淺談比特幣的數學原理

2017年即將逝去，人類對於科技再度狂熱，但是狂熱所引發的思潮卻指向了截然不同的方向。

一個爆炸性的突破是引力波被實驗證實，從而驗證了愛因斯坦廣義相對論的預言。數十年前，韋伯的引力波實驗就已經家喻戶曉，但是其宣布的幾次探測到的引力波沒有得到世間公認。韋伯的歷史角色一直在科學殉道者和江湖郎中之間徘徊。這次引力波探測成功，無疑將韋伯定義為歷史先驅，使得他多舛的命運被賦予上悲劇英雄的色彩；同時，這也宣示著人類理性思維的巨大成功。愛因斯坦廣義相對論的建立遵循了經典理論研究途徑，從公理體系的建立，到嚴格數學推理，直至精確物理預言，最後由實驗檢驗；數學推理中抽象的黎曼幾何超越了人類直覺，真正指導愛因斯坦建立恢弘體系的是對理論體系內在和諧性的審美。

另一個顛覆性的進展是人工智慧，特別是機器學習的熱潮。特別是阿法狗和人類的對決，一方面令無數人歡欣鼓舞，狂熱亢奮，另一方面也令人顫慄恐懼，迷茫絕望。柯潔的嚎啕大哭，令無數人心碎：人類苦心孤詣，皓首窮經，積累了數千年的經驗，被機器瞬間超越，進而遺棄。這不僅令職業棋手心生幻滅，更令無數學者心生疑慮，對於自然界真理的追求是否真正具有崇高意義，還是人類為了虛榮而自欺欺人？這種思潮已經在大學校園之中泛濫開來，以往計算機科學專業的年輕人會花費大量的時間和經歷學習經典數學理論，泛函分析、微分幾何、偏微分方程、隨機過程等等都是他們知識結構中不可或缺的組成部分；這幾年來，機器學習的知識技巧鋪天蓋地而來，所有的學生每天都被各種學術廣告所衝擊，眼花繚亂、難以適從，終日處於被時代拋棄的焦慮之中。經過數年的學術訓練後，依然無法對於問題進行數學建模、理論分析，取而代之的是「端到端」的訓練技巧。這種基於經驗統計的「鍊金術」是否最終會被嚴格理論所闡發和提煉，目前仁者見，仁智者見智。靜待泡沫散去，時光自會蒸餾出醇酒。

第三個狂潮卻饒有興味，比特幣和區塊鏈。年末比特幣市場日趨狂熱，日益脫離數字貨幣的初心，淪為豪賭的工具。雖然人類對於金錢的追求日益非理性，但是中本聰設計的比特幣網路協議卻是基於人類理性的假設。人類歷史上，金融交易系統都是建立在信任基礎之上的，一直存在可信賴的中心機構來認證個人擁有的財富值，來認證每筆交易的正確性。而比特幣卻顛覆了這兩點：比特幣系統不需要信任機構作為中心；比特幣系統具有不可追蹤性，無法從賬戶地址推斷所有者。這種數字貨幣系統是基於如下的兩個理性假設：首先，比特幣網路上「好人」永遠多於「壞人」；其次，基於橢圓曲線的加密演算法是安全的，無法被輕易破解。

橢圓曲線理論的興起得益於費馬大定理（Fermat"s Last Theorem）的證明。費馬猜測方程當n大於2時，不存在整數解。這一猜測猶如萬丈絕壁，橫亘在數論發展的歷史道路上長達三百餘年。最關鍵的突破來自於橢圓曲線。谷山豐提出的谷山-志村猜測建立了橢圓曲線和模形式（某種周期性全純函數）之間的重要聯繫。谷山豐雖然洞察到了天機，但是無法證明，三十齣頭蹈海而逝，其新婚的妻子也殉情自殺。後來，安德魯.懷爾斯（Andrew Wiles）證明了谷山-志村猜測的一部分，從而證明了費馬大定理。費馬定理的證明自然是人類思想史上的豐碑，谷山為數學殉道，終成千古絕唱；懷爾斯數十年如一日痴心追夢，令人景仰。但是，在那時，無人會預料費馬定理證明所孕育的橢圓曲線理論會有一日成為比特幣網路的基礎；現如今，比特幣、區塊鏈如火如荼，抽象的代數幾何理論已經成為無數比特幣持有者在街頭巷尾的談資。純粹數學以令人難以想像的方式顛覆著傳統金融體系。

老顧一直傾向於認為中本聰是出於對谷山豐的致敬而發明了比特幣協議。谷山壯志難酬而慷慨蹈海，中本聰為之扼腕痛惜，發憤將谷山的橢圓曲線理論在金融領域發揮得淋漓盡致，讓整個人類為之痴狂。這兩種截然不同的狂悖，終於在2017年底達到了病態的巔峰。

數學上愈是艱深的理論，轉換成演算法愈是難以破解，因此也是愈發安全。在有限域上，橢圓曲線所定義的代數簇（解的點集）是一個有限的離散點集。每條橢圓曲線和直線有三個交點，我們將其理解為三個點之和為0，如此在代數簇上定義了一個群結構。在這個群中，我們可以構造一些容易檢驗但是難以求解的問題，所謂單向函數，例如離散對數。這些單向函數用於數字簽名，使得用戶容易驗證，但是無法偽造，由此構成了比特幣協議的基礎。數學上，對於橢圓曲線群結構的理解，對於比特幣系統至關重要。這個群結構的特性越多，自然越容易破解。這裡，我們簡述一些眾所周知的基本理論。如果我們固定一條橢圓曲線，變換數域，那麼我們可以在相應的群之間建立同態，通過這些同態，我們可以降低破解難度。這是代數幾何所特有的一種手法，優雅有力，富於美感。

橢圓曲線的加法群

橢圓曲線具有形式，多項式方程有相異根的充要條件是非零。我們考察代數簇，這裡是無窮遠點。

圖1. 橢圓曲線上的加法。

如圖1所示，我們考慮定義在實數域上的一條橢圓曲線，它和過點P，Q的直線交於第三個點R，過R做鉛直線，鉛直線和橢圓曲線交於第四個點。第四個點和R互反，記為。那麼，我們定義加法。經過簡單代數運算，我們得到如此定義的加法使得橢圓曲線上所有的點構成一個加法群，無窮遠點為單位元。

圖2. 橢圓曲線上的乘法。

圖2顯示了橢圓曲線上的乘法。如果我們過點G做切線，切線交橢圓曲線於-2G，經過反射得到2G。如此，我們可以定義4G，8G等等。

以上的幾何運算可以直接轉換成代數運算。令，過兩點的直線為，這裡,那麼。由此，我們看到如果橢圓曲線的係數A和B在某個域K中，的坐標也在域K中，那麼和的坐標也在域K中。由此，龐加萊（Poincare）證明了實數域上橢圓曲線E(R)上所有坐標在K中的點E(K)（並上無窮遠點）構成子群。

當我們變換橢圓曲線的域從實數域變成其他域時，我們依然遵照代數法則定義加法，橢圓曲線上的點依然成群。

複數域上的橢圓曲線-黎曼面

如果橢圓曲線的域為複數域，那麼橢圓曲線的代數簇構成一張黎曼面，虧格為一的拓撲輪胎。首先我們定義一個格點，，那麼輪胎是商空間。

圖4. 複數域上的橢圓曲線。

我們定義威爾斯特拉斯p-函數，（Weierstrass p-function），

那麼我們令

,

則。這裡威爾斯特拉斯p-函數是雙周期函數，滿足周期性條件

。

這時，橢圓曲線群的結構為，即為拓撲輪胎。我們固定一個大於1的正整數N，定義子群

，

即橢圓曲線上所有秩可以整除N的點構成的子群。那麼這個子群是兩個循環子群的乘積。

有理數域上的橢圓曲線

如果橢圓曲線的域為有理數域，具有無窮多個點。Mordell於1922年證明了是有限生成的群，存在有限點集，任意一個點可以被表示為

更進一步，，這裡是橢圓曲線的有限階撓子群，r被稱為是橢圓曲線的秩（rank）。1977年，Mazur證明了橢圓曲線的撓子群只有15種情況，和。但是橢圓曲線的秩卻依然神秘，人們猜測對於任意大的r，都存在有理數域上的一條橢圓曲線，其秩等於r。這一點在有限域上的橢圓曲線中得以驗證，對於任意大的正整數，都存在相應有限域上的橢圓曲線。

有限域上的橢圓曲線

令p是一個正整數，是模p的整數域。一條橢圓曲線，滿足，其代數簇是離散點集，如圖5所示，同一條橢圓曲線在不同的有限域上，其代數簇包含不同數目的離散點。

圖5. 同一條橢圓曲線，在不同的有限域上具有不同數目的離散點。

Hasse在1922年證明了有限域上橢圓曲線代數簇點的個數和（p+1）的差不大於p的平方根的兩倍 ：。特別的，如果p為2的指數，即所謂的Koblitz曲線，那麼

。

令橢圓線E是定義在一個有限域上，，，令S和T是橢圓曲線上的兩個點，找到整數m使得，這一問題被稱為是離散對數問題。目前求解離散對數最為有效的是Pollar方法，其演算法複雜度為，為k的指數級複雜度。比特幣協議中數字簽名的安全性就是離散對數問題的指數級複雜度。

一般而言，如果橢圓曲線群具有更加豐富的結構，那麼離散對數問題的難度會被降低。數學上的常用手法是將有限域變換成另外一個域，尤其是有理數域，從而建立兩個橢圓曲線群之間的同態，並且在特定情況下，同態可以被增強為同構。具體而言，固定一個有理數域上橢圓曲線E(Q)，將其係數模p，我們把它映射到有限域上的橢圓曲線E(Fp),每個E(Q)上的點P(x,y)被映射到E(Fp)上的點，假設x=a/b，那麼。這一映射被稱為是 Reduction Modulo p Map。如果E(Fp)非退化，那麼這一映射給出群E(Q)和E(Fp)之間的同態。至關重要的是，如果我們選定一個正整數N，和p彼此互素，那麼Reduction Modulo p Map是之間的同構。這個定理的重要性，無論怎麼強調都不會為過。例如假設我們在有限域的橢圓曲線上E(Fp)求解離散對數問題，通過這個Reduction Modulo p Map將E(Fp) 提升到有理數域的橢圓曲線E(Q)上，如果我們能夠在E(Q)上找到對應點之間的代數關係，然後再投射回E(Fp)上，就可以減小求解難度。

這種變換代數曲線基本數域的方法非常優雅，本質上如果用有限域，我們得到的是數論問題，如果我們用複數域，我們得到的是黎曼面的復幾何問題。如此，我們將數論問題幾何化。例如，著名的橢圓曲線L序列問題，就是數論和代數幾何的交叉點。令E是一個固定的橢圓曲線，其係數A，B為整數。對任意一個素數p，我們將E映射到模p域上，得到橢圓曲線E(Fp)，我們定義E(Fp)的跡為， 著名的L-序列(L-series) 將所有的跡編碼至一個函數

,

Wile證明L(E,s）可以解析延拓到整個複平面上。s=1是L(E,s)的零點，著名的Brich-Swinnerton-Dyer猜測是說這一零點的指標，等於有理域上曲線E(Q)的生成元的個數。最近，華裔數學新星惲之瑋和張偉贏得了2018數學「新視野獎」，這一大獎由谷歌創始人、FaceBook創始人、俄羅斯富翁米爾納夫婦和馬化騰等共同捐贈。他們的工作就是為L函數的泰勒展開的高階項提供了幾何解釋。

小結

橢圓曲線連接著代數幾何和數論，蘊含著自然的天機，其博大精深令無數的數學家心醉神迷，一往情深。從谷山豐的慷慨悲歌、到威爾斯的英雄史詩，再到中本聰的妙手神算， 從數學聖壇上的抽象理論到金融市場的數字貨幣，從數學家為自然真理的決絕殉道，到芸芸眾生貪婪癲狂的拜金主義，這一切方向都是狂悖混亂，截然相反，卻又順理成章，天衣無縫。歷史的發展總是超出想像，顛覆一切，卻又天道循環，生生不息。我們深信， 人性中對真理的追求和對金錢的追求，亘古不變：會有更多的青年才俊，為追尋自然真理而苦心孤詣，嘔心瀝血；也會有更多的金融高手，閃轉騰挪，翻手雲雨。依隨橢圓曲線理論的進一步突破，更多的金融創新會再度橫空出世。

*文章選載自微信公眾號老顧談幾何。

好玩的數學

微信號：mathfun

好玩的數學以數學學習為主題，以傳播數學文化為己任，以激發學習者學習數學的興趣為目標，分享有用的數學知識、有趣的數學故事、傳奇的數學人物等，為你展現一個有趣、好玩、豐富多彩的數學世界。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！