比特币的匿名性与资产安全完全建立在严谨的密码学之上。自诞生以来,其使用的椭圆曲线数字签名算法(ECDSA)一直被认为是牢不可破的。然而,最近多位密码学家开始重新审视中本聪当初的设计选择,尤其是那条名为 secp256k1 的特殊椭圆曲线。
椭圆曲线:比特币的安全基石
要理解这次争议,必须先掌握椭圆曲线在比特币中的角色。每个比特币地址都有一对“公钥”和“私钥”。公钥就像银行账号,可以对外公开;私钥则如同取款密码,必须严格保密。这一对密钥的关系,正是通过椭圆曲线算法生成的——具体的做法是,从私钥出发,应用 secp256k1 曲线进行单向加密计算,快速得出公钥。由于这种算法的“不可逆性”,即便公钥完全暴露,要反推出私钥在计算上也几乎不可能,除非该曲线本身存在漏洞。
换句话说,比特币的转账验证、签名真伪以及所有权的确认,全部依赖 ECDSA 的安全假设。一旦椭圆曲线被攻破,整个比特币网络的信任基础就会瞬间崩塌。
secp256k1 为何引发后门怀疑?
secp256k1 是一条由美国国家标准与技术研究院(NIST)在 2000 年发布的 Koblitz 曲线。但与同期其他常用曲线相比,它在当时并未经过充分的安全审查和学界讨论。这就产生了一个问题:中本聪为什么偏偏选中了它?
现任 NTT Research 密码学与信息安全实验室主任、世界知名密码学家冈本龙明直言:“中本聪选择它,如果不是因为它提供了更高的计算效率,就是因为它留有秘密的后门。”他同时强调,这仅是基于逻辑的假设,因为中本聪的真实动机至今无人知晓。不过,冈本龙明也坦言,能够把公钥密码、哈希函数等多种密码学组件巧妙融合,创造出去中心化的数字货币,这本身就令人钦佩。
比特币核心开发人员 Wladimir van der Laan 则补充道,他同样不清楚中本聪的选择理由,但这并不影响当前系统的运行。不过,随着量子计算等技术的发展,这种“未被充分研究”的曲线是否会成为潜在风险,仍需持续关注。

