@
zictos secp256k1 作为非对称密码,强度只相当于 128bit 的对称密码,也就是 BIP39 12 单词的强度。
要是说地址是公钥的 hash ,而不是公钥本身……确实币圈流传过一篇文章,说不直接暴露公钥含有一定程度的量子计算机抗性,但……btc 这边最新一代的 taproot 地址全都是裸公钥,开发者为了给这个做辩护就在 stackexchange 上说过这个问题,里面还提到过,比如上古时代巨量的币都是 p2pk 裸公钥,还有很多其他情况也会暴露公钥,比如地址重用,比如 hd xpub 主公钥被透露(比如透露给钱包服务器),于是从经济方面考虑,这些公钥暴露的币仍然足以摧毁 btc ,于是就不用担心这个问题( x
嘛反过来说如果未来哪天真的有了量子计算机,是不是还存在某种迁移方案?或者说很久以前我听说过也许可以做个零知识证明,既能对外界证明我知道一个 hash 对应的公钥,又不用把公钥公开透露出去,不知道能不能做,如果能具体又是怎么做的。
再有一个就是,可以上溯到神圣的白皮书本身的,地址不要重用以便一定程度上保护隐私,所以为了方便换地址,乃至扩大一点概念为了方便管理钱包(分账户,分不同用途),甚至是扩展到方便管理其他币种、全部都用一个种子,所以有了 BIP32 HD 钱包、BIP44/49/84 等等规定标准推导路径……但老实说我感觉隐私方面是否有益处好像受到很大挑战,HD 钱包本身就给我一种好像是……
过度工程的感觉,老实说。确实,感觉实际上可能并没有那么大好处,反倒各种蛋疼。
只是看上去很优雅又能全面地照顾各种需求,但落到实际上各种蛋疼,从历史遗留问题( BIP49 提出较迟,有些钱包在有 BIP49 统一标准之前就找一个简单的路径先行实现了 HD 钱包,但这个其实蛮特殊,作为例子提出来不好),到 gap limit……