比特幣編程 (Programming Bitcoin)

學習新的數學內容或許會有些令人生畏，在本章的學習過程中，希望能夠破除數學很難的錯誤觀念。具體的說，掌握有限域並不需要很多前置的數學知識，比如基礎的代數學。

把有限域想象成和三角學一樣容易獲取的知識，只不過三角學知識因為更有用所以安排在了我們的教育大綱內。總之有限域並不會太難掌握，只需要之前學習過代數學的相關知識。

如果你想瞭解橢圓曲線密碼學，本章知識是必須學習的。橢圓曲線是能理解數字簽名和驗證的前置條件，而數字簽名和驗證則是比特幣的核心內容。正如之前我們解釋的那樣，本章和後面兩章之間可能沒有什麼聯繫，但仍然鼓勵讀者去面對與接受。這些基礎知識不僅能幫助你更容易地理解比特幣，還有益於理解Schnorr 簽名、加密交易以及其他主流且前沿的比特幣技術。

有限域的數學定義是一個有限的數字集和兩個運算 +（加法）和 ⋅（乘法）並且滿足下面的性質：

讓我們來進一步分析這些准則：

我們有一個有限的數的集合，因為集合是有限的，我們可以把集合大小定義為p，我們稱之為集合的階。

#1 要求我們對加法和乘法封閉。這意味著我們定義加法和乘法是要使其運算結果仍然屬於集合。比如集合 0,1,2並不對加法封閉，因為1+2=3，3 不在集合內；同理2+2=4 也不符合定義。當然我們可以對加法定義做一些修改來使其滿足有限域的性質，但是"常見"的加法並不能使這個集合組成有限域。另一方面，集合 -1,0,1 對正常的乘法是封閉的。任意兩個集合內的元素（共有九種組合）其乘積仍然屬於集合。

另一個選項是對乘法重新定義以滿足有限域的封閉性。我們會在之後的章節討論如何精確定義加法和乘法來使得集合封閉。但是其核心概念是我們定義的加法和減法不同於我們熟悉的加法和減法。

#2 & 3 意味著必須要有加法和乘法恆等元，也就是0和1 必須在集合內。

#4 我們有加法逆。如果a 在集合內，-a 也在集合內，通過使用加法逆運算，我們可以定義減法。

#5 意味著乘法有著相同的性質，如果a 在集合內，則a^-1 也在集合內。使得a⋅ a^-1=1，通過乘法逆，我們可以定義除法。這是定義一個有限域最難的部分。

如果集合的階（大小）是p,我們可以說該集合的元素有0,1,2,3,…​p-1。我們把這些數稱之為集合的元素，而不必稱其為傳統的數字 0, 1, 2 等。這些集合的元素在很多方面和傳統數字一致，但是在如加法、減法和乘法等運算上仍有一些地方不太一樣。 如下為有限域的數學表示： F_p=0,1,2,...p-1

構成有限域的是集合的元素。F_p是一個特定的有限域讀作「階數為p的域」（field of p）或者「階數為29的有限域」 或者其他階數（重申：數學家把集合大小稱為階）。在之間的數字代表域中的元素。我們給這些元素命名1,2,3等，因為這些名字便於我們使用。 一個階數為11的域： F₁₁=0,1,2,3,4,5,6,7,8,9,10 一個階數為17的域: F₁₇=0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16 一個階數為983的域： F₉₈₃=0,1,2...982 注意，域的階數總是比最大元素大1。你可能注意到了每次我們給出的域的階數都是質數。出於很多之後才能解釋得清楚的原因，域的階數必須為質數的整數次冪，其中階數為質數的有限域是我們特別關心的。

我們將會在Python內創建一個有限域元素的類（class）用於表示有限域內的每一個元素，這個類的名字是FieldElement。 這個類代表有限域`F_{prime}`的一個元素。所以這個類的大致結構為：

#1 第一步我們檢查 num 是否在 0 和 prime-1 之間（包含0和prime-1）。如果不是，則這是一個非法的FieldElement，我們拋出 ValueError 異常。這是我們得到一個不恰當的值時，應當拋出的異常類型。

#2 __init__的其餘部分用來初始化對象

#3 __eq__ 方法檢查兩個FieldElement的對象是否相等。只有num 和prime 都一樣時才相等。

通過我們的定義，我們已經可以做下面的測試：

Python 允許我們使用__eq__ 方法對FieldElement類重載==運算符，我們在之後也會利用這一點。

你可以觀察隨書代碼的運行。一旦你啓動 Jupyter Notebook（參見第XV頁的「Setting Up」），你可以打開 code-ch01/Chapter1.ipynb`運行代碼並觀察結果。有關本章的練習題，可以通過點擊Exercise 1 box 內的鏈接打開`ecc.py。如果遇到困難，所有的答案在AppendixA 內。

我們可以使用模運算使得有限域在加、減、乘和除的運算下是封閉的。 我們可以使用模運算在有限域上定義加法，模運算可能在學習除法時就學習過。還記得如下圖[Figure 1-1]的問題嘛？

Figure 1-1. 長除法例1

(譯注：7除3商2余1)

不論是否整除，我們都可以獲得一個余數，即整除之後剩餘無法繼續被整除的數。我們也這樣定義模運算，使用%作為運算符：

7%3=1

[Figure 1-2] 是另一個例子。

Figure 1-2. 長除法例2

正式的講，模運算是一個數被另一個數整除之後剩餘無法繼續被整除的值。我們看一個大一點數字的例子：

1747%241=60

如果把模運算想象成時鐘和指針旋轉會更好理解。想象下面的問題： 目前是三點，47小時後是幾點？應該是2點，因為(3+47)%12=2。（[參考圖Figure 1-3]）

Figrue 1-3. 時鐘走了47個小時

我們可以看到，在這個模式下每過12小時，我們就會經過一次0時刻。我們也可以對負數做模運算，比如你可以問，目前是3點，16小時之前是幾點？

答案是11點，因為 (3-16)%12=11

分針同樣也是一種模運算。比如你可以問： 目前是分針是12分鐘，那麼在843分鐘之後分針在哪裡？ 分針指向15分鐘。 (12+843)%60=15 類似的，我們可以問： 目前是分針指向23分鐘，97分鐘後指向哪裡？ 在這種情況下，答案是0。 (23+97)%60=0 0表達了沒有餘數的情況。 模運算的結果總是在0 在 59 之間。這是一個非常好的性質，通過模運算，可以把非常大的數轉換成一個相對小的數字。

14738495684013 % 60 = 33 我們將要使用模運算來定義域的運算。在某種程度上，大部分的有限域的運算都使用了模運算。

回顧前文，我們要在有限域上定義加法，使得任意兩元素其和仍然在集合內，也就是我們要求加法在有限域上是封閉的。

我們可以使用我們剛剛學過的模運算來使加法封閉。假設我們有個階數為19的有限域： F₁₉=0,1,2,...18 如果a,b ∈ F₁₉,注意，我們使用'∈'符號代表元素屬於集合內，這個例子中，指的是 a 和 b是F₁₉的元素。 加法封閉意味著： a+ᶠ b ∈ F₁₉ 我們使用+ᶠ符號來代表有限域的加法，以免和常用的整數加法(+)混淆。

如果我們使用模運算，我們就可以保證滿足條件。我們可以這樣定義a+ᶠ b: a+ᶠb=(a+b)%19 比如： 7+ᶠ8=(7+8)%19=15 11+ᶠ17=(11+17)%19=9 我們對任意在集合內的兩個元素做加法，然後"旋轉"（按照時鐘例子的思路），最後得到和。此時我們定義了我們自己的加法運算符，雖然運算的結果有些反直覺。畢竟11+ᶠ17=9看上去就不正確，因為我們不習慣有限域的加法。

更通常的做法是像下面這樣定義有限域的加法：

當 a,b ∈ F_p，

a+ᶠ b=(a+b)%p

類似的，我們也可以定義加法逆運算。如果a∈ F_p 可以得出-ᶠ a ∈ F_p

-ᶠ a =(-a)%p

和之前一樣，為了使有限域的減法、負數和整數的減法、負數區分開，我們使用-ᶠ符號。 在F₁₉中：

-ᶠ 9=(-9)%19=10

這意味著：

9+ᶠ10=0

結果證明這也是正確的。

類似的，我們可以定義有限域的減法：

當 a,b ∈ F_p，

a-ᶠb=(a-b)%p

比如在F₁₉中:

11-ᶠ9=(11-9)%19=2

6-ᶠ13=(6-13)%19=12

就像我們之前對有限域定義了新的加法(+ᶠ)且對域封閉，我們也可以定義一個新的乘法，也使得其對有限域封閉。在這部分，我們將會仔細的考察如何通過模運算定義乘法。

乘法是很多次的加法：

5⋅ 3=5+5+5=15

8⋅ 17= 8+8+8+..（共計17個8）+8=136

我們也可以使用同樣的方法在有限域上定義乘法。再一次使用F₁₉:

5·ᶠ3=5+ᶠ 5+ᶠ 5

8⋅ 17= 8+ᶠ8+ᶠ8+..（共計17個8）+ᶠ8

我們已經知道如何處理等式右邊的部分了。結果會是一個屬於F₁₉的數字：

5·ᶠ3=5+ᶠ 5+ᶠ 5=15%19=15

8·ᶠ 17= 8+ᶠ8+ᶠ8+..（共計17個8）+ᶠ8=(8⋅ 17)%19=136%19=3

第二個的計算結果非常反直覺。我們正常情況下，不會認為8·ᶠ17=3。 但是為了滿足乘法的封閉性這部分是必要的。所以域的乘法運算結果總是在屬於集合0,1,..p-1。

指數是簡單的乘以一個數許多次。 7³=7·ᶠ 7·ᶠ 7=343%p 在有限域內，我們也可以利用模運算定義指數運算。 在F₁₉ 中： 7³=7·ᶠ 7·ᶠ 7=343%19=1 9¹²=7 指數運算也是同樣的反直覺。我們正常情況下也不認為 7³=1 或者9¹²=7。有限域必須這樣定義以滿足運算的結果仍在域內。

那些幫助我們建立加法、減法、乘法、甚至指數運算的直覺並不一定對除法一樣有效。因為除法是最難理解的運算。我們先從一些好理解的部分開始： 在「常見」 的數學中，除法是乘法的逆運算。

我們將使用這個除法的定義來幫助我們理解。注意像「常見」的數學那樣，你不可以把0作為除數。 在F_19 中，我們知道：

3·ᶠ 7 =21 % 19=2 可以得出 2/ᶠ7=3

9·ᶠ 5=45%9=7 可以得出7/ᶠ5=9

這是非常反直覺的，我們通常認為 2/ᶠ 7 或者 7/ᶠ 5是一個分數而不是一個有限域的元素（整數）。此外，有關有限域有一個值得注意的性質：有限域對除法封閉。這意味著，任意兩個有限域的元素，如果除數不是0，則結果一定還是一個有限域的元素。

你可能會問一個問題，如果之前不知道3⋅ 7=2,如何計算2/ᶠ7 呢？這的確是一個好問題，為了回答這個問題，我們將利用Exercise 7 的結果。

以防你沒有得到答案，exercise 7 的答案是 n^(p-1) 的計算結果都是1,這對每個質數p 和大於0 的n 都成立。這是一個非常優美的數論知識，即費馬小定理給出的結論。該定理說的是：

當p為質數時，

n^(p-1)%p=1

因為我們的運算是在有限域上的，所以這個性質總是成立的。

因為除法是乘法的逆運算，我們得知：

a/b=a·ᶠ(1/b)=a·ᶠ b^-1

我們可以把除法化簡為乘法，只要我們能計算出b^-1是多少。這部分就是費馬小定理生效的地方了。我們知道

b^p-1=1

因為 p 是質數，因此：

b^-1=b^-1·ᶠ1=b^-1·ᶠb^p-1=b^(p-2)

即：

b^-1=b^(p-2)

在F₁₉,可以得出b¹⁸=1,進一步，對所有b>0,b^-1=b¹⁷。這表明，我們通過指數運算來計算乘法逆。在F₁₉:

2/7=2⋅7^(19-2)=2⋅7¹⁷=465261027974414%19 = 3

7/5=7⋅5^(19-2)=7⋅5¹⁷=5340576171875%19 = 9

因為指數函數增長非常快，這種計算方法是相對昂貴的。也是這個原因，除法是代價最大的運算了。為了降低計算量，我們可以使用python 中的pow 函數來做指數運算。在python 中，pow(7，17)和717有相同的結果。但是pow 函數有可選的第三變量，能使我們的運算更有效率。具體地說，pow 會使用第三個參數來做模運算。因此，pow(7,17,19)雖然和717%19結果一樣，但是要快很多。因為每一輪乘法，pow 函數都做一次模運算。

在結束本章之前，我們還要最後處理一下pow方法,該方法要允許負指數。比如 a³ 需要是一個有限域的元素。但是我們目前的代碼並不能處理好這中情況。我們需要的是如下的功能：

不幸的是，我們之前定義的__pow__ 方法不能處理負指數，原因是python 內置的pow 函數的第二個參數要求必須為正。幸運的是，我們可以用一些已知的數學知識來解決這個問題。我們從費馬小定理得知： a^p-1=1 這表明我們可以對一個元素乘以a^p-1，直到我們想要的次數。所以，對於a^-3,我們可以這樣計算： a^-3=a^-3⋅ a^p-1=a^p-4 這樣我們就可以處理負指數了。下面的代碼是一個簡單的實現：

#1 加到n 為正數為止。

#2 使用內置的pow函數會更有效率。 我們還有更好的做法：我們已經知道如何使負數強行轉化為正數，我們的老朋友 %。因為a^p-1=1，我們還可以一並把非常大的指數也化成比較小的指數。這使得pow函數也不會太耗時。

在這一章，我們學習了有限域和其python 代碼實現。我們會在第三章，橢圓曲線密碼學中使用有限域的知識。下一章我們會討論另一個橢圓曲線密碼學的基礎數學組件：橢圓曲線。

橢圓曲線和很多你學習完基礎代數之後見過的方程差不多。y在等號的左邊，而x在等號的另一邊。橢圓曲線有如下的形式：

y²=x³+ax+b

你肯定接觸過其他類似的方程。比如，你可能在基礎代數課上就學習過線性函數：

y=mx+b

你可能還記得我們把m叫做斜率，b叫做截距。你也能畫出如下圖的[figure 2-1]線性函數圖像。

Figure 2-1.一次線性方程

類似的，你可能也熟悉二次函數和它的圖像([Figure 2-2]):

y=ax²+bx+c

Figure2-2.二次函數

而在學習代數的某些時候，你還接觸過更高階的函數比如三次函數以及它的圖像

y=ax³+bx²+cx+d

Figure2-3.三次函數

橢圓曲線也沒有和它們有太大的差別：

y²=x³+ax+b

橢圓曲線和三階函數不同的的地方是等號左邊是y², 這使得函數圖像沿x軸對稱，如圖[Figure 2-4]所示。

Figure 2-4. 連續橢圓曲線

因為橢圓曲線的等號左邊是y²，所以它也不像三次函數陡峭。此外，橢圓曲線也可能是不相接(disjoint)的，如圖[Figure 2-5].

Figure2-5.不相接的橢圓曲線

可以想象有一個三次函數([Figure 2-6])，我們對x軸以上的部分拉伸([Figure 2-7])，然後再使之關於x軸對稱([Figure 2-8])。

Figure 2-6. 第一步：一個三次函數

Figure 2-7. 第二步：拉伸三次函數

Figure 2-8. 第三步：對x軸以上部分反轉對稱

比如，比特幣使用的橢圓曲線被稱為 secp256k1, 使用下面的方程：

y²=x³+7

橢圓曲線的標準形式為y²=x³+ax+b，即這個比特幣的橢圓曲線的常數為 a=0，b=7，如圖([Figure2-9])：

Figure 2-9. secp256k1 曲線

譯注：數學上作者對橢圓曲線的定義是不完備的，橢圓曲線要求曲線是非奇異的，即不存在尖點，自相交，和孤立點的情況(作者在上文給出了孤立點的例子)。a,b需要滿足判別式Delta=-16(4a³+27b²)≠ 0的才是橢圓曲線。

出於一些我們之後才會討論的原因，我們其實並不關心橢圓曲線本身，而是更關心橢圓曲線上的特定的點。比如在橢圓曲線 y²=x³+5x+7, 我們關心的是坐標點 (-1,1)。因此我們要先構建 Point 類來代表橢圓曲線上的點。橢圓曲線的形式為 y²=x³+ax+b ，所以可以用a和b 來定義橢圓曲線：

#1 我們要檢查某個Point是否在橢圓曲線上。

#2 兩個Point的實例當且僅當它們在相同的曲線以及擁有相同的坐標時才相等

至此，我們可以創建 Point 對象了。如果Point不在橢圓曲線上，則會報錯。

也就是如果點不在曲線上，__init__方法會拋出異常。

橢圓曲線因其點加法運算(point addition)而被廣泛使用。點加法指處理兩個某一橢圓曲線上的點的運算符，而運算後得到的第三個點也仍然在該橢圓曲線上。這個運算被稱為點加法是因為和數學上的加法有許多直覺上的相似性。比如點加法有交換律，這表明，點A加上點B和點B加上點A是一樣的。

我們採用如下的方式定義點加法。我們發現對於所有的橢圓曲線而言，除了一些特例以外，一條直線只能與之相交於一個點([Figure 2-10])或者相交於三個點([Figure 2-11])。

Figure 2-10. 直線與曲線相交於一點

Figure 2-11. 直線與曲線有三個交點

下面兩種情況只有兩個交點，一種是垂直於x軸的直線([Figure 2-12])。另一種情況是直線與曲線相切([Figure 2-11])。

Figure 2-12.因為直線垂直，直線和橢圓曲線兩個交點

Figure 2-13.因為直線相切，直線和橢圓曲線有兩個交點

我們會在之後討論這兩種情況。

我們可以通過直線與橢圓曲線有一個或者三個交點的性質來定義點加法。任意取橢圓曲線上兩個點，因為兩個點可以確定一條直線，該直線則一定會與橢圓曲線相交於第三個點，我們對直線與橢圓曲線的第三個交點做x軸的對稱，就能得到我們定義的點加法的運算結果。

即對於橢圓曲線上的任意兩個點P₁=(x₁,x₂) 和 P₂=(x₂,y₂) 我們這樣計算P₁+P₂：

可以參考下面的[Figure 2-14]：

Figure 2-14.點加法

首先，繪制經過要相加的兩個點(A 和 B)的直線。與橢圓曲線的第三個交點為C。再對點C 做關於x 軸的對稱點，即為A+B的結果。

我們將要利用的一個特性是點加法的結果很難預測。儘管根據公式很容易的就獲得了點加法的結果，但是直覺上一個點加法的和，在給定任意的兩個點後，可能是橢圓曲線上任何一個點。我們回到[Figure2-14]，A+B的結果在兩個點右邊，A+C 在A和C 之間的x軸上。 B+C 的和在兩個點的左邊。 在數學術語里，我們稱點加法為非線性的(nonlinear)。

點加法滿足一些和加法一致的性質，比如：

加法恆等元 指存在0，即存在點 I,和任意點A 相加後仍然為A:

I+A =A

我們把這個點稱之為無窮遠點。（之後會討論原因） 這也與可逆性相關。對於任意點 A,存在另一個點-A使得其和為加法恆等元。即：

A+(-A)=I

如圖[Figure 2-15]，兩個交點關於x軸對稱

Figure 2-15. 垂直相交

這也是我們為什麼稱之為無窮遠點。我們在橢圓曲線上還有額外的一個點，這個點使垂直於x的直線與橢圓曲線第三次相交。

交換律 指 A+B=B+A,這個性質的驗證也非常直觀，因為直線經過兩個點與橢圓曲線相交於第三個點，和直線經過的兩個點的順序沒有關係。

結合律 指 (A+B)C=A(B+C), 因為加法的最後一步要關於x軸做對稱，所以這個性質並不直觀。如圖 [Figure 2-16] 和 [Figure 2-17]。

可以看到在圖 [Figure 2-16]和 [Figure 2-17]中 ，兩者最終的計算結果是一致的。這表明，我們可以有理由相信 (A+B)C=A(B+C)的性質。儘管這不是對點加法結合律的嚴格數學證明，如圖可視化的過程直覺上告訴我們這是正確的。

Figure 2-16. (A+B)+C

Figure 2-17. A+(B+C)

為了方便代碼實現點加法，我們將這個過程分解成三種情況：

首先我們實現恆等元點，即無窮遠點。因為我們不能在python中直接使用表示’無窮’的值。我們使用 None 來代替，我們期待的運行效果為：

為了實現這一功能，我們需要做兩件事情。第一步是修改原有的__init__來使無窮遠點跳過一個點是否在橢圓曲線函數上的檢查。 第二步，如我們在FieldElement中做的那樣，重載加法運算符 __add__：

之前我們已經處理的相同x坐標時的點加法。接下來我們處理不同x坐標的加法。當兩點的x 坐標不相同時，我們可以使用簡單的計算公式來獲得結果。為了方便理解，我們首先計算兩點確定的直線的斜率。我們可以使用基礎代數的公式來計算： P₁=(x₁,y₁), P₂=(x₂,y₂), P₃=(x₃,y₃) P₁+P₂=P₃ s=(y₂-y₁)/(x₂-x₁)

我們可以利用斜率 s 計算x₃ ，只要我們知道x₃，就能計算y₃,P₃ 的推導公式如下： x₃=s²-x₁-x₂ y₃=s(x₁-x₃)-y₁ 注意y₃ 是直線第三個交點的關於x軸的對稱點。

要在代碼庫加入這個計算，就要修改add，來處理x₁≠ x₂的情況。我們有下面的公式:

s=(y₂-y₁)/(x₂-x₁) x₃=s²-x₁-x₂ y₃=s(x₁-x₃)-y₁

在最後，我們返回一個Point 類的實例。使用__self__.__class__ 方便之後子類的繼承。

當x軸坐標相等，y軸坐標不相等，如我們之前討論過的那樣，兩個點關於x 軸對稱，這意味著：

P₁=-P₂ 或者P₁+P₂=I

我們在Exercise 3 中已經解決了這個問題。 但如果P₁=P₂時該如何計算呢？幾何上，我們應該做P₁的切線，並找到其與橢圓曲線的另一個交點。情況如圖[Figure 2-18]所示。

Figure 2-18. 直線與橢圓曲線相切

同樣的，我們要先計算出經過點的切線的斜率：

P₁=(x₁,y₁), P₃=(x₃,y₃) P₁+P₂=P₃ s=(3x₁²+a)/(2y₁)

注意，上面的a為橢圓曲線公式中平方項x²的系數。剩餘的推導部分則跟之前的一樣，除了現在x₁ = x₂，因此我們可以帶入到上面的公式得到：

x₃ = s² - 2x₁

y₃ = s(x₁-x₃)-y₁

我們要修改__add__方法來處理這種情況。我們需要實現下面的公式：

s=(3x²_1+a)/(2y₁) x₃=s²-2x₁ y₃=s(x₁-x₃)-y₁

除了之前討論的，我們還有一個例外情況，即我們的切線是垂直於x 軸的.

這種情況只發生在P₁=P₂且它們的y軸坐標為0。這種情況下，在計算斜率時會出現除0 的問題。

我們在代碼中加入這個特例的處理

在本章中，我們討論了橢圓曲線的定義，代碼實現了點加法的方法。在第三章中，我們將結合前面兩章的概念來學習橢圓曲線密碼學。

在[第二章]中，我們通過繪制實數域上的橢圓曲線，來瞭解橢圓曲線在幾何上是什麼樣的。但實際上橢圓曲線上不只有整數，有理數，還包括所有的實數。 比如π，√2，e+⁷√19。

原因是實數本身也是一個域。除了實數域包括無限多個實數外，其他性質和有限域是一樣的，包括：

毫無疑問，實數域滿足以上性質：實數的加法和乘法滿足1 和 2。加法恆等元和乘法恆等元 0 和 1 也存在，-x 是 x的加法逆，1/x 是x 的乘法逆。

在圖形上我們可以輕而易舉地繪畫出實數。比如 y²=x³+7 的圖像為[Figure 3-1]。

Figure 3-1. 實數域上的secp 256k1曲線

實際上我們可以在任何域上使用點加法，包括我們在[第一章]學習的有限域。唯一的區別是我們使用的加減乘除須是[第一章]定義的版本，而不是「常見」的實數使用的版本。

一個有限域上的橢圓曲線(Elliptic curve over a finite field)是如何定義的呢？讓我們考察一下這個的方程：y²=x³+7 over F₁₀₃ 。可以通過計算驗證點 (17，64)在橢圓曲線上：

y²=64²%103=79

x³+7=(17³+7)%103=79

通過有限域的數學知識我們驗證了該點的確在這條曲線上。

如果把所有符合方程的有限域的點繪制出來，結果會和實數域的圖像完全不一樣[Figure 3-2]。

Figure 3-2. 有限域上的橢圓曲線

如圖像所示，這是一個散點圖而不是一個光滑的曲線。這並不意外，因為本身這些（有限域的）點就是離散的。唯一能觀測到的規律是散點圖在中間部分上下對稱，原因是等式左邊的項 y²。該圖像沒有關於x 軸對稱，而是從中間對稱，原因是在有限域中沒有負數元素。

有限域上的橢圓曲線擁有非常好的性質，之前定義的關於有限域的加減乘除和指數運算仍然適用。雖然看上去非常神奇，儘管和你熟悉常見的計算模式非常不一樣，但抽象代數確有這樣的規律性。

因為我們在有限域上已經定義過+-× 和 / 運算符。現在我們可以結合兩個類來實現有限域上的橢圓曲線：

當我們初始化一個點的時候，我們可以運行下面這段代碼：

其中的加法(+)，乘法()，指數(*)，和不等判斷(!=)的運算符使用FieldElement的方法__add__ ，__mul__， __pow__ 和__ne__ 的重載，而不是整數使用的版本。對同一個曲線的基礎運算給出不同定義是我們構造橢圓曲線加密庫的方法。

有限域上的橢圓曲線的點所需要的兩個基礎類我們在之前完成了。但是為了測試其正確性，我們有必要建立一個測試組件。比如利用[Exercise 1]作為測試數據的一部分。

#1 在數據初始化時，我們把FieldElement 對象傳遞給Point 類。好處之一是我們之後可以使用在FieldElement中重載後的運算符。

我們可以如下運行測試：

我們可以繼續使用有橢圓曲線上的那些函數，包括一次函數：

y=mx+b

結果顯示，有限域上的直線可能和你的預期並不一致。([Figure 3-3])

Figure 3-3. 有限域上的直線

無論如何，該方程在有限域上仍然是有意義的。並且對給定x，我們可以計算出y的值。點加法也一樣在有限域上有效。因為實際上橢圓曲線點加法可以在所有的域使用。我們在有限域上使用的也是相同的計算方法，即 當x₁≠ x₂:

P₁ = (x₁，y₁)， P₂ = (x₂，y₂)， P₃ = (x₃，y₃)

P₁ + P₂ = P₃

s = (y₃ – y₁)/(x₃ – x₁)

x₃ = s² – x₁ – x₂

y₃ = s(x₁ – x₃) – y₁

當 P₁=P₂ 時：

P₁ = (x₁，y₁)， P3 = (x₃，y₃)

P₁ + P₁ = P₃

s = (3x₁² + a)/(2y₁)

x₃ = s² – 2x₁

y₃ = s(x₁ – x₃) – y₁

所有在橢圓曲線上的操作在有限域上依然是有效的，這能幫助我們構建一些密碼學基礎工具。

因為我們使用了重載的方式實現了 FieldElement 類的__add__， __sub__， __mul__， __truediv__，__pow__， __eq__， 和 __ne__ 方法。我們可以使用有限域的實例來初始化有限域：

因為一個點可以加上這個點本身，所以我們引入一個新的記號:

(170，142) + (170，142) = 2 ⋅ (170，142)

類似的，因為結合律，我們可以對點本身再加一次： 2 ⋅ (170，142) + (170，142) = 3 ⋅ (170， 142)

我們可以重復做很多次的類似運算。這就是我們所謂的標量乘法(scalar mulpiplication )。因此在一個點的前面我們可以增加一個標量。我們能這樣做的原因是我們定義的點加法是有結合律的。

一個標量乘法的優秀性質是:除非經過計算，否則很難預測其結果。（參考 [Figure 3-4]）

Figure 3-4. 計算有限域上的橢圓曲線 y²=x³+7 over F₂₂₃上點(170，142)的標量乘法

每個點上的標籤表明我們對該點做了幾次加法。你也可以看見結果完全是一個散點圖。這是因為點加法是非線性的且不易計算的。計算標量乘法很直接，與此相反，除法並不直觀。

這樣的問題被稱為 離散對數問題 (discrete log problem)，這是橢圓曲線密碼學的核心。

標量乘法的另一個性質是在經過一定次數的乘法運算後，會得到無窮遠點（無窮遠點也就是加法單位元或者0）。我們假設有個點 G，不斷做標量乘法，直到計算出無窮遠點。那麼我們獲得了下面的集合：

G，2G，3G，4G,…​nG where nG=0

這樣的集合可以稱為群，因為n是有限的，我們構造了一個有限群（更具體說，是一個有限循環群）。群在數學的概念上很有趣，因為它們能很優美地和加法對應起來：

G+4G=5G or aG+bG=(a+b)G

結合標量乘法的直接運算直觀而逆運算複雜的屬性以及群的數學性質，我們準備了構建橢圓曲線密碼學的基礎。

標量乘法是一個點自己加上自己數次。標量乘法能成為公鑰密碼學的核心原因是橢圓曲線上的標量乘法很難做逆運算，可以參考上一個練習。更可能的做法是你計算了s ⋅ (47，71) in F₂₂₃ 對從1到21的每個s 都計算一次。結果如下：

如果你仔細檢查這些結果，並不能找到標量乘法可辨別的模式和規律。x 和y坐標並不是單調遞增或者遞減的。唯一的模式是在s為10和11時，x軸坐標相等。（類似的9 和 12，8和 13等都成立）。這是因為21⋅(47，71)=0。

標量乘法看上去非常隨機，也就給了方程非對稱的性質。非對稱指的是單向容易計算，反向的逆運算困難。舉例，我們可以容易地計算12⋅(47，71)。但是我們換個問題：

s⋅(47，71)=(194，172)

我們怎麼計算s 呢？我們可以根據之前的計算表查找得到。但是這是因為我們有一個相對性小的群。我們將在第58頁的[「定義比特幣的橢圓曲線」]介紹，當有非常大的數字時，離散對數問題將是非常難計算的。

我們之前學習的數學知識（結合了有限域和橢圓曲線）把我們引向這個問題。為了公鑰密碼學，我們真正想構造的實際上是有限循環群。結論是如果我們從有限域上的橢圓曲線上選擇一個點作為起點，我們可以生成一個有限循環群。

和域不同，群只有一個運算符。在我們討論的情況下，這個運算符指的是點加法。群還有一些其他特性。比如封閉性(closure)，可逆性(invertibility)，交換律(commutativity)和結合律(associativity)。最後我們還需要恆等元(identity)。 （譯注：因為群只有一個運算符，所以恆等元指加法恆等元）。

我們嘗試按照如下的方式完成[Exercise 5]:

我們希望實現標量乘法，一個數乘以點對象的情況。幸運的是在python 中有一個__rmul__ 方法可以重載左乘法(front multiplication)。一個簡單實現如下：

#1 我們初始化product 為0，來處理被標量乘法的點是無窮遠點。

#2 每次循環，我們對product 加一次被標量乘法的點。

譯注： 當Python試圖乘以兩個不同對象時，它首先嘗試調用左對象的__mul__()方法。如果左對象沒有__mul__()方法或者處理不了右對象的類型，則會去尋找右對象的方法__mul__()。如果我們希望這個乘法是不可交換順序的，比如我們這裡要求是[常數 * FieldElement對象]，則需要重載的對應方法應該是__rmul__()。 rmul 中r 對應的單詞為reverse，反向。

這對小的系數來說是可接受的。但是如果有一個非常大的系數，那麼這個計算不會在合理的時間內得到結果。比如我們標量乘法的系數選擇1萬億(1 trillion)，就會花非常長的時間。

有一個名為二進制展開(binary expansion)的技術可以幫助我們把複雜度降到log₂(n)，可以顯著降低計算所需要的時間。比如1萬億用二進制表示需要40個二進制位(bit)。我們只需要40次循環就可以處理萬億次這個被認為相對大規模的問題。

這是一個高級技巧。如果你不瞭解位運算，可以理解為對系數用二進制表示後，只加那些包含1 的位的值。

結合 __add__ 和 __rmul__，我們可以開始定義一些更複雜的橢圓曲線。

(譯注：有關這個技巧的原理、細節和效率的討論可以搜索 「埃及乘法」的相關內容)

出於舉例的目的，我們使用的是相對小的數字。但我們並不止步於如此小的數字。使用一個小的質數意味著可以使用計算機窮舉群的所有元素。比如群的大小只有301，電腦可以容易地做301次運算遍歷來做標量乘法的逆運算，破解離散對數問題。

但是如果選擇一個更大的質數呢？實際上我們可以選擇比我們常見的質數大非常多的質數。橢圓曲線密碼學方案的安全性取決於計算機不可能遍歷群的哪怕是其中的一小部分。

一個公鑰密碼學方案使用的橢圓曲線通過如下變量定義：

這些參數都是公開的，一起構成了密碼學曲線。出於安全性和易用性的考量，有非常多的密碼學曲線。但我們最關心的是比特幣使用的曲線：secp256k1。其選取的參數為：

G_x為 G點的x坐標，G_y為y坐標。數字以0x為前綴表明其為16進制。

比特幣的曲線有幾個值得注意的地方。第一個是方程的參數a，b 非常簡單，很多曲線選擇了非常大的a和b。

第二，p 的選取非常接近2²⁵⁶。這意味著大部分小於2²⁵⁶ 的質數都屬於這個質數域。因此這個曲線上的點都可以用256位的二進制數表示。n也非常接近2²⁵⁶，這表示標量乘法的常數也可以用256位的二進制數表示。

第三，2²⁵⁶ 是一個非常大的數字。同時任何小於2²⁵⁶的數字都可以用32字節的空間儲存，這使得私鑰的儲存相對容易。

終於，我們已經湊齊了完成公鑰密碼學的工具。核心運算是P= eG是一個非對稱方程。如果知道e和G，可以輕易的計算出P，但是已知P和G，很難推理出e。這就是我們之前提到的離散對數問題。

離散對數的難計算是我們理解籤名和驗證算法的核心知識。

一般地講，我們稱e為私鑰，P為公鑰。注意私鑰是一個長度為256-bit的數字，公鑰是一個坐標(x，y)， x和y也是256-bit的數字。

為了幫助理解籤名和驗證存在的動機，我們想象下面的場景。你想證明你是一個優秀的弓箭手，有能力在500碼內，射中任何選定物體。

當有一個人可以觀察到你，並與你交流，證明你的能力並不困難。他可以把你的兒子放置在400碼的距離，頭頂一個蘋果，讓你用箭射中蘋果。作為一個優秀的弓箭手，你可以完成這個挑戰來證明你的能力。驗證者選定的靶使得你的箭術很容易被驗證。

不幸的是，這種方法缺乏擴展性。比如你想證明給10個人看，你需要完成10個不同的挑戰，射出10支箭，射向10個不同的靶。你可以讓10個人圍觀你射一箭，但是因為不可能讓10個人都指定靶，所以他們總會懷疑是否你只擅長特定的靶，而是不任意的靶。我們需要的這樣的一個證明，你只完成一次，不需要和觀察者交流，但他們仍然確信你是一個優秀的弓箭手，可以射中任意的靶。

比如，你簡單的射中了你選定的目標，人們觀測後並沒有信服。畢竟有可能是你先射箭後畫靶。那麼你應該怎麼做呢？

有一個非常機智的方法供你選擇。在箭的箭頭上雕刻你要射中的靶的坐標（孩子頭上的蘋果），之後用箭射中你的靶。現在任何看到靶的人都可以使用X光機看看嵌入的箭頭的坐標是否是靶的位置。很明顯，箭頭必須在射入靶之前就雕刻好坐標。所以他們可以相信你是一個優秀的弓箭手（假設這個靶並不是你反復多次練習過）。

我們簽名和驗證使用的是相同的技巧，我們要證明的從優秀的箭術替換為我們掌握一個隱秘的數字。我們希望證明我們掌握這個數字但不透露這個數字本身。我們可以通過把「靶」放進我們的計算過程，然後擊中「靶」來實現。

最後我們將要把它用在比特幣的交易上，它會幫我們證明真正的隱秘數字所有者正在使用他的比特幣。

我們在本章討論了橢圓曲線密碼學，進而能夠完成簽名來證明自己掌握私鑰和簽名信息和作為驗證者驗證他人的簽名信息。到本章為止，你可能已經掌握了你之前認為是「武器級彈藥」的代碼實現。這對你來說是非常重要的一步，也是理解本書其餘部分的核心知識。

為了方便我們將信息存貯在硬碟和在網路中傳輸，接下來我們要進行序列化的工作。

我們從公鑰的類S256Point類開始實現。回想一下，橢圓曲線加密中的公鑰實際上是(x，y)形式的坐標。我們如何序列化這些數據？

事實上，已經有用於序列化ECDSA公鑰的標準，稱為Standard for Efficeient Crypotgraphy（SEC高效加密標準）- 正如名字中「高效」暗示的那樣，它的開銷最小。我們需要關注兩種SEC格式：未壓縮格式和壓縮格式。我們將從前者開始，並在下一節中討論壓縮格式。

下面的步驟是生成一個給定點P=(x,y)的未壓縮SEC 格式（uncompressed SEC format）的步驟：

未壓縮的SEC 格式如[Figure 4-1]。

Figure 4-1. 未壓縮的SEC格式

完成未壓縮SEC格式的序列化非常明瞭。最複雜的部分是如何把一個256位的數字轉換為大端序的32字節。代碼實現如下：

在Python3 中可以使用to_bytes方法將數字轉換為字節。第一個參數是它應該佔用多少字節，第二個參數是字節序（參見前面的注釋）。

回想一下，對於任何x坐標，由於橢圓曲線中的y²項，最多有兩個y坐標。([Figure 4-2])

Figure 4-2. 當垂直於x軸與曲線相交

在有限域上也存在同樣的對稱性。

這是因為對於任意(x，y)，如果滿足y²=x³+ax+b，那麼(x，-y)會在曲線上。進而在有限域上，有-y % p=(p-y)% p。更準確地說，如果(x，y)在有限域的橢圓曲線上，(x，p-y) 也在曲線上。因為對於一個x只有兩個解，如前面討論的，如果我們知道 x， 那麼y坐標不是y就是p-y。

因為p是一個大於2的質數，所以p也是奇數。如果y是偶數則p-y是奇數(奇數減偶數)。如果y是奇數則p-y是偶數(奇數減奇數)。也就是說，在y 和p-y中必然有一個奇數，另一個則是偶數。我們可以利用這一點來壓縮未壓縮的SEC格式：提供x坐標和y坐標的奇偶性。我們稱這個壓縮方法為壓縮的SEC格式（compressed SEC format）。y坐標被壓縮成單個字節（即偶數還是奇數）。

下面是對於點P=(x，y)採用壓縮的SEC格式序列化的步驟：

壓縮的SEC格式如下圖[Figure 4-3]。

Figure 4-3. 壓縮的SEC格式

同樣的，其實現也很簡單。我們可以修改sec方法來處理壓縮的SEC公鑰：

壓縮的SEC 格式的巨大優勢是其只佔用了33個字節而不是65個。在數百萬次交易中使用，就可以積累很大的空間節省。

你可能會問我們是如何根據x計算的y呢？這需要我們在有限域中計算平方根。

即數學上的： 當給定v，計算滿足w²=v的w

事實上，如果有限域的質數 p%4=3時，我們可以非常容易地計算，以下是計算步驟： 首先我們知道：

p%4=3

可以推理出:

(p+1)%4=0

這說明(p+1)/4是一個整數。 根據定義：

w²=v

我們要找到一個計算w的公式。根據費馬小定理：

w^p-1%p=1

可以得出：

w²=w²⋅ 1 =w²⋅ w^p-1=w^p+1

因為p是奇數(p是質數)，所以(p+1)可以整除除以2，得出：

w=w^(p+1)/2

利用(p+1)/4為整數的性質：

w=w^(p+1)/2=w^2(p+1)/4=(w²)^(p+1)/4=v^(p+1)/4

至此我們獲得了平方根公式：

當w²=v， p%4=3時w=v^(p+1)/4

事實上secp256k1的橢圓曲線的質數 p%4==3，所以我們可以使用下面的公式：

w²=v

w=v^(p+1)/4

w兩個可能值之一，另一個為p-w。這是因為求平方根的兩個結果為一正一反，互為相反數。 我們可以把這個方法加入到S256Field 類中：

當我們得到一個序列化的SEC公鑰時，我們可以通過下面實現的parse方法來計算y:

#1 未壓縮SEC 格式的解析簡單明確，沒有計算。

#2 y的奇偶性在第一個字節中給出。

#3 對橢圓曲線方程等號右邊部分求平方根可以得到y。

#4 根據y的奇偶性來決定返回正確的點。

另一個我們需要序列化的類是Signature。和SEC格式一樣我們要對兩個不同的數字r和s編碼。和S256Point 不同，因為不能只根據r 計算出 s，所以簽名不能被壓縮。

簽名序列化的標準是 Distinguished Encoding Rules （DER 可分別編碼規則）格式。DER 格式被中本聰採用作為序列化簽名的方法。最可能的原因是這個標準在2008年確立，並且得到OpenSSL庫（比特幣當時使用的庫）的支持。與其創造一個新的標準，不如簡單地採納適應已有標準。

DER簽名格式如下定義：

#4 和 #6 的規定了待序列化的數據第一個字節大於 0x80 的情況，因為DER是一個通用的編碼規則，允許負數編碼，第一位為1意味著數字為負數（譯注：指二進制轉換後的第一位）。ECDSA的簽名數據中的數字都為正數，所以如果簽名數字二進制轉化後第一位為1（等價於第一個字節大於0x80），我們需要前置0x00。

（譯注：這裡簡單補充一下0x80和負數的關係。對於一個字節能表達數字的為2⁸=256，因為DER還負責負數的編碼，其代表的範圍應當是 -128 到127。我們對0x80 展開，即為1000 0000₂=128₁₀。計算機為負數分配了大於 0x80 的編碼。比如0x80 為 -128， 0x82 為 -126。對大於0x80數字增加前綴的設計目的是為了防止簽名數據被認作負數）

DER 格式的如圖[Figure 4-4]:

Figure 4-4. DER 格式

我們知道 r 是一個256比特的整數，大端序最多需要32字節來表示。因為第一個字節可能 ≥ 0x80，所以步驟#4 最多有33個字節。但如果 r 是一個相對小的數字，可能小於32個字節就能表示。同樣的情況對步驟# 6 也適用。 我們對其實現如下：

#1 在python3 中，我們可以使用bytes([some_integer1， some_integer2])把一個數字的列表轉換成對應的字節。

總之這是一個非常不效率的編碼r和s的方案，至少有六個字節是不必要的。

在比特幣早期，比特幣被放置在SEC未壓縮格式的公鑰上，並通過DER 簽名來解鎖進行交易。這種情況下使用非常簡單的腳本（srcipt）時，不僅在儲存未花費交易輸出（unspent transaction outputs UTXOs）上顯得浪費，也比現在比特幣廣泛使用的腳本更不安全，我們在將要討論的[第六章]中會解釋其原因。接下來我們會詳細介紹地址（address）是什麼，以及其如何編碼。

我們瞭解大端序和小端序在python中如何實現是非常有用的。接下來的幾章將經常需要從大端序或者小端序來解析和序列化數字。特別是中本聰在比特幣的設計中使用了很多小端序。

不幸的是，並沒有沒有易於掌握的規則來判斷在哪裡使用小端序，在哪裡使用大端序。SEC 格式公鑰，地址和WIF使用大端序。但從[第 5 章]開始，將更多使用小端序。出於這個目的和之後方便使用，設計了下面的兩個練習。本節的最後一項練習是為自己創建一個測試鏈地址。

在本章我們學習了如何對一系列在之前章節構造的類做序列化的方法。接下來我們轉向討論交易的解析和理解。

從高層次看，一個交易只包含下面四個組成部分：

（譯注：因為Inputs 和outputs 有些抽象且作為交易的核心內容會經常使用，本書後續將不翻譯而直接使用原文inputs和outputs，這也符合區塊鏈中文技術社區的常規用法。）

我們對這幾個組成部分簡單的概括對後續討論會有幫助。版本號代表了交易要使用哪些額外的功能，input定義了哪些比特幣被花費，output定義了比特幣流向哪裡，鎖定時間定義了交易在什麼事件後才會生效。我們將詳細討論每個部分。

Figure 5-1 展示了一個典型交易的16進制數據和其數據對應所屬部分。

Figure 5-1. 交易組成部分：版本號，input，output和時間鎖

不同顏色高亮部分代表了對應的版本號，inputs，outputs和時間鎖。

瞭解上面的內容，我們就可以開始構建名為Tx的交易類：

\#1 input 和output 是非常基礎的原生的組件，所以我們會指出input具體是什麼，並在之後定義這個對象的類型。

\#2 我們需要知道交易是在哪個網路上的，這樣才能完整地驗證交易。

\#3 id 欄位是區塊鏈瀏覽器查找交易時使用的索引，是交易的十六進制格式的hash256運算的結果。

\#4 這個hash函數返回對小端序的序列化數據的hash256運算結果。但我們目前還沒有實現序列化的函數，直到我們實現了這個函數，hash 函數才能被使用。

本章的其餘部分將討論如何解析交易。我們現在可以寫如下代碼：

\#1 這個方法必須是類方法。輸入序列化數據返回一個交易對象的實例。

\#2 我們默認serialization 的類型是一個byte array。

這當然能正常工作，但交易體積可能非常大。理想的情況，我們需要從流（stream）中解析。這使得我們沒有獲得全部序列化數據之前就能開始解析交易數據，也能讓我們提早發現錯誤來提高效率。因此一個解析交易的函數應該更像下面的代碼：

\#1 read 方法允許我們實時地解析，因為我們不需要等待I/O寫入。

從工程角度來看，這是有利的，因為流可以是網路上的socket連接或文件句柄。我們可以在等待傳輸而不是讀取全部完成的情況下開始解析流數據。這個方法將能夠處理任何類型的流並返回我們需要的Tx對象。

當你收到一個版本號（比如Figure 5-2 為例），這意味著告知接受者有關版本號代表的事物的信息。比如你啓動了window3.1 系統，這個版本顯著區別於windows 8和 windows 10。你也可以只說明你啓動的是windows，但是在操作系統後附加版本號信息將幫助你瞭解其特性和你的代碼可以使用的API。

Figure 5-2. 版本號

類似地，比特幣也有自己的版本號。在比特幣中，版本號一般為1，但也有一些會用到2做版本號的情況（交易使用了BIP0112 中定義的操作碼（opcode） OP_CHECKSEQUENCEVERIFY，需要使用大於1的版本號。）

你可能已經注意到實際上十六進制的版本號為01000000，看上去並不是1。但是版本號使用的是小端序，即版本號的值為1。（可以回顧第四章的相關討論）

每個交易的input 都指向父交易（pervious tansaction）的 output（如圖 Figure 5-3）。直覺上這一開始看上去並不直觀，需要我們進一步解釋。

(譯注：譯者對pervious transaction 採用了’父交易’的翻譯，以強調其前後關聯和價值轉移的關係。但從交易角度講，比特幣的交易可以由多個input 和output 組成，所以會出現父交易的父交易也可以是你的父交易這種非常中世紀的情況。)

Figure 5-3.Inputs

比特幣的inputs 是在花費父交易的outputs。也就是說，在你花費掉比特幣之前你必須先收到一些比特幣。這也符合直覺。你不能花掉你還沒有收到的錢。input 指你擁有的比特幣，每個input 包含以下兩項：

第二部分使用了ECDSA（第三章）。你肯定不希望別人能偷走你的比特幣，所以大部分的input 包含了只有對應的私鑰擁有者才能製作的簽名。

input欄位也可以包含不止一個input。做個類比，你可以使用一張100美元紙幣支付70美元的一頓飯，也可以使用一張50美元紙幣和一張20美元紙幣來支付。前者的支付方式只需要一個 input ，後者的支付方式需要兩個。還有一些情況，交易可能包含更多的input，比如使用14張5美元的紙幣來支付，甚至7000個一美分硬幣。在比特幣中相當於14個inputs 和 7000個inputs。

Figure 5-4中高亮了input的數量，位於版本號之後。

Figure 5-4. inputs的數量

我們可以看到其字節為01，這意味著交易只有一個input。這裡可能很容易假設它總是一個字節，但事實並非如此。單個字節有8個比特，因此任何超過255個inputs的情況都不能在單個字節中得以表達。

我們在這裡引入變長整數（varints）的機制。Varints 是varible integer 的縮寫，它提供從 0 到 2⁶⁴-1 的整數編碼成字節的方法。當然我們可以使用8個字節來編碼整數，但是當我們要編碼的數字相對比較小時（比如小於200），這會非常浪費空間。所以我們使用變長整數來節省空間。你可以在下面的欄目里學到變長整數是如何運作的。

如上一個節提示的那樣，output定義了比特幣流向了哪裡。每個交易至少有一個或者多個output。為什麼交易會有多個output 呢？交易所會使用合併提款，比如一次支付給多個人而不是每個人都通過一次交易來其發送要求提出的比特幣。

和input一樣，output 的序列化也需要在首先使用變長整數聲明有多少個output。如圖Figure 5-6。

Figure 5-6 Output 的數量

每個output 包含兩個欄位：amount和公鑰腳本（ScriptPubKey）。amount 欄位指以聰為單位轉賬的比特幣數量，1聰等於 1/100000000 個比特幣。這使得比特幣可以分割成非常小的單位，在本書寫作時，1聰價值大約為 1/300 美分。比特幣的絕對數量上限約為21000000個比特幣，換算成聰為2,100,000,000,000,000聰。這個數字略微小於 2³²，因此使用64比特或者8個字節就足夠儲存了。amount以小端序序列化。

（譯注：比特幣每區塊產出50個比特幣，每210,000個區塊減半（約四年）。那麼比特幣上限是一個簡單的數學問題，一個無窮的等比數列求和並不難計算出2100萬的上限。但要注意比特幣並不能無窮細分，最小單位為1聰。當減半後小於1聰時，會不再產出新的比特幣。總計為20999999.97690000個比特幣）

公鑰腳本和簽名腳本類似，和比特幣的智能合約語言相關。可以把公鑰腳本理解成給箱子加鎖，只能被掌握鑰匙的人打開。這是一個單向的安全設計，可以接受任何人的轉賬，但只能由保險箱的所有者打開。我們將在第六章進一步討論。和簽名腳本一樣，公鑰腳本有一個變長的欄位，並有一個變長整數作為前綴來表明其長度。

圖Figure 5-7是一個完整的output的例子：

一個完整的output欄位：數量和公鑰腳本---這個ouput 的序號為0

時間鎖（locktime）是實現延時交易的一個工具。一個有600000區塊的時間鎖的交易，直到區塊高度為600001時才能進入區塊鏈。設計的目的本是為了便於高頻交易（參考 序列號和時間鎖），但因為不安全而放棄了。如果時間鎖的數字大於等於500,000,000是，locktime 解析為Unix時間戳。如果小於則解析為區塊高度。也就是被簽名交易處於不能使用的狀態，知道到達對應的區塊高度或者Unix 時間戳。

時間鎖以小端序佔4個字節（Figure 5-8）:

Figure 5.8 時間鎖

實踐中，時間鎖的主要問題是在時間鎖過期後不能確保交易會執行。這與遠期支票類似,存在餘額不足、支票無法兌付的可能性。交易的發起者可以在鎖定期結束前使用對應的Input並使交易進入區塊鏈。因此帶時間鎖的交易會在時間鎖過期後變成失效交易。

在BIP065實施之前，locktime 的使用非常有限。BIP0065 引入了OP_CHECKLOCKTIMEVERIFY操作符，附帶locktime 的output 將不會被提前花費掉，這提高locktime 的可用性。

我們已經實現瞭解析交易的功能。現在我們反過來進行交易的序列化，首先從TxOut 開始：

\#1 我們將要把交易序列化成字節。

接下來我們處理TxIn：

最後我們序列化Tx：

序列化的過程中我們使用了TxIn 和 TxOut 類的serialize 方法。

注意,交易手續沒有出現，這是因為交易手續費是隱含的金額，我們將在下一節中講到。