为什么以太坊的私钥计算不可逆

2023-02-20

你有没有过好奇,为什么以太坊的私钥无法从账户地址逆推算出来?当你拥有一个私钥,想要得到这个私钥对应的账户地址,你可以在 MetaMask 里导入这个账户,或者使用 ether.js 这样的 SDK 在代码层面导入一个账户到钱包,然后打印出账户的地址。这个导入账户的过程有没有黑箱操作?

我前几天无意中在 Medium 上看到一片文章,作者用很简洁的代码写出了从私钥到地址的计算过程,作者的代码在这里 RareSkills/generate-ethereum-address-lower-level.py

我把代码复制过来:

from ecpy.curves import Curve
from sha3 import keccak_256

private_key = 0xac0974bec39a17e36ba4a6b4d238ff944bacb478cbed5efcae784d7bf4f2ff80

cv     = Curve.get_curve('secp256k1')
pu_key = private_key * cv.generator # just multiplying the private key by generator point (EC multiplication)

concat_x_y = pu_key.x.to_bytes(32, byteorder='big') + pu_key.y.to_bytes(32, byteorder='big')
eth_addr = '0x' + keccak_256(concat_x_y).digest()[-20:].hex()

print('private key: ', hex(private_key))
print('eth_address: ', eth_addr)

这段代码只有四五行,计算的关键有两个地方,private_key * cv.generatorkeccak_256(concat_x_y)。除了这两个地方,其他的部分都是常量计算,乍一看挺复杂,仔细看看拆解一下,都是很简单的字符串拼接。

其中,private_key * cv.generator 是椭圆曲线的计算,上看定义的私钥 private_key 是一个 16 进制的数字,注意是 int 类型,然后用椭圆曲线的生成器去计算出一个值。这个计算过程是不可逆的,就是在椭圆曲线上绕圈那个过程,可以类比理解为,一个数字取余之后,你无法还原出取余之前的数字。椭圆曲线只是用更复杂的方式,提供了比 RSA 更加安全的计算结果。

第二个不可逆的计算是 keccak_256(concat_x_y),这是一个计算哈希值的过程,keccak 是 sha3 的一种。摘要算法不可逆,这也是毫无疑问的事情。

也就是说,从私钥到地址的计算过程,有两处是不可逆的,所以整体上,无法从以太坊的账户地址,逆推计算出私钥。