第四章 如何储存和使用比特币
要使用比特币,必须要知道:一些公共信息(记录在区块链上的内容包括该比特币的识别信息、币值信息等)和一些私密信息(比特币持有人的私钥)。
公共信息可以随时调取,但是私钥需要好好保存。储存比特币其实就是如何保存和管理比特币私钥。
储存与管理私钥有三个目标:可获取性、安全性、便利性。不同的管理方法就是对这三个目标进行权衡。
4.1 简单的本地储存
本地设备
最简单的钥匙管理:把比特币存放在本地设备上。
分析:可获取性或安全性都不太好,日常花销很方便,但极易遗失或被盗。
比特币钱包软件
本地存放比特币,一般选择使用比特币钱包软件(一个管理比特币和私钥信息并让用户方便使用的一个应用软件)。钱包就是一个接口,告诉你钱包里面有多少比特币。
编码解码:Base58编码与二维码
要使用或接收比特币,需要与对方交换比特币送达的地址。目前有两种主流的方式将地址加密:字符串、QR码。
ⅰ 为了给地址赋予一个字符串,把密钥的字节从二进制字符转换为Base58法。Base58记号法用一个包含58个字符的字符集来编码。
ⅱ一个QR码代表一个真实的比特币地址,钱包应用会把QR码自动转换成代表比特币地址的字节。
虚荣地址
将地址转换成一些人能识别的字符。
地址都是通过哈希计算产生的随机字符串,如何获得指定的呢?只能不停重复生成私钥,直到私钥中包含所希望出现的字符串。这样的地址称为虚荣地址。
虚荣地址的加速生成。详情参加104页。
4.2 热储存与冷储存
热储存
把比特币放在你的个人电脑里就像把钱放在钱包里带着。(很方便但不安全)
冷储存
离线,把比特币锁在其余地方。(相对安全保险但不方便)
热储存直到冷储存的地址,随时可给冷储存转账。冷储存上线,就可接收到区块链的转账信息,并可随时处理这些比特币。
如何管理?私密性和其余考虑,采用不同地址(地址有不同密钥)收款,把比特币从热储存转到冷储存时候使用新的冷储存地址。
但冷储存不上线,如何能找到这样的地址?
直接方法是让冷储存一次性生成一批地址,并把地址列表发给热储存,热储存可以依次使用这些地址。
法一:分层确定性钱包
使用一个分层确定性钱包hierarchical deterministic wallet。
该方法让冷储存端制造无限制的地址数量,通过一个短暂的一次性的交换让热储存知晓所有的地址。使用密码学技巧。生成一个被称为地址生成信息的东西,就可生成一系列地址。生成私钥生成信息。就可生成一系列私钥。密码学中:对于每个i,第i个地址和第i个私钥相匹配。
比特币的电子签名算法ECDSA支持分层密钥。即冷储存端生成任意多个密钥,热储存端生成相应的地址。
注:冷储存端生成和保存私钥生成信息和地址生成信息,然后将地址生成信息一次性转给热储存端。热储存端要给冷储存端转账时,按次序生成新的地址。冷存储端上线后,也会按顺序生成地址,然后查收相应地址收到的款项,直到某一地址没有收款位置。如果冷储存需要向热存储端转账,它就会按顺序生成私钥序列。
法二:大脑钱包
大脑钱包brain walle:通过一个密钥就可支取比特币。
主要原理:用一个可预测的算法把一个口令变成一对公钥/私钥。
但是这个很不安全,一旦猜到你的口令,可以偷走你大脑钱包里所有私钥。如果忘记口令,则完蛋。
如何设置安全口令?使用自动程序生成一个80位的数字,将其转换为口令。实际操作中,可以使用密钥延展来让生成密钥速度变慢。
法三:纸钱包
把密钥印在纸上,将纸锁在保险箱里。可通过两种方法为公私钥匙编码:二维码与base58码。
法四:防损硬件
使用防损硬件tamper-resistant device用来保存密钥或生成密钥。
4.3 密钥分存和密钥共享
未完待续 2018.5.24 18:39
继续阅读 2018.5.25 10:07
密码学上:密钥分存技术可以使密钥的可获取性和安全性都得到提高。
4.3.1 密钥分存方法
密钥被分为N个片段,只要获得其中K个片段,即可将原密钥重新还原。如果获取片段<K,则不行。将密钥转换成若干子密钥。
例子:
假定N=2,K=2 即将把原密钥转换为2个子密钥。
假设原密钥为S(S为很大数字比如有128位)
随机产生另一个128位数字R(作为其中1个子密钥),另一个为:S⊕R即密文(⊕为异或符号)。
将R与S⊕R保存在两个不同地方。
当N=K时:对于之前地K-1个子密钥,生成N-1个不同随机数,最后一个子密钥=原密钥⊕其他N-1个子密钥
注:把密钥简单地切分为若干片段不可取,一个片段就会透露密钥信息,并不需要所有片段即可猜出。
4.3.1 密钥分存:如何生成子密钥
方法:①把S标记在Y轴(0,S),经过该点画一直线,斜率随机。
②在该线上挑点,要多少有多少。③得到N个子密钥,并且K=2.
注:S(原密钥)被编码成一个大的整数,斜率随机。斜率上点为子密钥,S(连接任何两个点延长与Y轴交点)。故只有一个点,无法获得S。
扩展:我们可以用任何的K与N(K<N)实现密钥分存。
分析:密钥分存数学原理
图4.4 采用一条直线进行密钥分存。代数中:直线就是自由度为1的多项式。若K=3 利用抛物线实现,抛物线自由度为2的多项式。
数学上:拉格朗日公式表明,如果要回归一条自由度为K-1曲线,至少需要K个点。
故:我们最多可以承受N-K个子密钥被泄露。
注意:若使用自由度为
K-1的曲线上的若干点进行密钥分存,则还原原密钥至少需得到K个点的数据。
4.3.2 门限密码:threshold cryptography
密钥分存依旧存在问题:密钥分存之后,要用原密钥签名必须取得子密钥将其还原成原密钥,该过程不安全可能会被黑客侵入盗取密钥。
克服密钥单点保存的缺陷方法一:门限签名
如何解决?通过密码学
门限签名技术:子密钥储存在不同设备中,以去中心化方式还原原密钥。
门限签名将一个密钥切分成不同片段,分别储存,在交易签名时不需还原原密钥。
多重签名是比特币脚本的特性,把一个比特币账户的控制权交给多个密钥来共同保护账户安全。
门限签名与多重签名都能克服密钥单点保存的缺陷。
例子
使用双重安全机制的电子钱包(N=2,K=2),若两个密钥分别存在电脑和手机上,可在电脑上发起付款(电脑会生成一个签名片段发送到手机),手机提示付款信息等待你确认。
若你确认,手机利用它的子密钥完成整个签名然后广播到区块链上。
4.3.3 多重签名:multisignatures
克服密钥单点保存的缺陷方法二:多重签名
多重签名:通过比特币脚本,把一个比特币账户的控制权交给多个密钥(而非密钥分存),这些密钥保存在不同地点分别生成签名。
4.4 在线钱包和交易所
4.4.1 在线钱包
在线钱包信息储存在云端,可通过网页或手机应用来读取。
15年初,比较流行的在线钱包服务是比特币基地公司Coinbase和区块链信息公司blockchain,info。
优点:方便。
缺点:风险。由于网站储存密钥,虽然通常情况下使用密码保护密钥,但是万一工作人员或者黑客入侵就可以窃取。
4.4.2 比特币交易所
传统银行:存钱,银行答应在你提款时候给你钱,存钱期间银行通常会把钱用于投资。
比特币交易所:交易所可办理比特币存款,承诺日后按照你要求把钱(比特币、法币)还钱。
注意:交易所只是修改了和你的合约,不需要在区块链里把比特币从一个地址转为另一个地址。故交易前后,比特币没有真正在区块链中移动,只有你与银行合约变化。
优点:交易把比特币经济和法币经济相结合,自由转换。
缺点:风险。
交易所和银行面临一样的风险,主要包括三大类。
风险一:挤兑(大家同时去银行提款,银行钱不够)
风险二:银行本身就是一个旁氏骗局(不断借新还旧)
风险三:黑客入侵(有人甚至是雇员)
倒闭的交易所包括门头沟(Mt.Gox)。
4.4.3 银行监管、准备金证明、负债证明
银行监管:政府对银行进行监管,政府首先要求银行有一个最低准备金要求,并在必要时为银行或储蓄者提供保护。
准备金证明proof of reserve:比特币交易所或其他提供比特币管理服务的机构,可以使用准备金证明的密码学技术向储户证明他们留存了一部分储备金。
准备金证明:
(1)证明你有多少准备金。交易所只需发起一笔向自己转账的交易,转账金额=公布的准备金金额即可。
(2)证明出具准备金证明的人至少知晓该私钥(即使不是私钥所有者)
注意:
准备金证明只能说明拥有这笔比特币的人愿意参与准备金证明的过程,即准备金只是证明了某人(交易所)可以控制这一笔钱
只能证明下限金额即证明某人有多少准备金。
继续更新 2018.5.26 9:10
负债证明 proof of liabilities:利用梅克尔树(一棵哈希值构成的二叉树)来证明存款规模。
交易所构建完梅克尔树:把根节点的哈希指针和根节点的存款金额字段进行加密签名,然后在网络上广播。
交易所需要声明所有储户都可以对应到叶节点上,且存款数据无错。
用户核实:
1)子树根节点的哈希指针和存款金额字段,与交易所广播的值一致。
2)子树根节点遍历到叶节点,每个节点对应的哈希值确实是其所指向的子节点的哈希值。
3)每个叶节点对应的客户账号信息都是正确的。
4)每个节点的存款金额字段=与其最相近的子节点的存款金额之和。
