虹组合表，所以通常还是使用系统随机生成的比较好，没有安全隐患。 公钥 公钥对应私钥。 私钥可以推导出唯一的公钥，但是公钥不能推导出私钥。 公钥有两种形式：压缩的和未压缩的。 早期的比特币使用未压缩的公钥，但现在大多数客户端默认使用压缩公钥。 这似乎是比特币系统中看起来像一个功能的错误。 早期，人们住的少，住的多。 代码不够详细，openssl库的文档也不够好，导致中本聪认为必须使用未压缩的完整公钥。 公钥左右32字节是相关的，左边（X）可以推导出右边（Y）的平方值比特币零基础，左边（X）就够了。

现在这两种方法在系统中共存，而且应该一直共存。 两个公钥的第一个字节是标识位，压缩后33字节，未压缩65字节。 0×04开头的是非压缩公钥，0×02/0×03开头的是压缩公钥。 0×02/0×03的选择由右边Y的平方根后的奇偶性决定。 压缩形式可以减少Tx/Block的大小，每个TxInput可以减少32字节。 Signature 使用私钥对数据进行签名（Sign）得到签名（Signature）。 通常，首先将数据生成一个Hash值，然后对Hash值进行签名。 签名由两部分组成：R+S。 从签名（signature）和Hash值中可以推导出一个公钥，对公钥进行验证就可以知道签名是否是由公钥对应的私钥签名的。 通常每个签名有73、72、71三种长度，校验和匹配的概率分别为25%、50%、25%。 因此，在每次签名后，需要找出满足验证的签名长度，然后提供给验证者。 地址 地址是为了方便人们交换而制定的方案，因为公钥太长（130 串或 66 串）。 地址的长度为 25 个字节。 转成base58编码后就是34或35个字符。 base58是一种类似于base64的编码，但是去掉了容易引起视觉的字符，并在地址末尾增加了4个字节的校验位比特币零基础，保证人们交换个别字符出错时，也能避免出错由于地址验证失败。 操作。

由于公钥有两种形式，一个公钥对应两个地址。 两个地址可以由同一个私钥签名。 公钥生成地址算法：Version=1byteof0(zero);在测试网络上，thisis1byteof111 Keyhash=VersionconcatenatedwithRIPEMD-160(SHA-256(publickey)) Checksum=1st4bytesofSHA-256(SHA-256(Keyhash)) BitcoinAddress=Base58Encode(Keyhashconcatenated