公钥、私钥、哈希、加密算法基础概念

Posted 2023-05-02

参考技术A 生活中我们对文件要签名，签名的字迹每个人不一样，确保了独特性，当然这还会有模仿，那么对于重要文件再加盖个手印，指纹是独一无二的，保证了这份文件是我们个人所签署的。

那么在区块链世界里，对应的就是数字签名，数字签名涉及到公钥、私钥、哈希、加密算法这些基础概念。

首先加密算法分为对称加密算法、非对称加密算法、哈希函数加密算法三类。

所谓非对称加密算法，是指加密和解密用到的公钥和私钥是不同的，非对称加密算法依赖于求解一数学问题困难而验证一数学问题简单。

非对称加密系统，加密的称为公钥，解密的称为私钥，公钥加密，私钥解密、私钥签名，公钥验证。

比特币加密算法一共有两类：非对称加密算法（椭圆曲线加密算法）和哈希算法（SHA256，RIMPED160算法）

举一个例子来说明这个加密的过程：A给B发一个文件，B怎么知道他接收的文件是A发的原始文件？

A可以这样做，先对文件进行摘要处理（又称Hash，常见的哈希算法有MD5、SHA等）得到一串摘要信息，然后用自己的私钥将摘要信息加密同文件发给B，B收到加密串和文件后，再用A的公钥来解密加密串，得到原始文件的摘要信息，与此同时，对接收到的文件进行摘要处理，然后两个摘要信息进行对比，如果自己算出的摘要信息与收到的摘要信息一致，说明文件是A发过来的原始文件，没有被篡改。否则，就是被改过的。

数字签名有两个作用：
一是能确定消息确实是由发送方签名并发出来的；
二是数字签名能确定消息的完整性。

私钥用来创建一个数字签名，公钥用来让其他人核对私人密钥，
而数字签名做为一个媒介，证明你拥有密码，同时并不要求你将密码展示出来。

以下为概念的定义：

哈希（Hash）:
二进制输入数据的一种数字指纹。
它是一种函数，通过它可以把任何数字或者字符串输入转化成一个固定长度的输出，它是单向输出，即非常难通过反向推导出输入值。
举一个简单的哈希函数的例子，比如数字17202的平方根是131.15639519291463，通过一个简单的哈希函数的输出，它给出这个计算结果的后面几位小数，如后几位的9291463，通过结果9291463我们几乎不可能推算出它是哪个输入值的输出。
现代加密哈希比如像SHA-256，比上面这个例子要复杂的多，相应它的安全性也更高，哈希用于指代这样一个函数的输出值。

私钥（Private key）:
用来解锁对应（钱包）地址的一串字符，例如5J76sF8L5jTtzE96r66Sf8cka9y44wdpJjMwCxR3tzLh3ibVPxh+。

公钥（Public keycryptography）：
加密系统是一种加密手段，它的每一个私钥都有一个相对应的公钥，从公钥我们不能推算出私钥，并且被用其中一个密钥加密了的数据，可以被另外一个相对应的密钥解密。这套系统使得你可以先公布一个公钥给所有人，然后所有人就可以发送加密后的信息给你，而不需要预先交换密钥。

数字签名（Digital signature）：
Digital signature数字签名是这样一个东西，它可以被附着在一条消息后面，证明这条消息的发送者就是和某个公钥相对应的一个私钥的所有人，同时可以保证私钥的秘密性。某人在检查签名的时候，将会使用公钥来解密被加密了的哈希值（译者注：这个哈希值是数据通过哈希运算得到的），并检查结果是否和这条信息的哈希值相吻合。如果信息被改动过，或者私钥是错误的话，哈希值就不会匹配。在比特币网络以外的世界，签名常常用于验证信息发送者的身份 – 人们公布他们自己的公钥，然后发送可以被公钥所验证的，已经通过私钥加密过的信息。

加密算法（encryption algorithm）：
是一个函数，它使用一个加密钥匙，把一条信息转化成一串不可阅读的看似随机的字符串，这个流程是不可逆的，除非是知道私钥匙的人来操作。加密使得私密数据通过公共的因特网传输的时候不需要冒严重的被第三方知道传输的内容的风险。

哈希算法的大致加密流程
1、对原文进行补充和分割处理（一般分给为多个512位的文本，并进一步分割为16个32位的整数）。
2、初始化哈希值（一般分割为多个32位整数，例如SHA256就是256位的哈希值分解成8个32位整数）。
3、对哈希值进行计算（依赖于不同算法进行不同轮数的计算，每个512位文本都要经过这些轮数的计算）。

区块链中每一个数据块中包含了一次网络交易的信息，产生相关联数据块所使用的就是非对称加密技术。非对密加密技术的作用是验证信息的有效性和生成下一个区块，区块链上网络交易的信息是公开透明的，但是用户的身份信息是被高度加密的，只有经过用户授权，区块链才能得到该身份信息，从而保证了数据的安生性和个人信息的隐私性。

公钥和私钥在非对称加密机制里是成对存在的，公钥和私钥可以去相互验证对方，那么在比特币的世界里面，我们可以把地址理解为公钥，可以把签名、输密码的过程理解为私钥的签名。
每个矿工在拿到一笔转账交易时候都可以验证公钥和私钥到底是不是匹配的，如果他们是匹配的，这笔交易就是合法的，这样每一个人只需要保管好TA自己的私钥，知道自己的比特币地址和对方的比特币地址就能够安全的将比特币进行转账，不需要一个中心化的机构来验证对方发的比特币是不是真的。

比特币的加密算法

比特币加密算法一共有两类：非对称加密算法（椭圆曲线加密算法）和哈希算法（SHA256，RIMPED160算法）。

比特币私钥(private key)，公钥(public key)，公钥哈希值(pubkeyhash)，比特币地址(address)
公钥和私钥由椭圆曲线加密算法生成，私钥可推出公钥而反之不能，这也是这篇文章后半部分要隆重介绍的部分。
有了私钥，你就可以对文本签名。别人拿了你的公钥就可以根据签名认证你是否拥有私钥。这就是证明你拥有存款的办法。
为了安全起见，公钥应该隐藏起来。所以对公钥进行哈希加密，生成公钥哈希值然后计算哈希值的比特币地址：
公钥哈希值=RIMPED160(SHA256(公钥))
比特币地址=*1*+Base58(0+公钥哈希值+校验码)
校验码=前四字节(SHA256(SHA256(0+公钥哈希值)))
可以看出，地址和公钥哈希值是等价的（可以互推）但公钥哈希值只能由公钥算出（不能逆推）。
验证的时候需要提供签名和公钥，算出公钥哈希值并和比特币支出脚本的公钥哈希值对比，最后再验证签名。这样就保证了公钥不会出现在支出脚本里。
（收入单提供签名，支出单提供公钥，或者收入单提供签名和公钥，支出单提供公钥哈希值，这两种验证办法是比特币的标准脚本）


哈希(Hash)算法
哈希算法（又称散列算法）不是加密解密算法，因为其加密的过程是不可逆的（你只能加密不能解密），也没有所谓的公钥私钥的概念。
哈希算法原理是将一段信息转换成一个固定长度的字符串。这个串字符串有两个特点：
1、如果某两段信息是相同的，那么字符串也是相同的。
2、即使两段信息十分相似，但只要是不同的，那么字符串将会十分杂乱随机并且两个字符串之间完全没有关联。
信息可以是一串数字，一个文件，一本书。。。。。。只要能编码成一串数字即可。
显然，信息有无数多种而字符串的种类是有限的（因为是固定长度），所以这种加密是不可逆的。


哈希算法的用途
1、验证两段信息是否相同。
A使用QQ给B传了一个文件，这个文件会在QQ的服务器上保存下来。如果C也传了这个文件给D，QQ会对比这个文件的哈希值和A传给B的文件的哈希值是否相同，如果相同则说明是同一个文件，C就不需要再一次上传文件给服务器。这就是所谓的秒传。
一个压缩包在传输的时候可能会有损坏。在压缩之前计算原文件的哈希值并放入压缩包中，待解压后再次计算解压文件的哈希值。对比压缩包中的哈希值则可以知道文件是否损坏。BT和迅雷下载中所谓的哈希验证也是同一道理。
2、验证某人是否信息持有者。
在一个论坛注册帐号，如果论坛把密码保存起来，因为无论坛多么安全都可能会被破解，所以密码总会有泄漏的可能性。
如果不保存密码而保存密码的哈希加密值。当你下次登陆论坛的时候，将你输入的密码的哈希值和你注册时密码的哈希值比对，如果相同则可以证明你就是密码持有者了。这样既保证了密码泄露的可能，又保证了验证持有者的功能。


哈希算法的破解
假如论坛被破解了，黑客获得了哈希值，但黑客只有哈希值依旧是不能登陆论坛的，他得算出用户的密码。
他可以随机产生密码一个一个试，如果算出的哈希值正好和这个哈希值相同，则说明这个密码可用。这就是所谓的猜密码。
显然，密码长度越长，密码越复杂，猜到的可能性就越低。如果有一种办法能增加这种猜到可能性，使其大到能够容忍的范围，则该哈希算法被破解了。
例如原本猜中的概率是1/10000000000000，现在增加到了1/1000。如果每猜一个密码需要1秒，按照之前的概率猜知道太阳毁灭都可能没猜中，但后者只需要1小时就足够了。
另外，由于信息的种类是无限的，所以你猜中的密码未必就是原先的密码，它们可能是碰巧哈希值相同而已，这就是所谓的碰撞。
如同增加猜中概率一样，如果能增加碰撞的概率，那么同样可以轻易登陆论坛（因为论坛也不知道原本的密码是什么，所以猜的密码和原密码不同也没关系，只要哈希值相同即可）。
一旦碰撞容易轻易产生，那么哈希算法就被破解了。前几年闹得沸沸扬扬的哈希算法破解就是这么回事，数学家通过一定办法增加了碰撞的概率。


哈希算法的大致加密流程
1、对原文进行补充和分割处理（一般分给为多个512位的文本，并进一步分割为16个32位的整数）。
2、初始化哈希值（一般分割为多个32位整数，例如SHA256就是256位的哈希值分解成8个32位整数）。
3、对哈希值进行计算（依赖于不同算法进行不同轮数的计算，每个512位文本都要经过这些轮数的计算）。
经过这样处理以后，哈希值就显得十分杂乱随机了。


非对称加密算法
非对称加密算法是世界上最重要的加密解密算法。
所谓非对称，是指加密和解密用到的公钥和私钥是不同的。
非对称加密算法依赖于求解一数学问题困难而验证一数学问题简单。


RSA算法
著名的RSA加密算法就是利用了对一个大整数进行因数分解困难，验证因子组成某个大整数容易的原理而编写的。
具体说，比如求143的因子，你可能需要进行11次除法才能得到143=11*13的结果。但是要验证11*13=143，则只需要一次乘法就够了。
如要破解RSA，只需要能够快速分解大整数即可，显然这是破解RSA最简单最快速的办法。但要分解大整数是极不容易的（数学上叫做NP-Hard问题），这也就是RSA能保证其不能被破解的原因。
反之，如果人类某天找到了快速分解大整数的办法（例如利用量子计算机进行计算），则RSA算法就立即被破解了。


RSA算法的大致原理
生成公钥和私钥：
1、生成一对大质数p,q，求出n=p*q和f=(p-1)*(q-1)。
2、生成一个随机数e，满足e<f且e,f互质。
3、求出e关于f的模逆d，即求出e*d=1 mod f。
设明文为m，密文为g。
用公钥n,e加密：m^e=g mod n
用私钥n,d解密：g^d=m mod n
证明解密后的明文就是原先的明文：
根据加密解密规则，将g=m^e mod n代入g^d=m mod n后，发现只要证明m^(e*d)=m mod n即可（同余运算的原理）。
由于e*d=1 mod f，所以只需证明m^(f+1)=m mod n即可。根据欧拉定理，f是欧拉函数所以得证。（具体的数学原理这里不再赘述）
显然，如果知道了f，就可以根据公钥n,e计算出d破解明文。要知道f，必须得知道p和q。要知道p和q，必须将n分解。所以RSA的破解依赖于整数分解。
如果对RSA算法感兴趣，可以看这两篇文章。
http://www.ruanyifeng.com/blog/2013/06/rsa_algorithm_part_one.html
http://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html


椭圆曲线加密算法
试想有一种乘法，可以在已知a,b的情况下计算出c=a*b，但已知c,a不能计算出b。
我们可以利用这种乘法进行加密解密。
设明文m，密文g1,g2。
用公钥a,c=a*b,r（随机数）加密：
g1=m+r*c
g2=r*a
用私钥a,b解密：m=g1-b*g2
证明：
g1-b*g2
=m+r*c-b*r*a
=m+r*c-r*c
=m
我们还可以利用这种乘法进行签名认证。
设原文m，签名g1,g2。
用私钥a,b,r（随机数）签名：
x=r*a
g1=SHA(m,x)
g2=r-g1*b
用公钥验证：
g2*a+g1*c 
=(r-g1*b)*a+g1*c 
=r*a-g1*b*a+g1*c 
=r*a-g1*c+g1*c 
=r*a
=x
计算SHA(m,x)是否和g1相等。
这就是加密解密层面上的椭圆曲线加密算法。


椭圆曲线加密算法的点乘运算
如何找到这样一种乘法是椭圆曲线加密算法的关键。通常的整数乘法是没法满足这样的要求的。乘法来源于加法，我们必须定义新的运算规则。
例如定义a!+b=a*b，a!*b=b^a，这里的!+和!*是新定义的加法和数量乘法，于是我们得到这样的结论：
加法交换律：a!+b=b!+a
加法结合律：(a!+b!)+c=a!+(b!+c)
加法零元素存在：a!+1=a*1=a，这里的1相当于普通加法中的0。
加法负元素存在：a!+b=a!+(1/a)=a*(1/a)=1
数量乘法单位元素存在：1!*b=b^1=b
数量乘法结合律：(a*b)!*c=c^(a*b)=c^(b*a)=c^b^a=a!*(c^b)=a!*(b!*c)
加乘法分配率：(k+l)!*a=k!*a+l!*a
加乘法分配率：k!*(a!+b)=k!*a!+k!*b
这样的加法和乘法满足了很多普通加法和乘法中的性质，但是却满足了一些特定条件，例如比原本的乘法更难根据a和c=a!*b=a^b求出b（需要对数运算）。
我们的目标是找到这样一种加法和乘法，使其满足前文所说的条件。数学家通过研究椭圆曲线找到了这一办法：
设平面上两点P(x1,y1)，Q(x2,y2)，则P+Q=R(x3,y3)，满足x3=k^2-2x1，y3=k(x1-x3)-y1，k=(3*x1)/(2y1)。定义k*P=P+P+P+....+P。
这样的一套（关于平面上点的）运算法则（加法和点乘）就满足这样的需求。
这和椭圆曲线有什么关系呢？事实上，如果P和Q都是曲线y^2=x^3+7上的点，那么P+Q=R也是椭圆曲线y^2=x^3+7上的点并且这三个点位于一条直线上。
这并不是巧合，而是逆推出来的。亦即当P和Q是曲线上的点的时候，那么直线PQ和曲线的交点是R，求出R的坐标为(x3,y3)。
使用椭圆曲线加密算法是因为它比RSA算法更快，并且能够实现和RSA算法类似的功能。
实际使用的时候，还需要将曲线和点离散化，并且把坐标系扩展。这涉及更多数学知识，如有兴趣可参考这篇文章：
http://www.pediy.com/kssd/pediy06/pediy6014.htm
关于比特币中椭圆曲线用到的参数，可参看这个：
https://en.bitcoin.it/wiki/Secp256k1