HD钱包从单个根种子(root seed)创建,后者为128,256到512位的随机数。最常见的是,这个种子是从助记词产生的,如上一节所述。
HD钱包的所有密钥是由根种子确定的,使用这个根种子就可以在任何兼容HD钱包中重新创造整个HD钱包。所以简单的转移生成HD钱包根种子的助记词就可以很容易地备份,储存导出以及导入HD钱包中所包含的数以千计百万计的密钥。
图5-9展示从根种子创建主密钥以及HD钱包的主链码的过程。
图5-9 从根种子创建主密钥,主链码
根种子作为HMAC-SHA512算法的输入,得到的哈希值可以用来创造主私钥master private key(m) 和 主链码master chain code(c) 。
主私钥(m)使用标准椭圆曲线乘法过程m * G生成对应的主公钥(M)。
链码用于从父密钥创造子密钥的函数中引入熵。如下一节所示。
5.3.1 私有子密钥的衍生
分层确定性钱包使用子密钥衍生child key derivation,简称CKD函数从父密钥衍生出子密钥。
子密钥衍生函数是基于单向哈希函数。这个函数结合了:
.一个父私钥或者公钥(ECDSA压缩密钥)
.一个叫做链码(256 位)的种子
.一个索引号(32 位)
链码是用来给这个过程引入确定性随机数据的,使得仅凭索引和子密钥也不足以衍生其他子密钥。因此,有了子密钥并不能发现自己的姊妹密钥,除非再有了链码。最初的链码种子(在密码树的根部)是用种子制造的,随后的子链码从各自的父链码衍生出来。
这三个项目(父密钥,链码,索引)相结合并哈希计算生成子密钥,如下。
父公钥,链码以及索引号合并在一起用HMAC-SHA512算法哈希计算之后产生512位的哈希值。所得的哈希拆分为两部分。右半部分的256位成为子链链码。左半部分256位附加到父私钥来衍生子私钥。在图5-10中,我们看到,索引设置为0,生成父级的“0”子级(第一个索引)。
图5-10 扩展父私钥创建子私钥
改变索引允许我们扩展父级,并按顺序创建其他子级,例如子级0、子级1、子级2等。每一个父密钥可以有2,147,483,647 (231) 个子密钥。(231是整个232范围可用的一半,另一半是为特定类型的推导而保留的,我们将在本章稍后讨论。)
向密码树下一层重复这个过程,每个子密钥可以依次成为父密钥,继续创造它自己的子密钥,直到无限代。
5.3.2 使用衍生的子密钥
子私钥与不确定(随机)密钥区别不大。因为衍生函数是单向的,所以子密钥不能被用来发现它的父密钥。子密钥也不能用来发现它们的相同层级的姊妹密钥。如果你有第n个子密钥,你不能发现它的姐妹密钥,比如前面的(第n-1)或者后面的子密钥(n+1)或者在同一顺序中的其他子密钥。只有父密钥以及链码才能得到所有的子密钥。没有子链码,子密钥也不能衍生出任何孙密钥。你需要同时有子私钥以及对应的子链码才能创建一个新的分支,衍生出孙密钥。
那子私钥自己可被用做什么呢?它可以用来制作公钥和比特币地址。之后它就可以被用于对那个地址签署交易和支付花费。
提示 子私钥、对应的公钥和比特币地址都与随机创建的密钥和地址不可区分。它们是序列的一部分这一事实在创建它们的HD钱包功能之外是看不到的。一旦被创造出来,它们就和“正常”密钥一样工作了。
5.3.3 扩展密钥
正如我们之前看到的,密钥衍生函数可以被用来创造密钥树上任何层级的子密钥,基于以下三个输入量:密钥,链码以及想要的子密钥的索引。密钥以及链码这两个重要的部分被结合之后,就叫做扩展密钥(extended key)。术语“扩展密钥”也被认为是“可扩展的密钥”,因为这种密钥可以用来衍生子密钥。
扩展密钥被储存并且简单地表示为将256位密钥与256位链码所串成的512位序列。有两种类型扩展密钥。扩展的私钥是私钥以及链码的结合。它可被用来衍生子私钥(子私钥可以衍生子公钥)。公钥以及链码组成扩展公钥,它可以用来创建子公钥(只能是公钥),见“生成公钥”章节。
扩展密钥作为HD钱包中密钥树结构的一个分支的根。你可以衍生出这个分支的剩下所有部分。扩展私钥可以创建一个完整的分支,而扩展公钥只能够创造公钥的分支。
提示 一个扩展密钥包括一个私钥或者公钥和一个链码。一个扩展密钥可以创造出子密钥并且能创造出密钥树结构中的整个分支。共享了扩展密钥就可以访问整个分支。
扩展密钥通过Base58Check来编码,很容易在不同的BIP-32兼容钱包之间导入导出。扩展密钥编码用的 Base58Check使用特殊的版本号,Base58编码字符前缀分别为“xprv”和“xpub”,这种前缀可以让编码更易被识别。因为扩展密钥是512或者513位,所以它比我们之前所看到的Base58Check编码串更长一些。
以下面的扩展私钥为例,其使用的是Base58Check编码:
xprv9tyUQV64JT5qs3RSTJkXCWKMyUgoQp7F3hA1xzG6ZGu6u6Q9VMNjGr67Lctvy5P8oyaYAL9CAWrUE9i6GoNMKUga5biW6Hx4tws2six3b9c
下面是上面扩展私钥对应的扩展公钥,同样使用Base58Check编码:
xpub67xpozcx8pe95XVuZLHXZeG6XWXHpGq6Qv5cmNfi7cS5mtjJ2tgypeQbBs2UAR6KECeeMVKZBPLrtJunSDMstweyLXhRgPxdp14sk9tJPW9
5.3.4 公共子密钥推导
正如之前提到的,分层确定性钱包的一个很有用的特点就是可以不通过私钥而直接从父公钥派生出子公钥。这就给了我们两种衍生子公钥的方法:或者通过子私钥,或者直接通过父公钥。
因此,扩展密钥可以在HD钱包结构的分支中,用来衍生所有的公钥(且只有公钥)。
这种快捷方式可以用来创造非常安全的只有公钥部署环境。这个环境中,服务器或者应用程序不管有没有私钥,只要有扩展公钥的副本就可以。这种部署可以创造出无限数量的公钥以及比特币地址,但是不能花费发送到这个地址里的任何比特币。与此同时,在另一种更安全的服务器上,扩展私钥可以衍生出对应的私钥,签署交易支付花费。
这种方案的常见应用是安装扩展公钥在电商的web服务器上。web服务器可以使用公钥衍生函数去给每一笔交易(比如客户的购物车)创造一个新的比特币地址。服务器没有私钥,也就避免了被盗的风险。没有HD钱包的话,唯一的方法就是在不同的安全服务器上创造成千上万个比特币地址,之后再预加载到电子商务服务器上。这种方法非常繁琐而且要需要持续的维护来确保电商服务器不会“用光”公钥。
这种解决方案的另一种常见的应用是冷存储或者硬件钱包。在这种情况下,扩展私钥可以被储存在纸钱包中或者硬件设备中(比如 Trezor 硬件钱包),扩展公钥可以在线保存。使用者可以根据意愿创造“接收”地址而私钥可以安全地在线下保存。为了支付资金,使用者可以使用扩展私钥离线签署比特币客户端应用或者签署硬件钱包设备(比如 Trezor)上的交易。例5-11说明了扩展父公钥以派生子公钥的机制。
例5-11 扩展父公钥以创建子公钥
5.3.5 在网店中使用扩展公钥(xpub)
继续Gabriel网店的故事,让我们看看Gabriel是如何使用HD钱包。
Gabriel建立一个简单的托管的WordPress页面,作为他的网上商店。它的网店非常简单,只有几个页面和带有比特币地址的订单表格。
Gabriel使用他的Trezor设备生成的第一个比特币地址作为他的商店的主要比特币地址。这样,所有收到的款项都支付到了这个Trezor硬件钱包所控制的地址。
客户可以使用表格提交订单,并向Gabriel发布的比特币地址付款,触发一封电子邮件发送给Gabriel,其中包含订单详细信息。每周只有几个订单的时候,这个系统运行得很好。
然而,这个小型网店变得相当成功,并吸引了当地社区的很多订单。Gabriel很快就不堪重负。由于所有订单都支付到相同的地址,因此很难正确匹配订单和交易,尤其是同时接到同一数量的多个订单时。
HD钱包可以在不知道私钥的情况下获取子公钥,该能力为Gabriel提供了更好的解决方案。 Gabriel可以在他的网站上加载一个扩展公钥(xpub),这可以为每个客户订单生成一个唯一的地址。Gabriel可以花费他在Trezor里的资金,但加载在网站上的xpub只能生成地址并收到资金。HD钱包的这个功能非常安全。 Gabriel的网站不包含任何私钥,因此不需要高级别的安全性。
为了导出xpub,Gabriel将基于Web的软件与Trezor硬件钱包配合使用。必须插入Trezor设备才能导出公钥。请注意,硬件钱包永远不会导出私钥,这些密钥始终保留在设备上。图5-12显示了Gabriel用于导出xpub的Web界面。
图5-12 从Trezor硬件钱包导出xpub
Gabriel将xpub复制到他网店的比特币商店软件中。 他使用的软件是Mycelium Gear,这是一个网店的开源插件,用于各种web托管和内容平台。 Mycelium Gear使用xpub为每次购买生成一个唯一的地址。
5.3.6 硬化子密钥的衍生
从xpub衍生一个分支公钥的能力是很重要的,但牵扯一些潜在风险。访问xpub并不能访问子私钥。但是,因为xpub包含有链码,如果子私钥被知道或者被泄漏的话,链码就可以被用来衍生所有的其他子私钥。泄露的私钥如果再加上父链码,就可能暴露所有子项的所有私钥。更糟糕的是,子私钥与父链码可以用来推断父私钥。
为了应对这种风险,HD钱包使用一种替代衍生函数,叫做强化衍生(hardened derivation),“打破”了父公钥以及子链码之间的关系。这个强化衍生函数使用了父私钥去推导子链码,而不是父公钥。这就在父/子顺序中创造了一道“防火墙”,链码就不能危害父私钥或者同级私钥。强化衍生函数看起来与常规的子私钥衍生相同,不同的是父私钥可以作为哈希函数的输入,而父公钥不行,如图5-13所示。
图5-13 子密钥的硬化推导,省略父公钥
当使用强化私钥衍生函数时,得到的子私钥以及链码与使用一般衍生函数所得到的结果完全不同。得到的密钥“分支”可以被用来生产不易被攻击的扩展公钥,因为它所含的链码不能被用来泄露任何私钥。强化衍生也因此被用在使用扩展公钥的密钥树的上一层创造“隔层”。
简单来说,如果想利用xpub的便捷来衍生公钥的分支,又不想冒泄露链码的风险, 就该从强化父密钥,而不是一般父密钥衍生。最好的方式是,为了避免主密钥泄露,主密钥所衍生的第一层级的子密钥总是通过强化衍生得来。
5.3.7 常规衍生和强化衍生的索引号
用在衍生函数中的索引号是32位整数。为了区分密钥是从常规衍生函数中衍生出来还是从强化衍生函数中产出的,这个索引号被分为两个范围。索引号在0和231–1(0x0 to 0x7FFFFFFF)之间的只用于常规衍生。索引号在231和232– 1(0x80000000 to 0xFFFFFFFF)之间的只用于强化衍生。因此,索引号小于231就意味着子密钥是常规的,而大于或者等于231的子密钥就是强化的。
为了让索引号更容易被阅读和展示,强化子密钥的索引号是从0开始展示的,但是右上角有一个小撇号。第一个常规子密钥就表示为0,第一个强化子密钥(索引号为0x80000000)就表示为0'。第二个强化密钥依序有了索引号0x80000001,表示为1',以此类推。当你看到HD钱包索引号i',这就意味着 231+i。
5.3.8 HD 钱包密钥识别符(路径)
HD钱包中的密钥是用“路径”命名的,且每个级别之间用斜杠(/)来表示(见表5-6)。由主私钥衍衍生的私钥以“m”开头。由主公钥衍生的公钥以“M“开。因此,主私钥的第一个子私钥是m/0。第一个子公钥是M/0。第一个子私钥的第二个孙私钥(对于主私钥来说是孙私钥)就是m/0/1,以此类推。
密钥的“祖辈”是从右向左读,直到衍生它的主密钥。举个例子,标识符m/x/y/z描述的是子密钥m/x/y的第z个子密钥。而子密钥m/x/y又是m/x的第y个子密钥,m/x又是m的第x个子密钥。 表5-6 HD钱包路径的例子
5.3.9 HD钱包树状结构的导航
HD钱包树状结构提供了极大的灵活性。每一个父扩展密钥有40亿个子密钥:20亿个常规子密钥和20亿个强化子密钥。 而每个子密钥又会有40亿个子密钥并且以此类推。只这个树结构可以无限类推到无穷代。但是,又由于这个灵活性,无限的树状结构进行导航就变得异常困难。尤其是更换不同的HD钱包,因为内部组织到分支以及子分支的可能性是无穷的。
有两个BIP提供了这个复杂问题的解决办法——通过为HD钱包树的结构创建建议标准。BIP-43提出使用第一个强化子索引作为表示树结构“用途”(purpose)的特殊标识符。基于BIP-43,hd钱包应该只使用树的第一个一级分支,其余部分的结构和名称空间由索引号通过定义其用途来标识。举个例子,只使用分支m/i'/的HD钱包,表示特定用途,该用途由索引号“i”标识。
对上述规范进行了扩展,BIP-44提议使用多账户结构,使用44'这个号码作为BIP-43的“用途”。所有遵循BIP-44的HD钱包按照只使用树的第一个分支的要求,被定义为:m/44'/。
BIP-44指定了包含5级预定义树的结构:
m / purpose' / coin_type' / account' / change / address_index
第一层的purpose总是被设定为44'。第二层的“coin_type”特指币种,允许多币种HD钱包中的每一种数字货币在第二层级下都有自己的子树。目前有三种货币被定义:Bitcoin 是 m/44'/0'、Bitcoin Testnet 是 m/44'/1',以及 Litecoin 是 m/44'/2'。
树的第三层级是“account”,允许用户为了会计或者组织目的,再细分钱包到独立的逻辑性子账户。 举个例子,一个HD钱包可能包含两个比特币“账户”:m/44'/0'/0' 和 m/44'/0'/1'。每个账户都是它自己子树的根。
第四层级就是“change”。每一个HD钱包有两个子树,一个是接收地址,另一个用来创造找零地址。注意无论先前的层级是否使用强化衍生,这一层级使用的都是常规衍生。这是为了允许树的这一层级可以在不安全环境下,导出扩展公钥。可用的地址由HD钱包派生为第四层级的子级,就是第五层级“address_index”。比如,比特币主账户的第三个收款地址就是 M/44'/0'/0'/0/2。表5-7展示了更多的例子。
表5-7 BIP-44 HD 钱包结构的例子