密码学如何保证比特币系统的安全

比特币 DE 选择

本文将重点介绍ECC与区块链结合的重要应用——比特币，并讨论ECC在应用过程中需要注意的事项。

作为中本聪的“业余发明”，比特币在今天可以说是家喻户晓。只要你能连接到互联网，你几乎肯定听说过比特币。即使你对区块链应用程序或密码学完全不感兴趣，你也会从大量的报告中获得大量有关比特币的信息。

众所周知，比特币率先成功实施了区块链应用程序。到目前为止，比特币已经诞生了 10 多年。这个时间足以验证一个新事物的生命力。

如今，微信已成为我们人际关系的重要工具。从北京、上海、广州、深圳到十八线乡镇，很少有人不使用陌陌。一个令人难以置信的现实是，微信还不到 9 岁。如今，微信的强大，不在于强大的功能，也不在于众多的合作伙伴，而在于用户的力量。目前，超过10亿的中国人大部分是它的用户。

作为去中心化的代表，比特币的力量并不是各国政府掌握了国家的权利。事实上，各国政府对比特币的憎恨大于对比特币的喜爱；掌握算力、炒作、媒体的不是大咖。事实上，许多投机者在其中徘徊，风不向第一个；更何况是一些虚幻的自由主义信仰，他们也不相信圣光。谁会给你力量？比特币真正的胆量是密码学。

作为最知名的区块链产品和市场总量最高的加密货币，比特币主要使用两种加密算法来保证自身的安全性：ECDSA 和 SHA256 哈希算法。ECDSA 是一种基于 ECC 的数字签名算法比特币的安全性是如何保证的，主要用于生成随机密钥对（公钥和公钥），而 SHA256 用于实现工作量证明机制（PoW）并通过私钥估计地址。

下面我们简单分析一下密码学是如何保证比特币系统安全的：

俗话说，密码问题基本上都是物理问题，比特币系统也不例外。在比特币系统中，我们使用公钥来完成对比特币的控制，而私钥必须永远保密。一旦公钥泄露给第三方，就意味着对相应地址下的比特币失去控制。总之，认钥匙不认人。

这是比特币和建行账户的明显区别。银行账户主要用于识别人。如果密码丢失，可以通过提交有效的身份证明来找回密码，这在比特币系统中是不可行的。

在比特币系统中，私钥是由一条符合Secp256k1.ECDSA的标准椭圆曲线生成的（记住这条曲线的名字比特币的安全性是如何保证的，后面会讲到）。生成公钥后，由公钥生成对应的私钥，然后根据私钥进行SHA256哈希算法，生成比特币地址。请注意，整个过程在两个方向上都是不可逆的，这在密码学中称为陷门函数。

在进行比特币交易时，每笔交易都必须经过数字签名。数字签名就像是政府单位指令文件上的合格印章。只有掌握了公钥，才能进行数字签名。签名后，交易记录在链上，经过足够多的区块确认后，成为总比特币证书的一部分。这意味着该记录永久有效，不能再调用和更改。

综上所述，以ECC为代表的密码学可以说是比特币的基石，其重要性怎么强调都不为过。关于ECC，密钥对的创建方法、地址实现等过程都比较复杂，这里不再赘述。我期待你自己的研究。

带棱镜门的 SECP256K1

关于用于形成密钥对的Secp256k1曲线，还有一个有趣的轶事值得载入史册，因为它帮助比特币摆脱了历史性的暗箭。

前面我们提到，RSA等非对称加密算法的诞生，给各国情报机构的工作带来了极大的阻力。哪怕特工穷困潦倒，堕落黄泉，成果也十分丰硕，但各国情报机构却从未停止破解现有的加密手段。他们正在尝试各种形式来破解其他国家的加密文件。

以ECC为例，虽然功能强大，但并不完美。ECC有一个特点，就是需要通过椭圆曲线获取大量的随机数。选择一条安全的椭圆曲线进行加密并非易事。学术界已经提出了很多不同的椭圆曲线选择标准，但遗憾的是，虽然理论上可行，但现实表明，目前人们制定的通用标准还不足以充分保证 ECC 的安全性。因此，如何选择更好的曲线成为了安全相关问题表面上的困境之一。

为了攻陷ECC，来自世界各地的黑客和特工付出了巨大的努力。其实在密码学领域，你不知道背后隐藏着怎样的阴谋！此前，美国 RSA 公司开发了两种用于加密的椭圆曲线，SECP256r1 和 SECP256k1。前者在实际应用中应用广泛，后者在实际应用中不如后者，前者用于比特币系统的设计。

2013 年，发生了震惊世界的 Prism 丑闻。今年，前克格勃（CIA）工作人员爱德华·斯诺登将两份机密文件交给了美国《卫报》和英国《华盛顿邮报》。世界舆论哗然，棱镜之门从此打开。

棱镜计划（PRISM），代号为“US-984XN”，是美国国家安全局（NSA）和联邦调查局（FBI）自2007年布什时代开始实施的机密电子窃听计划，包括谷歌、雅虎！、谷歌、苹果等9家国际互联网巨头参与其中。

该计划的一个重要元素是 NSA 在 SECP256r1 曲线上放置侧门陷阱。这大大降低了代理破解 ECC 加密的难度。只要私钥暴露出来，就有一定的概率会被 NSA 猜到公钥。

总之，SECP256r1被否认为不安全的伪随机曲线，极有可能被英国情报人员破解。

幸运的是，比特币选择的椭圆曲线是 SECP256k1，没有添加侧门，直到今天仍然令人惊讶。在大家钦佩中本聪的密码学功底的同时，也有人一度怀疑中本聪是美国国家安全局的成员，或者曾为美国国家安全局工作过，但最终都没有真凭实据。

在北京大学软-微-八重协作实验室的学术沙龙活动中，我们对众多前沿的加密技术和论文进行了分析，从功能性和系统性的解决方案出发，结合新的实际场景进行深入研究。在对学术沙龙的分析中，发现ECC在申请中需要注意的地方有两个。

1. 在使用过程中如何扩展ECC的优势

例如，现在 ECC 的实现是串行的。如何并行实现ECC是ECC在实际应用中一个特别值得研究的方向。如果能在这个领域有所突破，无论是理论上还是实践上，都将是一件特别引人注目的事情。或者，通过软件和硬件的结合来提高安全性。例如，已经有项目通过 SGX 和区块链的结合实现了安全高效的解决方案。

2. 如何选择更安全的曲线

目前的研究表明，曲线系数的选择必须满足判别式δ=4a3+27b2≠0，这是曲线选择的必要条件。此外，除了Prism Gate曝光的SECP256r1曲线已被证明是伪随机数曲线外，异常曲线和超奇特曲线早已被证明是不安全曲线，必须杜绝使用。

值得一提的是，未来的学术沙龙将讨论椭圆曲线的工程优化、数字签名的加速方法、多方安全估计要求、零知识证明要求等主题。

此外，我们知道，区块链项目在近几年取得快速发展的同时，也遭受了来自外界的各种攻击。比特币和以太坊等头部项目是各种黑客的优先目标。已经有很多论文对比特币和以太坊的攻击方式和漏洞进行了分析和复现，八权重对此类攻击的抵抗能力如何？如果未来微软实验室能够通过实际测试确认八种成分的功效，那么实验结果不仅对八种成分本身的开发大有裨益，也为以后的论文积累宝贵的经验财富。