Herhangi bir hesaplama zorluğu iş kanıtına dönüştürülebilir mi?

Kripto para madenciliğinin görünüşte anlamsızlığı, yararlı alternatifler sorununu gündeme getirdi, Bitcoin , CST , MO ile ilgili bu soruları görün . Hemen hemen herhangi bir hesaplamalı meydan okuma (çözümü verimli bir şekilde doğrulanabilir) böyle bir meydan okuma (iş kanıtı için kullanılır dönüştürmek için bir algoritma olup olmadığını merak ediyorum$\mathcal C$$\Psi(\mathcal C)$

1. fonksiyonu bazı (genel) rasgele sıralar rastgele .$\Psi$$r$
2. Çözme olduğu tipik çözme gibi sert .$\Psi(\mathcal C)$$\mathcal C$
3. için bir çözüm bulunursa , orijinal meydan okuma için çözümü etkili bir şekilde hesaplanabilir .$x$$\Psi(\mathcal C)$$\Psi^{-1}(x)$$\mathcal C$
4. için bir çözüm bilmek için bir çözüm bulmakta yardımcı olmaz .$\mathcal C$$\Psi(\mathcal C)$

$\;\:\:$ 4 '(Güncelleme). Nuh'un bir yorumda belirttiği gibi, önceki koşul, önişleminin çözmede de herhangi bir avantaj sağlamamasını gerektirecek şekilde güçlendirilmelidir .$\mathcal C$$\Psi(\mathcal C)$

Bu son koşul, hiç kimsenin sadece bir çözümünü bildiği için avantajlı bir konuma getirilememesi için gereklidir . Bu yöntemi kullanarak, insanlar çözmek istedikleri hesaplama problemlerini sunabilirler ve merkezi bir otorite çözülmeye değer bazı şeyler seçebilir (uzaylıları bulmak veya şifreleri kırmak gibi). Sorunun çözülmesi bir hafta bile sürerse sorun olmayacağını unutmayın (sanırım bu uzaylılar saklanmakta o kadar iyi olamaz;), çünkü bu bir çözüm için daha büyük bir ödülle sonuçlanabilir. Her neyse, bu konular teorik problemimin çözümü ile ilgili değil, ama elbette bunları yorumlarda / forumda tartışmaktan mutluluk duyuyorum.$\mathcal C$

Olası bir çözüm şu olacaktır: eşler içine çözme vardır, \ mathcal C ve diğer bazı, hesaplama sert meydan okuma. Bununla ilgili bir sorun, \ mathcal C için bir çözümün bilinmesinin \ Psi (\ mathcal C) 'yi çözmeyi biraz daha kolay hale getirmesidir (ne kadar kolay HASH_r zorluğuna bağlıdır ). Bir diğer konu olmasıdır \ Psi (\ mathcal C) daha zor hale \ mathcal C .$\Psi$$\mathcal C$$(\mathcal C,HASH_r)$$\mathcal C$$\mathcal C$H A S H r Ψ ( C ) $\Psi(\mathcal C)$$HASH_r$$\Psi(\mathcal C)$$\mathcal C$

( Not : Andreas Björklund, yorumlarda aşağıda açıklanandan daha iyi olduğuna inandığım bir çözüm önerdi. Bkz. Http://eprint.iacr.org/2017/203 , Ball, Rosen, Sabin ve Vasudevan. sertfik iyi anlaşılmıştır ve bu birçok problemler (örneğin, k-SAT) nispeten etkin bir şekilde azaltılabilir ortogonal vektörler gibi sorunlar göre çalışma deliller sağlar. bunların PoW örneği gibi sert gibidir en kötü durumda Ortogonal Vektörler, giriş örneği kolay olsa bile , aşağıda açıklanan çözümün büyük bir dezavantajını önlerler.$\Psi(\mathcal{C})$$\mathcal{C}$

Aşağıda açıklanan çözüm basitliğinden yararlanabilir - uzman olmayan bir kişiye açıklanabilir - ancak teorik olarak çok daha az ilginç görünüyor.)

" için en hızlı algoritmanın temelde rastgele" olduğu varsayımında güçlü bir çözüm varsa (ve bir kriptografik karma işlevini rastgele bir kehanet olarak modellersek) bir çözüm mümkündür. Bunu resmileştirmenin bir yolu,$\mathcal{C}$

1. $\mathcal{C} \in \mathsf{TFNP} \setminus \mathsf{FP}$ (aksi takdirde, bu gerçekten geçerli bir zorluk değildir);
2. için en hızlı randomize algoritma tipik bir örnekte beklenen zamanında çalışır ; ve$\mathcal{C}$$T$
3. verimli bir hesaplanabilir bir fonksiyon vardır den çözümler etki için , her zaman vardır, öyle ki ile için bir çözüm .{ 0 , 1 } k C k ≈ log 2 T s ∈ { 0 , 1 } k f ( s ) $f$$\{0,1\}^k$$\mathcal{C}$$k \approx \log_2 T$$s \in \{0,1\}^k$$f(s)$$\mathcal{C}$

kaba kuvvet aramasının temelde için en uygun algoritma olduğunu ima ettiğine dikkat edin . Bu oldukça güçlü bir varsayım. Öte yandan, bu özellikleri karşılamıyorsa, hem koşullarınızı (2) hem de (4) karşıladığımı hayal etmek zor.{ 0 , 1 } k C $k \approx \log_2 T$$\{0,1\}^k$$\mathcal{C}$$\mathcal{C}$

Daha sonra rastgele bir kehanet olarak hash fonksiyonu verildiğinde aşağıdaki gibi, burada bazı için için rastgele . Hedef çıkış için bu şekilde bir solüsyonu da . Başka bir deyişle, yukarıdaki algoritma için "iyi rastgele paralar" karması gerekir.Ψ H ( C ; r ) r ∈ { 0 , 1 } $H : \{0,1\}^* \to \{0,1\}^k$$\Psi_H(\mathcal{C}; r)$$r \in \{0,1\}^\ell$Ψ H x ∈ { 0 , 1 } ∗ f ( H ( r , x ) ) C ( r , x $\ell \gg k$$\Psi_H$$x \in \{0,1\}^*$$f(H(r,x))$$\mathcal{C}$$(r,x)$

Bunun tüm koşullarınızı karşıladığını görelim.

1. " fonksiyonu bazı (genel) rasgele sıralar rastgele ." Kontrol!$\Psi$$r$
2. " çözmek genellikle çözmek kadar zordur ." için basit rastgele algoritmanın beklenen zamanda en fazla artı polinom yükü üzerinde çalıştığına ve varsayımıyla esasen en uygun algoritmanın çalışma süresine dikkat edin. .C Ψ H ( C , r ) 2 k 2 k ≈ T $\Psi(\mathcal{C})$$\mathcal{C}$$\Psi_H(\mathcal{C},r)$$2^k$$2^k \approx T$$\mathcal{C}$
3. " için bir çözüm bulunursa , orijinal meydan okuma için çözümü etkili bir şekilde hesaplanabilir ." Bu, varsayımla ye bir çözüm olan hesaplanarak yapılabilir .Ψ ( C ) Ψ - 1 ( x ) C f ( H ( r , x ) ) $x$$\Psi(\mathcal{C})$$\Psi^{-1}(x)$$\mathcal{C}$$f(H(r,x))$$\mathcal{C}$
4. " için bir çözüm bilmek için bir çözüm bulmakta yardımcı olmaz ." Tanım gereği, çözülmesi , için bir çözüm olacak şekilde bulunmasını gerektirir . rastgele bir kehanet olarak modelleyebildiğimiz için, bu sorunu çözen herhangi bir algoritmanın beklenen çalışma süresini, bir kara kutu tarafından verildiği sorgu sorununun beklenen en iyi sorgu karmaşıklığı ile azaltabiliriz ve bir aynı sorunun çözümü. Ve yine, rastgele bir kehanet olduğu için, beklenen sorgu karmaşıklığı sadece elementlerin fraksiyonunun tersidir Ψ ( Cı ) Ψ H ( Cı- ; r ) X f ( H ( R , x ) ) Cı- H , H , H x ∈ { 0 , 1 } k Cı T ≈ 2 k 2 - k ℓ » k r ∈ { 0 , 1 } ℓ H C r $\mathcal{C}$$\Psi(\mathcal{C})$$\Psi_H(\mathcal{C}; r)$$x$$f(H(r,x))$$\mathcal{C}$$H$$H$$H$$x \in \{0,1\}^k$ olan çözümler (sabit bir etkene kadar). Varsayım gereği, için herhangi bir algoritmanın beklenen optimum çalışma süresi dır ; bu, bu kısmın dan çok daha büyük olamayacağını gösterir . Yana ve rastgele homojen seçilir, bu bağımlı izin verilen ön işleme bile geçerlidir ve (ancak ) ve özellikle için bir çözüm önceden bile doğrudur .$\mathcal{C}$$T \approx 2^{k}$$2^{-k}$$\ell \gg k$$r \in \{0,1\}^\ell$$H$$\mathcal{C}$$r$$\mathcal{C}$

Çözüm piyango tekniği (SLT) olarak adlandırdığım aşağıdaki basit teknik, hesaplama zorluklarını uygulanabilir kanıtlara dönüştürmeye yardımcı olmak için diğer tekniklerle (çoklu POW problemleri, Noah Stephens-Davidowitz'in cevabında bahsedilen teknik, vb.) Birlikte kullanılabilir. iş sorunları. SLT, 1-4 koşulları dışındaki kripto para madenciliği sorunları ile ilgili sorunların iyileştirilmesine yardımcı olur.

Varsayalım ki şeklinde bir hesaplama sorundur “uygun bir karma bulmak bir dizi ile birlikte öyle ki .” k x ( k , x ) ∈ $\mathcal{C}$$k$$x$$(k,x)\in D$

Problem kurulumu: nin bir küme, bir şifreleme karma işlevi ve bir miktar sabit olduğunu varsayalım . Ayrıca, de belirlediğinde ancak başka türlü elde edilemeyen, elde edilmesi kolay bir bilgi parçası olduğunu varsayalım .D H C Veriler ( k , x ) ( k , x ) ∈ $\Psi(\mathcal{C})$$D$$H$$C$$\textrm{Data}(k,x)$$(k,x)\in D$

Problem hedefi: Bir çift , uygun bir karması ve nerede ve .( k , x $\Psi(\mathcal{C})$$(k,x)$( k , x ) ∈ D H ( k | | x | | Veri ( k , x ) ) < $k$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$

Şimdi sorunun 1-4 gereksinimlerini nasıl karşıladığını araştıralım .$\Psi(\mathcal{C})$

1. bu özelliği karşılaması için in zaten rastgele olduğunu varsaymalıyız .$\mathcal{C}$

2-3. genellikle den daha zor hale gelecektir ve bu iyi bir şeydir. İş kanıtı sorununun zorluğunun hassas bir şekilde ayarlanması gerekir, ancak orijinal sorun hassas bir şekilde ayarlanabilen bir zorluk seviyesine sahip olabilir ya da olmayabilir (Bitcoin madenciliğindeki zorluğun iki haftada bir ayarlandığını unutmayın) . probleminin zorluğu, çarpılan bazı uygun bulma zorluğuna eşittir . Bu nedenle, sabiti ince ayarlanabilir olduğundan zorluğu da hassas bir şekilde ayarlanabilir.C C Ψ ( C ) ( k , x ) ∈ D 2 $\Psi(\mathcal{C})$$\mathcal{C}$$\mathcal{C}$$\Psi(\mathcal{C})$$(k,x)\in D$ CΨ(C$\frac{2^{n}}{C}$$C$$\Psi(\mathcal{C})$

problemi orijinal problem den daha zor olsa da, problemi çözmek için neredeyse tüm çalışmalar bulmak için harcanacaktır. bir çift ile yerine karma işlem daha (bir hesaplanamaz olup veya kadar bir hesapladı ve biri , biri olarak doğrulamazsa hesaplanamaz .Cı- Ψ ( Cı ) ( k , x ) ( k , x ) ∈ D * H ( k | | x | | Veri ( k , x ) $\Psi(\mathcal{C})$$\mathcal{C}$$\Psi(\mathcal{C})$$(k,x)$$(k,x)\in D$Veri ( k , x ) Veri ( k , x ) Veri ( k , x ) ∈ $H(k||x||\textrm{Data}(k,x))<C$$\textrm{Data}(k,x)$$\textrm{Data}(k,x)$$\textrm{Data}(k,x)\in D$

Elbette, den daha zor olması bazı yeni endişeler ortaya koymaktadır . Yararlı bir sorun için, tek çiftleri saklamak isteyeceği durum büyük olasılıkla bazı veritabanında. Bununla birlikte, blok ödülünü almak için madenci sadece bir çift ; burada ve yerine, tüm çiftlerinin ne olursa olsun ister ya da değil. Bu soruna olası bir çözüm, madencilerin olduğu tüm çiftleri basitçe ortaya çıkarmasıdır.C ( k , x ) ( k , x ) ∈ D ( k , x ) ( k , x ) ∈ D H ( k | | x $\Psi(\mathcal{C})$$\mathcal{C}$$(k,x)$$(k,x)\in D$$(k,x)$$(k,x)\in D$( k , x ) ∈ D , H ( k | | x | $H(k||x||\textrm{Data}(k,x))<C$$(k,x)\in D$( k , x ) ( k , x ) ∈ D ( k , x ) ∈ D ( k , x ) ∈ D Ψ ( C ) $H(k||x||\textrm{Data}(k,x))<C$$(k,x)$$(k,x)\in D$nezaket dışında. Madenciler, de çift çiftlerini adil bir şekilde paylaşmadıkları takdirde zincirleri reddetme yeteneğine de sahip olacaklar . Muhtemelen, en uzun geçerli zincire sahip olanın hesaplanması için çift sayısını saymalıdır . Madencilerin çoğu çözümlerini gönderirse, çözme işlemi çözme işlemi kadar çok çözüm üretecektir .$(k,x)\in D$$(k,x)\in D$$\Psi(\mathcal{C})$$\mathcal{C}$

Madencilerin , tüm çiftleri gönderdiği senaryoda , koşulların ruhunu 2-3 karşılayacaktı.Ψ ( C$(k,x)\in D$$\Psi(\mathcal{C})$

4. $\Psi(\mathcal{C})$ , özel soruna bağlı olarak koşul karşılayabilir veya karşılamayabilir .$4$

$\textbf{Other Advantages of this technique:}$

SLT, çalışma kanıtı problemi için arzu edilen veya gerekli olan 1-4 koşullarından başka avantajlar da sunar.

1. Güvenlik / verimlilik dengesini iyileştirme: SLT, nin çözülmesi çok kolay veya doğrulanması çok zor olması durumunda yardımcı olacaktır . Genel olarak, göre çok daha zordur çözmektir , ancak olarak kontrol etmek için kolay bir şekilde ilgili . Ψ ( C ) C Ψ ( C ) $\mathcal{C}$$\Psi(\mathcal{C})$$\mathcal{C}$$\Psi(\mathcal{C})$$\mathcal{C}$

2. Bozuk / güvenli olmayan bir sorunun giderilmesi: SLT, yedek bir POW sorunu ve birden fazla POW sorunu olan bir kripto para birimindeki kötü POW sorunlarını algoritmik olarak kaldırmak için kullanılabilir. Varlığın, problem çözmek için çok hızlı bir algoritma bulduğunu varsayalım . O zaman böyle bir sorun artık uygun bir çalışma kanıtı sorunu değildir ve kripto para biriminden kaldırılmalıdır. Cryptocurrency nedenle bir algoritma olması gerektiğini kaldırır cryptocurrency gelen birisi o çözer sorun bir algoritma gönderdi zaman çok hızlı ama sorunu ortadan kaldırır asla hangi aksi. Sorun olarak adlandırmamız gereken bir sorunu kaldırmak için kullanılan böyle bir sorun giderme algoritmasının özeti aşağıdadırC C C$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$A$ .

a. Alice büyük bir ücret öder (ücret, madencilerin algoritmayı doğrulamak için kat ettikleri maliyetleri karşılar) ve daha sonra Problem kesen Algoritma K'yi blok zincirine ayıracağımız algoritmayı yayınlar . Algoritma K büyük miktarda önceden hesaplanmış veri dayanıyorsa , Alice bu önceden hesaplanmış veri Merkle kökünü yayınlar .P C P $A$$PC$$PC$

b. Problem A'nın rastgele örnekleri Blockchain tarafından üretilir. Daha sonra Alice, Algoritma K'nın Merkle şubeleriyle birlikte doğru çalışabilmesi için gerekli olan önceden hesaplanmış verilerin bölümlerini yayınlayarak verilerin gerçekte geldiğini kanıtlar . Alice'in algoritması önceden hesaplanmış veri hızlı bir şekilde beslenirse , sorun giderilir ve Alice, problemi blok zincirinden kaldıran algoritmayı yayınlamak için bir ödül alır.P $PC$$PC$

Bu sorun giderme prosedürü madenciler ve validatörler için hesaplama açısından pahalıdır. Bununla birlikte, SLT, bu tekniğin hesaplama zorluğunun çoğunu ortadan kaldırır, böylece bir kripto para biriminde gerektiğinde kullanılabilir (bu tekniğin kullanıldığı durumlar muhtemelen oldukça nadir olacaktır).

3. Madencilik havuzları daha uygundur: Kripto para birimlerinde, blok ödülünü kazanmak genellikle çok zordur. Blok ödüllerini kazanmak çok zor olduğu için, madenciler genellikle madencilerin kaynaklarını bir sorunu çözmek için birleştirdikleri ve blok ödülünü buldukları “yakın özledim” miktarıyla orantılı olarak paylaştıkları madencilik havuzları denilen şeylerde maden çıkarıyorlar . . için olası bir sorun , problem için "yakın özledim" olarak neyin oluşturduğuna dair nitel bir fikir üretmenin zor olabileceğidir ve yakın bir özledim bulma algoritması, çözümlemesi için algoritma . Havuz madencileri yakın özlemleri arayacağından, çözmede çok etkili olmayabilirlerCı- Cı- Cı- Ψ ( Cı ) ( k , x ) ( k , x ) ∈ D * H ( k | | x | $\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$ (ve dolayısıyla az sayıda kişi maden havuzlarına katılacak). Ancak, için , yakın bir bayan bir kesin kanı bulunmaktadır, yani, bir yakın bayan bir çift ancak ve için yakın bulma algoritması için çözümler bulma algoritmasıyla aynı olacaktır .$\Psi(\mathcal{C})$$(k,x)$$(k,x)\in D$Ψ ( C ) Ψ ( C$H(k||x||\textrm{Data}(k,x))\geq C$$\Psi(\mathcal{C})$$\Psi(\mathcal{C})$

4. İlerleme serbestlik: Sorun kanıtı çalışması Bir söylenir bir varlığı ya da varlıkları grubu için geçen süredir blockchain sonraki blok bulmak için eğer serbest ilerleme olması üstel dağılım aşağıdaki burada sabit , işletmenin Problem çözmek için kullandığı hesaplama gücü miktarı ile doğru orantılıdır . Madencilerin ademi merkeziyet elde etmek için madencilik güçleri ile orantılı olarak bir blok ödül alması için kripto para madenciliği problemlerinde ilerleme belirsizliği gereklidir. SLT kesinlikle madencilik problemlerinin ilerlemesine yardımcı olur.e - λ x λ $P$$e^{-\lambda x}$$\lambda$$P$