高畫質錢包 - 為什麼要通過添加來擴展私鑰？（非硬化）

據我目前了解，在分層確定性錢包中擴展密鑰存在兩種方法：正常派生和強化派生。強化派生本質上“打破了鏈條”，增加了安全性，因為通過正常派生，洩露的子私鑰以及鏈碼可用於通過減法派生任何父私鑰。

正常的子私鑰派生是這樣的：獲取父公鑰、父鏈碼和索引號的 HMAC-SHA512 雜湊。前 256 位與父私鑰相加得到子私鑰，後 256 位為子鏈碼。使用這個，擁有子私鑰和鏈碼的對手可以使用減法來找到父私鑰。與硬化派生類似，但父私鑰用作雜湊函式的輸入，因此即使鏈碼已知，也無法反轉。缺點是需要父私鑰來生成子公鑰，從而消除了“僅接收”機器只能訪問公鑰的可能性。

我的問題是，為什麼使用可逆算術（父私鑰相加和散列函式的輸出）而不是“單向”函式，如橢圓曲線加法或其他？

我的問題是，為什麼使用可逆算術（父私鑰相加和散列函式的輸出）而不是“單向”函式，如橢圓曲線加法或其他？

允許公共推導。

這意味著可以給某人一個父擴展密鑰（公鑰+鏈碼），他們可以導對外連結中的所有公鑰。

如果最終的密鑰直接由單向函式計算，則不存在與公鑰等效的操作來計算結果的公共版本。

引用自：https://bitcoin.stackexchange.com/questions/64634