比特幣密碼學原始論文與 NIST、Diffie-Hellman 深度分析：從密碼學理論到 secp256k1 的數學基石

摘要

比特幣的安全性建立在橢圓曲線密碼學（Elliptic Curve Cryptography, ECC）的堅實數學基礎之上。理解比特幣密碼學不能僅僅停留於「使用私鑰簽名」的操作層面，必須深入探究其理論根源——從 Diffie-Hellman 密鑰交換協議的誕生、NIST 標準曲線的選定，到比特幣採用的 secp256k1 曲線之獨特數學特性。本文將從密碼學原始論文出發，系統性地追溯 secp256k1 的理論譜系，證明其離散對數問題（ECDLP）的計算硬度，並分析其在後量子時代的安全性前景。

一、密碼學的範式轉移：從 RSA 到橢圓曲線

1.0 HashCash：比特幣工作量證明的祖師爺

在聊比特幣密碼學之前，有個名字不得不提——Adam Back 的 HashCash。1997 年，Back 發明了 HashCash，這是一套用於對抗垃圾郵件的系統，核心機制就是「工作量證明」（Proof of Work）。

HashCash 的數學原理很巧妙：給定一個字符串 $m$，你需要找到一個隨機數 $nonce$，使得：

$$H(m || nonce) < 2^{-k} \cdot 2^{256}$$

其中 $H$ 是 SHA-1 哈希函數，$k$ 是難度參數。

這意味著你需要平均嘗試 $2^k$ 次哈希運算才能找到合格的 $nonce$。發送郵件的時候，你必須同時附上這個 $nonce$。正常用戶發幾封郵件無所謂，但垃圾郵件發送者要發送成千上萬封郵件，工作量證明就變成了不可承受之重。

中本聰在比特幣白皮書中明確引用了 HashCash：「比特幣採用了類似 HashCash 的工作量證明機制，」他寫道。這個設計選擇意義深遠——比特幣將工作量證明從「抵禦垃圾郵件」的小眾工具，昇華成了「抵禦雙重支付攻擊」的核心機制。

1.1 Diffie-Hellman 協議的歷史意義

1976 年，Whitfield Diffie 與 Martin Hellman 在其開創性論文《New Directions in Cryptography》中首次提出了非對稱密碼學的概念框架。這篇論文解決了一個根本問題：如何在不安全通道上建立共享秘密。

傳統對稱密碼學面臨「密鑰分發問題」——通訊雙方需要預先共享一個秘密密鑰，但在網路環境中安全分發密鑰本身就是一個難題。Diffie-Hellman 協議的創新在於利用數學單向函數的特性，讓雙方可以在公開通道上協商出一個共享秘密，而攻擊者即便監聽全部通訊也無法推導出這個秘密。

Diffie-Hellman 協議的數學基礎建立在有限域上的離散對數問題（Discrete Logarithm Problem, DLP）之上。協議選擇一個大質數 p 和其原根 g，雙方各自選擇私密指數 a 和 b，交換 g^a mod p 和 g^b mod p，最終雙方都能計算出共享秘密 g^(ab) mod p。攻擊者面臨的問題是：已知 g^a mod p 和 g^b mod p，如何計算 g^(ab) mod p？這被稱為 Diffie-Hellman 問題（DHP），它與離散對數問題（DLP）在計算上等價。

嚴格的數學推導：

設有限域 $\mathbb{F}p^$ 的乘法群為階 $p-1$ 的循環群。選擇原根 $g \in \mathbb{F}p^$，則：

$$g^a \mod p \in \mathbb{F}_p^*$$

$$g^b \mod p \in \mathbb{F}_p^*$$

雙方計算共享秘密：

$$K = (g^a)^{b} \mod p = (g^b)^{a} \mod p = g^{ab} \mod p$$

攻擊者已知 $g^a \mod p$ 和 $g^b \mod p$，需要計算 $g^{ab} \mod p$。若能解決 DLP（計算 $a$ 或 $b$），則可解決 DHP。但 DHP 是否比 DLP 更簡單？這是密碼學中著名的開放問題——大多數專家認為兩者難度相當，但尚未得到證明。

比特幣對 Diffie-Hellman 的取捨：

比特幣的 ECDSA 簽名機制實際上是 Diffie-Hellman 思想的變體。在 ECDSA 中：

$$s = k^{-1}(z + r \cdot d) \mod n$$

這裡的 $r$ 是公鑰計算過程中的隨機投影，$k$ 是臨時私鑰，$d$ 是長期私鑰。簽名過程可以看作是雙方（簽名者和驗證者）在橢圓曲線群上執行某種「Diffie-Hellman 協議」，只不過目標不是建立共享密鑰，而是證明私鑰的所有權。

中本聰選擇 ECDSA 而非純 Diffie-Hellman 密鑰交換，有幾個考量：

1. 比特幣需要「不可否認的簽名」——交易一旦廣播，發送者無法否認
2. ECDSA 的簽名長度固定，適合區塊鏈存儲
3. 2009 年的密碼學庫對 ECDSA 支持更好

1.2 RSA：非對稱密碼學的工業標準

1977 年，Ron Rivest、Adi Shamir 和 Leonard Adleman 提出了 RSA 演算法，這是人類歷史上第一個完整的公鑰密碼系統。RSA 的安全性建立在整數分解問題的困難性上：給定兩個大質數的乘積 N，計算其質因數分解在計算上是不可行的。

RSA 的加密和簽名過程簡潔優雅：

• 加密：c = m^e mod N，其中 (e, N) 為公鑰
• 解密：m = c^d mod N，其中 d 為私鑰，ed ≡ 1 (mod φ(N))
• 簽名：s = m^d mod N
• 驗證：m = s^e mod N

在比特幣出現之前，RSA 是主導的公鑰密碼系統。然而，RSA 的密鑰長度需求隨著計算能力的提升而不斷增長。為了達到 128 位元的安全等級，RSA 需要至少 3072 位元的模數 N，而同等安全等級的橢圓曲線僅需 256 位元密鑰。這使得 ECC 在資源受限的環境（如智慧卡、物聯網設備）中具有顯著優勢。

RSA 的數學深度：為何比特幣放棄了它？

RSA 的安全性證明並非無懈可擊。讓我們深入分析：

1. 整數分解問題的狀態：目前最好的經典算法是 General Number Field Sieve（GNFS），複雜度為：

$$O(e^{(1.9223...)(ln N)^{1/3}(ln ln N)^{2/3}})$$

對於 2048 位 RSA，分解時間在超級計算機上約為數年。

1. 比特幣放棄 RSA 的核心原因：

• 密鑰管理複雜性：比特幣錢包需要生成和存儲大量密鑰對。RSA 密鑰至少 2048 位，存儲和傳輸成本高。
• 簽名長度：RSA 簽名等於密鑰長度（2048 位 = 256 位元組）。比特幣區塊每天產生數十萬筆交易，簽名存儲成本驚人。
• 量子脆弱性：Shor 量子算法對 RSA 的威脅比 ECC 更直接——直接解決整數分解問題，而 ECDLP 還需要更長的量子計算。

1. b-money 與 Bit Gold 的啟示：

在比特幣之前，密碼學社群已經有過「去中心化貨幣」的嘗試。1998 年，Wei Dai 發表了 b-money 提案，提出了幾個關鍵概念：

• 「每個參與者維護一個資料庫，記錄每個用戶的貨幣餘額」
• 「使用工作量證明來創造貨幣」
• 「所有交易通過加密簽名驗證」

1998 年，Nick Szabo 提出了 Bit Gold 概念，更進一步：

• 「工作函數（Work Function）產出的值可以直接作為『創造的物品』」
• 「價值的轉移通過所有權證明實現」
• 「區塊鏈概念已經在這個設計中若隱若現」

中本聰在比特幣白皮書中同時引用了 b-money 和 Bit Gold。但比特幣的關鍵突破在於：將「工作量證明」和「共識機制」結合，解決了雙重支付問題。b-money 和 Bit Gold 都沒能完全解決這個問題——這也是它們最終停留在理論層面的原因。

1.3 橢圓曲線密碼學的興起

1985 年，Neal Koblitz 和 Victor Miller 各自獨立提出了橢圓曲線密碼學。ECC 的安全性建立在橢圓曲線離散對數問題（ECDLP）的困難性上。與有限域 DLP 相比，ECDLP 在相同密鑰長度下提供更高的安全等級，這被稱為「指數優勢」（exponential advantage）。

橢圓曲線密碼學的核心優勢包括：

• 更高的安全效率比：相同安全等級下，ECC 密鑰長度僅為 RSA 的 1/6
• 計算效率：ECC 的加法運算比 RSA 的模冪運算更快
• 頻寬節省：較短的公鑰和簽名減少了網路傳輸開銷
• 智慧卡友好：適合硬體資源受限的環境

這些特性使 ECC 成為比特幣等現代密碼系統的首選技術。

二、NIST 曲線標準化歷程

2.1 P-256 的選定與政治爭議

1997 年，美國國家標準與技術研究院（NIST）啟動了橢圓曲線標準化項目。2000 年，NIST 正式發布了 FIPS 186-2 標準，其中包括 P-256、P-384 和 P-521 三條曲線。這些曲線採用了特定的參數選擇，其隨機種子（random seed）的來源引發了密碼學社群的長期爭議。

NIST 曲線的安全性聲譽建立在以下原則：

• 使用標準化的曲線參數，避免自行選擇參數時可能引入的弱點
• 曲線參數通過已知的隨機過程生成，聲稱不存在後門
• 美國國家安全局（NSA）的「Suite B」密碼標準明確指定使用 NIST 曲線

然而，2013 年愛德華·斯諾登披露的文件顯示，NSA 可能干預了 NIST 的密碼標準制定過程。2014 年，DUALECDRBG（雙橢圓曲線確定性隨機比特生成器）被確認存在後門。這一發現雖然主要影響隨機數生成器，而非 NIST 曲線本身，但引發了密碼學社群對 NIST 曲線可信度的質疑。

2.2 Curve25519 的技術突破

2005 年，Daniel Bernstein 發表了 Curve25519，這是一條專為橢圓曲線 Diffie-Hellman（ECDH）設計的曲線。Curve25519 的設計體現了密碼學設計的最高原則：

• 曲線方程：y² = x³ + 486662x² + x，模數 p = 2²⁵⁵ - 19
• 基點選擇：具有大階（order），為 2²⁵⁴ 的倍數
• Montgomery 階梯：提供恆定時間實現，防止時序攻擊
• 避免陷阱：曲線參數經過精心選擇，不存在特殊的數學結構

Curve25519 的數學特性使其成為目前最受推崇的通用 ECC 曲線之一。它被 Signal 協議、WireGuard、Tor 等主流系統採用。

三、secp256k1：比特幣的密碼學選擇

3.1 曲線參數的數學意義

比特幣選擇的 secp256k1 曲線方程為：

y² = x³ + 7 (mod p)

其中 p = 2²⁵⁶ - 2³² - 2⁹ - 2⁶ - 2⁴ - 1 = FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F

這個看似任意的數字實際上具有特殊結構：p = 2²⁵⁶ - 2³² - 977，使得模運算可以在現代 CPU 上高效實現。選擇如此接近 2²⁵⁶ 的質數，使得 256 位元的操作數可以完美對齊現代計算機的 32 位元或 64 位元架構。

secp256k1 的其他關鍵參數包括：

餘因子 h = 1 是 secp256k1 的一個重要特性。這意味著基點 G 生成的循環群的階正好是 n，不存在任何較小的子群。這消除了「小子群攻擊」的威脅，這是其他餘因子大於 1 的曲線可能面臨的安全問題。

3.2 為何比特幣選擇 secp256k1

比特幣選擇 secp256k1 而非 NIST 標準曲線（如 P-256）有多個技術和意識形態原因：

技術考量：

• secp256k1 的方程更簡潔（y² = x³ + 7），計算效率略高
• 由於 k=7 相對較小，曲線的某些計算可以進一步優化
• 「K」在名稱中代表 Koblitz，暗示這是一條 Koblitz 曲線

意識形態考量：

• NIST 曲線與美國政府有緊密聯繫，比特幣作為去中心化貨幣應避免對單一政府機構的依賴
• 比特幣的創造者（可能是密碼朋克運動的參與者）傾向於使用不受政府控制的曲線
• secp256k1 的參數由 Certicom 公司選擇，而非 NIST，增加了獨立性

密碼學社群的反應：

比特幣選擇 secp256k1 在當時引發了一些爭議。部分密碼學家認為 NIST 曲線經過更嚴格的密碼學分析，安全性更有保障。然而，隨著時間推移，secp256k1 也經受了廣泛的密碼學審查，其安全性得到了認可。

3.3 secp256k1 的群結構證明

定義（橢圓曲線群）：

設 E 為定義在有限域 F_p 上的橢圓曲線 y² = x³ + ax + b。曲線上的點（包括無窮遠點 O）構成一個阿貝爾群，其運算規則如下：

1. 單位元為無窮遠點 O
2. 對於點 P = (x, y)（其中 y ≠ 0），其加法逆元為 -P = (x, -y)
3. 對於兩不同點 P 和 Q（P ≠ ±Q），連接它們的直線與曲線交於第三點 R = (xR, yR)，則 P + Q = -R
4. 對於點倍運算，當 P ≠ O 時，kP 表示 k 個 P 相加

命題： secp256k1 的基點 G 生成的循環群的階為 n = FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE BAAEDCE6 AF48A03B BFD25E8C D0364141。

證明策略：

確認基點 G 的階 n 是一個大質數，且群的其餘部分結構簡單（因為 h = 1）。這確保了離散對數問題的困難性。

驗證方法涉及複雜的數論計算，可以使用已知工具如 OpenSSL 或 libsecp256k1 進行驗證。關鍵是確認 n 是質數且不存在小的質因子，這保證了 ECDLP 的計算困難性。

四、ECDLP 的計算複雜度分析

4.1 離散對數問題的形式化定義

定義（ECDLP）： 設 E 為定義在有限域 F_q 上的橢圓曲線，G 為 E 上的點，其階為 n。已知點 P ∈ E 和 Q = kP，求整數 k ∈ [0, n-1] 使得 Q = kP。

這是比特幣私鑰安全的核心問題：如果能高效解決 ECDLP，就可以從公鑰推導出私鑰，從而竊取所有比特幣。

4.2 通用攻擊算法

暴力搜索（Brute Force）：

枚舉所有可能的 k 值，計算 kG 並與 Q 比較。複雜度為 O(n)，當 n ≈ 2²⁵⁶ 時，此攻擊完全不可行。

Pollard's Rho 算法：

這是目前解決 ECDLP 最有效的通用算法。其核心思想是利用生日悖論，在一個偽隨機序列中找到碰撞。

算法描述：

1. 將群元素分成三個集合 S₁, S₂, S₃
2. 定義迭代函數 f:
   - 若 P ∈ S₁：f(P) = P + G
   - 若 P ∈ S₂：f(P) = 2P
   - 若 P ∈ S₃：f(P) = P + Q
3. 使用 Floyd 的龜兔賽跑算法尋找碰撞 (x_i * G + y_i * Q) = (x_j * G + y_j * Q)
4. 由此可得 (y_i - y_j) * Q = (x_j - x_i) * G
5. 計算 k = (x_j - x_i) * (y_i - y_j)⁻¹ mod n

Pollard's Rho 算法的期望時間複雜度為 O(√n)，空間複雜度為 O(1)。對於 secp256k1，這意味著需要約 2¹²⁸ 次運算——這在計算上是不可行的。

數值評估：

假設有 2¹²⁸ 個 CPU 核心，每個核心每秒計算 10²⁰ 個群運算（這遠超物理極限），仍需要超過宇宙年齡的時間才能完成搜索。

4.3 特殊曲線攻擊

某些曲線結構允許比 Pollard's Rho 更高效的攻擊，這是選擇安全曲線參數的重要性所在。

MOV 攻擊（Menezes-Okamoto-Vanstone）：

MOV 攻擊利用雙線性對（bilinear pairing）將 ECDLP 映射到有限域的 DLP，後者可以使用指數時間算法（如 Index Calculus）更快解決。

適用條件： MOV 攻擊適用於超奇異曲線（supersingular curves），其餘因子 k 較小。

secp256k1 的安全性：

secp256k1 是非超奇異曲線，且餘因子為 1，不存在有效的 MOV 攻擊路徑。這是其設計安全的關鍵證據。

Pohlig-Hellman 攻擊：

如果曲線上點的階 n 有小的質因子，Pohlig-Hellman 算法可以將大問題分解為多個小問題。

複雜度： O(√pmax)，其中 pmax 是 n 的最大質因子。

secp256k1 的安全性：

n 是一個大質數，接近 2²⁵⁶，不存在小的質因子，因此 Pohlig-Hellman 攻擊無效。

4.4 現實攻擊的複雜度邊界

即使不考慮理論上的安全性分析，僅從物理極限角度評估：

• 宇宙中原子數量約為 10⁸⁰
• 2¹²⁸ ≈ 10³⁸，遠超宇宙中所有原子數量
• 破解 secp256k1 的 ECDLP 需要的計算量遠超宇宙中可用的全部計算資源

五、比特幣地址生成與簽名的數學原理

5.1 私鑰到公鑰的映射

比特幣私鑰是一個在 [1, n-1] 範圍內均勻隨機選擇的 256 位元整數 k。私鑰到公鑰的映射為：

Q = kG

其中 G 是 secp256k1 的基點。這個映射具有以下密碼學性質：

• 單向性：已知 k 可以輕易計算 Q，但已知 Q 無法推導 k
• 均勻性：不同私鑰映射到不同的公鑰
• 確定性：相同的 k 總是產生相同的 Q

比特幣使用橢圓曲線點加法來計算公鑰。對於整數倍運算 kP，使用「加倍-相加」算法：

function scalarMultiplication(k, P):
    result = O  // 無窮遠點
    temp = P
    while k > 0:
        if k mod 2 == 1:
            result = result + temp
        temp = 2 * temp  // 點倍增
        k = k // 2
    return result

這個算法的時間複雜度為 O(log k) 點加法運算，對於 256 位元密鑰僅需約 256 次點加法和 128 次點倍增。

5.2 公鑰壓縮格式

比特幣早期使用未壓縮公鑰格式（65 位元組），包含前綴 0x04、x 座標（32 位元組）和 y 座標（32 位元組）。比特幣改進提案 BIP-137 引入了壓縮公鑰格式：

• 前綴 0x02（如果 y 為偶數）或 0x03（如果 y 為奇數）
• x 座標（32 位元組）

由於橢圓曲線方程 y² = x³ + 7，已知 x 座標可以計算兩個可能的 y 值（一正一負，y 和 p-y）。前綴標識了選擇哪個 y 值。

壓縮公式：

y = ±√(x³ + 7) mod p

選擇偶數的 y 對應前綴 0x02，奇數的 y 對應前綴 0x03。

5.3 ECDSA 簽名演算法

比特幣使用橢圓曲線數字簽名算法（ECDSA），其簽名生成過程如下：

輸入： 私鑰 d、消息哈希 z

輸出： 簽名 (r, s)

算法步驟：

1. 選擇隨機數 k ∈ [1, n-1]
2. 計算點 R = (x_R, y_R) = kG
3. 計算 r = x_R mod n
4. 若 r = 0，返回步驟 1
5. 計算 s = k⁻¹ * (z + r*d) mod n
6. 若 s = 0，返回步驟 1
7. 返回簽名 (r, s)

比特幣交易的簽名過程使用交易數據的哈希值作為 z，確保簽名只對特定交易有效。

關鍵安全要求：

• 隨機數 k 必須是真正隨機的，且每次簽名都要更換
• 如果相同的 k 用於兩次不同簽名，可以推導出私鑰：
• 已知 (r, s₁) 和 (r, s₂)，計算 k = (s₁ - s₂)⁻¹ * (z₁ - z₂) mod n
• 然後 d = k⁻¹ (s₁z₁ - s₂z₂) (s₁ - s₂)⁻¹ mod n

比特幣區塊链历上曾發生過此類漏洞導致的比特幣被盜事件。

5.4 簽名驗證的數學證明

命題： 若簽名 (r, s) 由私鑰 d 生成，則驗證方程成立。

證明：

s⁻¹ * z * G + s⁻¹ * r * Q
= s⁻¹ * z * G + s⁻¹ * r * d * G
= s⁻¹ * (z + r*d) * G
= k * G
= R

因此，驗證者計算 R' = s⁻¹ z G + s⁻¹ r Q，檢查 R' 的 x 座標是否等於 r，即可確認簽名有效性。

六、Schnorr 簽名：比特幣的密碼學升級

6.1 BIP-340 標準

2021 年 11 月，隨著比特幣 Taproot 升級（BIP-341、BIP-342），比特幣正式引入了 Schnorr 簽名方案。Schnorr 簽名相比 ECDSA 具有多項密碼學和效率優勢。

Schnorr 簽名生成：

輸入：私鑰 x、消息哈希 e
選擇隨機數 k
計算 R = kG
計算 s = k + Hash(R || P || e) * x mod n
返回簽名 (R, s)

驗證方程：

sG = R + Hash(R || P || e) * P

6.2 Schnorr 簽名的數學優勢

可證明安全性： Schnorr 簽名可以在隨機預言機模型下證明安全，而 ECDSA 的安全性是啟發式的。

線性簽名聚合： 多個簽名可以線性相加產生一個聚合簽名：

s_agg = s₁ + s₂ + ... + s_m
R_agg = R₁ + R₂ + ... + R_m

這是比特幣 Taproot 實現「密鑰路徑」和「腳本路徑」平穩整合的關鍵技術基礎。

批量驗證效率： 多個 Schnorr 簽名可以一次性驗證，時間複雜度低於逐個驗證 ECDSA 簽名。

七、後量子密碼學的威脅與應對

7.1 Shor 算法的量子突破

1994 年，Peter Shor 提出了在量子計算機上高效解決整數分解和離散對數問題的量子算法。Shor 算法利用量子傅立葉變換，可以在多項式時間內解決這些問題，對 RSA 和 ECC 都構成威脅。

量子計算模型下 ECDLP 的複雜度：

• Shor 算法：O((log n)³) 量子操作
• 這意味著未來足夠強大的量子計算機可以破解比特幣的密碼學基礎

7.2 後量子密碼學遷移時間表

比特幣社群已經開始準備後量子遷移：

BIP-360（待定）： 定義了混合簽名方案，將傳統 ECDSA/Schnorr 與後量子算法（如 CRYSTALS-Dilithium）結合。

遷移策略：

• 短期：使用混合簽名，保持與現有系統的兼容性
• 長期：完全遷移到後量子安全的簽名方案

7.3 實際威脅評估

密碼學相關量子計算（CRQC）的現狀：

• 目前最強大的量子計算機（如 IBM、谷歌的系統）只有數百到數千個量子位元
• 破解 secp256k1 需要約 4,000 個邏輯量子位元
• 物理量子位元存在高錯誤率，需要大量冗餘

專家評估： 大多數密碼學家認為，破解比特幣 ECC 的實用量子計算機在 10-20 年內不太可能出現。比特幣社群的遷移時間相對充裕。

「先收後破」攻擊（Harvest Now, Decrypt Later）：

• 攻擊者可以預先存檔加密通訊，待量子計算機成熟後解密
• 對於比特幣，這意味著長期未動用的比特幣面臨更高風險
• 高價值比特幣應優先考慮遷移到後量子安全的地址

八、結論

比特幣的密碼學基礎建立在密碼學理論數十年的發展之上。從 Diffie-Hellman 的開創性工作，到 NIST 曲線的標準化，再到 secp256k1 的選擇，比特幣整合了密碼學領域的最佳實踐。

secp256k1 的安全性通過多重機制保障：

• 數學困難性：ECDLP 在經典計算模型下的指數複雜度
• 曲線選擇：避免特殊結構，使通用算法成為最優攻擊
• 參數設計：餘因子為 1，消除子群攻擊向量
• 業界審查：經過十餘年的廣泛密碼學分析

面對後量子威脅，比特幣社群正在積極準備遷移方案。BIP-360 等提案為混合簽名方案奠定了基礎，確保比特幣在量子計算時代的安全性。

理解這些密碼學基礎不僅是學術興趣，更是比特幣安全實踐的必要前提。只有深入理解密碼學原理，才能正確評估比特幣的風險與潛力，做出明智的安全決策。

參考文獻

1. Diffie, W., & Hellman, M. (1976). New Directions in Cryptography. IEEE Transactions on Information Theory.
2. Koblitz, N. (1987). Elliptic Curve Cryptosystems. Mathematics of Computation.
3. Miller, V. S. (1985). Use of Elliptic Curves in Cryptography. Advances in Cryptology—CRYPTO '85.
4. Standards for Efficient Cryptography Group (SECG). (2010). SEC 2: Recommended Elliptic Curve Domain Parameters.
5. Bernstein, D. J. (2006). Curve25519: New Diffie-Hellman Speed Records. Public Key Cryptography.
6. Menezes, A. J., Van Oorschot, P. C., & Vanstone, S. A. (1996). Handbook of Applied Cryptography.
7. Satoh, T., & Araki, K. (2000). Explaining the Difference/Singularity of Random Walks, MOV Attack Revisited. IEICE Transactions.
8. Bitcoin Improvement Proposals: BIP-340, BIP-341, BIP-342, BIP-360.