比特幣用的非對稱演算法

1. 比特幣如何防止篡改

比特幣網路主要會通過以下兩種技術保證用戶簽發的交易和歷史上發生的交易不會被攻擊者篡改：

• 非對稱加密可以保證攻擊者無法偽造賬戶所有者的簽名；

• 共識演算法可以保證網路中的歷史交易不會被攻擊者替換；

非對稱加密



• 非對稱加密演算法3是目前廣泛應用的加密技術，TLS 證書和電子簽名等場景都使用了非對稱的加密演算法保證安全。非對稱加密演算法同時包含一個公鑰（Public Key）和一個私鑰（Secret Key），使用私鑰加密的數據只能用公鑰解密，而使用公鑰解密的數據也只能用私鑰解密。





圖 4 - 51% 攻擊



• 1使用如下所示的代碼可以計算在無限長的時間中，攻擊者持有 51% 算力時，改寫歷史 0 ~ 9 個區塊的概率9：


• #include


• #include



• double attackerSuccessProbability(double q, int z) {


• double p = 1.0 - q;


• double lambda = z * (q / p);


• double sum = 1.0;


• int i, k;


• for (k = 0; k <= z; k++) {


• double poisson = exp(-lambda);


• for (i = 1; i <= k; i++)


• poisson *= lambda / i;


• sum -= poisson * (1 - pow(q / p, z - k));


• }


• return sum;


• }



• int main() {


• for (int i = 0; i < 10; i++) {


• printf("z=%d, p=%f\n", i, attackerSuccessProbability(0.51, i));


• }


• return 0;


• }



• 通過上述的計算我們會發現，在無限長的時間中，佔有全網算力的節點能夠發起 51% 攻擊修改歷史的概率是 100%；但是在有限長的時間中，因為比特幣中的算力是相對動態的，比特幣網路的節點也在避免出現單節點佔有 51% 以上算力的情況，所以想要篡改比特幣的歷史還是比較困難的，不過在一些小眾的、算力沒有保證的一些區塊鏈網路中，51% 攻擊還是極其常見的10。



• 防範 51% 攻擊方法也很簡單，在多數的區塊鏈網路中，剛剛加入區塊鏈網路中的交易都是未確認的，只要這些區塊後面追加了數量足夠的區塊，區塊中的交易才會被確認。比特幣中的交易確認數就是 6 個，而比特幣平均 10 分鍾生成一個塊，所以一次交易的確認時間大概為 60 分鍾，這也是為了保證安全性不得不做出的犧牲。不過，這種增加確認數的做法也不能保證 100% 的安全，我們也只能在不影響用戶體驗的情況下，盡可能增加攻擊者的成本。



總結



• 研究比特幣這樣的區塊鏈技術還是非常有趣的，作為一個分布式的資料庫，它也會遇到分布式系統經常會遇到的問題，例如節點不可靠等問題；同時作為一個金融系統和賬本，它也會面對更加復雜的交易確認和驗證場景。比特幣網路的設計非常有趣，它是技術和金融兩個交叉領域結合後的產物，非常值得我們花時間研究背後的原理。



• 比特幣並不能 100% 防止交易和數據的篡改，文中提到的兩種技術都只能從一定概率上保證安全，而降低攻擊者成功的可能性也是安全領域需要面對的永恆問題。我們可以換一個更嚴謹的方式闡述今天的問題 — 比特幣使用了哪些技術來增加攻擊者的成本、降低交易被篡改的概率：



• 比特幣使用了非對稱加密演算法，保證攻擊者在有限時間內無法偽造賬戶所有者的簽名；

• 比特幣使用了工作量證明的共識演算法並引入了記賬的激勵，保證網路中的歷史交易不會被攻擊者快速替換；



• 通過上述的兩種方式，比特幣才能保證歷史的交易不會被篡改和所有賬戶中資金的安全。

2. 公鑰、私鑰、哈希、加密演算法基礎概念

生活中我們對文件要簽名，簽名的字跡每個人不一樣，確保了獨特性，當然這還會有模仿，那麼對於重要文件再加蓋個手印，指紋是獨一無二的，保證了這份文件是我們個人所簽署的。

那麼在區塊鏈世界裡，對應的就是數字簽名，數字簽名涉及到公鑰、私鑰、哈希、加密演算法這些基礎概念。

首先加密演算法分為對稱加密演算法、非對稱加密演算法、哈希函數加密演算法三類。

所謂非對稱加密演算法，是指加密和解密用到的公鑰和私鑰是不同的，非對稱加密演算法依賴於求解一數學問題困難而驗證一數學問題簡單。

非對稱加密系統，加密的稱為公鑰，解密的稱為私鑰，公鑰加密，私鑰解密、私鑰簽名，公鑰驗證。

比特幣加密演算法一共有兩類：非對稱加密演算法（橢圓曲線加密演算法）和哈希演算法（SHA256，RIMPED160演算法）

舉一個例子來說明這個加密的過程：A給B發一個文件，B怎麼知道他接收的文件是A發的原始文件？

A可以這樣做，先對文件進行摘要處理（又稱Hash，常見的哈希演算法有MD5、SHA等）得到一串摘要信息，然後用自己的私鑰將摘要信息加密同文件發給B，B收到加密串和文件後，再用A的公鑰來解密加密串，得到原始文件的摘要信息，與此同時，對接收到的文件進行摘要處理，然後兩個摘要信息進行對比，如果自己算出的摘要信息與收到的摘要信息一致，說明文件是A發過來的原始文件，沒有被篡改。否則，就是被改過的。

數字簽名有兩個作用：
一是能確定消息確實是由發送方簽名並發出來的；
二是數字簽名能確定消息的完整性。

私鑰用來創建一個數字簽名，公鑰用來讓其他人核對私人密鑰，
而數字簽名做為一個媒介，證明你擁有密碼，同時並不要求你將密碼展示出來。

以下為概念的定義：

哈希（Hash）:
二進制輸入數據的一種數字指紋。
它是一種函數，通過它可以把任何數字或者字元串輸入轉化成一個固定長度的輸出，它是單向輸出，即非常難通過反向推導出輸入值。
舉一個簡單的哈希函數的例子，比如數字17202的平方根是131.15639519291463，通過一個簡單的哈希函數的輸出，它給出這個計算結果的後面幾位小數，如後幾位的9291463，通過結果9291463我們幾乎不可能推算出它是哪個輸入值的輸出。
現代加密哈希比如像SHA-256，比上面這個例子要復雜的多，相應它的安全性也更高，哈希用於指代這樣一個函數的輸出值。

私鑰（Private key）:
用來解鎖對應（錢包）地址的一串字元，例如+。

公鑰（Public keycryptography）：
加密系統是一種加密手段，它的每一個私鑰都有一個相對應的公鑰，從公鑰我們不能推算出私鑰，並且被用其中一個密鑰加密了的數據，可以被另外一個相對應的密鑰解密。這套系統使得你可以先公布一個公鑰給所有人，然後所有人就可以發送加密後的信息給你，而不需要預先交換密鑰。

數字簽名（Digital signature）：
Digital signature數字簽名是這樣一個東西，它可以被附著在一條消息後面，證明這條消息的發送者就是和某個公鑰相對應的一個私鑰的所有人，同時可以保證私鑰的秘密性。某人在檢查簽名的時候，將會使用公鑰來解密被加密了的哈希值（譯者註：這個哈希值是數據通過哈希運算得到的），並檢查結果是否和這條信息的哈希值相吻合。如果信息被改動過，或者私鑰是錯誤的話，哈希值就不會匹配。在比特幣網路以外的世界，簽名常常用於驗證信息發送者的身份 – 人們公布他們自己的公鑰，然後發送可以被公鑰所驗證的，已經通過私鑰加密過的信息。

加密演算法（encryption algorithm）：
是一個函數，它使用一個加密鑰匙，把一條信息轉化成一串不可閱讀的看似隨機的字元串，這個流程是不可逆的，除非是知道私鑰匙的人來操作。加密使得私密數據通過公共的網際網路傳輸的時候不需要冒嚴重的被第三方知道傳輸的內容的風險。

哈希演算法的大致加密流程
1、對原文進行補充和分割處理（一般分給為多個512位的文本，並進一步分割為16個32位的整數）。
2、初始化哈希值（一般分割為多個32位整數，例如SHA256就是256位的哈希值分解成8個32位整數）。
3、對哈希值進行計算（依賴於不同演算法進行不同輪數的計算，每個512位文本都要經過這些輪數的計算）。

區塊鏈中每一個數據塊中包含了一次網路交易的信息，產生相關聯數據塊所使用的就是非對稱加密技術。非對密加密技術的作用是驗證信息的有效性和生成下一個區塊，區塊鏈上網路交易的信息是公開透明的，但是用戶的身份信息是被高度加密的，只有經過用戶授權，區塊鏈才能得到該身份信息，從而保證了數據的安生性和個人信息的隱私性。

公鑰和私鑰在非對稱加密機制里是成對存在的，公鑰和私鑰可以去相互驗證對方，那麼在比特幣的世界裡面，我們可以把地址理解為公鑰，可以把簽名、輸密碼的過程理解為私鑰的簽名。
每個礦工在拿到一筆轉賬交易時候都可以驗證公鑰和私鑰到底是不是匹配的，如果他們是匹配的，這筆交易就是合法的，這樣每一個人只需要保管好TA自己的私鑰，知道自己的比特幣地址和對方的比特幣地址就能夠安全的將比特幣進行轉賬，不需要一個中心化的機構來驗證對方發的比特幣是不是真的。

3. 非對稱加密演算法 (RSA、DSA、ECC、DH)

非對稱加密需要兩個密鑰：公鑰(publickey) 和私鑰 (privatekey)。公鑰和私鑰是一對，如果用公鑰對數據加密，那麼只能用對應的私鑰解密。如果用私鑰對數據加密，只能用對應的公鑰進行解密。因為加密和解密用的是不同的密鑰，所以稱為非對稱加密。

非對稱加密演算法的保密性好，它消除了最終用戶交換密鑰的需要。但是加解密速度要遠遠慢於對稱加密，在某些極端情況下，甚至能比對稱加密慢上1000倍。

演算法強度復雜、安全性依賴於演算法與密鑰但是由於其演算法復雜，而使得加密解密速度沒有對稱加密解密的速度快。對稱密碼體制中只有一種密鑰，並且是非公開的，如果要解密就得讓對方知道密鑰。所以保證其安全性就是保證密鑰的安全，而非對稱密鑰體制有兩種密鑰，其中一個是公開的，這樣就可以不需要像對稱密碼那樣傳輸對方的密鑰了。這樣安全性就大了很多。

RSA、Elgamal、背包演算法、Rabin、D-H、ECC (橢圓曲線加密演算法)。使用最廣泛的是 RSA 演算法，Elgamal 是另一種常用的非對稱加密演算法。

收信者是唯一能夠解開加密信息的人，因此收信者手裡的必須是私鑰。發信者手裡的是公鑰，其它人知道公鑰沒有關系，因為其它人發來的信息對收信者沒有意義。

客戶端需要將認證標識傳送給伺服器，此認證標識 (可能是一個隨機數) 其它客戶端可以知道，因此需要用私鑰加密，客戶端保存的是私鑰。伺服器端保存的是公鑰，其它伺服器知道公鑰沒有關系，因為客戶端不需要登錄其它伺服器。

數字簽名是為了表明信息沒有受到偽造，確實是信息擁有者發出來的，附在信息原文的後面。就像手寫的簽名一樣，具有不可抵賴性和簡潔性。

簡潔性：對信息原文做哈希運算，得到消息摘要，信息越短加密的耗時越少。

不可抵賴性：信息擁有者要保證簽名的唯一性，必須是唯一能夠加密消息摘要的人，因此必須用私鑰加密 (就像字跡他人無法學會一樣)，得到簽名。如果用公鑰，那每個人都可以偽造簽名了。

問題起源：對1和3，發信者怎麼知道從網上獲取的公鑰就是真的？沒有遭受中間人攻擊？

這樣就需要第三方機構來保證公鑰的合法性，這個第三方機構就是 CA (Certificate Authority)，證書中心。

CA 用自己的私鑰對信息原文所有者發布的公鑰和相關信息進行加密，得出的內容就是數字證書。

信息原文的所有者以後發布信息時，除了帶上自己的簽名，還帶上數字證書，就可以保證信息不被篡改了。信息的接收者先用 CA給的公鑰解出信息所有者的公鑰，這樣可以保證信息所有者的公鑰是真正的公鑰，然後就能通過該公鑰證明數字簽名是否真實了。

RSA 是目前最有影響力的公鑰加密演算法，該演算法基於一個十分簡單的數論事實：將兩個大素數相乘十分容易，但想要對其乘積進行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰，即公鑰，而兩個大素數組合成私鑰。公鑰是可發布的供任何人使用，私鑰則為自己所有，供解密之用。

A 要把信息發給 B 為例，確定角色：A 為加密者，B 為解密者。首先由 B 隨機確定一個 KEY，稱之為私鑰，將這個 KEY 始終保存在機器 B 中而不發出來；然後，由這個 KEY 計算出另一個 KEY，稱之為公鑰。這個公鑰的特性是幾乎不可能通過它自身計算出生成它的私鑰。接下來通過網路把這個公鑰傳給 A，A 收到公鑰後，利用公鑰對信息加密，並把密文通過網路發送到 B，最後 B 利用已知的私鑰，就能對密文進行解碼了。以上就是 RSA 演算法的工作流程。

由於進行的都是大數計算，使得 RSA 最快的情況也比 DES 慢上好幾倍，無論是軟體還是硬體實現。速度一直是 RSA 的缺陷。一般來說只用於少量數據加密。RSA 的速度是對應同樣安全級別的對稱密碼演算法的1/1000左右。

比起 DES 和其它對稱演算法來說，RSA 要慢得多。實際上一般使用一種對稱演算法來加密信息，然後用 RSA 來加密比較短的公鑰，然後將用 RSA 加密的公鑰和用對稱演算法加密的消息發送給接收方。

這樣一來對隨機數的要求就更高了，尤其對產生對稱密碼的要求非常高，否則的話可以越過 RSA 來直接攻擊對稱密碼。

和其它加密過程一樣，對 RSA 來說分配公鑰的過程是非常重要的。分配公鑰的過程必須能夠抵擋中間人攻擊。假設 A 交給 B 一個公鑰，並使 B 相信這是A 的公鑰，並且 C 可以截下 A 和 B 之間的信息傳遞，那麼 C 可以將自己的公鑰傳給 B，B 以為這是 A 的公鑰。C 可以將所有 B 傳遞給 A 的消息截下來，將這個消息用自己的密鑰解密，讀這個消息，然後將這個消息再用 A 的公鑰加密後傳給 A。理論上 A 和 B 都不會發現 C 在偷聽它們的消息，今天人們一般用數字認證來防止這樣的攻擊。

(1) 針對 RSA 最流行的攻擊一般是基於大數因數分解。1999年，RSA-155 (512 bits) 被成功分解，花了五個月時間（約8000 MIPS 年）和224 CPU hours 在一台有3.2G 中央內存的 Cray C916計算機上完成。

RSA-158 表示如下：

2009年12月12日，編號為 RSA-768 (768 bits, 232 digits) 數也被成功分解。這一事件威脅了現通行的1024-bit 密鑰的安全性，普遍認為用戶應盡快升級到2048-bit 或以上。

RSA-768表示如下：

(2) 秀爾演算法
量子計算里的秀爾演算法能使窮舉的效率大大的提高。由於 RSA 演算法是基於大數分解 (無法抵抗窮舉攻擊)，因此在未來量子計算能對 RSA 演算法構成較大的威脅。一個擁有 N 量子位的量子計算機，每次可進行2^N 次運算，理論上講，密鑰為1024位長的 RSA 演算法，用一台512量子比特位的量子計算機在1秒內即可破解。

DSA (Digital Signature Algorithm) 是 Schnorr 和 ElGamal 簽名演算法的變種，被美國 NIST 作為 DSS (DigitalSignature Standard)。 DSA 是基於整數有限域離散對數難題的。

簡單的說，這是一種更高級的驗證方式，用作數字簽名。不單單只有公鑰、私鑰，還有數字簽名。私鑰加密生成數字簽名，公鑰驗證數據及簽名，如果數據和簽名不匹配則認為驗證失敗。數字簽名的作用就是校驗數據在傳輸過程中不被修改，數字簽名，是單向加密的升級。

橢圓加密演算法（ECC）是一種公鑰加密演算法，最初由 Koblitz 和 Miller 兩人於1985年提出，其數學基礎是利用橢圓曲線上的有理點構成 Abel 加法群上橢圓離散對數的計算困難性。公鑰密碼體制根據其所依據的難題一般分為三類：大整數分解問題類、離散對數問題類、橢圓曲線類。有時也把橢圓曲線類歸為離散對數類。

ECC 的主要優勢是在某些情況下它比其他的方法使用更小的密鑰 (比如 RSA)，提供相當的或更高等級的安全。ECC 的另一個優勢是可以定義群之間的雙線性映射，基於 Weil 對或是 Tate 對；雙線性映射已經在密碼學中發現了大量的應用，例如基於身份的加密。不過一個缺點是加密和解密操作的實現比其他機制花費的時間長。

ECC 被廣泛認為是在給定密鑰長度的情況下，最強大的非對稱演算法，因此在對帶寬要求十分緊的連接中會十分有用。

比特幣錢包公鑰的生成使用了橢圓曲線演算法，通過橢圓曲線乘法可以從私鑰計算得到公鑰， 這是不可逆轉的過程。

https://github.com/esxgx/easy-ecc

Java 中 Chipher、Signature、KeyPairGenerator、KeyAgreement、SecretKey 均不支持 ECC 演算法。

https://www.jianshu.com/p/58c1750c6f22

DH，全稱為"Diffie-Hellman"，它是一種確保共享 KEY 安全穿越不安全網路的方法，也就是常說的密鑰一致協議。由公開密鑰密碼體制的奠基人 Diffie 和 Hellman 所提出的一種思想。簡單的說就是允許兩名用戶在公開媒體上交換信息以生成"一致"的、可以共享的密鑰。也就是由甲方產出一對密鑰 (公鑰、私鑰)，乙方依照甲方公鑰產生乙方密鑰對 (公鑰、私鑰)。

以此為基線，作為數據傳輸保密基礎，同時雙方使用同一種對稱加密演算法構建本地密鑰 (SecretKey) 對數據加密。這樣，在互通了本地密鑰 (SecretKey) 演算法後，甲乙雙方公開自己的公鑰，使用對方的公鑰和剛才產生的私鑰加密數據，同時可以使用對方的公鑰和自己的私鑰對數據解密。不單單是甲乙雙方兩方，可以擴展為多方共享數據通訊，這樣就完成了網路交互數據的安全通訊。

具體例子可以移步到這篇文章： 非對稱密碼之DH密鑰交換演算法

參考：
https://blog.csdn.net/u014294681/article/details/86705999

https://www.cnblogs.com/wangzxblog/p/13667634.html

https://www.cnblogs.com/taoxw/p/15837729.html

https://www.cnblogs.com/fangfan/p/4086662.html

https://www.cnblogs.com/utank/p/7877761.html

https://blog.csdn.net/m0_59133441/article/details/122686815

https://www.cnblogs.com/muliu/p/10875633.html

https://www.cnblogs.com/wf-zhang/p/14923279.html

https://www.jianshu.com/p/7a927db713e4

https://blog.csdn.net/ljx1400052550/article/details/79587133

https://blog.csdn.net/yuanjian0814/article/details/109815473

4. 比特幣演算法原理

比特幣演算法主要有兩種，分別是橢圓曲線數字簽名演算法和SHA256哈希演算法。

橢圓曲線數字簽名演算法主要運用在比特幣公鑰和私鑰的生成過程中，該演算法是構成比特幣系統的基石。SHA-256哈希演算法主要是運用在比特幣的工作量證明機制中。

比特幣產生的原理是經過復雜的運演算法產生的特解，挖礦就是尋找特解的過程。不過比特幣的總數量只有2100萬個，而且隨著比特幣不斷被挖掘，越往後產生比特幣的難度會增加，可能獲得比特幣的成本要比比特幣本身的價格高。

比特幣的區塊由區塊頭及該區塊所包含的交易列表組成，區塊頭的大小為80位元組，由4位元組的版本號、32位元組的上一個區塊的散列值、32位元組的 Merkle Root Hash、4位元組的時間戳（當前時間）、4位元組的當前難度值、4位元組的隨機數組成。擁有80位元組固定長度的區塊頭，就是用於比特幣工作量證明的輸入字元串。不停的變更區塊頭中的隨機數即 nonce 的數值，並對每次變更後的的區塊頭做雙重 SHA256運算，將結果值與當前網路的目標值做對比，如果小於目標值，則解題成功，工作量證明完成。

比特幣的本質其實是一堆復雜演算法所生成的一組方程組的特解（該解具有唯一性）。比特幣是世界上第一種分布式的虛擬貨幣，其沒有特定的發行中心，比特幣的網路由所有用戶構成，因為沒有中心的存在能夠保證了數據的安全性。

5. 高中生如何理解比特幣加密演算法

加密演算法是數字貨幣的基石，比特幣的公鑰體系採用橢圓曲線演算法來保證交易的安全性。這是因為要攻破橢圓曲線加密就要面對離散對數難題，目前為止還沒有找到在多項式時間內解決的辦法，在演算法所用的空間足夠大的情況下，被認為是安全的。本文不涉及高深的數學理論，希望高中生都能看懂。

密碼學具有久遠的歷史，幾乎人人都可以構造出加解密的方法，比如說簡單地循環移位。古老或簡單的方法需要保密加密演算法和秘鑰。但是從歷史上長期的攻防斗爭來看，基於加密方式的保密並不可靠，同時，長期以來，秘鑰的傳遞也是一個很大的問題，往往面臨秘鑰泄漏或遭遇中間人攻擊的風險。

上世紀70年代，密碼學迎來了突破。Ralph C. Merkle在1974年首先提出非對稱加密的思想，兩年以後，Whitfield Diffie和Whitfield Diffie兩位學者以單向函數和單向暗門函數為基礎提出了具體的思路。隨後，大量的研究和演算法涌現，其中最為著名的就是RSA演算法和一系列的橢圓曲線演算法。

無論哪一種演算法，都是站在前人的肩膀之上，主要以素數為研究對象的數論的發展，群論和有限域理論為基礎。內容加密的秘鑰不再需要傳遞，而是通過運算產生，這樣，即使在不安全的網路中進行通信也是安全的。密文的破解依賴於秘鑰的破解，但秘鑰的破解面臨難題，對於RSA演算法，這個難題是大數因式分解，對於橢圓曲線演算法，這個難題是類離散對數求解。兩者在目前都沒有多項式時間內的解決辦法，也就是說，當位數增多時，難度差不多時指數級上升的。

那麼加解密如何在公私鑰體系中進行的呢？一句話，通過在一個有限域內的運算進行，這是因為加解密都必須是精確的。一個有限域就是一個具有有限個元素的集合。加密就是在把其中一個元素映射到另一個元素，而解密就是再做一次映射。而有限域的構成與素數的性質有關。

前段時間，黎曼猜想（與素數定理關系密切）被熱炒的時候，有一位區塊鏈項目的技術總監說橢圓曲線演算法與素數無關，不受黎曼猜想證明的影響，就完全是瞎說了。可見區塊鏈項目內魚龍混雜，確實需要好好洗洗。

比特幣及多數區塊鏈項目採用的公鑰體系都是橢圓曲線演算法，而非RSA。而介紹橢圓曲線演算法之前，了解一下離散對數問題對其安全性的理解很有幫助。

先來看一下 費馬小定理 ：

原根 定義：
設（a, p)=1 （a與p互素），滿足

的最下正整數 l，叫作a模p的階，模p階為（最大值）p-1的整數a叫作模p的原根。

兩個定理：

基於此，我們可以看到，{1, 2, 3, … p-1} 就是一個有限域，而且定義運算 gi (mod p), 落在這個有限域內，同時，當i取0～p-2的不同數時，運算結果不同。這和我們在高中學到的求冪基本上是一樣的，只不過加了一層求模運算而已。

另一點需要說明的是，g的指數可以不限於0~p-2, 其實可以是所有自然數，但是由於

所以，所有的函數值都是在有限域內，而且是連續循環的。

離散對數定義：
設g為模p的原根，（a,p) = 1，

我們稱 i 為a（對於模p的原根g）的指數，表示成：

這里ind 就是 index的前3個字母。
這個定義是不是和log的定義很像？其實這也就是我們高中學到的對數定義的擴展，只不過現在應用到一個有限域上。

但是，這與實數域上的對數計算不同，實數域是一個連續空間，其上的對數計算有公式和規律可循，但往往很難做到精確。我們的加密體系裡需要精確，但是在一個有限域上的運算極為困難，當你知道冪值a和對數底g，求其離散對數值i非常困難。

當選擇的素數P足夠大時，求i在時間上和運算量上變得不可能。因此我們可以說i是不能被計算出來的，也就是說是安全的，不能被破解的。

比特幣的橢圓曲線演算法具體而言採用的是 secp256k1演算法。網上關於橢圓曲線演算法的介紹很多，這里不做詳細闡述，大家只要知道其實它是一個三次曲線（不是一個橢圓函數），定義如下：

那麼這里有參數a, b；取值不同，橢圓曲線也就不同，當然x, y 這里定義在實數域上，在密碼體系裡是行不通的，真正採用的時候，x, y要定義在一個有限域上，都是自然數，而且小於一個素數P。那麼當這個橢圓曲線定義好後，它反應在坐標系中就是一些離散的點，一點也不像曲線。但是，在設定的有限域上，其各種運算是完備的。也就是說，能夠通過加密運算找到對應的點，通過解密運算得到加密前的點。

同時，與前面講到的離散對數問題一樣，我們希望在這個橢圓曲線的離散點陣中找到一個有限的子群，其具有我們前面提到的遍歷和循環性質。而我們的所有計算將使用這個子群。這樣就建立好了我們需要的一個有限域。那麼這里就需要子群的階（一個素數n）和在子群中的基點G（一個坐標，它通過加法運算可以遍歷n階子群）。

根據上面的描述，我們知道橢圓曲線的定義包含一個五元祖（P, a, b, G, n, h)；具體的定義和概念如下：

P: 一個大素數，用來定義橢圓曲線的有限域（群）
a, b: 橢圓曲線的參數，定義橢圓曲線函數
G: 循環子群中的基點，運算的基礎
n: 循環子群的階（另一個大素數，< P ）
h：子群的相關因子，也即群的階除以子群的階的整數部分。

好了，是時候來看一下比特幣的橢圓曲線演算法是一個怎樣的橢圓曲線了。簡單地說，就是上述參數取以下值的橢圓曲線：

橢圓曲線定義了加法，其定義是兩個點相連，交與圖像的第三點的關於x軸的對稱點為兩個點的和。網上這部分內容已經有很多，這里不就其細節進行闡述。

但細心的同學可能有個疑問，離散對數問題的難題表現在求冪容易，但求其指數非常難，然而，橢圓曲線演算法中，沒有求冪，只有求乘積。這怎麼體現的是離散對數問題呢？

其實，這是一個定義問題，最初橢圓曲線演算法定義的時候把這種運算定義為求和，但是，你只要把這種運算定義為求積，整個體系也是沒有問題的。而且如果定義為求積，你會發現所有的操作形式上和離散對數問題一致，在有限域的選擇的原則上也是一致的。所以，本質上這還是一個離散對數問題。但又不完全是簡單的離散對數問題，實際上比一般的離散對數問題要難，因為這里不是簡單地求數的離散對數，而是在一個自定義的計算上求類似於離散對數的值。這也是為什麼橢圓曲線演算法採用比RSA所需要的（一般2048位）少得多的私鑰位數（256位）就非常安全了。

6. 區塊鏈的加密技術

數字加密技能是區塊鏈技能使用和開展的關鍵。一旦加密辦法被破解，區塊鏈的數據安全性將受到挑戰，區塊鏈的可篡改性將不復存在。加密演算法分為對稱加密演算法和非對稱加密演算法。區塊鏈首要使用非對稱加密演算法。非對稱加密演算法中的公鑰暗碼體制依據其所依據的問題一般分為三類:大整數分化問題、離散對數問題和橢圓曲線問題。第一，引進區塊鏈加密技能加密演算法一般分為對稱加密和非對稱加密。非對稱加密是指集成到區塊鏈中以滿意安全要求和所有權驗證要求的加密技能。非對稱加密通常在加密和解密進程中使用兩個非對稱暗碼，稱為公鑰和私鑰。非對稱密鑰對有兩個特點:一是其間一個密鑰(公鑰或私鑰)加密信息後，只能解密另一個對應的密鑰。第二，公鑰可以向別人揭露，而私鑰是保密的，別人無法通過公鑰計算出相應的私鑰。非對稱加密一般分為三種首要類型:大整數分化問題、離散對數問題和橢圓曲線問題。大整數分化的問題類是指用兩個大素數的乘積作為加密數。由於素數的出現是沒有規律的，所以只能通過不斷的試算來尋找解決辦法。離散對數問題類是指基於離散對數的困難性和強單向哈希函數的一種非對稱分布式加密演算法。橢圓曲線是指使用平面橢圓曲線來計算一組非對稱的特殊值，比特幣就採用了這種加密演算法。非對稱加密技能在區塊鏈的使用場景首要包含信息加密、數字簽名和登錄認證。(1)在信息加密場景中，發送方(記為A)用接收方(記為B)的公鑰對信息進行加密後發送給

B，B用自己的私鑰對信息進行解密。比特幣交易的加密就屬於這種場景。(2)在數字簽名場景中，發送方A用自己的私鑰對信息進行加密並發送給B，B用A的公鑰對信息進行解密，然後確保信息是由A發送的。(3)登錄認證場景下，客戶端用私鑰加密登錄信息並發送給伺服器，伺服器再用客戶端的公鑰解密認證登錄信息。請注意上述三種加密計劃之間的差異:信息加密是公鑰加密和私鑰解密，確保信息的安全性；數字簽名是私鑰加密，公鑰解密，確保了數字簽名的歸屬。認證私鑰加密，公鑰解密。以比特幣體系為例，其非對稱加密機制如圖1所示:比特幣體系一般通過調用操作體系底層的隨機數生成器生成一個256位的隨機數作為私鑰。比特幣的私鑰總量大，遍歷所有私鑰空間獲取比特幣的私鑰極其困難，所以暗碼學是安全的。為便於辨認，256位二進制比特幣私鑰將通過SHA256哈希演算法和Base58進行轉化，構成50個字元長的私鑰，便於用戶辨認和書寫。比特幣的公鑰是私鑰通過Secp256k1橢圓曲線演算法生成的65位元組隨機數。公鑰可用於生成比特幣交易中使用的地址。生成進程是公鑰先通過SHA256和RIPEMD160哈希處理，生成20位元組的摘要成果(即Hash160的成果)，再通過SHA256哈希演算法和Base58轉化，構成33個字元的比特幣地址。公鑰生成進程是不可逆的，即私鑰不能從公鑰推導出來。比特幣的公鑰和私鑰通常存儲在比特幣錢包文件中，其間私鑰最為重要。丟掉私鑰意味著丟掉相應地址的所有比特幣財物。在現有的比特幣和區塊鏈體系中，現已依據實踐使用需求衍生出多私鑰加密技能，以滿意多重簽名等愈加靈敏雜亂的場景。

7. 什麼是比特幣加密技術

比特幣和區塊鏈的誕生需要依賴於很多核心技術的突破：一是拜占庭容錯技術；二是非對稱加密技術；三是點對點支付技術。下面會依次介紹。
拜占庭容錯技術
比特幣和區塊鏈誕生的首要難點在於如何創建分布式共識機制，也就是菜斯利·蘭伯特等人1982年提出的拜占庭將軍問題。所謂拜占庭將軍問題是指，把戰爭中互不信任的各城邦軍隊如何達成共識並決定是否出兵的決策過程。延伸至計算機領域，試圖創建具有容錯性的分布式系統，即使部分節點失效仍可確保系統正常運行，也可讓多個基於零信任基礎的節點達成共識，並確保信息傳遞的一致性。
中本聰所提到的「拜占庭將軍問題」解決方法起始於亞當﹒拜克在1997年發明的哈希現金演算法機制，起初該設計是用於限制垃圾郵件發送與拒絕服務攻擊。2004年，密碼朋克運動早期和重要成員哈爾·芬尼將亞當﹒拜克的哈希現金演算法改進為可復用的工作量證明機制。他們的研究又是基於達利亞·馬凱與邁克爾·瑞特的學術成果：拜占庭容錯機制。正是哈爾·芬尼的可復用的工作量證明機制後來成為比特幣的核心要素之一。哈爾·芬尼是中本聰的最早支持者，同時也是第一筆比特幣轉賬的接受者，在比特幣發展的早期與中本聰有大量互動與交流。
非對稱加密技術
比特幣的非對稱加密技術來源於以下幾項密碼學的技術創新：1976年，Sun公司前首席安全官Whitfield Diffie與斯坦福大學教授Martin Hell，在開創性論文《密碼學的新方向》首次提出公開鑰匙密碼學的概念，發明了非對稱加密演算法。1978年省理工學院的倫納德·阿德曼、羅納德·李維斯特、阿迪·薩莫爾三名研究人員，共同發明了公開鑰匙系統「RSA」可用於數據加密和簽名，率先開發第一個具備商業實用性的非對稱RSA加密演算法。1985年，Neal Koblitz和Victor Miller倆人，首次提出將橢圓曲線演算法（ECC），應用於密碼學，並建立公鑰加密的演算法，公鑰密碼演算法的原理是利用信息的不對稱性，公鑰對應的是私鑰，私鑰是解開所有信息的鑰匙，公鑰可以由私鑰反推算出。ECC能夠提供比RSA更高級別的安全。比特幣使用的就是橢圓曲線演算法公鑰用於接收比特幣，而私鑰則是比特幣支付時的交易簽名。這些加密演算法奠定了當前非對稱加密理論的基礎，被廣泛應用於網路通信領域。但是，當時這些加密技術發明均在NSA嚴密監視的視野之內。NSA最初認為它們對國家安全構成威脅，並將其視為軍用技術。直到20世紀90年代末，NSA才放棄對這些非對稱加密技術的控制，RSA演算法、ECC演算法等非對稱加密技術最終得以走進公眾領域。
不過，中本聰並不信任NSA公布的加密技術，在比特幣系統中沒有使用RSA公鑰系統，原因除了ECC能夠提供比RSA更高級別的安全性能外，還擔心美國安全部門在RSA留有技術後門。2013年9月，斯諾登就曾爆料NSA採用秘密方法控制加密國際標准，比特幣採用的RSA可能留有後門，NSA能以不為人知的方法弱化這條曲線。所幸的是，中本聰神一般走位避開了RSA的陷阱,使用的加密技術不是NSA的標准，而是另一條鮮為人知的橢圓曲線，這條曲線並不在美國RSA的掌握之下。全世界只有極少數程序躲過了這一漏洞，比特幣便是其中之一。

8. 比特幣基礎教學之：怎樣保護你的私鑰

私鑰安全問題的重要性對比特幣玩家來說不言而喻。對於比特幣的重量級玩家或者比特幣商家而言，如何保護好私鑰更是需要仔細考慮和反復斟酌的。今天編者就和大家探討一下如何保護比特幣私鑰的問題。對於bitcoin-qt客戶端來說，比特幣私鑰一般儲存在客戶端的wallet.dat文件中。對於Blockchain這樣的在線錢包用戶來說，比特幣私鑰是儲存在在線錢包的網路伺服器上，用戶也可以將私鑰下載到本地。對於紙錢包的用戶來說，私鑰可以被列印出來。但是，怎樣保護私鑰的安全性呢？編者列出了幾種方法供大家參考。
用對稱加密的方法保管私鑰 對稱加密（Symmetric-key algorithm）是指加密和解密都用一個密鑰。我們平時用到的加密方法一般都是對稱加密，比如 winrar 中的加密，bitcoin-qt中對私鑰文件的加密也是用的對稱型加密演算法。常用的對稱加密演算法有：AES、DES、RC4、RC5等等。對稱加密需要用戶設置相對比較復雜的密鑰，以防止被暴力破解。Go to top方法一，用bitcoin-qt對私鑰錢包進行加密。我們在命令模式下可以用encryptwallet命令來對錢包進行加密。命令模式的使用方法可以參見比特幣基礎教學之：怎樣使用紙錢包私鑰。這是私鑰加密的最簡易有效的方法。但是在使用walletpassphrase命令進行解密錢包時，密鑰會被讀入計算機內存中，所以存在攻擊者獲取密鑰的可能性。加密命令： encryptwallet YOURPASSWORD解密錢包命令： walletpassphrase YOURPASSWORDTIMEOUT更改密碼命令： walletpassphrasechange OLDPASSWORDNEWPASSWORDGo to top方法二，使用blockchain提供的AES加密。Blockchain為用戶提供基於AES演算法的私鑰文件加密服務。用戶可以將加密好的文件下載下來，並妥善保存。
Go to top方法三，用第三方軟體Truecrypt對密鑰文件加密，這也是編者比較推薦的方法。Truecrypt開源免費，軟體成熟度很高，而且支持雙因素認證和整個硬碟加密。另外，FBI人員在Truecrypt上面吃過虧，因此口碑很不錯。Truecrypt的口碑FBI hackers fail to crack TrueCrypt The FBI has admitted defeat in attempts to break the open source encryption used to secure hard drives seized by Brazilian police ring a 2008 investigation.
The Bureau had been called in by the Brazilian authorities after the country』s own National Institute of Criminology (INC) had been unable to crack the passphrases used to secure the drives by suspect banker, Daniel Dantas.Brazilian reports state that two programs were used to encrypt the drives, one of which was the popular and widely-used free open source program TrueCrypt. Experts in both countries apparently spent months trying to discover the passphrases using a dictionary attack, a technique that involves trying out large numbers of possible character combinations until the correct sequence is found.
完整文章點擊這里Truecrypt只支持對稱加密演算法。使用它的用戶必須要將密鑰牢記，如果你忘記密鑰，那麼沒有人能夠恢復你加密的文件。
Truecrypt官方網站Truecrypt使用文檔 用非對稱加密的方法保管私鑰 非對稱加密方法所採用公鑰和私鑰的形式來對文件進行加密。用戶可以用公鑰來對文件進行加密，用私鑰對文件解密。常見的非對稱加密演算法有RSA、Elgamal、ECC等等。非對稱加密的好處是密鑰的復雜度一般很高，可以很有效的防止被暴力破解。缺點是有一定的使用門檻，不太適合普通級用戶。Go to top 方法一、個人用戶可以考慮使用RSA來進行加密。首先,可以創建公鑰和私鑰，點擊這里生成密鑰。將公鑰私鑰妥善保管後，便可以用公鑰加密和私鑰解密了，點擊這里進行加密和解密。RSA公鑰和私鑰的產生過程RSA公鑰和私鑰的產生過程隨意選擇兩個大的素數p和q，p不等於q，計算N=pq。根據歐拉函數，求得r= φ(N) = φ(p)φ(q) = (p-1)(q-1)選擇一個小於r的整數e，求得e關於模r的模反元素，命名為d。（模反元素存在，當且僅當e與r互質）將p和q的記錄銷毀。(N,e)是公鑰，(N,d)是私鑰。Go to top方法二、比較成熟的非對稱加密軟體有我們可以採用PGP（Pretty Good Privacy）工具來對文件進行加密。PGP加密可以讓每個公鑰邦定到一個用戶的所有信息。相比RSA來講，PGP的功能更加完善可靠。但是隨著PGP的升級，新的加密消息有可能不被舊的PGP系統解密，所以用戶在使用PGP之前應該首先熟悉PGP的設置。PGP加密工具網上有很多，編者就不列舉了。
wiki中關於PGP的介紹PGP在線加解密系統PGP命令FAQ 高級方法保管私鑰 上述保管私鑰的方式都很常見，有經驗的攻擊者依然可能得到用戶的私鑰文件。關於更加高級隱秘的私鑰保管方式，參見以後的比特幣高級教學內容。

9. 比特幣是數字貨幣還是區塊鏈

數字貨幣。比特幣的系統是基於P2P通訊網路、非對稱加密演算法、分布式資料庫以及以巨大算力作為運轉成本的工作量證明共識機制，能夠在全球范圍內機進行安全可靠的、點對點的、極低成本的即時傳輸，使其具備了支付工具屬性。

10. 比特幣源碼研讀一:橢圓曲線在比特幣密碼中的加密原理

參加比特幣源碼研讀班後首次寫作，看到前輩black寫的有關密鑰，地址寫的很好了，就選了他沒有寫的橢圓曲線，斗膽寫這一篇。

在密碼學上有兩種加密方式，分別是對稱密鑰加密和非對稱密鑰加密。

對稱加密：加密和解密使用的同樣的密鑰。

非對稱加密：加密和解密是使用的不同的密鑰。

二戰中圖靈破解德軍的恩尼格碼應該就是用的對稱加密，因為他的加密和解密是同一個密鑰。比特幣的加密是非對稱加密，而且用的是破解難度較大的橢圓曲線加密，簡稱ECC。

非對稱加密的通用原理就是用一個難以解決的數學難題做到加密效果，比如RSA加密演算法。RSA加密演算法是用求解一個極大整數的因數的難題做到加密效果的。就是說兩個極大數相乘，得到乘積很容易，但是反過來算數一個極大整數是由哪兩個數乘積算出來的就非常困難。

下面簡要介紹一下橢圓曲線加密演算法ECC。

首先橢圓曲線的通式是這個樣子的：

一般簡化為這個樣子：

()發公式必須吐槽一下，太麻煩了。)

其中

這樣做就排除了帶有奇點的橢圓曲線，可以理解為所有的點都有一條切線。

圖像有幾種，下面列舉幾個：[1]

橢圓曲線其實跟橢圓關系不大，也不像圓錐曲線那樣，是有圓錐的物理模型為基礎的。在計算橢圓曲線的周長時，需要用到橢圓積分，而橢圓曲線的簡化通式：

，周長公式在變換後有一項是這樣的：，平方之後兩者基本一樣。

我們大體了解了橢圓曲線，就會有一個疑問，這個東西怎麼加密的呢？也就是說橢圓曲線是基於怎樣的數學難題呢？在此之前還得了解一些最少必要知識：橢圓曲線加法，離散型橢圓曲線。

橢圓曲線加法

數學家門從普通的代數運算中，抽象出了加群（也叫阿貝爾群或交換群），使得在加群中，實數的演算法和橢圓曲線的演算法得到統一。

數學中的「群」是一個由我們定義了一種二元運算的集合，二元運算我們稱之為「加法」，並用符號「+」來表示。為了讓一個集合G成為群，必須定義加法運算並使之具有以下四個特性：

1. 封閉性：如果a和b是集合G中的元素，那麼（a + b)也是集合G中的元素。

2. 結合律：(a + b) + c = a + (b + c);

3. 存在單位元0，使得a + 0 = 0 + a =a;

4. 每個元素都有逆元，即：對於任意a，存在b，使得a + b = 0.

如果我們增加第5個條件：

5. 交換律： a + b = b + a

那麼，稱這個群為阿貝爾群。[1]

運演算法則：任意取橢圓曲線上兩點P、Q （若P、Q兩點重合，則做P點的切線）做直線交於橢圓曲線的另一點R』，過R』做y軸的平行線交於R。我們規定P+Q=R。（如圖）[2]

特別的，當P和Q重合時，P+Q=P+P=2P，對於共線的三點，P，Q，R』有P+Q+R』=0∞.

這里的0∞不是實數意義的0，而是指的無窮遠點(這里的無窮遠點就不細說了，你可以理解為這個點非常遙遠，遙遠到兩條平行線都在這一點相交了。具體介紹可以看參考文獻[2])。

注意這里的R與R』之間的區別，P+Q=R，R並沒有與P，Q共線，是R』與P，Q共線，不要搞錯了。

法則詳解：

這里的+不是實數中普通的加法，而是從普通加法中抽象出來的加法，他具備普通加法的一些性質，但具體的運演算法則顯然與普通加法不同。

根據這個法則，可以知道橢圓曲線無窮遠點O∞與橢圓曲線上一點P的連線交於P』，過P』作y軸的平行線交於P，所以有無窮遠點 O∞+ P = P 。這樣，無窮遠點 O∞的作用與普通加法中零的作用相當（0+2=2），我們把無窮遠點 O∞ 稱為零元。同時我們把P』稱為P的負元（簡稱，負P；記作，-P）。（參見下圖）

離散型橢圓曲線

上面給出的很好看的橢圓曲線是在實數域上的連續曲線，這個是不能用來加密的，原因我沒有細究，但一定是連續曲線上的運算太簡單。真正用於加密的橢圓曲線是離散型的。要想有一個離散型的橢圓曲線，先得有一個有限域。

域：在抽象代數中，域（Field）之一種可進行加、減、乘、除運算的代數結構。它是從普通實數的運算中抽像出來的。這一點與阿貝爾群很類似。只不過多了乘法，和與乘法相關的分配率。

域有如下性質[3]：

1.在加法和乘法上封閉，即域里的兩個數相加或相乘的結果也在這個域中。

2.加法和乘法符合結合律，交換率，分配率。

3.存在加法單位，也可以叫做零元。即存在元素0，對於有限域內所有的元素a，有a+0=a。

4.存在乘法單位，也可以叫做單位元。即存在元素1，對於有限域內所有的元素a，有1*a=a。

5.存在加法逆元，即對於有限域中所有的元素a，都存在a+(-a)=0.

6.存在乘法逆元，即對於有限域中所有的元素a，都存在a*=0.

在掌握了這些知識後，我們將橢圓曲線離散化。我們給出一個有限域Fp，這個域只有有限個元素。Fp中只有p(p為素數)個元素0,1,2 …… p-2,p-1；

Fp 的加法（a+b）法則是 a+b≡c (mod p)；它的意思是同餘，即（a+b）÷p的余數與c÷p的余數相同。

Fp 的乘法(a×b)法則是 a×b≡c (mod p)；

Fp 的除法(a÷b)法則是 a/b≡c (mod p)；即 a×b∧-1≡c (mod p)；（也是一個0到p-1之間的整數，但滿足b×b∧-1≡1 (mod p)；

Fp 的單位元是1，零元是 0（這里的0就不是無窮遠點了，而是真正的實數0）。

下面我們就試著把

這條曲線定義在Fp上：

選擇兩個滿足下列條件的小於p(p為素數)的非負整數a、b，且a，b滿足

則滿足下列方程的所有點(x,y)，再加上無窮遠點O∞ ，構成一條橢圓曲線。

其中 x,y屬於0到p-1間的整數，並將這條橢圓曲線記為Ep(a,b)。

圖是我手畫的，大家湊合看哈。不得不說，p取7時，別看只有10個點，但計算量還是很大的。

Fp上的橢圓曲線同樣有加法，法則如下：

        1. 無窮遠點 O∞是零元，有O∞+ O∞= O∞，O∞+P=P

        2. P(x,y)的負元是 (x,-y)，有P+(-P)= O∞

3. P(x1,y1),Q(x2,y2)的和R(x3,y3) 有如下關系：

x3≡-x1-x2(mod p)

y3≡k(x1-x3)-y1(mod p)

其中若P=Q 則 k=(3+a)/2y1 若P≠Q，則k=(y2-y1)/(x2-x1)

通過這些法則，就可以進行離散型橢圓曲線的計算。

例：根據我畫的圖，（1，1）中的點P（2，4），求2P。

解：把點帶入公式k=(3*x∧2+a)/2y1

有（3*2∧2+1）/2*4=6（mod 7）.

(注意，有些小夥伴可能算出13/8,這是不對的，這里是模數算數，就像鍾表一樣，過了12點又回到1點，所以在模為7的世界裡，13=6，8=1).

x=6*6-2-2=4（mod 7）

y=6*（2-4）-4=2 （mod 7）

所以2P的坐標為（2，4）

那橢圓曲線上有什麼難題呢？在模數足夠大的情況下，上面這個計算過程的逆運算就足夠難。

給出如下等式：

K=kG （其中 K,G為Ep(a,b)上的點，k為小於n（n是點G的階）的整數）不難發現，給定k和G，根據加法法則，計算K很容易；但給定K和G，求k就相對困難了。

這就是橢圓曲線加密演算法採用的難題。我們把點G稱為基點（base point），k稱為私鑰，K稱為公鑰。

現在我們描述一個利用橢圓曲線進行加密通信的過程[2]：

1、用戶A選定一條橢圓曲線Ep(a,b)，並取橢圓曲線上一點，作為基點G。

2、用戶A選擇一個私鑰k，並生成公鑰K=kG。

3、用戶A將Ep(a,b)和點K，G傳給用戶B。

4、用戶B接到信息後 ，將待傳輸的明文編碼到Ep(a,b)上一點M（編碼方法很多，這里不作討論），並產生一個隨機整數r（r<n）。

5、用戶B計算點C1=M+rK；C2=rG。

6、用戶B將C1、C2傳給用戶A。

7、用戶A接到信息後，計算C1-kC2，結果就是點M。因為

C1-kC2=M+rK-k(rG)=M+rK-r(kG)=M

再對點M進行解碼就可以得到明文。

整個過程如下圖所示：

密碼學中，描述一條Fp上的橢圓曲線，常用到六個參量：

T=(p,a,b,G,n,h)，p 、a 、b 用來確定一條橢圓曲線，G為基點，n為點G的階，h 是橢圓曲線上所有點的個數m與n相除的整數部分

這幾個參量取值的選擇，直接影響了加密的安全性。參量值一般要求滿足以下幾個條件：

1、p 當然越大越安全，但越大，計算速度會變慢，200位左右可以滿足一般安全要求；

2、p≠n×h；

3、pt≠1 (mod n)，1≤t<20；

4、4a3+27b2≠0 (mod p)；

5、n 為素數；

6、h≤4。

200位位的一個數字，那得多大？而且還是素數，所以這種方式是非常安全的。而且再一次交易中，區塊被記錄下來只有10分鍾的時間，也就是說要想解決這個難題必須在10分鍾以內。即便有技術能夠在10分鍾以內破解了現在這個難度的加密演算法，比特幣社區還可以予以反制，提高破解難度。所以比特幣交易很安全，除非自己丟掉密鑰，否則不存在被破解可能。

第一次寫一個完全陌生的數學領域的知識，也許我有錯誤的地方，也許有沒講明白的地方，留言討論吧。總之寫完後對比特比系統的安全性表示很放心。

參考文獻

[1] 橢圓曲線密碼學簡介

[2] 什麼是橢圓曲線加密（ECC）

[3] 域（數學）維基網路

區塊鏈研習社源碼研讀班 高若翔