在探讨比特币(BTC)这一革命性数字货币的技术基石时,公钥加密体系无疑是核心中的核心,比特币采用的是椭圆曲线数字签名算法(ECDSA),其安全性依赖于椭圆曲线数学的复杂性,而在这一体系中,公钥的生成过程尤为关键,一个有趣且重要的观察点是,比特币的公钥本质上可以看作是由一个特定的“y”值所定义的,本文将深入探讨“BTC 公钥由 y”这一说法背后的数学原理与实际意义。
比特币的公钥生成:从私钥到椭圆曲线上的点
我们需要简要回顾比特币公钥的生成过程:
- 私钥:一个随机生成的、非常大的整数(在比特币中,通常是256位无符号整数),相当于用户的密码或所有权证明。
- 椭圆曲线:比特币使用的是 secp256k1 曲线,其方程可以表示为
y² = x³ + 7(在特定的有限域上)。 - 基点(G):secp256k1 曲线上一个预先选定、公开的固定点,它具有非常大的阶(order)。
- 公钥生成:将私钥(一个整数
d)与基点G进行椭圆曲线上的标量乘法运算,即P = d * G,运算结果P就是椭圆曲线上的另一个点,这个点就是比特币的公钥。
比特币的公钥并非一个简单的数字,而是椭圆曲线上的一个点 P,这个点由一对坐标 (x, y) 来唯一确定。
“BTC 公钥由 y”的数学解读
既然公钥是一个点 (x, y),为什么会有“BTC 公钥由 y”这样的说法呢?这主要源于椭圆曲线方程和公钥压缩的技术。
-
椭圆曲线方程的约束: 比特币使用的 secp256k1 曲线方程为
y² = x³ + 7,这意味着,给定一个x坐标,y²的值是确定的(y² = x³ + 7),而y坐标则有两个可能的解,即y = sqrt(x³ + 7)和y = -sqrt(x³ + 7),在有限域中,这对应于两个不同的y值(一个偶数,一个奇数,因为 secp256k1 曲线的参数特性)。 -
公钥压缩的原理: 由于公钥点
P的x和y坐标通过曲线方程紧密关联,我们实际上可以只存储其中一个坐标,再加上一个额外的“压缩前缀”位,来完整地恢复出整个公钥。- 未压缩公钥:包含完整的
x和y坐标,通常以0x04开头,长度为 65 字节。 - 压缩公钥:仅存储
x坐标,以及一个表示y是偶数还是奇数的标志位(1 位)。y是偶数,前缀为0x02;y是奇数,前缀为0x03,长度为 33 字节。
当我们拥有压缩公钥(
x坐标 + 前缀)时,可以通过以下步骤恢复出完整的公钥: a. 从x计算出y² = x³ + 7。 b. 计算y的两个可能平方根。 c. 根据前缀位(偶或奇)选择正确的y值。 - 未压缩公钥:包含完整的
-
“由 y”的含义: 这里的“由 y”并非指公钥仅由
y坐标决定,而是强调y坐标在公钥表示和恢复过程中的关键作用,尤其是在公钥压缩技术中,虽然x坐标是压缩存储的基础,但y坐标的奇偶性是区分两个可能点(具有相同x坐标的点在椭圆曲线上关于
