科普之密码专栏 | 动手计算双线性对（中）

前言

上一篇分享了“模运算”相关的知识，并且计算了一些有限域的例子，这一篇我们讨论在通用零知识证明中经常提到的椭圆曲线和双线性配对。椭圆曲线作为双线性对的基础和前置知识，我们首先介绍一下其在实数域上的表现形式，然后通过计算的方法列出”F_101”和其扩域“F_101^2”上的全部元素的列表。

椭圆曲线相关知识---曲线方程

椭圆曲线的一般形式的方程其实比较复杂，称为Weierstrass方程，形如下面的形式：

我们先将a,b,c,d,e随意的取值为1,2,3,4,5，并通过画图来查看曲线在直角坐标系上的表现形式。根据二次方程求根公式，我们将其变换为x关于y的函数

稳定币crvUSD科普创新清算机制LLAMMA，可在抵押品价格下跌时逐步替换为稳定币:1月17日消息，Curve官方科普其稳定币crvUSD创新的清算机制LLAMMA，解释了LLAMMA通过AMM的特性进行针对债务人更友善的清算方式，让抵押品在价格下跌时逐渐转移成稳定币，让原本要清偿的债务有一定程度的稳定币可以偿还，同时在价格回稳时再逐渐把稳定币换回抵押品，而不是直接的触发清算导致债务人的亏损。

此前报道，2022年11月23日，去中心化交易平台CurveFinance开发者发布Curve即将推出的去中心化Stablecoin“crvUSD”的官方代码和白皮书。[2023/1/17 11:17:13]

根据方程作图如下：

人大附中物理老师李永乐科普拜占庭将军问题和区块链:5月14日，人大附中物理老师、科普视频网红李永乐在其公众号发布视频《拜占庭将军问题是什么？区块链如何防范恶意节点？》。李永乐老师在视频中对拜占庭将军问题和区块链进行了讲解，他表示，拜占庭将军问题本质上指的是，在分布式计算机网络中，如果存在故障和恶意节点，是否能够保持正常节点的网络一致性问题。在近40年的时间里，人们提出了许多方案解决这一问题，称为拜占庭容错法。例如兰波特自己提出了口头协议、书面协议法，后来有人提出了实用拜占庭容错PBFT算法，在2008年，中本聪发明比特币后，人们又设想了通过区块链的方法解决这一问题。区块链通过算力证明来保持账本的一致性，也就是必须计算数学题，才能得到记账的权力，其他人对这个记账结果进行验证，如果是对的，就认可你的结果。与拜占庭问题比起来，就增加了叛徒的成本。[2020/5/14]

根据上面的方程和作图过程了解道，曲线由上下两个半支组成，关于y=0.5对称。

对称的总是美的，但是这个曲线却有一点瑕疵，他的对称轴并不是x轴而是y=0.5。考虑到Weierstrass太过复杂，人们更经常使用的是在Weierstrass方程的基础上进行一些坐标变换和参数化简后的形式。新的形式关于x轴对称。

声音 | 浪潮集团云南分公司总经理：云南区块链产业发展需从“科普”到“专精”不断深化:据昆明日报消息，浪潮集团云南分公司总经理郑昕表示，云南区块链产业发展需从“科普”到“专精”不断深化。下一步，浪潮将继续加大云南农业产业高质量发展体系建设力度，重点以普洱茶等云南优势产业为切入点，打造云南“绿色、有机农产品高地”的品牌形象，并在此基础上，开展基于区块链的供应链金融服务，解决中小企业贷款难、贷款贵问题。[2019/11/11]

当取a=0，b=3时，画出曲线如下图，容易验证是曲线上一点，对称的也是。

通过方程我们画出了曲线y^2=x^3+3的图像，但是说这就是椭圆曲线的图像其实并不准确。准确地说，我们画的是在实数域上这个方程的图像。在复数域上当然有更多的点也满足曲线方程但是我们的图像中并没有体现，例如。如果把曲线看作点的集合，那数域的扩张直接影响到我们要讨论的这个集合的大小，这在本文后半部分我们还会看到。

动态 | 央行官微旧文重发“再科普”：范一飞详解数字货币:据中国经济网消息，今日，央行官微公众号头条重新发布央行副行长范一飞在2018年1月25日题为《关于央行数字货币的几点考虑》的文章，对央行数字货币再次进行科普。同时，微信公众号第二条发布支付司副司长穆长春8月10日在第三届中国金融四十人伊春论坛上的演讲。近年来，各主要国家和地区央行及货币当局均在对发行央行数字货币开展研究，新加坡央行和瑞典央行等已经开始进行相关试验，人民银行也在组织进行积极探索和研究。[2019/8/21]

另外为了让其拥有更多的性质，我们认为椭圆曲线其实还包括一个“无穷远”点。这个点在图中并不能体现出来，我们也不能以直角坐标的形式写出这个点的坐标，但是当我们说椭圆曲线时默认其点的集合中包含这个点。“无穷远点”一般用"O?"表示。

椭圆曲线相关知识---点的运算

就像讨论“F_7”时那样，有了元素的集合还需要有在集合上的运算。这条曲线就是椭圆曲线点的集合，但是为了构建密码算法还需要定义点的运算。不同于域中需要两种基本运算，这里我们只需要定义一种特殊的基本运算就可以，不妨将这种运算称作加法，用“+”表示。

动态 | 美国演说家Anthony Robbins开始科普什么是比特币:美国演说家安东尼·罗宾（Anthony Robbins）在自己的网站上发布了一篇比特币的科普文章，并在推特上向自己的粉丝介绍什么是比特币，目前他的推特账户共有粉丝304万人。[2019/1/1]

通过几何意义可以清楚的理解这种运算的定义，例如我们选取了曲线上的两个点A和B计算加法，把A+B的结果记为C，过程如下：

1）过AB做直线，交曲线于T；

2）过T做x轴垂线，交曲线于C点，C即为所求；

需要说明的是，当两个“加数”位置的点为同一个点时，步骤一中所做的其实是过该点的切线。另外，当AB的连线本身就垂直于x轴时，我们规定AB和曲线的第三个交点是无穷远点“O”。

在这样的规则下容易发现，任何点P都有一个对应的P’,使得P+P’=O；并且任何点A和O的运算的结果都是A本身。而且因为连线AB和连线BA其实是同一条直线，因此我们也能够得知这里定义的点的加法是满足交换率的。

根据定义再结合一些解析几何的知识，就可以求出点加法的坐标计算公式。例如假设A和B的坐标分别为(Xa,Yb)和(Xa,Yb),那么C点坐标如下：

其中"λ"是直线AB连线的斜率，或者当A、B重合时是A点的切线斜率。

现在我们将转而讨论有限域上的椭圆曲线，其上的椭圆曲线表现为一些散布的点。在有限域上A+B虽然已经没有明确的几何意义，但是有同样的计算公式。我们已经验证过是椭圆曲线上的点，那么我们就把该点记为G，并且从该点开始，计算G,G+G，G+G+G...看看会有怎样的规律。

以G+G为例，我们进行演算,首先计算λ，也就是G点的斜率：

然后计算C点坐标：

因此G+G的坐标为。而G+2G稍稍有不同，主要是λ需要从切线斜率修改为过AB的直线斜率：

因此我们也计算出G+2G=3G的坐标，以此类推进行计算，我们得到下表

读者可以选择表中的点，例如(32,42)，来验证其是否在曲线上，也就是是否满足曲线方程y^2=x^3+3mod101，相关演算我们不在本文赘述。

经过计算和验证可以发现，这一系列点构成了一个周期为17的循环。如果我们将k个G相加记为kG，并且将O看作0G，那么有17G=O。这像极了模17加法的规律，并且在模17加法和为0的两个数对应的两个椭圆曲线点的和正好是O，我们说这样的17个点和加法一起构成一个有17个元素的循环群。因为这只是一篇科普性质的文章，我们不给出循环群的严格定义，但是正如它的名字中强调的“循环”，循环群最突出的性质就是能够由某个元素不断运算从而得到全部。

需要强调的是这17个点并不是F_101上椭圆曲线的全部，但仅利用这17个元素组成的集合我们已经能够在其中完成点的加法运算，也就是说任意选择集合中两个点进行加法，其结果不会跳出到集合之外。

在本篇最后，我们展示17个点在直角坐标系中的分布，读者可以体会其中的对称之美。下一篇我们将找到另一个17个元素的循环群并且在其基础上计算双线性映射，敬请期待。

附录

▲表2：模101元素逆元表

乔沛杨

趣链科技基础平台区块链底层密码学小组

标签：区块链稳定币比特币数字货币区块链技术的特点稳定币杠杆挖矿比特币行情图实时查询国内数字货币交易合法吗

USDC热门资讯