浅谈比特币的数学原理

2017年即将过去，人类再次对科技狂热起来，但由狂热引发的思潮正指向一个完全不同的方向。

一个爆炸性的突破是引力波的实验证实，从而验证了爱因斯坦广义相对论的预言。 几十年前，韦伯的引力波实验家喻户晓，但韦伯多次公布的探测到的引力波却没有得到世人的认可。 韦伯的历史角色一直在科学烈士和江湖骗子之间摇摆不定。 此次引力波的成功探测，无疑将韦伯定义为历史先驱，使他多灾多难的命运被赋予了悲剧英雄的色彩； 同时，也宣告了人类理性思维的巨大成功。 爱因斯坦广义相对论的建立遵循了经典的理论研究路径，从公理体系的建立，到严格的数学推理，再到精确的物理预测，最后经过实验检验； 数学推理中抽象的黎曼几何超越了人类的直觉，真正指导了爱因斯坦建立的宏伟体系，是对理论体系内在和谐的欣赏。

另一个颠覆性发展是人工智能的蓬勃发展，尤其是机器学习。 尤其是阿尔法狗与人类的交锋，一方面让无数人欢欣鼓舞，另一方面也让人战栗恐惧，迷茫绝望。 柯洁的哀嚎让无数人心碎：人类辛辛苦苦学不到东西，积累了几千年的经验，瞬间被机器超越，然后被抛弃。 这不仅让职业棋手大失所望，也让无数学者怀疑，追求自然界的真理真的意义重大，还是人类为了虚荣而自欺欺人？ 这种思潮已经传遍了大学校园。 过去，计算机科学专业的年轻人会花费大量时间和经验学习经典数学理论，如泛函分析、微分几何、偏微分方程、随机过程等知识结构中不可或缺的一部分； 在过去的几年里，机器学习的知识和技能已经铺天盖地，所有的学生每天都被各种学术广告所震撼，眼花缭乱，难以跟上，整天都在被时代抛弃的焦虑中。 经过几年的学术训练，仍然无法对问题进行数学建模和理论分析，取而代之的是“端到端”的训练技能。 这种建立在经验统计基础上的“炼金术”，最终是否会被严格的理论所阐明和提炼，目前看来，仁者见仁智者见智。 等待泡沫消散，时间会蒸馏酒精。

第三个狂潮很有意思，比特币和区块链。 年底，比特币市场越发疯狂，逐渐背离了数字货币的初衷，沦为博弈的工具。 虽然人类对金钱的追求越来越非理性，但中本聪设计的比特币网络协议是基于人类理性的假设。 在人类历史上，金融交易系统建立在信任的基础上。 一直有一个可靠的中央机构来验证个人的财富价值，并验证每笔交易的正确性。 但是，比特币颠覆了这两点：比特币系统不需要以可信机构为中心； 比特币系统无法追踪，无法从账户地址推断所有者。 这种数字货币体系基于以下两个理性假设：第一，比特币网络上“好人”总是多于“坏人”； 其次，基于椭圆曲线的加密算法安全，不易被破解。

椭圆曲线理论的兴起得益于费马大定理的证明。费马猜想方程

当n大于2时，无整数解。 这个猜想犹如悬崖峭壁，屹立在数论发展300多年的历史轨迹上。 最关键的突破来自椭圆曲线。 谷山提出的谷山-志村猜想建立了椭圆曲线和模形式（某些周期全纯函数）之间的重要联系。 古山峰虽然洞悉了其中的秘密，但却无法证明。 他三十出头就去世了，他的新婚妻子也自杀了。 后来，安德鲁·怀尔斯证明了谷山-志村猜想的一部分，从而证明了费马大定理。 费马定理的证明自然是人类思想史上的一座丰碑。 顾山为数学殉道，最终成为千古绝唱； 然而，当时谁也没有想到，费马定理证明所构想的椭圆曲线理论有一天会成为比特币网络的基础； 硬币持有者在街上交谈。 纯数学以难以想象的方式颠覆了传统的金融体系。

老谷一直倾向于认为，中本聪发明比特币协议是出于对谷丰雄的致敬。 中本聪感叹谷山志存高远难报，竟如此慷慨。 他愤怒地在金融领域充分利用了谷山的椭圆曲线理论，让全人类为之疯狂。 这两种截然不同的疯狂终于在2017年底达到了病态的顶峰。

数学上的理论越难，越难转化为算法，也就越安全。 在有限域上，由椭圆曲线定义的代数簇（解的点集）是离散点的有限集。 每条椭圆曲线和直线都有三个交点，我们理解为三点之和为0，所以在代数簇上定义了一个群结构。 在这一组中比特币的简单理解，我们可以构造一些容易测试但难以解决的问题，即所谓的单向函数，例如离散对数。 这些单向函数被用在数字签名中，使用户易于验证，但无法伪造，从而形成了比特币协议的基础。 在数学上，理解椭圆曲线群的结构对于比特币系统至关重要。 这种群体结构的特征越多，就越容易破译。 在这里，我们简要介绍一些著名的基础理论。 如果固定一条椭圆曲线，对数域进行变换，就可以在对应的群之间建立同态，通过这些同态，可以降低破解的难度。 这是代数几何特有的技巧，优雅，强大，充满美感。

椭圆曲线的加法群

椭圆曲线具有以下形式

，多项式方程具有不同根的充分必要条件是

非零。我们检查代数簇

,

这里

是无穷远点。

图 1. 椭圆曲线上的加法。

如图 1 所示，我们考虑定义在实数域上的一条椭圆曲线，它与通过点 P 和 Q 的直线相交于第三点 R，形成一条通过 R 的引出线，引出线与椭圆曲线相交于第四点点。第四点与R互为倒数比特币的简单理解，记为

.然后，我们定义加法

. 经过简单的代数运算，我们得到加法定义，使椭圆曲线上的所有点组成一个加法群，无穷远处的点是恒等元。

图 2. 椭圆曲线上的乘法。

图 2 显示了椭圆曲线上的乘法。 如果我们通过G点做切线，切线与椭圆曲线相交于-2G，反射后得到2G。 这样，我们就可以定义4G、8G等。

以上几何运算可以直接转化为代数运算.make

, 通过两点的直线是

，这里

,

所以

. 由此可见，如果椭圆曲线的系数A和B在某个域K中，

的坐标也在域K内，则

的坐标也在K域内。因此，庞加莱（Poincare）证明了实数域上的椭圆曲线E(R)上所有坐标在K内的点E(K)（以及无穷远处的点）构成一个子组。

当我们将椭圆曲线的域从实数域变换到其他域时，仍然按照代数规则定义加法，椭圆曲线上的点仍然是分组的。

复数域上的椭圆曲线-黎曼曲面

如果椭圆曲线的域是一个复数域，那么椭圆曲线的代数簇就构成了一个黎曼面，一个亏格为1的拓扑轮胎。 首先我们定义一个网格点，

,

那么轮胎就是商空间

.

图 4. 复数域上的椭圆曲线。

我们定义了 Weierstrass p-函数，（Weierstrass p-function），

然后我们制作

,

但

.这里的 Wilstrass p 函数是满足周期性条件的双周期函数

.

此时椭圆曲线群的结构为

, 即拓扑轮胎。我们固定一个大于 1 的正整数 N 并定义子群

,

即椭圆曲线上所有点的秩能被N整除的子群。那么这个子群就是两个循环子群的乘积。

有理数域上的椭圆曲线

如果椭圆曲线的域是有理数域，有无穷多个点。 莫德尔在 1922 年证明了

是具有有限点集的有限生成群

, 任意点

可以表示为

,

进一步，

，这里

是椭圆曲线的有限阶挠子群，r称为椭圆曲线的秩。 1977年Mazur证明了椭圆曲线的挠子群只有15例，

和

. 但是椭圆曲线的秩仍然是个谜。 人们猜测对于任意大的r，在有理数域中存在一条阶数等于r的椭圆曲线。 这一点在有限域上的椭圆曲线中得到验证。 对于任何大的正整数，在有限域上都有相应的椭圆曲线。

有限域上的椭圆曲线

令 p 为正整数，

是整数模 p. 椭圆曲线的域

，满足

，其代数簇是一组离散点，如图5所示，同一条椭圆曲线在不同的有限域上，其代数簇包含不同数目的离散点。

图 5. 在不同的有限域上具有不同数量的离散点的相同椭圆曲线。

Hasse 于 1922 年证明，有限域上的椭圆曲线代数簇的点数与 (p+1) 之差不大于 p 的平方根的两倍：

.特别地，如果 p 是 2 的指数，即所谓的 Koblitz 曲线，则

.

设椭圆 E 定义在有限域中

优越的，

,

, 设 S 和 T 为椭圆曲线上的两点, 求一个整数 m 使得

，这个问题称为离散对数问题。目前求解离散对数最有效的方法是Pollar方法，其算法复杂度为

, 是 k 的指数复杂度。 比特币协议中数字签名的安全性是离散对数问题的指数复杂度。

一般而言，如果椭圆曲线群具有更丰富的结构，则离散对数问题的难度会降低。数学中常用的技术是使用有限域

转换到另一个领域，尤其是有理数领域

，从而在两个椭圆曲线群之间建立同态，并且在某些情况下，同态可以增强为同构。具体来说，我们将椭圆曲线E（Q）固定在有理数域上，对其系数取模，我们映射它到有限域上的椭圆曲线 E(Fp)，E(Q) ,y) 上的每个点 P(x) 映射到 E(Fp) 上的点

, 假设 x=a/b, 那么

. 此映射称为 Reduction Modulo p Map。 如果 E(Fp) 是非退化的，则此映射给出群 E(Q) 和 E(Fp) 之间的同态。至关重要的是，如果我们选择一个正整数 N，并且 p 彼此互质，则归约模数p 地图是

间同构。 这个定理的重要性怎么强调都不为过。 例如，假设我们在有限域的椭圆曲线 E(Fp) 上求解离散对数问题。 通过这个Reduction Modulo p Map，可以将E(Fp)提升为有理数域的椭圆曲线E(Q)。 如果能解决E中的离散对数问题（求Q上对应点之间的代数关系），再投影回E(Fp)，可以降低求解难度。

这种变换代数曲线基本数域的方法非常优雅。 本质上，如果我们使用有限域，我们会得到数论问题，如果我们使用复数域，我们会得到黎曼曲面的复杂几何问题。 这样，我们就把数论问题几何化了。 例如，著名的椭圆曲线 L 序列问题是数论与代数几何的交集。 设E为固定的椭圆曲线，其系数A和B为整数。对于任意素数p，我们将E映射到场模p得到椭圆曲线E(Fp)，定义E(Fp)的迹为

，著名的 L 系列将所有迹线编码为一个函数

,

Wile 证明了 L(E,s) 可以解析地扩展到整个复平面。 s=1是L(E,s)的零点，著名的Brich-Swinnerton-Dyer猜想就是这个零点的索引等于有理域上曲线E(Q)的生成元数. 近日，由谷歌创始人、FaceBook创始人、俄罗斯亿万富翁米尔纳夫妇、马化腾共同捐赠的2018年数学“新视野奖”，中国数学新星云志伟、张伟获得。 他们的工作是为 L 函数的泰勒展开的高阶项提供几何解释。

概括

椭圆曲线连接代数几何和数论，蕴藏着大自然的奥秘。 它的博大精深让无数数学家为之着迷，让他们为之倾倒。 从谷丰雄慷慨的挽歌，到威尔斯的英雄史诗，再到中本聪的神奇计算，从数学神坛上的抽象理论到金融市场上的数字货币，从数学家为真理的毅然殉道大自然，对众生贪婪疯狂的金钱崇拜，这一切方向疯狂混乱，截然相反，却顺理成章，天衣无缝。 历史的发展总是超乎想象，颠覆着一切，但天道轮回，永无止境。 我们坚信，追求真理和金钱的人性从未改变：将会有更多的青年才俊投身于对自然真理的追求； 翻手。 随着椭圆曲线理论的进一步突破，更多的金融创新将再次问世。