為什麼比特幣地址不直接使用公鑰，而需要通過哈希生成？為什麼每次付款都應該設置找零地址？

我們知道，每個人的比特別錢包中有多個比特幣地址，每個比特幣地址代表一定數量的比特幣。而比特幣地址是通過一個公鑰通過哈希（RPIEMD+SHA）生成的，這個公鑰又是由私鑰通過橢圓曲線（ECC）生成的。私鑰保存在比特幣錢包中，不應泄露出去。而公鑰在付款交易時，需要和比特幣地址一起，通過交易記錄公開發布，由區塊鏈系統驗證付款交易的有效性。

那麼，為什麼比特幣地址不直接使用公鑰呢？公鑰用來驗證私鑰的簽名，將它當做比特幣地址，不是更方便么！為什麼需要費事兒地再通過哈希生成一個比特幣地址呢？如果你弄明白這件事兒的原因，你就一定會感謝中本聰，把這麼一個奇巧無比的機制帶給我們！

請結合下圖理解，第一行是收款方她的比特幣錢包中一個她的比特幣地址（HerBitcoinAddr）。第二行是付款方我的比特幣錢包中一個我的比特幣（MyBitcoinAddr）。我要付款給她，那麼我生成的交易記錄如下灰色方框所示，含有我的公鑰（MyPubKey），我的比特幣地址（MyBitcoinAddr），她的比特幣地址（HerBitcoinAddr），還有付款信息和我通過我的私鑰進行的簽名（Signature）。

請注意，灰色方框中的交易記錄是公開的，也就是說，如果她只想收款，那麼她只需要公開她的比特幣地址（HerBitcoinAddr）即可，不需要公開其它任何信息。而我需要付款，那麼我除了公開我的比特幣地址（MyBitcoinAddr）以外，還需要公開我的公鑰（MyPubKey）和簽名（Signature）。

這說明了什麼呢？根據非對稱演算法（PKI）原理，從私鑰可以生成公鑰，但是從公鑰無法反推出私鑰。注意，「從公鑰無法反推出私鑰「這個表述並不正確！其實，從公鑰是可以反推出私鑰的，只是很難很難而已。現代智人認為，未來的量子計算機，是可以從公鑰反推出私鑰的。因此，在比特幣公開的交易記錄中包含付款人我的公鑰（MyPubKey），使得付款人我的這個比特幣地址（MyBitcoinAddr）中的錢是不安全的。

而對於收款方她的比特幣地址，因為她只公開了她的比特幣地址，而量子計算是無法通過哈希值復原原始內容的，就是無法通過她的比特幣地址復原她的公鑰的，從而更無法推出她的私鑰，所以可以認為她的比特幣地址是安全的。

那麼，作為付款人的我，當我付完錢之後，我的比特幣地址（MyBitcoinAddr）不就公開了么，不就不安全了么，該怎麼辦呢？正確的做法請見下圖，我每次付款的時候，都應該再提供一個找零地址（MyBitcoinAddr2），這個找零地址需要是我從未公開過它的公鑰（MyPubKey2）的比特幣地址，也就是我從未用它付過款。我在付款的時候，將付款用的比特幣地址（MyBitcoinAddr）中剩下的錢，都轉賬給我的找零地址（MyBitcoinAddr2）。

也就是說，每次付款，我的付款比特幣地址（MyBitcoinAddr）都作廢了，而錢分別轉移到收款人她的比特幣地址（HerBitcoinAddr）中，和我自己的找零地址（MyBitcoinAddr2）中。因為HerBitcoinAddr和MyBitcoinAddr2都從未付過款、公鑰都從未公開過，所以，即使量子計算時代降臨，這兩個比特幣地址中的錢還都是安全的。

再次感謝中本聰，把比特幣這麼一個奇思妙想的東西帶給我們！

Reference:

0. 老宋的獨家號

1.Open source P2P money

2.https://bitcoin.org/bitcoin.pdf

註：本文為老宋原創文章，轉載前請至【知乎專欄-老宋的獨家號】點贊或評論建議。

推薦閱讀：