Bitcoin: Eşler Arası Elektronik Nakit Sistemi
Abstract
Eine rein Peer-to-Peer-basierte Version von elektronischem Bargeld wuerde es ermoeglichen, Online-Zahlungen direkt von einer Partei an eine andere zu senden, ohne ueber ein Finanzinstitut zu gehen. Digitale Signaturen bieten einen Teil der Loesung, aber die wesentlichen Vorteile gehen verloren, wenn weiterhin ein vertrauenswuerdiger Dritter erforderlich ist, um Doppelausgaben zu verhindern. Wir schlagen eine Loesung fuer das Problem der Doppelausgaben unter Verwendung eines Peer-to-Peer-Netzwerks vor. Das Netzwerk versieht Transaktionen mit Zeitstempeln, indem es sie in eine fortlaufende Kette von hash-basiertem Proof-of-Work hasht und so einen Datensatz bildet, der nicht geaendert werden kann, ohne den Proof-of-Work erneut durchzufuehren. Die laengste Kette dient nicht nur als Beweis fuer die beobachtete Abfolge von Ereignissen, sondern auch als Beweis dafuer, dass sie aus dem groessten Pool an CPU-Leistung stammt. Solange die Mehrheit der CPU-Leistung von Knoten kontrolliert wird, die nicht kooperieren, um das Netzwerk anzugreifen, werden sie die laengste Kette erzeugen und Angreifer ueberholen. Das Netzwerk selbst erfordert eine minimale Struktur. Nachrichten werden nach dem Best-Effort-Prinzip verbreitet, und Knoten koennen das Netzwerk nach Belieben verlassen und wieder beitreten, wobei sie die laengste Proof-of-Work-Kette als Beweis dafuer akzeptieren, was waehrend ihrer Abwesenheit geschehen ist.
Abstract
Tamamen eşler arası (peer-to-peer) bir elektronik nakit sistemi, çevrimiçi ödemelerin bir finansal kurum aracılığına gerek kalmadan doğrudan bir taraftan diğerine gönderilmesine olanak tanıyacaktır. Dijital imzalar çözümün bir kısmını sağlar, ancak çifte harcamayı (double-spending) önlemek için güvenilir bir üçüncü tarafa hâlâ ihtiyaç duyuluyorsa temel faydalar kaybolur. Çifte harcama sorununa eşler arası bir ağ kullanarak bir çözüm öneriyoruz. Ağ, işlemleri hash tabanlı proof-of-work'ün devam eden bir zincirine hash'leyerek zaman damgası ekler ve proof-of-work yeniden yapılmadan değiştirilemeyen bir kayıt oluşturur. En uzun zincir yalnızca tanıklık edilen olayların sırasının kanıtı olarak değil, aynı zamanda en büyük CPU gücü havuzundan geldiğinin kanıtı olarak da hizmet eder. CPU gücünün çoğunluğu, ağa saldırmak için işbirliği yapmayan düğümler tarafından kontrol edildiği sürece, en uzun zinciri üretecek ve saldırganları geride bırakacaklardır. Ağın kendisi minimum düzeyde yapı gerektirir. Mesajlar en iyi çaba esasına göre yayınlanır ve düğümler ağdan istedikleri zaman ayrılıp yeniden katılabilir; yokluklarında olanların kanıtı olarak en uzun proof-of-work zincirini kabul ederler.
Introduction
Der Handel im Internet ist fast ausschliesslich auf Finanzinstitute angewiesen, die als vertrauenswuerdige Dritte elektronische Zahlungen abwickeln. Obwohl das System fuer die meisten Transaktionen gut genug funktioniert, leidet es nach wie vor unter den inhärenten Schwaechen des vertrauensbasierten Modells. Vollstaendig unumkehrbare Transaktionen sind nicht wirklich moeglich, da Finanzinstitute die Vermittlung bei Streitigkeiten nicht vermeiden koennen. Die Kosten der Vermittlung erhoehen die Transaktionskosten, begrenzen die minimale praktische Transaktionsgroesse und schliessen die Moeglichkeit kleiner gelegentlicher Transaktionen aus, und es gibt breitere Kosten durch den Verlust der Moeglichkeit, unumkehrbare Zahlungen fuer unumkehrbare Dienstleistungen zu leisten. Mit der Moeglichkeit der Umkehrung breitet sich die Notwendigkeit von Vertrauen aus. Haendler muessen ihren Kunden gegenueber misstrauisch sein und sie nach mehr Informationen fragen, als sonst noetig waere. Ein gewisser Prozentsatz an Betrug wird als unvermeidlich akzeptiert. Diese Kosten und Zahlungsunsicherheiten koennen persoenlich durch die Verwendung physischer Waehrung vermieden werden, aber es gibt keinen Mechanismus, um Zahlungen ueber einen Kommunikationskanal ohne eine vertrauenswuerdige Partei zu leisten.
Was benoetigt wird, ist ein elektronisches Zahlungssystem, das auf kryptographischem Beweis anstelle von Vertrauen basiert und es zwei beliebigen willigen Parteien ermoeglicht, direkt miteinander zu handeln, ohne einen vertrauenswuerdigen Dritten zu benoetigen. Transaktionen, die rechnerisch unpraktisch umzukehren sind, wuerden Verkaeufer vor Betrug schuetzen, und routinemaessige Treuhandmechanismen koennten leicht implementiert werden, um Kaeufer zu schuetzen. In dieser Arbeit schlagen wir eine Loesung fuer das Problem der Doppelausgaben vor, die einen verteilten Peer-to-Peer-Zeitstempelserver verwendet, um einen rechnerischen Beweis der chronologischen Reihenfolge von Transaktionen zu erzeugen. Das System ist sicher, solange ehrliche Knoten gemeinsam mehr CPU-Leistung kontrollieren als jede kooperierende Gruppe von Angreiferknoten.
Introduction
İnternet üzerindeki ticaret, elektronik ödemeleri işlemek için güvenilir üçüncü taraflar olarak hizmet veren finansal kurumlara neredeyse tamamen bağımlı hale gelmiştir. Sistem çoğu işlem için yeterince iyi çalışsa da, güvene dayalı modelin doğasında var olan zayıflıklardan hâlâ muzdariptir. Finansal kurumlar uyuşmazlıklarda arabuluculuk yapmaktan kaçınamadığından, tamamen geri dönüşü olmayan işlemler gerçekten mümkün değildir. Arabuluculuk maliyeti, işlem maliyetlerini artırır, minimum pratik işlem boyutunu sınırlar ve küçük gündelik işlemler olasılığını ortadan kaldırır; geri dönüşü olmayan hizmetler için geri dönüşü olmayan ödemeler yapma yeteneğinin kaybedilmesinde daha geniş bir maliyet de vardır. Geri dönüş olasılığı ile güven ihtiyacı yayılır. Tüccarlar müşterilerine karşı temkinli olmak zorundadır ve normalde ihtiyaç duyacaklarından daha fazla bilgi talep ederek onları rahatsız eder. Belirli bir yüzde dolandırıcılık kaçınılmaz olarak kabul edilir. Bu maliyetler ve ödeme belirsizlikleri, fiziksel para birimi kullanılarak yüz yüze ortadan kaldırılabilir, ancak güvenilir bir taraf olmadan bir iletişim kanalı üzerinden ödeme yapmak için hiçbir mekanizma mevcut değildir.
İhtiyaç duyulan şey, güven yerine kriptografik kanıta dayalı, istekli iki tarafın güvenilir bir üçüncü tarafa ihtiyaç duymadan doğrudan birbirleriyle işlem yapmasına olanak tanıyan bir elektronik ödeme sistemidir. Hesaplama açısından geri döndürülmesi pratik olmayan işlemler satıcıları dolandırıcılığa karşı koruyacak ve rutin emanet (escrow) mekanizmaları alıcıları korumak için kolayca uygulanabilecektir. Bu makalede, işlemlerin kronolojik sırasının hesaplamalı kanıtını oluşturmak için eşler arası dağıtık bir zaman damgası sunucusu kullanan çifte harcama sorununa bir çözüm öneriyoruz. Sistem, dürüst düğümler toplu olarak herhangi bir işbirliği yapan saldırgan düğüm grubundan daha fazla CPU gücünü kontrol ettiği sürece güvenlidir.
Transactions
Wir definieren eine elektronische Muenze als eine Kette digitaler Signaturen. Jeder Eigentuemer uebertraegt die Muenze an den naechsten, indem er einen Hash der vorherigen Transaktion und den oeffentlichen Schluessel des naechsten Eigentuemers digital signiert und diese am Ende der Muenze anfuegt. Ein Zahlungsempfaenger kann die Signaturen ueberpruefen, um die Eigentuemerkette zu verifizieren.
Das Problem ist natuerlich, dass der Zahlungsempfaenger nicht ueberpruefen kann, ob einer der Eigentuemer die Muenze nicht doppelt ausgegeben hat. Eine gaengige Loesung besteht darin, eine vertrauenswuerdige zentrale Instanz, oder Muenzpraegeanstalt, einzufuehren, die jede Transaktion auf Doppelausgaben ueberprueft. Nach jeder Transaktion muss die Muenze an die Muenzpraegeanstalt zurueckgegeben werden, um eine neue Muenze auszugeben, und nur direkt von der Muenzpraegeanstalt ausgegebene Muenzen gelten als nicht doppelt ausgegeben. Das Problem bei dieser Loesung ist, dass das Schicksal des gesamten Geldsystems von dem Unternehmen abhaengt, das die Muenzpraegeanstalt betreibt, wobei jede Transaktion ueber sie abgewickelt werden muss, genau wie bei einer Bank.
Wir brauchen einen Weg, damit der Zahlungsempfaenger weiss, dass die frueheren Eigentuemer keine frueheren Transaktionen signiert haben. Fuer unsere Zwecke ist die frueheste Transaktion die massgebliche, sodass wir uns nicht um spaetere Versuche der Doppelausgabe kuemmern. Der einzige Weg, die Abwesenheit einer Transaktion zu bestaetigen, ist, alle Transaktionen zu kennen. Im Modell der Muenzpraegeanstalt kannte die Muenzpraegeanstalt alle Transaktionen und entschied, welche zuerst ankam. Um dies ohne eine vertrauenswuerdige Partei zu erreichen, muessen Transaktionen oeffentlich bekannt gegeben werden [^1], und wir brauchen ein System, damit die Teilnehmer sich auf eine einzige Geschichte der Reihenfolge einigen, in der sie empfangen wurden. Der Zahlungsempfaenger braucht den Beweis, dass zum Zeitpunkt jeder Transaktion die Mehrheit der Knoten zustimmte, dass sie die erste empfangene war.
Transactions
Elektronik bir parayı dijital imzalar zinciri olarak tanımlıyoruz. Her sahip, bir önceki işlemin hash'ini ve bir sonraki sahibin açık anahtarını (public key) dijital olarak imzalayarak ve bunları paranın sonuna ekleyerek parayı bir sonraki sahibine aktarır. Alacaklı, sahiplik zincirini doğrulamak için imzaları doğrulayabilir.
Sorun elbette alacaklının, sahiplerden birinin parayı çifte harcamadığını doğrulayamamasıdır. Yaygın bir çözüm, her işlemi çifte harcama açısından kontrol eden güvenilir bir merkezi otorite veya darphane tanıtmaktır. Her işlemden sonra, para yeni bir para basmak için darphaneye iade edilmelidir ve yalnızca doğrudan darphaneden basılan paralara çifte harcanmamış olarak güvenilir. Bu çözümün sorunu, tüm para sisteminin kaderinin darphaneyi işleten şirkete bağlı olması ve her işlemin tıpkı bir banka gibi onlardan geçmek zorunda olmasıdır.
Alacaklının, önceki sahiplerin daha erken işlemleri imzalamadığını bilmesi için bir yola ihtiyacımız var. Bizim amacımız için en erken işlem geçerli sayılandır, bu yüzden sonraki çifte harcama girişimlerini umursamıyoruz. Bir işlemin yokluğunu doğrulamanın tek yolu tüm işlemlerden haberdar olmaktır. Darphane tabanlı modelde, darphane tüm işlemlerden haberdardı ve hangisinin önce geldiğine karar veriyordu. Bunu güvenilir bir taraf olmadan başarmak için işlemler kamuya duyurulmalıdır [^1] ve katılımcıların alındıkları sıranın tek bir geçmişi üzerinde anlaşmaları için bir sisteme ihtiyacımız var. Alacaklı, her işlem anında düğümlerin çoğunluğunun ilk alınan olarak kabul ettiğine dair kanıta ihtiyaç duyar.
Timestamp Server
Die von uns vorgeschlagene Loesung beginnt mit einem Zeitstempelserver. Ein Zeitstempelserver funktioniert, indem er einen Hash eines Blocks von Elementen nimmt, die mit einem Zeitstempel versehen werden sollen, und den Hash breit veroeffentlicht, beispielsweise in einer Zeitung oder einem Usenet-Beitrag [^2] [^3] [^4] [^5]. Der Zeitstempel beweist, dass die Daten offensichtlich zu diesem Zeitpunkt existiert haben muessen, um in den Hash aufgenommen zu werden. Jeder Zeitstempel enthaelt den vorherigen Zeitstempel in seinem Hash und bildet so eine Kette, wobei jeder zusaetzliche Zeitstempel die vorherigen verstaerkt.
Timestamp Server
Önerdiğimiz çözüm bir zaman damgası sunucusu ile başlar. Zaman damgası sunucusu, zaman damgası uygulanacak bir öğeler bloğunun hash'ini alarak ve bu hash'i bir gazete veya Usenet gönderisi gibi geniş çapta yayınlayarak çalışır [^2] [^3] [^4] [^5]. Zaman damgası, hash'e dahil olabilmesi için verinin o anda var olmuş olması gerektiğini kanıtlar. Her zaman damgası, hash'inde bir önceki zaman damgasını içerir ve bir zincir oluşturur; her ek zaman damgası kendisinden önceki damgaları güçlendirir.
Proof-of-Work
Um einen verteilten Zeitstempelserver auf Peer-to-Peer-Basis zu implementieren, muessen wir ein Proof-of-Work-System aehnlich dem Hashcash von Adam Back [^6] verwenden, anstatt Zeitungen oder Usenet-Beitraege. Der Proof-of-Work beinhaltet die Suche nach einem Wert, dessen Hash, beispielsweise mit SHA-256, mit einer bestimmten Anzahl von Null-Bits beginnt. Der durchschnittlich erforderliche Arbeitsaufwand ist exponentiell in der Anzahl der erforderlichen Null-Bits und kann durch Ausfuehren eines einzigen Hash verifiziert werden.
Fuer unser Zeitstempel-Netzwerk implementieren wir den Proof-of-Work, indem wir einen Nonce im Block inkrementieren, bis ein Wert gefunden wird, der dem Hash des Blocks die erforderlichen Null-Bits gibt. Sobald die CPU-Leistung aufgewendet wurde, um den Proof-of-Work zu erfuellen, kann der Block nicht geaendert werden, ohne die Arbeit erneut durchzufuehren. Da spaetere Bloecke danach verkettet werden, wuerde die Arbeit zur Aenderung des Blocks das erneute Durchfuehren aller nachfolgenden Bloecke umfassen.
Der Proof-of-Work loest auch das Problem der Bestimmung der Repraesentation bei Mehrheitsentscheidungen. Wenn die Mehrheit auf einem-IP-Adresse-eine-Stimme-Prinzip basieren wuerde, koennte sie von jedem unterlaufen werden, der in der Lage ist, viele IPs zuzuweisen. Proof-of-Work ist im Wesentlichen ein-CPU-eine-Stimme. Die Mehrheitsentscheidung wird durch die laengste Kette repraesentiert, in die der groesste Proof-of-Work-Aufwand investiert wurde. Wenn die Mehrheit der CPU-Leistung von ehrlichen Knoten kontrolliert wird, wird die ehrliche Kette am schnellsten wachsen und alle konkurrierenden Ketten ueberholen. Um einen vergangenen Block zu aendern, muesste ein Angreifer den Proof-of-Work des Blocks und aller nachfolgenden Bloecke erneut durchfuehren und dann die Arbeit der ehrlichen Knoten einholen und uebertreffen. Wir werden spaeter zeigen, dass die Wahrscheinlichkeit, dass ein langsamerer Angreifer aufholt, exponentiell abnimmt, wenn nachfolgende Bloecke hinzugefuegt werden.
Um die zunehmende Hardwaregeschwindigkeit und das variierende Interesse am Betrieb von Knoten im Laufe der Zeit zu kompensieren, wird die Proof-of-Work-Schwierigkeit durch einen gleitenden Durchschnitt bestimmt, der auf eine durchschnittliche Anzahl von Bloecken pro Stunde abzielt. Wenn sie zu schnell erzeugt werden, steigt die Schwierigkeit.
Proof-of-Work
Eşler arası bir temelde dağıtık bir zaman damgası sunucusu uygulamak için, gazete veya Usenet gönderileri yerine Adam Back'in Hashcash'ine [^6] benzer bir proof-of-work sistemi kullanmamız gerekecektir. Proof-of-work, hash'lendiğinde (örneğin SHA-256 ile) hash'in belirli sayıda sıfır bit ile başladığı bir değer taramayı içerir. Gereken ortalama iş, gereken sıfır bit sayısında üstel olarak artar ve tek bir hash çalıştırılarak doğrulanabilir.
Zaman damgası ağımız için, bloktaki bir nonce'u artırarak proof-of-work'ü uyguluyoruz; ta ki bloğun hash'ine gereken sıfır bitleri veren bir değer bulunana kadar. CPU çabası proof-of-work'ü karşılamak için harcanıldıktan sonra, blok işi yeniden yapmadan değiştirilemez. Sonraki bloklar onun ardına zincirlendiğinde, bloğu değiştirmek için gereken iş, ondan sonraki tüm blokları yeniden yapmayı da içerecektir.
Proof-of-work aynı zamanda çoğunluk karar alma sürecinde temsil belirleme sorununu da çözer. Çoğunluk bir-IP-adresi-bir-oy temelinde olsaydı, çok sayıda IP tahsis edebilen herkes tarafından alt edilebilirdi. Proof-of-work esasen bir-CPU-bir-oy'dur. Çoğunluk kararı, en büyük proof-of-work çabasının yatırıldığı en uzun zincir tarafından temsil edilir. CPU gücünün çoğunluğu dürüst düğümler tarafından kontrol ediliyorsa, dürüst zincir en hızlı şekilde büyüyecek ve rakip zincirleri geride bırakacaktır. Geçmişteki bir bloğu değiştirmek için, bir saldırganın o bloğun ve sonrasındaki tüm blokların proof-of-work'ünü yeniden yapması ve ardından dürüst düğümlerin çalışmasını yakalayıp geçmesi gerekecektir. Daha yavaş bir saldırganın yetişme olasılığının sonraki bloklar eklendikçe üstel olarak azaldığını daha sonra göstereceğiz.
Artan donanım hızını ve zaman içinde düğüm çalıştırmaya olan değişen ilgiyi telafi etmek için, proof-of-work zorluğu saat başına ortalama blok sayısını hedefleyen hareketli bir ortalama ile belirlenir. Çok hızlı üretiliyorlarsa, zorluk artar.
Network
Die Schritte zum Betrieb des Netzwerks sind wie folgt:
- Neue Transaktionen werden an alle Knoten gesendet.
- Jeder Knoten sammelt neue Transaktionen in einem Block.
- Jeder Knoten arbeitet daran, einen schwierigen Proof-of-Work fuer seinen Block zu finden.
- Wenn ein Knoten einen Proof-of-Work findet, sendet er den Block an alle Knoten.
- Knoten akzeptieren den Block nur, wenn alle Transaktionen darin gueltig sind und nicht bereits ausgegeben wurden.
- Knoten druecken ihre Akzeptanz des Blocks aus, indem sie an der Erstellung des naechsten Blocks in der Kette arbeiten und dabei den Hash des akzeptierten Blocks als vorherigen Hash verwenden.
Knoten betrachten immer die laengste Kette als die korrekte und arbeiten weiter daran, sie zu verlaengern. Wenn zwei Knoten gleichzeitig verschiedene Versionen des naechsten Blocks senden, koennen einige Knoten die eine oder die andere zuerst empfangen. In diesem Fall arbeiten sie an der zuerst empfangenen, speichern aber den anderen Zweig fuer den Fall, dass er laenger wird. Der Gleichstand wird gebrochen, wenn der naechste Proof-of-Work gefunden wird und ein Zweig laenger wird; die Knoten, die am anderen Zweig gearbeitet haben, wechseln dann zum laengeren.
Die Uebertragung neuer Transaktionen muss nicht unbedingt alle Knoten erreichen. Solange sie viele Knoten erreichen, werden sie in Kuerze in einen Block aufgenommen. Block-Uebertragungen sind ebenfalls tolerant gegenueber verlorenen Nachrichten. Wenn ein Knoten einen Block nicht empfaengt, wird er ihn anfordern, wenn er den naechsten Block empfaengt und erkennt, dass er einen verpasst hat.
Network
Ağı çalıştırma adımları şunlardır:
- Yeni işlemler tüm düğümlere yayınlanır.
- Her düğüm yeni işlemleri bir blokta toplar.
- Her düğüm, bloğu için zor bir proof-of-work bulmak üzere çalışır.
- Bir düğüm proof-of-work bulduğunda, bloğu tüm düğümlere yayınlar.
- Düğümler, bloğu yalnızca içindeki tüm işlemler geçerli ve henüz harcanmamışsa kabul eder.
- Düğümler, kabul edilen bloğun hash'ini önceki hash olarak kullanarak zincirdeki bir sonraki bloğu oluşturmak üzere çalışarak bloğu kabul ettiklerini ifade ederler.
Düğümler her zaman en uzun zinciri doğru olan olarak kabul eder ve onu uzatmak için çalışmaya devam eder. İki düğüm aynı anda bir sonraki bloğun farklı sürümlerini yayınlarsa, bazı düğümler birini veya diğerini önce alabilir. Bu durumda, ilk aldıklarında çalışırlar, ancak uzaması ihtimaline karşı diğer dalı saklarlar. Bir sonraki proof-of-work bulunduğunda ve bir dal uzadığında berabere durum bozulacaktır; diğer dalda çalışan düğümler daha uzun olana geçecektir.
Yeni işlem yayınlarının mutlaka tüm düğümlere ulaşması gerekmez. Birçok düğüme ulaştıkları sürece, kısa sürede bir bloğa gireceklerdir. Blok yayınları da düşen mesajlara karşı toleranslıdır. Bir düğüm bir bloğu almadıysa, sonraki bloğu aldığında ve birini kaçırdığını fark ettiğinde onu talep edecektir.
Incentive
Konventionsgemaess ist die erste Transaktion in einem Block eine spezielle Transaktion, die eine neue Muenze erzeugt, die dem Ersteller des Blocks gehoert. Dies fuegt einen Anreiz fuer Knoten hinzu, das Netzwerk zu unterstuetzen, und bietet eine Moeglichkeit, Muenzen anfaenglich in Umlauf zu bringen, da es keine zentrale Instanz gibt, die sie ausgibt. Die stetige Hinzufuegung einer konstanten Menge neuer Muenzen ist analog zu Goldschuerfer, die Ressourcen aufwenden, um Gold in Umlauf zu bringen. In unserem Fall werden CPU-Zeit und Elektrizitaet aufgewendet.
Der Anreiz kann auch durch Transaktionsgebuehren finanziert werden. Wenn der Ausgabewert einer Transaktion geringer ist als ihr Eingabewert, ist die Differenz eine Transaktionsgebuehr, die zum Anreizwert des Blocks hinzugefuegt wird, der die Transaktion enthaelt. Sobald eine vorbestimmte Anzahl von Muenzen in Umlauf gekommen ist, kann der Anreiz vollstaendig auf Transaktionsgebuehren uebergehen und voellig inflationsfrei sein.
Der Anreiz kann dazu beitragen, Knoten zu ermutigen, ehrlich zu bleiben. Wenn ein gieriger Angreifer in der Lage ist, mehr CPU-Leistung als alle ehrlichen Knoten zusammenzubringen, muesste er sich entscheiden, ob er sie nutzt, um Menschen zu betruegen, indem er seine Zahlungen zurueckerobert, oder ob er sie nutzt, um neue Muenzen zu erzeugen. Er sollte es profitabler finden, nach den Regeln zu spielen, die ihn mit mehr neuen Muenzen beguenstigen als alle anderen zusammen, als das System und die Gueltigkeit seines eigenen Vermoegens zu untergraben.
Incentive
Geleneksel olarak, bir bloktaki ilk işlem, bloğun yaratıcısına ait yeni bir para başlatan özel bir işlemdir. Bu, düğümlerin ağı desteklemesi için bir teşvik ekler ve onları basacak merkezi bir otorite olmadığından, paraların dolaşıma başlangıçta dağıtılması için bir yol sağlar. Sabit miktarda yeni paranın düzenli olarak eklenmesi, altın madencilerinin altını dolaşıma katmak için kaynak harcamasına benzerdir. Bizim durumumuzda, harcanan CPU zamanı ve elektrik enerjisidir.
Teşvik, işlem ücretleriyle de finanse edilebilir. Bir işlemin çıktı değeri girdi değerinden az ise, aradaki fark, işlemi içeren bloğun teşvik değerine eklenen bir işlem ücretidir. Önceden belirlenmiş sayıda para dolaşıma girdiğinde, teşvik tamamen işlem ücretlerine geçebilir ve tamamen enflasyondan bağımsız olabilir.
Teşvik, düğümlerin dürüst kalmasını teşvik etmeye yardımcı olabilir. Açgözlü bir saldırgan tüm dürüst düğümlerden daha fazla CPU gücü toplamayı başarırsa, bunu ödemelerini geri çalarak insanları dolandırmak için mi yoksa yeni paralar üretmek için mi kullanacağı arasında seçim yapmak zorunda kalacaktır. Kuralları bozmaktansa, kendisine herkesten daha fazla yeni para veren kurallarla oynamanın daha kârlı olduğunu bulması gerekir; böylece sistemi ve kendi servetinin geçerliliğini baltalamamış olur.
Reclaiming Disk Space
Sobald die letzte Transaktion in einer Muenze unter genuegend Bloecken begraben ist, koennen die ausgegebenen Transaktionen davor verworfen werden, um Speicherplatz zu sparen. Um dies zu ermoeglichen, ohne den Hash des Blocks zu brechen, werden Transaktionen in einem Merkle Tree [^7] [^2] [^5] gehasht, wobei nur die Wurzel im Hash des Blocks enthalten ist. Alte Bloecke koennen dann durch Abschneiden von Aesten des Baums komprimiert werden. Die inneren Hashes muessen nicht gespeichert werden.
Ein Block-Header ohne Transaktionen waere etwa 80 Bytes gross. Wenn wir annehmen, dass Bloecke alle 10 Minuten erzeugt werden, ergeben sich 80 Bytes * 6 * 24 * 365 = 4,2 MB pro Jahr. Da Computersysteme im Jahr 2008 typischerweise mit 2 GB RAM verkauft wurden und das Mooresche Gesetz ein aktuelles Wachstum von 1,2 GB pro Jahr vorhersagt, sollte die Speicherung kein Problem darstellen, selbst wenn die Block-Header im Speicher gehalten werden muessen.
Reclaiming Disk Space
Bir paradaki en son işlem yeterli sayıda bloğun altına gömüldüğünde, önceki harcanmış işlemler disk alanı kazanmak için atılabilir. Bloğun hash'ini bozmadan bunu kolaylaştırmak için, işlemler bir Merkle Ağacında [^7] [^2] [^5] hash'lenir ve blok hash'ine yalnızca kök dahil edilir. Eski bloklar, ağacın dalları budanarak sıkıştırılabilir. İç hash'lerin saklanması gerekmez.
İşlem içermeyen bir blok başlığı yaklaşık 80 byte olacaktır. Blokların her 10 dakikada bir üretildiğini varsayarsak, 80 byte * 6 * 24 * 365 = yılda 4,2MB. 2008 itibarıyla bilgisayar sistemlerinin genellikle 2GB RAM ile satıldığını ve Moore Yasasının yıllık 1,2GB büyüme öngördüğünü göz önüne alırsak, blok başlıklarının bellekte tutulması gerekse bile depolama bir sorun olmamalıdır.
Simplified Payment Verification
Es ist moeglich, Zahlungen zu verifizieren, ohne einen vollstaendigen Netzwerkknoten zu betreiben. Ein Benutzer muss lediglich eine Kopie der Block-Header der laengsten Proof-of-Work-Kette aufbewahren, die er durch Abfragen von Netzwerkknoten erhalten kann, bis er ueberzeugt ist, dass er die laengste Kette hat, und den Merkle-Zweig erhalten, der die Transaktion mit dem Block verknuepft, in dem sie mit einem Zeitstempel versehen wurde. Er kann die Transaktion nicht selbst ueberpruefen, aber indem er sie mit einem Platz in der Kette verknuepft, kann er sehen, dass ein Netzwerkknoten sie akzeptiert hat, und nach ihr hinzugefuegte Bloecke bestaetigen weiter, dass das Netzwerk sie akzeptiert hat.
Somit ist die Verifizierung zuverlaessig, solange ehrliche Knoten das Netzwerk kontrollieren, ist aber anfaelliger, wenn das Netzwerk von einem Angreifer uebernommen wird. Waehrend Netzwerkknoten Transaktionen selbst verifizieren koennen, kann die vereinfachte Methode durch gefaelschte Transaktionen eines Angreifers getaeuscht werden, solange der Angreifer das Netzwerk weiterhin dominieren kann. Eine Strategie zum Schutz dagegen waere, Warnungen von Netzwerkknoten zu akzeptieren, wenn sie einen ungueltigen Block erkennen, was die Software des Benutzers auffordert, den vollstaendigen Block und die gemeldeten Transaktionen herunterzuladen, um die Inkonsistenz zu bestaetigen. Unternehmen, die haeufig Zahlungen erhalten, werden wahrscheinlich weiterhin ihre eigenen Knoten betreiben wollen, um unabhaengigere Sicherheit und schnellere Verifizierung zu gewaehrleisten.
Simplified Payment Verification
Tam bir ağ düğümü çalıştırmadan ödemeleri doğrulamak mümkündür. Bir kullanıcının yalnızca en uzun proof-of-work zincirinin blok başlıklarının bir kopyasını tutması yeterlidir; ağ düğümlerini en uzun zincire sahip olduğuna ikna olana kadar sorgulayarak ve işlemi zaman damgası uygulandığı bloğa bağlayan Merkle dalını elde ederek bunu yapabilir. İşlemi kendisi kontrol edemez, ancak zincirdeki bir yere bağlayarak bir ağ düğümünün onu kabul ettiğini görebilir ve sonrasında eklenen bloklar ağın onu kabul ettiğini daha da doğrular.
Bu nedenle, doğrulama dürüst düğümler ağı kontrol ettiği sürece güvenilirdir, ancak ağ bir saldırgan tarafından ele geçirilirse daha savunmasızdır. Ağ düğümleri işlemleri kendileri doğrulayabilirken, basitleştirilmiş yöntem saldırganın ağı ele geçirmeye devam edebildiği sürece saldırganın uydurma işlemleriyle kandırılabilir. Buna karşı korunmak için bir strateji, ağ düğümlerinden geçersiz bir blok tespit ettiklerinde uyarılar almak ve kullanıcının yazılımını tutarsızlığı doğrulamak üzere tam bloğu ve uyarılan işlemleri indirmeye yönlendirmek olabilir. Sık ödeme alan işletmeler muhtemelen daha bağımsız güvenlik ve daha hızlı doğrulama için kendi düğümlerini çalıştırmak isteyeceklerdir.
Combining and Splitting Value
Obwohl es moeglich waere, Muenzen einzeln zu behandeln, waere es unpraktisch, fuer jeden Cent in einer Ueberweisung eine separate Transaktion durchzufuehren. Um das Aufteilen und Zusammenfuehren von Werten zu ermoeglichen, enthalten Transaktionen mehrere Eingaben und Ausgaben. Normalerweise gibt es entweder eine einzelne Eingabe von einer groesseren vorherigen Transaktion oder mehrere Eingaben, die kleinere Betraege zusammenfuehren, und hoechstens zwei Ausgaben: eine fuer die Zahlung und eine fuer die Rueckgabe des Wechselgeldes, falls vorhanden, an den Absender.
Es ist zu beachten, dass Fan-out, bei dem eine Transaktion von mehreren Transaktionen abhaengt und diese wiederum von vielen weiteren, hier kein Problem darstellt. Es besteht nie die Notwendigkeit, eine vollstaendige eigenstaendige Kopie der Historie einer Transaktion zu extrahieren.
Combining and Splitting Value
Paraları tek tek işlemek mümkün olsa da, bir transferdeki her kuruş için ayrı bir işlem yapmak kullanışsız olurdu. Değerin bölünüp birleştirilebilmesi için işlemler birden fazla girdi ve çıktı içerir. Normal olarak, daha büyük bir önceki işlemden tek bir girdi veya daha küçük miktarları birleştiren birden fazla girdi ve en fazla iki çıktı olacaktır: biri ödeme için, diğeri varsa üstü göndericiye iade etmek için.
Bir işlemin birçok işleme bağlı olduğu ve bu işlemlerin çok daha fazlasına bağlı olduğu yayılma (fan-out) durumunun burada bir sorun olmadığı belirtilmelidir. Bir işlemin geçmişinin tam bir bağımsız kopyasını çıkarmaya asla gerek yoktur.
Privacy
Das traditionelle Bankmodell erreicht ein gewisses Mass an Privatsphaere, indem es den Zugang zu Informationen auf die beteiligten Parteien und den vertrauenswuerdigen Dritten beschraenkt. Die Notwendigkeit, alle Transaktionen oeffentlich bekannt zu geben, schliesst diese Methode aus, aber die Privatsphaere kann dennoch gewahrt werden, indem der Informationsfluss an einer anderen Stelle unterbrochen wird: indem die oeffentlichen Schluessel anonym gehalten werden. Die Oeffentlichkeit kann sehen, dass jemand einen Betrag an jemand anderen sendet, aber ohne Informationen, die die Transaktion mit jemandem verknuepfen. Dies ist vergleichbar mit dem Informationsniveau, das von Boersen veroeffentlicht wird, wo die Zeit und Groesse einzelner Geschaefte, das "Band", oeffentlich gemacht werden, aber ohne zu sagen, wer die Parteien waren.
Als zusaetzliche Schutzmassnahme sollte fuer jede Transaktion ein neues Schluesselpaar verwendet werden, um zu verhindern, dass sie mit einem gemeinsamen Eigentuemer verknuepft werden. Einige Verknuepfungen sind bei Transaktionen mit mehreren Eingaben dennoch unvermeidlich, die notwendigerweise offenbaren, dass ihre Eingaben demselben Eigentuemer gehoerten. Das Risiko besteht darin, dass bei Offenlegung des Eigentuemers eines Schluessels die Verknuepfung andere Transaktionen aufdecken koennte, die demselben Eigentuemer gehoerten.
Privacy
Geleneksel bankacılık modeli, bilgiye erişimi ilgili taraflar ve güvenilir üçüncü tarafla sınırlayarak belirli bir gizlilik düzeyi sağlar. Tüm işlemlerin kamuya duyurulması gerekliliği bu yöntemi engeller, ancak bilgi akışını başka bir noktada keserek gizlilik yine de korunabilir: açık anahtarları anonim tutarak. Halk, birisinin bir başkasına bir miktar gönderdiğini görebilir, ancak işlemi herhangi biriyle ilişkilendiren bilgi olmadan. Bu, borsaların yayınladığı bilgi düzeyine benzer; bireysel işlemlerin zamanı ve boyutu, yani "bant," kamuya açıklanır, ancak tarafların kim olduğu söylenmez.
Ek bir güvenlik duvarı olarak, her işlem için yeni bir anahtar çifti kullanılmalıdır; böylece ortak bir sahiple ilişkilendirilmeleri önlenir. Çoklu girdili işlemlerde hâlâ kaçınılmaz bazı bağlantılar vardır; bu işlemler girdilerinin aynı sahibe ait olduğunu zorunlu olarak ortaya koyar. Risk, bir anahtarın sahibi ortaya çıkarsa, bağlantının aynı sahibe ait diğer işlemleri ifşa edebilmesidir.
Calculations
Wir betrachten das Szenario eines Angreifers, der versucht, eine alternative Kette schneller als die ehrliche Kette zu erzeugen. Selbst wenn dies gelingt, oeffnet es das System nicht fuer willkuerliche Aenderungen, wie das Erzeugen von Wert aus dem Nichts oder das Nehmen von Geld, das nie dem Angreifer gehoerte. Knoten werden eine ungueltige Transaktion nicht als Zahlung akzeptieren, und ehrliche Knoten werden niemals einen Block akzeptieren, der solche enthaelt. Ein Angreifer kann nur versuchen, eine seiner eigenen Transaktionen zu aendern, um Geld zurueckzubekommen, das er kuerzlich ausgegeben hat.
Das Rennen zwischen der ehrlichen Kette und der Angreiferkette kann als binomiale Irrfahrt (Binomial Random Walk) charakterisiert werden. Das Erfolgsereignis ist die Verlaengerung der ehrlichen Kette um einen Block, wodurch ihr Vorsprung um +1 steigt, und das Misserfolgsereignis ist die Verlaengerung der Angreiferkette um einen Block, wodurch der Abstand um -1 sinkt.
Die Wahrscheinlichkeit, dass ein Angreifer von einem gegebenen Rueckstand aufholt, ist analog zum Problem des Ruins des Spielers (Gambler's Ruin). Angenommen, ein Spieler mit unbegrenztem Kredit beginnt mit einem Defizit und spielt potenziell eine unendliche Anzahl von Versuchen, um den Ausgleich zu erreichen. Wir koennen die Wahrscheinlichkeit berechnen, dass er jemals den Ausgleich erreicht, oder dass ein Angreifer jemals die ehrliche Kette einholt, wie folgt [^8]:
p = Wahrscheinlichkeit, dass ein ehrlicher Knoten den naechsten Block findet
q = Wahrscheinlichkeit, dass der Angreifer den naechsten Block findet
q = Wahrscheinlichkeit, dass der Angreifer jemals aufholt, wenn er z Bloecke zurueckliegt
\[ qz = \begin{cases} 1 & \text{wenn } p \leq q \\ \left(\frac{q}{p}\right) z & \text{wenn } p > q \end{cases} \]
Unter der Annahme, dass p q, sinkt die Wahrscheinlichkeit exponentiell mit der Anzahl der Bloecke, die der Angreifer aufholen muss. Wenn die Chancen gegen ihn stehen und er nicht frueh einen gluecklichen Vorstoss macht, werden seine Chancen verschwindend gering, je weiter er zurueckfaellt.
Wir betrachten nun, wie lange der Empfaenger einer neuen Transaktion warten muss, bevor er ausreichend sicher sein kann, dass der Absender die Transaktion nicht aendern kann. Wir nehmen an, dass der Absender ein Angreifer ist, der den Empfaenger eine Zeit lang glauben lassen will, dass er ihn bezahlt hat, und dann nach einiger Zeit auf Zahlung an sich selbst umschaltet. Der Empfaenger wird benachrichtigt, wenn dies geschieht, aber der Absender hofft, dass es zu spaet sein wird.
Der Empfaenger erzeugt ein neues Schluesselpaar und gibt den oeffentlichen Schluessel kurz vor der Signierung an den Absender. Dies verhindert, dass der Absender eine Kette von Bloecken im Voraus vorbereitet, indem er kontinuierlich daran arbeitet, bis er gluecklich genug ist, weit genug voraus zu kommen, und dann die Transaktion zu diesem Zeitpunkt ausfuehrt. Sobald die Transaktion gesendet ist, beginnt der unehrliche Absender im Geheimen an einer parallelen Kette zu arbeiten, die eine alternative Version seiner Transaktion enthaelt.
Der Empfaenger wartet, bis die Transaktion einem Block hinzugefuegt wurde und z Bloecke danach verknuepft wurden. Er kennt nicht den genauen Fortschritt des Angreifers, aber unter der Annahme, dass die ehrlichen Bloecke die durchschnittlich erwartete Zeit pro Block benoetigten, wird der potenzielle Fortschritt des Angreifers eine Poisson-Verteilung mit dem Erwartungswert sein:
\[ \lambda = z\frac{q}{p} \]
Um die Wahrscheinlichkeit zu erhalten, dass der Angreifer jetzt noch aufholen koennte, multiplizieren wir die Poisson-Dichte fuer jeden moeglichen Fortschritt, den er gemacht haben koennte, mit der Wahrscheinlichkeit, dass er von diesem Punkt aufholen koennte:
\[ \sum_{k=0}^{\infty} \frac{\lambda^k e^{-\lambda}}{k!} \cdot \left\{ \begin{array}{cl} \left(\frac{q}{p}\right)^{(z-k)} & \text{wenn } k \leq z \\ 1 & \text{wenn } k > z \end{array} \right. \]
Umstellen, um das Summieren des unendlichen Endes der Verteilung zu vermeiden...
\[ 1 - \sum_{k=0}^{z} \frac{\lambda^k e^{-\lambda}}{k!} \left(1-\left(\frac{q}{p}\right)^{(z-k)}\right) \]
Umwandlung in C-Code...
#include math.h
double AttackerSuccessProbability(double q, int z)
{
double p = 1.0 - q;
double lambda = z * (q / p);
double sum = 1.0;
int i, k;
for (k = 0; k = z; k++)
{
double poisson = exp(-lambda);
for (i = 1; i = k; i++)
poisson *= lambda / i;
sum -= poisson * (1 - pow(q / p, z - k));
}
return sum;
}
Wenn wir einige Ergebnisse berechnen, koennen wir sehen, dass die Wahrscheinlichkeit exponentiell mit z abnimmt.
q=0.1
z=0 P=1.0000000
z=1 P=0.2045873
z=2 P=0.0509779
z=3 P=0.0131722
z=4 P=0.0034552
z=5 P=0.0009137
z=6 P=0.0002428
z=7 P=0.0000647
z=8 P=0.0000173
z=9 P=0.0000046
z=10 P=0.0000012
q=0.3
z=0 P=1.0000000
z=5 P=0.1773523
z=10 P=0.0416605
z=15 P=0.0101008
z=20 P=0.0024804
z=25 P=0.0006132
z=30 P=0.0001522
z=35 P=0.0000379
z=40 P=0.0000095
z=45 P=0.0000024
z=50 P=0.0000006
Aufloesung fuer P kleiner als 0,1%...
P 0.001
q=0.10 z=5
q=0.15 z=8
q=0.20 z=11
q=0.25 z=15
q=0.30 z=24
q=0.35 z=41
q=0.40 z=89
q=0.45 z=340
Calculations
Bir saldırganın dürüst zincirden daha hızlı alternatif bir zincir üretmeye çalıştığı senaryoyu düşünüyoruz. Bu başarılsa bile, sistemi havadan değer yaratma veya saldırgana hiç ait olmayan parayı alma gibi keyfi değişikliklere açmaz. Düğümler geçersiz bir işlemi ödeme olarak kabul etmeyecek ve dürüst düğümler bunları içeren bir bloğu asla kabul etmeyecektir. Bir saldırgan yalnızca yakın zamanda harcadığı parayı geri almak için kendi işlemlerinden birini değiştirmeye çalışabilir.
Dürüst zincir ile saldırgan zinciri arasındaki yarış bir Binom Rastgele Yürüyüş olarak karakterize edilebilir. Başarı olayı, dürüst zincirin bir blok uzatılarak liderliğini +1 artırmasıdır ve başarısızlık olayı, saldırganın zincirinin bir blok uzatılarak farkı -1 azaltmasıdır.
Bir saldırganın belirli bir açıktan yetişme olasılığı, Kumarcının İflası problemine benzer. Sınırsız krediye sahip bir kumarcının açıkta başladığını ve başa baş noktasına ulaşmak için potansiyel olarak sonsuz sayıda deneme yaptığını varsayalım. Başa baş noktasına ulaşma olasılığını veya bir saldırganın dürüst zincire yetişme olasılığını aşağıdaki gibi hesaplayabiliriz [^8]:
p = dürüst bir düğümün bir sonraki bloğu bulma olasılığı
q = saldırganın bir sonraki bloğu bulma olasılığı
q = saldırganın z blok geriden yetişme olasılığı
``````
\[
qz =
\begin{cases}
1 & \text{if } p \leq q \\
\left(\frac{q}{p}\right) z & \text{if } p > q
\end{cases}
\]
p q olduğu varsayımımız göz önüne alındığında, saldırganın yetişmesi gereken blok sayısı arttıkça olasılık üstel olarak düşer. Oran aleyhine olduğunda, erken dönemde şanslı bir hamle yapmadıysa, geride kaldıkça şansı giderek küçülür.
Şimdi yeni bir işlemin alıcısının, göndericinin işlemi değiştiremeyeceğinden yeterince emin olmadan önce ne kadar beklemesi gerektiğini düşünüyoruz. Göndericinin, alıcıya bir süre ödeme yaptığına inandırmak isteyen bir saldırgan olduğunu ve ardından bir süre geçtikten sonra ödemeyi kendisine geri çevirmek istediğini varsayıyoruz. Alıcı bu olduğunda uyarılacaktır, ancak gönderici bunun çok geç olacağını umar.
Alıcı yeni bir anahtar çifti üretir ve imzalamadan kısa süre önce açık anahtarı göndericiye verir. Bu, göndericinin şanslı olup yeterince ilerleyene kadar sürekli çalışarak önceden bir blok zinciri hazırlamasını ve ardından o anda işlemi gerçekleştirmesini önler. İşlem gönderildikten sonra, dürüst olmayan gönderici işleminin alternatif bir sürümünü içeren paralel bir zincir üzerinde gizlice çalışmaya başlar.
Alıcı, işlem bir bloğa eklenene ve z blok ondan sonra bağlanana kadar bekler. Saldırganın ne kadar ilerleme kaydettiğini tam olarak bilmez, ancak dürüst blokların blok başına beklenen ortalama süreyi aldığını varsayarsak, saldırganın potansiyel ilerlemesi beklenen değeri olan bir Poisson dağılımı olacaktır:
\[
\lambda = z\frac{q}{p}
\]
Saldırganın hâlâ yetişebilme olasılığını elde etmek için, yapmış olabileceği her ilerleme miktarı için Poisson yoğunluğunu o noktadan yetişebilme olasılığıyla çarpıyoruz:
\[
\sum_{k=0}^{\infty} \frac{\lambda^k e^{-\lambda}}{k!} \cdot \left\{
\begin{array}{cl}
\left(\frac{q}{p}\right)^{(z-k)} & \text{if } k \leq z \\
1 & \text{if } k > z
\end{array}
\right.
\]
Dağılımın sonsuz kuyruğunu toplamaktan kaçınmak için yeniden düzenliyoruz...
\[
1 - \sum_{k=0}^{z} \frac{\lambda^k e^{-\lambda}}{k!} \left(1-\left(\frac{q}{p}\right)^{(z-k)}\right)
\]
C koduna dönüştürüyoruz...
```c
#include math.h
double AttackerSuccessProbability(double q, int z)
{
double p = 1.0 - q;
double lambda = z * (q / p);
double sum = 1.0;
int i, k;
for (k = 0; k = z; k++)
{
double poisson = exp(-lambda);
for (i = 1; i = k; i++)
poisson *= lambda / i;
sum -= poisson * (1 - pow(q / p, z - k));
}
return sum;
}
Bazı sonuçları çalıştırdığımızda, olasılığın z ile üstel olarak düştüğünü görebiliriz.
q=0.1
z=0 P=1.0000000
z=1 P=0.2045873
z=2 P=0.0509779
z=3 P=0.0131722
z=4 P=0.0034552
z=5 P=0.0009137
z=6 P=0.0002428
z=7 P=0.0000647
z=8 P=0.0000173
z=9 P=0.0000046
z=10 P=0.0000012
q=0.3
z=0 P=1.0000000
z=5 P=0.1773523
z=10 P=0.0416605
z=15 P=0.0101008
z=20 P=0.0024804
z=25 P=0.0006132
z=30 P=0.0001522
z=35 P=0.0000379
z=40 P=0.0000095
z=45 P=0.0000024
z=50 P=0.0000006
P'nin %0,1'den küçük olması için çözüyoruz...
P 0.001
q=0.10 z=5
q=0.15 z=8
q=0.20 z=11
q=0.25 z=15
q=0.30 z=24
q=0.35 z=41
q=0.40 z=89
q=0.45 z=340
Conclusion
Wir haben ein System fuer elektronische Transaktionen vorgeschlagen, das ohne Vertrauen auskommt. Wir begannen mit dem ueblichen Rahmenwerk von Muenzen aus digitalen Signaturen, das eine starke Kontrolle ueber das Eigentum bietet, aber ohne eine Moeglichkeit zur Verhinderung von Doppelausgaben unvollstaendig ist. Um dies zu loesen, schlugen wir ein Peer-to-Peer-Netzwerk vor, das Proof-of-Work verwendet, um eine oeffentliche Historie von Transaktionen aufzuzeichnen, die fuer einen Angreifer schnell rechnerisch unpraktisch zu aendern wird, wenn ehrliche Knoten die Mehrheit der CPU-Leistung kontrollieren. Das Netzwerk ist robust in seiner unstrukturierten Einfachheit. Knoten arbeiten alle gleichzeitig mit wenig Koordination. Sie muessen nicht identifiziert werden, da Nachrichten nicht an einen bestimmten Ort geroutet werden und nur nach dem Best-Effort-Prinzip zugestellt werden muessen. Knoten koennen das Netzwerk nach Belieben verlassen und wieder beitreten, wobei sie die Proof-of-Work-Kette als Beweis dafuer akzeptieren, was waehrend ihrer Abwesenheit geschehen ist. Sie stimmen mit ihrer CPU-Leistung ab, indem sie ihre Akzeptanz gueltiger Bloecke durch Arbeit an deren Verlaengerung ausdruecken und ungueltige Bloecke ablehnen, indem sie sich weigern, an ihnen zu arbeiten. Alle benoetigten Regeln und Anreize koennen mit diesem Konsensmechanismus durchgesetzt werden.
Conclusion
Güvene dayanmadan elektronik işlemler için bir sistem önerdik. Dijital imzalardan yapılmış paraların olağan çerçevesiyle başladık; bu, sahiplik üzerinde güçlü kontrol sağlar ancak çifte harcamayı önlemenin bir yolu olmadan eksik kalır. Bunu çözmek için, dürüst düğümler CPU gücünün çoğunluğunu kontrol ettiğinde bir saldırganın değiştirmesinin hesaplama açısından hızla pratik olmaktan çıkan işlemlerin kamuya açık geçmişini kaydetmek için proof-of-work kullanan eşler arası bir ağ önerdik. Ağ, yapılandırılmamış basitliğinde sağlamdır. Düğümler çok az koordinasyonla hep birlikte çalışır. Mesajlar herhangi belirli bir yere yönlendirilmediğinden ve yalnızca en iyi çaba temelinde iletilmesi gerektiğinden, tanımlanmaları gerekmez. Düğümler, yokluklarında olanların kanıtı olarak proof-of-work zincirini kabul ederek ağdan istedikleri zaman ayrılıp yeniden katılabilirler. Geçerli blokları uzatarak çalışarak kabullerini ifade eder ve geçersiz blokları üzerlerinde çalışmayı reddederek reddederler. Gerekli tüm kurallar ve teşvikler bu konsensüs mekanizması ile uygulanabilir.
References
-
H. Massias, X.S. Avila, and J.-J. Quisquater, "Design of a secure timestamping service with minimal trust requirements," In 20th Symposium on Information Theory in the Benelux, May 1999.
-
S. Haber, W.S. Stornetta, "How to time-stamp a digital document," In Journal of Cryptology, vol 3, no 2, pages 99-111, 1991.
-
D. Bayer, S. Haber, W.S. Stornetta, "Improving the efficiency and reliability of digital time-stamping," In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.
-
S. Haber, W.S. Stornetta, "Secure names for bit-strings," In Proceedings of the 4th ACM Conference on Computer and Communications Security, pages 28-35, April 1997.
-
A. Back, "Hashcash - a denial of service counter-measure," http://www.hashcash.org/papers/hashcash.pdf, 2002.
-
R.C. Merkle, "Protocols for public key cryptosystems," In Proc. 1980 Symposium on Security and Privacy, IEEE Computer Society, pages 122-133, April 1980.
-
W. Feller, "An introduction to probability theory and its applications," 1957.
References
-
H. Massias, X.S. Avila, and J.-J. Quisquater, "Design of a secure timestamping service with minimal trust requirements," In 20th Symposium on Information Theory in the Benelux, May 1999.
-
S. Haber, W.S. Stornetta, "How to time-stamp a digital document," In Journal of Cryptology, vol 3, no 2, pages 99-111, 1991.
-
D. Bayer, S. Haber, W.S. Stornetta, "Improving the efficiency and reliability of digital time-stamping," In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.
-
S. Haber, W.S. Stornetta, "Secure names for bit-strings," In Proceedings of the 4th ACM Conference on Computer and Communications Security, pages 28-35, April 1997.
-
A. Back, "Hashcash - a denial of service counter-measure," http://www.hashcash.org/papers/hashcash.pdf, 2002.
-
R.C. Merkle, "Protocols for public key cryptosystems," In Proc. 1980 Symposium on Security and Privacy, IEEE Computer Society, pages 122-133, April 1980.
-
W. Feller, "An introduction to probability theory and its applications," 1957.
