什么是 BIP39?
BIP39(比特币改进提案 39)定义了一种标准,用于创建加密货币钱包的人类可读备份短语。这些短语——称为种子短语、助记词短语或恢复短语——由 12、18 或 24 个常见英语单词组成,这些单词编码了用于派生钱包所有私钥的熵。
BIP39 由 Marek Palatinus、Pavol Rusnak、Aaron Voisine 和 Sean Bowe 于 2013 年提出。如今,它是几乎所有硬件钱包(Ledger、Trezor)、软件钱包(MetaMask、Trust Wallet、Exodus)以及交易所自托管工具支持的通用标准。
为什么使用助记词?
加密货币私钥是 256 位的数字——人类完全无法记忆。BIP39 将此熵映射到来自标准化 2048 词列表的常见单词序列,使备份变得人类可写、可读且对转录错误具有鲁棒性。
比较:
- 原始私钥:
e9873d79c6d87dc0fb6a5778633389f4453213303da61f20bd67fc233aa33262 - BIP39 短语:
witch collapse practice feed shame open despair creek road again ice least
两者代表相同的熵。短语在纸上书写、朗读或检查拼写错误时更为实用。
BIP39 流程逐步说明
1. 生成熵
创建加密安全的随机字节序列:
- 12 个单词: 128 位熵
- 18 个单词: 192 位熵
- 24 个单词: 256 位熵
2. 计算校验和
计算熵的 SHA-256 哈希值。取哈希的前 ENT/32 位作为校验和。
- 128 位熵 → 4 位校验和 → 总共 132 位
- 256 位熵 → 8 位校验和 → 总共 264 位
3. 分割成 11 位组
将熵和校验和连接起来,然后分割成每组 11 位的组。每个组是 BIP39 单词列表中的一个索引(0–2047)。
4. 映射到单词
将每个 11 位索引替换为 2048 词列表中对应的单词。
128 位熵 + 4 位校验和 = 132 位
132 位 / 每个单词 11 位 = 12 个单词
5. 派生主种子
助记词短语(可选密码短语)通过 PBKDF2-HMAC-SHA512 处理 2048 次迭代,生成 512 位的主种子。从此种子出发,按照 BIP32 派生所有钱包密钥。
BIP39 短语的安全性
一个 12 词短语编码了 128 位熵。可能的 12 词短语总数为:
2^128 ≈ 3.4 × 10^38
即使攻击者每秒能检查一万亿(10^12)个短语,穷举所有 12 词短语也需要 10^19 年——比宇宙的年龄还长。24 词短语(256 位)即使使用量子计算机也几乎不可能暴力破解。
BIP39 单词列表
英语 BIP39 单词列表恰好包含 2048 个单词,经过精心挑选:
- 前 4 个字符唯一——你可以通过前 4 个字母识别每个单词,减少转录歧义。
- 简短——大多数单词为 3–8 个字符。
- 常见——熟悉的英语单词,避免技术术语。
其他语言的单词列表也存在(日语、西班牙语、韩语、法语、意大利语、捷克语、葡萄牙语、中文),但英语是支持最广泛的。
密码短语(第 25 个单词)
BIP39 支持可选的密码短语(有时称为“第 25 个单词”),它与助记词结合以派生种子。这提供了两层安全性:
- 物理助记词短语
- 记忆中的密码短语
即使有人找到你的物理备份,没有密码短语也无法访问资金。这对硬件钱包特别有用。
警告: 如果你忘记了密码短语,资金将永久丢失。没有恢复机制。
安全存储种子短语
| 方法 | 安全性 | 耐久性 |
|---|---|---|
| 纸张 | 低(火灾/水灾) | 差 |
| 金属板(Cryptosteel) | 高 | 优秀 |
| 数字(未加密) | 非常低 | 好 |
| 密码管理器 | 好 | 好 |
| 仅靠记忆 | 不适用 | 差(遗忘) |
最佳实践:
- 切勿拍摄种子短语的照片——照片会备份到你可能无法控制的云存储中。
- 切勿在任何网站上输入种子短语——包括“恢复”网站(许多是钓鱼网站)。
- 制作多个物理副本——存放在不同的安全位置(家庭保险箱、银行保险箱、可信赖的家人处)。
- 使用金属备份——纸张会燃烧和降解;不锈钢能承受火灾。
- 切勿与任何人分享——种子短语是凭证工具。拥有单词的人控制资金。
本工具的安全性
此 BIP39 生成器完全在浏览器中运行,使用 Web Crypto API 生成熵。不会将任何种子短语、私钥或钱包数据传输到任何服务器。要生成真实的钱包种子短语,请验证工具在本地运行且无网络访问。
→ 尝试 BIP39 生成器