比特币椭圆曲线图形

1. 【区块链】比特币私钥、公钥、签名

在 了解区块链的基础名词概念 提到地址由字符和数字组成，但没有说明怎样产生的。银行卡号由银行核心系统生成，那比特币地址是通过什么生成的呢？看下图：

对于刚接触比特币的小白来说，看到这张图就蒙圈了，究竟什么是私钥、公钥，为什么生成个地址要这么麻烦吗？

现在请大家记住这句话： 私钥通过椭圆曲线相乘生成公钥，使用公钥不能导推出私钥；公钥通过哈希函数生成比特币地址，地址也无法导推出公钥 。

通过这么复杂算法才算出地址，那私钥和公钥只是为了生成地址吗？不是的，他们还有其他用途，我们先了解下私钥和公钥。

现在已经讲解地址、挖矿、工作量证明、算力、区块、区块链等等的概念，不知大家还有印象吗？如果忘记请温习这些概念，因为后续很多地方都会用到这些概念。明天讲解下区块链有哪些特点。

参考书籍：《精通比特币》
区块链知识专题：

比特币记账方式（区块链知识2）
了解块链的基础名词概念（区块链知识1）

2. 椭圆曲线加密算法中的密谋

公钥加密算法有两种，RSA 和 ECC，RSA 简单易懂但效率低，ECC 效率高，用 256 位秘钥抵得过 RSA 3072 位秘钥，但 ECC 数学原理复杂，实现也比 RSA 难。

要理解 ECC 椭圆曲线加密算法，就得顺藤摸瓜，一路搞定下面这些原理。

于是得到了这样的曲线：

这个方程式用来加解密的过程，就不解释了，网上资料不少，密码学的书中也有。

其原理基于，射影平面上的加法算法，其正向过程是简单容易的，而加法的逆向过程，则是困难的。我们可以用打台球来比喻，确定一个球的初始位置为 p1，对 p1 进行 n 次击球（假设 n 次击球的力度和方向一致），最终获得位置为 p2。已知 p1 和 n，则获得 p2 非常容易，进行 n 次击球便可。但若已知 p1 和 p2，要倒推出 n 来，则很难。这个道理，人人皆知。 椭圆曲线在射影平面上的加法之不可逆，和上面的台球游戏类似。

用来加解密和签名的 ECC 曲线，由如下几个参数确定：(p,a,b,G,n,h)。 p 便是有限域的整数范围， a，b 则是确定曲线的形状， G 是曲线上选择的初始点，n 则是用来进行加法的次数， h 是协因子，不知道干嘛用的，一般取 1。

比特币所用 Secp256k1 曲线的参数如下：

p = 2^256 − 2^32 − 2^9 − 2^8 − 2^7 − 2^6 − 2^4 − 1 = 2^256 – 2^32 – 977

a = 0

b = 7

这就是中本聪挑选的曲线，并非一条流行通用的曲线。去掉模运算，用 x y 方程简单表示为 y^2 = x^3 + 7。

Secp256k1 中 “sec” 的意思是 Standards for Efficient Cryptography，"p" 则代表有限域参数 p，256 代表 p 的位数，而 “k” 则大有深意。

“k” 代表 Koblitz，这是椭圆曲线加密算法发明人 Koblitz 的名字，在这里指的一类曲线，这一类曲线的参数是刻意挑选出来的。比如上面的 a 和 b，一个 0，一个 7，一看就知道是刻意挑选出来的。

k 后面的 1 代表序号。

与 “k” 对应的叫 “r”，所谓 r 指代 Random，就是随机数的意思。大家就明白了，曲线所用参数是随机挑选出来的。比如 Secp256r1 的参数如下：

p = 2^224(2^32 − 1) + 2^192 + 2^96 − 1

a = 97853948

b = 7401291

这个 Secp256r1 还有一个名字，叫 NIST P256，NIST 是 National Institute of Standards and Technology，也就是美国国家标准技术委员会，隶属商务部，专门为政府机构制定技术标准。所以，Secp256r1 那算是闪耀着官方光环的技术。这个标准是 1999 年 NIST 发布的。

既然 p，a，b这些参数都是随机挑选出来的，那么自然应该更安全了。理论上是这样的，但“随机” 这两个字可不是那么容易的，不是上嘴唇一碰下嘴唇就能出来一个随机数。 计算机里的随机数一直是个难题。 

Secp256r1 的随机数生成是用哈希算法 SHA1 实现的，用SHA1算法对某个字符串进行哈希，每次都能生成非常随即的数字。 而 Secp256r1 的 p，a，b 做 SHA1 的字符串是：。

密码学界以及加密学应用技术行业的疑心由此而起：NIST 为何挑选了这个字符串？

哈希运算的特点，大家都清楚，NIST 无法根据一条既定曲线，返过去计算出 SHA1 的种子字符串。

所以大家就怀疑，NIST 很可能测试了无数的种子字符串，最终选择了一条较弱的曲线。这是一种暴力的挑选方法，据传 NIST 测试了 10 亿条曲线。2014 年密码学者 Daniel J. Bernstein1 和 Tung Chou 便发表过文章 “How to manipulate curve standards: a white paper for the black hat” 介绍了如何操控 ECC 曲线标准的制定。

大家的担心虽然并无实证，但 NIST 在椭圆曲线上做手脚，并非第一次，而且之前那次是有实锤证据的。2007 年 NIST 发布了 130 页的技术标准文书： NIST Special Publication 800-90，其中介绍了 “Deterministic Random Bit Generators”，也就是随机数生成的技术，和上面所说用 SHA1 生成随机数类似。 介绍的技术中，有一种叫 Dual_EC_DRBG，也就是用双椭圆曲线生成随机数的技术。 技术原理和用椭圆曲线做加法进行加密类似。

还用台球做比，为了生成随机数，在巨大巨大的 “有限域” 台球桌上摆放两个台球在 p1 和 p2 位置。对在 p1 的第一个台球进行 n 次击打，n是一个秘密数字，获得位置 p1‘，这就是生成的随机数。完事后 p2 也进行 n 次击打，获得位置 p2’，将 p2‘ 替代 n，作为下一次生成随机数的秘密数字。最后，将 p1 和 p2 摆回最初的位置 p1 和 p2，等待下次。

从原理上来说，这种算法生成随机数是没问题的。就是比起其它随机数生成算法，效率要慢一些，有些密码学家就提出这个问题，这种算法的效率比该标准中的其他算法要慢三个数量级。

诡异的是，Dual_EC_DRBG 是 NSA 推荐到 NIST，并强力支持的。 NSA 是谁？大名鼎鼎的美国国家安全局，与美国民间密码学界斗争多年的强力部门。

2007 年，牛逼的 CRYPTO 大会上，密码学者 Dan Shumow 和 Niels Ferguson 指出，Dual_EC_DRBG 不仅是慢的问题，它有后门啊，NIST 指定的算法也许没问题，但 P1 和 P2 这两个初始位置有问题：这两个参数之间是有关系的，可以推算的。

这真是打了 NIST 和 NSA 的脸。当然，密码学者们并没有实锤证据，到底这个是 NIST 和 NSA 恶意设计，还是一个为他们工作的科研人员私下作恶。

直到 2013 年棱镜门爆发，斯诺登披露的政府文件显示，NSA 刻意在加密算法中植入后门。之后，路透社披露，NSA 收买了 RSA 公司，在其软件中植入 Dual_EC_DRBG，以利于破解加密技术，对互联网信息进行窃听。一切水落石出真相大白，就是 NSA 协同 NIST 捣的鬼。

比特币中对 Secp256r1 弃而不用，选择了 Secp256k1，而中本聪开发比特币软件，是在 2008 年之前。所以应当是在 2007 年 CRYPTO 大会上对 Dual_EC_DRBG 的责难，引起了中本聪的警觉。那时候棱镜门还没爆发，对于 NSA 的恶意操纵，还并没有证据。

机构作恶，人们无可奈何，无人脸红，也无人为其负责。放个后门，放了就放了吧，大家躲着走就是。

3. ECDSA（椭圆曲线数字签名算法）

ECDSA（Elliptic Curve Digital Signature Algorithm）

在现实工作和生活中，我们使用签名的方式表达对一份文件的认可，其他人可以识别出你的签名并且无法伪造你的签名。数字签名就是对显示签名的一种电子实现，它不仅可以完全达到现实签名的特点，甚至能够做的更好。
常用的数字签名算法有RSA（Rivest-Shamir-Adleman Scheme）、DSS（Digital Signature Standard）等。 比特币使用ECDSA来生成账户的公私钥以及对交易和区块进行验证。

1.Alice（密码学中常用A到Z开头的人名代替甲乙丙丁等，字母越靠后出现频率越低）生成一对密钥，一个是sk（signing key），是非公开的；另一个是vk（verification key），是公开的。
这一对密钥同时生成，并且在数学上是相互关联的，同时，根据vk无法推测出关于sk的任何信息。
2.数字签名算法接收两个输出：信息M和sk，生成一个数字签名Sm
3.验证函数接收信息M、Sm以及vk作为输入，，返回结果是yes或者no。这一步的目的是为了验证你看到的针对信息M的数字签名确实是由Alice的sk来签发的，用于确认信息与签名是否相符。
与手写签名不同，手写签名基本都是相似的，但是数字签名却受输入影响很大。对输入轻微的改变都会产生一个完全不同的数字签名。一般不会对信息直接进行数字签名，而是对信息的哈希值进行签名。由加密哈希函数的无碰撞性可知，这样和对原信息进行签名一样安全。

在数学上，任何满足以下方程的点所形成的曲线称为随机椭圆曲线： 并且 ，a和b可以为任意值。下面展示几个随机椭圆函数的示例：

在了解如何通过基于secp256k1椭圆曲线的ECDSA算法生成公私钥之前，我们需要了解在随机椭圆曲线里，点的加法是如何实现的。
首先定义椭圆曲线上点的加法。设椭圆曲线上有两点，A和B点，那么作过这两点的直线与该曲线相交于第三点（C点），然后关于X轴对称得到D点，则D为这两个点的和，记作D=A+BD=A+BD=A+B。很明显，D点也在该曲线上。所以椭圆曲线上两点之和也是曲线上的点。

特例：
1.如果两点重合，则做该点的切线，与曲线相交点的对称点为和，即A+A=C
如图：

有了加法以后，乘法实现是不过是进行多次加法运算。有了一个基准点P以后，我们可以对其进行乘法运算，最后可以得到曲线上的另外一个点。
设PPP是椭圆曲线上的一个点，那么正整数kkk乘以点PPP的结果由下面的式子定义，注意式子中的加法是上面提到的椭圆曲线上点的加法：

点的运算满足结合律：

很显然，通过累加 的方式计算 是一种很笨的办法，其时间复杂度是线性的。上面我们提到过，椭圆曲线上点的加法是满足结合律的，即 ，扩展一下，就有

于是就有这么一种骚操作，比如计算 ，我们可以先计算 ；然后计算 ；再计算 ；最后计算 。这里我们把15次加法减少到了4次。

当然，k的值不可能总是2的幂。实际上上面的操作可以推广到k为任意正整数的情况。比如计算23P，首先计算 ，然后



因为 ，所以 。总共只需要7次加法。

分析一下，对于任意正整数k，我们都可以利用这个方法将计算k∗P所需的加法计算次数降低到

也就是说，从时间复杂度的角度来看，这个算法是一个 的算法。

这个方法被称为快速幂算法，原本常用于快速计算某个数的k次幂，这里将其推广到椭圆曲线点乘的快速计算中。

为什么要在介绍了椭圆曲线上点的乘法后突然冒出一个快速幂算法？快速幂算法对于椭圆曲线加密有什么意义？因为数学家/密码学家发现，利用快速幂算法计算 的时间复杂度是对数级的，但是要在知道 和 的前提下，倒推出 的值，没有比挨个尝试 的值快太多的算法。于是椭圆曲线加密依赖的数学难题就这么诞生了。

如果我们改一种记法，把椭圆曲线上点的加法记作乘法，原来的乘法就变成了幂运算，那么上述难题的形式跟离散对数问题应该是一致的。即：

所以这个难题叫椭圆曲线上的离散对数问题。

尽管两者形式一致，但是他们并不等价。实际上这个问题比大整数质因子分解（RSA）和离散对数（DH）难题都要难得多，目前还没有出现亚指数级时间复杂度的算法（大整数质因子分解和离散对数问题都有），以致于同样的安全强度下，椭圆曲线加密的密钥比RSA和DH的短不少，这是椭圆曲线加密的一大优势。

假设随机取一个 ~ 位之间的值x，计算 ，最后的结果一定会落在曲线上的一点。假设该点为 ，在公开 以及具体曲线的方程的情况下，能否反推出最初的随机值 ？
证：寻找 的过程只能通过暴力计算， 的可能值为 ~ 中的一个，平均来说需要计算 次能够找到一次 值。那么问题来了，运行一次 的计算需要多长的时间呢？
假设我们使用的是超级计算机，主频为 （一秒钟可以进行一万亿次运算），从宇宙诞生的那一刻开始计算，到现在也就进行了 次。找到 值的概率为 。这个概率和下一秒地球被巨型陨石撞击而毁灭的概率接近，既然我们读到了这里，那么说明这件事没有发生。
在上面的案例中， 是 ~ 位的一个随机数，可以作为私钥。 是随机椭圆曲线上的一个点，也就是由私钥生成的公钥，因此优点可以1得证。

但是密码学中，并不能使用上面介绍的实数域上的椭圆曲线。因为

所以我们需要引入有限域上的椭圆曲线。
要证明优点2，还需要将随机椭圆曲线做一些改动：为了保证最后计算出来的点的坐标值相加是512位，secp256k1引入了一个对质数取模的机制。具体来说，随机椭圆曲线从
变为了 其中 ，是小于 的最大质数。
此时的随机椭圆曲线函数图如下：

具体来说，就是向别人证明我知道 ，但不暴露 的任何信息。（有些类似于零知识证明）
证：前面介绍过结合律： 添加一个hash函数，简单修改可以得出： 使 ，那么可知 为 。此时方程为： 为了简单起见，我们记 和 。此时方程化简为： 上面这个方程是什么意思呢？
可以这样假设：在已知 的情况下，如果能够提供一个 和 满足上面的方程，就可以证明一个人拥有 。这个假设有一个前提，如果一个人不知道x，那么他就无法提供 和 满足上面的等式。
详细探讨这个前提：如果一个人不知道x，又想计算出 和 ，能够办到吗？结论是不能，首先我们无法从 计算出 （在有限时间内）。
还有一个问题：在已知 和 的情况下，能否计算出关于 的任何信息？
根据公式： 只要解出 就可以了。
要想计算出x，就需要知道r，但是在r没有公开的情况下，有什么办法可以计算r吗？我们知道R=r*P；但是根据这个公式无法倒推出r（刚才介绍的那个数学难题），所以x也是安全的。
至此，可以证明算法的第二个优点。

4. 密码学基础2：椭圆曲线密码学原理分析

首先要说明的一点是，椭圆曲线不是椭圆。椭圆方程是下面这样的：

而通常我们讨论的椭圆曲线的曲线方程是一个二元三次方程，它有多种形式，在椭圆曲线密码体系中，最常用的是如下的Weierstrass通用式(curve25519 等其他类型的椭圆曲线本文不讨论)：

之所以取名叫椭圆曲线，是因为该曲线方程跟求椭圆弧长的积分公式相似。从曲线方程和图像易知，椭圆曲线关于X轴对称。判定式不等于零是为了椭圆曲线不存在奇异点，即处处光滑可导，这样才能进行椭圆曲线上的加法运算。下面是一些适合用于加密的椭圆曲线，其中 。

椭圆曲线加密算法涉及数学中的群论、有限域等内容，这节简要介绍下相关数学理论。亦可以跳过直接看第3节，遇到相关名词再查阅即可。

在讨论群之前，先说说集合。集合简单来说就是把一堆东西放在一起，如自然数集合。当然光有一堆东西还不够，东西之间相互作用才能更好的描述大千世界。于是，自然数集合通过加减运算衍生出整数集合、整数集合经过乘除又可以衍生出有理数，而后通过无理数的加入又衍生出实数集合、负数开方引入了复数集合。群则是集合和一个二元运算。

而如果再满足交换律，则该群就被称为是一个阿贝尔群。

根据群的定义，整数的加法运算 就是一个群，而且还是一个阿贝尔群。而自然数的加法运算 就不是一个群。整数加法运算构成群，因为它满足群的定义：整数加法的封闭性、结合律、交换律都成立。整数加法运算中单位元是 0。所有整数 n 都有加法逆元 -n。

在密码学中一般都需要一个有限的群，定义如下:

为了使一个结构同时支持四种基本算术(即加减乘除)，我们需要一个包含加法和乘法群的集合，这就是域。当一个集合为域的时候，我们就能在其中进行基本算术运算了。

所以域中元素只要形成加法群和乘法群并满足分配律就行，因为群中元素都有逆元，减法/除法可以转换为加/乘元素的逆元实现。实数集合 是一个域，加法群中单位元是 0，每个实数 都有加法逆元 ，乘法群中单位元是 ，每个非零实数都有乘法逆元 。而整数集合就不是域，因为大部分元素没有乘法逆元，不能构成一个乘法群。

在密码学中，通常只对有限元素的域感兴趣，这种域称为有限域(Finite Field)。有限域中我们经常用到的是素数域，所谓素数域，就是阶为素数的有限域。 比如当 p 为素数时，整数环 就是一个素数域，可以记作 。在素数域 中进行算术运算，需要遵守整数环的规则，即加法是模 p 加法，而乘法是模 p 乘法。

例如对于 有：

椭圆曲线上的点经过一种特定的加法运算可以让椭圆曲线在实数域构成一个群。

无穷远点 ：定义一个无穷远点 ，即经过椭圆上任意一点的与X轴垂直的直线都经过该点。可能有人疑惑垂直于X轴的直线是平行线，为啥可以定义为都经过 点？因为在非欧几何中，可认为平行线在无穷远处会交于一点。

椭圆曲线点加法 ：椭圆曲线上经过 和 两个点的直线与椭圆曲线的交点记作 ，根据定义有 以及 。继而定义椭圆曲线点加法： ，即加法结果是经过点 且与 X 轴垂直的直线与椭圆曲线的另外一个交点，简单来说，就是交点 关于 X 轴的对称点。

椭圆曲线群：定义为椭圆曲线在实数域上的点集以及点加法

由此可知，椭圆曲线上的点在椭圆曲线加法运算上构成了一个阿贝尔群。增加了单位元后，椭圆曲线方程改为：

由定义可知， ，所以，最终加法只需要计算交点 的逆元 即可。 几种特殊情况说明：

上一节定义了椭圆曲线几何上意义的点加法，需要转换为代数加法以方便计算。 要注意的是，这并不是两个点的坐标简单相加 。

假设直线 PQ 的斜率 ，然后将直线方程 代入曲线可以得到： , 转换成标准式，根据韦达定理 ，即而可求得 ，想了解具体推导过程的可参见 [cubic-equations] 。

斜率 计算需要区分两种情况，当 P=Q 时求椭圆曲线在 P 点的切线斜率(求导)即可：

可以简单验证，比如椭圆曲线是 ，通过参考资料1的 [可视化工具] 可得 。容易验证，与代数加法公式计算结果一致。

对于特殊情况 中有一个是切点的情况，如 ，计算方式不变，易得 。而对于特殊情况 ，采用切线斜率亦可验证公式正确。

在实际加密算法中，我们通常需要多次通过椭圆曲线加法来实现一次加密，如下图所示：

图中打点的过程就是：

而在实际加密算法中，我们常常是使用一个点自己叠加，即初始直线变成椭圆曲线的切线即可，像下面这样：

我们定义对一个点 P 进行 n 次加法得到 nP，称之为标量乘法。如前面例子中 。

不过，当 n 很大时，执行 n 次加法需要 时间，效率有问题。 因为椭圆曲线点加法在实数域构成阿贝尔群，满足交换律和结合律，于是可以通过 [Double-and-add] 算法进行优化 。比如 ，其二进制表示为 ，通过优化只要7次倍乘和4次加法计算即可，时间复杂度降到 。这是一个很好的单向函数，正向计算容易，而反向和蛮力计算复杂。

令 ，则 Q 作为公钥，n 为私钥。如果要破解该密钥，问题就是 "Q = nP，如果已知 P 和 Q，如何求解 n"? 这个问题是比较困难的。不过由于在实数域上曲线连续，可能会更容易找到一些规律进行破解。而且实数域上数值大小没有限制、浮点数等问题而导致计算效率问题，在实际应用中常将椭圆曲线限制到一个有限域内，将曲线变成离散的点，这样即方便了计算也加大了破解难度。

前面提到为了安全性和便于实现，需要将椭圆曲线限制到一个有限域内，通常用的是素数域 (即对于点 为素数)。于是破解就会变成一个离散对数问题，这比连续曲线上的对数问题会难很多。素数域下椭圆曲线定义如下：

下面是曲线 和 的图像。可以发现，椭圆曲线变成了离散的点，且关于 对称。

定义 上椭圆曲线点加法 如下，公式跟实数域上相比只是多了模 操作。

斜率 m 计算同样分两种情况：

椭圆曲线在素数域 上的点加法依然构成阿贝尔群。单位元依旧是无穷远点，元素 的逆元变成 。而交换律、结合律、封闭性则可以通过素域上的模加法、模乘法来证明 。实数域的椭圆曲线点加法定义是有明确几何意义的，从几何上好证明。而椭圆曲线在 就没有明显的几何意义了，观察可发现 三点满足 ，群律的证明过于繁琐，略去(其实是没有找到一个简易的证明)。

以前面曲线为例， ，则有 ，且 和 都在椭圆曲线上。从图形上看， 在直线 上。

在有限域下，椭圆曲线加法群的元素是有限的，元素数目就是群的阶。

如椭圆曲线 ，其在素数域 中元素有 ，阶为24(23个素数域中的点 + 1个无穷远点)，如果 p 很大的话，则通过蛮力计算阶是很难的，好在使用 [Schoof算法] 可以在多项式时间内计算出群的阶。计算椭圆曲线在有限域上点的数目可以参见 [Counting points on elliptic curves] 。

Schoof算法运用了 Hasses 定理。Hasses定理给出了椭圆曲线在 的阶的范围，可以看出，当 p 很大时，阶跟 p 的值是比较接近的。

跟实数域一样，在素数域里面也是选取一个点 P，然后计算倍乘 nP 作为公钥。还是以 为例， ，我们采用素数域下新的计算公式计算 。

可以发现 ，即 P 的标量乘法得到的点集是原椭圆曲线群的一个子集，则它是原椭圆曲线群的一个子群，而且是循环子群。子群中元素个数称为子群的阶(示例子群的阶为8)，点 P 称为该子群的基点或者生成元。循环子群是椭圆曲线密码体系的基础，我们期望子群中元素越多越好，如何找到一个合适的子群尤为重要。

首先要解决一个问题，就是已知 下的椭圆曲线上的点 P，如何求得 P 的倍乘运算后生成的子群的阶? 根据拉格朗日的群论定理，子群的阶是父群的阶的约数。求解曲线上点 P 生成的子群的阶可以用下面方法：

以示例曲线为例，父群的阶是 ，则以曲线上的点生成的子群的阶只能是 。对于点 ，故其生成的子群的阶就是 8，而点 生成的子群的阶则正好等于父群的阶24。

在加密算法中，我们期望找到一个阶高的子群。不过，通常不是先去找个基点，然后计算子群的阶，因为这样过于不确定，算法上不好实现。相反地，先选择一个大的子群阶，然后再找生成该子群的一个基点就容易多了。

前面提到，子群的阶 n 是父群的阶 N 的约数，即有 ，h 是一个整数，我们称之为子群的余因子(cofactor)。因为 ，所以有:

通常会选择一个素数作为子群的阶，即 n 是素数。可以发现，点 生成了阶为 n 的子群( 除外，因为这个子群的阶为1)，不等于 的点 就是我们寻找的基点。具体步骤如下：

需要注意，上面算法里的 n 必须是素数，否则计算的基点 G 生成的子群的阶可能是 n 的约数而不是 n，不符合要求 。以曲线 为例， ，我们选择 ，则 ，随机选取一个点 ，计算 ，恰好满足要求。

如前所述，椭圆曲线加密算法工作在素数域下的椭圆曲线循环子群中，需要的域参数(Domain Parameter)包括 ：

如比特币用来做数字签名中采用的椭圆曲线 [secp256k1] 的域参数如下：

5. 椭圆曲线加密算法原理

椭圆曲线加密算法，简称ECC，是基于椭圆曲线数学理论实现的一种非对称加密毁核算法。

相比RSA，ECC优势是可以使用更短的密钥，来实现与RSA相当或更高的安全，RSA加密算法也是纯扰一种非对称加密算法，在公开密钥加密和电子商业中RSA被广泛使用。据研究，160位ECC加密安全性相当于1024位RSA加密，210位ECC加密安全性相当于2048位做余旦RSA加密（有待考证）。

椭圆曲线也可以有运算，像实数的加减乘除一样，这就需要使用到加群。19世纪挪威的尼尔斯·阿贝尔抽象出了加群（又叫阿贝尔群或交换群）。数学中的群是一个集合，我们为它定义了一个“加法”，并用符号+表示。假定群用 表示，则加法必须遵循以下四个特性：

• 封闭性：如果a和b都是 的成员，那么a+b也是 的成员；

• 结合律：(a + b) + c = a + (b + c);

• 单位元：a+0=0+a=a，0就是单位元；

• 逆元：对于任意值a必定存在b，使得a+b=0。

如果再增加一个条件，交换律：a + b = b + a，则称这个群为阿贝尔群，根据这个定义整数集是个阿贝尔群。

6. 高中生如何理解比特币加密算法

加密算法是数字货币的基石，比特币的公钥体系采用椭圆曲线算法来保证交易的安全性。这是因为要攻破椭圆曲线加密就要面对离散对数难题，目前为止还没有找到在多项式时间内解决的办法，在算法所用的空间足够大的情况下，被认为是安全的。本文不涉及高深的数学理论，希望高中生都能看懂。

密码学具有久远的历史，几乎人人都可以构造出加解密的方法，比如说简单地循环移位。古老或简单的方法需要保密加密算法和秘钥。但是从历史上长期的攻防斗争来看，基于加密方式的保密并不可靠，同时，长期以来，秘钥的传递也是一个很大的问题，往往面临秘钥泄漏或遭遇中间人攻击的风险。

上世纪70年代，密码学迎来了突破。Ralph C. Merkle在1974年首先提出非对称加密的思想，两年以后，Whitfield Diffie和Whitfield Diffie两位学者以单向函数和单向暗门函数为基础提出了具体的思路。随后，大量的研究和算法涌现，其中最为著名的就是RSA算法和一系列的椭圆曲线算法。

无论哪一种算法，都是站在前人的肩膀之上，主要以素数为研究对象的数论的发展，群论和有限域理论为基础。内容加密的秘钥不再需要传递，而是通过运算产生，这样，即使在不安全的网络中进行通信也是安全的。密文的破解依赖于秘钥的破解，但秘钥的破解面临难题，对于RSA算法，这个难题是大数因式分解，对于椭圆曲线算法，这个难题是类离散对数求解。两者在目前都没有多项式时间内的解决办法，也就是说，当位数增多时，难度差不多时指数级上升的。

那么加解密如何在公私钥体系中进行的呢？一句话，通过在一个有限域内的运算进行，这是因为加解密都必须是精确的。一个有限域就是一个具有有限个元素的集合。加密就是在把其中一个元素映射到另一个元素，而解密就是再做一次映射。而有限域的构成与素数的性质有关。

前段时间，黎曼猜想（与素数定理关系密切）被热炒的时候，有一位区块链项目的技术总监说椭圆曲线算法与素数无关，不受黎曼猜想证明的影响，就完全是瞎说了。可见区块链项目内鱼龙混杂，确实需要好好洗洗。

比特币及多数区块链项目采用的公钥体系都是椭圆曲线算法，而非RSA。而介绍椭圆曲线算法之前，了解一下离散对数问题对其安全性的理解很有帮助。

先来看一下 费马小定理 ：

原根 定义：
设（a, p)=1 （a与p互素），满足

的最下正整数 l，叫作a模p的阶，模p阶为（最大值）p-1的整数a叫作模p的原根。

两个定理：

基于此，我们可以看到，{1, 2, 3, … p-1} 就是一个有限域，而且定义运算 gi (mod p), 落在这个有限域内，同时，当i取0～p-2的不同数时，运算结果不同。这和我们在高中学到的求幂基本上是一样的，只不过加了一层求模运算而已。

另一点需要说明的是，g的指数可以不限于0~p-2, 其实可以是所有自然数，但是由于

所以，所有的函数值都是在有限域内，而且是连续循环的。

离散对数定义：
设g为模p的原根，（a,p) = 1，

我们称 i 为a（对于模p的原根g）的指数，表示成：

这里ind 就是 index的前3个字母。
这个定义是不是和log的定义很像？其实这也就是我们高中学到的对数定义的扩展，只不过现在应用到一个有限域上。

但是，这与实数域上的对数计算不同，实数域是一个连续空间，其上的对数计算有公式和规律可循，但往往很难做到精确。我们的加密体系里需要精确，但是在一个有限域上的运算极为困难，当你知道幂值a和对数底g，求其离散对数值i非常困难。

当选择的素数P足够大时，求i在时间上和运算量上变得不可能。因此我们可以说i是不能被计算出来的，也就是说是安全的，不能被破解的。

比特币的椭圆曲线算法具体而言采用的是 secp256k1算法。网上关于椭圆曲线算法的介绍很多，这里不做详细阐述，大家只要知道其实它是一个三次曲线（不是一个椭圆函数），定义如下：

那么这里有参数a, b；取值不同，椭圆曲线也就不同，当然x, y 这里定义在实数域上，在密码体系里是行不通的，真正采用的时候，x, y要定义在一个有限域上，都是自然数，而且小于一个素数P。那么当这个椭圆曲线定义好后，它反应在坐标系中就是一些离散的点，一点也不像曲线。但是，在设定的有限域上，其各种运算是完备的。也就是说，能够通过加密运算找到对应的点，通过解密运算得到加密前的点。

同时，与前面讲到的离散对数问题一样，我们希望在这个椭圆曲线的离散点阵中找到一个有限的子群，其具有我们前面提到的遍历和循环性质。而我们的所有计算将使用这个子群。这样就建立好了我们需要的一个有限域。那么这里就需要子群的阶（一个素数n）和在子群中的基点G（一个坐标，它通过加法运算可以遍历n阶子群）。

根据上面的描述，我们知道椭圆曲线的定义包含一个五元祖（P, a, b, G, n, h)；具体的定义和概念如下：

P: 一个大素数，用来定义椭圆曲线的有限域（群）
a, b: 椭圆曲线的参数，定义椭圆曲线函数
G: 循环子群中的基点，运算的基础
n: 循环子群的阶（另一个大素数，< P ）
h：子群的相关因子，也即群的阶除以子群的阶的整数部分。

好了，是时候来看一下比特币的椭圆曲线算法是一个怎样的椭圆曲线了。简单地说，就是上述参数取以下值的椭圆曲线：

椭圆曲线定义了加法，其定义是两个点相连，交与图像的第三点的关于x轴的对称点为两个点的和。网上这部分内容已经有很多，这里不就其细节进行阐述。

但细心的同学可能有个疑问，离散对数问题的难题表现在求幂容易，但求其指数非常难，然而，椭圆曲线算法中，没有求幂，只有求乘积。这怎么体现的是离散对数问题呢？

其实，这是一个定义问题，最初椭圆曲线算法定义的时候把这种运算定义为求和，但是，你只要把这种运算定义为求积，整个体系也是没有问题的。而且如果定义为求积，你会发现所有的操作形式上和离散对数问题一致，在有限域的选择的原则上也是一致的。所以，本质上这还是一个离散对数问题。但又不完全是简单的离散对数问题，实际上比一般的离散对数问题要难，因为这里不是简单地求数的离散对数，而是在一个自定义的计算上求类似于离散对数的值。这也是为什么椭圆曲线算法采用比RSA所需要的（一般2048位）少得多的私钥位数（256位）就非常安全了。

7. 理解椭圆曲线加密算法

椭圆曲线加密算法，即：Elliptic Curve Cryptography，简称ECC，是基于椭圆曲线数学理论实现的一种非对称加密算法。相比RSA，ECC优势是可以使用更短的密钥，来实现与RSA相当或更高的安全。据研究，160位ECC加密安全性相当于1024位RSA加密，210位ECC加密安全性相当于2048位RSA加密。

一般椭圆曲线方程式表示为:(其中a,b,c,d为系数)
> y2=ax3+ bx2+cx+d
典型的椭圆曲线如：y2=x3−4x2+16

先摆一个栗子：

小米很难算到的那个数，就是公钥密码算法中的私钥（一个公钥密码算法安全的必要条件（非充分）是“由公钥不能反推出私钥”），公钥密码算法最根本的原理是利用信息的不对称性：即掌握私钥的人在整个通信过程中掌握最多的信息。
椭圆曲线加密算法是一个基于加法阶数难求问题的密码方案。 对于椭圆曲线来讲，椭圆曲线的基点就是例子里面的5，而私钥就是基点的加法阶数（例子里面的11），公钥是基点（5）进行对应阶数的加法（11次）得到的结果（55）。

简单描述就是:G * k = K （G,K公开，k保密）

上述例子相对简单，椭圆曲线加密算法里的加法建立在 “有限域上的二元三次曲线上的点”上 ，组成一个“有限加法循环群”。具体的说，这个加法的几何定义如下图，两个点的加法结果是指这两点的连线和曲线的交点关于x轴的镜像。

如果我们从某一点出发（所谓的单位元，比如正整数域的1，代表一个空间里的最基本单元），不停做自增操作（所谓群操作，比如++），枚举出整个空间的集合元素。如图：

因此给定椭圆曲线的某一点G，从G出发，不停做切线，找对称点，依次得到-2G，2G，-4G，4G，-8G，8G... 。即：当给定G点时，已知x，求xG点并不困难。反之，已知xG点，求x则非常困难。即Q = NG，N就是我们的私钥，Q就是我们的公钥。

现在我们知道了公钥(Q)和私钥(N)的生成的原理,我们在看看椭圆曲线数字签名算法(ECDSA)的过程,椭圆曲线数字签名算法（ECDSA）是使用椭圆曲线密码（ECC）对数字签名算法（DSA）的模拟。ECDSA于1999年成为ANSI标准，并于2000年成为IEEE和NIST标准。

私钥主要用于 签名，解密 ；公钥主要用于 验签，加密 ，可以通过私钥可以计算出公钥，反之则不行。
公钥加密：公钥加密的内容可以用私钥来解密——只有私钥持有者才能解密。
私钥签名：私钥签名的内容可以用公钥验证。公钥能验证的签名均可视为私钥持有人所签署。

通常需要六个参数来描叙一个特定的椭圆曲线:T = (p, a, b, G, n, h).
p: 代表有限域Fp的那个质数 a,b：椭圆方程的参数 G: 椭圆曲线上的一个基点G = (xG, yG) n：G在Fp中规定的序号，一个质数。 h：余因数（cofactor），控制选取点的密度。h = #E(Fp) / n。

这里以secp256k1曲线(比特币签名所使用的曲线)为例介绍一下公私钥对的产生的过成。
secp256k1的参数为：

本质上ECDSA的私钥就是一个随机数满足在曲线G的n阶里及k∈(0,n),根据Q=kG可以计算出公钥，生成的私钥一般为32字节大小，公钥通常为64个字节大小。如：

ECDSA签名算法的输入是数据的哈希值，而不是数据的本身，我们假设用户的密钥对:（d, Q）；(d为私钥，Q为公钥) 待签名的信息：M； e = Hash(M);签名：Signature(e) = ( r, s)。

签名接口：

验证接口:

一个例子：

8. 比特币基础知识 你绝对想不到

椭圆曲线数字签名算法
椭圆曲线数字签名算法(ECDSA)是使用椭圆曲线对数字签名算法(DSA)的模拟，该算法是构成比特币系统的基石。
私钥
非公开，拥有者需安全保管。通常是由随机算法生成的，说白了，就是一个巨大的随机整数，32字节，256位。
大小介于1 ~ 0xFFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFE BAAE DCE6 AF48 A03B BFD2 5E8C D036 4141之间的数，都可以认为是一个合法的私钥。
于是，除了随机方法外，采用特定算法由固定的输入，得到32字节输出的算法就可以成为得到私钥的方法。于是，便有了迷你私钥(Mini Privkey)，原理很简单，例如，采用SHA256的一种实现：
private key = SHA256()1
迷你私钥存在安全问题，因为输入集合太小，易被构造常见组合的彩虹表暴力破解，所以通常仿轮纳还是使用系统随机生成的比较好，无安全隐患。
公钥
公钥与私钥是相对应的，一把私钥可以推出唯一的公钥，但公钥却无法推导出私钥。公钥有两种形式：压缩与非压缩。
早期比特币均使用非压缩公钥，现大部分客户端已默认使用压缩公钥。
这个貌似是比特币系统一个长得像feature的bug，早期人少活多代码写得不够精细，openssl库的文档又不足够好，导致Satoshi以为必须使用非压缩的完整公钥，后来大家发现其实公钥的左右两个32字节是有关联的，左侧(X)可以推出右侧(Y)的平方值，有左侧(X)就可以了。
现在系统里两种方式共存，应该会一直共存下去。两种公钥的首个字节为标识位，压缩为33字节，非压缩为65字节。以0x04开头为非压缩，0x02/0x03开头为压缩公钥，0x02/0x03的选取由右侧Y开方后的奇偶决定。
压缩形式可以减小Tx/Block的体积，每个Tx Input减少32字节。
签名
使用私钥对数据进行签署(Sign)会得到签名(Signature)。通常会将数据先生成Hash值，然后对此Hash值进行签名。签名(signature)有两部分组成: R + S。由签名(signature)与Hash值，便可以推出一个公钥，验证此公钥，便可知道此签名是否由公钥对应的私钥签名。
通常，每个签名会有三个长度：73、72、71，符合校验的概率为25%、50%、25%。所以每次签署后，需要找出符合校验的签名长度，再提供给验证方。
地址
地址是为了人们交换方便而弄出来的一个方案，因为公钥太长了(130字符串或66字符串)。地址长度为25字节，转为base58编码后，为34或35个字符。base58是类似base64的编码，但去掉了易引起视觉混淆的字符，又在地址末尾添加了4个字节校验位，保障在人们交换个别字符错误时，也能够因地址校验失败而制止了误操作。
由于存在公钥有两种形式，那么一个公钥便对应两个地址。这两个地址都可由同一私钥签署交易。
公钥生成地址的算法：
Version = 1 byte of 0 (zero); on the test network, this is 1 byte of 111
Key hash = Version concatenated with RIPEMD-160(SHA-256(public key))
Checksum = 1st 4 bytes of SHA-256(SHA-256(Key hash))
Bitcoin Address = Base58Encode(Key hash concatenated with Checksum)1234
下图是非压缩公钥生成地址的过程：
对于压缩公钥生成地址时，则只取公钥的X部分即可。
推导关系
三者推导关系：私钥
公钥
两个地址。过程均不可逆。拥有私钥便拥有一切，但通常为了方便，会把对应的公钥、地址也存储起来。
交易
比特币的交易(Transation，缩写Tx)，并不是通常意义的桐散交易，例如一手交钱一手交货，而是转账。交易由N个输入和M个输出两部分组成。交易的每个输入便是前向交易的某个输出，那么追踪到源头，必然出现一个没有输入的交易，此类交易称为CoinBase Tx。CoinBase类备没交易是奖励挖矿者而产生的交易，该交易总是位于Block块的第一笔。
拥有一个输入与输出的Tx数据：
Input:
Previous tx:
Index: 0
scriptSig:
241501
Output:
Value: 5000000000
scriptPubKey: OP_DUP OP_HASH160
OP_EQUALVERIFY OP_CHECKSIG12345678910
一旦某个Tx的第N个输出成为另一个Tx的输入，那么该笔比特币即为已花费。每个交易有唯一Hash字符串来标识，通过对交易数据做两次SHA256哈希运算而来：
Tx Hash ID = SHA256(SHA256(Tx Data))1
矿工费
矿工费(Transaction Fee)是鼓励矿工将Tx打包进Block的激励报酬。计算一笔交易的矿工费：
Transaction Fee = SUM(Inputs amount) - SUM(Outputs amount)1
每笔Tx的矿工费必然大于等于零，否则该笔Tx即为非法，不会被网络接收。
数据块
数据块(Block)是存储Block Meta与Tx的地方。Block的第一笔Tx总是CoinBase Tx，因此Block中的交易数量总是大于等于1，随后是这段时间内网络广播出来的Tx。
找到合适的Block是一件非常困难的事情，需要通过大量的数学计算才能发现，该计算过程称为“挖矿”。首个发现者，会得到一些比特币作为奖励。
数据链
多个Block连接起来成为数据链(Block Chain)。
为了引入容错与竞争机制，比特币系统允许Block Chain出现分叉，但每个节点总是倾向于选择最高的、难度最大的链，并称之为Best Chain，节点只认可Best Chain上的数据。
首个Block称为Genesis Block，并设定高度为零，后续每新增一个Block，高度则递增一。目前是不允许花费Genesis Block中的比特币的。
每个Block中的Tx在此Block中均唯一
一个Tx通常只会在一个Block里，也可能会出现在多个Block中，但只会在Best Chain中的某一个Block出现一次
货币存储
比特币是密码货币、纯数字化货币，没有看得见摸得着的硬币或纸币。一个人持有比特币意味着：
其拥有一些地址的私钥
这些地址是数笔交易的输出，且未花费
所有货币记录均以交易形式存储在整个blockchain数据块中，无交易无货币。货币不会凭空产生，也不会凭空消失。遗失了某个地址的私钥，意味着该地址上的Tx无法签署，无法成为下一个Tx的输入，便认为该笔比特币永久消失了。
货币发行
既然所有交易的输入源头都是来自CoinBase，产生CoinBase时即意味着货币发行。比特币采用衰减发行，每四年产量减半，第一个四年每个block的coinbase奖励50BTC，随后是25btc, 12.5btc, 并最终于2140年为零，此时总量达到极限为2100万个btc。
减半周期，严格来说，并不是准确的四年，而是每生成210000个block。之所以俗称四年减半，是因为比特币系统会根据全网算力的大小自动调整难度系统，使得大约每两周产生2016个block，那么四年约21万块block。
该函数GetBlockValue()用于计算挖得Block的奖励值：
int64 static GetBlockValue(int nHeight, int64 nFees)
{
int64 nSubsidy = 50 * COIN;
// Subsidy is cut in half every 210000 blocks, which will occur approximately every 4 years
nSubsidy = (nHeight / 210000);
return nSubsidy + nFees;
}123456789
当达到2100万btc以后，不再有来自CoinBase的奖励了，矿工的收入来源仅剩下交易的矿工费。此时，每个block的收入绝对值btc很低，但此时比特币应当会非常繁荣，币值也会相当的高，使得矿工们依然有利可图。
杜绝多重支付
传统货币存在多重支付(Double Spending)问题，典型的比如非数字时代的支票诈骗、数字时代的信用卡诈骗等。在比特币系统里，每笔交易的确认均需要得到全网广播，并收录进Block后才能得到真正确认。每笔钱的花销，均需要检测上次输入交易的状态。数据是带时间戳的、公开的，BlockChain由巨大的算力保障其安全性。所以比特币系统将货币的多重支付的风险极大降低，几近于零。通过等待多个Block确认，更是从概率上降低至零。一般得到6个确认后，可认为非常安全。但对于能影响你人生的重大支付，建议等待20~30个确认。
匿名性
任何人均可以轻易生成大量的私钥、公钥、地址。地址本身是匿名的，通过多个地址交易可进一步提高匿名性。但该匿名性并不像媒体宣传的那样，是某种程度上的匿名。因为比特币的交易数据是公开的，所以任何一笔资金的流向均是可以追踪的。
不了解比特币的人为它的匿名性产生一些担忧，比如担心更利于从事非法业务;了解比特币的人却因为它的伪匿名性而苦恼。传统货币在消费中也是匿名的，且是法律保障的，大部分国家都不允许个人涂画纸币。
地址本身是匿名的，但你可以通过地址对应的私钥签名消息来向公众证明你拥有某个比特币地址。
其他名词
哈希
哈希(Hash)是一种函数，将一个数映射到另一个集合当中。不同的哈希函数映射的空间不同，反映到计算机上就是生成的值长度不一样。同一个哈希函数，相同的输入必然是相同的输出，但同一个输出却可能有不同的输入，这种情况称为哈希碰撞。
常见的哈希函数有CRC32, MD5, SHA1, SHA-256, SHA-512, RIPEMD-160等，哈希函数在计算中有着非常广泛的用途。比特币里主要采用的是SHA-256和RIPEMD-160。
脑钱包纸钱包
前面提到过的脑钱包与纸钱包，这其实不算是钱包的分类，只是生成、存储密钥的方式而已。脑钱包属于迷你私钥的产物。脑钱包就是记在脑袋里的密钥，纸钱包就是打印到纸上的密钥，仅此而已。
有同学提到过，以一个计算机文件作为输入，例如一个数MB大小的照片，通过某种Hash运算后得到私钥的方法。这个方案的安全性还是不错的，同时可以防止盗私钥木马根据特征扫描私钥。文本形式存储私钥是有特征的，而一个照片文件却难以察觉，即使放在云盘等第三方存储空间中都是安全的。

9. 比特币源码研读一:椭圆曲线在比特币密码中的加密原理

参加比特币源码研读班后首次写作，看到前辈black写的有关密钥，地址写的很好了，就选了他没有写的椭圆曲线，斗胆写这一篇。

在密码学上有两种加密方式，分别是对称密钥加密和非对称密钥加密。

对称加密：加密和解密使用的同样的密钥。

非对称加密：加密和解密是使用的不同的密钥。

二战中图灵破解德军的恩尼格码应该就是用的对称加密，因为他的加密和解密是同一个密钥。比特币的加密是非对称加密，而且用的是破解难度较大的椭圆曲线加密，简称ECC。

非对称加密的通用原理就是用一个难以解决的数学难题做到加密效果，比如RSA加密算法。RSA加密算法是用求解一个极大整数的因数的难题做到加密效果的。就是说两个极大数相乘，得到乘积很容易，但是反过来算数一个极大整数是由哪两个数乘积算出来的就非常困难。

下面简要介绍一下椭圆曲线加密算法ECC。

首先椭圆曲线的通式是这个样子的：

一般简化为这个样子：

()发公式必须吐槽一下，太麻烦了。)

其中

这样做就排除了带有奇点的椭圆曲线，可以理解为所有的点都有一条切线。

图像有几种，下面列举几个：[1]

椭圆曲线其实跟椭圆关系不大，也不像圆锥曲线那样，是有圆锥的物理模型为基础的。在计算椭圆曲线的周长时，需要用到椭圆积分，而椭圆曲线的简化通式：

，周长公式在变换后有一项是这样的：，平方之后两者基本一样。

我们大体了解了椭圆曲线，就会有一个疑问，这个东西怎么加密的呢？也就是说椭圆曲线是基于怎样的数学难题呢？在此之前还得了解一些最少必要知识：椭圆曲线加法，离散型椭圆曲线。

椭圆曲线加法

数学家门从普通的代数运算中，抽象出了加群（也叫阿贝尔群或交换群），使得在加群中，实数的算法和椭圆曲线的算法得到统一。

数学中的“群”是一个由我们定义了一种二元运算的集合，二元运算我们称之为“加法”，并用符号“+”来表示。为了让一个集合G成为群，必须定义加法运算并使之具有以下四个特性：

1. 封闭性：如果a和b是集合G中的元素，那么（a + b)也是集合G中的元素。

2. 结合律：(a + b) + c = a + (b + c);

3. 存在单位元0，使得a + 0 = 0 + a =a;

4. 每个元素都有逆元，即：对于任意a，存在b，使得a + b = 0.

如果我们增加第5个条件：

5. 交换律： a + b = b + a

那么，称这个群为阿贝尔群。[1]

运算法则：任意取椭圆曲线上两点P、Q （若P、Q两点重合，则做P点的切线）做直线交于椭圆曲线的另一点R’，过R’做y轴的平行线交于R。我们规定P+Q=R。（如图）[2]

特别的，当P和Q重合时，P+Q=P+P=2P，对于共线的三点，P，Q，R’有P+Q+R’=0∞.

这里的0∞不是实数意义的0，而是指的无穷远点(这里的无穷远点就不细说了，你可以理解为这个点非常遥远，遥远到两条平行线都在这一点相交了。具体介绍可以看参考文献[2])。

注意这里的R与R’之间的区别，P+Q=R，R并没有与P，Q共线，是R’与P，Q共线，不要搞错了。

法则详解：

这里的+不是实数中普通的加法，而是从普通加法中抽象出来的加法，他具备普通加法的一些性质，但具体的运算法则显然与普通加法不同。

根据这个法则，可以知道椭圆曲线无穷远点O∞与椭圆曲线上一点P的连线交于P’，过P’作y轴的平行线交于P，所以有无穷远点 O∞+ P = P 。这样，无穷远点 O∞的作用与普通加法中零的作用相当（0+2=2），我们把无穷远点 O∞ 称为零元。同时我们把P’称为P的负元（简称，负P；记作，-P）。（参见下图）

离散型椭圆曲线

上面给出的很好看的椭圆曲线是在实数域上的连续曲线，这个是不能用来加密的，原因我没有细究，但一定是连续曲线上的运算太简单。真正用于加密的椭圆曲线是离散型的。要想有一个离散型的椭圆曲线，先得有一个有限域。

域：在抽象代数中，域（Field）之一种可进行加、减、乘、除运算的代数结构。它是从普通实数的运算中抽像出来的。这一点与阿贝尔群很类似。只不过多了乘法，和与乘法相关的分配率。

域有如下性质[3]：

1.在加法和乘法上封闭，即域里的两个数相加或相乘的结果也在这个域中。

2.加法和乘法符合结合律，交换率，分配率。

3.存在加法单位，也可以叫做零元。即存在元素0，对于有限域内所有的元素a，有a+0=a。

4.存在乘法单位，也可以叫做单位元。即存在元素1，对于有限域内所有的元素a，有1*a=a。

5.存在加法逆元，即对于有限域中所有的元素a，都存在a+(-a)=0.

6.存在乘法逆元，即对于有限域中所有的元素a，都存在a*=0.

在掌握了这些知识后，我们将椭圆曲线离散化。我们给出一个有限域Fp，这个域只有有限个元素。Fp中只有p(p为素数)个元素0,1,2 …… p-2,p-1；

Fp 的加法（a+b）法则是 a+b≡c (mod p)；它的意思是同余，即（a+b）÷p的余数与c÷p的余数相同。

Fp 的乘法(a×b)法则是 a×b≡c (mod p)；

Fp 的除法(a÷b)法则是 a/b≡c (mod p)；即 a×b∧-1≡c (mod p)；（也是一个0到p-1之间的整数，但满足b×b∧-1≡1 (mod p)；

Fp 的单位元是1，零元是 0（这里的0就不是无穷远点了，而是真正的实数0）。

下面我们就试着把

这条曲线定义在Fp上：

选择两个满足下列条件的小于p(p为素数)的非负整数a、b，且a，b满足

则满足下列方程的所有点(x,y)，再加上无穷远点O∞ ，构成一条椭圆曲线。

其中 x,y属于0到p-1间的整数，并将这条椭圆曲线记为Ep(a,b)。

图是我手画的，大家凑合看哈。不得不说，p取7时，别看只有10个点，但计算量还是很大的。

Fp上的椭圆曲线同样有加法，法则如下：

        1. 无穷远点 O∞是零元，有O∞+ O∞= O∞，O∞+P=P

        2. P(x,y)的负元是 (x,-y)，有P+(-P)= O∞

3. P(x1,y1),Q(x2,y2)的和R(x3,y3) 有如下关系：

x3≡-x1-x2(mod p)

y3≡k(x1-x3)-y1(mod p)

其中若P=Q 则 k=(3+a)/2y1 若P≠Q，则k=(y2-y1)/(x2-x1)

通过这些法则，就可以进行离散型椭圆曲线的计算。

例：根据我画的图，（1，1）中的点P（2，4），求2P。

解：把点带入公式k=(3*x∧2+a)/2y1

有（3*2∧2+1）/2*4=6（mod 7）.

(注意，有些小伙伴可能算出13/8,这是不对的，这里是模数算数，就像钟表一样，过了12点又回到1点，所以在模为7的世界里，13=6，8=1).

x=6*6-2-2=4（mod 7）

y=6*（2-4）-4=2 （mod 7）

所以2P的坐标为（2，4）

那椭圆曲线上有什么难题呢？在模数足够大的情况下，上面这个计算过程的逆运算就足够难。

给出如下等式：

K=kG （其中 K,G为Ep(a,b)上的点，k为小于n（n是点G的阶）的整数）不难发现，给定k和G，根据加法法则，计算K很容易；但给定K和G，求k就相对困难了。

这就是椭圆曲线加密算法采用的难题。我们把点G称为基点（base point），k称为私钥，K称为公钥。

现在我们描述一个利用椭圆曲线进行加密通信的过程[2]：

1、用户A选定一条椭圆曲线Ep(a,b)，并取椭圆曲线上一点，作为基点G。

2、用户A选择一个私钥k，并生成公钥K=kG。

3、用户A将Ep(a,b)和点K，G传给用户B。

4、用户B接到信息后 ，将待传输的明文编码到Ep(a,b)上一点M（编码方法很多，这里不作讨论），并产生一个随机整数r（r<n）。

5、用户B计算点C1=M+rK；C2=rG。

6、用户B将C1、C2传给用户A。

7、用户A接到信息后，计算C1-kC2，结果就是点M。因为

C1-kC2=M+rK-k(rG)=M+rK-r(kG)=M

再对点M进行解码就可以得到明文。

整个过程如下图所示：

密码学中，描述一条Fp上的椭圆曲线，常用到六个参量：

T=(p,a,b,G,n,h)，p 、a 、b 用来确定一条椭圆曲线，G为基点，n为点G的阶，h 是椭圆曲线上所有点的个数m与n相除的整数部分

这几个参量取值的选择，直接影响了加密的安全性。参量值一般要求满足以下几个条件：

1、p 当然越大越安全，但越大，计算速度会变慢，200位左右可以满足一般安全要求；

2、p≠n×h；

3、pt≠1 (mod n)，1≤t<20；

4、4a3+27b2≠0 (mod p)；

5、n 为素数；

6、h≤4。

200位位的一个数字，那得多大？而且还是素数，所以这种方式是非常安全的。而且再一次交易中，区块被记录下来只有10分钟的时间，也就是说要想解决这个难题必须在10分钟以内。即便有技术能够在10分钟以内破解了现在这个难度的加密算法，比特币社区还可以予以反制，提高破解难度。所以比特币交易很安全，除非自己丢掉密钥，否则不存在被破解可能。

第一次写一个完全陌生的数学领域的知识，也许我有错误的地方，也许有没讲明白的地方，留言讨论吧。总之写完后对比特比系统的安全性表示很放心。

参考文献

[1] 椭圆曲线密码学简介

[2] 什么是椭圆曲线加密（ECC）

[3] 域（数学）维基网络

区块链研习社源码研读班 高若翔