三分钟带你了解比特币的数学原理！

2017年已然逝去，过去的一年人类对于科技再度狂热，但是狂热所引发的思潮却指向了截然不同的方向。

一个爆炸性的突破是引力波被实验证实，从而验证了爱因斯坦广义相对论的预言。数十年前，韦伯的引力波实验就已经家喻户晓，但是其宣布的几次探测到的引力波没有得到世间公认。韦伯的历史角色一直在科学殉道者和江湖郎中之间徘徊。这次引力波探测成功，无疑将韦伯定义为历史先驱，使得他多舛的命运被赋予上悲剧英雄的色彩；同时，这也宣示着人类理性思维的巨大成功。爱因斯坦广义相对论的建立遵循了经典理论研究途径，从公理体系的建立，到严格数学推理，直至精确物理预言，最后由实验检验；数学推理中抽象的黎曼几何超越了人类直觉，真正指导爱因斯坦建立恢弘体系的是对理论体系内在和谐性的审美。

另一个颠覆性的进展是人工智能，特别是机器学习的热潮。这几年来，机器学习的知识技巧铺天盖地而来，学生每天都被各种学术广告所冲击，眼花缭乱、难以适从，终日处于被时代抛弃的焦虑之中。经过数年的学术训练后，依然无法对于问题进行数学建模、理论分析，取而代之的是“端到端”的训练技巧。这种基于经验统计的“炼金术”是否最终会被严格理论所阐发和提炼，目前仁者见仁，智者见智。静待泡沫散去，时光自会蒸馏出醇酒。

第三个狂潮却饶有兴味，比特币和区块链。年末比特币市场日趋狂热，日益脱离数字货币的初心，沦为豪赌的工具。虽然人类对于金钱的追求日益非理性，但是中本聪设计的比特币网络协议却是基于人类理性的假设。人类历史上，金融交易系统都是建立在信任基础之上的，一直存在可信赖的中心机构来认证个人拥有的财富值，来认证每笔交易的正确性。而比特币却颠覆了这两点：比特币系统不需要信任机构作为中心；比特币系统具有不可追踪性，无法从账户地址推断所有者。这种数字货币系统是基于如下的两个理性假设：首先，比特币网络上“好人”永远多于“坏人”；其次，基于椭圆曲线的加密算法是安全的，无法被轻易破解。

椭圆曲线理论的兴起得益于费马大定理（Fermat‘s Last Theorem）的证明。费马猜测方程当n大于2时，不存在整数解。这一猜测犹如万丈绝壁，横亘在数论发展的历史道路上长达三百余年。最关键的突破来自于椭圆曲线。谷山丰提出的谷山-志村猜测建立了椭圆曲线和模形式（某种周期性全纯函数）之间的重要联系。谷山丰虽然洞察到了天机，但是无法证明，三十出头蹈海而逝，其新婚的妻子也殉情自杀。后来，安德鲁。怀尔斯（Andrew Wiles）证明了谷山-志村猜测的一部分，从而证明了费马大定理。费马定理的证明自然是人类思想史上的丰碑，谷山为数学殉道，终成千古绝唱；怀尔斯数十年如一日痴心追梦，令人景仰。但是，在那时，无人会预料费马定理证明所孕育的椭圆曲线理论会有一日成为比特币网络的基础。

数学上愈是艰深的理论，转换成算法愈是难以破解，因此也是愈发安全。在有限域上，椭圆曲线所定义的代数簇（解的点集）是一个有限的离散点集。每条椭圆曲线和直线有三个交点，我们将其理解为三个点之和为0，如此在代数簇上定义了一个群结构。在这个群中，我们可以构造一些容易检验但是难以求解的问题，所谓单向函数，例如离散对数。这些单向函数用于数字签名，使得用户容易验证，但是无法伪造，由此构成了比特币协议的基础。数学上，对于椭圆曲线群结构的理解，对于比特币系统至关重要。

椭圆曲线具有形式 ，多项式方程有相异根的充要条件是非零。我们考察代数簇这里是无穷远点。

图1. 椭圆曲线上的加法

如图1所示，我们考虑定义在实数域上的一条椭圆曲线，它和过点P，Q的直线交于第三个点R，过R做铅直线，铅直线和椭圆曲线交于第四个点。第四个点和R互反，记为。那么，我们定义加法 。经过简单代数运算，我们得到如此定义的加法使得椭圆曲线上所有的点构成一个加法群，无穷远点为单位元。图2. 椭圆曲线上的乘法。

图2显示了椭圆曲线上的乘法。如果我们过点G做切线，切线交椭圆曲线于-2G，经过反射得到2G。如此，我们可以定义4G，8G等等。

以上的几何运算可以直接转换成代数运算。令，过两点的直线为，这里那么。由此，我们看到如果椭圆曲线的系数A和B在某个域K中，的坐标也在域K中，那么和的坐标也在域K中。由此，庞加莱（Poincare）证明了实数域上椭圆曲线E（R）上所有坐标在K中的点E（K）（并上无穷远点）构成子群。

复数域上的椭圆曲线-黎曼面

如果椭圆曲线的域为复数域，那么椭圆曲线的代数簇构成一张黎曼面，亏格为一的拓扑轮胎。首先我们定义一个格点，那么轮胎是商空间。

图4. 复数域上的椭圆曲线。

我们定义威尔斯特拉斯p-函数，（Weierstrass p-funcTIon），那么我们令则。这里威尔斯特拉斯p-函数是双周期函数，满足周期性条件。

这时，椭圆曲线群的结构为，即为拓扑轮胎。我们固定一个大于1的正整数N，定义子群，即椭圆曲线上所有秩可以整除N的点构成的子群。那么这个子群是两个循环子群的乘积。

有理数域上的椭圆曲线如果椭圆曲线的域为有理数域，具有无穷多个点。Mordell于1922年证明了是有限生成的群，存在有限点集，任意一个点可以被表示为，

更进一步，，这里是椭圆曲线的有限阶挠子群，r被称为是椭圆曲线的秩（rank）。1977年，Mazur证明了椭圆曲线的挠子群只有15种情况，和。但是椭圆曲线的秩却依然神秘，人们猜测对于任意大的r，都存在有理数域上的一条椭圆曲线，其秩等于r。

有限域上的椭圆曲线

令p是一个正整数，是模p的整数域。一条椭圆曲线，满足，其代数簇是离散点集，如图5所示，同一条椭圆曲线在不同的有限域上，其代数簇包含不同数目的离散点。

图5. 同一条椭圆曲线，在不同的有限域上具有不同数目的离散点

Hasse在1922年证明了有限域上椭圆曲线代数簇点的个数和（p+1）的差不大于p的平方根的两倍 ：。特别的，如果p为2的指数，即所谓的Koblitz曲线，那么。

令椭圆线E是定义在一个有限域上，，，令S和T是椭圆曲线上的两个点，找到整数m使得，这一问题被称为是离散对数问题。目前求解离散对数最为有效的是Pollar方法，其算法复杂度为，为k的指数级复杂度。比特币协议中数字签名的安全性就是离散对数问题的指数级复杂度。

一般而言，如果椭圆曲线群具有更加丰富的结构，那么离散对数问题的难度会被降低。数学上的常用手法是将有限域变换成另外一个域，尤其是有理数域，从而建立两个椭圆曲线群之间的同态，并且在特定情况下，同态可以被增强为同构。具体而言，固定一个有理数域上椭圆曲线E（Q），将其系数模p，我们把它映射到有限域上的椭圆曲线E（Fp），每个E（Q）上的点P（x，y）被映射到E（Fp）上的点，假设x=a/b，那么。这一映射被称为是 ReducTIon Modulo p Map。如果E（Fp）非退化，那么这一映射给出群E（Q）和E（Fp）之间的同态。至关重要的是，如果我们选定一个正整数N，和p彼此互素，那么ReducTIon Modulo p Map是 之间的同构。这个定理的重要性，无论怎么强调都不会为过。

这种变换代数曲线基本数域的方法非常优雅，本质上如果用有限域，我们得到的是数论问题，如果我们用复数域，我们得到的是黎曼面的复几何问题。例如，著名的椭圆曲线L序列问题，就是数论和代数几何的交叉点。令E是一个固定的椭圆曲线，其系数A，B为整数。对任意一个素数p，我们将E映射到模p域上，得到椭圆曲线E（Fp），我们定义E（Fp）的迹为， 著名的L-序列（L-series） 将所有的迹编码至一个函数。

Wile证明L（E，s）可以解析延拓到整个复平面上。s=1是L（E，s）的零点，著名的Brich-Swinnerton-Dyer猜测是说这一零点的指标，等于有理域上曲线E（Q）的生成元的个数。最近，华裔数学新星恽之玮和张伟赢得了2018数学“新视野奖”，这一大奖由谷歌创始人、FaceBook创始人、俄罗斯富翁米尔纳夫妇和马化腾等共同捐赠。

椭圆曲线连接着代数几何和数论，蕴含着自然的天机，其博大精深令无数的数学家心醉神迷，一往情深。从谷山丰的慷慨悲歌、到威尔斯的英雄史诗，再到中本聪的妙手神算， 从数学圣坛上的抽象理论到金融市场的数字货币，从数学家为自然真理的决绝殉道，到芸芸众生贪婪癫狂的拜金主义，这一切方向都是狂悖混乱，截然相反，却又顺理成章，天衣无缝。历史的发展总是超出想象，颠覆一切，却又天道循环，生生不息。我们深信， 人性中对真理的追求和对金钱的追求，亘古不变：会有更多的青年才俊，为追寻自然真理而苦心孤诣，呕心沥血；也会有更多的金融高手，闪转腾挪，翻手云雨。依随椭圆曲线理论的进一步突破，更多的金融创新会再度横空出世。