比特幣白皮書密碼學章節學術分析：從原始論文數學推導到比特幣實際實現的完整對照

概述

中本聰於 2008 年 10 月 31 日發表的比特幣白皮書是密碼學和分散式系統設計的里程碑文件。白皮書的第 3-6 章節詳細闡述了比特幣的密碼學基礎設施，包括密碼學哈希函數、橢圓曲線數位簽章演算法（ECDSA）、Merkle 樹，以及時間戳伺服器的工作機制。

本文將對比特幣白皮書的密碼學章節進行系統性的學術分析，提供原始論文的數學推導逐步解說，並對照比特幣實際實現與理論基礎之間的差異。我們假設讀者已具備離散數學、抽象代數和基礎密碼學的知識背景。

密碼學哈希函數的理論基礎

密碼學哈希函數的數學定義

比特幣白皮書在第 3 章節中引入了密碼學哈希函數的概念。從數學角度，我們可以給出密碼學哈希函數的正式定義：

定義 1（密碼學哈希函數）

一個函數 $H: \{0,1\}^* \rightarrow \{0,1\}^n$ 被稱為密碼學哈希函數，如果它滿足以下性質：

1. 確定性：對於任意輸入 $x$，$H(x)$ 的計算結果總是相同的。

1. 原像抗性（Preimage Resistance）：對於給定的輸出 $y$，找到任意滿足 $H(x) = y$ 的輸入 $x$ 在計算上是不可行的。

1. 第二原像抗性（Second Preimage Resistance）：對於給定的輸入 $x1$，找到任意滿足 $x1 \neq x2$ 且 $H(x1) = H(x2)$ 的輸入 $x2$ 在計算上是不可行的。

1. 碰撞抗性（Collision Resistance）：找到任意滿足 $x1 \neq x2$ 且 $H(x1) = H(x2)$ 的輸入對 $(x1, x2)$ 在計算上是不可行的。

1. 雪崩效應（Avalanche Effect）：輸入的微小變化（即使是單一位元翻轉）應該導致輸出的顯著變化，通常期望約 50% 的輸出位元發生變化。

SHA-256 的數學結構

比特幣使用的 SHA-256 是 SHA-2（Secure Hash Algorithm 2）家族成員之一。其數學結構可以分解為以下幾個部分：

初始化常量

SHA-256 使用一組初始化常量（Magic Numbers）：

$$K0, K1, ..., K_{63}$$

這些常量的計算方式為：

$$K_i = \lfloor 2^{32} \times 2^{1/2} \times (i+1) \rfloor$$

初始哈希值

$$H_0^{(0)} = \text{[6a09e667, bb67ae85, 3c6ef372, a54ff53a, 510e527f, 9b05688c, 1f83d9ab, 5be0cd19]}$$

這些值的來源同樣是立方根的整數部分。

消息擴展

對於長度為 $l$ 位元的消息 $m$，SHA-256 首先進行以下處理：

1. 添加填充位元：附加一個 '1' 位元，後跟若干 '0' 位元，直到消息長度 ≡ 448 (mod 512)

1. 添加長度表示：附加 64 位元的消息長度表示（big-endian）

1. 消息擴展：將處理後的消息分割成 512 位元的區塊 $m0, m1, ..., m_{L-1}$，每個區塊擴展為 64 個 32 位元字

消息擴展的數學表達：

$$Wt = \begin{cases} Mt^{(i)} & 0 \leq t \leq 15 \\ \sigma1(W{t-2}) + W{t-7} + \sigma0(W{t-15}) + W{t-16} & 16 \leq t \leq 63 \end{cases}$$

其中：

$$\sigma_0(x) = ROTR^7(x) + ROTR^{18}(x) + SHR^3(x)$$

$$\sigma_1(x) = ROTR^{17}(x) + ROTR^{19}(x) + SHR^{10}(x)$$

壓縮函數

SHA-256 的核心是 64 輪迭代的壓縮函數：

For t = 0 to 63:
    T1 = h + Σ₁(e) + Ch(e, f, g) + Kt + Wt
    T2 = Σ₀(a) + Maj(a, b, c)
    h = g
    g = f
    f = e
    e = d + T1
    d = c
    c = b
    b = a
    a = T1 + T2

其中：

• $Ch(x, y, z) = (x \land y) \oplus (\lnot x \land z)$（選擇函數）
• $Maj(x, y, z) = (x \land y) \oplus (x \land z) \oplus (y \land z)$（多數函數）
• $\Sigma_0(x) = ROTR^2(x) \oplus ROTR^{13}(x) \oplus ROTR^{22}(x)$
• $\Sigma_1(x) = ROTR^6(x) \oplus ROTR^{11}(x) \oplus ROTR^{25}(x)$

白皮書中的哈希函數描述與比特幣實現的對照

比特幣白皮書第 3 章節中對哈希函數的描述較為簡略，主要強調了兩個關鍵特性：

1. 計算任意區塊或交易的哈希值是快速的
2. 根據哈希值計算原始輸入是不可行的

比特幣的實際實現選擇 SHA-256 作為主要哈希演算法，理由如下：

比特幣同時使用 SHA-256 的雙重哈希（即 SHA-256(SHA-256(x))），稱為 hash256，主要用於地址生成和交易哈希計算。

橢圓曲線數位簽章演算法（ECDSA）的數學推導

橢圓曲線密碼學的數學基礎

比特幣白皮書第 4 章節描述了橢圓曲線數位簽章演算法（ECDSA）在比特幣中的應用。讓我們從數學角度深入分析其理論基礎。

定義 2（橢圓曲線）

對於質數 $p$（$p > 3$），定義在有限域 $\mathbb{F}_p$ 上的橢圓曲線為：

$$E: y^2 = x^3 + ax + b \pmod{p}$$

其中係數 $a, b \in \mathbb{F}_p$ 滿足 $4a^3 + 27b^2 \neq 0 \pmod{p}$（確保曲線非奇異）。

比特幣使用的 secp256k1 曲線參數：

$$a = 0, \quad b = 7$$

$$p = 2^{256} - 2^{32} - 2^9 - 2^8 - 2^7 - 2^6 - 2^4 - 1 = \text{FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F}$$

定義 3（橢圓曲線上的群運算）

設 $P, Q \in E(\mathbb{F}_p)$，則加法運算 $P + Q = R$ 定義如下：

1. 加法法則（$P \neq Q$）：

• 連接 $P$ 和 $Q$ 的直線與曲線交於第三點 $R'$
• $R = -R'$（關於 x 軸反射）

數學表達：

$$\lambda = \frac{yQ - yP}{xQ - xP} \pmod{p}$$

$$xR = \lambda^2 - xP - x_Q \pmod{p}$$

$$yR = \lambda(xP - xR) - yP \pmod{p}$$

1. 倍點法則（$P = Q$）：

• 計算曲線在 $P$ 點的切線

數學表達：

$$\lambda = \frac{3xP^2 + a}{2yP} \pmod{p}$$

$$xR = \lambda^2 - 2xP \pmod{p}$$

$$yR = \lambda(xP - xR) - yP \pmod{p}$$

定理 1（橢圓曲線群結構）

定義在有限域 $\mathbb{F}p$ 上的橢圓曲線 $E$ 上的有理點集合 $E(\mathbb{F}p)$ 構成一個阿貝爾群，單位元為無窮遠點 $\mathcal{O}$。

ECDSA 簽章演算法的數學推導

金鑰生成

1. 選擇一個密碼學安全的隨機數 $k \in [1, n-1]$，其中 $n$ 是基點的階

1. 計算公鑰：

$$Q = k \cdot G$$

其中 $G$ 是橢圓曲線的生成元（基點），"." 表示群運算

secp256k1 的群參數：

$$G_x = \text{79BE667E F9DCBBAC 55A06295 CE870B07 029BFCDB 2DCE28D9 59F2815B 16F81798}$$

$$G_y = \text{483ADA77 26A3C465 5DA4FBFC 0E1108A8 FD17B448 A6855419 9C47D08F FB10D4B8}$$

$$n = \text{FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE BAAEDCE6 AF48A03B BFD25E8C D0364141}$$

簽章生成

給定消息 $m$ 和私鑰 $d$，簽章生成過程：

1. 計算消息哈希：

$$e = \text{HASH}(m)$$

將 $e$ 轉換為整數（取左側 $n$ 位元）

1. 選擇臨時密鑰：

$$k \stackrel{R}{\leftarrow} [1, n-1]$$

1. 計算曲線點：

$$(x1, y1) = k \cdot G$$

1. 計算 $r$：

$$r = x_1 \mod n$$

如果 $r = 0$，返回步驟 2

1. 計算 $s$：

$$s = k^{-1}(e + d \cdot r) \mod n$$

其中 $k^{-1}$ 是 $k$ 在模 $n$ 下的乘法逆元

如果 $s = 0$，返回步驟 2

簽章結果為 $(r, s)$ 對。

簽章驗證

給定消息 $m$、簽章 $(r, s)$ 和公鑰 $Q$，驗證過程：

1. 驗證 $r, s \in [1, n-1]$

1. 計算消息哈希 $e = \text{HASH}(m)$

1. 計算 $w = s^{-1} \mod n$

1. 計算：

$$u_1 = e \cdot w \mod n$$

$$u_2 = r \cdot w \mod n$$

1. 計算：

$$P = u1 \cdot G + u2 \cdot Q$$

1. 驗證：

$$r \equiv x_P \mod n$$

其中 $x_P$ 是點 $P$ 的 x 座標

驗證的數學正確性證明

我們需要證明：如果簽章 $(r, s)$ 是由私鑰 $d$ 正確生成的，則上述驗證過程必然成功。

從簽章生成過程可知：

$$s = k^{-1}(e + d \cdot r) \mod n$$

重排可得：

$$k = s^{-1}(e + d \cdot r) \mod n = u1 + u2 \cdot d \mod n$$

其中 $u1 = e \cdot s^{-1} \mod n$ 和 $u2 = r \cdot s^{-1} \mod n$

計算 $P$：

$$P = u1 \cdot G + u2 \cdot Q = u1 \cdot G + u2 \cdot (d \cdot G) = (u1 + u2 \cdot d) \cdot G = k \cdot G$$

因此 $P$ 的 x 座標滿足：

$$r \equiv x{k \cdot G} \equiv xP \mod n$$

驗證成功。

白皮書描述與比特幣實現的差異

比特幣白皮書第 4 章節對 ECDSA 的描述主要聚焦於其數位簽章功能，而比特幣的實際實現有若干重要細節：

比特幣地址生成流程

比特幣地址的生成涉及多個密碼學步驟：

1. 生成隨機私鑰 d
   d ∈ [1, n-1]

2. 生成公鑰 Q = d·G
   Q = (x, y)

3. SHA-256 哈希公鑰
   hash1 = SHA-256(Q)

4. RIPEMD-160 哈希
   hash2 = RIPEMD-160(hash1)

5. 添加版本位元組
   versioned_hash = 0x00 || hash2

6. 雙重 SHA-256 校驗和
   checksum = SHA-256(SHA-256(versioned_hash))[0:4]

7. Base58Check 編碼
   address = Base58Check(versioned_hash || checksum)

Merkle 樹的數學結構

Merkle 樹的定義與性質

比特幣白皮書第 5 章節介紹了 Merkle 樹在比特幣區塊頭中的應用。

定義 4（Merkle 樹）

對於葉節點為數據區塊 $D1, D2, ..., D_n$ 的二叉樹，其 Merkle 樹按以下方式構建：

• 每一個內部節點的值是其兩個子節點拼接後的哈希值
• 根節點（Merkle Root）是整棵樹的最終哈希值

數學表達：

$$H{i,j} = \text{HASH}(H{i-1,2j} \parallel H_{i-1,2j+1})$$

其中 $H{0,k} = \text{HASH}(Dk)$，$\parallel$ 表示拼接運算。

Merkle 樹在比特幣中的應用

比特幣區塊頭中的 Merkle Root 是該區塊所有交易哈希的根節點：

交易列表：
T1, T2, T3, T4, T5, T6, T7

第一層哈希：
H1 = hash(T1), H2 = hash(T2), ..., H7 = hash(T7)

構建 Merkle 樹：
          Merkle Root
         /          \
      H(1,2)      H(3,4)
     /    \        /    \
   H1     H2     H3     H4
            \    /          \
           H(5,6)          H7
           /    \
         H5     H6

奇數節點處理

當交易數量為奇數時，最後一個交易會被複製：

若 n = 5：
H1, H2, H3, H4, H5

第一層配對：
(H1, H2), (H3, H4), (H5, H5)  # H5 複製

第二層：
H(1,2) = hash(H1 || H2)
H(3,4) = hash(H3 || H4)
H(5,5) = hash(H5 || H5)  # 複製節點

第三層：
Merkle Root = hash(H(1,2) || H(3,4))

白皮書與實現的對照

時間戳伺服器的形式化分析

白皮書的時間戳伺服器描述

比特幣白皮書第 2 章節將比特幣系統描述為一個時間戳伺服器：

「時間戳伺服器的工作方式是對一批數據進行哈希計算，並公佈該哈希值，類似於在報紙或 Usenet 帖子中發布。」

這裡的「一批數據」在比特幣中就是區塊頭，包含：

• 版本號
• 前一區塊哈希
• Merkle Root
• 時間戳
• 難度目標
• Nonce

時間戳伺服器的安全性分析

定義 5（時間戳的安全性要求）

一個時間戳伺服器如果滿足以下條件，則被認為是安全的：

1. 不可偽造性：攻擊者不能為任意數據生成一個有效的時間戳

1. 不可篡改性：一旦數據被時間戳標記，攻擊者不能在不改變當前時間戳的情況下修改數據

1. 順序保證：時間戳必須反映數據的實際提交順序

比特幣的時間戳伺服器通過以下機制滿足這些要求：

不可偽造性證明

給定區塊頭 $B$ 包含前一區塊哈希 $H_{prev}$ 和 Merkle Root $M$：

$$B = \text{header}(version, H_{prev}, M, time, bits, nonce)$$

攻擊者要偽造區塊 $B$ 需要：

1. 找到滿足難度目標的 nonce 值：

$$\text{SHA-256}(B) \leq target$$

1. 同時更新所有後續區塊（區塊鏈重組）

由於工作量證明（PoW）的計算困難性，偽造區塊在計算上是不可行的。

工作量證明的數學形式化

定義 6（工作量證明）

對於哈希函數 $H$ 和難度目標 $T$，如果一個nonce值 $n$ 滿足：

$$H(block\_header(n)) \leq T$$

則稱 $n$ 為區塊的有效工作量證明。

難度調整機制

比特幣的難度目標每 2016 個區塊調整一次：

$$T{new} = T{old} \times \frac{\text{actual\_time}}{2016 \times 10\text{minutes}}$$

這確保了比特幣區塊的平均產出時間維持在約 10 分鐘。

從理論到實現：secp256k1 的實際部署

secp256k1 的選擇理由

比特幣選擇 secp256k1 曲線而非更常見的 secp256r1（NIST P-256）有若干考量：

secp256k1 實現的關鍵優化

比特幣的 secp256k1 實現（libsecp256k1）使用多項優化技術：

雅可比座標表示

為了加速點加法和倍點運算，使用雅可比座標表示：

$$P = (X : Y : Z), \quad (X, Y) = (X'/Z^2, Y'/Z^3)$$

在雅可比座標下：

• 點加法（$P \neq Q$）僅需 8 個乘法
• 點倍點僅需 4 個乘法

相比仿射座標的 12 和 8 個乘法有顯著改進。

窗口 NAF 標量乘法

使用非相鄰形式（NAF）表示標量：

$$k = \sum{i=0}^{m-1} ki 2^i, \quad k_i \in \{-1, 0, 1\}$$

預計算窗口方法進一步減少乘法次數。

白皮書理論與比特幣實現的完整對照表

密碼學假設的安全性分析

比特幣依賴的密碼學假設

比特幣的安全性基於以下密碼學假設：

假設 1（哈希抗碰撞）

SHA-256 是碰撞抗性的，即找到任意 $x1 \neq x2$ 使得 $\text{SHA-256}(x1) = \text{SHA-256}(x2)$ 在計算上是不可行的。

假設 2（橢圓曲線離散對數困難性）

给定橢圓曲線點 $P$ 和 $Q = k \cdot P$，計算 $k$ 在計算上是不可行的。

假設 3（計算隨機性）

哈希函數的輸出在半空間內均勻分佈。

這些假設的強度比較

量子計算威脅

Shor 演算法對 ECDSA 的威脅

量子計算機上的 Shor 演算法可以在多項式時間內解決橢圓曲線離散對數問題：

$$O((\log n)^3)$$

這將使比特幣的 ECDSA 簽章方案完全失效。

Grover 演算法對 SHA-256 的影響

Grover 演算法可以將暴力搜索的複雜度從 $O(N)$ 降低到 $O(\sqrt{N})$：

• 對 SHA-256 原像攻擊：從 $2^{256}$ 降至 $2^{128}$
• 對 SHA-256 碰撞攻擊：從 $2^{128}$ 降至 $2^{85}$

這意味著在量子威脅下，比特幣需要遷移到更強的哈希函數（如 SHA-512/256）。

結論與學術價值

比特幣白皮書展示了一種創新性的密碼學和分散式系統設計整合。從密碼學角度分析，我們可以得出以下結論：

白皮書的學術貢獻

1. 密碼學原語的創新整合：將哈希函數、數位簽章、Merkle 樹和工作量證明整合為一個協調的系統

1. 激勵機制的密碼學設計：將經濟激勵與密碼學安全相結合

1. 形式化安全性論證的示範：雖然不夠嚴格，但提供了安全性論證的基本框架

理論與實踐的橋樑

比特幣白皮書的密碼學章節為後續研究提供了重要的理論基礎和實踐參考：

• Schnorr 簽名替代 ECDSA 的提案（BIP-340）正是在此基礎上的演進
• Taproot 升級整合了白皮書中未提及的梅爾蒂承諾（Merkle Branch）和 Schnorr 簽名
• BitVM 等新型智慧合約協議的設計可以追溯到白皮書的基本原理

未來研究方向

1. 後量子密碼學遷移：在量子威脅下保持比特幣安全性的理論框架

1. 零知識證明整合：將 zk-SNARKs、zk-STARKs 等零知識證明技術與比特幣整合

1. 形式化驗證：使用 Coq、Isabelle 等工具對比特幣共識協議進行嚴格的數學證明

比特幣白皮書的密碼學設計至今仍是分散式系統安全的基石，其影響將持續在密碼學研究和實踐中顯現。

COMMIT: Add Bitcoin whitepaper cryptographic chapters academic analysis