在比特币的世界里，私钥签名是保障资产安全、实现交易授权的核心机制，它如同我们现实世界中的签名或印章，证明某笔交易确实由资产所有者发起且未被篡改，理解BTC私钥签名的具体流程，是深入掌握比特币工作原理的关键一步，本文将详细拆解这一流程，从基本概念到实际操作步骤，为您揭示数字货币交易的“签名之谜”。

核心概念：基石与工具

在深入流程之前,我们先明确几个不可或缺的核心概念：

1. 私钥 (Private Key)：一串由随机数生成的长字符串（通常以“5”或“K”、“L”开头），它是对比特币地址拥有绝对控制权的“密码”，一旦泄露，对应地址中的BTC将面临被盗风险,私钥必须由用户严格保密。
2. 公钥 (Public Key)：由私钥通过椭圆曲线算法（ECDSA，椭圆曲线数字签名算法）生成的一串字符串，公钥与私钥成对出现，但无法从公钥反向推导出私钥，公钥可以公开,用于接收BTC。
3. 比特币地址 (Bitcoin Address)：由公钥进一步通过哈希算法（如SHA-256和RIPEMD-160）生成的一串更短、更易读的字符串（通常以“1”、“3”或“bc1”开头），它是用户在比特币网络上接收BTC的唯一标识,相当于银行账户号。
4. 交易 (Transaction)：描述比特币所有权转移的数据结构，包含输入（UTXO，未花费的交易输出）、输出（接收地址和金额）、手续费等信息，交易一旦广播到网络,需要被矿工验证并打包进区块才能确认。
5. 数字签名 (Digital Signature)：由私钥对交易数据进行特定算法运算后生成的一串独特数据，它证明了交易是由私钥持有者发起,并且交易在签名后未被篡改。

BTC私钥签名的具体流程

私钥签名并非直接对“我要转1个BTC给XXX”这样的简单信息签名，而是对经过特定格式化处理的交易数据进行签名,以下是详细的步骤：

创建并格式化交易数据

1. 构建交易：发送方首先创建一笔交易,这笔交易需要明确：

   • 输入 (Inputs)：指出要花费哪些之前的UTXO，每个UTXO都包含了上一笔交易的输出信息、所在区块高度、交易索引以及锁定脚本（ScriptSig，通常要求提供签名和公钥才能解锁）。
   • 输出 (Outputs)：明确接收方的比特币地址和对应的金额,以及矿工的手续费。
   • 锁定时间 (Locktime)：可选,指定该交易最早可以被确认的时间或区块高度。

2. 序列化交易 (Transaction Serialization)：将构建好的交易数据按照比特币协议规定的格式（称为“序列化”或“编码”）转换为一字节的二进制数据，这个过程确保了交易数据的一致性和可解析性，这个序列化后的交易数据，我们称之为“原始交易数据”（Raw Transaction Data）。

生成待签名的数据 (To Be Signed, SIGHASH)

对整个原始交易数据进行签名是不高效的，也不利于灵活验证，比特币引入了“SIGHASH”（签名哈希）类型，允许签名者指定交易中哪些部分需要被签名保护,哪些部分可以暂时忽略或由他人填写。

1. 选择SIGHASH类型：常见的SIGHASH类型有：

   • SIGHASH ALL（默认）：最常用，签名者对交易的所有输入和输出进行签名，这意味着一旦签名,任何对输入或输出的修改都会导致签名无效。
   • SIGHASH NONE：签名者只对输入进行签名，不包含输出，这意味着输出部分可以在签名后被他人修改（更改接收地址或金额）。
   • SIGHASH SINGLE：签名者对对应索引的输入和所有输出进行签名,但只对输出中索引小于或等于输入索引的部分进行保护。
   • SIGHASH ANYONECANPAY：可以与上述类型组合使用（如SIGHASH ALL | ANYONECANPAY），表示签名者只对当前被签名的输入进行签名,其他输入可以在签名后被添加或修改。

2. 计算SIGHASH：

   • 将原始交易数据中的每个输入的解锁脚本（ScriptSig）字段替换为空（或根据SIGHASH类型调整）。
   • 将选定的SIGHASH类型（如0x01代表SIGHASH ALL）附加到交易数据的末尾。
   • 对这个修改后的交易数据进行双重SHA-256哈希运算（即先进行一次SHA-256，再对结果进行一次SHA-256）。
   • 最终得到的32字节哈希值，就是待签名的数据（SIGHASH）。

使用私钥对SIGHASH进行签名（ECDSA签名）

我们有了待签名的数据（SIGHASH）和拥有交易控制权的私钥。

1. 椭圆曲线数字签名算法 (ECDSA)：使用比特币采用的椭圆曲线算法（secp256k1）和私钥,对上一步得到的SIGHASH进行签名。
2. 生成签名：ECDSA签名过程会生成两个固定长度的整数，通常称为r和s，这两个整数组合在一起，构成了比特币交易的数字签名（Signature）。

   签名数据通常以“0x30”开头，后面跟着r和s的长度以及它们本身的值，格式遵循DER（Distinguished Encoding Rules）编码。

将签名和公钥填入交易解锁脚本

签名完成后，需要将签名信息附加到交易中,以便矿工和节点验证。

1. 构建解锁脚本 (ScriptSig)：对于被签名的每个输入，其解锁脚本（ScriptSig）会被构建为： <签名> <公钥> 即，将上一步生成的数字签名（DER编码的r和s）和对应的公钥依次填入。
2. 更新交易：将构建好的解锁脚本填入原始交易数据中对应输入的ScriptSig字段，这笔交易已经完成了签名，可以称为“已签名交易”。

广播交易

签名完成的交易会被发送到比特币网络,网络中的节点和矿工会对这笔交易进行验证。

签名的验证：确保交易的真实性与完整性

签名的目的是为了验证，验证过程是签名过程的逆运算，但只能使用公钥,无法使用私钥。

1. 提取验证所需数据：验证者从已签名交易中提取：

   • 解锁脚本 (ScriptSig)：即<签名> <公钥>。
   • 锁定脚本 (ScriptPubKey)：来自输入所指向的UTXO，其中包含了验证条件（通常是要求提供有效的签名和匹配的公钥）。
   • 待签名的数据 (SIGHASH)：与签名时相同的计算方式（从交易数据中提取，替换ScriptSig，附加SIGHASH类型，双重SHA-256）。

2. ECDSA验证：

   • 验证者使用从解锁脚本中提取的公钥、待签名的数据（SIGHASH）和数字签名（r和s）,执行ECDSA验证算法。
   • 该算法会检查：使用公钥和r值，是否能重新计算出与SIGHASH相关的某个值，该值是否与s值一致（具体算法细节涉及椭圆曲线数学）。

3. 验证结果：

   • 如果验证通过，说明该签名确实是由对应公钥的私钥对原始SIGHASH生成的，且交易数据在签名后未被篡改（符合SIGHASH指定的范围）,交易被认为是有效的。
   • 如果验证失败，说明交易数据被篡改、签名无效或公钥与私钥不匹配,交易会被拒绝。