理解您的比特币密钥：Bip39种子词

比特币自我主权的核心在于对私钥的控制。没有这一点，你实际上是在将资金的控制权交给他人。正如谚语所说，“不是你的钥匙，不是你的币。” 对于那些不熟悉比特币技术基础的人来说，一个反直觉的方面是"你的比特币实际上在哪里"。当人们想到钱包时，他们想象的是"我存钱的地方"。实际上，你的比特币钱包并不"包含"你的比特币；它仅仅存储你的私钥。你的比特币以数据条目的形式存在于区块链上，由所有网络参与者维护。当你花费比特币时，你是在提议更新区块链数据。私钥是协议确保只有你可以授权支出你比特币的区块链更新的方法。

所以，你的私钥是什么？它们只是非常大的数字。这里有一个二进制的私钥：

110001011011001011110111100000101000100000010001001111010111011010101110111001111111111110101011101001011101001110100111001110010100110111101000110000111110101111001101001011110011011101000001101101101110001101000110001111010001001001111011010101011001101101010

256 个随机的 1 和 0。这组随机数最终保护着你的比特币。它可能看起来不算什么，但它的随机性保证了你钱包的安全。可能的比特币私钥几乎和可见宇宙中的原子数量一样多。这就是计算机需要计算的数字数量，以生成和分类所有潜在的私钥。只要生成密钥的过程是真正随机的，你的密钥就会是安全的。

私钥在十六进制中是这样的 (，二进制使用两个数字来编码一个数字，1 和 0，十六进制使用 16 个数字，0-9 和 A-F):

E2D97BC144089EBB5773FFABA5D3A729BD187D79A5E6E836DC68C7A24F6AB36A

私钥在未压缩的钱包导入格式中出现的方式是 (WIF):

5KYC9aMMSDWGJciYRtwY3mNpeTn91BLagdjzJ4k4RQmdhQvE98G

WIF格式是每个人在比特币早期与私钥交互的方式。在这个时代，你可以一次生成一个私钥，然后从中生成公钥。生成公钥的过程本质上只是乘以非常大的数字，但还有更多的内容。所有公钥都是图表上的x和y点，该图表显示了一个非常非常大的曲线，该曲线回环于自身。

在图形的曲线上，针对比特币的 Secp256k1，有一个称为“生成点”的点。这个生成点可以被视为 Secp256k1 曲线的“基点”。它在生成密钥和使用这些密钥进行签名的过程中是不可或缺的。这是比特币曲线的生成点：

G = 02 79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798

要从您的私钥生成公钥，您需要将生成的私钥与生成点相乘。就这样。这在图上建立了一个与您生成的私钥有数学关系的点，只有您知道。

这是一个未压缩的公钥，显示了x和y点：

04C0E410A572C880D1A2106AFE1C6EA2F67830ABCC8BBDF24729F7BF3AFEA06158F0C04D7335D051A92442330A50B8C37CE0EC5AFC4FFEAB41732DA5108261FFED

在与公钥交互的少数情况下，"压缩"公钥是非常常见的做法，简单地存储 x 坐标并用一个字节来指示 y 坐标是负数还是正数。这样可以显著缩短长度：

02C0E410A572C880D1A2106AFE1C6EA2F67830ABCC8BBDF24729F7BF3AFEA06158

当你用你的私钥签署交易时，归根结底它本质上是简单的乘法。通过生成一个随机数(的nonce)，并将其与您的私钥一起使用，基本上乘以您正在签署的交易的哈希，它产生了签名(，该签名由两个值r和s)组成。这使得某个人能够运行算法来验证消息是用正确的私钥签署的，而不需要透露该密钥。确保只有您能够授权支出您的比特币的本质上是非常非常大的数字的乘法。

如果在阅读之前你对这些概念不是很熟悉，所有这些可能看起来有些令人生畏。二进制？十六进制？图形点？如何备份一个WIF？

由于更直观的数据处理方式的发展，大多数用户对这些复杂的格式并不熟悉。您可能更熟悉词种子，也称为种子短语。

BIP 39 助记词种子

助记种子或种子短语的创建是为了应对与您的私钥交互体验的问题。

正如我们之前讨论的，私钥最终只是由随机生成的一长串零和一组成。想象一下尝试复制这个并确保在抄写时不犯错误：

110001011011001011110111100000101000100000010001001111010111011010101110111001111111111110101011101001011101001110100111001110010100110111101000110000111110101111001101001011110011011101000001101101101110001101000110001111010001001001111011010101011001101101010

只需在复制一个数字时出现一个错误，就会使您的密钥备份失效。这就是助记种子的用武之地。256个连续的1和0并不是与敏感信息进行交互的友好方式。错误记录这个数字意味着将失去对您账户的访问权限。

卡车 续订 狂怒 驴子 记住 笔记本电脑 改革 细节 划分 痛苦 因为 胖

这要简单得多，是吗？仅仅 12 个单词。那么，从一堆随机的 1 和 0 到一个实际上对你有意义的单词串是如何工作的呢？一种编码方案，比如二进制或十六进制！

之前的助记词中的每个12个单词都是一种二进制数字，采用一种编码方案，将特定的01字符串映射到单词上。如果我们回顾一下早先的WIF私钥示例，那只是一个用特定编码方案编码的数字，在这种情况下是base 58，它使用了所有数字和字母，除了0和1，以及O和l (它是区分大小写的)。这些字符的排除是专门为了使转录错误不太可能，因为它可能会将1与l混淆，或者将0与O混淆。Segwit和Taproot使用的bech32和bech32m将此提升到下一个层次，仅使用这个字符集(qpzry9x8gf2tvdw0s3jn54khce6mua7l)。

比特币改进提案 39 (BIP 39) 引入了一种标准化编码方案，其中一个特别设计的字典中的每个单词按字母顺序映射到从 00000000001 到 11111111111 的二进制数字。之前的演示种子映射到这个：

卡车：11101001001 续订: 10110110001 愤怒: 01011110011 驴： 01000001001 记住: 10110101110 笔记本电脑：01111101000 改革：10110100010 细节：00111100010 除法：11010010001 疼痛： 01100110100 因为：00010011110 脂肪： 01010011011

在二进制中，它看起来像这样： 11101001001 10110110001 01011110011 01000001001 10110101110 01111101000 10110100010 00111100010 11010010001 01100110100 00010011110 01010011011

有2048个单词，每个单词映射到一个特定的11位由1和0组成的字符串，特别是为了方便人们与他们的私钥交互。当你为你的私钥生成一个随机数时，你的钱包将这个数字分割成11位二进制数字的块，并将它们映射到BIP 39助记词字典。它仍然是同样的大数字，但现在你可以将其读作英文单词。由于你的大脑对这种格式比对长字符串的1和0更为习惯，这大大降低了你写错东西并在过程中失去比特币的几率。

您可能已经注意到，在上述单词 seed 的原始二进制编码中，有四个数字 ( 单独存在，最后一个 “单词” 实际上只有 8 个数字。这是一个校验和，以确保种子短语有效。当您生成随机数字时，没有足够的数字将其准确映射到 12 ) 或 24( 个单词。钱包对其生成的现有数字进行编码，并取哈希的前几个数字添加到您的随机数字的末尾。这使您有足够的数字映射到最后一个单词。

最后一个词让您可以对种子的副本进行安全检查。如果您在钱包中错误地输入了助记种子，校验和将不匹配。每个12个或24个单词的种子都有多个潜在有效的校验和词，但如果最后一个词与正确种子的校验和不匹配，您的钱包将警告您它是无效的。这为人们提供了一种直观但仍然是数学的方法来确保他们的备份是正确的，这与转录和备份原始二进制数字的复杂过程不同。

从列表中选择特定单词甚至还确保了2048个单词没有相同的前四个字母。这样做是为了减少人们在记录时因混淆相似单词而导致的错误，从而最终得不到正确的私钥备份。

将这些词翻译成一组多个公钥/私钥是相当简单的。您的助记种子被取出并使用SHA512进行哈希，这生成了一个由512个1和0组成的哈希值。该输出的一半用作实际的私钥，另一半则用作SHA512的输入，配合索引号和现有的公钥或私钥来生成新的密钥对。您可以根据需要多次执行此操作，以生成可以从您的单个助记短语中恢复的新公钥/私钥。

这确保您可以以最简单和安全的方式管理您的私钥，降低因错误而导致您损失资金的几率。而这一切都是通过数学完成的！希望您现在可以很好地理解人们为什么说比特币是“由数学保障的钱”。