区块链是基于加密算法，共识算法，p2p网络和经济激励的一个系统，加密算法在里面起到了非常关键的作用，总结一下Neo使用到的加密算法吧。4 s1 Q  M/ j& V/ m0 B3 L! O9 J
关于区块链中密码学的介绍，yeasy大牛的文章已经介绍的非常好，下文主要通过和Neo结合，加上一些自己的理解，去讲述一下加密算法的使用方法。2 X% N7 g& _9 L+ [& ?
Hash 算法8 f$ b, w% ~; j( K* m" ?4 C5 W
Hash （哈希或散列）算法是信息技术领域非常基础也非常重要的技术。它能任意长度的二进制值（明文）映射为较短的固定长度的二进制值（Hash 值），并且不同的明文很难映射为相同的 Hash 值。
4 A" P( N+ ?8 l9 k( T. C% Y
6 o5 w' V! g, g* E注意上一篇文章说明了如何将hash后的字符串保存到Neo的UInt256类型，其中一个前提就是结果集合在[0-15]之间。: G. Y3 i9 S) H8 \
哈希完全不等于加密，很多时候开发人员都对用户表中的密码进行哈希后保存，实际上不叫做加密，只是相当于把密码的“特征指纹”保存下来，而对非法攻击者来说，在不知道真实的“密码”的情况下，得到有相同指纹的密码是极为困难的。
+ {3 z( i3 n7 K- Q4 F一个优秀的 hash 算法，将能实现：
* }, ?4 o, c' h- ]( \, e& m8 p3 A正向快速：给定明文和 hash 算法，在有限时间和有限资源内能计算出 hash 值。逆向困难：给定（若干） hash 值，在有限时间内很难（基本不可能）逆推出明文。输入敏感：原始输入信息修改一点信息，产生的 hash 值看起来应该都有很大不同。冲突避免：很难找到两段内容不同的明文，使得它们的 hash 值一致（发生冲突）。% t2 F7 u) ~4 B' S. Z

5 A  Y) E9 R- {6 u6 e, C目前，一般认为 MD5 和 SHA1 已经不够安全，推荐至少使用 SHA2-256 算法。
  l0 u9 i7 n" u4 N( l: Y一般的，Hash 算法都是算力敏感型，意味着计算资源是瓶颈，主频越高的 CPU 进行 Hash 的速度也越快。7 Q9 m( A6 r0 J: m( G
也有一些 Hash 算法不是算力敏感的，例如 scrypt，需要大量的内存资源，节点不能通过简单的增加更多 CPU 来获得 hash 性能的提升。
: B# B% a' T. L! \1 D( TNeo中的hash算法; ~3 ?7 a8 j7 M6 y3 `
scrypt
, P) s. f! x8 \% ^% ~' Uscrpyt算法是由著名的FreeBSD黑客 Colin Percival为他的备份服务 Tarsnap开发的，当初的设计是为了降低CPU负荷，尽量少的依赖cpu计算，利用CPU闲置时间进行计算，因此scrypt不仅计算所需时间长，而且占用的内存也多，使得并行计算多个摘要异常困难，因此利用rainbow table进行暴力攻击更加困难。scrypt没有在生产环境中大规模应用，并且缺乏仔细的审察和广泛的函数库支持。所以scrpyt一直没有推广开，但是由于其内存依赖的设计特别符合当时对抗专业矿机的设计，成为数字货币算法发展的一个主要应用方向。
6 A. I( [) g6 \3 Xscrypt的参数
! _4 P8 O: _* S; ~" thttps://stackoverflow.com/questions/11126315/what-are-optimal-scrypt-work-factors) j9 i, Y+ ?6 H* Q9 ^$ P0 P+ x
Cpercival mentioned in his slides from 2009 something around* i5 ~2 i+ {3 K( z8 u# W, N0 }
(N = 2^14, r = 8, p = 1) for
2 }, A# ?9 q- B* i' I8 rscrypt特点
8 u' G- w/ o/ h+ v5 Qscrpyt的出名主要是因为莱特币为了抵抗比特币矿机采用的一个算法，可以指定内存和cpu的使用量，可以用参数确定hash的时间。
' ?; ~+ {) N( ?, q4 H# t; NNeo中如何使用scrypt
' C, D6 y, T1 F+ R) \/ U5 @* S// in NEP6Account
' N* I/ g  O8 C7 S. K% s  W   public NEP6Account(NEP6Wallet wallet,
7 Z! `4 v2 u1 t              UInt160 scriptHash, KeyPair key, string password)
. p# X' f5 M4 I            : this(wallet, 7 `$ }0 H4 p3 K$ N
              scriptHash,
: i, m8 `- K/ o' `  v: B+ s5 a              key.Export(password, wallet.Scrypt.N, wallet.Scrypt.R, wallet.Scrypt.P))$ n( J, w6 k; @5 Y' X2 E
        {8 n+ x6 O; G0 y5 X, C4 u! k
            this.key = key;9 k0 ~4 ^  S/ t5 B
        }4 v' k: J! @: V) x: s4 N" H
// in class KeyPair
& Z2 S, ~1 X1 m5 A9 O. l- dpublic string Export(string passphrase, int N = 16384, int r = 8, int p = 8): l/ `" ~) O% \4 S4 i  _
{
" i# Q  ]& A* }( S& p/ i    using (Decrypt())+ x& t; H) P% b8 T
    {# F5 {# O6 Z* l9 _. j
        UInt160 script_hash = Contract.
3 g$ v8 D/ E7 e, ?6 ]/ {6 h            CreateSignatureRedeemScript(PublicKey).ToScriptHash();
0 Z" v& q! D7 S# d        
) e2 U* a1 x6 p8 L        string address = Wallet.ToAddress(script_hash);
1 s. p, Q% X9 v        byte[] addresshash = Encoding.ASCII.GetBytes(address)6 }* d: [& S$ z  T2 m3 V$ m
            .Sha256().Sha256().Take(4).ToArray();0 t8 a3 z, `1 J3 I- O- y' [& Y* a
        * |/ g5 K+ ^. J1 M" _0 S
        byte[] derivedkey = SCrypt.DeriveKey(. `( I# E% V8 u: a
            Encoding.UTF8.GetBytes(passphrase), addresshash, N, r, p, 64);
( B2 V3 ^5 J/ X, L# Z        
$ A3 o; i$ U+ ~7 V        byte[] derivedhalf1 = derivedkey.Take(32).ToArray();
! `2 `) i$ @, s4 g/ f! h        byte[] derivedhalf2 = derivedkey.Skip(32).ToArray();% `# Y& Y' o' u3 @
        
1 A# N9 ~' ~3 _        byte[] encryptedkey = XOR(PrivateKey, derivedhalf1)* y! \7 O( q, @8 w) U/ Y
            .AES256Encrypt(derivedhalf2);
: M: E' o) Z0 `- ]4 W        9 o0 r5 |* Q, k6 |6 [# @) l
        byte[] buffer = new byte[39];
# B( f0 r& }  V9 n8 U        buffer[0] = 0x01;8 `* k5 R8 N# u, P; E9 g- ]! r7 e1 ~, \; V
        buffer[1] = 0x42;" |- O- d/ w/ r; `) [2 ]  J' l6 x+ G
        buffer[2] = 0xe0;! P; g% u) `; j! O- I9 ]
        Buffer.BlockCopy(addresshash, 0, buffer, 3, addresshash.Length);
; h" i' Q. S: \9 R5 J        Buffer.BlockCopy(encryptedkey, 0, buffer, 7, encryptedkey.Length);
! Q1 P1 p/ a: \( q8 H8 f/ m7 U        return buffer.Base58CheckEncode();
1 C4 W+ Z( D7 W5 J    }. ~# [( s. w" K
}- y9 P2 P4 N0 I" ~$ y& o8 _
可见SCrypt.DeriveKey方法参与了加密密钥的生成过程。后面解密也必然使用到了这个hash算法。所以该hash算法参与了加密过程，而加密密钥用AES256Encrypt生成。可以确定的是，使用该算法的逆过程，可以解密出密钥来，这个比WIF要安全。" S& }  {5 R1 |! I
Murmur3- d9 k6 i; I5 R; i5 d7 U4 j
MurmurHash 是一种非加密型哈希函数，适用于一般的哈希检索操作。[1][2][3]由Austin Appleby在2008年发明，[4][5] 并出现了多个变种，[6] 都已经发布到了公有领域(public domain)。与其它流行的哈希函数相比，对于规律性较强的key，MurmurHash的随机分布特征表现更良好。[7]
2 \# u4 r/ n# J8 L# l. W: gMurmur3特点& N8 L8 X! V% H% o
1.碰撞率低# Q6 Q( m, ]2 P# Z  h$ {
2.计算速度快
. o! X2 I0 G! f0 y3.擅长大文件的hash5 T. E1 ]9 V3 }5 A" a
Neo中如何使用Murmur3  k8 l. H0 W; B# l# D4 j& R

# E9 R% z* o( r# F! e! Q* M$ zNeo中Murmur37 e; W# d9 D9 r
Murmur3的具体算法，以后再研究，现在大致知道，Neo用Murmur3生成key，也在BloomFilter中使用了。" [! b5 t4 _3 @4 P
RIPEMD-160
1 U, @( x! {% r( `1 U5 f: \( d# kNeo中用这个算法来生成短一点的hash值，script hash就是用了这个算法。
& ]: ?( t% P' u: Z0 o// in neo-compiler/neo/neo/Core/Helper.cs1 d/ W$ b, c6 Z" |* y7 S  b
public static UInt160 ToScriptHash(this byte[] script)
7 _) h2 y( c5 t7 U# Z  X! w        {
9 U9 ?3 a  o8 q: ^4 n; f' Z            return new UInt160(Crypto.Default.Hash160(script));" x/ }  g4 s* |0 w" P) _, G( e
        }# A7 R  H2 W+ H: U0 s7 a
RIPEMD-160算法的特点
) |" S1 V$ [) o& fRIPEMD-160能表现出理想的 雪崩效应 (例如将 d 改成 c，即微小的变化就能产生一个完全不同的哈希值):7 E, o6 |( d; L5 L- r
加密算法体系  O8 S; J3 M+ ]/ W$ O  M
现代加密算法的典型组件包括：加解密算法、加密密钥、解密密钥。其中，加解密算法自身是固定不变的，一般是公开可见的；密钥则往往每次不同，并且需要保护起来，一般来说，对同一种算法，密钥长度越长，则加密强度越大。
3 L" j9 o/ _- j. B加密过程中，通过加密算法和加密密钥，对明文进行加密，获得密文。/ M1 e# I1 i& r/ ^
解密过程中，通过解密算法和解密密钥，对密文进行解密，获得明文。* m" X7 P& s5 H+ @
根据加解密的密钥是否相同，算法可以分为对称加密（symmetric cryptography，又称公共密钥加密，common-key cryptography）和非对称加密(asymmetric cryptography，又称公钥加密，public-key cryptography)。两种模式适用于不同的需求，恰好形成互补，很多时候也可以组合使用，形成混合加密机制。( J# G2 S, P. m2 z; O
并非所有加密算法的强度都可以从数学上进行证明。公认的高强度加密算法是在经过长时间各方面实践论证后，被大家所认可，不代表其不存在漏洞。但任何时候，自行发明加密算法都是一种不太明智的行为。( R5 G0 T! S6 l
对称加密. S5 m# y6 g( i  ^
顾名思义，加解密的密钥是相同的。8 O( r) M( e+ ?7 w
对称加密优缺点
2 f( p# b( r! y7 Q% }优点是加解密效率高（速度快，空间占用小），加密强度高。6 n4 a# k. A6 r8 W4 F4 |  _
缺点是参与多方都需要持有密钥，一旦有人泄露则安全性被破坏；另外如何在不安全通道下分发密钥也是个问题。
" u( M! \0 B. \1 V( _6 p7 \适用于大量数据的加解密；不能用于签名场景；需要提前分发密钥。# T4 L8 [7 R, i8 O
对称加密实现
7 y! E9 x! T' E9 o: |; |; t对称密码从实现原理上可以分为两种：分组密码和序列密码。前者将明文切分为定长数据块作为加密单位，应用最为广泛。后者则只对一个字节进行加密，且密码不断变化，只用在一些特定领域，如数字媒介的加密等。
- E  x* t- y5 E' M代表算法包括 DES、3DES、AES、IDEA 等。1 S& d2 L9 L/ M  t" {$ m
DES（Data Encryption Standard）：经典的分组加密算法，1977 年由美国联邦信息处理标准（FIPS）所采用 FIPS-46-3，将 64 位明文加密为 64 位的密文，其密钥长度为 56 位 + 8 位校验。现在已经很容易被暴力破解。$ d: h3 |! \0 M6 A
3DES：三重 DES 操作：加密 –> 解密 –> 加密，处理过程和加密强度优于 DES，但现在也被认为不够安全。
- V8 a2 o$ C1 [% mAES（Advanced Encryption Standard）：美国国家标准研究所（NIST）采用取代 DES 成为对称加密实现的标准，1997~2000 年 NIST 从 15 个候选算法中评选 Rijndael 算法（由比利时密码学家 Joan Daemon 和 Vincent Rijmen 发明）作为 AES，标准为 FIPS-197。AES 也是分组算法，分组长度为 128、192、256 位三种。AES 的优势在于处理速度快，整个过程可以数学化描述，目前尚未有有效的破解手段。' S8 c8 }  Z' M& q
注：分组加密每次只能处理固定长度的明文，因此过长的内容需要采用一定模式进行加密，《实用密码学》中推荐使用 密文分组链接（Cipher Block Chain，CBC）、计数器（Counter，CTR）模式。* \7 R' d, ]+ b
Neo中的AES  t& I. ]4 Y6 R' f' F/ l6 H
在钱包的加解密中，使用了该算法。  m2 A2 p0 q% U; z" m
下图的代码在/neo/Wallets/Wallet.cs中，NEP是neo enhancement proposal的意思。参数nep2就是符合这个格式的一个Neo钱包文件。
2 |. u8 @& s' R0 s$ L% i% }* W3 m, T. R3 e2 {1 E) d
拿到私钥+ _# C4 A( F# d/ {! X$ i% b  T
具体的过程，后面再仔细研究分享出来。. _- G* J' |+ q. k' ]
非对称加密
6 `; }0 Q) v% Z  n% u0 f非对称加密是现代密码学历史上最为伟大的发明，可以很好的解决对称加密需要的提前分发密钥问题。顾名思义，加密密钥和解密密钥是不同的，分别称为公钥和私钥。公钥一般是公开的，人人可获取的，私钥一般是个人自己持有，不能被他人获取。
# O* `) |: p0 H# o- h7 \' g2 G; J非对称加密优缺点3 p+ |2 H4 \; ^
1.优点是公私钥分开，不安全通道也可使用。, z) Z4 V. _1 I. [% P. e" [4 y
2.缺点是加解密速度慢，一般比对称加解密算法慢两到三个数量级；同时加密强度相比对称加密要差。% ~, h. y8 G. w% \/ c; [- z
非对称加密代表算法2 ^9 y( C  u3 E# f! h; b
非对称加密算法的安全性往往需要基于数学问题来保障，目前主要有基于大数质因子分解、离散对数、椭圆曲线等几种思路。8 z2 B/ y) n) u3 `
代表算法包括：RSA、ElGamal、椭圆曲线（Elliptic Curve Crytosystems，ECC）系列算法。8 ~" A. k0 ~% k3 z( O
1.RSA：经典的公钥算法，1978 年由 Ron Rivest、Adi Shamir、Leonard Adleman 共同提出，三人于 2002 年获得图灵奖。算法利用了对大数进行质因子分解困难的特性，但目前还没有数学证明两者难度等价，或许存在未知算法在不进行大数分解的前提下解密。
6 Q3 A, F& o- ?, K( j# [2.Diffie-Hellman 密钥交换：基于离散对数无法快速求解，可以在不安全的通道上，双方协商一个公共密钥。
, G6 |- q6 ^' p1 A% i3.ElGamal：由 Taher ElGamal 设计，利用了模运算下求离散对数困难的特性。被应用在 PGP 等安全工具中。. G3 g/ B# c9 w% n- C
4.椭圆曲线算法（Elliptic curve cryptography，ECC）：现代备受关注的算法系列，基于对椭圆曲线上特定点进行特殊乘法逆运算难以计算的特性。最早在 1985 年由 Neal Koblitz 和 Victor Miller 分别独立提出。ECC 系列算法一般被认为具备较高的安全性，但加解密计算过程往往比较费时。一般适用于签名场景或密钥协商，不适于大量数据的加解密。* Y8 @8 `& x5 @
RSA 算法等已被认为不够安全，一般推荐采用椭圆曲线系列算法。+ K2 n; _$ f( d3 h
Neo中的数字签名算法5 y2 W9 ]5 X& T0 j" D
在Neo中，也使用了非对称加密算法，我们通过代码来看看是如何使用的。+ X2 `) G1 p9 [* i* B% X
public virtual WalletAccount Import(X509Certificate2 cert)
6 x# i: ~. V* Z2 b5 T        {) h5 _6 s. {" o! T: s8 ], C0 d
            byte[] privateKey;" F3 e+ S' {; c, f* A" R6 J6 t
            using (ECDsa ecdsa = cert.GetECDsaPrivateKey())( T/ Q9 y( D" _, |9 y: ~. y5 v
            {) L+ m: @* @+ h8 l" U$ H4 K
                privateKey = ecdsa.ExportParameters(true).D;
+ m3 E, o; q' Y& g9 o            }
% m* y( ?0 J9 B: m* Y3 C/ u$ s1 d            WalletAccount account = CreateAccount(privateKey);
5 }3 p6 @3 E9 D0 d            Array.Clear(privateKey, 0, privateKey.Length);5 i' U1 S; c/ [0 C6 ~0 R. r2 k
            return account;
% s% o7 u" h9 e/ D% ]        }3 b9 K( X8 g  Z+ ?+ A- n4 G
X509Certificate2是数字证书，和我们在https里面使用的是一样的，从里面拿出私钥后，创建钱包。) c* q( x  b4 C
总结
' D4 o% s' ~1 l. e: \目前只是简单的介绍了一下Neo中加密算法的使用情况，这些加密算法的原理和实现也是很有意思的，后面看看怎么实现的，再分享出来。
  H# ^, t* M! t+ Z* v参考资料
: _2 p9 U; N) g. i区块链技术指南% m1 H; _% M, ~  M/ Z
MurMurHash3, an ultra fast hash algorithm for C# / .NET
* T7 N9 h: l4 C/ P% Gscrypt算法的前世今生（从零开始学区块链 192）
+ x. L5 G7 p6 M& dWallet import format