BIP-0032 HD Wallet

1. 引言

HD Wallet：Hierarchical deterministic wallet，可用于：与多个不同的系统部分或完全分享，可为每个系统分别分配具有 可spend 或 不可spend 的能力。
HD Wallet中通常包含的是a single “chain” of keypairs。

1.1 相关定义

Bitcoin中采用secp256k1 curve，其field和curve参数遵循 SEC 2: Recommended Elliptic Curve Domain Parameters 中的推荐值。

变量通常具有如下形式之一：

• module $n$的整数（$n$为curve的order）
• 曲线上的point坐标
• byte sequences

2个coordinate pair 的加法定义为EC group operation。$||$表示byte sequence的拼接。

标准转换函数有：

• $point(p)$：返回的为$p\ast G$的结果，其中$G$为曲线的base point，$p$为整数。
• $se{r}_{32}(i)$：对32位unsigned整数$i$ 序列化为 4-byte sequence，最高有效byte排在最前面。
• $se{r}_{256}(p)$：将整数$p$序列化为32-byte sequence，最高有效byte排在最前面。
• $se{r}_p(P)$：将point $P=(x,y)$ 按 SEC 1: Elliptic Curve Cryptography的压缩格式 序列化为byte sequence：$(0x02\text{or}0x03)||se{r}_{256}(x)$，即第一个byte为$0x02$还是$0x03$具体取决于$y$坐标的正负极。
• $pars{e}_{256}(p)$：将32-byte sequence解析为256-bit number，最高有效byte排在最前面。

当根据一个parent key 派生出 多个child keys，为了防止单纯依赖于parent key本身，可为public key和private key额外引入256 bit的entropy，额外引入的256 bit称为chain code，与公私钥一样，也为32 byte。

extended private key表示为：

• $(k,c)$：其中$k$为正常的私钥，$c$为chain code。

extended public key表示为：

• $(K,c)$：其中$K=point(k)$为正常的公钥，$c$为chain code。

每个extended key有：

• $2^{31}$个normal child keys。其序号为$0$ 到 $2^{31}-1$。通常用$i$来表示normal child key的序号。
• $2^{31}$个hardened child keys。其序号为$2^{31}$ 到 $2^{32}-1$。为了简化，通常用$i_H$数字来表示hardened child key的序号，$i_H=i+2^{31}$。

2. Child key derivation (CDK)函数

已知：

• a parent extended key
• 和 an index $i$。$i\ge 2^{31}$表示child为hardended key。

可计算出相应的child extended key。

具体的child key派生（CDK）函数有：

• Private parent key → private child key：根据父私钥，派生子私钥。
• Public parent key → public child key：根据父公钥，派生子公钥。
• Private parent key → public child key：根据父私钥，派生子公钥。
• Public parent key → private child key：无法根据父公钥派生子私钥。

HMAC相关知识可参看：密码学中的MAC(message authentication code)

2.1 Private parent key → private child key

$CK{D}_{priv}((k_{par},c_{par}),i)\to (k_i,c_i)$，可根据parent extend private key计算出child extend private key：

• 1）判断$i\ge 2^{31}$（即child是否为hardened key）：
  • 若是hardened child key，则：令$I=\text{HMAC-SHA512}(\text{Key}=c_{par},\text{Data}=0x00||se{r}_{256}(k_{par})||se{r}_{32}(i))$。注意，此处为父私钥pad了$0x00$，使其长度为33 bytes。
  • 若是normal child key，则：令$I=\text{HMAC-SHA512}(\text{Key}=c_{par},\text{Data}=se{r}_p(point(k_{par}))||se{r}_{32}(i))$。
• 2）将$I$切分为2个32 byte sequence $I_L,I_R$。
• 3）返回child key $k_i=pars{e}_{256}(I_L)+k_{par}(\mathrm{m}\mathrm{o}\mathrm{d}n)$。
• 4）返回chain code $c_i=I_R$。
• 5）若 $pars{e}_{256}(I_L)\ge n$ 或 $k_i=0$，则生成的child key无效，需使用$i=i+1$再进行如上过程派生。（注意，这种情况发生的概率低于$1/2^{127}$。）

2.2 Public parent key → public child key

$CK{D}_{pub}((K_{par},c_{par}),i)\to (K_i,c_i)$，可根据parent extend public key计算出child extend public key：

• 1）判断$i\ge 2^{31}$（即child是否为hardened key）：
  • 若是hardened child key，则：返回失败。
  • 若是normal child key，则：令$I=\text{HMAC-SHA512}(\text{Key}=c_{par},\text{Data}=se{r}_p(K_{par})||se{r}_{32}(i))$。
• 2）将$I$切分为2个32 byte sequence $I_L,I_R$。
• 3）返回child key $K_i=point(pars{e}_{256}(I_L))+K_{par}$。
• 4）返回chain code $c_i=I_R$。
• 5）若 $pars{e}_{256}(I_L)\ge n$ 或 $K_i=\mathcal{O}$，则生成的child key无效，需使用$i=i+1$再进行如上过程派生。

2.3 Private parent key → public child key

$N((k,c))\to (K,c)$，可根据 extend private key计算出 extend public key：

• 1）返回key $K=point(k)$。
• 2）返回chain code $c=c$。

根据parent extend private key 计算出 child extend public key的方式有：

• $N(CK{D}_{priv}((k_{par},c_{par}),i))$：总是管用。
• $CK{D}_{pub}((N(k_{par},c_{par})),i)$：仅适于non-hardened child keys。

即，可在不知道父私钥，仅根据父公钥就派生出相应的non-hardened child public key。

2.4 Public parent key → private child key

无法根据 父公钥 派生出 子私钥。

3. Key tree

接下来，将堆叠使用多个CKD函数来构建key tree。

假设该key tree仅有1个root——the master extended key $m$。通过对多个$i$值进行evaluate $CD{K}_{priv}(m,i)$ 可获得一组 level-1 derived nodes。每个node又可作为extended key，持续应用$CD{K}_{priv}$进行派生。

可将$CK{D}_{priv}(CK{D}_{priv}(CK{D}_{priv}(m,3_H),2),5)$ 简化表示为 $m/3_H/2/5$，等价的，对于公钥，会将$CK{D}_{pub}(CK{D}_{pub}(CK{D}_{pub}(M,3),2),5)$ 简化表示为 $M/3/2/5$。
从而具有如下属性：

• $N(m/a/b/c)=N(m/a/b)/c=N(m/a)/b/c=N(m)/a/b/c=M/a/b/c$
• $N(m/a_H/b/c)=N(m/a_H/b)/c=N(m/a_H)/b/c$，此时，无法将$N(m/a_H)$表示为$N(m)/a_H$。

key tree中的每个叶子节点都对应为一个实际的key，其内部节点对应为该key派生的一组子key。叶子节点的chain code可忽略，仅与其embedded private key或public key 相关。因为在以上构建过程中，知道某extended private key，可构建出其所有 子private key 和 子public key，知道某extended public key，可构建出其所有 non-hardened子public key。

3.1 Key identifier

不考虑chain code，可将Extended key表示为$Hash160(se{r}_p(K))$，其中 $K$ 为为公钥，$Hash160(\ast )=RIPEMD160(SHA256(\ast ))$。这与传统的比特币地址表达方式类似。不建议将该该数据进行进一步base58转换，因为那样的化将无法与正常的比特币地址区分，且wallet software并不需要通过chain key本身来接收payment。

key identifier的前32bit称为key fingerprint。

3.2 序列化格式

Extended public key和private key可按如下方式进行序列化：【共78 byte】

• 4 byte：为version byte。（mainnet: 0x0488B21E public, 0x0488ADE4 private; testnet: 0x043587CF public, 0x04358394 private）
• 1 byte：为depth。$0x00$表示master node，$0x01$表示level-1 derived keys，以此类推。
• 4 byte：为parent key的fingerprint（对于master key，其值为$0x00000000$）。仅作为快速定位父子节点的方式，实际软件实现时要注意处理collision情况，实际内部可直接使用完整的160-bit identifier。
• 4 byte：为child number。为$se{r}_{32}(i)$ for $i$ in $x_i=x_{par}/i$，其中$x_i$为the key being serialized。（对于master key，其值为$0x00000000$）。
• 32 byte：为chain code。
• 33 byte：为public key或private key data（对于公钥为$se{r}_p(K)$，对于私钥为$0x00||se{r}_{256}(k)$）。

以上78 byte结构也可采用Base58编码为112字符的string，对于主网，其以"xprv"或“xpub”开头；对于测试网，其前缀为"tprv"或“tpub”。

当extended public key进行序列化时，需判断该公钥是否为曲线上的point，若不是，则该extended public key为invalid的。

3.3 Master key generation

可能的extended keypair总数约为$2^{512}$个，最终产生的key仅为$256$-bit long，从而流程了约一半的安全控件。
master通常不是直接生成的，而是源于一个short seed：

• 由§RNG生成一个指定长度的seed byte sequence $S$，该长度通常为128~512bit，推荐为256bit。
• 计算 $I=\text{HMAC-SHA512}(\text{Key}=c_{par},\text{Data}=S)$。
• 将$I$切分为2个32 byte sequence $I_L,I_R$。
• 将 $pars{e}_{256}(I_L)$作为master secret key，将$I_R$作为master chain code。

若$I_L=0$或$I_L\ge n$，则该master key为invalid的。

参考资料

[1] BIP-0032