Algorand: Menskalakan Perjanjian Bizantium untuk Cryptocurrency

Algorand: Scaling Byzantine Agreements for Cryptocurrencies

Par Jing Chen and Silvio Micali · 2017

🇺🇸 English (Original)

🇮🇩 Bahasa Indonesia (Traduction)

Abstract

A public ledger is a tamperproof sequence of data that can be read and augmented by everyone. Public ledgers have innumerable and compelling uses. They can secure, in plain sight, all kinds of transactions —such as titles, sales, and payments— in the exact order in which they occur. Public ledgers not only curb corruption, but also enable very sophisticated applications —such as cryptocurrencies and smart contracts. They stand to revolutionize the way a democratic society operates. As currently implemented, however, they scale poorly and cannot achieve their potential. Algorand is a truly democratic and eﬃcient way to implement a public ledger. Unlike prior implementations based on proof of work, it requires a negligible amount of computation, and generates a transaction history that will not "fork" with overwhelmingly high probability. Algorand is based on (a novel and super fast) message-passing Byzantine agreement. For concreteness, we shall describe Algorand only as a money platform.

Abstrak

Buku besar publik adalah rangkaian data yang tidak dapat diubah dan dapat dibaca dan ditambah oleh semua orang. Buku besar umum memiliki kegunaan yang tak terhitung banyaknya dan menarik. Mereka dapat mengamankan, di depan mata, segala jenis transaksi —seperti kepemilikan, penjualan, dan pembayaran—sesuai urutan terjadinya. Buku besar publik tidak hanya mengekang korupsi, namun juga memungkinkan penerapan yang sangat canggih —seperti cryptocurrency dan smart contracts. Mereka berdiri untuk merevolusi cara masyarakat demokratis beroperasi. Namun, seperti yang diterapkan saat ini, skalanya buruk dan tidak dapat mencapai potensinya. Algorand adalah cara yang benar-benar demokratis dan efisien untuk mengimplementasikan buku besar publik. Berbeda dengan sebelumnya implementasi berdasarkan bukti kerja, memerlukan jumlah komputasi yang dapat diabaikan, dan menghasilkan riwayat transaksi yang tidak akan “bercabang” dengan probabilitas yang sangat tinggi. Algorand didasarkan pada perjanjian Bizantium (yang baru dan super cepat) yang menyampaikan pesan. Agar lebih konkrit, kami akan mendeskripsikan Algorand hanya sebagai platform uang.

Introduction

Money is becoming increasingly virtual. It has been estimated that about 80% of United States dollars today only exist as ledger entries [5]. Other ﬁnancial instruments are following suit. In an ideal world, in which we could count on a universally trusted central entity, immune to all possible cyber attacks, money and other ﬁnancial transactions could be solely electronic. Unfortunately, we do not live in such a world. Accordingly, decentralized cryptocurrencies, such as Bitcoin [29], and "smart contract" systems, such as Ethereum, have been proposed [4]. At the heart of these systems is a shared ledger that reliably records a sequence of transactions, ∗This is the more formal (and asynchronous) version of the ArXiv paper by the second author [24], a paper itself based on that of Gorbunov and Micali [18]. Algorand's technologies are the object of the following patent applications: US62/117,138 US62/120,916 US62/142,318 US62/218,817 US62/314,601 PCT/US2016/018300 US62/326,865 62/331,654 US62/333,340 US62/343,369 US62/344,667 US62/346,775 US62/351,011 US62/653,482 US62/352,195 US62/363,970 US62/369,447 US62/378,753 US62/383,299 US62/394,091 US62/400,361 US62/403,403 US62/410,721 US62/416,959 US62/422,883 US62/455,444 US62/458,746 US62/459,652 US62/460,928 US62/465,931

as varied as payments and contracts, in a tamperproof way. The technology of choice to guarantee such tamperproofness is the blockchain. Blockchains are behind applications such as cryptocurrencies [29], ﬁnancial applications [4], and the Internet of Things [3]. Several techniques to manage blockchain-based ledgers have been proposed: proof of work [29], proof of stake [2], practical Byzantine fault-tolerance [8], or some combination. Currently, however, ledgers can be ineﬃcient to manage. For example, Bitcoin's proof-of-work approach (based on the original concept of [14]) requires a vast amount of computation, is wasteful and scales poorly [1]. In addition, it de facto concentrates power in very few hands. We therefore wish to put forward a new method to implement a public ledger that oﬀers the convenience and eﬃciency of a centralized system run by a trusted and inviolable authority, without the ineﬃciencies and weaknesses of current decentralized implementations. We call our approach Algorand, because we use algorithmic randomness to select, based on the ledger constructed so far, a set of veriﬁers who are in charge of constructing the next block of valid transactions. Naturally, we ensure that such selections are provably immune from manipulations and unpredictable until the last minute, but also that they ultimately are universally clear. Algorand's approach is quite democratic, in the sense that neither in principle nor de facto it creates diﬀerent classes of users (as "miners" and "ordinary users" in Bitcoin). In Algorand "all power resides with the set of all users". One notable property of Algorand is that its transaction history may fork only with very small probability (e.g., one in a trillion, that is, or even $10^{-18}$). Algorand can also address some legal and political concerns. The Algorand approach applies to blockchains and, more generally, to any method of generating a tamperproof sequence of blocks. We actually put forward a new method —alternative to, and more eﬃcient than, blockchains— that may be of independent interest. 1.1 Bitcoin's Assumption and Technical Problems Bitcoin is a very ingenious system and has inspired a great amount of subsequent research. Yet, it is also problematic. Let us summarize its underlying assumption and technical problems —which are actually shared by essentially all cryptocurrencies that, like Bitcoin, are based on proof-of-work. For this summary, it suﬃces to recall that, in Bitcoin, a user may own multiple public keys of a digital signature scheme, that money is associated with public keys, and that a payment is a digital signature that transfers some amount of money from one public key to another. Essentially, Bitcoin organizes all processed payments in a chain of blocks, $B_1, B_2, \ldots$, each consisting of multiple payments, such that, all payments of $B_1$, taken in any order, followed by those of $B_2$, in any order, etc., constitute a sequence of valid payments. Each block is generated, on average, every 10 minutes. This sequence of blocks is a chain, because it is structured so as to ensure that any change, even in a single block, percolates into all subsequent blocks, making it easier to spot any alteration of the payment history. (As we shall see, this is achieved by including in each block a cryptographic hash of the previous one.) Such block structure is referred to as a blockchain. Assumption: Honest Majority of Computational Power Bitcoin assumes that no malicious entity (nor a coalition of coordinated malicious entities) controls the majority of the computational power devoted to block generation. Such an entity, in fact, would be able to modify the blockchain,

and thus re-write the payment history, as it pleases. In particular, it could make a payment $\wp$, obtain the beneﬁts paid for, and then "erase" any trace of $\wp$. Technical Problem 1: Computational Waste Bitcoin's proof-of-work approach to block generation requires an extraordinary amount of computation. Currently, with just a few hundred thousands public keys in the system, the top 500 most powerful supercomputers can only muster a mere 12.8% percent of the total computational power required from the Bitcoin players. This amount of computation would greatly increase, should signiﬁcantly more users join the system. Technical Problem 2: Concentration of Power Today, due to the exorbitant amount of computation required, a user, trying to generate a new block using an ordinary desktop (let alone a cell phone), expects to lose money. Indeed, for computing a new block with an ordinary computer, the expected cost of the necessary electricity to power the computation exceeds the expected reward. Only using pools of specially built computers (that do nothing other than "mine new blocks"), one might expect to make a proﬁt by generating new blocks. Accordingly, today there are, de facto, two disjoint classes of users: ordinary users, who only make payments, and specialized mining pools, that only search for new blocks. It should therefore not be a surprise that, as of recently, the total computing power for block generation lies within just ﬁve pools. In such conditions, the assumption that a majority of the computational power is honest becomes less credible. Technical Problem 3: Ambiguity In Bitcoin, the blockchain is not necessarily unique. Indeed its latest portion often forks: the blockchain may be —say— $B_1, \ldots, B_k, B'_{k+1}, B'_{k+2}$, according to one user, and $B_1, \ldots, B_k, B''_{k+1}, B''_{k+2}, B''_{k+3}$ according another user. Only after several blocks have been added to the chain, can one be reasonably sure that the ﬁrst $k + 3$ blocks will be the same for all users. Thus, one cannot rely right away on the payments contained in the last block of the chain. It is more prudent to wait and see whether the block becomes suﬃciently deep in the blockchain and thus suﬃciently stable. Separately, law-enforcement and monetary-policy concerns have also been raised about Bitcoin.1 1.2 Algorand, in a Nutshell Setting Algorand works in a very tough setting. Brieﬂy, (a) Permissionless and Permissioned Environments. Algorand works eﬃciently and securely even in a totally permissionless environment, where arbitrarily many users are allowed to join the system at any time, without any vetting or permission of any kind. Of course, Algorand works even better in a permissioned environment. 1The (pseudo) anonymity oﬀered by Bitcoin payments may be misused for money laundering and/or the ﬁnancing of criminal individuals or terrorist organizations. Traditional banknotes or gold bars, that in principle oﬀer perfect anonymity, should pose the same challenge, but the physicality of these currencies substantially slows down money transfers, so as to permit some degree of monitoring by law-enforcement agencies. The ability to "print money" is one of the very basic powers of a nation state. In principle, therefore, the massive adoption of an independently ﬂoating currency may curtail this power. Currently, however, Bitcoin is far from being a threat to governmental monetary policies, and, due to its scalability problems, may never be.

(b) Very Adversarial Environments. Algorand withstands a very powerful Adversary, who can (1) instantaneously corrupt any user he wants, at any time he wants, provided that, in a permissionless environment, 2/3 of the money in the system belongs to honest user. (In a permissioned environment, irrespective of money, it suﬃces that 2/3 of the users are honest.) (2) totally control and perfectly coordinate all corrupted users; and (3) schedule the delivery of all messages, provided that each message $m$ sent by a honest user reaches 95% of the honest users within a time $\lambda_m$, which solely depends on the size of $m$. Main Properties Despite the presence of our powerful adversary, in Algorand • The amount of computation required is minimal. Essentially, no matter how many users are present in the system, each of ﬁfteen hundred users must perform at most a few seconds of computation. • A New Block is Generated in less than 10 minutes, and will de facto never leave the blockchain. For instance, in expectation, the time to generate a block in the ﬁrst embodiment is less than $\Lambda + 12.4\lambda$, where $\Lambda$ is the time necessary to propagate a block, in a peer-to-peer gossip fashion, no matter what block size one may choose, and $\lambda$ is the time to propagate 1,500 200B-long messages. (Since in a truly decentralized system, $\Lambda$ essentially is an intrinsic latency, in Algorand the limiting factor in block generation is network speed.) The second embodiment has actually been tested experimentally ( by ?), indicating that a block is generated in less than 40 seconds. In addition, Algorand's blockchain may fork only with negligible probability (i.e., less than one in a trillion), and thus users can relay on the payments contained in a new block as soon as the block appears. • All power resides with the users themselves. Algorand is a truy distributed system. In particular, there are no exogenous entities (as the "miners" in Bitcoin), who can control which transactions are recognized. Algorand's Techniques. 1. A New and Fast Byzantine Agreement Protocol. Algorand generates a new block via a new cryptographic, message-passing, binary Byzantine agreement (BA) protocol, BA⋆. Protocol BA⋆not only satisﬁes some additional properties (that we shall soon discuss), but is also very fast. Roughly said, its binary-input version consists of a 3-step loop, in which a player $i$ sends a single message $m_i$ to all other players. Executed in a complete and synchronous network, with more than 2/3 of the players being honest, with probability > 1/3, after each loop the protocol ends in agreement. (We stress that protocol BA⋆satisﬁes the original deﬁnition of Byzantine agreement of Pease, Shostak, and Lamport [31], without any weakenings.) Algorand leverages this binary BA protocol to reach agreement, in our diﬀerent communication model, on each new block. The agreed upon block is then certiﬁed, via a prescribed number of digital signature of the proper veriﬁers, and propagated through the network. 2. Cryptographic Sortition. Although very fast, protocol BA⋆would beneﬁt from further speed when played by millions of users. Accordingly, Algorand chooses the players of BA⋆to be

a much smaller subset of the set of all users. To avoid a diﬀerent kind of concentration-of-power problem, each new block $B^r$ will be constructed and agreed upon, via a new execution of BA⋆, by a separate set of selected veriﬁers, $SV^r$. In principle, selecting such a set might be as hard as selecting $B^r$ directly. We traverse this potential problem by an approach that we term, embracing the insightful suggestion of Maurice Herlihy, cryptographic sortition. Sortition is the practice of selecting oﬃcials at random from a large set of eligible individuals [6]. (Sortition was practiced across centuries: for instance, by the republics of Athens, Florence, and Venice. In modern judicial systems, random selection is often used to choose juries. Random sampling has also been recently advocated for elections by David Chaum [9].) In a decentralized system, of course, choosing the random coins necessary to randomly select the members of each veriﬁer set $SV^r$ is problematic. We thus resort to cryptography in order to select each veriﬁer set, from the population of all users, in a way that is guaranteed to be automatic (i.e., requiring no message exchange) and random. In essence, we use a cryptographic function to automatically determine, from the previous block $B^{r-1}$, a user, the leader, in charge of proposing the new block $B^r$, and the veriﬁer set $SV^r$, in charge to reach agreement on the block proposed by the leader. Since malicious users can aﬀect the composition of $B^{r-1}$ (e.g., by choosing some of its payments), we specially construct and use additional inputs so as to prove that the leader for the $r$th block and the veriﬁer set $SV^r$ are indeed randomly chosen. 3. The Quantity (Seed) $Q^r$. We use the the last block $B^{r-1}$ in the blockchain in order to automatically determine the next veriﬁer set and leader in charge of constructing the new block $B^r$. The challenge with this approach is that, by just choosing a slightly diﬀerent payment in the previous round, our powerful Adversary gains a tremendous control over the next leader. Even if he only controlled only 1/1000 of the players/money in the system, he could ensure that all leaders are malicious. (See the Intuition Section 4.1.) This challenge is central to all proof-of-stake approaches, and, to the best of our knowledge, it has not, up to now, been satisfactorily solved. To meet this challenge, we purposely construct, and continually update, a separate and carefully deﬁned quantity, $Q^r$, which provably is, not only unpredictable, but also not inﬂuentiable, by our powerful Adversary. We may refer to $Q^r$ as the $r$th seed, as it is from $Q^r$ that Algorand selects, via secret cryptographic sortition, all the users that will play a special role in the generation of the $r$th block. 4. Secret Crytographic Sortition and Secret Credentials. Randomly and unambiguously using the current last block, $B^{r-1}$, in order to choose the veriﬁer set and the leader in charge of constructing the new block, $B^r$, is not enough. Since $B^{r-1}$ must be known before generating $B^r$, the last non-inﬂuentiable quantity $Q^{r-1}$ contained in $B^{r-1}$ must be known too. Accordingly, so are the veriﬁers and the leader in charge to compute the block $B^r$. Thus, our powerful Adversary might immediately corrupt all of them, before they engage in any discussion about $B^r$, so as to get full control over the block they certify. To prevent this problem, leaders (and actually veriﬁers too) secretly learn of their role, but can compute a proper credential, capable of proving to everyone that indeed have that role. When a user privately realizes that he is the leader for the next block, ﬁrst he secretly assembles his own proposed new block, and then disseminates it (so that can be certiﬁed) together with his own credential. This way, though the Adversary will immediately realize who the leader of the next block is, and although he can corrupt him right away, it will be too late for the Adversary to inﬂuence the choice of a new block. Indeed, he cannot "call back" the leader's message no more

than a powerful government can put back into the bottle a message virally spread by WikiLeaks. As we shall see, we cannot guarantee leader uniqueness, nor that everyone is sure who the leader is, including the leader himself! But, in Algorand, unambiguous progress will be guaranteed. 5. Player Replaceability. After he proposes a new block, the leader might as well "die" (or be corrupted by the Adversary), because his job is done. But, for the veriﬁers in $SV^r$, things are less simple. Indeed, being in charge of certifying the new block $B^r$ with suﬃciently many signatures, they must ﬁrst run Byzantine agreement on the block proposed by the leader. The problem is that, no matter how eﬃcient it is, BA⋆requires multiple steps and the honesty of > 2/3 of its players. This is a problem, because, for eﬃciency reasons, the player set of BA⋆consists the small set $SV^r$ randomly selected among the set of all users. Thus, our powerful Adversary, although unable to corrupt 1/3 of all the users, can certainly corrupt all members of $SV^r$! Fortunately we'll prove that protocol BA⋆, executed by propagating messages in a peer-topeer fashion, is player-replaceable. This novel requirement means that the protocol correctly and eﬃciently reaches consensus even if each of its step is executed by a totally new, and randomly and independently selected, set of players. Thus, with millions of users, each small set of players associated to a step of BA⋆most probably has empty intersection with the next set. In addition, the sets of players of diﬀerent steps of BA⋆will probably have totally diﬀerent cardinalities. Furthermore, the members of each set do not know who the next set of players will be, and do not secretly pass any internal state. The replaceable-player property is actually crucial to defeat the dynamic and very powerful Adversary we envisage. We believe that replaceable-player protocols will prove crucial in lots of contexts and applications. In particular, they will be crucial to execute securely small sub-protocols embedded in a larger universe of players with a dynamic adversary, who, being able to corrupt even a small fraction of the total players, has no diﬃculty in corrupting all the players in the smaller sub-protocol. An Additional Property/Technique: Lazy Honesty A honest user follows his prescribed instructions, which include being online and run the protocol. Since, Algorand has only modest computation and communication requirement, being online and running the protocol "in the background" is not a major sacriﬁce. Of course, a few "absences" among honest players, as those due to sudden loss of connectivity or the need of rebooting, are automatically tolerated (because we can always consider such few players to be temporarily malicious). Let us point out, however, that Algorand can be simply adapted so as to work in a new model, in which honest users to be oﬄine most of the time. Our new model can be informally introduced as follows. Lazy Honesty. Roughly speaking, a user $i$ is lazy-but-honest if (1) he follows all his prescribed instructions, when he is asked to participate to the protocol, and (2) he is asked to participate to the protocol only rarely, and with a suitable advance notice. With such a relaxed notion of honesty, we may be even more conﬁdent that honest people will be at hand when we need them, and Algorand guarantee that, when this is the case, The system operates securely even if, at a given point in time, the majority of the participating players are malicious.

1.3 Closely Related work Proof-of-work approaches (like the cited [29] and [4]) are quite orthogonal to our ours. So are the approaches based on message-passing Byzantine agreement or practical Byzantine fault tolerance (like the cited [8]). Indeed, these protocols cannot be run among the set of all users and cannot, in our model, be restricted to a suitably small set of users. In fact, our powerful adversary my immediately corrupt all the users involved in a small set charged to actually running a BA protocol. Our approach could be considered related to proof of stake [2], in the sense that users' "power" in block building is proportional to the money they own in the system (as opposed to —say— to the money they have put in "escrow"). The paper closest to ours is the Sleepy Consensus Model of Pass and Shi [30]. To avoid the heavy computation required in the proof-of-work approach, their paper relies upon (and kindly credits) Algorand's secret cryptographic sortition. With this crucial aspect in common, several signiﬁcant diﬀerences exist between our papers. In particular, (1) Their setting is only permissioned. By contrast, Algorand is also a permissionless system. (2) They use a Nakamoto-style protocol, and thus their blockchain forks frequently. Although dispensing with proof-of-work, in their protocol a secretly selected leader is asked to elongate the longest valid (in a richer sense) blockchain. Thus, forks are unavoidable and one has to wait that the block is suﬃciently "deep" in the chain. Indeed, to achieve their goals with an adversary capable of adaptive corruptions, they require a block to be $\text{poly}(N)$ deep, where $N$ represents the total number of users in the system. Notice that, even assuming that a block could be produced in a minute, if there were $N = 1M$ users, then one would have to wait for about 2M years for a block to become $N^2$-deep, and for about 2 years for a block to become $N$-deep. By contrast, Algorand's blockchain forks only with negligible probability, even though the Adversary corrupt users immediately and adaptively, and its new blocks can immediately be relied upon. (3) They do not handle individual Byzantine agreements. In a sense, they only guarantee "eventual consensus on a growing sequence of values". Theirs is a state replication protocol, rather than a BA one, and cannot be used to reach Byzantine agreement on an individual value of interest. By contrast, Algorand can also be used only once, if so wanted, to enable millions of users to quickly reach Byzantine agreement on a speciﬁc value of interest. (4) They require weakly synchronized clocks. That is, all users' clocks are oﬀset by a small time $\delta$. By contrast, in Algorand, clocks need only have (essentially) the same "speed". (5) Their protocol works with lazy-but-honest users or with honest majority of online users. They kindly credit Algorand for raising the issue of honest users going oﬄine en masse, and for putting forward the lazy honesty model in response. Their protocol not only works in the lazy honesty model, but also in their adversarial sleepy model, where an adversary chooses which users are online and which are oﬄine, provided that, at all times, the majority of online users are honest.2 2The original version of their paper actually considered only security in their adversarial sleepy model. The original version of Algorand, which precedes theirs, also explicitly envisaged assuming that a given majority of the online players is always honest, but explicitly excluded it from consideration, in favor of the lazy honesty model. (For instance, if at some point in time half of the honest users choose to go oﬀ-line, then the majority of the users on-line may very well be malicious. Thus, to prevent this from happening, the Adversary should force most of his corrupted players to go oﬀ-line too, which clearly is against his own interest.) Notice that a protocol with a majority of lazy-but-honest players works just ﬁne if the majority of the users on-line are always malicious. This is so, because a suﬃcient number of honest players, knowing that they are going to be crucial at some rare point in time, will elect not to go oﬀ-line in those moments, nor can they be forced oﬀ-line by the Adversary, since he does not know who the crucial honest players might be.

(6) They require a simple honest majority. By contrast, the current version of Algorand requires a 2/3 honest majority. Another paper close to us is Ouroboros: A Provably Secure Proof-of-Stake Blockchain Protocol, by Kiayias, Russell, David, and Oliynykov [20]. Also their system appeared after ours. It also uses crytpographic sortition to dispense with proof of work in a provable manner. However, their system is, again, a Nakamoto-style protocol, in which forks are both unavoidable and frequent. (However, in their model, blocks need not as deep as the sleepy-consensus model.) Moreover, their system relies on the following assumptions: in the words of the authors themselves, "(1) the network is highly synchronous, (2) the majority of the selected stakeholders is available as needed to participate in each epoch, (3) the stakeholders do not remain oﬄine for long periods of time, (4) the adaptivity of corruptions is subject to a small delay that is measured in rounds linear in the security parameter." By contrast, Algorand is, with overwhelming probability, fork-free, and does not rely on any of these 4 assumptions. In particular, in Algorand, the Adversary is able to instantaneously corrupt the users he wants to control.

Perkenalan

Uang menjadi semakin virtual. Diperkirakan sekitar 80% dari Amerika Serikat dolar saat ini hanya ada sebagai entri buku besar [5]. Instrumen keuangan lainnya juga mengikuti langkah serupa. Di dunia yang ideal, di mana kita dapat mengandalkan entitas pusat yang dipercaya secara universal, yang kebal terhadap semua kemungkinan serangan dunia maya, uang dan transaksi keuangan lainnya hanya dapat dilakukan secara elektronik. Sayangnya, kita tidak hidup di dunia seperti itu. Oleh karena itu, cryptocurrency terdesentralisasi, seperti itu seperti Bitcoin [29], dan sistem “smart contract”, seperti Ethereum, telah diusulkan [4]. Di inti dari sistem ini adalah buku besar bersama yang mencatat urutan transaksi dengan andal, ∗Ini adalah versi makalah ArXiv yang lebih formal (dan asinkron) oleh penulis kedua [24], sebuah makalah sendiri berdasarkan Gorbunov dan Micali [18]. Teknologi Algorand adalah objek berikut ini permohonan paten: US62/117,138 US62/120,916 US62/142,318 US62/218,817 US62/314,601 PCT/US2016/018300 US62/326.865 62/331.654 US62/333.340 US62/343.369 US62/344.667 US62/346.775 US62/351.011 US62/653.482 US62/352.195 US62/363.970 US62/369.447 US62/378.753 US62/383.299 US62/394.091 US62/400.361 US62/403.403 US62/410,721 US62/416,959 US62/422,883 US62/455,444 US62/458,746 US62/459,652 US62/460,928 US62/465,931beragam seperti pembayaran dan kontrak, dengan cara yang tidak dapat diubah. Teknologi pilihan untuk menjamin ketahanan terhadap kerusakan tersebut adalah blockchain. Blockchain berada di balik aplikasi seperti cryptocurrency [29], aplikasi keuangan [4], dan Internet of Things [3]. Beberapa teknik untuk mengelola buku besar berbasis blockchain telah diusulkan: bukti kerja [29], bukti kepemilikan [2], toleransi kesalahan Bizantium praktis [8], atau kombinasi tertentu. Namun saat ini, pengelolaan buku besar menjadi tidak efisien. Misalnya, proof-of-work milik Bitcoin pendekatan (berdasarkan konsep asli [14]) memerlukan banyak perhitungan, boros dan skalanya buruk [1]. Selain itu, secara de facto ia memusatkan kekuasaan di tangan yang sangat sedikit. Oleh karena itu kami ingin mengajukan metode baru untuk mengimplementasikan buku besar publik yang menawarkan kenyamanan dan efisiensi sistem terpusat yang dijalankan oleh otoritas yang terpercaya dan tidak dapat diganggu gugat, tanpa inefisiensi dan kelemahan penerapan desentralisasi saat ini. Kami menyebutnya pendekatan kami Algorand, karena kami menggunakan keacakan algoritmik untuk memilih, berdasarkan buku besar yang dibuat sejauh ini, sekumpulan verifikator yang bertugas membangun blok transaksi valid berikutnya. Tentu saja, kami memastikan bahwa pilihan tersebut terbukti kebal dari manipulasi dan tidak dapat diprediksi hingga saat ini pada menit-menit terakhir, namun juga pada akhirnya menjadi jelas secara universal. Pendekatan Algorand cukup demokratis, dalam artian tidak secara prinsip maupun de facto menciptakan kelas pengguna yang berbeda (sebagai “penambang” dan “pengguna biasa” di Bitcoin). Dalam Algorand “semua kekuasaan ada pada himpunan semua pengguna”. Salah satu properti penting dari Algorand adalah riwayat transaksinya hanya dapat bercabang dengan jumlah yang sangat kecil probabilitas (misalnya, satu dalam satu triliun, atau bahkan 10−18). Algorand juga dapat mengatasi beberapa masalah hukum dan kekhawatiran politik. Pendekatan Algorand berlaku untuk blockchains dan, lebih umum, untuk metode pembangkitan apa pun rangkaian blok yang tahan terhadap kerusakan. Kami sebenarnya mengajukan metode baru—alternatif dari, dan lebih efisien daripada, blockchains— yang mungkin merupakan kepentingan independen. 1.1 Asumsi dan Masalah Teknis Bitcoin Bitcoin adalah sistem yang sangat cerdik dan telah menginspirasi banyak penelitian selanjutnya. Namun, itu juga bermasalah. Mari kita rangkum asumsi mendasar dan masalah teknisnya—yang mana sebenarnya dimiliki oleh semua mata uang kripto yang, seperti Bitcoin, didasarkan pada proof-of-work. Untuk ringkasan ini, perlu diingat bahwa, di Bitcoin, pengguna dapat memiliki beberapa kunci publik skema tanda tangan digital, uang dikaitkan dengan kunci publik, dan pembayaran adalah a tanda tangan digital yang mentransfer sejumlah uang dari satu kunci publik ke kunci publik lainnya. Intinya, Bitcoin mengatur semua pembayaran yang diproses dalam rantai blok, B1, B2, . . ., masing-masing terdiri atas kelipatan pembayaran, sehingga seluruh pembayaran B1, dilakukan dalam urutan apa pun, diikuti oleh pembayaran B2, dalam urutan apa pun, dll., merupakan rangkaian pembayaran yang sah. Setiap blok rata-rata dihasilkan setiap 10 menit. Urutan blok ini adalah sebuah rantai, karena disusun sedemikian rupa untuk memastikan bahwa setiap perubahan terjadi secara merata dalam satu blok, meresap ke semua blok berikutnya, sehingga lebih mudah untuk mengenali perubahan apa pun riwayat pembayaran. (Seperti yang akan kita lihat, hal ini dicapai dengan memasukkan kriptografi ke dalam setiap blok hash dari yang sebelumnya.) Struktur blok seperti itu disebut sebagai blockchain. Asumsi: Mayoritas Kekuatan Komputasi yang Jujur Bitcoin berasumsi bahwa tidak ada yang berbahaya entitas (atau koalisi entitas jahat yang terkoordinasi) mengendalikan sebagian besar komputasi daya yang dikhususkan untuk pembangkitan blok. Faktanya, entitas seperti itu dapat mengubah blockchain,dan dengan demikian menulis ulang riwayat pembayaran, sesuai keinginan. Secara khusus, dapat melakukan pembayaran $\wp$, memperoleh manfaat yang telah dibayarkan, dan kemudian “menghapus” jejak apa pun dari $\wp$. Masalah Teknis 1: Limbah Komputasi Pendekatan proof-of-work Bitcoin untuk memblokir pembangkitan membutuhkan jumlah komputasi yang luar biasa. Saat ini, hanya dengan beberapa ratus ribuan kunci publik dalam sistem, hanya dapat dikumpulkan oleh 500 superkomputer terkuat hanya 12,8% persen dari total daya komputasi yang dibutuhkan dari pemain Bitcoin. Ini jumlah komputasi akan meningkat pesat jika semakin banyak pengguna yang bergabung dalam sistem. Masalah Teknis 2: Konsentrasi Kekuasaan Saat ini, karena jumlahnya yang selangit diperlukan komputasi, pengguna, mencoba membuat blok baru menggunakan desktop biasa (apalagi a ponsel), diperkirakan akan kehilangan uang. Memang benar, untuk menghitung blok baru dengan komputer biasa, biaya yang diharapkan dari listrik yang diperlukan untuk menggerakkan komputasi melebihi imbalan yang diharapkan. Hanya menggunakan kumpulan komputer yang dibuat khusus (yang tidak melakukan apa pun selain “menambang blok baru”), satu mungkin berharap mendapat untung dengan menghasilkan blok-blok baru. Oleh karena itu, saat ini, secara de facto, ada dua kelas pengguna yang terpisah: pengguna biasa, yang hanya melakukan pembayaran, dan kumpulan penambangan khusus, yang hanya mencari blok baru. Oleh karena itu, tidak mengherankan bahwa, hingga saat ini, total daya komputasi per blok generasi terletak hanya dalam lima kelompok. Dalam kondisi seperti itu, asumsi mayoritas kekuatan komputasi yang jujur menjadi kurang kredibel. Masalah Teknis 3: Ambiguitas Di Bitcoin, blockchain belum tentu unik. Memang bagian terakhirnya sering kali bercabang: blockchain mungkin —katakanlah— B1, . . . , Bk, B′ k+1, B′ k+2, menurut satu pengguna, dan B1, . . . , Bk, B′′ k+1, B′′ k+2, B′′ k+3 menurut pengguna lain. Baru setelah beberapa blok ada telah ditambahkan ke dalam rantai, dapatkah seseorang yakin bahwa k + 3 blok pertama akan sama untuk semua pengguna. Oleh karena itu, seseorang tidak dapat langsung mengandalkan pembayaran yang terdapat di blok terakhir rantai. Akan lebih bijaksana untuk menunggu dan melihat apakah blok tersebut sudah cukup dalam blockchain dan dengan demikian cukup stabil. Secara terpisah, permasalahan penegakan hukum dan kebijakan moneter juga telah diangkat mengenai Bitcoin.1 1.2 Algorand, Singkatnya Pengaturan Algorand bekerja dalam lingkungan yang sangat sulit. Secara singkat, (a) Lingkungan Tanpa Izin dan Izin. Algorand bahkan bekerja secara efisien dan aman dalam lingkungan yang benar-benar tanpa izin, di mana banyak pengguna diizinkan untuk bergabung secara sewenang-wenang sistem kapan saja, tanpa pemeriksaan atau izin apa pun. Tentu saja, Algorand berhasil bahkan lebih baik di lingkungan yang berizin. 1Anonimitas (semu) yang ditawarkan oleh Bitcoin pembayaran dapat disalahgunakan untuk pencucian uang dan/atau pendanaan individu kriminal atau organisasi teroris. Uang kertas tradisional atau emas batangan, yang pada prinsipnya menawarkan kesempurnaan anonimitas, seharusnya menimbulkan tantangan yang sama, namun fisik mata uang ini secara signifikan memperlambat pergerakan uang transfer dana, sehingga memungkinkan adanya pemantauan pada tingkat tertentu oleh lembaga penegak hukum. Kemampuan untuk “mencetak uang” adalah salah satu kekuatan mendasar suatu negara-bangsa. Oleh karena itu, pada prinsipnya masif Penerapan mata uang yang mengambang secara independen dapat membatasi kekuatan ini. Namun saat ini, Bitcoin masih jauh dari harapan ancaman terhadap kebijakan moneter pemerintah, dan karena masalah skalabilitasnya, hal ini mungkin tidak akan pernah terjadi.(b) Lingkungan yang Sangat Bermusuhan. Algorand bertahan melawan Musuh yang sangat kuat, yang mampu (1) secara instan merusak pengguna mana pun yang dia inginkan, kapan pun dia mau, dengan ketentuan, dalam a lingkungan tanpa izin, 2/3 uang dalam sistem adalah milik pengguna yang jujur. (Dalam a lingkungan yang diizinkan, berapa pun uangnya, cukuplah 2/3 penggunanya jujur.) (2) mengontrol sepenuhnya dan mengoordinasikan dengan sempurna semua pengguna yang rusak; dan (3) menjadwalkan pengiriman semua pesan, dengan ketentuan bahwa setiap pesan dikirim oleh pengguna yang jujur menjangkau 95% pengguna jujur dalam waktu $\lambda$m, yang semata-mata bergantung pada ukuran m. Properti Utama Meskipun kehadiran musuh kita yang kuat, di Algorand • Jumlah perhitungan yang diperlukan minimal. Intinya, tidak peduli berapa banyak penggunanya hadir dalam sistem, masing-masing dari seribu lima ratus pengguna harus melakukan paling banyak beberapa detik komputasi. • Blok Baru Dibuat dalam waktu kurang dari 10 menit, dan secara de facto tidak akan pernah meninggalkan blockchain. Misalnya, dalam ekspektasi, waktu untuk menghasilkan blok pada perwujudan pertama lebih sedikit daripada Λ + 12.4$\lambda$, di mana Λ adalah waktu yang diperlukan untuk menyebarkan sebuah blok, dalam gosip peer-to-peer mode, tidak peduli berapa pun ukuran blok yang dipilih, dan $\lambda$ adalah waktu untuk menyebarkan 1.500 pesan 200Blong. (Karena dalam sistem yang benar-benar terdesentralisasi, Λ pada dasarnya adalah latensi intrinsik, dalam Algorand faktor pembatas dalam pembuatan blok adalah kecepatan jaringan.) Perwujudan kedua memiliki sebenarnya telah diuji secara eksperimental ( oleh ?), menunjukkan bahwa sebuah blok dihasilkan dalam waktu kurang dari 40 detik. Selain itu, blockchain Algorand hanya dapat bercabang dengan probabilitas yang dapat diabaikan (yaitu, kurang dari satu dalam satu triliun), sehingga pengguna dapat meneruskan pembayaran yang terdapat dalam blok baru segera setelahnya blok muncul. • Semua kekuasaan berada di tangan pengguna itu sendiri. Algorand adalah sistem terdistribusi yang sebenarnya. Khususnya, tidak ada entitas eksogen (seperti “penambang” di Bitcoin), yang dapat mengontrol transaksi mana diakui. Teknik Algorand. 1. Protokol Perjanjian Bizantium yang Baru dan Cepat. Algorand menghasilkan blok baru melalui protokol kriptografi, penyampaian pesan, perjanjian biner Bizantium (BA), BA⋆. Protokol BA⋆tidak hanya memenuhi beberapa properti tambahan (yang akan segera kita bahas), namun juga sangat cepat. Secara kasar, versi input binernya terdiri dari loop 3 langkah, di mana pemain i mengirimkan satu pesan mi ke semua pemain lainnya. Dieksekusi dalam jaringan yang lengkap dan sinkron, dengan lebih banyak lagi dari 2/3 pemain jujur, dengan probabilitas > 1/3, setelah setiap loop berakhirnya protokol persetujuan. (Kami menekankan bahwa protokol BA⋆memenuhi definisi asli perjanjian Bizantium dari Pease, Shostak, dan Lamport [31], tanpa melemah apa pun.) Algorand memanfaatkan protokol BA biner ini untuk mencapai kesepakatan, dalam komunikasi kami yang berbeda model, di setiap blok baru. Blok yang disepakati kemudian disertifikasi, melalui sejumlah yang ditentukan tanda tangan digital dari verifikator yang tepat, dan disebarkan melalui jaringan. 2. Penyortiran Kriptografi. Meskipun sangat cepat, protokol BA⋆ akan mendapatkan manfaat lebih jauh kecepatan saat dimainkan oleh jutaan pengguna. Oleh karena itu, Algorand memilih pemain BA⋆untuk menjadisubset yang jauh lebih kecil dari himpunan semua pengguna. Untuk menghindari jenis konsentrasi kekuasaan yang berbeda masalah, setiap blok baru Br akan dibangun dan disepakati, melalui pelaksanaan BA⋆ baru, oleh sekelompok verifikator terpilih yang terpisah, SV r. Pada prinsipnya, memilih set seperti itu mungkin sama sulitnya memilih Br secara langsung. Kami mengatasi potensi masalah ini dengan pendekatan yang kami sebut merangkul saran mendalam dari Maurice Herlihy, penyortiran kriptografi. Penyortiran adalah praktik memilih pejabat secara acak dari sejumlah besar individu yang memenuhi syarat [6]. (Penyortiran dilakukan selama berabad-abad: misalnya, oleh republik Athena, Florence, dan Venesia. Dalam peradilan modern sistem, pemilihan acak sering digunakan untuk memilih juri. Pengambilan sampel secara acak juga baru-baru ini dilakukan menganjurkan pemilu oleh David Chaum [9].) Dalam sistem desentralisasi tentunya memilih koin acak yang diperlukan untuk memilih secara acak anggota setiap set pemverifikasi SV r bermasalah. Oleh karena itu kami menggunakan kriptografi untuk memilih setiap kumpulan verifikasi, dari populasi semua pengguna, dengan cara yang dijamin otomatis (yaitu tidak memerlukan pertukaran pesan) dan acak. Intinya, kami menggunakan fungsi kriptografi untuk menentukan secara otomatis, dari blok sebelumnya Br−1, pengguna, pemimpin, bertugas mengusulkan blok baru Br, dan pemverifikasi himpunan SV r, di bertugas untuk mencapai kesepakatan mengenai blok yang diusulkan oleh pemimpin. Karena pengguna jahat dapat mempengaruhi komposisi Br−1 (misalnya, dengan memilih beberapa pembayarannya), kami secara khusus membuat dan menggunakannya masukan tambahan untuk membuktikan bahwa pemimpin untuk blok ke-r dan himpunan pemverifikasi SV r memang benar dipilih secara acak. 3. Jumlah (Benih) Qr. Kita menggunakan blok terakhir Br−1 di blockchain untuk melakukannya secara otomatis menentukan set verifikasi berikutnya dan pemimpin yang bertugas membangun blok baru Sdr. Tantangan dalam pendekatan ini adalah, dengan hanya memilih pembayaran yang sedikit berbeda di dalamnya putaran sebelumnya, Musuh kita yang kuat memperoleh kendali luar biasa atas pemimpin berikutnya. Bahkan jika dia hanya mengendalikan 1/1000 pemain/uang dalam sistem, dia dapat memastikan bahwa semua pemimpin demikian berbahaya. (Lihat Intuisi Bagian 4.1.) Tantangan ini penting bagi semua pendekatan proof-of-stake, dan, sepanjang pengetahuan kami, hingga kini masalah ini belum terselesaikan dengan memuaskan. Untuk menghadapi tantangan ini, kami sengaja membangun, dan terus memperbarui, secara terpisah dan hati-hati kuantitas yang ditentukan, Qr, yang terbukti, tidak hanya tidak dapat diprediksi, tetapi juga tidak dapat dipengaruhi, oleh kita Musuh yang kuat. Kita dapat menyebut Qr sebagai benih ke-r, karena dari Qr itulah Algorand memilih, melalui penyortiran kriptografi rahasia, semua pengguna yang akan memainkan peran khusus dalam pembuatannya blok ke-r. 4. Penyortiran Kritografi Rahasia dan Kredensial Rahasia. Secara acak dan jelas menggunakan blok terakhir saat ini, Br−1, untuk memilih himpunan verifikasi dan pemimpin yang bertanggung jawab membangun blok baru, Br, tidaklah cukup. Karena Br−1 harus diketahui sebelum menghasilkan Br, kuantitas terakhir yang tidak dapat dipengaruhi Qr−1 yang terkandung dalam Br−1 harus diketahui juga. Oleh karena itu, demikian adalah verifikator dan pemimpin yang bertugas menghitung blok Br. Jadi, Musuh kita yang kuat mungkin akan langsung merusak semuanya, sebelum mereka terlibat dalam diskusi apa pun tentang Br, untuk mendapatkan kontrol penuh atas blok yang mereka sertifikasi. Untuk mencegah masalah ini, para pemimpin (dan sebenarnya juga para pemeriksa) secara diam-diam mengetahui peran mereka, namun mereka bisa menghitung kredensial yang tepat, yang mampu membuktikan kepada semua orang bahwa memang memiliki peran tersebut. Kapan Ketika pengguna secara diam-diam menyadari bahwa dia adalah pemimpin untuk blok berikutnya, pertama-tama dia secara diam-diam merakit bloknya sendiri sendiri yang mengusulkan blok baru, dan kemudian menyebarkannya (sehingga dapat disertifikasi) bersama dengan blok miliknya kredensial. Dengan cara ini, Musuh akan segera menyadari siapa pemimpin selanjutnya blok tersebut, dan meskipun ia dapat langsung merusaknya, maka sudah terlambat bagi Musuh untuk melakukannya mempengaruhi pilihan blok baru. Memang benar, dia tidak bisa “memanggil kembali” pesan pemimpinnya lagidaripada pemerintah yang kuat dapat memasukkan kembali pesan yang disebarkan secara viral oleh WikiLeaks. Seperti yang akan kita lihat, kita tidak bisa menjamin keunikan pemimpin, dan semua orang juga tidak yakin siapa pemimpinnya adalah, termasuk pemimpinnya sendiri! Namun, pada Algorand, kemajuan pasti akan terjamin. 5. Penggantian Pemain. Setelah dia mengusulkan blok baru, pemimpinnya mungkin akan “mati” (atau mati). dirusak oleh Musuh), karena tugasnya telah selesai. Namun, bagi para verifikator di SV r, keadaannya tidak begitu baik sederhana. Memang, bertugas mengesahkan blok baru Br dengan tanda tangan yang cukup banyak, mereka harus terlebih dahulu menjalankan perjanjian Bizantium pada blok yang diusulkan oleh pemimpinnya. Masalahnya adalah, tidak peduli seberapa efisiennya, BA⋆membutuhkan banyak langkah dan kejujuran> 2/3 pemainnya. Hal ini menjadi masalah karena, demi alasan efisiensi, himpunan pemain BA⋆ terdiri dari himpunan kecil SV r dipilih secara acak di antara kumpulan semua pengguna. Jadi, Musuh kita kuat, meski tidak mampu merusak 1/3 dari seluruh pengguna, tentu dapat merusak seluruh anggota SV r! Untungnya kami akan membuktikan bahwa protokol BA⋆, yang dijalankan dengan menyebarkan pesan dengan cara peer-topeer, dapat digantikan oleh pemain. Persyaratan baru ini berarti protokolnya benar dan mencapai konsensus secara efisien bahkan jika setiap langkahnya dijalankan dengan cara yang benar-benar baru dan acak dan dipilih secara independen, sekelompok pemain. Jadi, dengan jutaan pengguna, masing-masing terdiri dari sekelompok kecil pemain terkait dengan langkah BA⋆kemungkinan besar memiliki perpotongan kosong dengan himpunan berikutnya. Selain itu, kumpulan pemain dengan langkah BA⋆ yang berbeda mungkin akan memiliki karakter yang sangat berbeda kardinalitas. Selain itu, anggota setiap set tidak mengetahui siapa pemain berikutnya jadilah, dan jangan diam-diam melewati keadaan internal apa pun. Properti pemain yang dapat diganti sebenarnya sangat penting untuk mengalahkan yang dinamis dan sangat kuat Musuh yang kami bayangkan. Kami percaya bahwa protokol pemain yang dapat diganti akan terbukti penting dalam banyak hal konteks dan aplikasi. Secara khusus, hal ini akan sangat penting untuk melaksanakan sub-protokol kecil dengan aman tertanam di dunia pemain yang lebih besar dengan musuh yang dinamis, yang bahkan mampu merusak sebagian kecil dari total pemain, tidak mengalami kesulitan untuk merusak semua pemain yang lebih kecil sub-protokol. Properti/Teknik Tambahan: Kejujuran Malas Pengguna yang jujur mengikuti resepnya instruksi, termasuk online dan menjalankan protokol. Karena, Algorand hanya memiliki sedikit saja kebutuhan komputasi dan komunikasi, online dan menjalankan protokol “di latar belakang” bukanlah pengorbanan besar. Tentu saja, ada beberapa “ketidakhadiran” di antara pemain jujur, seperti itu karena hilangnya konektivitas secara tiba-tiba atau perlunya reboot, secara otomatis ditoleransi (karena kami selalu dapat menganggap beberapa pemain tersebut sebagai pemain jahat untuk sementara waktu). Namun, mari kita tunjukkan, bahwa Algorand dapat dengan mudah diadaptasi agar berfungsi dalam model baru, di mana pengguna yang jujur sering kali offline. Model baru kami dapat diperkenalkan secara informal sebagai berikut. Kejujuran yang Malas. Secara kasar, pengguna i malas-tapi-jujur jika (1) dia mengikuti semua yang ditentukan instruksi, ketika dia diminta untuk berpartisipasi dalam protokol, dan (2) dia diminta untuk berpartisipasi ke protokol jarang sekali, dan dengan pemberitahuan terlebih dahulu. Dengan gagasan yang santai tentang kejujuran, kita mungkin bahkan lebih yakin bahwa orang-orang jujur juga demikian tersedia ketika kita membutuhkannya, dan Algorand menjamin bahwa, ketika hal ini terjadi, Sistem beroperasi dengan aman meskipun, pada titik waktu tertentu, mayoritas pemain yang berpartisipasi jahat.1.3 Pekerjaan yang Berhubungan Dekat Pendekatan bukti kerja (seperti [29] dan [4] yang dikutip) cukup ortogonal dengan pendekatan kami. Begitu juga dengan pendekatan yang didasarkan pada persetujuan Bizantium yang menyampaikan pesan atau toleransi kesalahan Bizantium yang praktis (seperti yang dikutip [8]). Memang benar, protokol-protokol ini tidak dapat dijalankan di antara semua pengguna dan tidak dapat, dalam model kami, dibatasi hanya untuk sekelompok kecil pengguna. Faktanya, musuh kita yang kuat adalah saya segera merusak semua pengguna yang terlibat dalam sekelompok kecil yang dibebankan untuk benar-benar menjalankan protokol BA. Pendekatan kami dapat dianggap terkait dengan bukti kepemilikan [2], dalam artian “kekuatan” pengguna dalam pembangunan blok sebanding dengan uang yang mereka miliki dalam sistem (berbeda dengan —katakanlah— untuk uang yang mereka masukkan ke dalam “escrow”). Makalah yang paling dekat dengan kami adalah Model Konsensus Mengantuk dari Pass dan Shi [30]. Untuk menghindari perhitungan berat diperlukan dalam pendekatan proof-of-work, makalah mereka bergantung pada (dan ramah kredit) penyortiran kriptografi rahasia Algorand. Dengan kesamaan aspek penting ini, ada beberapa ada perbedaan yang signifikan antara makalah kami. Khususnya, (1) Pengaturannya hanya diperbolehkan. Sebaliknya, Algorand juga merupakan sistem tanpa izin. (2) Mereka menggunakan protokol gaya Nakamoto, dan dengan demikian blockchain mereka sering kali bercabang. Meskipun tanpa proof-of-work, dalam protokol mereka seorang pemimpin yang dipilih secara diam-diam diminta untuk memperpanjang valid terlama (dalam arti yang lebih kaya) blockchain. Oleh karena itu, percabangan tidak dapat dihindari dan kita harus menunggunya blok tersebut cukup “dalam” di dalam rantai. Memang, untuk mencapai tujuan mereka dengan musuh mampu melakukan korupsi adaptif, mereka memerlukan blok yang memiliki kedalaman poli(N), di mana N mewakili jumlah total pengguna dalam sistem. Perhatikan hal itu, bahkan dengan asumsi bahwa sebuah blok dapat diproduksi dalam satu menit, jika ada N = 1 juta pengguna, maka seseorang harus menunggu sekitar 2 juta tahun untuk bisa mendapatkannya satu blok menjadi sedalam N 2, dan selama sekitar 2 tahun agar satu blok menjadi sedalam N. Sebaliknya, Algorand blockchain bercabang hanya dengan kemungkinan yang dapat diabaikan, meskipun Musuh korup pengguna secara cepat dan adaptif, dan blok-blok barunya dapat segera diandalkan. (3) Mereka tidak menangani perjanjian Bizantium secara individual. Dalam arti tertentu, mereka hanya menjamin “konsensus akhir mengenai rangkaian nilai yang berkembang”. Protokol mereka adalah protokol replikasi negara daripada BA, dan tidak dapat digunakan untuk mencapai kesepakatan Bizantium mengenai nilai kepentingan individu. Sebaliknya, Algorand juga dapat digunakan hanya sekali, jika diinginkan, untuk memungkinkan jutaan pengguna dengan cepat mencapai kesepakatan Bizantium mengenai nilai bunga tertentu. (4) Mereka memerlukan jam yang disinkronkan dengan lemah. Artinya, semua jam pengguna diimbangi dengan waktu yang kecil δ. Sebaliknya, di Algorand, jam hanya perlu memiliki (pada dasarnya) “kecepatan” yang sama. (5) Protokol mereka bekerja dengan pengguna yang malas tapi jujur atau dengan mayoritas pengguna online yang jujur. Mereka dengan hormat memuji Algorand karena telah mengangkat masalah pengguna jujur yang online secara massal, dan untuk mengedepankan model kejujuran yang malas sebagai tanggapannya. Protokol mereka tidak hanya berfungsi pada orang yang malas model kejujuran, tetapi juga dalam model mengantuk permusuhan, di mana musuh memilih pengguna yang mana sedang online dan mana yang offline, asalkan mayoritas pengguna online selalu jujur.2 2Versi asli dari makalah mereka sebenarnya hanya mempertimbangkan keamanan dalam model mengantuk mereka yang bermusuhan. Itu versi asli Algorand, yang mendahului versi mereka, juga secara eksplisit dipertimbangkan dengan asumsi bahwa mayoritas penduduk pemain online selalu jujur, namun secara eksplisit mengecualikannya dari pertimbangan, mendukung model kejujuran yang malas. (Misalnya, jika suatu saat setengah dari pengguna jujur memilih untuk offline, maka mayoritas pengguna online mungkin sangat berbahaya. Jadi, untuk mencegah hal ini terjadi, Musuh harus memaksakan sebagian besar kekuatannya pemain yang korup untuk offline juga, yang jelas-jelas bertentangan dengan kepentingannya sendiri.) Perhatikan bahwa protokol dengan mayoritas Pemain yang malas tapi jujur akan bekerja dengan baik jika mayoritas pengguna online selalu jahat. Hal ini terjadi karena sejumlah pemain jujur, mengetahui bahwa mereka akan menjadi krusial pada suatu saat tertentu, akan memilih tidak boleh offline pada saat-saat itu, juga tidak dapat dipaksa offline oleh Musuh, karena dia tidak tahu siapa yang mungkin pemain jujur yang penting.(6) Mereka memerlukan mayoritas yang sederhana dan jujur. Sebaliknya, versi Algorand saat ini memerlukan mayoritas jujur 2/3. Makalah lain yang dekat dengan kami adalah Ouroboros: Protokol Blockchain Bukti Saham yang Terbukti Aman, oleh Kiayias, Russell, David, dan Oliynykov [20]. Sistem mereka juga muncul setelah sistem kita. Itu juga menggunakan penyortiran kriptografi untuk membuang bukti kerja dengan cara yang dapat dibuktikan. Namun, mereka Sistem ini, sekali lagi, merupakan protokol gaya Nakamoto, yang mana percabangan tidak dapat dihindari dan sering terjadi. (Namun, dalam model mereka, hambatan tidak perlu sedalam model konsensus yang mengantuk.) Selain itu, sistem mereka bergantung pada asumsi berikut: menurut penulisnya sendiri, “(1) the jaringan sangat sinkron, (2) mayoritas pemangku kepentingan terpilih tersedia sesuai kebutuhan untuk berpartisipasi dalam setiap zaman, (3) para pemangku kepentingan tidak harus offline dalam jangka waktu yang lama, (4) adaptasi korupsi tunduk pada penundaan kecil yang diukur dalam putaran linear parameter keamanan.” Sebaliknya, Algorand, dengan kemungkinan besar, bebas fork, dan tidak bergantung pada salah satu dari 4 asumsi ini. Khususnya, di Algorand, Musuh mampu melakukannya secara instan merusak pengguna yang ingin dia kendalikan.

Preliminaries

2.1 Cryptographic Primitives Ideal Hashing. We shall rely on an eﬃciently computable cryptographic hash function, H, that maps arbitrarily long strings to binary strings of ﬁxed length. Following a long tradition, we model H as a random oracle, essentially a function mapping each possible string s to a randomly and independently selected (and then ﬁxed) binary string, H(s), of the chosen length. In this paper, H has 256-bit long outputs. Indeed, such length is short enough to make the system eﬃcient and long enough to make the system secure. For instance, we want H to be collisionresilient. That is, it should be hard to ﬁnd two diﬀerent strings x and y such that H(x) = H(y). When H is a random oracle with 256-bit long outputs, ﬁnding any such pair of strings is indeed diﬃcult. (Trying at random, and relying on the birthday paradox, would require $2^{256/2} = 2^{128}$ trials.) Digital Signing. Digital signatures allow users to to authenticate information to each other without sharing any sharing any secret keys. A digital signature scheme consists of three fast algorithms: a probabilistic key generator G, a signing algorithm S, and a veriﬁcation algorithm V . Given a security parameter k, a suﬃciently high integer, a user i uses G to produce a pair of k-bit keys (i.e., strings): a “public” key pki and a matching “secret” signing key ski. Crucially, a public key does not “betray” its corresponding secret key. That is, even given knowledge of pki, no one other than i is able to compute ski in less than astronomical time. User i uses ski to digitally sign messages. For each possible message (binary string) m, i ﬁrst hashes m and then runs algorithm S on inputs H(m) and ski so as to produce the k-bit string $\text{sig}_{pk_i}(m) \triangleq S(H(m), sk_i)$.³ 3Since H is collision-resilient it is practically impossible that, by signing m one “accidentally signs” a diﬀerent message m′.

The binary string sigpki(m) is referred to as i’s digital signature of m (relative to pki), and can be more simply denoted by sigi(m), when the public key pki is clear from context. Everyone knowing pki can use it to verify the digital signatures produced by i. Speciﬁcally, on inputs (a) the public key pki of a player i, (b) a message m, and (c) a string s, that is, i’s alleged digital signature of the message m, the veriﬁcation algorithm V outputs either YES or NO. The properties we require from a digital signature scheme are: 1. Legitimate signatures are always veriﬁed: If s = sigi(m), then V (pki, m, s) = Y ES; and 2. Digital signatures are hard to forge: Without knowledge of ski the time to ﬁnd a string s such that V (pki, m, s) = Y ES, for a message m never signed by i, is astronomically long. (Following the strong security requirement of Goldwasser, Micali, and Rivest [17], this is true even if one can obtain the signature of any other message.) Accordingly, to prevent anyone else from signing messages on his behalf, a player i must keep his signing key ski secret (hence the term “secret key”), and to enable anyone to verify the messages he does sign, i has an interest in publicizing his key pki (hence the term “public key”). In general, a message m is not retrievable from its signature sigi(m). In order to virtually deal with digital signatures that satisfy the conceptually convenient “retrievability” property (i.e., to guarantee that the signer and the message are easily computable from a signature, we deﬁne \[\text{SIG}_{pk_i}(m) = (i, m, \text{sig}_{pk_i}(m))\] and \[\text{SIG}_i(m) = (i, m, \text{sig}_i(m)), \text{ if } pk_i \text{ is clear.}\] Unique Digital Signing. We also consider digital signature schemes (G, S, V ) satisfying the following additional property. 3. Uniqueness. It is hard to ﬁnd strings pk′, m, s, and s′ such that $s \neq s'$ and $V(pk', m, s) = V(pk', m, s') = 1$. (Note that the uniqueness property holds also for strings pk′ that are not legitimately generated public keys. In particular, however, the uniqueness property implies that, if one used the speciﬁed key generator G to compute a public key pk together with a matching secret key sk, and thus knew sk, it would be essentially impossible also for him to ﬁnd two diﬀerent digital signatures of a same message relative to pk.) Remarks • From Unique signatures to verifiable random functions. Relative to a digital signature scheme with the uniqueness property, the mapping $m \rightarrow H(\text{sig}_i(m))$ associates to each possible string m, a unique, randomly selected, 256-bit string, and the correctness of this mapping can be proved given the signature sigi(m). That is, ideal hashing and digital signature scheme satisfying the uniqueness property essentially provide an elementary implementation of a veriﬁable random function, as introduced and by Micali, Rabin, and Vadhan [27]. (Their original implementation was necessarily more complex, since they did not rely on ideal hashing.)

• Three different needs for digital signatures. In Algorand, a user i relies on digital signatures for (1) Authenticating i’s own payments. In this application, keys can be “long-term” (i.e., used to sign many messages over a long period of time) and come from a ordinary signature scheme. (2) Generating credentials proving that i is entitled to act at some step s of a round r. Here, keys can be long-term, but must come from a scheme satisfying the uniqueness property. (3) Authenticating the message i sends in each step in which he acts. Here, keys must be ephemeral (i.e., destroyed after their ﬁrst use), but can come from an ordinary signature scheme. • A small-cost simplification. For simplicity, we envision each user i to have a single longterm key. Accordingly, such a key must come from a signature scheme with the uniqueness property. Such simplicity has a small computational cost. Typically, in fact, unique digital signatures are slightly more expensive to produce and verify than ordinary signatures. 2.2 The Idealized Public Ledger Algorand tries to mimic the following payment system, based on an idealized public ledger. 1. The Initial Status. Money is associated with individual public keys (privately generated and owned by users). Letting pk1, . . . , pkj be the initial public keys and a1, . . . , aj their respective initial amounts of money units, then the initial status is \[S^0 = (pk_1, a_1), \ldots, (pk_j, a_j),\] which is assumed to be common knowledge in the system. 2. Payments. Let $pk$ be a public key currently having $a \geq 0$ money units, $pk'$ another public key, and $a'$ a non-negative number no greater than $a$. Then, a (valid) payment $\wp$ is a digital signature, relative to pk, specifying the transfer of a′ monetary units from pk to pk′, together with some additional information. In symbols, \[\wp = \text{SIG}_{pk}(pk, pk', a', I, H(I)),\] where I represents any additional information deemed useful but not sensitive (e.g., time information and a payment identiﬁer), and I any additional information deemed sensitive (e.g., the reason for the payment, possibly the identities of the owners of pk and the pk′, and so on). We refer to pk (or its owner) as the payer, to each pk′ (or its owner) as a payee, and to a′ as the amount of the payment ℘. Free Joining Via Payments. Note that users may join the system whenever they want by generating their own public/secret key pairs. Accordingly, the public key pk′ that appears in the payment ℘above may be a newly generated public key that had never “owned” any money before. 3. The Magic Ledger. In the Idealized System, all payments are valid and appear in a tamper-proof list L of sets of payments “posted on the sky” for everyone to see: \[L = PAY^1, PAY^2, \ldots\]

Each block PAY r+1 consists of the set of all payments made since the appearance of block PAY r. In the ideal system, a new block appears after a ﬁxed (or ﬁnite) amount of time. Discussion. • More General Payments and Unspent Transaction Output. More generally, if a public key pk owns an amount a, then a valid payment ℘of pk may transfer the amounts a′ 1, a′ 2, . . ., respectively to the keys pk′ 1, pk′ 2, . . ., so long as P j a′ $j \leq a$. In Bitcoin and similar systems, the money owned by a public key pk is segregated into separate amounts, and a payment ℘made by pk must transfer such a segregated amount a in its entirety. If pk wishes to transfer only a fraction a′ < a of a to another key, then it must also transfer the balance, the unspent transaction output, to another key, possibly pk itself. Algorand also works with keys having segregated amounts. However, in order to focus on the novel aspects of Algorand, it is conceptually simpler to stick to our simpler forms of payments and keys having a single amount associated to them. • Current Status. The Idealized Scheme does not directly provide information about the current status of the system (i.e., about how many money units each public key has). This information is deducible from the Magic Ledger. In the ideal system, an active user continually stores and updates the latest status information, or he would otherwise have to reconstruct it, either from scratch, or from the last time he computed it. (In the next version of this paper, we shall augment Algorand so as to enable its users to reconstruct the current status in an eﬃcient manner.) • Security and “Privacy”. Digital signatures guarantee that no one can forge a payment by another user. In a payment ℘, the public keys and the amount are not hidden, but the sensitive information I is. Indeed, only H(I) appears in ℘, and since H is an ideal hash function, H(I) is a random 256-bit value, and thus there is no way to ﬁgure out what I was better than by simply guessing it. Yet, to prove what I was (e.g., to prove the reason for the payment) the payer may just reveal I. The correctness of the revealed I can be veriﬁed by computing H(I) and comparing the resulting value with the last item of ℘. In fact, since H is collision resilient, it is hard to ﬁnd a second value I′ such that H(I) = H(I′). 2.3 Basic Notions and Notations Keys, Users, and Owners Unless otherwise speciﬁed, each public key (“key” for short) is longterm and relative to a digital signature scheme with the uniqueness property. A public key i joins the system when another public key j already in the system makes a payment to i. For color, we personify keys. We refer to a key i as a “he”, say that i is honest, that i sends and receives messages, etc. User is a synonym for key. When we want to distinguish a key from the person to whom it belongs, we respectively use the term “digital key” and “owner”. Permissionless and Permissioned Systems. A system is permissionless, if a digital key is free to join at any time and an owner can own multiple digital keys; and its permissioned, otherwise.

Unique Representation Each object in Algorand has a unique representation. In particular, each set $\{(x, y, z, \ldots) : x \in X, y \in Y, z \in Z, \ldots\}$ is ordered in a pre-speciﬁed manner: e.g., ﬁrst lexicographically in x, then in y, etc. Same-Speed Clocks There is no global clock: rather, each user has his own clock. User clocks need not be synchronized in any way. We assume, however, that they all have the same speed. For instance, when it is 12pm according to the clock of a user i, it may be 2:30pm according to the clock of another user j, but when it will be 12:01 according to i’s clock, it will 2:31 according to j’s clock. That is, “one minute is the same (suﬃciently, essentially the same) for every user”. Rounds Algorand is organized in logical units, r = 0, 1, . . ., called rounds. We consistently use superscripts to indicate rounds. To indicate that a non-numerical quantity Q (e.g., a string, a public key, a set, a digital signature, etc.) refers to a round r, we simply write Qr. Only when Q is a genuine number (as opposed to a binary string interpretable as a number), do we write Q(r), so that the symbol r could not be interpreted as the exponent of Q. At (the start of a) round r > 0, the set of all public keys is PKr, and the system status is Sr = n i, a(r) i , . . . : $i \in PK^{r_o}$ , where a(r) i is the amount of money available to the public key i. Note that PKr is deducible from Sr, and that Sr may also specify other components for each public key i. For round 0, PK0 is the set of initial public keys, and S0 is the initial status. Both PK0 and S0 are assumed to be common knowledge in the system. For simplicity, at the start of round r, so are PK1, . . . , PKr and S1, . . . , Sr. In a round r, the system status transitions from Sr to Sr+1: symbolically, \[\text{Round } r: S^r \longrightarrow S^{r+1}.\] Payments In Algorand, the users continually make payments (and disseminate them in the way described in subsection 2.7). A payment $\wp$ of a user $i \in PK^r$ has the same format and semantics as in the Ideal System. Namely, ℘= SIGi(i, i′, a, I, H(I)) . Payment ℘is individually valid at a round r (is a round-r payment, for short) if (1) its amount a is less than or equal to a(r) i , and (2) it does not appear in any oﬃcial payset PAY r′ for r′ < r. (As explained below, the second condition means that ℘has not already become eﬀective. A set of round-r payments of i is collectively valid if the sum of their amounts is at most a(r) i . Paysets A round-r payset P is a set of round-r payments such that, for each user i, the payments of i in P (possibly none) are collectively valid. The set of all round-r paysets is PAY(r). A round-r payset P is maximal if no superset of P is a round-r payset. We actually suggest that a payment $\wp$ also speciﬁes a round $\rho$, $\wp = \text{SIG}_i(\rho, i, i', a, I, H(I))$, and cannot be valid at any round outside $[\rho, \rho + k]$, for some ﬁxed non-negative integer $k$.4 4This simpliﬁes checking whether ℘has become “eﬀective” (i.e., it simpliﬁes determining whether some payset $PAY^r$ contains $\wp$. When $k = 0$, if $\wp = \text{SIG}_i(r, i, i', a, I, H(I))$, and $\wp \notin PAY^r$, then $i$ must re-submit $\wp$.

Oﬃcial Paysets For every round r, Algorand publicly selects (in a manner described later on) a single (possibly empty) payset, PAY r, the round’s oﬃcial payset. (Essentially, PAY r represents the round-r payments that have “actually” happened.) As in the Ideal System (and Bitcoin), (1) the only way for a new user j to enter the system is to be the recipient of a payment belonging to the oﬃcial payset PAY r of a given round r; and (2) PAY r determines the status of the next round, Sr+1, from that of the current round, Sr. Symbolically, $PAY^r: S^r \longrightarrow S^{r+1}$. Speciﬁcally, 1. the set of public keys of round r + 1, PKr+1, consists of the union of PKr and the set of all payee keys that appear, for the ﬁrst time, in the payments of PAY r; and 2. the amount of money a(r+1) i that a user i owns in round r + 1 is the sum of ai(r) —i.e., the amount of money $i$ owned in the previous round (0 if $i \notin PK^r$)— and the sum of amounts paid to i according to the payments of PAY r. In sum, as in the Ideal System, each status Sr+1 is deducible from the previous payment history: PAY 0, . . . , PAY r. 2.4 Blocks and Proven Blocks In Algorand0, the block Br corresponding to a round r speciﬁes: r itself; the set of payments of round r, PAY r; a quantity Qr, to be explained, and the hash of the previous block, H(Br−1). Thus, starting from some ﬁxed block B0, we have a traditional blockchain: B1 = (1, PAY 1, Q0, H(B0)), B2 = (2, PAY 2, Q1, H(B1)), B3 = (3, PAY 3, Q2, H(B2)), . . . In Algorand, the authenticity of a block is actually vouched by a separate piece of information, a “block certiﬁcate” CERT r, which turns Br into a proven block, Br. The Magic Ledger, therefore, is implemented by the sequence of the proven blocks, B1, B2, . . . Discussion As we shall see, CERT r consists of a set of digital signatures for H(Br), those of a majority of the members of SV r, together with a proof that each of those members indeed belongs to SV r. We could, of course, include the certiﬁcates CERT r in the blocks themselves, but ﬁnd it conceptually cleaner to keep it separate.) In Bitcoin each block must satisfy a special property, that is, must “contain a solution of a crypto puzzle”, which makes block generation computationally intensive and forks both inevitable and not rare. By contrast, Algorand’s blockchain has two main advantages: it is generated with minimal computation, and it will not fork with overwhelmingly high probability. Each block Bi is safely ﬁnal as soon as it enters the blockchain.

2.5 Acceptable Failure Probability To analyze the security of Algorand we specify the probability, F, with which we are willing to accept that something goes wrong (e.g., that a veriﬁer set SV r does not have an honest majority). As in the case of the output length of the cryptographic hash function H, also F is a parameter. But, as in that case, we ﬁnd it useful to set F to a concrete value, so as to get a more intuitive grasp of the fact that it is indeed possible, in Algorand, to enjoy simultaneously suﬃcient security and suﬃcient eﬃciency. To emphasize that F is parameter that can be set as desired, in the ﬁrst and second embodiments we respectively set F = 10−12 and F = 10−18 . Discussion Note that 10−12 is actually less than one in a trillion, and we believe that such a choice of F is adequate in our application. Let us emphasize that 10−12 is not the probability with which the Adversary can forge the payments of an honest user. All payments are digitally signed, and thus, if the proper digital signatures are used, the probability of forging a payment is far lower than 10−12, and is, in fact, essentially 0. The bad event that we are willing to tolerate with probability F is that Algorand’s blockchain forks. Notice that, with our setting of F and one-minute long rounds, a fork is expected to occur in Algorand’s blockchain as infrequently as (roughly) once in 1.9 million years. By contrast, in Bitcoin, a forks occurs quite often. A more demanding person may set F to a lower value. To this end, in our second embodiment we consider setting F to 10−18. Note that, assuming that a block is generated every second, 1018 is the estimated number of seconds taken by the Universe so far: from the Big Bang to present time. Thus, with F = 10−18, if a block is generated in a second, one should expect for the age of the Universe to see a fork. 2.6 The Adversarial Model Algorand is designed to be secure in a very adversarial model. Let us explain. Honest and Malicious Users A user is honest if he follows all his protocol instructions, and is perfectly capable of sending and receiving messages. A user is malicious (i.e., Byzantine, in the parlance of distributed computing) if he can deviate arbitrarily from his prescribed instructions. The Adversary The Adversary is an eﬃcient (technically polynomial-time) algorithm, personiﬁed for color, who can immediately make malicious any user he wants, at any time he wants (subject only to an upperbound to the number of the users he can corrupt). The Adversary totally controls and perfectly coordinates all malicious users. He takes all actions on their behalf, including receiving and sending all their messages, and can let them deviate from their prescribed instructions in arbitrary ways. Or he can simply isolate a corrupted user sending and receiving messages. Let us clarify that no one else automatically learns that a user i is malicious, although i’s maliciousness may transpire by the actions the Adversary has him take. This powerful adversary however, • Does not have unbounded computational power and cannot successfully forge the digital signature of an honest user, except with negligible probability; and

• Cannot interfere in any way with the messages exchanges among honest users. Furthermore, his ability to attack honest users is bounded by one of the following assumption. Honesty Majority of Money We consider a continuum of Honest Majority of Money (HMM) assumptions: namely, for each non-negative integer k and real h > 1/2, HHMk > h: the honest users in every round r owned a fraction greater than h of all money in the system at round r −k. Discussion. Assuming that all malicious users perfectly coordinate their actions (as if controlled by a single entity, the Adversary) is a rather pessimistic hypothesis. Perfect coordination among too many individuals is diﬃcult to achieve. Perhaps coordination only occurs within separate groups of malicious players. But, since one cannot be sure about the level of coordination malicious users may enjoy, we’d better be safe than sorry. Assuming that the Adversary can secretly, dynamically, and immediately corrupt users is also pessimistic. After all, realistically, taking full control of a user’s operations should take some time. The assumption HMMk > h implies, for instance, that, if a round (on average) is implemented in one minute, then, the majority of the money at a given round will remain in honest hands for at least two hours, if k = 120, and at least one week, if k = 10, 000. Note that the HMM assumptions and the previous Honest Majority of Computing Power assumptions are related in the sense that, since computing power can be bought with money, if malicious users own most of the money, then they can obtain most of the computing power. 2.7 The Communication Model We envisage message propagation —i.e., “peer-to-peer gossip”5— to be the only means of communication. Temporary Assumption: Timely Delivery of Messages in the Entire Network. For most part of this paper we assume that every propagated message reaches almost all honest users in a timely fashion. We shall remove this assumption in Section 10, where we deal with network partitions, either naturally occurring or adversarially induced. (As we shall see, we only assume timely delivery of messages within each connected component of the network.) One concrete way to capture timely delivery of propagated messages (in the entire network) is the following: For all reachability $\rho > 95\%$ and message size $\mu \in \mathbb{Z}^+$, there exists $\lambda_{\rho,\mu}$ such that, if a honest user propagates $\mu$-byte message $m$ at time $t$, then $m$ reaches, by time $t + \lambda_{\rho,\mu}$, at least a fraction $\rho$ of the honest users. 5Essentially, as in Bitcoin, when a user propagates a message m, every active user i receiving m for the ﬁrst time, randomly and independently selects a suitably small number of active users, his “neighbors”, to whom he forwards m, possibly until he receives an acknowledgement from them. The propagation of m terminates when no user receives m for the ﬁrst time.

The above property, however, cannot support our Algorand protocol, without explicitly and separately envisaging a mechanism to obtain the latest blockchain —by another user/depository/etc. In fact, to construct a new block Br not only should a proper set of veriﬁers timely receive round-r messages, but also the messages of previous rounds, so as to know Br−1 and all other previous blocks, which is necessary to determine whether the payments in Br are valid. The following assumption instead suﬃces. Message Propagation (MP) Assumption: For all $\rho > 95\%$ and $\mu \in \mathbb{Z}^+$, there exists $\lambda_{\rho,\mu}$ such that, for all times $t$ and all $\mu$-byte messages $m$ propagated by an honest user before $t - \lambda_{\rho,\mu}$, $m$ is received, by time $t$, by at least a fraction $\rho$ of the honest users. Protocol Algorand ′ actually instructs each of a small number of users (i.e., the veriﬁers of a given step of a round in Algorand ′, to propagate a separate message of a (small) prescribed size, and we need to bound the time required to fulﬁll these instructions. We do so by enriching the MP assumption as follows. For all $n$, $\rho > 95\%$, and $\mu \in \mathbb{Z}^+$, there exists $\lambda_{n,\rho,\mu}$ such that, for all times $t$ and all $\mu$-byte messages $m_1, \ldots, m_n$, each propagated by an honest user before $t - \lambda_{n,\rho,\mu}$, $m_1, \ldots, m_n$ are received, by time $t$, by at least a fraction $\rho$ of the honest users. Note • The above assumption is deliberately simple, but also stronger than needed in our paper.6 • For simplicity, we assume $\rho = 1$, and thus drop mentioning $\rho$. • We pessimistically assume that, provided he does not violate the MP assumption, the Adversary totally controls the delivery of all messages. In particular, without being noticed by the honest users, the Adversary he can arbitrarily decide which honest player receives which message when, and arbitrarily accelerate the delivery of any message he wants.7

Persiapan

2.1 Primitif Kriptografi Hash yang Ideal. Kita akan mengandalkan fungsi kriptografi hash yang dapat dihitung secara efisien, H, yang memetakan string panjang sembarang ke string biner dengan panjang tetap. Mengikuti tradisi panjang, kami menjadi model H sebagai oracle acak, pada dasarnya adalah fungsi yang memetakan setiap kemungkinan string s ke secara acak dan string biner yang dipilih secara independen (dan kemudian diperbaiki), H(s), dengan panjang yang dipilih. Dalam makalah ini, H memiliki keluaran sepanjang 256-bit. Memang, panjang tersebut cukup pendek untuk membuat sistem efisien dan cukup lama untuk membuat sistem aman. Misalnya, kita ingin H tahan benturan. Artinya, akan sulit untuk menemukan dua string berbeda x dan y sehingga H(x) = H(y). Ketika H adalah oracle acak dengan output panjang 256-bit, menemukan pasangan string seperti itu memang merupakan hal yang sulit. sulit. (Mencoba secara acak, dan mengandalkan paradoks ulang tahun, akan membutuhkan 2256/2 = 2128 cobaan.) Penandatanganan Digital. Tanda tangan digital memungkinkan pengguna untuk mengotentikasi informasi satu sama lain tanpa membagikan kunci rahasia apa pun. Skema tanda tangan digital terdiri dari tiga cepat algoritma: generator kunci probabilistik G, algoritma penandatanganan S, dan algoritma verifikasi V. Mengingat parameter keamanan k, bilangan bulat yang cukup tinggi, pengguna i menggunakan G untuk menghasilkan sepasang kunci k-bit (yaitu, string): pki kunci “publik” dan ski kunci penandatanganan “rahasia” yang cocok. Yang terpenting, a kunci publik tidak “mengkhianati” kunci rahasianya. Maksudnya, walaupun diberi ilmu pki, tidak orang lain selain saya mampu menghitung ski dalam waktu kurang dari waktu astronomi. Pengguna saya menggunakan ski untuk menandatangani pesan secara digital. Untuk setiap pesan yang mungkin (string biner) m, i terlebih dahulu hashes m lalu jalankan algoritma S pada input H(m) dan ski sehingga menghasilkan string k-bit sigpki(m) $\triangleq$S(H(m), ski) .3 3Karena H tahan benturan, maka secara praktis tidak mungkin bahwa, dengan menandatangani m seseorang “secara tidak sengaja menandatangani” tanda yang berbeda pesan m′.String biner sigpki(m) disebut sebagai tanda tangan digital i dari m (relatif terhadap pki), dan dapat berupa lebih sederhana dilambangkan dengan sigi(m), ketika kunci publik pki jelas dari konteksnya. Setiap orang yang mengetahui PKI dapat menggunakannya untuk memverifikasi tanda tangan digital yang dihasilkan oleh i. Secara khusus, pada memasukkan (a) kunci publik pki dari pemain i, (b) pesan m, dan (c) string s, yaitu dugaan i tanda tangan digital dari pesan m, algoritma verifikasi V mengeluarkan output YA atau TIDAK. Properti yang kami perlukan dari skema tanda tangan digital adalah: 1. Tanda tangan yang sah selalu diverifikasi: Jika s = sigi(m), maka V (pki, m, s) = Y ES; dan 2. Tanda tangan digital sulit dipalsukan: Tanpa pengetahuan ski, tidak ada waktu untuk menemukan string seperti itu bahwa V (pki, m, s) = Y ES, untuk pesan m yang tidak pernah ditandatangani oleh i, panjangnya secara astronomis. (Mengikuti persyaratan keamanan yang kuat dari Goldwasser, Micali, dan Rivest [17], ini benar bahkan jika seseorang dapat memperoleh tanda tangan dari pesan lainnya.) Oleh karena itu, untuk mencegah orang lain menandatangani pesan atas namanya, pemain harus mempertahankan miliknya menandatangani kunci rahasia ski (karenanya disebut “kunci rahasia”), dan untuk memungkinkan siapa pun memverifikasi pesan tersebut dia menandatangani, saya tertarik untuk mempublikasikan pki kuncinya (karena itu istilah “kunci publik”). Secara umum, pesan m tidak dapat diambil dari tanda tangannya sigi(m). Untuk bertransaksi secara virtual dengan tanda tangan digital yang memenuhi properti “retrievability” yang secara konseptual mudah digunakan (yaitu, untuk jaminan bahwa penandatangan dan pesan dapat dihitung dengan mudah dari sebuah tanda tangan, kami definisikan SIGpki(m) = (i, m, sigpki(m)) dan SIGi(m) = (i, m, sigi(m)), jika pki jelas. Penandatanganan Digital Unik. Kami juga mempertimbangkan skema tanda tangan digital (G, S, V) yang memuaskan mengikuti properti tambahan. 3. Keunikan. Sulit untuk menemukan string pk′, m, s, dan s′ sedemikian rupa ̸= s′ dan V (pk′, m, s) = V (pk′, m, s′) = 1. (Perhatikan bahwa properti keunikan juga berlaku untuk string pk′ yang tidak dihasilkan secara sah kunci publik. Namun secara khusus, sifat keunikan menyiratkan bahwa, jika seseorang menggunakan generator kunci tertentu G untuk menghitung pk kunci publik bersama dengan kunci rahasia sk yang cocok, dan dengan demikian mengetahui sk, pada dasarnya mustahil baginya untuk menemukan dua digital yang berbeda tanda tangan dari pesan yang sama relatif terhadap pk.) Keterangan • Dari tanda tangan unik hingga fungsi acak yang dapat diverifikasi. Relatif terhadap digital skema tanda tangan dengan properti keunikan, pemetaan m $\to$ H(sigi(m)) diasosiasikan ke setiap kemungkinan string m, string 256-bit unik yang dipilih secara acak, dan kebenarannya pemetaan dapat dibuktikan dengan diberi tanda tangan sigi(m). Artinya, skema hashing dan tanda tangan digital yang ideal pada dasarnya memenuhi properti keunikan memberikan implementasi dasar dari fungsi acak yang dapat diverifikasi, seperti yang diperkenalkan dan oleh Micali, Rabin, dan Vadhan [27]. (Implementasi awalnya tentu saja lebih kompleks, karena mereka tidak mengandalkan hashing yang ideal.)• Tiga kebutuhan berbeda untuk tanda tangan digital. Di Algorand, pengguna yang saya andalkan adalah digital tanda tangan untuk (1) Mengautentikasi pembayaran saya sendiri. Dalam aplikasi ini, kunci dapat bersifat “jangka panjang” (yaitu, digunakan untuk jangka waktu tertentu). menandatangani banyak pesan dalam jangka waktu yang lama) dan berasal dari skema tanda tangan biasa. (2) Menghasilkan kredensial yang membuktikan bahwa i berhak bertindak pada beberapa langkah s dalam putaran r. Di sini, kuncinya bisa bersifat jangka panjang, tetapi harus berasal dari skema yang memenuhi properti keunikan. (3) Mengautentikasi pesan yang saya kirimkan pada setiap langkah tindakannya. Di sini, kuncinya harus ada bersifat sementara (yaitu, dimusnahkan setelah penggunaan pertama), tetapi dapat berasal dari skema tanda tangan biasa. • Penyederhanaan biaya yang kecil. Untuk mempermudah, kami membayangkan setiap pengguna i memiliki satu kunci jangka panjang. Oleh karena itu, kunci tersebut harus berasal dari skema tanda tangan yang memiliki keunikan properti. Kesederhanaan seperti itu memiliki biaya komputasi yang kecil. Biasanya, sebenarnya, digital unik tanda tangan sedikit lebih mahal untuk diproduksi dan diverifikasi dibandingkan tanda tangan biasa. 2.2 Buku Besar Umum yang Diidealkan Algorand mencoba meniru sistem pembayaran berikut, berdasarkan buku besar umum yang diidealkan. 1. Status Awal. Uang dikaitkan dengan kunci publik individual (dihasilkan secara pribadi dan dimiliki oleh pengguna). Membiarkan pk1, . . . , pkj menjadi kunci publik awal dan a1, . . . , aj masing-masing jumlah awal satuan uang, maka status awalnya adalah S0 = (pk1, a1), . . . , (pkj, aj) , yang dianggap sebagai pengetahuan umum dalam sistem. 2. Pembayaran. Misalkan pk adalah kunci publik yang saat ini mempunyai $\geq$0 unit uang, pk′ publik lainnya kunci, dan a′ bilangan non-negatif yang tidak lebih besar dari a. Kemudian, pembayaran (sah) adalah digital tanda tangan, relatif terhadap pk, yang menetapkan transfer unit moneter a′ dari pk ke pk′, secara bersamaan dengan beberapa informasi tambahan. Dalam simbol, $\wp$= SIGpk(pk, pk′, a′, I, H(I)), di mana saya mewakili informasi tambahan apa pun yang dianggap berguna tetapi tidak sensitif (misalnya, waktu informasi dan pengidentifikasi pembayaran), dan saya informasi tambahan apa pun yang dianggap sensitif (misalnya, alasan pembayarannya, mungkin identitas pemilik pk dan pk′, dan sebagainya). Kita menyebut pk (atau pemiliknya) sebagai pembayar, setiap pk′ (atau pemiliknya) sebagai penerima pembayaran, dan a′ sebagai jumlah pembayaran $\wp$. Bergabung Gratis Melalui Pembayaran. Perhatikan bahwa pengguna dapat bergabung dengan sistem kapan pun mereka mau menghasilkan pasangan kunci publik/rahasianya sendiri. Oleh karena itu, kunci publik pk′ yang muncul di pembayaran $\wp$di atas mungkin merupakan kunci publik yang baru dibuat dan belum pernah “memiliki” uang apa pun sebelumnya. 3. Buku Besar Ajaib. Dalam Sistem Ideal, semua pembayaran valid dan muncul dalam bukti kerusakan daftar L kumpulan pembayaran yang “diposting di langit” agar semua orang dapat melihatnya: L = BAYAR 1, BAYAR 2, . . . ,Setiap blok PAY r+1 terdiri dari himpunan semua pembayaran yang dilakukan sejak munculnya blok MEMBAYAR r. Dalam sistem ideal, blok baru muncul setelah jangka waktu tertentu (atau terbatas). Diskusi. • Lebih Banyak Pembayaran Umum dan Hasil Transaksi yang Tidak Dibelanjakan. Lebih umum lagi, jika kunci publik pk memiliki sejumlah a, maka pembayaran sah $\wp$pk dapat mentransfer sejumlah a′ 1, sebuah′ 2, . . ., masing-masing ke kunci pk′ 1, pk′ 2, . . ., selama P j a′ j $\leq$a. Dalam Bitcoin dan sistem serupa, uang yang dimiliki oleh pk kunci publik dipisahkan menjadi beberapa bagian terpisah. jumlah, dan pembayaran yang dilakukan oleh pk harus mentransfer jumlah terpisah a secara keseluruhan. Jika pk ingin mentransfer hanya sebagian kecil a′ < a dari a ke kunci lain, maka pk juga harus mentransfernya saldo, keluaran transaksi yang belum terpakai, ke kunci lain, mungkin pk itu sendiri. Algorand juga berfungsi dengan kunci yang memiliki jumlah terpisah. Namun, untuk fokus pada aspek baru dari Algorand, secara konseptual lebih mudah untuk tetap menggunakan bentuk pembayaran kami yang lebih sederhana dan kunci yang memiliki satu jumlah yang terkait dengannya. • Status Saat Ini. Skema Ideal tidak secara langsung memberikan informasi tentang arus status sistem (yaitu berapa banyak unit uang yang dimiliki setiap kunci publik). informasi ini dapat dikurangkan dari Magic Ledger. Dalam sistem yang ideal, pengguna aktif terus-menerus menyimpan dan memperbarui informasi status terkini, atau dia harus merekonstruksinya, baik dari awal, atau dari yang terakhir kali dia lakukan menghitungnya. (Dalam versi selanjutnya dari makalah ini, kami akan menambah Algorand untuk mengaktifkannya pengguna untuk merekonstruksi status saat ini dengan cara yang efisien.) • Keamanan dan “Privasi”. Tanda tangan digital menjamin bahwa tidak seorang pun dapat memalsukan pembayaran pengguna lain. Dalam pembayaran $\wp$, kunci publik dan jumlahnya tidak disembunyikan, tetapi sensitif informasi saya. Memang benar, hanya H(I) yang muncul di $\wp$, dan karena H merupakan fungsi ideal hash, H(I) adalah nilai acak 256-bit, dan karenanya tidak ada cara untuk mengetahui apa yang lebih baik bagi saya selain dengan hanya menebaknya. Namun, untuk membuktikan siapa saya (misalnya, untuk membuktikan alasan pembayaran) tersebut pembayar boleh saja mengungkapkan I. Kebenaran I yang diungkapkan dapat diverifikasi dengan menghitung H(I) dan membandingkan nilai yang dihasilkan dengan item terakhir $\wp$. Faktanya, karena H tahan benturan, sulit untuk menemukan nilai kedua I′ sehingga H(I) = H(I′). 2.3 Pengertian dan Notasi Dasar Kunci, Pengguna, dan Pemilik Kecuali ditentukan lain, setiap kunci publik (“singkatnya kunci”) bersifat jangka panjang dan relatif terhadap skema tanda tangan digital dengan properti keunikan. Kunci publik yang saya ikuti sistem ketika kunci publik lain j sudah ada di sistem melakukan pembayaran ke i. Untuk warna, kami mempersonifikasikan kunci. Kita mengacu pada kunci i sebagai “dia”, katakan bahwa saya jujur, yang saya kirim dan menerima pesan, dll. Pengguna adalah sinonim untuk kunci. Ketika kita ingin membedakan suatu kunci dari orang yang memilikinya, kami masing-masing menggunakan istilah “kunci digital” dan “pemilik”. Sistem Tanpa Izin dan Berizin. Suatu sistem tidak memiliki izin, jika kunci digitalnya gratis untuk bergabung kapan saja dan pemilik dapat memiliki beberapa kunci digital; dan itu diizinkan, sebaliknya.Representasi Unik Setiap objek di Algorand memiliki representasi unik. Khususnya, setiap himpunan {(x, y, z, . . .) : x $\in$X, y $\in$Y, z $\in$Z, . . .} diurutkan dengan cara yang telah ditentukan sebelumnya: misalnya, pertama secara leksikografis di x, lalu di y, dan seterusnya. Jam Kecepatan Sama Tidak ada jam global: setiap pengguna memiliki jamnya sendiri. Jam pengguna tidak perlu disinkronkan dengan cara apa pun. Namun kami berasumsi bahwa semuanya memiliki kecepatan yang sama. Misalnya, jika waktu menunjukkan pukul 12 siang menurut jam pengguna i, mungkin pukul 14:30 menurut jam pengguna i. jam pengguna lain j, tetapi jika jam menunjukkan pukul 12:01 menurut jam i, maka akan menunjukkan pukul 2:31 ke jam j. Artinya, “satu menit adalah sama (pada dasarnya sama) untuk setiap pengguna”. Putaran Algorand disusun dalam satuan logika, r = 0, 1, . . ., disebut putaran. Kami secara konsisten menggunakan superskrip untuk menunjukkan putaran. Untuk menunjukkan bahwa kuantitas non-numerik Q (misalnya, string, kunci publik, himpunan, tanda tangan digital, dll.) mengacu pada putaran r, kita cukup menulis Qr. Hanya jika Q adalah bilangan asli (sebagai lawan dari string biner yang dapat ditafsirkan sebagai bilangan), lakukan kita tulis Q(r), sehingga simbol r tidak dapat diartikan sebagai eksponen dari Q. Pada (awal a) putaran r > 0, himpunan semua kunci publik adalah PKr, dan status sistemnya adalah Sr = n aku, seorang(kanan) saya, . . . : saya $\in$PKro , di mana (r) saya adalah jumlah uang yang tersedia untuk kunci publik i. Perhatikan bahwa PKr dapat dikurangkan dari Sr, dan Sr tersebut juga dapat menentukan komponen lain untuk setiap kunci publik i. Untuk putaran 0, PK0 adalah himpunan kunci publik awal, dan S0 adalah status awal. Baik PK0 dan S0 diasumsikan sebagai pengetahuan umum dalam sistem. Untuk mempermudah, pada awal putaran r, jadi adalah PK1, . . . , PKr dan S1, . . . , Sr. Pada putaran r, status sistem bertransisi dari Sr ke Sr+1: secara simbolis, Putaran r: Sr −→Sr+1. Pembayaran Di Algorand, pengguna terus melakukan pembayaran (dan menyebarkannya dengan cara dijelaskan dalam sub-bagian 2.7). Pembayaran $\wp$dari pengguna i $\in$PKr memiliki format dan semantik yang sama seperti dalam Sistem Ideal. Yaitu, $\wp$= SIGi(saya, saya′, a, saya, H(Saya)) . Pembayaran $\wp$secara individual sah pada putaran r (singkatnya pembayaran putaran-r) jika (1) jumlahnya a lebih kecil atau sama dengan a(r) i , dan (2) tidak muncul di payset resmi mana pun PAY r′ untuk r′ < r. (Seperti dijelaskan di bawah, kondisi kedua berarti $\wp$ belum menjadi efektif. Sekumpulan pembayaran bulat-r i adalah sah secara kolektif jika jumlah pembayarannya paling banyak adalah a(r) saya. Pembayaran Set pembayaran round-r P adalah himpunan pembayaran round-r sehingga, untuk setiap pengguna i, pembayarannya dari i di P (mungkin tidak ada) yang valid secara kolektif. Himpunan semua pembayaran putaran-r adalah PAY(r). Sebuah putaran-r payset P maksimal jika tidak ada superset dari P yang merupakan payset round-r. Kami sebenarnya menyarankan bahwa pembayaran $\wp$juga menentukan putaran $\rho$, $\wp$= SIGi($\rho$, i, i′, a, I, H(I)) , dan tidak valid pada putaran mana pun di luar [$\rho$, $\rho$ + k], untuk beberapa bilangan bulat non-negatif tetap k.4 4Ini menyederhanakan pemeriksaan apakah $\wp$ telah menjadi “efektif” (yaitu, menyederhanakan penentuan apakah suatu pembayaran PEMBAYARAN r berisi $\wp$. Jika k = 0, jika $\wp$= SIGi(r, i, i′, a, I, H(I)) , dan $\wp$/$\in$PAY r, maka saya harus mengirimkan kembali $\wp$.Pembayaran Resmi Untuk setiap putaran r, Algorand memilih secara publik (dengan cara yang dijelaskan nanti) satu set pembayaran (mungkin kosong), PAY r, set pembayaran resmi putaran tersebut. (Intinya, PAY r mewakili pembayaran putaran-r yang “sebenarnya” telah terjadi.) Seperti pada Sistem Ideal (dan Bitcoin), (1) satu-satunya cara bagi pengguna baru j untuk memasuki sistem adalah menjadi penerima pembayaran yang termasuk dalam set pembayaran resmi PAY r pada putaran r tertentu; dan (2) PAY r menentukan status putaran berikutnya, Sr+1, dari status putaran saat ini, Sr. Secara simbolis, BAYAR r : Sr −→Sr+1. Secara khusus, 1. himpunan kunci publik putaran r + 1, PKr+1, terdiri dari gabungan PKr dan himpunan semua kunci penerima pembayaran yang muncul, untuk pertama kalinya, dalam pembayaran PAY r; dan 2. jumlah uang a(r+1) saya yang dimiliki pengguna i pada putaran r + 1 adalah jumlah dari ai(r) —yaitu, jumlah uang yang saya miliki pada putaran sebelumnya (0 jika i ̸$\in$PKr)— dan jumlah jumlahnya dibayarkan kepada saya sesuai dengan pembayaran PAY r. Singkatnya, seperti dalam Sistem Ideal, setiap status Sr+1 dapat dikurangkan dari riwayat pembayaran sebelumnya: BAYAR 0, . . . , BAYAR r. 2.4 Blok dan Blok Terbukti Dalam Algorand0, blok Br yang berhubungan dengan putaran r menentukan: r itu sendiri; kumpulan pembayaran putaran r, BAYAR r; besaran Qr, harus dijelaskan, dan hash dari blok sebelumnya, H(Br−1). Jadi, mulai dari beberapa blok tetap B0, kita mempunyai blockchain tradisional: B1 = (1, BAYAR 1, Q0, H(B0)), B2 = (2, BAYAR 2, Q1, H(B1)), B3 = (3, BAYAR 3, Q2, H(B2)), . . . Di Algorand, keaslian sebuah blok sebenarnya dijamin oleh informasi terpisah, sebuah “sertifikat blok” CERT r, yang mengubah Br menjadi blok terbukti, Br. Oleh karena itu, Buku Besar Ajaib diimplementasikan dengan urutan blok yang terbukti, B1, B2, . . . Diskusi Seperti yang akan kita lihat, CERT r terdiri dari sekumpulan tanda tangan digital untuk H(Br), yaitu a mayoritas anggota SV r, disertai bukti bahwa masing-masing anggota tersebut memang termasuk ke SV r. Tentu saja, kita dapat memasukkan sertifikat CERT r ke dalam blok itu sendiri, namun tetap menemukannya secara konseptual lebih bersih untuk menjaganya tetap terpisah.) Dalam Bitcoin setiap blok harus memenuhi sifat khusus, yaitu harus “berisi solusi a crypto puzzle”, yang membuat pembuatan blok menjadi intensif secara komputasi dan percabangan keduanya tidak dapat dihindari dan tidak jarang. Sebaliknya, blockchain Algorand memiliki dua keunggulan utama: dihasilkan dengan komputasi minimal, dan tidak akan bercabang dengan probabilitas yang sangat tinggi. Setiap blok Bi adalah berakhir dengan aman segera setelah memasuki blockchain.2.5 Kemungkinan Kegagalan yang Dapat Diterima Untuk menganalisis keamanan Algorand kami menentukan probabilitas, F, yang ingin kami gunakan menerima bahwa ada yang tidak beres (misalnya, himpunan pemverifikasi SV r tidak memiliki mayoritas yang jujur). Seperti halnya panjang keluaran fungsi kriptografi hash H, F juga merupakan parameter. Namun, seperti dalam kasus tersebut, kami merasa berguna untuk menetapkan F ke nilai yang konkret, sehingga mendapatkan hasil yang lebih intuitif. memahami fakta bahwa memang mungkin, di Algorand, untuk menikmati keamanan yang memadai secara bersamaan dan efisiensi yang memadai. Untuk menekankan bahwa F adalah parameter yang dapat diatur sesuai keinginan, terlebih dahulu dan perwujudan kedua yang kami tetapkan masing-masing F = 10−12 dan F = 10−18 . Diskusi Perhatikan bahwa 10−12 sebenarnya kurang dari satu dalam satu triliun, dan kami percaya bahwa 10−12 adalah pilihan F memadai dalam aplikasi kita. Mari kita tekankan bahwa 10−12 bukanlah probabilitas yang dengannya Musuh dapat memalsukan pembayaran dari pengguna yang jujur. Semua pembayaran dilakukan secara digital ditandatangani, dan dengan demikian, jika tanda tangan digital yang tepat digunakan, kemungkinan pemalsuan pembayaran adalah kecil jauh lebih rendah dari 10−12, dan pada kenyataannya, pada dasarnya 0. Peristiwa buruk yang ingin kita toleransi dengan probabilitas F adalah garpu Algorand itu blockchain. Perhatikan itu, dengan pengaturan F dan putaran yang panjangnya satu menit, percabangan diperkirakan akan terjadi di Algorand blockchain sesering (kira-kira) sekali dalam 1,9 juta tahun. Sebaliknya, di Bitcoin, percabangan cukup sering terjadi. Orang yang lebih menuntut mungkin menetapkan F ke nilai yang lebih rendah. Untuk tujuan ini, dalam perwujudan kedua kami kami mempertimbangkan untuk menyetel F ke 10−18. Perhatikan bahwa, dengan asumsi bahwa sebuah blok dihasilkan setiap detik, 1018 adalah perkiraan jumlah detik yang dibutuhkan alam semesta sejauh ini: dari Big Bang hingga saat ini waktu. Jadi, dengan F = 10−18, jika sebuah balok dihasilkan dalam sedetik, maka diperkirakan umurnya adalah alam semesta untuk melihat garpu. 2.6 Model Permusuhan Algorand dirancang agar aman dalam model yang sangat bermusuhan. Mari kami jelaskan. Pengguna yang Jujur dan Berbahaya Seorang pengguna dikatakan jujur jika dia mengikuti semua instruksi protokolnya, dan sangat mampu mengirim dan menerima pesan. Seorang pengguna jahat (yaitu, Bizantium, dalam bahasa komputasi terdistribusi) jika dia dapat menyimpang secara sewenang-wenang dari instruksi yang ditentukan. Musuh The Adversary adalah algoritma yang efisien (secara teknis waktu polinomial), dipersonifikasikan untuk warna, yang dapat langsung membuat pengguna berbahaya mana pun yang diinginkannya, kapan pun ia mau (subjek hanya melebihi jumlah pengguna yang dapat dirusaknya). Musuh sepenuhnya mengendalikan dan mengoordinasikan dengan sempurna semua pengguna jahat. Dia mengambil semua tindakan atas nama mereka, termasuk menerima dan mengirim semua pesan mereka, dan dapat membiarkan mereka menyimpang instruksi yang ditentukan mereka dengan cara yang sewenang-wenang. Atau dia dapat dengan mudah mengisolasi pengiriman pengguna yang rusak dan menerima pesan. Mari kita perjelas bahwa tidak ada orang lain yang secara otomatis mengetahui bahwa pengguna i berbahaya, meskipun kejahatan saya mungkin terjadi melalui tindakan yang dilakukan Musuh. Namun musuh yang kuat ini, • Tidak memiliki kekuatan komputasi yang tidak terbatas dan tidak berhasil menempa digital tanda tangan pengguna yang jujur, kecuali kemungkinannya dapat diabaikan; Dan• Tidak boleh mengganggu pertukaran pesan di antara pengguna yang jujur dengan cara apa pun. Selain itu, kemampuannya untuk menyerang pengguna yang jujur dibatasi oleh salah satu asumsi berikut. Kejujuran Mayoritas Uang Kami mempertimbangkan kontinum Mayoritas Uang Jujur (HMM) asumsi: yaitu, untuk setiap bilangan bulat non-negatif k dan real h > 1/2, HHMk > h: pengguna yang jujur di setiap putaran r memiliki sebagian lebih besar dari h dari seluruh uang yang masuk sistem pada putaran r −k. Diskusi. Dengan asumsi bahwa semua pengguna jahat mengoordinasikan tindakan mereka dengan sempurna (seolah-olah dikendalikan oleh satu entitas, Musuh) adalah hipotesis yang agak pesimistis. Koordinasi sempurna di antara mereka juga banyak individu sulit dicapai. Mungkin koordinasi hanya terjadi dalam kelompok yang terpisah dari pemain jahat. Namun, karena tingkat koordinasi pengguna jahat tidak dapat dipastikan semoga kita menikmatinya, lebih baik kita aman daripada menyesal. Dengan asumsi bahwa Musuh juga dapat secara diam-diam, dinamis, dan langsung merusak pengguna pesimis. Lagi pula, secara realistis, mengambil kendali penuh atas operasi pengguna akan memakan waktu. Asumsi HMMk > h menyiratkan, misalnya, jika putaran (rata-rata) dilaksanakan dalam satu menit, sebagian besar uang pada putaran tertentu akan tetap berada di tangan yang jujur paling sedikit dua jam, jika k = 120, dan paling sedikit satu minggu, jika k = 10.000. Perhatikan asumsi HMM dan Kekuatan Komputasi Mayoritas Jujur sebelumnya Asumsi-asumsi tersebut saling terkait dalam arti bahwa, karena daya komputasi dapat dibeli dengan uang, jika pengguna jahat memiliki sebagian besar uang, maka mereka dapat memperoleh sebagian besar daya komputasi. 2.7 Model Komunikasi Kami membayangkan penyebaran pesan —yaitu, “gosip antar teman”5— menjadi satu-satunya cara untuk menyebarkan pesan. komunikasi. Asumsi Sementara: Pengiriman Pesan Tepat Waktu di Seluruh Jaringan. Untuk Pada sebagian besar makalah ini kami berasumsi bahwa setiap pesan yang disebarkan menjangkau hampir semua pengguna yang jujur secara tepat waktu. Kami akan menghapus asumsi ini di Bagian 10, saat kami menangani jaringan partisi, baik yang terjadi secara alami maupun yang disebabkan oleh faktor yang merugikan. (Seperti yang akan kita lihat, kita hanya berasumsi pengiriman pesan tepat waktu dalam setiap komponen jaringan yang terhubung.) Salah satu cara konkrit untuk menangkap pengiriman pesan yang disebarkan secara tepat waktu (di seluruh jaringan) adalah berikut ini: Untuk semua keterjangkauan $\rho$ > 95% dan ukuran pesan $\mu$ $\in$Z+, terdapat $\lambda$ $\rho$,$\mu$ sehingga, jika pengguna yang jujur menyebarkan pesan $\mu$-byte m pada waktu t, kemudian m mencapai, pada saat t + $\lambda$ $\rho$,$\mu$, setidaknya sebagian kecil $\rho$ dari pengguna yang jujur. 5Intinya, seperti pada Bitcoin, ketika pengguna menyebarkan pesan m, setiap pengguna aktif menerima m untuk pertama kalinya, secara acak dan mandiri memilih sejumlah kecil pengguna aktif, “tetangganya”, kepada siapa dia meneruskan m, mungkin sampai dia menerima pengakuan dari mereka. Propagasi m berakhir ketika tidak ada pengguna yang menerima m untuk pertama kalinya.Namun, properti di atas tidak dapat mendukung protokol Algorand kami, tanpa secara eksplisit dan terpisah membayangkan mekanisme untuk mendapatkan blockchain terbaru —oleh pengguna/penyimpanan/dll. Faktanya, untuk membangun blok Br yang baru, tidak hanya sekelompok verifikator yang tepat yang harus menerima putaran-r secara tepat waktu pesan-pesan, tetapi juga pesan-pesan dari putaran sebelumnya, untuk mengetahui Br−1 dan semua pesan lainnya sebelumnya blok, yang diperlukan untuk menentukan apakah pembayaran dalam Br sah. Berikut ini asumsi saja sudah cukup. Asumsi Propagasi Pesan (MP): Untuk semua $\rho$ > 95% dan $\mu$ $\in$Z+, terdapat $\lambda$ $\rho$,$\mu$ sedemikian rupa sehingga, untuk semua waktu t dan semua pesan $\mu$-byte m disebarkan oleh pengguna yang jujur sebelum t −$\lambda$ $\rho$,$\mu$, m diterima, pada waktu t, oleh setidaknya sebagian kecil $\rho$ dari pengguna yang jujur. Protokol Algorand ′ sebenarnya menginstruksikan masing-masing sejumlah kecil pengguna (yaitu, pemverifikasi suatu langkah tertentu dalam Algorand ′, untuk menyebarkan pesan terpisah dengan ukuran (kecil) yang ditentukan, dan kita perlu membatasi waktu yang dibutuhkan untuk memenuhi instruksi ini. Kami melakukannya dengan memperkaya anggota parlemen asumsi sebagai berikut. Untuk semua n, $\rho$ > 95%, dan $\mu$ $\in$Z+, terdapat $\lambda$n,$\rho$,$\mu$ sehingga, untuk semua waktu t dan semua $\mu$-byte pesan m1, . . . , mn, masing-masing disebarkan oleh pengguna yang jujur sebelum t −$\lambda$n,$\rho$,$\mu$, m1, . . . , banyak diterima, pada waktu t, setidaknya oleh sebagian kecil $\rho$ dari pengguna yang jujur. Catatan • Asumsi di atas sengaja dibuat sederhana, namun juga lebih kuat dari yang dibutuhkan dalam makalah kami.6 • Untuk mempermudah, kita asumsikan $\rho$ = 1, sehingga tidak lagi menyebutkan $\rho$. • Kami secara pesimistis berasumsi, asalkan dia tidak melanggar asumsi MP, maka Musuh sepenuhnya mengontrol pengiriman semua pesan. Apalagi tanpa diketahui oleh orang jujur pengguna, Musuh dia dapat secara sewenang-wenang memutuskan pemain jujur mana yang menerima pesan mana ketika, dan seenaknya mempercepat penyampaian pesan apapun yang diinginkannya.7

The BA Protocol BA⋆in a Traditional Setting

As already emphasized, Byzantine agreement is a key ingredient of Algorand. Indeed, it is through the use of such a BA protocol that Algorand is unaﬀected by forks. However, to be secure against our powerful Adversary, Algorand must rely on a BA protocol that satisﬁes the new player-replaceability constraint. In addition, for Algorand to be eﬃcient, such a BA protocol must be very eﬃcient. BA protocols were ﬁrst deﬁned for an idealized communication model, synchronous complete networks (SC networks). Such a model allows for a simpler design and analysis of BA protocols. 6Given the honest percentage h and the acceptable failure probability F, Algorand computes an upperbound, N, to the maximum number of member of veriﬁers in a step. Thus, the MP assumption need only hold for $n \leq N$. In addition, as stated, the MP assumption holds no matter how many other messages may be propagated alongside the mj’s. As we shall see, however, in Algorand messages at are propagated in essentially non-overlapping time intervals, during which either a single block is propagated, or at most N veriﬁers propagate a small (e.g., 200B) message. Thus, we could restate the MP assumption in a weaker, but also more complex, way. 7For instance, he can immediately learn the messages sent by honest players. Thus, a malicious user i′, who is asked to propagate a message simultaneously with a honest user i, can always choose his own message m′ based on the message m actually propagated by i. This ability is related to rushing, in the parlance of distributed-computation literature.

Accordingly, in this section, we introduce a new BA protocol, BA⋆, for SC networks and ignoring the issue of player replaceability altogether. The protocol BA⋆is a contribution of separate value. Indeed, it is the most eﬃcient cryptographic BA protocol for SC networks known so far. To use it within our Algorand protocol, we modify BA⋆a bit, so as to account for our diﬀerent communication model and context, but make sure, in section X, to highlight how BA⋆is used within our actual protocol Algorand ′. We start by recalling the model in which BA⋆operates and the notion of a Byzantine agreement. 3.1 Synchronous Complete Networks and Matching Adversaries In a SC network, there is a common clock, ticking at each integral times r = 1, 2, . . . At each even time click r, each player i instantaneously and simultaneously sends a single message mr i,j (possibly the empty message) to each player j, including himself. Each mr i,j is received at time click r + 1 by player j, together with the identity of the sender i. Again, in a communication protocol, a player is honest if he follows all his prescribed instructions, and malicious otherwise. All malicious players are totally controlled and perfectly coordinated by the Adversary, who, in particular, immediately receives all messages addressed to malicious players, and chooses the messages they send. The Adversary can immediately make malicious any honest user he wants at any odd time click he wants, subject only to a possible upperbound t to the number of malicious players. That is, the Adversary “cannot interfere with the messages already sent by an honest user i”, which will be delivered as usual. The Adversary also has the additional ability to see instantaneously, at each even round, the messages that the currently honest players send, and instantaneously use this information to choose the messages the malicious players send at the same time tick. Remarks • Adversary Power. The above setting is very adversarial. Indeed, in the Byzantine agreement literature, many settings are less adversarial. However, some more adversarial settings have also been considered, where the Adversary, after seeing the messages sent by an honest player i at a given time click r, has the ability to erase all these messages from the network, immediately corrupt i, choose the message that the now malicious i sends at time click r, and have them delivered as usual. The envisaged power of the Adversary matches that he has in our setting. • Physical Abstraction. The envisaged communication model abstracts a more physical model, in which each pair of players (i, j) is linked by a separate and private communication line li,j. That is, no one else can inject, interfere with, or gain information about the messages sent over li,j. The only way for the Adversary to have access to li,j is to corrupt either i or j. • Privacy and Authentication. In SC networks message privacy and authentication are guaranteed by assumption. By contrast, in our communication network, where messages are propagated from peer to peer, authentication is guaranteed by digital signatures, and privacy is non-existent. Thus, to adopt protocol BA⋆to our setting, each message exchanged should be digitally signed (further identifying the state at which it was sent). Fortunately, the BA protocols that we consider using in Algorand do not require message privacy.

3.2 The Notion of a Byzantine Agreement The notion of Byzantine agreement was introduced by Pease Shostak and Lamport [31] for the binary case, that is, when every initial value consists of a bit. However, it was quickly extended to arbitrary initial values. (See the surveys of Fischer [16] and Chor and Dwork [10].) By a BA protocol, we mean an arbitrary-value one. Deﬁnition 3.1. In a synchronous network, let $P$ be a $n$-player protocol, whose player set is common knowledge among the players, $t$ a positive integer such that $n \geq 2t + 1$. We say that $P$ is an arbitrary-value (respectively, binary) $(n, t)$-Byzantine agreement protocol with soundness $\sigma \in (0, 1)$ if, for every set of values $V$ not containing the special symbol $\bot$ (respectively, for $V = \{0, 1\}$), in an execution in which at most $t$ of the players are malicious and in which every player $i$ starts with an initial value $v_i \in V$, every honest player $j$ halts with probability 1, outputting a value $\text{out}_i \in V \cup \{\bot\}$ so as to satisfy, with probability at least $\sigma$, the following two conditions: 1. Agreement: There exists $\text{out} \in V \cup \{\bot\}$ such that $\text{out}_i = \text{out}$ for all honest players $i$. 2. Consistency: if, for some value $v \in V$, $v_i = v$ for all honest players, then $\text{out} = v$. We refer to out as P’s output, and to each outi as player i’s output. 3.3 The BA Notation # In our BA protocols, a player is required to count how many players sent him a given message in a given step. Accordingly, for each possible value $v$ that might be sent, $\#_i^s(v)$ (or just $\#_i(v)$ when $s$ is clear) is the number of players $j$ from which $i$ has received $v$ in step $s$. Recalling that a player $i$ receives exactly one message from each player $j$, if the number of players is $n$, then, for all $i$ and $s$, $\sum_v \#_i^s(v) = n$. 3.4 The Binary BA Protocol BBA⋆ In this section we present a new binary BA protocol, BBA⋆, which relies on the honesty of more than two thirds of the players and is very fast: no matter what the malicious players might do, each execution of its main loop brings the players into agreement with probability 1/3. Each player has his own public key of a digital signature scheme satisfying the unique-signature property. Since this protocol is intended to be run on synchronous complete network, there is no need for a player i to sign each of his messages. Digital signatures are used to generate a suﬃciently common random bit in Step 3. (In Algorand, digital signatures are used to authenticate all other messages as well.) The protocol requires a minimal set-up: a common random string r, independent of the players’ keys. (In Algorand, r is actually replaced by the quantity Qr.) Protocol BBA⋆is a 3-step loop, where the players repeatedly exchange Boolean values, and diﬀerent players may exit this loop at diﬀerent times. A player i exits this loop by propagating, at some step, either a special value 0∗or a special value 1∗, thereby instructing all players to “pretend” they respectively receive 0 and 1 from i in all future steps. (Alternatively said: assume

that the last message received by a player j from another player i was a bit b. Then, in any step in which he does not receive any message from i, j acts as if i sent him the bit b.) The protocol uses a counter $\gamma$, representing how many times its 3-step loop has been executed. At the start of BBA⋆, $\gamma = 0$. (One may think of $\gamma$ as a global counter, but it is actually increased by each individual player every time that the loop is executed.) There are $n \geq 3t + 1$, where $t$ is the maximum possible number of malicious players. A binary string $x$ is identiﬁed with the integer whose binary representation (with possible leadings 0s) is $x$; and $\text{lsb}(x)$ denotes the least signiﬁcant bit of $x$. Protocol BBA⋆ (Communication) Step 1. [Coin-Fixed-To-0 Step] Each player $i$ sends $b_i$. 1.1 If $\#_i^1(0) \geq 2t + 1$, then $i$ sets $b_i = 0$, sends $0^*$, outputs $\text{out}_i = 0$, and HALTS. 1.2 If $\#_i^1(1) \geq 2t + 1$, then $i$ sets $b_i = 1$. 1.3 Else, $i$ sets $b_i = 0$. (Communication) Step 2. [Coin-Fixed-To-1 Step] Each player $i$ sends $b_i$. 2.1 If $\#_i^2(1) \geq 2t + 1$, then $i$ sets $b_i = 1$, sends $1^*$, outputs $\text{out}_i = 1$, and HALTS. 2.2 If $\#_i^2(0) \geq 2t + 1$, then $i$ sets $b_i = 0$. 2.3 Else, $i$ sets $b_i = 1$. (Communication) Step 3. [Coin-Genuinely-Flipped Step] Each player $i$ sends $b_i$ and $\text{SIG}_i(r, \gamma)$. 3.1 If $\#_i^3(0) \geq 2t + 1$, then $i$ sets $b_i = 0$. 3.2 If $\#_i^3(1) \geq 2t + 1$, then $i$ sets $b_i = 1$. 3.3 Else, letting $S_i = \{j \in N \text{ who have sent } i \text{ a proper message in this step 3}\}$, $i$ sets $b_i = c \triangleq \text{lsb}(\min_{j \in S_i} H(\text{SIG}_i(r, \gamma)))$; increases $\gamma_i$ by 1; and returns to Step 1. Theorem 3.1. Whenever $n \geq 3t + 1$, BBA⋆ is a binary $(n, t)$-BA protocol with soundness 1. A proof of Theorem 3.1 is given in [26]. Its adaptation to our setting, and its player-replaceability property are novel. Historical Remark Probabilistic binary BA protocols were ﬁrst proposed by Ben-Or in asynchronous settings [7]. Protocol BBA⋆is a novel adaptation, to our public-key setting, of the binary BA protocol of Feldman and Micali [15]. Their protocol was the ﬁrst to work in an expected constant number of steps. It worked by having the players themselves implement a common coin, a notion proposed by Rabin, who implemented it via an external trusted party [32].

3.5 Graded Consensus and the Protocol GC Let us recall, for arbitrary values, a notion of consensus much weaker than Byzantine agreement. Deﬁnition 3.2. Let P be a protocol in which the set of all players is common knowledge, and each player i privately knows an arbitrary initial value v′ i. We say that $P$ is an $(n, t)$-graded consensus protocol if, in every execution with $n$ players, at most $t$ of which are malicious, every honest player $i$ halts outputting a value-grade pair $(v_i, g_i)$, where $g_i \in \{0, 1, 2\}$, so as to satisfy the following three conditions: 1. For all honest players $i$ and $j$, $|g_i - g_j| \leq 1$. 2. For all honest players $i$ and $j$, $g_i, g_j > 0 \Rightarrow v_i = v_j$. 3. If $v'_1 = \cdots = v'_n = v$ for some value $v$, then $v_i = v$ and $g_i = 2$ for all honest players $i$. Historical Note The notion of a graded consensus is simply derived from that of a graded broadcast, put forward by Feldman and Micali in [15], by strengthening the notion of a crusader agreement, as introduced by Dolev [12], and reﬁned by Turpin and Coan [33].8 In [15], the authors also provided a 3-step (n, t)-graded broadcasting protocol, gradecast, for $n \geq 3t + 1$. A more complex $(n, t)$-graded-broadcasting protocol for $n > 2t + 1$ has later been found by Katz and Koo [19]. The following two-step protocol GC consists of the last two steps of gradecast, expressed in our notation. To emphasize this fact, and to match the steps of protocol Algorand ′ of section 4.1, we respectively name 2 and 3 the steps of GC. Protocol GC Step 2. Each player i sends v′ i to all players. Step 3. Each player $i$ sends to all players the string $x$ if and only if $\#_i^2(x) \geq 2t + 1$. Output Determination. Each player $i$ outputs the pair $(v_i, g_i)$ computed as follows: • If, for some $x$, $\#_i^3(x) \geq 2t + 1$, then $v_i = x$ and $g_i = 2$. • If, for some $x$, $\#_i^3(x) \geq t + 1$, then $v_i = x$ and $g_i = 1$. • Else, $v_i = \bot$ and $g_i = 0$. Theorem 3.2. If $n \geq 3t + 1$, then GC is a $(n, t)$-graded broadcast protocol. The proof immediately follows from that of the protocol gradecast in [15], and is thus omitted.9 8In essence, in a graded-broadcasting protocol, (a) the input of every player is the identity of a distinguished player, the sender, who has an arbitrary value v as an additional private input, and (b) the outputs must satisfy the same properties 1 and 2 of graded consensus, plus the following property 3′: if the sender is honest, then vi = v and gi = 2 for all honest player i. 9Indeed, in their protocol, in step 1, the sender sends his own private value v to all players, and each player i lets v′ i consist of the value he has actually received from the sender in step 1.

3.6 The Protocol BA⋆ We now describe the arbitrary-value BA protocol BA⋆via the binary BA protocol BBA⋆and the graded-consensus protocol GC. Below, the initial value of each player i is v′ i. Protocol BA⋆ Steps 1 and 2. Each player i executes GC, on input v′ i, so as to compute a pair (vi, gi). Step 3, . . . Each player i executes BBA⋆—with initial input 0, if gi = 2, and 1 otherwise— so as to compute the bit outi. Output Determination. Each player $i$ outputs $v_i$, if $\text{out}_i = 0$, and $\bot$ otherwise. Theorem 3.3. Whenever $n \geq 3t + 1$, BA⋆ is a $(n, t)$-BA protocol with soundness 1. Proof. We ﬁrst prove Consistency, and then Agreement. Proof of Consistency. Assume that, for some value $v \in V$, $v'$ i = v. Then, by property 3 of graded consensus, after the execution of GC, all honest players output (v, 2). Accordingly, 0 is the initial bit of all honest players in the end of the execution of BBA⋆. Thus, by the Agreement property of binary Byzantine agreement, at the end of the execution of BA⋆, outi = 0 for all honest players. This implies that the output of each honest player i in BA⋆is vi = v. ✷ Proof of Agreement. Since BBA⋆is a binary BA protocol, either (A) outi = 1 for all honest player i, or (B) outi = 0 for all honest player i. In case A, all honest players output $\bot$ in BA⋆, and thus Agreement holds. Consider now case B. In this case, in the execution of BBA⋆, the initial bit of at least one honest player i is 0. (Indeed, if initial bit of all honest players were 1, then, by the Consistency property of BBA⋆, we would have outj = 1 for all honest j.) Accordingly, after the execution of GC, i outputs the pair (v, 2) for some value v. Thus, by property 1 of graded consensus, gj > 0 for all honest players j. Accordingly, by property 2 of graded consensus, vj = v for all honest players j. This implies that, at the end of BA⋆, every honest player j outputs v. Thus, Agreement holds also in case B. ✷ Since both Consistency and Agreement hold, BA⋆is an arbitrary-value BA protocol. Historical Note Turpin and Coan were the ﬁrst to show that, for $n \geq 3t + 1$, any binary $(n, t)$-BA protocol can be converted to an arbitrary-value (n, t)-BA protocol. The reduction arbitrary-value Byzantine agreement to binary Byzantine agreement via graded consensus is more modular and cleaner, and simpliﬁes the analysis of our Algorand protocol Algorand ′. Generalizing BA⋆for use in Algorand Algorand works even when all communication is via gossiping. However, although presented in a traditional and familiar communication network, so as to enable a better comparison with the prior art and an easier understanding, protocol BA⋆works also in gossiping networks. In fact, in our detailed embodiments of Algorand, we shall present it directly for gossiping networks. We shall also point out that it satisﬁes the player replaceability property that is crucial for Algorand to be secure in the envisaged very adversarial model.

Any BA player-replaceable protocol working in a gossiping communication network can be securely employed within the inventive Algorand system. In particular, Micali and Vaikunthanatan have extended BA⋆to work very eﬃciently also with a simple majority of honest players. That protocol too could be used in Algorand.

Protokol BA BA⋆dalam Pengaturan Tradisional

Seperti yang telah ditekankan, perjanjian Bizantium adalah unsur utama Algorand. Memang benar, itu sudah selesai penggunaan protokol BA sehingga Algorand tidak terpengaruh oleh fork. Namun, untuk amannya terhadap kami Musuh yang kuat, Algorand harus bergantung pada protokol BA yang memenuhi kemampuan penggantian pemain baru kendala. Selain itu, agar Algorand menjadi efisien, protokol BA seperti itu harus sangat efisien. Protokol BA pertama kali didefinisikan untuk model komunikasi yang diidealkan, lengkap dan sinkron jaringan (jaringan SC). Model seperti ini memungkinkan desain dan analisis protokol BA yang lebih sederhana. 6Mengingat persentase jujur h dan probabilitas kegagalan yang dapat diterima F, Algorand menghitung batas atas, N, ke jumlah maksimum anggota verifikator dalam satu langkah. Jadi, asumsi MP hanya perlu berlaku untuk n $\leq$N. Selain itu, sebagaimana dinyatakan, asumsi MP tetap berlaku tidak peduli berapa banyak pesan lain yang dapat disebarkan mj's. Namun, seperti yang akan kita lihat, di Algorand pesan di disebarkan dalam waktu yang pada dasarnya tidak tumpang tindih interval, selama satu blok disebarkan, atau paling banyak N pemverifikasi menyebarkan blok kecil (misalnya, 200B) pesan. Oleh karena itu, kita dapat menyatakan kembali asumsi MP dengan cara yang lebih lemah namun juga lebih kompleks. 7Misalnya, dia bisa langsung mempelajari pesan yang dikirim oleh pemain jujur. Jadi, pengguna jahat i′, siapa diminta untuk menyebarkan pesan secara bersamaan dengan pengguna yang jujur i, selalu dapat memilih pesannya sendiri berdasarkan m′ pesan m sebenarnya disebarkan oleh i. Kemampuan ini terkait dengan bergegas, dalam istilah komputasi terdistribusi sastra.Oleh karena itu, di bagian ini, kami memperkenalkan protokol BA baru, BA⋆, untuk jaringan SC dan mengabaikannya masalah penggantian pemain sama sekali. Protokol BA⋆merupakan kontribusi yang bernilai tersendiri. Memang benar, ini adalah protokol kriptografi BA paling efisien untuk jaringan SC yang dikenal sejauh ini. Untuk menggunakannya dalam protokol Algorand kami, kami memodifikasi sedikit BA⋆, untuk memperhitungkan perbedaan kami model dan konteks komunikasi, namun pastikan, di bagian X, untuk menyoroti bagaimana BA⋆ digunakan dalam protokol kami yang sebenarnya Algorand ′. Kita mulai dengan mengingat model di mana BA⋆ beroperasi dan gagasan perjanjian Bizantium. 3.1 Jaringan Lengkap Sinkron dan Musuh yang Cocok Dalam jaringan SC, terdapat jam umum yang berdetak pada setiap waktu integral r = 1, 2, . . . Pada setiap kali klik r, setiap pemain i secara instan dan bersamaan mengirimkan satu pesan Pak i,j (mungkin pesan kosong) untuk setiap pemain j, termasuk dirinya sendiri. Setiap Tuan i,j diterima pada saat itu klik r+1 oleh pemain j, beserta identitas pengirim i. Sekali lagi, dalam protokol komunikasi, seorang pemain jujur jika dia mengikuti semua yang ditentukan instruksi, dan sebaliknya berbahaya. Semua pemain jahat dikontrol sepenuhnya dan sempurna dikoordinasikan oleh Musuh, yang, khususnya, segera menerima semua pesan yang ditujukan kepadanya pemain jahat, dan memilih pesan yang mereka kirim. Musuh dapat segera membuat pengguna jujur mana pun yang dia inginkan menjadi jahat kapan pun dia mengklik yang diinginkannya, hanya bergantung pada kemungkinan batas atas jumlah pemain jahat. Artinya, Musuh “tidak dapat mengganggu pesan yang telah dikirim oleh pengguna i yang jujur”, yang mana akan terjadi disampaikan seperti biasa. Musuh juga memiliki kemampuan tambahan untuk melihat secara instan, di setiap putaran genap pesan yang dikirim oleh pemain jujur saat ini, dan secara instan menggunakan informasi ini untuk memilih pesan yang dikirim oleh pemain jahat pada saat yang sama dicentang. Keterangan • Kekuatan Musuh. Pengaturan di atas sangat merugikan. Memang dalam perjanjian Bizantium literatur, banyak situasi yang tidak terlalu bermusuhan. Namun, ada beberapa pengaturan yang lebih bermusuhan juga sudah diperhatikan, dimana Musuh setelah melihat pesan yang dikirimkan oleh pemain jujur i pada waktu tertentu klik r, memiliki kemampuan untuk segera menghapus semua pesan ini dari jaringan i yang rusak, pilih pesan yang dikirim oleh i yang sekarang berbahaya pada saat klik r, dan dapatkan pesan tersebut disampaikan seperti biasa. Kekuatan Musuh yang dibayangkan cocok dengan yang dia miliki di lingkungan kita. • Abstraksi Fisik. Model komunikasi yang dibayangkan mengabstraksi model yang lebih fisik, di mana setiap pasangan pemain (i,j) dihubungkan oleh jalur komunikasi terpisah dan pribadi li,j. Artinya, tidak ada orang lain yang dapat menyuntikkan, mengganggu, atau memperoleh informasi tentang pesan yang dikirimkan li,j. Satu-satunya cara bagi Musuh untuk memiliki akses ke li,j adalah dengan merusak i atau j. • Privasi dan Otentikasi. Dalam jaringan SC, privasi dan otentikasi pesan dijamin dengan asumsi. Sebaliknya, dalam jaringan komunikasi kita, tempat pesan disebarkan dari peer to peer, otentikasi dijamin oleh tanda tangan digital, dan privasi tidak ada. Jadi, untuk mengadopsi protokol BA⋆ke pengaturan kami, setiap pesan yang dipertukarkan harus ditandatangani secara digital (lebih lanjut mengidentifikasi negara bagian pengirimannya). Untungnya, protokol BA yang kami miliki pertimbangkan untuk menggunakan di Algorand tidak memerlukan privasi pesan.3.2 Gagasan Perjanjian Bizantium Gagasan perjanjian Bizantium diperkenalkan oleh Pease Shostak dan Lamport [31] untuk kasus biner, yaitu ketika setiap nilai awal terdiri dari sedikit. Namun, hal itu segera diperpanjang ke nilai awal yang sewenang-wenang. (Lihat survei Fischer [16] dan Chor and Dwork [10].) Oleh BA protokol, yang kami maksud adalah protokol yang bernilai arbitrer. Definisi 3.1. Dalam jaringan sinkron, misalkan P adalah protokol n-pemain, yang kumpulan pemainnya sama pengetahuan di antara para pemain, t bilangan bulat positif sehingga n $\geq$2t + 1. Kita katakan bahwa P adalah an nilai arbitrer (masing-masing, biner) (n, t)-Protokol perjanjian Bizantium dengan kesehatan $\sigma$ $\in$(0, 1) jika, untuk setiap himpunan nilai V tidak mengandung simbol khusus $\bot$(masing-masing, untuk V = {0, 1}), dalam suatu eksekusi di mana paling banyak t pemainnya jahat dan di mana setiap pemain saya memulai dengan sebuah nilai awal vi $\in$V , setiap pemain jujur j berhenti dengan probabilitas 1, mengeluarkan nilai outi $\in$V $\cup${$\bot$} untuk memenuhi, dengan probabilitas paling sedikit $\sigma$, dua kondisi berikut: 1. Kesepakatan: Terdapat $\in$V $\cup${$\bot$} sehingga outi = out untuk semua pemain jujur i. 2. Konsistensi: jika, untuk suatu nilai v $\in$V , vi = v untuk semua pemain jujur, maka keluar = v. Kami menyebut out sebagai keluaran P, dan setiap outi sebagai keluaran pemain i. 3.3 Notasi BA # Dalam protokol BA kami, seorang pemain diharuskan menghitung berapa banyak pemain yang mengiriminya pesan tertentu langkah tertentu. Oleh karena itu, untuk setiap kemungkinan nilai v yang mungkin dikirim,

s

saya (v) (atau hanya #i(v) ketika s jelas) adalah jumlah pemain j yang i telah menerima v pada langkah s. Mengingat bahwa seorang pemain i menerima tepat satu pesan dari setiap pemain j, jika jumlahnya pemain adalah n, maka, untuk semua i dan s, P v #s saya(v) = n. 3.4 Protokol Biner BA BBA⋆ Pada bagian ini kami menyajikan protokol BA biner baru, BBA⋆, yang lebih mengandalkan kejujuran dari dua pertiga pemain dan sangat cepat: tidak peduli apa yang mungkin dilakukan pemain jahat, setiap eksekusi loop utamanya membuat para pemain setuju dengan probabilitas 1/3. Setiap pemain memiliki kunci publiknya sendiri dari skema tanda tangan digital yang memenuhi tanda tangan unik properti. Karena protokol ini dimaksudkan untuk dijalankan pada jaringan lengkap yang sinkron, maka tidak ada kebutuhan pemain saya untuk menandatangani setiap pesannya. Tanda tangan digital digunakan untuk menghasilkan bit acak yang cukup umum pada Langkah 3. (Dalam Algorand, tanda tangan digital juga digunakan untuk mengautentikasi semua pesan lainnya.) Protokol memerlukan pengaturan minimal: string acak umum r, tidak tergantung pada pemain kunci. (Dalam Algorand, r sebenarnya diganti dengan kuantitas Qr.) Protokol BBA⋆adalah loop 3 langkah, di mana pemain berulang kali menukar nilai Boolean, dan pemain yang berbeda dapat keluar dari putaran ini pada waktu yang berbeda. Seorang pemain saya keluar dari lingkaran ini dengan menyebarkan, pada langkah tertentu, baik nilai khusus 0∗atau nilai khusus 1∗, sehingga memerintahkan semua pemain untuk “berpura-pura” mereka masing-masing menerima 0 dan 1 dari i di semua langkah selanjutnya. (Atau dikatakan: asumsikanbahwa pesan terakhir yang diterima pemain j dari pemain lain i agak b. Lalu, dalam langkah apa pun di mana dia tidak menerima pesan apa pun dari i, j bertindak seolah-olah saya mengiriminya bit b.) Protokol ini menggunakan penghitung $\gamma$, yang mewakili berapa kali perulangan 3 langkahnya telah dieksekusi. Pada awal BBA⋆, $\gamma$ = 0. (Orang mungkin menganggap $\gamma$ sebagai penghitung global, namun sebenarnya meningkat oleh masing-masing pemain setiap kali loop dijalankan.) Ada n $\geq$3t + 1, di mana t adalah jumlah maksimum pemain jahat yang mungkin. Sebuah biner string x diidentifikasi dengan bilangan bulat yang representasi binernya (dengan kemungkinan awalan 0) adalah x; dan lsb(x) menunjukkan bit paling signifikan dari x. Protokol BBA⋆ (Komunikasi) Langkah 1. [Langkah Koin-Tetap-Ke-0] Setiap pemain saya mengirimkan bi. 1.1 Jika #1 i (0) $\geq$2t + 1, lalu i set bi = 0, mengirimkan 0∗, keluaran outi = 0, dan BERHENTI. 1.2 Jika #1 i (1) $\geq$2t + 1, maka i menetapkan bi = 1. 1.3 Jika tidak, saya menetapkan bi = 0. (Komunikasi) Langkah 2. [Langkah Koin-Tetap-Ke-1] Setiap pemain saya mengirimkan bi. 2.1 Jika #2 i (1) $\geq$2t + 1, maka i menetapkan bi = 1, mengirimkan 1∗, keluaran keluari = 1, dan BERHENTI. 2.2 Jika #2 i (0) $\geq$2t + 1, maka saya menetapkan bi = 0. 2.3 Jika tidak, saya menetapkan bi = 1. (Komunikasi) Langkah 3. [Langkah Membalik Koin] Setiap pemain i mengirimkan bi dan SIGi(r, $\gamma$). 3.1 Jika #3 i (0) $\geq$2t + 1, maka i menetapkan bi = 0. 3.2 Jika #3 i (1) $\geq$2t + 1, maka i menetapkan bi = 1. 3.3 Selain itu, misalkan Si = {j $\in$N yang telah mengirimkan i pesan yang benar pada langkah ini 3 }, saya menetapkan bi = c $\triangleq$lsb(minj$\in$Si H(SIGi(r, $\gamma$))); meningkatkan $\gamma$i sebesar 1; dan kembali ke Langkah 1. Teorema 3.1. Kapanpun n $\geq$3t + 1, BBA⋆adalah protokol biner (n, t)-BA dengan tingkat kesehatan 1. Bukti Teorema 3.1 diberikan di [26]. Adaptasinya dengan lingkungan kami, dan kemampuan pemainnya untuk diganti properti adalah hal baru. Catatan Sejarah Protokol BA biner probabilistik pertama kali diusulkan oleh Ben-Or di pengaturan asinkron [7]. Protokol BBA⋆adalah adaptasi baru, terhadap pengaturan kunci publik kita, dari protokol biner BA Feldman dan Micali [15]. Protokol mereka adalah yang pertama bekerja sesuai harapan jumlah langkah yang konstan. Ini berhasil dengan meminta para pemainnya sendiri menerapkan koin yang sama, sebuah gagasan yang diajukan oleh Rabin, yang mengimplementasikannya melalui pihak eksternal yang dipercaya [32].3.5 Konsensus Bertingkat dan Protokol GC Mari kita ingat, untuk nilai-nilai yang sewenang-wenang, gagasan konsensus jauh lebih lemah dibandingkan kesepakatan Bizantium. Definisi 3.2. Misalkan P adalah suatu protokol yang himpunan semua pemainnya diketahui secara umum, dan masing-masing pemain saya secara pribadi mengetahui nilai awal yang berubah-ubah v′ saya. Kita katakan bahwa P adalah protokol konsensus dengan tingkat (n, t) jika, dalam setiap eksekusi dengan n pemain, pada kebanyakan dari mereka berbahaya, setiap pemain jujur saya berhenti mengeluarkan pasangan tingkat nilai (vi, gi), dimana gi $\in${0, 1, 2}, sehingga memenuhi tiga kondisi berikut: 1. Untuk semua pemain jujur i dan j, |gi −gj| $\leq$1. 2. Untuk semua pemain jujur i dan j, gi, gj > 0 ⇒vi = vj. 3. Jika v′ 1 = $\cdots$ = v′ n = v untuk beberapa nilai v, maka vi = v dan gi = 2 untuk semua pemain jujur i. Catatan Sejarah Gagasan tentang konsensus yang bertingkat berasal dari gagasan yang bertingkat siaran, dikemukakan oleh Feldman dan Micali di [15], dengan memperkuat gagasan tentang tentara salib perjanjian, seperti yang diperkenalkan oleh Dolev [12], dan disempurnakan oleh Turpin dan Coan [33].8 Di [15], penulis juga menyediakan protokol penyiaran bertingkat 3 langkah (n, t), yang disebut gradecast, untuk n $\geq$3t+1. Protokol penyiaran bertingkat (n, t) yang lebih kompleks untuk n > 2t+1 kemudian ditemukan oleh Katz dan Koo [19]. Protokol dua langkah GC berikut terdiri dari dua langkah terakhir dari gradecast, yang dinyatakan dalam kami notasi. Untuk menekankan fakta ini, dan untuk mencocokkan langkah-langkah protokol Algorand ′ bagian 4.1, kami masing-masing sebutkan 2 dan 3 langkah-langkah GC. Protokol GC Langkah 2. Setiap pemain saya mengirimkan v′ saya kepada semua pemain. Langkah 3. Setiap pemain i mengirimkan string x ke semua pemain jika dan hanya jika #2 saya (x) $\geq$2t + 1. Penentuan Keluaran. Setiap pemain i mengeluarkan pasangan (vi, gi) yang dihitung sebagai berikut: • Jika, untuk beberapa x, #3 i (x) $\geq$2t + 1, maka vi = x dan gi = 2. • Jika, untuk beberapa x, #3 i (x) $\geq$t + 1, maka vi = x dan gi = 1. • Lain, vi = $\bot$dan gi = 0. Teorema 3.2. Jika n $\geq$3t + 1, maka GC adalah protokol siaran bergradasi (n, t). Buktinya langsung mengikuti dari protokol gradecast di [15], dan dengan demikian dihilangkan.9 8Intinya, dalam protokol penyiaran bertingkat, (a) masukan dari setiap pemain adalah identitas pemain terkemuka pemain, pengirim, yang memiliki nilai sembarang v sebagai masukan pribadi tambahan, dan (b) keluaran harus memenuhi sifat yang sama 1 dan 2 dari konsensus bertingkat, ditambah sifat berikut 3′: jika pengirimnya jujur, maka vi = v dan gi = 2 untuk semua pemain jujur i. 9Memang, dalam protokol mereka, pada langkah 1, pengirim mengirimkan nilai pribadinya v ke semua pemain, dan setiap pemain i izinkan v′ saya terdiri dari nilai yang sebenarnya dia terima dari pengirim pada langkah 1.3.6 Protokol BA⋆ Kami sekarang menjelaskan protokol BA nilai arbitrer BA⋆melalui protokol BA biner BBA⋆dan protokol konsensus bertingkat GC. Di bawah ini, nilai awal setiap pemain i adalah v′ saya. Protokol BA⋆ Langkah 1 dan 2. Setiap pemain i menjalankan GC, pada input v′ i, untuk menghitung pasangan (vi, gi). Langkah 3,. . . Setiap pemain i mengeksekusi BBA⋆—dengan input awal 0, jika gi = 2, dan 1 sebaliknya— jadi untuk menghitung bit outi. Penentuan Keluaran. Setiap pemain i mengeluarkan vi, jika outi = 0, dan $\bot$sebaliknya. Teorema 3.3. Kapanpun n $\geq$3t + 1, BA⋆adalah protokol (n, t)-BA dengan tingkat kesehatan 1. Bukti. Pertama-tama kita buktikan Konsistensi, lalu Kesepakatan. Bukti Konsistensi. Asumsikan bahwa, untuk beberapa nilai v $\in$V , v′ i = v. Kemudian, berdasarkan sifat 3 dari konsensus dinilai, setelah pelaksanaan GC, semua pemain jujur keluar (v, 2). Oleh karena itu, 0 adalah bagian awal dari semua pemain jujur di akhir eksekusi BBA⋆. Demikian dengan Perjanjian properti perjanjian biner Bizantium, di akhir pelaksanaan BA⋆, outi = 0 untuk semua jujur pemain. Artinya keluaran setiap pemain jujur i di BA⋆adalah vi = v. ✷ Bukti Perjanjian. Karena BBA⋆ juga merupakan protokol BA biner (A) outi = 1 untuk semua pemain jujur i, atau (B) outi = 0 untuk semua pemain jujur i. Dalam kasus A, semua pemain jujur mengeluarkan $\bot$di BA⋆, dan dengan demikian Perjanjian berlaku. Pertimbangkan sekarang kasus B.In dalam hal ini, dalam eksekusi BBA⋆, bit awal dari setidaknya satu pemain jujur i adalah 0. (Memang, jika bit awal dari semua pemain jujur adalah 1, maka, dengan properti Konsistensi BBA⋆, kita akan memiliki outj = 1 untuk semua j yang jujur.) Oleh karena itu, setelah eksekusi GC, i mengeluarkan pasangan (v, 2) untuk beberapa nilai v. Jadi, berdasarkan properti 1 dari konsensus bertingkat, gj > 0 untuk semua pemain jujur j. Oleh karena itu, oleh properti 2 dari konsensus bertingkat, vj = v untuk semua pemain jujur j. Ini menyiratkan bahwa, pada akhir BA⋆, setiap pemain jujur j mengeluarkan v. Jadi, Perjanjian berlaku juga dalam kasus B. ✷ Karena Konsistensi dan Perjanjian berlaku, BA⋆adalah protokol BA dengan nilai arbitrer. Catatan Sejarah Turpin dan Coan adalah orang pertama yang menunjukkan bahwa, untuk n $\geq$3t+1, biner apa pun (n, t)-BA protokol dapat dikonversi ke protokol dengan nilai arbitrer (n, t)-BA. Pengurangan nilai sewenang-wenang Perjanjian Bizantium terhadap perjanjian biner Bizantium melalui konsensus bertingkat lebih bersifat modular dan lebih bersih, dan menyederhanakan analisis protokol Algorand kami Algorand ′. Generalisasi BA⋆untuk digunakan di Algorand Algorand berfungsi meskipun semua komunikasi dilakukan melalui bergosip. Namun, meski disajikan dalam jaringan komunikasi tradisional dan familiar, tetap saja untuk memungkinkan perbandingan yang lebih baik dengan penemuan sebelumnya dan pemahaman yang lebih mudah, protokol BA⋆berfungsi juga di jaringan gosip. Faktanya, dalam perwujudan rinci Algorand, kami akan menyajikannya langsung untuk jaringan gosip. Kami juga harus menunjukkan bahwa hal ini memenuhi kemampuan pergantian pemain properti yang sangat penting agar Algorand aman dalam model yang sangat bermusuhan.

Protokol apa pun yang dapat diganti oleh pemain BA yang bekerja di jaringan komunikasi gosip dapat digunakan digunakan dengan aman dalam sistem Algorand yang inventif. Khususnya, Micali dan Vaikunthanatan telah memperluas BA⋆untuk bekerja dengan sangat efisien juga dengan mayoritas pemain jujur. Itu protokol juga dapat digunakan di Algorand.

Two Embodiments of Algorand

As discussed, at a very high level, a round of Algorand ideally proceeds as follows. First, a randomly selected user, the leader, proposes and circulates a new block. (This process includes initially selecting a few potential leaders and then ensuring that, at least a good fraction of the time, a single common leader emerges.) Second, a randomly selected committee of users is selected, and reaches Byzantine agreement on the block proposed by the leader. (This process includes that each step of the BA protocol is run by a separately selected committee.) The agreed upon block is then digitally signed by a given threshold ($t_H$) of committee members. These digital signatures are circulated so that everyone is assured of which is the new block. (This includes circulating the credential of the signers, and authenticating just the hash of the new block, ensuring that everyone is guaranteed to learn the block, once its hash is made clear.) In the next two sections, we present two embodiments of Algorand, $\text{Algorand}'_1$ and $\text{Algorand}'_2$, that work under a majority-of-honest-users assumption. In Section 8 we show how to adopts these embodiments to work under a honest-majority-of-money assumption. $\text{Algorand}'_1$ only envisages that $> 2/3$ of the committee members are honest. In addition, in $\text{Algorand}'_1$, the number of steps for reaching Byzantine agreement is capped at a suitably high number, so that agreement is guaranteed to be reached with overwhelming probability within a ﬁxed number of steps (but potentially requiring longer time than the steps of $\text{Algorand}'_2$). In the remote case in which agreement is not yet reached by the last step, the committee agrees on the empty block, which is always valid. $\text{Algorand}'_2$ envisages that the number of honest members in a committee is always greater than or equal to a ﬁxed threshold $t_H$ (which guarantees that, with overwhelming probability, at least $2/3$ of the committee members are honest). In addition, $\text{Algorand}'_2$ allows Byzantine agreement to be reached in an arbitrary number of steps (but potentially in a shorter time than $\text{Algorand}'_1$). It is easy to derive many variants of these basic embodiments. In particular, it is easy, given $\text{Algorand}'_2$, to modify $\text{Algorand}'_1$ so as to enable to reach Byzantine agreement in an arbitrary number of steps. Both embodiments share the following common core, notations, notions, and parameters. 4.1 A Common Core Objectives Ideally, for each round $r$, Algorand would satisfy the following properties: 1. Perfect Correctness. All honest users agree on the same block $B_r$. 2. Completeness 1. With probability 1, the payset of $B_r$, $PAY^r$, is maximal.10 10Because paysets are deﬁned to contain valid payments, and honest users to make only valid payments, a maximal $PAY^r$ contains the "currently outstanding" payments of all honest users.

Of course, guaranteeing perfect correctness alone is trivial: everyone always chooses the oﬃcial payset $PAY^r$ to be empty. But in this case, the system would have completeness 0. Unfortunately, guaranteeing both perfect correctness and completeness 1 is not easy in the presence of malicious users. Algorand thus adopts a more realistic objective. Informally, letting $h$ denote the percentage of users who are honest, $h > 2/3$, the goal of Algorand is Guaranteeing, with overwhelming probability, perfect correctness and completeness close to $h$. Privileging correctness over completeness seems a reasonable choice: payments not processed in one round can be processed in the next, but one should avoid forks, if possible. Led Byzantine Agreement Perfect Correctness could be guaranteed as follows. At the start of round $r$, each user $i$ constructs his own candidate block $B^r_i$, and then all users reach Byzantine agreement on one candidate block. As per our introduction, the BA protocol employed requires a $2/3$ honest majority and is player replaceable. Each of its step can be executed by a small and randomly selected set of veriﬁers, who do not share any inner variables. Unfortunately, this approach has no completeness guarantees. This is so, because the candidate blocks of the honest users are most likely totally diﬀerent from each other. Thus, the ultimately agreed upon block might always be one with a non-maximal payset. In fact, it may always be the empty block, $B_\varepsilon$, that is, the block whose payset is empty. well be the default, empty one. $\text{Algorand}'$ avoids this completeness problem as follows. First, a leader for round $r$, $\ell_r$, is selected. Then, $\ell_r$ propagates his own candidate block, $B^r_{\ell_r}$. Finally, the users reach agreement on the block they actually receive from $\ell_r$. Because, whenever $\ell_r$ is honest, Perfect Correctness and Completeness 1 both hold, $\text{Algorand}'$ ensures that $\ell_r$ is honest with probability close to $h$. (When the leader is malicious, we do not care whether the agreed upon block is one with an empty payset. After all, a malicious leader $\ell_r$ might always maliciously choose $B^r_{\ell_r}$ to be the empty block, and then honestly propagate it, thus forcing the honest users to agree on the empty block.) Leader Selection In Algorand's, the $r$th block is of the form $B_r = (r, PAY^r, Q_r, H(B_{r-1})$. As already mentioned in the introduction, the quantity $Q_{r-1}$ is carefully constructed so as to be essentially non-manipulatable by our very powerful Adversary. (Later on in this section, we shall provide some intuition about why this is the case.) At the start of a round $r$, all users know the blockchain so far, $B_0, \ldots, B_{r-1}$, from which they deduce the set of users of every prior round: that is, $PK^1, \ldots, PK^{r-1}$. A potential leader of round $r$ is a user $i$ such that \[.\!H\!\left(\text{SIG}_i\!\left(r, 1, Q_{r-1}\right)\right) \leq p.\] Let us explain. Note that, since the quantity $Q_{r-1}$ is part of block $B_{r-1}$, and the underlying signature scheme satisﬁes the uniqueness property, $\text{SIG}_i\!\left(r, 1, Q_{r-1}\right)$ is a binary string uniquely associated to $i$ and $r$. Thus, since $H$ is a random oracle, $H\!\left(\text{SIG}_i\!\left(r, 1, Q_{r-1}\right)\right)$ is a random 256-bit long string uniquely associated to $i$ and $r$. The symbol "." in front of $H\!\left(\text{SIG}_i\!\left(r, 1, Q_{r-1}\right)\right)$ is the decimal (in our case, binary) point, so that $r_i \triangleq .\!H\!\left(\text{SIG}_i\!\left(r, 1, Q_{r-1}\right)\right)$ is the binary expansion of a random 256-bit number between 0 and 1 uniquely associated to $i$ and $r$. Thus the probability that $r_i$ is less than or equal to $p$ is essentially $p$. (Our potential-leader selection mechanism has been inspired by the micro-payment scheme of Micali and Rivest [28].) The probability $p$ is chosen so that, with overwhelming (i.e., $1 - F$) probability, at least one potential veriﬁer is honest. (If fact, $p$ is chosen to be the smallest such probability.)

Note that, since $i$ is the only one capable of computing his own signatures, he alone can determine whether he is a potential veriﬁer of round 1. However, by revealing his own credential, $\sigma^r_i \triangleq \text{SIG}_i\!\left(r, 1, Q_{r-1}\right)$, $i$ can prove to anyone to be a potential veriﬁer of round $r$. The leader $\ell_r$ is deﬁned to be the potential leader whose hashed credential is smaller that the hashed credential of all other potential leader $j$: that is, $H(\sigma^{r,s}_{\ell_r}) \leq H(\sigma^{r,s}_j)$. Note that, since a malicious $\ell_r$ may not reveal his credential, the correct leader of round $r$ may never be known, and that, barring improbable ties, $\ell_r$ is indeed the only leader of round $r$. Let us ﬁnally bring up a last but important detail: a user $i$ can be a potential leader (and thus the leader) of a round $r$ only if he belonged to the system for at least $k$ rounds. This guarantees the non-manipulatability of $Q_r$ and all future Q-quantities. In fact, one of the potential leaders will actually determine $Q_r$. Veriﬁer Selection Each step $s > 1$ of round $r$ is executed by a small set of veriﬁers, $SV^{r,s}$. Again, each veriﬁer $i \in SV^{r,s}$ is randomly selected among the users already in the system $k$ rounds before $r$, and again via the special quantity $Q_{r-1}$. Speciﬁcally, $i \in PK^{r-k}$ is a veriﬁer in $SV^{r,s}$, if \[.\!H\!\left(\text{SIG}_i\!\left(r, s, Q_{r-1}\right)\right) \leq p'.\] Once more, only $i$ knows whether he belongs to $SV^{r,s}$, but, if this is the case, he could prove it by exhibiting his credential $\sigma^{r,s}_i \triangleq H(\text{SIG}_i\!\left(r, s, Q_{r-1}\right))$. A veriﬁer $i \in SV^{r,s}$ sends a message, $m^{r,s}_i$, in step $s$ of round $r$, and this message includes his credential $\sigma^{r,s}_i$, so as to enable the veriﬁers f the nest step to recognize that $m^{r,s}_i$ is a legitimate step-$s$ message. The probability $p'$ is chosen so as to ensure that, in $SV^{r,s}$, letting $\#good$ be the number of honest users and $\#bad$ the number of malicious users, with overwhelming probability the following two conditions hold. For embodiment $\text{Algorand}'_1$: (1) $\#good > 2 \cdot \#bad$ and (2) $\#good + 4 \cdot \#bad < 2n$, where $n$ is the expected cardinality of $SV^{r,s}$. For embodiment $\text{Algorand}'_2$: (1) $\#good > t_H$ and (2) $\#good + 2\#bad < 2t_H$, where $t_H$ is a speciﬁed threshold. These conditions imply that, with suﬃciently high probability, (a) in the last step of the BA protocol, there will be at least given number of honest players to digitally sign the new block $B_r$, (b) only one block per round may have the necessary number of signatures, and (c) the used BA protocol has (at each step) the required $2/3$ honest majority. Clarifying Block Generation If the round-$r$ leader $\ell_r$ is honest, then the corresponding block is of the form \[B_r = \left(r,\; PAY^r,\; \text{SIG}_{\ell_r}\!\left(Q_{r-1}\right),\; H\!\left(B_{r-1}\right)\right),\] where the payset $PAY^r$ is maximal. (recall that all paysets are, by deﬁnition, collectively valid.) Else (i.e., if $\ell_r$ is malicious), $B_r$ has one of the following two possible forms: \[B_r = \left(r,\; PAY^r,\; \text{SIG}_i\!\left(Q_{r-1}\right),\; H\!\left(B_{r-1}\right)\right)\] and \[B_r = B^r_\varepsilon \triangleq \left(r,\; \varnothing,\; Q_{r-1},\; H\!\left(B_{r-1}\right)\right).\]

In the ﬁrst form, $PAY^r$ is a (non-necessarily maximal) payset and it may be $PAY^r = \varnothing$; and $i$ is a potential leader of round $r$. (However, $i$ may not be the leader $\ell_r$. This may indeed happen if if $\ell_r$ keeps secret his credential and does not reveal himself.) The second form arises when, in the round-$r$ execution of the BA protocol, all honest players output the default value, which is the empty block $B^r_\varepsilon$ in our application. (By deﬁnition, the possible outputs of a BA protocol include a default value, generically denoted by $\bot$. See section 3.2.) Note that, although the paysets are empty in both cases, $B_r = \left(r,\; \varnothing,\; \text{SIG}_i\!\left(Q_{r-1}\right),\; H\!\left(B_{r-1}\right)\right)$ and $B^r_\varepsilon$ are syntactically diﬀerent blocks and arise in two diﬀerent situations: respectively, "all went smoothly enough in the execution of the BA protocol", and "something went wrong in the BA protocol, and the default value was output". Let us now intuitively describe how the generation of block $B_r$ proceeds in round $r$ of $\text{Algorand}'$. In the ﬁrst step, each eligible player, that is, each player $i \in PK^{r-k}$, checks whether he is a potential leader. If this is the case, then $i$ is asked, using of all the payments he has seen so far, and the current blockchain, $B_0, \ldots, B_{r-1}$, to secretly prepare a maximal payment set, $PAY^r_i$, and secretly assembles his candidate block, $B_r = \left(r,\; PAY^r_i,\; \text{SIG}_i\!\left(Q_{r-1}\right),\; H\!\left(B_{r-1}\right)\right)$. That is, not only does he include in $B^r_i$, as its second component the just prepared payset, but also, as its third component, his own signature of $Q_{r-1}$, the third component of the last block, $B_{r-1}$. Finally, he propagate his round-$r$-step-1 message, $m^{r,1}_i$, which includes (a) his candidate block $B^r_i$, (b) his proper signature of his candidate block (i.e., his signature of the hash of $B^r_i$, and (c) his own credential $\sigma^{r,1}_i$, proving that he is indeed a potential veriﬁer of round $r$. (Note that, until an honest $i$ produces his message $m^{r,1}_i$, the Adversary has no clue that $i$ is a potential veriﬁer. Should he wish to corrupt honest potential leaders, the Adversary might as well corrupt random honest players. However, once he sees $m^{r,1}_i$, since it contains $i$'s credential, the Adversary knows and could corrupt $i$, but cannot prevent $m^{r,1}_i$, which is virally propagated, from reaching all users in the system.) In the second step, each selected veriﬁer $j \in SV^{r,2}$ tries to identify the leader of the round. Speciﬁcally, $j$ takes the step-1 credentials, $\sigma^{r,1}_{i_1}, \ldots, \sigma^{r,1}_{i_n}$, contained in the proper step-1 message $m^{r,1}_i$ he has received; hashes all of them, that is, computes $H\!\left(\sigma^{r,1}_{i_1}\right), \ldots, H\!\left(\sigma^{r,1}_{i_n}\right)$; ﬁnds the credential, $\sigma^{r,1}_{\ell_j}$, whose hash is lexicographically minimum; and considers $\ell^r_j$ to be the leader of round $r$. Recall that each considered credential is a digital signature of $Q_{r-1}$, that $\text{SIG}_i\!\left(r, 1, Q_{r-1}\right)$ is uniquely determined by $i$ and $Q_{r-1}$, that $H$ is random oracle, and thus that each $H(\text{SIG}_i\!\left(r, 1, Q_{r-1}\right))$ is a random 256-bit long string unique to each potential leader $i$ of round $r$. From this we can conclude that, if the 256-bit string $Q_{r-1}$ were itself randomly and independently selected, than so would be the hashed credentials of all potential leaders of round $r$. In fact, all potential leaders are well deﬁned, and so are their credentials (whether actually computed or not). Further, the set of potential leaders of round $r$ is a random subset of the users of round $r - k$, and an honest potential leader $i$ always properly constructs and propagates his message $m^r_i$, which contains $i$'s credential. Thus, since the percentage of honest users is $h$, no matter what the malicious potential leaders might do (e.g., reveal or conceal their own credentials), the minimum hashed potential-leader credential belongs to a honest user, who is necessarily identiﬁed by everyone to be the leader $\ell_r$ of the round $r$. Accordingly, if the 256-bit string $Q_{r-1}$ were itself randomly and independently selected, with probability exactly $h$ (a) the leader $\ell_r$ is honest and (b) $\ell_j = \ell_r$ for all honest step-2 veriﬁers $j$. In reality, the hashed credential are, yes, randomly selected, but depend on $Q_{r-1}$, which is

not randomly and independently selected. We shall prove in our analysis, however, that $Q_{r-1}$ is suﬃciently non-manipulatable to guarantee that the leader of a round is honest with probability $h'$ suﬃciently close to $h$: namely, $h' > h^2(1 + h - h^2)$. For instance, if $h = 80\%$, then $h' > .7424$. Having identiﬁed the leader of the round (which they correctly do when the leader $\ell_r$ is honest), the task of the step-2 veriﬁers is to start executing the BA using as initial values what they believe to be the block of the leader. Actually, in order to minimize the amount of communication required, a veriﬁer $j \in SV^{r,2}$ does not use, as his input value $v'_j$ to the Byzantine protocol, the block $B_j$ that he has actually received from $\ell_j$ (the user $j$ believes to be the leader), but the the leader, but the hash of that block, that is, $v'_j = H(B_i)$. Thus, upon termination of the BA protocol, the veriﬁers of the last step do not compute the desired round-$r$ block $B_r$, but compute (authenticate and propagate) $H(B_r)$. Accordingly, since $H(B_r)$ is digitally signed by suﬃciently many veriﬁers of the last step of the BA protocol, the users in the system will realize that $H(B_r)$ is the hash of the new block. However, they must also retrieve (or wait for, since the execution is quite asynchronous) the block $B_r$ itself, which the protocol ensures that is indeed available, no matter what the Adversary might do. Asynchrony and Timing $\text{Algorand}'_1$ and $\text{Algorand}'_2$ have a signiﬁcant degree of asynchrony. This is so because the Adversary has large latitude in scheduling the delivery of the messages being propagated. In addition, whether the total number of steps in a round is capped or not, there is the variance contribute by the number of steps actually taken. As soon as he learns the certiﬁcates of $B_0, \ldots, B_{r-1}$, a user $i$ computes $Q_{r-1}$ and starts working on round $r$, checking whether he is a potential leader, or a veriﬁer in some step $s$ of round $r$. Assuming that $i$ must act at step $s$, in light of the discussed asynchrony, $i$ relies on various strategies to ensure that he has suﬃcient information before he acts. For instance, he might wait to receive at least a given number of messages from the veriﬁers of the previous step, or wait for a suﬃcient time to ensure that he receives the messages of suﬃciently many veriﬁers of the previous step. The Seed $Q_r$ and the Look-Back Parameter $k$ Recall that, ideally, the quantities $Q_r$ should random and independent, although it will suﬃce for them to be suﬃciently non-manipulatable by the Adversary. At a ﬁrst glance, we could choose $Q_{r-1}$ to coincide with $H\!\left(PAY^{r-1}\right)$, and thus avoid to specify $Q_{r-1}$ explicitly in $B_{r-1}$. An elementary analysis reveals, however, that malicious users may take advantage of this selection mechanism.11 Some additional eﬀort shows that myriads of other 11We are at the start of round $r - 1$. Thus, $Q_{r-2} = PAY^{r-2}$ is publicly known, and the Adversary privately knows who are the potential leaders he controls. Assume that the Adversary controls 10% of the users, and that, with very high probability, a malicious user $w$ is the potential leader of round $r - 1$. That is, assume that $H\!\left(\text{SIG}_w\!\left(r - 2, 1, Q_{r-2}\right)\right)$ is so small that it is highly improbable an honest potential leader will actually be the leader of round $r - 1$. (Recall that, since we choose potential leaders via a secret cryptographic sortition mechanism, the Adversary does not know who the honest potential leaders are.) The Adversary, therefore, is in the enviable position of choosing the payset $PAY'$ he wants, and have it become the oﬃcial payset of round $r - 1$. However, he can do more. He can also ensure that, with high probability, () one of his malicious users will be the leader also of round $r$, so that he can freely select what $PAY^r$ will be. (And so on. At least for a long while, that is, as long as these high-probability events really occur.) To guarantee (), the Adversary acts as follows. Let $PAY'$ be the payset the Adversary prefers for round $r - 1$. Then, he computes $H(PAY')$ and checks whether, for some already malicious player $z$, $\text{SIG}_z(r, 1, H(PAY'))$ is particularly small, that is, small enough that with very high probability $z$ will be the leader of round $r$. If this is the case, then he instructs $w$ to choose his candidate block to be

alternatives, based on traditional block quantities are easily exploitable by the Adversary to ensure that malicious leaders are very frequent. We instead speciﬁcally and inductively deﬁne our brand new quantity $Q_r$ so as to be able to prove that it is non-manipulatable by the Adversary. Namely, $Q_r \triangleq H(\text{SIG}_{\ell_r}(Q_{r-1}), r)$, if $B_r$ is not the empty block, and $Q_r \triangleq H(Q_{r-1}, r)$ otherwise. The intuition of why this construction of $Q_r$ works is as follows. Assume for a moment that $Q_{r-1}$ is truly randomly and independently selected. Then, will so be $Q_r$? When $\ell_r$ is honest the answer is (roughly speaking) yes. This is so because \[H(\text{SIG}_{\ell_r}(\cdot), r) : \{0, 1\}^{256} \longrightarrow \{0, 1\}^{256}\] is a random function. When $\ell_r$ is malicious, however, $Q_r$ is no longer univocally deﬁned from $Q_{r-1}$ and $\ell_r$. There are at least two separate values for $Q_r$. One continues to be $Q_r \triangleq H(\text{SIG}_{\ell_r}(Q_{r-1}), r)$, and the other is $H(Q_{r-1}, r)$. Let us ﬁrst argue that, while the second choice is somewhat arbitrary, a second choice is absolutely mandatory. The reason for this is that a malicious $\ell_r$ can always cause totally diﬀerent candidate blocks to be received by the honest veriﬁers of the second step.12 Once this is the case, it is easy to ensure that the block ultimately agreed upon via the BA protocol of round $r$ will be the default one, and thus will not contain anyone's digital signature of $Q_{r-1}$. But the system must continue, and for this, it needs a leader for round $r$. If this leader is automatically and openly selected, then the Adversary will trivially corrupt him. If it is selected by the previous $Q_{r-1}$ via the same process, than $\ell_r$ will again be the leader in round $r+1$. We speciﬁcally propose to use the same secret cryptographic sortition mechanism, but applied to a new Q-quantity: namely, $H(Q_{r-1}, r)$. By having this quantity to be the output of $H$ guarantees that the output is random, and by including $r$ as the second input of $H$, while all other uses of $H$ have one or 3+ inputs, "guarantees" that such a $Q_r$ is independently selected. Again, our speciﬁc choice of alternative $Q_r$ does not matter, what matter is that $\ell_r$ has two choice for $Q_r$, and thus he can double his chances to have another malicious user as the next leader. The options for $Q_r$ may even be more numerous for the Adversary who controls a malicious $\ell_r$. For instance, let $x$, $y$, and $z$ be three malicious potential leaders of round $r$ such that \[H\!\left(\sigma^{r,1}_x\right) < H\!\left(\sigma^{r,1}_y\right) < H\!\left(\sigma^{r,1}_z\right)\] and $H\!\left(\sigma^{r,1}_z\right)$ is particulary small. That is, so small that there is a good chance that $H\!\left(\sigma^{r,1}_z\right)$ is smaller of the hashed credential of every honest potential leader. Then, by asking $x$ to hide his credential, the Adversary has a good chance of having $y$ become the leader of round $r - 1$. This implies that he has another option for $Q_r$: namely, $\text{SIG}_y\!\left(Q_{r-1}\right)$. Similarly, the Adversary may ask both $x$ and $y$ of withholding their credentials, so as to have $z$ become the leader of round $r - 1$ and gaining another option for $Q_r$: namely, $\text{SIG}_z\!\left(Q_{r-1}\right)$. Of course, however, each of these and other options has a non-zero chance to fail, because the Adversary cannot predict the hash of the digital signatures of the honest potential users. $B^{r-1}_i = (r - 1, PAY', H(B_{r-2})$. Else, he has two other malicious users $x$ and $y$ to keep on generating a new payment $\wp'$, from one to the other, until, for some malicious user $z$ (or even for some ﬁxed user $z$) $H(\text{SIG}_z(PAY' \cup \{\wp\}))$ is particularly small too. This experiment will stop quite quickly. And when it does the Adversary asks $w$ to propose the candidate block $B^{r-1}_i = (r - 1, PAY' \cup \{\wp\}, H(B_{r-2})$. 12For instance, to keep it simple (but extreme), "when the time of the second step is about to expire", $\ell_r$ could directly email a diﬀerent candidate block $B_i$ to each user $i$. This way, whoever the step-2 veriﬁers might be, they will have received totally diﬀerent blocks.

A careful, Markov-chain-like analysis shows that, no matter what options the Adversary chooses to make at round $r - 1$, as long as he cannot inject new users in the system, he cannot decrease the probability of an honest user to be the leader of round $r + 40$ much below $h$. This is the reason for which we demand that the potential leaders of round $r$ are users already existing in round $r - k$. It is a way to ensure that, at round $r - k$, the Adversary cannot alter by much the probability that an honest user become the leader of round $r$. In fact, no matter what users he may add to the system in rounds $r - k$ through $r$, they are ineligible to become potential leaders (and a fortiori the leader) of round $r$. Thus the look-back parameter $k$ ultimately is a security parameter. (Although, as we shall see in section 7, it can also be a kind of "convenience parameter" as well.) Ephemeral Keys Although the execution of our protocol cannot generate a fork, except with negligible probability, the Adversary could generate a fork, at the $r$th block, after the legitimate block $r$ has been generated. Roughly, once $B_r$ has been generated, the Adversary has learned who the veriﬁers of each step of round $r$ are. Thus, he could therefore corrupt all of them and oblige them to certify a new block $\overset{f}{B_r}$. Since this fake block might be propagated only after the legitimate one, users that have been paying attention would not be fooled.13 Nonetheless, $\overset{f}{B_r}$ would be syntactically correct and we want to prevent from being manufactured. We do so by means of a new rule. Essentially, the members of the veriﬁer set $SV^{r,s}$ of a step $s$ of round $r$ use ephemeral public keys $pk^{r,s}_i$ to digitally sign their messages. These keys are single-use-only and their corresponding secret keys $sk^{r,s}_i$ are destroyed once used. This way, if a veriﬁer is corrupted later on, the Adversary cannot force him to sign anything else he did not originally sign. Naturally, we must ensure that it is impossible for the Adversary to compute a new key $\overset{g}{p}{}^{r,s}_i$ and convince an honest user that it is the right ephemeral key of veriﬁer $i \in SV^{r,s}$ to use in step $s$. 4.2 Common Summary of Notations, Notions, and Parameters Notations - $r \geq 0$: the current round number. - $s \geq 1$: the current step number in round $r$. - $B_r$: the block generated in round $r$. - $PK^r$: the set of public keys by the end of round $r - 1$ and at the beginning of round $r$. - $S^r$: the system status by the end of round $r - 1$ and at the beginning of round $r$.14 - $PAY^r$: the payset contained in $B_r$. - $\ell_r$: round-$r$ leader. $\ell_r$ chooses the payset $PAY^r$ of round $r$ (and determines the next $Q_r$). - $Q_r$: the seed of round $r$, a quantity (i.e., binary string) that is generated at the end of round $r$ and is used to choose veriﬁers for round $r + 1$. $Q_r$ is independent of the paysets in the blocks and cannot be manipulated by $\ell_r$. 13Consider corrupting the news anchor of a major TV network, and producing and broadcasting today a newsreel showing secretary Clinton winning the last presidential election. Most of us would recognize it as a hoax. But someone getting out of a coma might be fooled. 14In a system that is not synchronous, the notion of "the end of round $r - 1$" and "the beginning of round $r$" need to be carefully deﬁned. Mathematically, $PK^r$ and $S^r$ are computed from the initial status $S^0$ and the blocks $B_1, \ldots, B_{r-1}$.

$SV^{r,s}$: the set of veriﬁers chosen for step $s$ of round $r$.
$SV^r$: the set of veriﬁers chosen for round $r$, $SV^r = \cup_{s \geq 1} SV^{r,s}$.
$MSV^{r,s}$ and $HSV^{r,s}$: respectively, the set of malicious veriﬁers and the set of honest veriﬁers in $SV^{r,s}$. $MSV^{r,s} \cup HSV^{r,s} = SV^{r,s}$ and $MSV^{r,s} \cap HSV^{r,s} = \varnothing$.
$n_1 \in \mathbb{Z}^+$ and $n \in \mathbb{Z}^+$: respectively, the expected numbers of potential leaders in each $SV^{r,1}$, and the expected numbers of veriﬁers in each $SV^{r,s}$, for $s > 1$. Notice that $n_1 \ll n$, since we need at least one honest honest member in $SV^{r,1}$, but at least a majority of honest members in each $SV^{r,s}$ for $s > 1$.
$h \in (0, 1)$: a constant greater than $2/3$. $h$ is the honesty ratio in the system. That is, the fraction of honest users or honest money, depending on the assumption used, in each $PK^r$ is at least $h$.
$H$: a cryptographic hash function, modelled as a random oracle.
$\bot$: A special string of the same length as the output of $H$.
$F \in (0, 1)$: the parameter specifying the allowed error probability. A probability $\leq F$ is considered "negligible", and a probability $\geq 1 - F$ is considered "overwhelming".
$p_h \in (0, 1)$: the probability that the leader of a round $r$, $\ell_r$, is honest. Ideally $p_h = h$. With the existence of the Adversary, the value of $p_h$ will be determined in the analysis.
$k \in \mathbb{Z}^+$: the look-back parameter. That is, round $r - k$ is where the veriﬁers for round $r$ are chosen from — namely, $SV^r \subseteq PK^{r-k}$.15
$p_1 \in (0, 1)$: for the ﬁrst step of round $r$, a user in round $r - k$ is chosen to be in $SV^{r,1}$ with probability $p_1 \triangleq \frac{n_1}{|PK^{r-k}|}$.
$p \in (0, 1)$: for each step $s > 1$ of round $r$, a user in round $r - k$ is chosen to be in $SV^{r,s}$ with probability $p \triangleq \frac{n}{|PK^{r-k}|}$.
$CERT^r$: the certiﬁcate for $B_r$. It is a set of $t_H$ signatures of $H(B_r)$ from proper veriﬁers in round $r$.
$\overline{B_r} \triangleq (B_r, CERT^r)$ is a proven block. A user $i$ knows $\overline{B_r}$ if he possesses (and successfully veriﬁes) both parts of the proven block. Note that the $CERT^r$ seen by diﬀerent users may be diﬀerent.
$\tau^r_i$: the (local) time at which a user $i$ knows $\overline{B_r}$. In the Algorand protocol each user has his own clock. Diﬀerent users' clocks need not be synchronized, but must have the same speed. Only for the purpose of the analysis, we consider a reference clock and measure the players' related times with respect to it.
$\alpha^{r,s}_i$ and $\beta^{r,s}_i$: respectively the (local) time a user $i$ starts and ends his execution of Step $s$ of round $r$.
$\Lambda$ and $\lambda$: essentially, the upper-bounds to, respectively, the time needed to execute Step 1 and the time needed for any other step of the Algorand protocol. Parameter $\Lambda$ upper-bounds the time to propagate a single 1MB block. (In our notation, $\Lambda = \lambda_{\rho, 1\text{MB}}$. Recalling our notation, that we set $\rho = 1$ for simplicity, and that blocks are chosen to be at most 1MB-long, we have $\Lambda = \lambda_{1,1,1\text{MB}}$.) 15Strictly speaking, "$r - k$" should be "$\max\{0, r - k\}$".

Parameter $\lambda$ upperbounds the time to propagate one small message per veriﬁer in a Step $s > 1$. (Using, as in Bitcoin, elliptic curve signatures with 32B keys, a veriﬁer message is 200B long. Thus, in our notation, $\lambda = \lambda_{n, \rho, 200\text{B}}$.) We assume that $\Lambda = O(\lambda)$. Notions - Veriﬁer selection. For each round $r$ and step $s > 1$, $SV^{r,s} \triangleq \{i \in PK^{r-k} : .\!H(\text{SIG}_i(r, s, Q_{r-1})) \leq p\}$. Each user $i \in PK^{r-k}$ privately computes his signature using his long-term key and decides whether $i \in SV^{r,s}$ or not. If $i \in SV^{r,s}$, then $\text{SIG}_i(r, s, Q_{r-1})$ is $i$'s $(r, s)$-credential, compactly denoted by $\sigma^{r,s}_i$. For the ﬁrst step of round $r$, $SV^{r,1}$ and $\sigma^{r,1}_i$ are similarly deﬁned, with $p$ replaced by $p_1$. The veriﬁers in $SV^{r,1}$ are potential leaders. - Leader selection. User $i \in SV^{r,1}$ is the leader of round $r$, denoted by $\ell_r$, if $H(\sigma^{r,1}_i) \leq H(\sigma^{r,1}_j)$ for all potential leaders $j \in SV^{r,1}$. Whenever the hashes of two players' credentials are compared, in the unlikely event of ties, the protocol always breaks ties lexicographically according to the (long-term public keys of the) potential leaders. By deﬁnition, the hash value of player $\ell_r$'s credential is also the smallest among all users in $PK^{r-k}$. Note that a potential leader cannot privately decide whether he is the leader or not, without seeing the other potential leaders' credentials. Since the hash values are uniform at random, when $SV^{r,1}$ is non-empty, $\ell_r$ always exists and is honest with probability at least $h$. The parameter $n_1$ is large enough so as to ensure that each $SV^{r,1}$ is non-empty with overwhelming probability. - Block structure. A non-empty block is of the form $B_r = (r, PAY^r, \text{SIG}_{\ell_r}(Q_{r-1}), H(B_{r-1}))$, and an empty block is of the form $B^r_\varepsilon = (r, \varnothing, Q_{r-1}, H(B_{r-1}))$. Note that a non-empty block may still contain an empty payset $PAY^r$, if no payment occurs in this round or if the leader is malicious. However, a non-empty block implies that the identity of $\ell_r$, his credential $\sigma^{r,1}_{\ell_r}$ and $\text{SIG}_{\ell_r}(Q_{r-1})$ have all been timely revealed. The protocol guarantees that, if the leader is honest, then the block will be non-empty with overwhelming probability. - Seed $Q_r$. If $B_r$ is non-empty, then $Q_r \triangleq H(\text{SIG}_{\ell_r}(Q_{r-1}), r)$, otherwise $Q_r \triangleq H(Q_{r-1}, r)$. Parameters - Relationships among various parameters. — The veriﬁers and potential leaders of round $r$ are selected from the users in $PK^{r-k}$, where $k$ is chosen so that the Adversary cannot predict $Q_{r-1}$ back at round $r - k - 1$ with probability better than $F$: otherwise, he will be able to introduce malicious users for round $r - k$, all of which will be potential leaders/veriﬁers in round $r$, succeeding in

having a malicious leader or a malicious majority in $SV^{r,s}$ for some steps $s$ desired by him. — For Step 1 of each round $r$, $n_1$ is chosen so that with overwhelming probability, $SV^{r,1} \neq \varnothing$. - Example choices of important parameters. — The outputs of $H$ are 256-bit long. — $h = 80\%$, $n_1 = 35$. — $\Lambda = 1$ minute and $\lambda = 10$ seconds. - Initialization of the protocol. The protocol starts at time 0 with $r = 0$. Since there does not exist "$B_{-1}$" or "$CERT^{-1}$", syntactically $B_{-1}$ is a public parameter with its third component specifying $Q_{-1}$, and all users know $B_{-1}$ at time 0.

Dua Perwujudan Algorand

Seperti yang telah dibahas, pada tingkat yang sangat tinggi, putaran Algorand idealnya berlangsung sebagai berikut. Pertama, secara acak pengguna yang dipilih, pemimpin, mengusulkan dan mengedarkan blok baru. (Proses ini mencakup awalnya memilih beberapa pemimpin potensial dan kemudian memastikan bahwa, setidaknya dalam jangka waktu tertentu, a muncul satu pemimpin yang sama.) Kedua, komite pengguna yang dipilih secara acak dipilih, dan mencapai persetujuan Bizantium mengenai blok yang diusulkan oleh pemimpinnya. (Proses ini mencakup itu setiap langkah protokol BA dijalankan oleh komite yang dipilih secara terpisah.) Blok yang disepakati kemudian ditandatangani secara digital oleh ambang batas (TH) tertentu dari anggota komite. Tanda tangan digital ini diedarkan sehingga semua orang yakin blok mana yang baru. (Ini termasuk mengedarkan kredensial penandatangan, dan hanya mengautentikasi hash blok baru, memastikan bahwa semua orang dijamin akan mempelajari blok tersebut, setelah hash-nya dibuat jelas.) Pada dua bagian berikutnya, kami menyajikan dua perwujudan dari Algorand, Algorand ′ 1 dan Algorand′ 2, yang bekerja berdasarkan asumsi mayoritas pengguna yang jujur. Di Bagian 8 kami menunjukkan cara menerapkan hal ini perwujudan untuk bekerja di bawah asumsi mayoritas uang yang jujur. Algorand' Saya hanya membayangkan > 2/3 anggota komite jujur. Selain itu, di Algorand' Pada tanggal 1 Januari, jumlah langkah untuk mencapai kesepakatan Bizantium dibatasi pada tingkat yang cukup tinggi nomor, sehingga kesepakatan dijamin akan dicapai dengan probabilitas yang sangat besar dalam a jumlah langkah yang tetap (tetapi mungkin memerlukan waktu lebih lama daripada langkah Algorand ′ 2). Di dalam hal yang jarang terjadi dimana kesepakatan belum tercapai pada langkah terakhir, panitia menyetujuinya blok kosong, yang selalu valid. Algorand ' 2 membayangkan bahwa jumlah anggota yang jujur dalam sebuah komite selalu lebih besar daripada atau sama dengan ambang batas tetap tH (yang menjamin hal tersebut, setidaknya dengan kemungkinan yang sangat besar 2/3 anggota panitia jujur). Selain itu, Algorand′ 2 mengizinkan persetujuan Bizantium untuk dicapai dalam sejumlah langkah yang berubah-ubah (tetapi berpotensi dalam waktu yang lebih singkat dari Algorand ′ 1). Sangat mudah untuk mendapatkan banyak varian dari perwujudan dasar ini. Khususnya, mudah, diberikan Algorand' 2, untuk mengubah Algorand ′ 1 sehingga memungkinkan tercapainya persetujuan Bizantium secara sewenang-wenang sejumlah langkah. Kedua perwujudan tersebut memiliki inti, notasi, gagasan, dan parameter yang sama. 4.1 Inti yang Sama Tujuan Idealnya, untuk setiap putaran r, Algorand akan memenuhi properti berikut: 1. Kebenaran Sempurna. Semua pengguna yang jujur menyetujui blok yang sama Br. 2. Kelengkapan 1. Dengan probabilitas 1, payset Br, PAY r, maksimal.10 10Karena payset didefinisikan berisi pembayaran yang valid, dan pengguna yang jujur hanya melakukan pembayaran yang valid, PAY r berisi pembayaran “yang terutang saat ini” dari semua pengguna yang jujur.Tentu saja, menjamin kebenaran yang sempurna adalah hal yang sepele: setiap orang selalu memilih pejabatnya payset PAY r menjadi kosong. Namun dalam kasus ini, sistem akan memiliki kelengkapan 0. Sayangnya, menjamin kebenaran dan kelengkapan yang sempurna 1 tidaklah mudah di hadapan pihak yang jahat pengguna. Algorand dengan demikian mengadopsi tujuan yang lebih realistis. Secara informal, h menunjukkan persentase dari pengguna yang jujur, h > 2/3, sasaran Algorand adalah Menjamin, dengan kemungkinan besar, kebenaran sempurna dan kelengkapan mendekati h. Mengutamakan kebenaran dibandingkan kelengkapan tampaknya merupakan pilihan yang masuk akal: pembayaran tidak diproses satu putaran dapat diproses pada putaran berikutnya, tetapi garpu harus dihindari, jika memungkinkan. Perjanjian Bizantium yang Dipimpin Kebenaran Sempurna dapat dijamin sebagai berikut. Pada awalnya putaran r, setiap pengguna i membuat blok kandidatnya sendiri Br i , dan kemudian semua pengguna mencapai Bizantium kesepakatan pada satu blok kandidat. Sesuai perkenalan kami, protokol BA yang digunakan memerlukan mayoritas jujur 2/3 dan pemain dapat diganti. Setiap langkahnya dapat dilakukan oleh yang kecil dan kumpulan verifikasi yang dipilih secara acak, yang tidak berbagi variabel dalam apa pun. Sayangnya, pendekatan ini tidak mempunyai jaminan kelengkapan. Hal ini terjadi karena kandidat blok pengguna yang jujur kemungkinan besar sangat berbeda satu sama lain. Jadi, pada akhirnya blok yang disepakati mungkin selalu merupakan blok dengan pembayaran tidak maksimal. Faktanya, hal itu mungkin selalu terjadi blok kosong, B$\varepsilon$, yaitu blok yang pembayarannya kosong. jadilah default, yang kosong. Algorand ′ menghindari masalah kelengkapan ini sebagai berikut. Pertama, pemimpin putaran r, $\ell$r, dipilih. Kemudian, $\ell$r menyebarkan blok kandidatnya sendiri, Br $\ell$r. Akhirnya, pengguna mencapai kesepakatan tentang pemblokiran tersebut mereka sebenarnya menerima dari $\ell$r. Sebab, bilamana jujur, Kebenaran dan Kelengkapan Sempurna 1 keduanya memegang, Algorand ′ memastikan bahwa $\ell$r jujur dengan probabilitas mendekati h. (Ketika pemimpinnya adalah jahat, kami tidak peduli apakah blok yang disepakati adalah blok dengan pembayaran kosong. Bagaimanapun, a pemimpin jahat $\ell$r mungkin selalu memilih Br $\ell$r menjadi blok kosong, dan kemudian jujur menyebarkannya, sehingga memaksa pengguna yang jujur untuk menyetujui blok kosong tersebut.) Seleksi Pemimpin Pada Algorand, blok ke-r berbentuk Br = (r, PAY r, Qr, H(Br−1). Seperti telah disebutkan dalam pendahuluan, besaran Qr−1 dikonstruksikan secara cermat sehingga menjadi pada dasarnya tidak dapat dimanipulasi oleh Musuh kita yang sangat kuat. (Nanti di bagian ini, kita akan melakukannya memberikan beberapa intuisi tentang mengapa hal ini terjadi.) Pada awal putaran r, semua pengguna mengetahui blockchain sejauh ini, B0, . . . , Br−1, yang darinya mereka menyimpulkan himpunan pengguna dari setiap putaran sebelumnya: itu adalah, PK1, . . . , PKr−1. Pemimpin potensial pada putaran r adalah pengguna i sedemikian rupa .H SIGi r, 1, Qr−1 $\leq$p. Mari kami jelaskan. Perhatikan bahwa, karena kuantitas Qr−1 adalah bagian dari blok Br−1, dan yang mendasarinya skema tanda tangan memenuhi properti keunikan, SIGi r, 1, Qr−1 adalah string biner secara unik terkait dengan i dan r. Jadi, karena H adalah oracle acak, H SIGi r, 1, Qr−1 adalah 256-bit acak string panjang yang diasosiasikan secara unik ke i dan r. Simbol “.” di depan H SIGi r, 1, Qr−1 adalah titik desimal (dalam kasus kita, biner), sehingga ri $\triangleq$.H SIGi r, 1, Qr−1 adalah ekspansi biner dari a nomor acak 256-bit antara 0 dan 1 yang dikaitkan secara unik ke i dan r. Jadi kemungkinannya ri kurang dari atau sama dengan p pada dasarnya adalah p. (Mekanisme seleksi calon pemimpin kami telah dilakukan terinspirasi oleh skema pembayaran mikro Micali dan Rivest [28].) Probabilitas p dipilih sehingga, dengan probabilitas yang sangat besar (yaitu, 1 −F), setidaknya ada satu pemverifikasi potensial adalah jujur. (Jika faktanya, p dipilih sebagai probabilitas terkecil.)Perhatikan bahwa, karena i adalah satu-satunya yang mampu menghitung tanda tangannya sendiri, maka hanya dia yang bisa menentukan apakah dia berpotensi menjadi pemverifikasi putaran 1. Namun, dengan mengungkapkan kredensialnya sendiri, $\sigma$r saya $\triangleq$SIGi r, 1, Qr−1 , saya dapat membuktikan kepada siapa pun sebagai pemverifikasi potensial putaran r. Pemimpin $\ell$r didefinisikan sebagai pemimpin potensial yang kredensial hashnya lebih kecil dari pemimpin hashed kredensial semua pemimpin potensial lainnya j: yaitu, H($\sigma$r,s $\ell$r ) $\leq$H($\sigma$r,s j ). Perhatikan bahwa, karena $\ell$r yang jahat mungkin tidak mengungkapkan kredensialnya, pemimpin putaran r yang benar mungkin mengungkapkan kredensialnya tidak pernah diketahui, dan, kecuali ada hubungan yang mustahil, $\ell$r memang satu-satunya pemimpin putaran r. Mari kita akhirnya mengemukakan detail terakhir namun penting: pengguna saya bisa menjadi pemimpin potensial (dan dengan demikian pemimpin) dari suatu putaran r hanya jika dia termasuk dalam sistem setidaknya selama k putaran. Ini menjamin non-manipulasi Qr dan semua kuantitas Q di masa depan. Bahkan, salah satu calon pemimpin sebenarnya akan menentukan Qr. Seleksi Verifikasi Setiap langkah s > 1 pada putaran r dieksekusi oleh sekelompok kecil verifier, SV r,s. Sekali lagi, setiap pemverifikasi i $\in$SV r,s dipilih secara acak di antara pengguna yang sudah berada dalam putaran k sistem sebelum r, dan lagi melalui kuantitas khusus Qr−1. Secara khusus, i $\in$PKr−k adalah pemverifikasi dalam SV r,s, jika .H SIGi r, s, Qr−1 $\leq$p′ . Sekali lagi, hanya saya yang tahu apakah dia anggota SV r,s, tapi kalau memang begitu, dia bisa membuktikannya dengan menunjukkan kredensialnya $\sigma$r,s saya $\triangleq$H(SIGi r, s, Qr−1 ). Pemverifikasi i $\in$SV r,s mengirimkan pesan, mr,s saya, di langkah s pada putaran r, dan pesan ini menyertakan kredensialnya $\sigma$r,s i , untuk mengaktifkan pemverifikasi f langkah sarang untuk mengenali Tuan itu, s saya adalah pesan langkah yang sah. Probabilitas p′ dipilih untuk memastikan bahwa, dalam SV r,s, membiarkan #good menjadi bilangan pengguna yang jujur dan #buruk jumlah pengguna yang jahat, dengan kemungkinan besar sebagai berikut dua kondisi berlaku. Untuk perwujudan Algorand′ 1: (1) #baik > 2 $\cdot$ #buruk dan (2) #baik + 4 $\cdot$ #buruk < 2n, dimana n adalah kardinalitas yang diharapkan dari SV r,s. Untuk perwujudan Algorand′ 2: (1) #baik > tH dan (2) #baik + 2#buruk < 2tH, dengan tH adalah ambang batas yang ditentukan. Kondisi ini menyiratkan bahwa, dengan probabilitas yang cukup tinggi, (a) pada langkah terakhir BA protokol, setidaknya akan ada sejumlah pemain jujur yang menandatangani blok baru secara digital Br, (b) hanya satu blok per putaran yang dapat memiliki jumlah tanda tangan yang diperlukan, dan (c) BA yang digunakan protokol memiliki (di setiap langkah) 2/3 mayoritas jujur yang disyaratkan. Mengklarifikasi Pembuatan Blok Jika pemimpin putaran r $\ell$r jujur, maka blok yang sesuai adalah dari bentuk Br = r, BAYAR r, SIG$\ell$r Qr−1 , H Br−1 , dimana payset PAY r maksimal. (ingatlah bahwa semua pembayaran, menurut definisi, sah secara kolektif.) Lain (yaitu, jika $\ell$r berbahaya), Br memiliki salah satu dari dua kemungkinan bentuk berikut: Br = r, BAYAR r, SIGi Qr−1 , H Br−1 dan Br = Br $\varepsilon$ $\triangleq$ r, $\emptyset$, Qr−1, H Br−1 .Dalam bentuk pertama, PAY r adalah set pembayaran (yang belum tentu maksimal) dan dapat berupa PAY r = $\emptyset$; dan aku adalah calon pemimpin putaran r. (Namun, saya mungkin bukan pemimpin $\ell$r. Hal ini mungkin terjadi jika $\ell$r merahasiakan kredensialnya dan tidak mengungkapkan dirinya.) Bentuk kedua muncul ketika, dalam pelaksanaan putaran-r protokol BA, semua pemain jujur menampilkan nilai default, yaitu blok kosong Br $\varepsilon$ dalam aplikasi kita. (Menurut definisi, kemungkinan keluaran protokol BA menyertakan nilai default, yang secara umum dilambangkan dengan $\bot$. Lihat bagian 3.2.) Perhatikan bahwa, meskipun payset kosong pada kedua kasus, Br = r, $\emptyset$, SIGi Qr−1 , H Br−1 dan Sdr $\varepsilon$ adalah blok yang berbeda secara sintaksis dan muncul dalam dua situasi berbeda: masing-masing, “semua berjalan cukup lancar dalam pelaksanaan protokol BA”, dan “ada yang tidak beres di protokol BA, dan nilai defaultnya adalah keluaran”. Sekarang mari kita jelaskan secara intuitif bagaimana pembangkitan blok Br berlangsung pada putaran r Algorand ′. Pada langkah pertama, setiap pemain yang memenuhi syarat, yaitu setiap pemain i $\in$PKr−k, memeriksa apakah dia berpotensi pemimpin. Jika hal ini terjadi, maka saya ditanya, menggunakan semua pembayaran yang telah dilihatnya sejauh ini, dan saat ini blockchain, B0, . . . , Br−1, untuk diam-diam menyiapkan set pembayaran maksimal, MEMBAYAR r aku, dan diam-diam merakit blok kandidatnya, Br = r, BAYAR r saya, SIGi Qr−1 , H Br−1 . Artinya, bukan hanya dia saja termasuk dalam Br i , sebagai komponen kedua dari pembayaran yang baru saja disiapkan, tetapi juga, sebagai komponen ketiga, tanda tangannya sendiri pada Qr−1, komponen ketiga dari blok terakhir, Br−1. Akhirnya, dia menyebarkan miliknya pesan putaran-r-langkah-1, tuan,1 i , yang meliputi (a) blok calonnya Br i , (b) tanda tangannya yang sebenarnya dari blok kandidatnya (yaitu, tanda tangannya pada hash dari Br i , dan (c) kredensialnya sendiri $\sigma$r,1 saya, membuktikan bahwa dia memang berpotensi menjadi pemverifikasi putaran r. (Perhatikan bahwa, sampai saya yang jujur menyampaikan pesannya, Tuan,1 saya, Musuh tidak tahu bahwa saya adalah a pemverifikasi potensial. Jika ia ingin merusak calon pemimpin yang jujur, maka Musuh juga akan melakukan hal yang sama pemain jujur acak yang korup. Namun, begitu dia melihat Tuan, 1 i , karena berisi kredensial i, maka Musuh mengetahui dan dapat merusak i, namun tidak dapat mencegah mr,1 i , yang disebarkan secara viral, dari menjangkau semua pengguna di sistem.) Pada langkah kedua, setiap verifikator terpilih j $\in$SV r,2 mencoba mengidentifikasi pemimpin putaran. Secara khusus, j mengambil kredensial langkah-1, $\sigma$r,1 saya1 , . . . , $\sigma$r,1 di , terkandung dalam pesan langkah-1 yang tepat mr,1 saya dia telah menerima; hashes semuanya, yaitu menghitung H $\sigma$r,1 i1 , . . . , H $\sigma$r,1 di ; menemukan kredensialnya, $\sigma$r,1 $\ell$j , yang hash minimum secara leksikografis; dan mempertimbangkan $\ell$r j menjadi pemimpin ronde r. Ingatlah bahwa setiap kredensial yang dipertimbangkan adalah tanda tangan digital dari Qr−1, yaitu SIGi r, 1, Qr−1 adalah ditentukan secara unik oleh i dan Qr−1, bahwa H acak oracle, dan dengan demikian setiap H(SIGi r, 1, Qr−1 adalah string acak sepanjang 256-bit yang unik untuk setiap calon pemimpin i pada putaran r. Dari sini kita dapat menyimpulkan bahwa, jika string 256-bit Qr−1 adalah dirinya sendiri secara acak dan independen dipilih, sehingga akan menjadi hash kredensial dari semua calon pemimpin putaran r. Faktanya, semuanya calon pemimpin sudah terdefinisi dengan baik, begitu pula kredensial mereka (baik yang benar-benar dihitung atau tidak). tidak). Selanjutnya, himpunan pemimpin potensial pada putaran r adalah himpunan bagian acak dari pengguna putaran r −k, dan calon pemimpin yang jujur saya selalu membangun dan menyebarkan pesannya dengan benar, Tuan saya , yang berisi kredensial saya. Jadi, karena persentase pengguna yang jujur adalah h, berapapun jumlahnya minimum yang mungkin dilakukan oleh calon pemimpin yang jahat (misalnya, mengungkapkan atau menyembunyikan kredensial mereka sendiri). hash kredensial calon pemimpin adalah milik pengguna yang jujur, yang harus diidentifikasi oleh semua orang menjadi pemimpin $\ell$r pada ronde r. Oleh karena itu, jika string 256-bit Qr−1 itu sendiri secara acak dan dipilih secara independen, dengan probabilitas tepat h (a) pemimpin $\ell$r jujur dan (b) $\ell$j = $\ell$r untuk semua verifikator langkah-2 yang jujur j. Pada kenyataannya, kredensial hashed, ya, dipilih secara acak, tetapi bergantung pada Qr−1, yaitutidak dipilih secara acak dan independen. Akan tetapi, kita akan membuktikan dalam analisis kita bahwa Qr−1 adalah cukup tidak dapat dimanipulasi untuk menjamin bahwa pemimpin suatu ronde jujur terhadap probabilitas h′ cukup dekat dengan h: yaitu, h′ > h2(1 + h −h2). Misalnya, jika h = 80%, maka h′ > 0,7424. Setelah mengidentifikasi pemimpin ronde (yang mereka lakukan dengan benar jika pemimpinnya jujur), tugas verifikasi langkah ke-2 adalah mulai melaksanakan BA dengan menggunakan nilai awal apa yang mereka yakini menjadi blok pemimpin. Sebenarnya, untuk meminimalkan jumlah komunikasi yang diperlukan, pemverifikasi j $\in$SV r,2 tidak menggunakan, sebagai nilai masukannya v′ j ke protokol Bizantium, blok Bj itu dia sebenarnya telah menerima dari $\ell$j (pengguna j diyakini sebagai pemimpin), tetapi pemimpinnya, tetapi hash dari blok itu, yaitu v′ j = H(Bi). Jadi, setelah penghentian protokol BA, verifikasi dari langkah terakhir jangan menghitung blok bulat-r yang diinginkan Br, tetapi hitung (otentikasi dan menyebarkan) H(Br). Oleh karena itu, karena H(Br) ditandatangani secara digital oleh cukup banyak verifikasi langkah terakhir dari protokol BA, pengguna dalam sistem akan menyadari bahwa H(Br) adalah hash dari yang baru blok. Namun, mereka juga harus mengambil (atau menunggu, karena eksekusinya cukup asinkron) tersebut blok Br itu sendiri, yang mana protokol memastikan bahwa memang tersedia, tidak peduli apa pun Musuhnya mungkin bisa dilakukan. Asinkroni dan Waktu Algorand' 1 dan Algorand′ 2 memiliki tingkat asinkroni yang signifikan. Hal ini dikarenakan Adversary mempunyai keleluasaan yang luas dalam menjadwalkan pengiriman pesan-pesan yang sedang dilakukannya disebarkan. Selain itu, apakah jumlah langkah dalam satu putaran dibatasi atau tidak, tetap ada varians dikontribusikan oleh jumlah langkah yang sebenarnya diambil. Begitu dia mempelajari sertifikat B0, . . . , Br−1, pengguna i menghitung Qr−1 dan mulai bekerja pada putaran r, memeriksa apakah dia calon pemimpin, atau pemverifikasi pada beberapa langkah s pada putaran r. Dengan asumsi bahwa saya harus bertindak pada langkah s, mengingat ketidaksinkronan yang dibahas, saya bergantung pada berbagai strategi untuk memastikan bahwa dia memiliki informasi yang cukup sebelum dia bertindak. Misalnya, dia mungkin menunggu untuk menerima setidaknya sejumlah pesan dari pemverifikasi langkah sebelumnya, atau tunggu waktu yang cukup untuk memastikan bahwa dia menerima pesan yang cukup banyak pemverifikasi dari langkah sebelumnya. Seed Qr dan Parameter Lihat-Kembali k Ingatlah bahwa, idealnya, besaran Qr seharusnya acak dan independen, meskipun cukup jika mereka tidak dapat dimanipulasi oleh Musuh. Sekilas, kita dapat memilih Qr−1 yang bertepatan dengan H MEMBAYAR r−1 , dan dengan demikian menghindari tentukan Qr−1 secara eksplisit di Br−1. Namun, analisis dasar mengungkapkan bahwa pengguna jahat mungkin saja melakukannya manfaatkan mekanisme seleksi ini.11 Beberapa upaya tambahan menunjukkan bahwa banyak sekali upaya lainnya 11Kita berada di awal ronde r −1. Jadi, Qr−2 = PAY r−2 diketahui publik, dan Musuh diketahui secara pribadi mengetahui siapa calon pemimpin yang ia kendalikan. Asumsikan bahwa Musuh mengendalikan 10% pengguna, dan bahwa, dengan probabilitas yang sangat tinggi, pengguna jahat w adalah calon pemimpin putaran r −1. Artinya, asumsikan itu H SIGw r −2, 1, Qr−2 Jumlahnya sangat kecil sehingga sangat kecil kemungkinannya calon pemimpin yang jujur akan menjadi pemimpin yang jujur pemimpin putaran r −1. (Ingatlah bahwa, karena kita memilih calon pemimpin melalui mekanisme penyortiran kriptografi rahasia, Musuh tidak tahu siapa calon pemimpin yang jujur.) Oleh karena itu, Musuh berada dalam posisi yang patut ditiru. posisi memilih payset PAY ′ yang diinginkannya, dan menjadikannya payset resmi pada putaran r −1. Namun, dia bisa berbuat lebih banyak. Dia juga dapat memastikan bahwa, dengan kemungkinan besar, () salah satu pengguna jahatnya akan menjadi pemimpinnya juga dari putaran r, sehingga dia dapat dengan bebas memilih berapa PAY rnya. (Dan seterusnya. Setidaknya untuk jangka waktu yang lama, yaitu, selama kejadian yang berpeluang tinggi tersebut benar-benar terjadi.) Untuk menjamin (), Musuh bertindak sebagai berikut. Biar BAYAR' menjadi pembayaran yang disukai Musuh untuk putaran r −1. Kemudian, dia menghitung H(PAY ′) dan memeriksa apakah, untuk beberapa hal pemain z yang sudah jahat, SIGz(r, 1, H(PAY ′)) sangat kecil, yaitu cukup kecil sehingga sangat tinggi probabilitas z akan menjadi pemimpin putaran r. Jika hal ini terjadi, maka dia menginstruksikan w untuk memilih blok kandidatnyaalternatif, berdasarkan jumlah blok tradisional mudah dieksploitasi oleh Musuh untuk memastikannya bahwa pemimpin yang jahat sangat sering terjadi. Kami malah mendefinisikan merek kami secara spesifik dan induktif kuantitas baru Qr sehingga dapat membuktikan bahwa ia tidak dapat dimanipulasi oleh Musuh. Yaitu, Qr $\triangleq$H(SIG$\ell$r(Qr−1), r), jika Br bukan blok kosong, dan Qr $\triangleq$H(Qr−1, r) sebaliknya. Intuisi mengapa konstruksi Qr ini berhasil adalah sebagai berikut. Anggaplah sejenak demikian Qr−1 benar-benar dipilih secara acak dan independen. Lalu, apakah Qr juga demikian? Ketika $\ell$r jujur jawabannya adalah (secara kasar) ya. Hal ini terjadi karena H(SIG$\ell$r( $\cdot$ ), r) : {0, 1}256 −→{0, 1}256 adalah fungsi acak. Namun ketika $\ell$r berbahaya, Qr tidak lagi didefinisikan secara univokal dari Qr−1 dan $\ell$r. Setidaknya ada dua nilai terpisah untuk Qr. Satu tetap menjadi Qr $\triangleq$H(SIG$\ell$r(Qr−1), r), dan yang lainnya adalah H(Qr−1, r). Pertama-tama mari kita berargumen bahwa, meskipun pilihan kedua agak sewenang-wenang, pilihan kedua mutlak wajib. Alasannya adalah bahwa orang jahat selalu dapat menyebabkan masalah kandidat blok yang benar-benar berbeda untuk diterima oleh pemverifikasi yang jujur pada langkah kedua.12 Sekali jika demikian, mudah untuk memastikan bahwa blok tersebut pada akhirnya disetujui melalui protokol BA putaran r akan menjadi putaran default, dan karenanya tidak akan berisi tanda tangan digital Qr−1 siapa pun. Tapi sistem harus terus berjalan, dan untuk itu diperlukan seorang pemimpin untuk putaran r. Jika pemimpin ini otomatis dan dipilih secara terbuka, maka Musuh akan merusaknya dengan sepele. Jika dipilih oleh sebelumnya Qr−1 melalui proses yang sama, maka $\ell$r akan kembali menjadi pemimpin di babak r+1. Kami secara khusus mengusulkan untuk menggunakan mekanisme penyortiran kriptografi rahasia yang sama, tetapi diterapkan pada kuantitas Q baru: yaitu, H(Qr−1, r). Dengan menjadikan kuantitas ini sebagai keluaran H menjamin bahwa keluarannya acak, dan dengan memasukkan r sebagai masukan kedua dari H, sementara semua penggunaan H lainnya memiliki satu atau 3+ masukan, “menjamin” bahwa Qr tersebut dipilih secara independen. Sekali lagi, pilihan khusus kami atas alternatif Qr tidak masalah, yang penting $\ell$r punya dua pilihan untuk Qr, sehingga dia bisa menggandakan peluangnya untuk memiliki pengguna jahat lainnya sebagai pemimpin berikutnya. Opsi untuk Qr bahkan mungkin lebih banyak bagi Musuh yang mengendalikan $\ell$r jahat. Misalnya, x, y, dan z adalah tiga pemimpin potensial yang berbahaya pada putaran r sedemikian rupa sehingga H $\sigma$r,1 x < H $\sigma$r,1 kamu < H $\sigma$r,1 z dan H $\sigma$r,1 z sangat kecil. Artinya, sangat kecil sehingga ada kemungkinan besar H $\sigma$r,1 z adalah lebih kecil dari kredensial hashed dari setiap calon pemimpin yang jujur. Kemudian, dengan meminta x untuk menyembunyikan miliknya kredensial, Musuh memiliki peluang bagus untuk membuat y menjadi pemimpin putaran r −1. Ini menyiratkan bahwa dia memiliki pilihan lain untuk Qr: yaitu SIGy Qr−1 . Demikian pula, Musuh mungkin minta x dan y untuk menahan kredensial mereka, agar z menjadi pemimpin putaran r −1 dan mendapatkan opsi lain untuk Qr: yaitu SIGz Qr−1 . Tentu saja, masing-masing opsi ini dan opsi lainnya mempunyai peluang gagal yang tidak nol, karena Musuh tidak dapat memprediksi hash tanda tangan digital calon pengguna yang jujur. Br−1 saya = (r −1, PAY ′, H(Br−2). Selain itu, dia memiliki dua pengguna jahat lainnya x dan y untuk terus menghasilkan pembayaran baru $\wp$′, dari satu ke yang lain, hingga, untuk beberapa pengguna jahat z (atau bahkan untuk beberapa pengguna tetap z) H (SIGz (PAY ′ $\cup${$\wp$})) adalah sangat kecil juga. Eksperimen ini akan berhenti dengan cepat. Dan ketika itu terjadi, Musuh meminta kami untuk melamar calon blok Br−1 saya = (r −1, BAYAR ′ $\cup${$\wp$}, H(Br−2). 12Misalnya, untuk membuatnya lebih sederhana (namun ekstrim), “ketika waktu langkah kedua hampir habis”, $\ell$r dapat langsung mengirimkan email ke kandidat blok Bi yang berbeda ke setiap pengguna i. Dengan cara ini, siapa pun pemverifikasi langkah ke-2, merekalah yang akan melakukan hal tersebut akan menerima blok yang sangat berbeda.Analisis yang cermat dan mirip rantai Markov menunjukkan hal itu, apa pun opsi yang dipilih Musuh untuk membuat pada putaran r −1, selama dia tidak dapat memasukkan pengguna baru ke dalam sistem, dia tidak dapat menguranginya probabilitas pengguna yang jujur menjadi pemimpin putaran r + 40 jauh di bawah h. Inilah alasannya yang kami minta agar calon pemimpin putaran r adalah pengguna yang sudah ada di putaran r −k. Ini adalah cara untuk memastikan bahwa, pada putaran r −k, Musuh tidak dapat mengubah kemungkinannya sebanyak itu pengguna yang jujur menjadi pemimpin putaran r. Faktanya, tidak peduli pengguna apa yang dia tambahkan ke dalamnya sistem di putaran r −k hingga r, mereka tidak memenuhi syarat untuk menjadi pemimpin potensial (dan a fortiori the pemimpin) putaran r. Jadi parameter lihat kembali k pada akhirnya adalah parameter keamanan. (Meskipun, seperti yang akan kita lihat di bagian 7, ini juga bisa menjadi semacam “parameter kenyamanan”.) Kunci Singkat Meskipun eksekusi protokol kami tidak dapat menghasilkan fork, kecuali dengan probabilitas yang dapat diabaikan, Musuh dapat menghasilkan percabangan, di blok ke-r, setelah blok sah blok r telah dibuat. Secara kasar, setelah Br dihasilkan, Musuh telah mengetahui siapa yang melakukan verifikasi pada setiap langkah dari putaran r adalah. Oleh karena itu, ia dapat merusak semuanya dan mewajibkan mereka untuk mengesahkan blok baru f Sdr. Karena blok palsu ini mungkin disebarkan hanya setelah yang sah, pengguna yang telah melakukannya memperhatikan tidak akan tertipu.13 Meskipun demikian, f Br secara sintaksis benar dan kami ingin dicegah agar tidak diproduksi. Kami melakukannya melalui aturan baru. Pada dasarnya, anggota verifikasi menetapkan SV r,s dari suatu langkah s putaran r menggunakan kunci publik sementara pkr,s saya untuk menandatangani pesan mereka secara digital. Kunci ini hanya sekali pakai dan kunci rahasianya adalah skr,s saya hancur setelah digunakan. Dengan cara ini, jika ada pemverifikasi kemudian dirusak, Musuh tidak dapat memaksanya untuk menandatangani apa pun yang tidak ia tandatangani pada awalnya. Tentu saja, kita harus memastikan bahwa Musuh tidak mungkin menghitung kunci baru g pr,s saya dan meyakinkan pengguna yang jujur bahwa ini adalah kunci pemverifikasi i $\in$SV r,s yang tepat untuk digunakan pada langkah s. 4.2 Ringkasan Umum Notasi, Pengertian, dan Parameter Notasi • r $\geq$0: bilangan bulat saat ini. • s $\geq$1: nomor langkah saat ini pada putaran r. • Br: blok yang dihasilkan pada putaran r. • PKr: himpunan kunci publik pada akhir putaran r −1 dan pada awal putaran r. • Sr: status sistem pada akhir putaran r −1 dan awal putaran r.14 • PAY r : payset yang terdapat pada Br. • $\ell$r: pemimpin putaran-r. $\ell$r memilih payset PAY r pada putaran r (dan menentukan Qr berikutnya). • Qr: benih dari putaran r, suatu kuantitas (yaitu, string biner) yang dihasilkan pada akhir putaran r dan digunakan untuk memilih pemverifikasi untuk putaran r + 1. Qr tidak bergantung pada pembayaran di blok dan tidak dapat dimanipulasi oleh $\ell$r. 13Pertimbangkan untuk merusak pembawa berita di jaringan TV besar, dan memproduksi serta menyiarkan film berita hari ini menunjukkan Menteri Clinton memenangkan pemilihan presiden terakhir. Sebagian besar dari kita akan mengenalinya sebagai tipuan. Tapi seseorang yang baru sadar dari koma mungkin akan tertipu. 14Dalam sistem yang tidak sinkron, pengertian “akhir putaran r −1” dan “awal putaran r” perlu didefinisikan secara hati-hati. Secara matematis, PKr dan Sr dihitung dari status awal S0 dan blok-bloknya B1, . . . , Br−1.• SV r,s: himpunan pemverifikasi yang dipilih untuk langkah s pada putaran r. • SV r: himpunan verifikasi yang dipilih untuk putaran r, SV r = $\cup$s$\geq$1SV r,s. • MSV r,s dan HSV r,s: masing-masing, himpunan verifier yang jahat dan himpunan verifier yang jujur dalam SV r, s. MSV r,s $\cup$HSV r,s = SV r,s dan MSV r,s ∩HSV r,s = $\emptyset$. • n1 $\in$Z+ dan n $\in$Z+: masing-masing, jumlah calon pemimpin yang diharapkan di setiap SV r,1, dan jumlah verifikator yang diharapkan dalam setiap SV r,s, untuk s > 1. Perhatikan bahwa n1 << n, karena kita membutuhkan setidaknya satu anggota jujur yang jujur di SV r,1, tapi setidaknya mayoritas anggota jujur di setiap SV r,s untuk s > 1. • h $\in$(0, 1): konstanta yang lebih besar dari 2/3. h adalah rasio kejujuran dalam sistem. Artinya, itu sebagian kecil dari pengguna jujur atau uang jujur, tergantung asumsi yang digunakan, dalam setiap PKr setidaknya h. • H: fungsi kriptografi hash, dimodelkan sebagai oracle acak. • $\bot$: String khusus yang panjangnya sama dengan keluaran H. • F $\in$(0, 1): parameter yang menentukan probabilitas kesalahan yang diperbolehkan. Probabilitas $\leq$F adalah dianggap “dapat diabaikan”, dan probabilitas $\geq$1 −F dianggap “luar biasa”. • ph $\in$(0, 1): probabilitas bahwa pemimpin suatu ronde r, $\ell$r, adalah jujur. Idealnya ph = h. Dengan adanya Adversary maka nilai ph akan ditentukan dalam analisa. • k $\in$Z+: parameter lihat kembali. Artinya, putaran r −k adalah tempat pemverifikasi putaran r berada dipilih dari —yakni, SV r $\subseteq$PKr−k.15 • p1 $\in$(0, 1): untuk langkah pertama putaran r, pengguna pada putaran r −k dipilih berada di SV r,1 dengan probabilitas p1 $\triangleq$ n1 |P Kr−k|. • p $\in$(0, 1): untuk setiap langkah s > 1 pada putaran r, pengguna pada putaran r −k dipilih untuk berada dalam SV r,s dengan probabilitas p $\triangleq$ n |P Kr−k|. • CERT r : sertifikat untuk Br. Ini adalah satu set tanda tangan H(Br) dari verifier yang tepat di putaran r. • Br $\triangleq$(Br, CERT r) merupakan blok terbukti. Seorang pengguna saya mengenal Br jika dia memiliki (dan berhasil memverifikasi) kedua bagian dari blok yang terbukti. Perhatikan bahwa CERT yang dilihat oleh pengguna yang berbeda mungkin berbeda. • τ r i : waktu (lokal) dimana pengguna yang saya kenal Br. Dalam protokol Algorand, setiap pengguna memiliki miliknya sendiri jam sendiri. Jam pengguna yang berbeda tidak perlu disinkronkan, namun harus memiliki kecepatan yang sama. Hanya untuk tujuan analisis, kami mempertimbangkan jam referensi dan mengukur kinerja para pemain. waktu terkait sehubungan dengan itu. • $\alpha$r,s saya dan $\beta$r,s i : masing-masing waktu (lokal) pengguna i memulai dan mengakhiri eksekusi Langkah s-nya putaran r. • Λ dan $\lambda$: pada dasarnya, batas atas, masing-masing, waktu yang dibutuhkan untuk melaksanakan Langkah 1 dan waktu yang diperlukan untuk setiap langkah lain dari protokol Algorand. Parameter Λ membatasi waktu untuk menyebarkan satu blok 1MB. (Dalam notasi kami, Λ = $\lambda$ $\rho$,1 MB. Mengingat notasi kita, yang kita tetapkan $\rho$ = 1 untuk kesederhanaan, dan bloknya adalah dipilih dengan panjang paling banyak 1MB, kita mempunyai Λ = $\lambda$1,1,1MB.) 15Sebenarnya, “r −k” seharusnya adalah “maks{0, r −k}”.Parameter $\lambda$ melampaui waktu untuk menyebarkan satu pesan kecil per pemverifikasi dalam Langkah s > 1. (Menggunakan, seperti pada Bitcoin, tanda tangan kurva elips dengan kunci 32B, panjang pesan verifikasi adalah 200B. Jadi, dalam notasi kita, $\lambda$ = $\lambda$n,$\rho$,200B.) Kami berasumsi bahwa Λ = O($\lambda$). Gagasan • Pemilihan verifikasi. Untuk setiap putaran r dan langkah s > 1, SV r,s $\triangleq${i $\in$PKr−k : .H(SIGi(r, s, Qr−1)) $\leq$p}. Masing-masing pengguna i $\in$PKr−k secara pribadi menghitung tanda tangannya menggunakan kunci jangka panjangnya dan memutuskan apakah i $\in$SV r,s atau tidak. Jika i $\in$SV r,s, maka SIGi(r, s, Qr−1) adalah kredensial i (r, s), dilambangkan secara kompak oleh $\sigma$r,s saya. Untuk langkah pertama putaran r, SV r,1 dan $\sigma$r,1 saya didefinisikan dengan cara yang sama, dengan p digantikan oleh p1. Itu penguji di SV r,1 adalah pemimpin potensial. • Pemilihan pemimpin. Pengguna i $\in$SV r,1 adalah pemimpin putaran r, dilambangkan dengan $\ell$r, jika H($\sigma$r,1 saya ) $\leq$H($\sigma$r,1 j ) untuk semua potensi pemimpin j $\in$SV r,1. Kapan pun hashes dari kredensial dua pemain dibandingkan, kemungkinannya kecil jika terjadi ikatan, protokol selalu memutus ikatan secara leksikografis menurut (publik jangka panjang kunci dari) calon pemimpin. Berdasarkan definisi, nilai hash kredensial pemain $\ell$r juga merupakan yang terkecil di antara semua pengguna di PKr−k. Perhatikan bahwa seorang calon pemimpin tidak dapat secara pribadi memutuskan apakah dia seorang pemimpin atau bukan, tanpa melihat kredibilitas calon pemimpin lainnya. Karena nilai hash seragam secara acak, ketika SV r,1 tidak kosong, $\ell$r selalu ada dan jujur dengan probabilitas minimal h. Parameter n1 cukup besar untuk memastikan bahwa masing-masing SV r,1 tidak kosong dengan kemungkinan yang sangat besar. • Struktur blok. Balok tak kosong berbentuk Br = (r, PAY r, SIG$\ell$r(Qr−1), H(Br−1)), dan balok kosong berbentuk Br ǫ = (r, $\emptyset$, Qr−1, H(Br−1)). Perhatikan bahwa blok yang tidak kosong mungkin masih berisi set pembayaran kosong PAY r, jika tidak ada pembayaran yang dilakukan babak ini atau jika pemimpinnya jahat. Namun, blok yang tidak kosong menyiratkan bahwa identitas $\ell$r, kredensialnya $\sigma$r,1 $\ell$r dan SIG$\ell$r(Qr−1) semuanya telah terungkap tepat waktu. Protokol menjamin bahwa, jika pemimpinnya jujur, maka blok tersebut tidak akan kosong dengan kemungkinan yang sangat besar. • Benih Qr. Jika Br tidak kosong, maka Qr $\triangleq$H(SIG$\ell$r(Qr−1), r), jika tidak Qr $\triangleq$H(Qr−1, r). Parameter • Hubungan antara berbagai parameter. — Pengukur dan calon pemimpin putaran r dipilih dari pengguna di PKr−k, dimana k dipilih sehingga Musuh tidak dapat memprediksi Qr−1 kembali pada putaran r −k −1 dengan probabilitas lebih baik daripada F: jika tidak, ia akan dapat memperkenalkan pengguna jahat untuk putaran r −k, yang semuanya akan menjadi pemimpin/pengukur potensial pada putaran r, yang berhasil

memiliki pemimpin yang jahat atau mayoritas yang jahat di SV r,s untuk beberapa langkah yang diinginkan oleh dia. — Untuk Langkah 1 setiap putaran r, n1 dipilih sehingga dengan probabilitas yang sangat besar, SV r,1 ̸= $\emptyset$. • Contoh pilihan parameter penting. — Output H panjangnya 256-bit. — jam = 80%, n1 = 35. — Λ = 1 menit dan $\lambda$ = 10 detik. • Inisialisasi protokol. Protokol dimulai pada waktu 0 dengan r = 0. Karena tidak ada “B−1” atau “CERT −1”, secara sintaksis B−1 adalah parameter publik dengan komponen ketiganya menentukan Q−1, dan semua pengguna mengetahui B−1 pada waktu 0.

Algorand ′

$\text{Algorand}^\prime$

1 In this section, we construct a version of $\text{Algorand}^\prime$ working under the following assumption. Honest Majority of Users Assumption: More than 2/3 of the users in each $PK^r$ are honest. In Section 8, we show how to replace the above assumption with the desired Honest Majority of Money assumption. 5.1 Additional Notations and Parameters Notations • $m \in \mathbb{Z}^+$: the maximum number of steps in the binary BA protocol, a multiple of 3. • $L_r \leq m/3$: a random variable representing the number of Bernoulli trials needed to see a 1, when each trial is 1 with probability $\frac{p_h}{2}$ and there are at most $m/3$ trials. If all trials fail then $L_r \triangleq m/3$. $L_r$ will be used to upper-bound the time needed to generate block $B_r$. • $t_H = \frac{2n}{3} + 1$: the number of signatures needed in the ending conditions of the protocol. • $CERT_r$: the certiﬁcate for $B_r$. It is a set of $t_H$ signatures of $H(B_r)$ from proper veriﬁers in round $r$. Parameters • Relationships among various parameters. — For each step $s > 1$ of round $r$, $n$ is chosen so that, with overwhelming probability, $|HSV^{r,s}| > 2|MSV^{r,s}|$ and $|HSV^{r,s}| + 4|MSV^{r,s}| < 2n$. The closer to 1 the value of $h$ is, the smaller $n$ needs to be. In particular, we use (variants of) Chernoﬀbounds to ensure the desired conditions hold with overwhelming probability. — $m$ is chosen such that $L_r < m/3$ with overwhelming probability. • Example choices of important parameters. — $F = 10^{-12}$. — $n \approx 1500$, $k = 40$ and $m = 180$.

5.2 Implementing Ephemeral Keys in $\text{Algorand}'_1$

As already mentioned, we wish that a veriﬁer $i \in SV^{r,s}$ digitally signs his message $m_i^{r,s}$ of step $s$ in round $r$, relative to an ephemeral public key $pk_i^{r,s}$, using an ephemeral secrete key $sk_i^{r,s}$ that he promptly destroys after using. We thus need an eﬃcient method to ensure that every user can verify that $pk_i^{r,s}$ is indeed the key to use to verify $i$'s signature of $m_i^{r,s}$. We do so by a (to the best of our knowledge) new use of identity-based signature schemes. At a high level, in such a scheme, a central authority A generates a public master key, PMK, and a corresponding secret master key, SMK. Given the identity, U, of a player U, A computes, via SMK, a secret signature key skU relative to the public key U, and privately gives skU to U. (Indeed, in an identity-based digital signature scheme, the public key of a user U is U itself!) This way, if A destroys SMK after computing the secret keys of the users he wants to enable to produce digital signatures, and does not keep any computed secret key, then U is the only one who can digitally sign messages relative to the public key U. Thus, anyone who knows “U’s name”, automatically knows U’s public key, and thus can verify U’s signatures (possibly using also the public master key PMK). In our application, the authority A is user $i$, and the set of all possible users U coincides with the round-step pair $(r, s)$ in —say— $S = \{i\} \times \{r', \ldots, r' + 10^6\} \times \{1, \ldots, m+3\}$, where $r'$ is a given round, and $m + 3$ the upperbound to the number of steps that may occur within a round. This way, $pk_i^{r,s} \triangleq (i, r, s)$, so that everyone seeing $i$'s signature $\text{SIG}_{pk_i^{r,s}}^{r,s}(m_i^{r,s})$ can, with overwhelming probability, immediately verify it for the ﬁrst million rounds $r$ following $r'$. In other words, $i$ ﬁrst generates $PMK$ and $SMK$. Then, he publicizes that $PMK$ is $i$'s master public key for any round $r \in [r', r' + 10^6]$, and uses $SMK$ to privately produce and store the secret key $sk_i^{r,s}$ for each triple $(i, r, s) \in S$. This done, he destroys $SMK$. If he determines that he is not part of $SV^{r,s}$, then $i$ may leave $sk_i^{r,s}$ alone (as the protocol does not require that he aunthenticates any message in Step $s$ of round $r$). Else, $i$ ﬁrst uses $sk_i^{r,s}$ to digitally sign his message $m_i^{r,s}$, and then destroys $sk_i^{r,s}$. Note that $i$ can publicize his ﬁrst public master key when he ﬁrst enters the system. That is, the same payment $\wp$ that brings $i$ into the system (at a round $r'$ or at a round close to $r'$), may also specify, at $i$'s request, that $i$'s public master key for any round $r \in [r', r' + 10^6]$ is $PMK$ —e.g., by including a pair of the form $(PMK, [r', r' + 10^6])$. Also note that, since $m + 3$ is the maximum number of steps in a round, assuming that a round takes a minute, the stash of ephemeral keys so produced will last $i$ for almost two years. At the same time, these ephemeral secret keys will not take $i$ too long to produce. Using an elliptic-curve based system with 32B keys, each secret key is computed in a few microseconds. Thus, if $m + 3 = 180$, then all 180M secret keys can be computed in less than one hour. When the current round is getting close to $r' + 10^6$, to handle the next million rounds, $i$ generates a new $(PMK', SMK')$ pair, and informs what his next stash of ephemeral keys is by —for example— having $\text{SIG}_i(PMK', [r' + 10^6 + 1, r' + 2 \cdot 10^6 + 1])$ enter a new block, either as a separate "transaction" or as some additional information that is part of a payment. By so doing, $i$ informs everyone that he/she should use $PMK'$ to verify $i$'s ephemeral signatures in the next million rounds. And so on. (Note that, following this basic approach, other ways for implementing ephemeral keys without using identity-based signatures are certainly possible. For instance, via Merkle trees.16) 16In this method, $i$ generates a public-secret key pair $(pk_i^{r,s}, sk_i^{r,s})$ for each round-step pair $(r, s)$ in —say—

Other ways for implementing ephemeral keys are certainly possible —e.g., via Merkle trees. 5.3 Matching the Steps of $\text{Algorand}'_1$ with those of $\text{BA}^\star$ As we said, a round in $\text{Algorand}'_1$ has at most $m + 3$ steps. Step 1. In this step, each potential leader $i$ computes and propagates his candidate block $B_i^r$, together with his own credential, $\sigma_i^{r,1}$. Recall that this credential explicitly identiﬁes $i$. This is so, because $\sigma_i^{r,1} \triangleq \text{SIG}_i(r, 1, Q_{r-1})$. Potential veriﬁer $i$ also propagates, as part of his message, his proper digital signature of $H(B_i^r)$. Not dealing with a payment or a credential, this signature of $i$ is relative to his ephemeral public key $pk_i^{r,1}$: that is, he propagates $\text{sig}_{pk_i^{r,1}}(H(B_i^r))$. Given our conventions, rather than propagating $B_i^r$ and $\text{sig}_{pk_i^{r,1}}(H(B_i^r))$, he could have propagated $\text{SIG}_{pk_i^{r,1}}(H(B_i^r))$. However, in our analysis we need to have explicit access to $\text{sig}_{pk_i^{r,1}}(H(B_i^r))$. Steps 2. In this step, each veriﬁer $i$ sets $\ell_i^r$ to be the potential leader whose hashed credential is the smallest, and $B_i^r$ to be the block proposed by $\ell_i^r$. Since, for the sake of eﬃciency, we wish to agree on $H(B_r)$, rather than directly on $B_r$, $i$ propagates the message he would have propagated in the ﬁrst step of $\text{BA}^\star$ with initial value $v'_i = H(B_i^r)$. That is, he propagates $v'_i$, after ephemerally signing it, of course. (Namely, after signing it relative to the right ephemeral public key, which in this case is $pk_i^{r,2}$.) Of course too, $i$ also transmits his own credential. Since the ﬁrst step of $\text{BA}^\star$ consists of the ﬁrst step of the graded consensus protocol GC, Step 2 of $\text{Algorand}^\prime$ corresponds to the ﬁrst step of GC. Steps 3. In this step, each veriﬁer $i \in SV^{r,2}$ executes the second step of $\text{BA}^\star$. That is, he sends the same message he would have sent in the second step of GC. Again, $i$'s message is ephemerally signed and accompanied by $i$'s credential. (From now on, we shall omit saying that a veriﬁer ephemerally signs his message and also propagates his credential.) Step 4. In this step, every veriﬁer $i \in SV^{r,4}$ computes the output of GC, $(v_i, g_i)$, and ephemerally signs and sends the same message he would have sent in the third step of $\text{BA}^\star$, that is, in the ﬁrst step of $\text{BBA}^\star$, with initial bit 0 if $g_i = 2$, and 1 otherwise. Step $s = 5, \ldots, m + 2$. Such a step, if ever reached, corresponds to step $s - 1$ of $\text{BA}^\star$, and thus to step $s - 3$ of $\text{BBA}^\star$. Since our propagation model is suﬃciently asynchronous, we must account for the possibility that, in the middle of such a step $s$, a veriﬁer $i \in SV^{r,s}$ is reached by information proving him that block $B_r$ has already been chosen. In this case, $i$ stops his own execution of round $r$ of $\text{Algorand}^\prime$, and starts executing his round-$(r + 1)$ instructions. $\{r', \ldots, r' + 10^6\} \times \{1, \ldots, m + 3\}$. Then he orders these public keys in a canonical way, stores the $j$th public key in the $j$th leaf of a Merkle tree, and computes the root value $R_i$, which he publicizes. When he wants to sign a message relative to key $pk_i^{r,s}$, $i$ not only provides the actual signature, but also the authenticating path for $pk_i^{r,s}$ relative to $R_i$. Notice that this authenticating path also proves that $pk_i^{r,s}$ is stored in the $j$th leaf. The rest of the details can be easily ﬁlled.

Accordingly, the instructions of a veriﬁer $i \in SV^{r,s}$, in addition to the instructions corresponding to Step $s - 3$ of $\text{BBA}^\star$, include checking whether the execution of $\text{BBA}^\star$ has halted in a prior Step $s'$. Since $\text{BBA}^\star$ can only halt is a Coin-Fixed-to-0 Step or in a Coin-Fixed-to-1 step, the instructions distinguish whether A (Ending Condition 0): $s' - 2 \equiv 0 \bmod 3$, or B (Ending Condition 1): $s' - 2 \equiv 1 \bmod 3$. In fact, in case A, the block $B_r$ is non-empty, and thus additional instructions are necessary to ensure that $i$ properly reconstructs $B_r$, together with its proper certiﬁcate $CERT_r$. In case B, the block $B_r$ is empty, and thus $i$ is instructed to set $B_r = B_\epsilon^r = (r, \emptyset, H(Q_{r-1}, r), H(B_{r-1}))$, and to compute $CERT_r$. If, during his execution of step $s$, $i$ does not see any evidence that the block $B_r$ has already been generated, then he sends the same message he would have sent in step $s - 3$ of $\text{BBA}^\star$. Step $m + 3$. If, during step $m + 3$, $i \in SV^{r,m+3}$ sees that the block $B_r$ was already generated in a prior step $s'$, then he proceeds just as explained above. Else, rather then sending the same message he would have sent in step $m$ of $\text{BBA}^\star$, $i$ is instructed, based on the information in his possession, to compute $B_r$ and its corresponding certiﬁcate $CERT_r$. Recall, in fact, that we upperbound by $m + 3$ the total number of steps of a round. 5.4 The Actual Protocol Recall that, in each step $s$ of a round $r$, a veriﬁer $i \in SV^{r,s}$ uses his long-term public-secret key pair to produce his credential, $\sigma_i^{r,s} \triangleq \text{SIG}_i(r, s, Q_{r-1})$, as well as $\text{SIG}_i(Q_{r-1})$ in case $s = 1$. Verifier $i$ uses his ephemeral secret key $sk_i^{r,s}$ to sign his $(r, s)$-message $m_i^{r,s}$. For simplicity, when $r$ and $s$ are clear, we write $esig_i(x)$ rather than $sig_{pk_i^{r,s}}(x)$ to denote $i$'s proper ephemeral signature of a value $x$ in step $s$ of round $r$, and write $\text{ESIG}_i(x)$ instead of $\text{SIG}_{pk_i^{r,s}}(x)$ to denote $(i, x, esig_i(x))$. Step 1: Block Proposal Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step 1 of round $r$ as soon as he knows $B_{r-1}$. $\bullet$ User $i$ computes $Q_{r-1}$ from the third component of $B_{r-1}$ and checks whether $i \in SV^{r,1}$ or not. $\bullet$ If $i \notin SV^{r,1}$, then $i$ stops his own execution of Step 1 right away. $\bullet$ If $i \in SV^{r,1}$, that is, if $i$ is a potential leader, then he collects the round-$r$ payments that have been propagated to him so far and computes a maximal payset $PAY_i^r$ from them. Next, he computes his "candidate block" $B_i^r = (r, PAY_i^r, \text{SIG}_i(Q_{r-1}), H(B_{r-1}))$. Finally, he computes the message $m_i^{r,1} = (B_i^r, esig_i(H(B_i^r)), \sigma_i^{r,1})$, destroys his ephemeral secret key $sk_i^{r,1}$, and then propagates $m_i^{r,1}$.

Remark. In practice, to shorten the global execution of Step 1, it is important that the $(r, 1)$- messages are selectively propagated. That is, for every user $i$ in the system, for the first $(r, 1)$- message that he ever receives and successfully verifies,17 player $i$ propagates it as usual. For all the other $(r, 1)$-messages that player $i$ receives and successfully verifies, he propagates it only if the hash value of the credential it contains is the smallest among the hash values of the credentials contained in all $(r, 1)$-messages he has received and successfully verified so far. Furthermore, as suggested by Georgios Vlachos, it is useful that each potential leader $i$ also propagates his credential $\sigma_i^{r,1}$ separately: those small messages travel faster than blocks, ensure timely propagation of the $m_j^{r,1}$'s where the contained credentials have small hash values, while make those with large hash values disappear quickly. Step 2: The First Step of the Graded Consensus Protocol $\text{GC}$ Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step 2 of round $r$ as soon as he knows $B_{r-1}$. $\bullet$ User $i$ computes $Q_{r-1}$ from the third component of $B_{r-1}$ and checks whether $i \in SV^{r,2}$ or not. $\bullet$ If $i \notin SV^{r,2}$ then $i$ stops his own execution of Step 2 right away. $\bullet$ If $i \in SV^{r,2}$, then after waiting an amount of time $t_2 \triangleq \lambda + \Lambda$, $i$ acts as follows. 1. He finds the user $\ell$ such that $H(\sigma_\ell^{r,1}) \leq H(\sigma_j^{r,1})$ for all credentials $\sigma_j^{r,1}$ that are part of the successfully verified $(r, 1)$-messages he has received so far.a 2. If he has received from $\ell$ a valid message $m_\ell^{r,1} = (B_\ell^r, esig_\ell(H(B_\ell^r)), \sigma_\ell^{r,1})$,b then $i$ sets $v'_i \triangleq H(B_\ell^r)$; otherwise $i$ sets $v'_i \triangleq \bot$. 3. $i$ computes the message $m_i^{r,2} \triangleq (\text{ESIG}_i(v'_i), \sigma_i^{r,2})$,c destroys his ephemeral secret key $sk_i^{r,2}$, and then propagates $m_i^{r,2}$. aEssentially, user $i$ privately decides that the leader of round $r$ is user $\ell$. bAgain, player $\ell$'s signatures and the hashes are all successfully verified, and $PAY_\ell^r$ in $B_\ell^r$ is a valid payset for round $r$ —although $i$ does not check whether $PAY_\ell^r$ is maximal for $\ell$ or not. cThe message $m_i^{r,2}$ signals that player $i$ considers $v'_i$ to be the hash of the next block, or considers the next block to be empty. 17That is, all the signatures are correct and both the block and its hash are valid —although $i$ does not check whether the included payset is maximal for its proposer or not.

Step 3: The Second Step of $\text{GC}$ Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step 3 of round $r$ as soon as he knows $B_{r-1}$. $\bullet$ User $i$ computes $Q_{r-1}$ from the third component of $B_{r-1}$ and checks whether $i \in SV^{r,3}$ or not. $\bullet$ If $i \notin SV^{r,3}$, then $i$ stops his own execution of Step 3 right away. $\bullet$ If $i \in SV^{r,3}$, then after waiting an amount of time $t_3 \triangleq t_2 + 2\lambda = 3\lambda + \Lambda$, $i$ acts as follows. 1. If there exists a value $v' \neq \bot$ such that, among all the valid messages $m_j^{r,2}$ he has received, more than $2/3$ of them are of the form $(\text{ESIG}_j(v'), \sigma_j^{r,2})$, without any contradiction,a then he computes the message $m_i^{r,3} \triangleq (\text{ESIG}_i(v'), \sigma_i^{r,3})$. Otherwise, he computes $m_i^{r,3} \triangleq (\text{ESIG}_i(\bot), \sigma_i^{r,3})$. 2. $i$ destroys his ephemeral secret key $sk_i^{r,3}$, and then propagates $m_i^{r,3}$. aThat is, he has not received two valid messages containing $\text{ESIG}_j(v')$ and a different $\text{ESIG}_j(v'')$ respectively, from a player $j$. Here and from here on, except in the Ending Conditions defined later, whenever an honest player wants messages of a given form, messages contradicting each other are never counted or considered valid.

Step 4: Output of $\text{GC}$ and The First Step of $\text{BBA}^\star$ Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step 4 of round $r$ as soon as he knows $B_{r-1}$. $\bullet$ User $i$ computes $Q_{r-1}$ from the third component of $B_{r-1}$ and checks whether $i \in SV^{r,4}$ or not. $\bullet$ If $i \notin SV^{r,4}$, then $i$ his stops his own execution of Step 4 right away. $\bullet$ If $i \in SV^{r,4}$, then after waiting an amount of time $t_4 \triangleq t_3 + 2\lambda = 5\lambda + \Lambda$, $i$ acts as follows. 1. He computes $v_i$ and $g_i$, the output of $\text{GC}$, as follows. (a) If there exists a value $v' \neq \bot$ such that, among all the valid messages $m_j^{r,3}$ he has received, more than $2/3$ of them are of the form $(\text{ESIG}_j(v'), \sigma_j^{r,3})$, then he sets $v_i \triangleq v'$ and $g_i \triangleq 2$. (b) Otherwise, if there exists a value $v' \neq \bot$ such that, among all the valid messages $m_j^{r,3}$ he has received, more than $1/3$ of them are of the form $(\text{ESIG}_j(v'), \sigma_j^{r,3})$, then he sets $v_i \triangleq v'$ and $g_i \triangleq 1$.a (c) Else, he sets $v_i \triangleq H(B_\epsilon^r)$ and $g_i \triangleq 0$. 2. He computes $b_i$, the input of $\text{BBA}^\star$, as follows: $b_i \triangleq 0$ if $g_i = 2$, and $b_i \triangleq 1$ otherwise. 3. He computes the message $m_i^{r,4} \triangleq (\text{ESIG}_i(b_i), \text{ESIG}_i(v_i), \sigma_i^{r,4})$, destroys his ephemeral secret key $sk_i^{r,4}$, and then propagates $m_i^{r,4}$. aIt can be proved that the $v'$ in case (b), if exists, must be unique.

Step $s$, $5 \leq s \leq m + 2$, $s - 2 \equiv 0 \bmod 3$: A Coin-Fixed-To-0 Step of $\text{BBA}^\star$ Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step $s$ of round $r$ as soon as he knows $B_{r-1}$. $\bullet$ User $i$ computes $Q_{r-1}$ from the third component of $B_{r-1}$ and checks whether $i \in SV^{r,s}$. $\bullet$ If $i \notin SV^{r,s}$, then $i$ stops his own execution of Step $s$ right away. $\bullet$ If $i \in SV^{r,s}$ then he acts as follows. – He waits until an amount of time $t_s \triangleq t_{s-1} + 2\lambda = (2s - 3)\lambda + \Lambda$ has passed. – Ending Condition 0: If, during such waiting and at any point of time, there exists a string $v \neq \bot$ and a step $s'$ such that (a) $5 \leq s' \leq s$, $s' - 2 \equiv 0 \bmod 3$ —that is, Step $s'$ is a Coin-Fixed-To-0 step, (b) $i$ has received at least $t_H = \frac{2n}{3} + 1$ valid messages $m_j^{r,s'-1} = (\text{ESIG}_j(0), \text{ESIG}_j(v), \sigma_j^{r,s'-1})$,a and (c) $i$ has received a valid message $m_j^{r,1} = (B_j^r, esig_j(H(B_j^r)), \sigma_j^{r,1})$ with $v = H(B_j^r)$, then, $i$ stops his own execution of Step $s$ (and in fact of round $r$) right away without propagating anything; sets $B_r = B_j^r$; and sets his own $\text{CERT}^r$ to be the set of messages $m_j^{r,s'-1}$ of sub-step (b).b – Ending Condition 1: If, during such waiting and at any point of time, there exists a step $s'$ such that (a') $6 \leq s' \leq s$, $s' - 2 \equiv 1 \bmod 3$ —that is, Step $s'$ is a Coin-Fixed-To-1 step, and (b') $i$ has received at least $t_H$ valid messages $m_j^{r,s'-1} = (\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,s'-1})$,c then, $i$ stops his own execution of Step $s$ (and in fact of round $r$) right away without propagating anything; sets $B_r = B_\epsilon^r$; and sets his own $\text{CERT}^r$ to be the set of messages $m_j^{r,s'-1}$ of sub-step (b'). – Otherwise, at the end of the wait, user $i$ does the following. He sets $v_i$ to be the majority vote of the $v_j$'s in the second components of all the valid $m_j^{r,s-1}$'s he has received. He computes $b_i$ as follows. If more than $2/3$ of all the valid $m_j^{r,s-1}$'s he has received are of the form $(\text{ESIG}_j(0), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, then he sets $b_i \triangleq 0$. Else, if more than $2/3$ of all the valid $m_j^{r,s-1}$'s he has received are of the form $(\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, then he sets $b_i \triangleq 1$. Else, he sets $b_i \triangleq 0$. He computes the message $m_i^{r,s} \triangleq (\text{ESIG}_i(b_i), \text{ESIG}_i(v_i), \sigma_i^{r,s})$, destroys his ephemeral secret key $sk_i^{r,s}$, and then propagates $m_i^{r,s}$. aSuch a message from player $j$ is counted even if player $i$ has also received a message from $j$ signing for 1. Similar things for Ending Condition 1. As shown in the analysis, this is done to ensure that all honest users know $B_r$ within time $\lambda$ from each other. bUser $i$ now knows $B_r$ and his own round $r$ finishes. He still helps propagating messages as a generic user, but does not initiate any propagation as a $(r, s)$-verifier. In particular, he has helped propagating all messages in his $\text{CERT}^r$, which is enough for our protocol. Note that he should also set $b_i \triangleq 0$ for the binary BA protocol, but $b_i$ is not needed in this case anyway. Similar things for all future instructions. cIn this case, it does not matter what the $v_j$'s are.

Step $s$, $6 \leq s \leq m + 2$, $s - 2 \equiv 1 \bmod 3$: A Coin-Fixed-To-1 Step of $\text{BBA}^\star$ Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step $s$ of round $r$ as soon as he knows $B_{r-1}$. $\bullet$ User $i$ computes $Q_{r-1}$ from the third component of $B_{r-1}$ and checks whether $i \in SV^{r,s}$ or not. $\bullet$ If $i \notin SV^{r,s}$, then $i$ stops his own execution of Step $s$ right away. $\bullet$ If $i \in SV^{r,s}$ then he does the follows. – He waits until an amount of time $t_s \triangleq (2s - 3)\lambda + \Lambda$ has passed. – Ending Condition 0: The same instructions as Coin-Fixed-To-0 steps. – Ending Condition 1: The same instructions as Coin-Fixed-To-0 steps. – Otherwise, at the end of the wait, user $i$ does the following. He sets $v_i$ to be the majority vote of the $v_j$'s in the second components of all the valid $m_j^{r,s-1}$'s he has received. He computes $b_i$ as follows. If more than $2/3$ of all the valid $m_j^{r,s-1}$'s he has received are of the form $(\text{ESIG}_j(0), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, then he sets $b_i \triangleq 0$. Else, if more than $2/3$ of all the valid $m_j^{r,s-1}$'s he has received are of the form $(\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, then he sets $b_i \triangleq 1$. Else, he sets $b_i \triangleq 1$. He computes the message $m_i^{r,s} \triangleq (\text{ESIG}_i(b_i), \text{ESIG}_i(v_i), \sigma_i^{r,s})$, destroys his ephemeral secret key $sk_i^{r,s}$, and then propagates $m_i^{r,s}$.

Step $s$, $7 \leq s \leq m + 2$, $s - 2 \equiv 2 \bmod 3$: A Coin-Genuinely-Flipped Step of $\text{BBA}^\star$ Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step $s$ of round $r$ as soon as he knows $B_{r-1}$. $\bullet$ User $i$ computes $Q_{r-1}$ from the third component of $B_{r-1}$ and checks whether $i \in SV^{r,s}$ or not. $\bullet$ If $i \notin SV^{r,s}$, then $i$ stops his own execution of Step $s$ right away. $\bullet$ If $i \in SV^{r,s}$ then he does the follows. – He waits until an amount of time $t_s \triangleq (2s - 3)\lambda + \Lambda$ has passed. – Ending Condition 0: The same instructions as Coin-Fixed-To-0 steps. – Ending Condition 1: The same instructions as Coin-Fixed-To-0 steps. – Otherwise, at the end of the wait, user $i$ does the following. He sets $v_i$ to be the majority vote of the $v_j$'s in the second components of all the valid $m_j^{r,s-1}$'s he has received. He computes $b_i$ as follows. If more than $2/3$ of all the valid $m_j^{r,s-1}$'s he has received are of the form $(\text{ESIG}_j(0), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, then he sets $b_i \triangleq 0$. Else, if more than $2/3$ of all the valid $m_j^{r,s-1}$'s he has received are of the form $(\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, then he sets $b_i \triangleq 1$. Else, let $SV_i^{r,s-1}$ be the set of $(r, s - 1)$-verifiers from whom he has received a valid message $m_j^{r,s-1}$. He sets $b_i \triangleq \text{lsb}(\min_{j \in SV_i^{r,s-1}} H(\sigma_j^{r,s-1}))$. He computes the message $m_i^{r,s} \triangleq (\text{ESIG}_i(b_i), \text{ESIG}_i(v_i), \sigma_i^{r,s})$, destroys his ephemeral secret key $sk_i^{r,s}$, and then propagates $m_i^{r,s}$.

Step $m + 3$: The Last Step of $\text{BBA}^\star$a Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step $m + 3$ of round $r$ as soon as he knows $B_{r-1}$. $\bullet$ User $i$ computes $Q_{r-1}$ from the third component of $B_{r-1}$ and checks whether $i \in SV^{r,m+3}$ or not. $\bullet$ If $i \notin SV^{r,m+3}$, then $i$ stops his own execution of Step $m + 3$ right away. $\bullet$ If $i \in SV^{r,m+3}$ then he does the follows. – He waits until an amount of time $t_{m+3} \triangleq t_{m+2} + 2\lambda = (2m + 3)\lambda + \Lambda$ has passed. – Ending Condition 0: The same instructions as Coin-Fixed-To-0 steps. – Ending Condition 1: The same instructions as Coin-Fixed-To-0 steps. – Otherwise, at the end of the wait, user $i$ does the following. He sets $out_i \triangleq 1$ and $B_r \triangleq B_\epsilon^r$. He computes the message $m_i^{r,m+3} = (\text{ESIG}_i(out_i), \text{ESIG}_i(H(B_r)), \sigma_i^{r,m+3})$, destroys his ephemeral secret key $sk_i^{r,m+3}$, and then propagates $m_i^{r,m+3}$ to certify $B_r$.b aWith overwhelming probability $\text{BBA}^\star$ has ended before this step, and we specify this step for completeness. bA certificate from Step $m + 3$ does not have to include $\text{ESIG}_i(out_i)$. We include it for uniformity only: the certificates now have a uniform format no matter in which step they are generated.

Reconstruction of the Round-$r$ Block by Non-Verifiers Instructions for every user $i$ in the system: User $i$ starts his own round $r$ as soon as he knows $B_{r-1}$, and waits for block information as follows. – If, during such waiting and at any point of time, there exists a string $v$ and a step $s'$ such that (a) $5 \leq s' \leq m + 3$ with $s' - 2 \equiv 0 \bmod 3$, (b) $i$ has received at least $t_H$ valid messages $m_j^{r,s'-1} = (\text{ESIG}_j(0), \text{ESIG}_j(v), \sigma_j^{r,s'-1})$, and (c) $i$ has received a valid message $m_j^{r,1} = (B_j^r, esig_j(H(B_j^r)), \sigma_j^{r,1})$ with $v = H(B_j^r)$, then, $i$ stops his own execution of round $r$ right away; sets $B_r = B_j^r$; and sets his own $\text{CERT}^r$ to be the set of messages $m_j^{r,s'-1}$ of sub-step (b). – If, during such waiting and at any point of time, there exists a step $s'$ such that (a') $6 \leq s' \leq m + 3$ with $s' - 2 \equiv 1 \bmod 3$, and (b') $i$ has received at least $t_H$ valid messages $m_j^{r,s'-1} = (\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,s'-1})$, then, $i$ stops his own execution of round $r$ right away; sets $B_r = B_\epsilon^r$; and sets his own $\text{CERT}^r$ to be the set of messages $m_j^{r,s'-1}$ of sub-step (b'). – If, during such waiting and at any point of time, $i$ has received at least $t_H$ valid messages $m_j^{r,m+3} = (\text{ESIG}_j(1), \text{ESIG}_j(H(B_\epsilon^r)), \sigma_j^{r,m+3})$, then $i$ stops his own execution of round $r$ right away, sets $B_r = B_\epsilon^r$, and sets his own $\text{CERT}^r$ to be the set of messages $m_j^{r,m+3}$ for 1 and $H(B_\epsilon^r)$. 5.5 Analysis of $\text{Algorand}'_1$ We introduce the following notations for each round $r \geq 0$, used in the analysis. $\bullet$ Let $T^r$ be the time when the first honest user knows $B_{r-1}$. $\bullet$ Let $I^{r+1}$ be the interval $[T^{r+1}, T^{r+1} + \lambda]$. Note that $T^0 = 0$ by the initialization of the protocol. For each $s \geq 1$ and $i \in SV^{r,s}$, recall that $\alpha_i^{r,s}$

and $\beta_i^{r,s}$ are respectively the starting time and the ending time of player $i$'s step $s$. Moreover, recall that $t_s = (2s - 3)\lambda + \Lambda$ for each $2 \leq s \leq m + 3$. In addition, let $I_0 \triangleq \{0\}$ and $t_1 \triangleq 0$. Finally, recall that $L_r \leq m/3$ is a random variable representing the number of Bernoulli trials needed to see a 1, when each trial is 1 with probability $\frac{p_h}{2}$ and there are at most $m/3$ trials. If all trials fail then $L_r \triangleq m/3$. In the analysis we ignore computation time, as it is in fact negligible relative to the time needed to propagate messages. In any case, by using slightly larger $\lambda$ and $\Lambda$, the computation time can be incorporated into the analysis directly. Most of the statements below hold “with overwhelming probability,” and we may not repeatedly emphasize this fact in the analysis.

5.6 Main Theorem Theorem 5.1. The following properties hold with overwhelming probability for each round $r \geq 0$: 1. All honest users agree on the same block $B_r$. 2. When the leader $\ell_r$ is honest, the block $B_r$ is generated by $\ell_r$, $B_r$ contains a maximal payset received by $\ell_r$ by time $\alpha_{\ell_r}^{r,1}$, $T^{r+1} \leq T^r + 8\lambda + \Lambda$ and all honest users know $B_r$ in the time interval $I_{r+1}$. 3. When the leader $\ell_r$ is malicious, $T^{r+1} \leq T^r + (6L_r + 10)\lambda + \Lambda$ and all honest users know $B_r$ in the time interval $I_{r+1}$. 4. $p_h = h^2(1 + h - h^2)$ for $L_r$, and the leader $\ell_r$ is honest with probability at least $p_h$. Before proving our main theorem, let us make two remarks. Remarks. • Block-Generation and True Latency. The time to generate block $B_r$ is deﬁned to be $T^{r+1} - T^r$. That is, it is deﬁned to be the diﬀerence between the ﬁrst time some honest user learns $B_r$ and the ﬁrst time some honest user learns $B_{r-1}$. When the round-$r$ leader is honest, Property 2 our main theorem guarantees that the exact time to generate $B_r$ is $8\lambda + \Lambda$ time, no matter what the precise value of $h > 2/3$ may be. When the leader is malicious, Property 3 implies that the expected time to generate $B_r$ is upperbounded by $(\frac{12}{p_h} + 10)\lambda + \Lambda$, again no matter the precise value of $h$.18 However, the expected time to generate $B_r$ depends on the precise value of $h$. Indeed, by Property 4, $p_h = h^2(1 + h - h^2)$ and the leader is honest with probability at least $p_h$, thus $E[T^{r+1} - T^r] \leq h^2(1 + h - h^2) \cdot (8\lambda + \Lambda) + (1 - h^2(1 + h - h^2))((\frac{12}{h^2(1 + h - h^2)} + 10)\lambda + \Lambda)$. For instance, if $h = 80\%$, then $E[T^{r+1} - T^r] \leq 12.7\lambda + \Lambda$. • $\lambda$ vs. $\Lambda$. Note that the size of the messages sent by the veriﬁers in a step $\text{Algorand}^\prime$ is dominated by the length of the digital signature keys, which can remain ﬁxed, even when the number of users is enormous. Also note that, in any step $s > 1$, the same expected number $n$ of veriﬁers can be used whether the number of users is 100K, 100M, or 100M. This is so because $n$ solely depends on $h$ and $F$. In sum, therefore, barring a sudden need to increase secret key length, the value of $\lambda$ should remain the same no matter how large the number of users may be in the foreseeable future. By contrast, for any transaction rate, the number of transactions grows with the number of users. Therefore, to process all new transactions in a timely fashion, the size of a block should also grow with the number of users, causing $\Lambda$ to grow too. Thus, in the long run, we should have $\lambda \ll \Lambda$. Accordingly, it is proper to have a larger coeﬃcient for $\lambda$, and actually a coeﬃcient of 1 for $\Lambda$. Proof of Theorem 5.1. We prove Properties 1–3 by induction: assuming they hold for round $r - 1$ (without loss of generality, they automatically hold for "round -1" when $r = 0$), we prove them for round $r$. 18Indeed, $E[T^{r+1} - T^r] \leq (6E[L_r] + 10)\lambda + \Lambda = (6 \cdot \frac{2}{p_h} + 10)\lambda + \Lambda = (\frac{12}{p_h} + 10)\lambda + \Lambda$.

Since $B_{r-1}$ is uniquely deﬁned by the inductive hypothesis, the set $SV^{r,s}$ is uniquely deﬁned for each step $s$ of round $r$. By the choice of $n_1$, $SV^{r,1} \neq \emptyset$ with overwhelming probability. We now state the following two lemmas, proved in Sections 5.7 and 5.8. Throughout the induction and in the proofs of the two lemmas, the analysis for round 0 is almost the same as the inductive step, and we will highlight the diﬀerences when they occur. Lemma 5.2. [Completeness Lemma] Assuming Properties 1–3 hold for round $r-1$, when the leader $\ell_r$ is honest, with overwhelming probability, • All honest users agree on the same block $B_r$, which is generated by $\ell_r$ and contains a maximal payset received by $\ell_r$ by time $\alpha_{\ell_r}^{r,1} \in I_r$; and • $T^{r+1} \leq T^r + 8\lambda + \Lambda$ and all honest users know $B_r$ in the time interval $I_{r+1}$. Lemma 5.3. [Soundness Lemma] Assuming Properties 1–3 hold for round $r - 1$, when the leader $\ell_r$ is malicious, with overwhelming probability, all honest users agree on the same block $B_r$, $T^{r+1} \leq T^r + (6L_r + 10)\lambda + \Lambda$ and all honest users know $B_r$ in the time interval $I_{r+1}$. Properties 1–3 hold by applying Lemmas 5.2 and 5.3 to r = 0 and to the inductive step. Finally, we restate Property 4 as the following lemma, proved in Section 5.9. Lemma 5.4. Given Properties 1–3 for each round before $r$, $p_h = h^2(1 + h - h^2)$ for $L_r$, and the leader $\ell_r$ is honest with probability at least $p_h$. Combining the above three lemmas together, Theorem 5.1 holds. ■ The lemma below states several important properties about round $r$ given the inductive hypothesis, and will be used in the proofs of the above three lemmas. Lemma 5.5. Assume Properties 1–3 hold for round $r - 1$. For each step $s \geq 1$ of round $r$ and each honest veriﬁer $i \in HSV^{r,s}$, we have that (a) $\alpha_i^{r,s} \in I_r$; (b) if player $i$ has waited an amount of time $t_s$, then $\beta_i^{r,s} \in [T^r + t_s, T^r + \lambda + t_s]$ for $r > 0$ and $\beta_i^{r,s} = t_s$ for $r = 0$; and (c) if player $i$ has waited an amount of time $t_s$, then by time $\beta_i^{r,s}$, he has received all messages sent by all honest veriﬁers $j \in HSV^{r,s'}$ for all steps $s' < s$. Moreover, for each step $s \geq 3$, we have that (d) there do not exist two diﬀerent players $i, i' \in SV^{r,s}$ and two diﬀerent values $v, v'$ of the same length, such that both players have waited an amount of time $t_s$, more than 2/3 of all the valid messages $m_j^{r,s-1}$ player $i$ receives have signed for $v$, and more than 2/3 of all the valid messages $m_j^{r,s-1}$ player $i'$ receives have signed for $v'$. Proof. Property (a) follows directly from the inductive hypothesis, as player $i$ knows $B_{r-1}$ in the time interval $I_r$ and starts his own step $s$ right away. Property (b) follows directly from (a): since player $i$ has waited an amount of time $t_s$ before acting, $\beta_i^{r,s} = \alpha_i^{r,s} + t_s$. Note that $\alpha_i^{r,s} = 0$ for $r = 0$. We now prove Property (c). If $s = 2$, then by Property (b), for all veriﬁers $j \in HSV^{r,1}$ we have $\beta_i^{r,s} = \alpha_i^{r,s} + t_s \geq T^r + t_s = T^r + \lambda + \Lambda \geq \beta_j^{r,1} + \Lambda$.

Since each veriﬁer $j \in HSV^{r,1}$ sends his message at time $\beta_j^{r,1}$ and the message reaches all honest users in at most $\Lambda$ time, by time $\beta_i^{r,s}$ player $i$ has received the messages sent by all veriﬁers in $HSV^{r,1}$ as desired. If $s > 2$, then $t_s = t_{s-1} + 2\lambda$. By Property (b), for all steps $s' < s$ and all veriﬁers $j \in HSV^{r,s'}$, $\beta_i^{r,s} = \alpha_i^{r,s} + t_s \geq T^r + t_s = T^r + t_{s-1} + 2\lambda \geq T^r + t_{s'} + 2\lambda = T^r + \lambda + t_{s'} + \lambda \geq \beta_j^{r,s'} + \lambda$. Since each veriﬁer $j \in HSV^{r,s'}$ sends his message at time $\beta_j^{r,s'}$ and the message reaches all honest users in at most $\lambda$ time, by time $\beta_i^{r,s}$ player $i$ has received all messages sent by all honest veriﬁers in $HSV^{r,s'}$ for all $s' < s$. Thus Property (c) holds. Finally, we prove Property (d). Note that the veriﬁers $j \in SV^{r,s-1}$ sign at most two things in Step $s - 1$ using their ephemeral secret keys: a value $v_j$ of the same length as the output of the hash function, and also a bit $b_j \in \{0, 1\}$ if $s - 1 \geq 4$. That is why in the statement of the lemma we require that $v$ and $v'$ have the same length: many veriﬁers may have signed both a hash value $v$ and a bit $b$, thus both pass the 2/3 threshold. Assume for the sake of contradiction that there exist the desired veriﬁers $i, i'$ and values $v, v'$. Note that some malicious veriﬁers in $MSV^{r,s-1}$ may have signed both $v$ and $v'$, but each honest veriﬁer in $HSV^{r,s-1}$ has signed at most one of them. By Property (c), both $i$ and $i'$ have received all messages sent by all honest veriﬁers in $HSV^{r,s-1}$. Let $HSV^{r,s-1}(v)$ be the set of honest $(r, s - 1)$-veriﬁers who have signed $v$, $MSV_i^{r,s-1}$ the set of malicious $(r, s - 1)$-veriﬁers from whom $i$ has received a valid message, and $MSV_i^{r,s-1}(v)$ the subset of $MSV_i^{r,s-1}$ from whom $i$ has received a valid message signing $v$. By the requirements for $i$ and $v$, we have $\text{ratio} \triangleq \frac{|HSV^{r,s-1}(v)| + |MSV_i^{r,s-1}(v)|}{|HSV^{r,s-1}| + |MSV_i^{r,s-1}|} > \frac{2}{3}$. (1) We ﬁrst show $|MSV_i^{r,s-1}(v)| \leq |HSV^{r,s-1}(v)|$. (2) Assuming otherwise, by the relationships among the parameters, with overwhelming probability $|HSV^{r,s-1}| > 2|MSV^{r,s-1}| \geq 2|MSV_i^{r,s-1}|$, thus $\text{ratio} < \frac{|HSV^{r,s-1}(v)| + |MSV_i^{r,s-1}(v)|}{3|MSV_i^{r,s-1}|} < \frac{2|MSV_i^{r,s-1}(v)|}{3|MSV_i^{r,s-1}|} \leq \frac{2}{3},$ contradicting Inequality 1. Next, by Inequality 1 we have $2|HSV^{r,s-1}| + 2|MSV_i^{r,s-1}| < 3|HSV^{r,s-1}(v)| + 3|MSV_i^{r,s-1}(v)| \leq 3|HSV^{r,s-1}(v)| + 2|MSV_i^{r,s-1}| + |MSV_i^{r,s-1}(v)|.$ Combining with Inequality 2, $2|HSV^{r,s-1}| < 3|HSV^{r,s-1}(v)| + |MSV_i^{r,s-1}(v)| \leq 4|HSV^{r,s-1}(v)|,$ which implies $|HSV^{r,s-1}(v)| > \frac{1}{2}|HSV^{r,s-1}|.$

Similarly, by the requirements for $i'$ and $v'$, we have $|HSV^{r,s-1}(v')| > \frac{1}{2}|HSV^{r,s-1}|.$ Since an honest verifier $j \in HSV^{r,s-1}$ destroys his ephemeral secret key $sk_j^{r,s-1}$ before propagating his message, the Adversary cannot forge $j$'s signature for a value that $j$ did not sign, after learning that $j$ is a verifier. Thus, the two inequalities above imply $|HSV^{r,s-1}| \geq |HSV^{r,s-1}(v)| +$ $|HSV^{r,s-1}(v')| > |HSV^{r,s-1}|$, a contradiction. Accordingly, the desired $i, i', v, v'$ do not exist, and Property (d) holds. ■ 5.7 The Completeness Lemma Lemma 5.2. [Completeness Lemma, restated] Assuming Properties 1–3 hold for round $r-1$, when the leader $\ell_r$ is honest, with overwhelming probability, - All honest users agree on the same block $B_r$, which is generated by $\ell_r$ and contains a maximal payset received by $\ell_r$ by time $\alpha_{\ell_r}^{r,1} \in I_r$; and - $T^{r+1} \leq T^r + 8\lambda + \Lambda$ and all honest users know $B_r$ in the time interval $I_{r+1}$. Proof. By the inductive hypothesis and Lemma 5.5, for each step $s$ and verifier $i \in HSV^{r,s}$, $\alpha_i^{r,s} \in I_r$. Below we analyze the protocol step by step. Step 1. By definition, every honest verifier $i \in HSV^{r,1}$ propagates the desired message $m_i^{r,1}$ at time $\beta_i^{r,1} = \alpha_i^{r,1}$, where $m_i^{r,1} = (B_i^r, \text{esig}_i(H(B_i^r)), \sigma_i^{r,1})$, $B_i^r = (r, PAY_i^r, \text{SIG}_i(Q_{r-1}), H(B_{r-1}))$, and $PAY_i^r$ is a maximal payset among all payments that $i$ has seen by time $\alpha_i^{r,1}$. Step 2. Arbitrarily fix an honest verifier $i \in HSV^{r,2}$. By Lemma 5.5, when player $i$ is done waiting at time $\beta_i^{r,2} = \alpha_i^{r,2} + t_2$, he has received all messages sent by verifiers in $HSV^{r,1}$, including $m_{\ell_r}^{r,1}$. By the definition of $\ell_r$, there does not exist another player in $PK^{r-k}$ whose credential's hash value is smaller than $H(\sigma_{\ell_r}^{r,1})$. Of course, the Adversary can corrupt $\ell_r$ after seeing that $H(\sigma_{\ell_r}^{r,1})$ is very small, but by that time player $\ell_r$ has destroyed his ephemeral key and the message $m_{\ell_r}^{r,1}$ has been propagated. Thus verifier $i$ sets his own leader to be player $\ell_r$. Accordingly, at time $\beta_i^{r,2}$, verifier $i$ propagates $m_i^{r,2} = (\text{ESIG}_i(v'_i), \sigma_i^{r,2})$, where $v'_i = H(B_{\ell_r}^r)$. When $r = 0$, the only difference is that $\beta_i^{r,2} = t_2$ rather than being in a range. Similar things can be said for future steps and we will not emphasize them again. Step 3. Arbitrarily fix an honest verifier $i \in HSV^{r,3}$. By Lemma 5.5, when player $i$ is done waiting at time $\beta_i^{r,3} = \alpha_i^{r,3} + t_3$, he has received all messages sent by verifiers in $HSV^{r,2}$. By the relationships among the parameters, with overwhelming probability $|HSV^{r,2}| >$ $2|MSV^{r,2}|$. Moreover, no honest verifier would sign contradicting messages, and the Adversary cannot forge a signature of an honest verifier after the latter has destroyed his corresponding ephemeral secret key. Thus more than 2/3 of all the valid $(r, 2)$-messages $i$ has received are from honest verifiers and of the form $m_j^{r,2} = (\text{ESIG}_j(H(B_{\ell_r}^r)), \sigma_j^{r,2})$, with no contradiction. Accordingly, at time $\beta_i^{r,3}$ player $i$ propagates $m_i^{r,3} = (\text{ESIG}_i(v'), \sigma_i^{r,3})$, where $v' = H(B_{\ell_r}^r)$.

Step 4. Arbitrarily fix an honest verifier $i \in HSV^{r,4}$. By Lemma 5.5, player $i$ has received all messages sent by verifiers in $HSV^{r,3}$ when he is done waiting at time $\beta_i^{r,4} = \alpha_i^{r,4} + t_4$. Similar to Step 3, more than 2/3 of all the valid $(r, 3)$-messages $i$ has received are from honest verifiers and of the form $m_j^{r,3} = (\text{ESIG}_j(H(B_{\ell_r}^r)), \sigma_j^{r,3})$. Accordingly, player $i$ sets $v_i = H(B_{\ell_r}^r)$, $g_i = 2$ and $b_i = 0$. At time $\beta_i^{r,4} = \alpha_i^{r,4} + t_4$ he propagates $m_i^{r,4} = (\text{ESIG}_i(0), \text{ESIG}_i(H(B_{\ell_r}^r)), \sigma_i^{r,4})$. Step 5. Arbitrarily fix an honest verifier $i \in HSV^{r,5}$. By Lemma 5.5, player $i$ would have received all messages sent by the verifiers in $HSV^{r,4}$ if he has waited till time $\alpha_i^{r,5} + t_5$. Note that $|HSV^{r,4}| \geq t_H$.19 Also note that all verifiers in $HSV^{r,4}$ have signed for $H(B_{\ell_r}^r)$. As $|MSV^{r,4}| < t_H$, there does not exist any $v' \neq H(B_{\ell_r}^r)$ that could have been signed by $t_H$ verifiers in $SV^{r,4}$ (who would necessarily be malicious), so player $i$ does not stop before he has received $t_H$ valid messages $m_j^{r,4} = (\text{ESIG}_j(0), \text{ESIG}_j(H(B_{\ell_r}^r)), \sigma_j^{r,4})$. Let $T$ be the time when the latter event happens. Some of those messages may be from malicious players, but because $|MSV^{r,4}| < t_H$, at least one of them is from an honest verifier in $HSV^{r,4}$ and is sent after time $T^r + t_4$. Accordingly, $T \geq T^r + t_4 > T^r + \lambda + \Lambda \geq \beta_{\ell_r}^{r,1} + \Lambda$, and by time $T$ player $i$ has also received the message $m_{\ell_r}^{r,1}$. By the construction of the protocol, player $i$ stops at time $\beta_i^{r,5} = T$ without propagating anything; sets $B_r = B_{\ell_r}^r$; and sets his own $\text{CERT}^r$ to be the set of $(r, 4)$-messages for 0 and $H(B_{\ell_r}^r)$ that he has received. Step $s > 5$. Similarly, for any step $s > 5$ and any verifier $i \in HSV^{r,s}$, player $i$ would have received all messages sent by the verifiers in $HSV^{r,4}$ if he has waited till time $\alpha_i^{r,s} + t_s$. By the same analysis, player $i$ stops without propagating anything, setting $B_r = B_{\ell_r}^r$ (and setting his own $\text{CERT}^r$ properly). Of course, the malicious verifiers may not stop and may propagate arbitrary messages, but because $|MSV^{r,s}| < t_H$, by induction no other $v'$ could be signed by $t_H$ verifiers in any step $4 \leq s' < s$, thus the honest verifiers only stop because they have received $t_H$ valid $(r, 4)$-messages for 0 and $H(B_{\ell_r}^r)$. Reconstruction of the Round-$r$ Block. The analysis of Step 5 applies to a generic honest user $i$ almost without any change. Indeed, player $i$ starts his own round $r$ in the interval $I_r$ and will only stop at a time $T$ when he has received $t_H$ valid $(r, 4)$-messages for $H(B_{\ell_r}^r)$. Again because at least one of those messages are from honest verifiers and are sent after time $T^r + t_4$, player $i$ has also received $m_{\ell_r}^{r,1}$ by time $T$. Thus he sets $B_r = B_{\ell_r}^r$ with the proper $\text{CERT}^r$. It only remains to show that all honest users finish their round $r$ within the time interval $I_{r+1}$. By the analysis of Step 5, every honest verifier $i \in HSV^{r,5}$ knows $B_r$ on or before $\alpha_i^{r,5} + t_5 \leq$ $T^r + \lambda + t_5 = T^r + 8\lambda + \Lambda$. Since $T^{r+1}$ is the time when the first honest user $i_r$ knows $B_r$, we have $T^{r+1} \leq T^r + 8\lambda + \Lambda$ as desired. Moreover, when player $i_r$ knows $B_r$, he has already helped propagating the messages in his $\text{CERT}^r$. Note that all those messages will be received by all honest users within time $\lambda$, even if 19Strictly speaking, this happens with very high probability but not necessarily overwhelming. However, this probability slightly effects the running time of the protocol, but does not affect its correctness. When $h = 80\%$, then $|HSV^{r,4}| \geq t_H$ with probability $1 - 10^{-8}$. If this event does not occur, then the protocol will continue for another 3 steps. As the probability that this does not occur in two steps is negligible, the protocol will finish at Step 8. In expectation, then, the number of steps needed is almost 5.

player $i_r$ were the first player to propagate them. Moreover, following the analysis above we have $T^{r+1} \geq T^r + t_4 \geq \beta_{\ell_r}^{r,1} + \Lambda$, thus all honest users have received $m_{\ell_r}^{r,1}$ by time $T^{r+1} + \lambda$. Accordingly, all honest users know $B_r$ in the time interval $I_{r+1} = [T^{r+1}, T^{r+1} + \lambda]$. Finally, for $r = 0$ we actually have $T^1 \leq t_4 + \lambda = 6\lambda + \Lambda$. Combining everything together, Lemma 5.2 holds. ■ 5.8 The Soundness Lemma Lemma 5.3. [Soundness Lemma, restated] Assuming Properties 1–3 hold for round $r - 1$, when the leader $\ell_r$ is malicious, with overwhelming probability, all honest users agree on the same block $B_r$, $T^{r+1} \leq T^r + (6L_r + 10)\lambda + \Lambda$ and all honest users know $B_r$ in the time interval $I_{r+1}$. Proof. We consider the two parts of the protocol, GC and $\text{BBA}^\star$, separately. GC. By the inductive hypothesis and by Lemma 5.5, for any step $s \in \{2, 3, 4\}$ and any honest verifier $i \in HSV^{r,s}$, when player $i$ acts at time $\beta_i^{r,s} = \alpha_i^{r,s} + t_s$, he has received all messages sent by all the honest verifiers in steps $s' < s$. We distinguish two possible cases for step 4. Case 1. No verifier $i \in HSV^{r,4}$ sets $g_i = 2$. In this case, by definition $b_i = 1$ for all verifiers $i \in HSV^{r,4}$. That is, they start with an agreement on 1 in the binary BA protocol. They may not have an agreement on their $v_i$'s, but this does not matter as we will see in the binary BA. Case 2. There exists a verifier $\hat{i} \in HSV^{r,4}$ such that $g_{\hat{i}} = 2$. In this case, we show that (1) $g_i \geq 1$ for all $i \in HSV^{r,4}$, (2) there exists a value $v'$ such that $v_i = v'$ for all $i \in HSV^{r,4}$, and (3) there exists a valid message $m_\ell^{r,1}$ from some verifier $\ell \in SV^{r,1}$ such that $v' = H(B_\ell^r)$. Indeed, since player $\hat{i}$ is honest and sets $g_{\hat{i}} = 2$, more than 2/3 of all the valid messages $m_j^{r,3}$ he has received are for the same value $v' \neq \bot$, and he has set $v_{\hat{i}} = v'$. By Property (d) in Lemma 5.5, for any other honest $(r, 4)$-verifier $i$, it cannot be that more than 2/3 of all the valid messages $m_j^{r,3}$ that $i'$ has received are for the same value $v'' \neq v'$. Accordingly, if $i$ sets $g_i = 2$, it must be that $i$ has seen > 2/3 majority for $v'$ as well and set $v_i = v'$, as desired. Now consider an arbitrary verifier $i \in HSV^{r,4}$ with $g_i < 2$. Similar to the analysis of Property (d) in Lemma 5.5, because player $\hat{i}$ has seen > 2/3 majority for $v'$, more than $\frac{1}{2}|HSV^{r,3}|$ honest $(r, 3)$-verifiers have signed $v'$. Because $i$ has received all messages by honest $(r, 3)$-verifiers by time $\beta_i^{r,4} = \alpha_i^{r,4} + t_4$, he has in particular received more than $\frac{1}{2}|HSV^{r,3}|$ messages from them for $v'$. Because $|HSV^{r,3}| > 2|MSV^{r,3}|$, $i$ has seen > 1/3 majority for $v'$. Accordingly, player $i$ sets $g_i = 1$, and Property (1) holds. Does player $i$ necessarily set $v_i = v'$? Assume there exists a different value $v'' \neq \bot$ such that player $i$ has also seen > 1/3 majority for $v''$. Some of those messages may be from malicious verifiers, but at least one of them is from some honest verifier $j \in HSV^{r,3}$: indeed, because $|HSV^{r,3}| > 2|MSV^{r,3}|$ and $i$ has received all messages from $HSV^{r,3}$, the set of malicious verifiers from whom $i$ has received a valid $(r, 3)$-message counts for < 1/3 of all the valid messages he has received.

By definition, player j must have seen > 2/3 majority for $v''$ among all the valid (r, 2)-messages he has received. However, we already have that some other honest (r, 3)-verifiers have seen

2/3 majority for $v'$ (because they signed $v'$). By Property (d) of Lemma 5.5, this cannot happen and such a value $v''$ does not exist. Thus player i must have set $v_i = v'$ as desired, and Property (2) holds. Finally, given that some honest (r, 3)-verifiers have seen > 2/3 majority for $v'$, some (actually, more than half of) honest (r, 2)-verifiers have signed for $v'$ and propagated their messages. By the construction of the protocol, those honest (r, 2)-verifiers must have received a valid message $m_\ell^{r,1}$ from some player $\ell \in SV^{r,1}$ with $v'$ = $H(B_\ell^r)$, thus Property (3) holds. $\text{BBA}^\star$. We again distinguish two cases. Case 1. All verifiers $i \in HSV^{r,4}$ have $b_i = 1$. This happens following Case 1 of GC. As $|MSV^{r,4}|$ < $t_H$, in this case no verifier in $SV^{r,5}$ could collect or generate $t_H$ valid (r, 4)-messages for bit 0. Thus, no honest verifier in $HSV^{r,5}$ would stop because he knows a non-empty block $B_r$. Moreover, although there are at least $t_H$ valid $(r, 4)$-messages for bit 1, $s' = 5$ does not satisfy $s' - 2 \equiv 1 \mod 3$, thus no honest verifier in $HSV^{r,5}$ would stop because he knows $B_r = B_\epsilon^r$. Instead, every verifier $i \in HSV^{r,5}$ acts at time $\beta_i^{r,5} = \alpha_i^{r,5} + t_5$, by when he has received all messages sent by $HSV^{r,4}$ following Lemma 5.5. Thus player $i$ has seen > 2/3 majority for 1 and sets $b_i = 1$. In Step 6 which is a Coin-Fixed-To-1 step, although $s' = 5$ satisfies $s' - 2 \equiv 0 \mod 3$, there do not exist $t_H$ valid $(r, 4)$-messages for bit 0, thus no verifier in $HSV^{r,6}$ would stop because he knows a non-empty block $B_r$. However, with $s' = 6$, $s' - 2 \equiv 1 \mod 3$ and there do exist $|HSV^{r,5}| \geq t_H$ valid $(r, 5)$-messages for bit 1 from $HSV^{r,5}$. For every verifier $i \in HSV^{r,6}$, following Lemma 5.5, on or before time $\alpha_i^{r,6} + t_6$ player $i$ has received all messages from $HSV^{r,5}$, thus $i$ stops without propagating anything and sets $B_r = B_\epsilon^r$. His $\text{CERT}^r$ is the set of $t_H$ valid $(r, 5)$-messages $m_j^{r,5} = (\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,5})$ received by him when he stops. Next, let player $i$ be either an honest verifier in a step $s > 6$ or a generic honest user (i.e., non-verifier). Similar to the proof of Lemma 5.2, player $i$ sets $B_r = B_\epsilon^r$ and sets his own $\text{CERT}^r$ to be the set of $t_H$ valid $(r, 5)$-messages $m_j^{r,5} = (\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,5})$ he has received. Finally, similar to Lemma 5.2, $T^{r+1} \leq \min_{i \in HSV^{r,6}} \alpha_i^{r,6} + t_6 \leq T^r + \lambda + t_6 = T^r + 10\lambda + \Lambda,$ and all honest users know $B_r$ in the time interval $I_{r+1}$, because the first honest user $i$ who knows $B_r$ has helped propagating the $(r, 5)$-messages in his $\text{CERT}^r$. Case 2. There exists a verifier $\hat{i} \in HSV^{r,4}$ with $b_{\hat{i}} = 0$. This happens following Case 2 of GC and is the more complex case. By the analysis of GC, in this case there exists a valid message $m_\ell^{r,1}$ such that $v_i = H(B_\ell^r)$ for all $i \in HSV^{r,4}$. Note that the verifiers in $HSV^{r,4}$ may not have an agreement on their $b_i$'s. For any step $s \in \{5, \ldots, m + 3\}$ and verifier $i \in HSV^{r,s}$, by Lemma 5.5 player $i$ would have received all messages sent by all honest verifiers in $HSV^{r,4} \cup \cdots \cup HSV^{r,s-1}$ if he has waited for time $t_s$.

We now consider the following event E: there exists a step $s^* \geq 5$ such that, for the first time in the binary BA, some player $i^* \in SV^{r,s^*}$ (whether malicious or honest) should stop without propagating anything. We use "should stop" to emphasize the fact that, if player $i^*$ is malicious, then he may pretend that he should not stop according to the protocol and propagate messages of the Adversary's choice. Moreover, by the construction of the protocol, either (E.a) $i^*$ is able to collect or generate at least $t_H$ valid messages $m_j^{r,s'-1} = (\text{ESIG}_j(0), \text{ESIG}_j(v), \sigma_j^{r,s'-1})$ for the same $v$ and $s'$, with $5 \leq s' \leq s^*$ and $s' - 2 \equiv 0 \mod 3$; or (E.b) $i^*$ is able to collect or generate at least $t_H$ valid messages $m_j^{r,s'-1} = (\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,s'-1})$ for the same $s'$, with $6 \leq s' \leq s^*$ and $s' - 2 \equiv 1 \mod 3$. Because the honest $(r, s' - 1)$-messages are received by all honest $(r, s')$-verifiers before they are done waiting in Step $s'$, and because the Adversary receives everything no later than the honest users, without loss of generality we have $s' = s^*$ and player $i^*$ is malicious. Note that we did not require the value v in E.a to be the hash of a valid block: as it will become clear in the analysis, v = $H(B_\ell^r)$ in this sub-event. Below we first analyze Case 2 following event E, and then show that the value of $s^*$ is essentially distributed accordingly to $L_r$ (thus event E happens before Step m + 3 with overwhelming probability given the relationships for parameters). To begin with, for any step $5 \leq s < s^*$, every honest verifier $i \in HSV^{r,s}$ has waited time $t_s$ and set $v_i$ to be the majority vote of the valid $(r, s-1)$-messages he has received. Since player $i$ has received all honest $(r, s-1)$-messages following Lemma 5.5, since all honest verifiers in $HSV^{r,4}$ have signed $H(B_\ell^r)$ following Case 2 of GC, and since $|HSV^{r,s-1}| > 2|MSV^{r,s-1}|$ for each $s$, by induction we have that player $i$ has set $v_i = H(B_\ell^r)$. The same holds for every honest verifier $i \in HSV^{r,s^*}$ who does not stop without propagating anything. Now we consider Step $s^*$ and distinguish four subcases. Case 2.1.a. Event E.a happens and there exists an honest verifier $i' \in HSV^{r,s^*}$ who should also stop without propagating anything. In this case, we have $s^* - 2 \equiv 0 \mod 3$ and Step $s^*$ is a Coin-Fixed-To-0 step. By definition, player $i'$ has received at least $t_H$ valid (r, $s^* - 1$)-messages of the form $(\text{ESIG}_j(0), \text{ESIG}_j(v), \sigma_j^{r,s^*-1})$. Since all verifiers in $HSV^{r,s^*-1}$ have signed $H(B_\ell^r)$ and $|MSV^{r,s^*-1}| < t_H$, we have v = $H(B_\ell^r)$. Since at least $t_H - |MSV^{r,s^*-1}| \geq 1$ of the (r, $s^* - 1$)-messages received by $i'$ for 0 and v are sent by verifiers in $HSV^{r,s^*-1}$ after time $T^r + t_{s^*-1} \geq T^r + t_4 \geq T^r + \lambda + \Lambda \geq \beta_{\ell}^{r,1} + \Lambda$, player $i'$ has received $m_\ell^{r,1}$ by the time he receives those (r, $s^* - 1$)-messages. Thus player $i'$ stops without propagating anything; sets $B_r = B_\ell^r$; and sets his own $\text{CERT}^r$ to be the set of valid (r, $s^* - 1$)-messages for 0 and v that he has received. Next, we show that, any other verifier $i \in HSV^{r,s^*}$ has either stopped with $B_r = B_\ell^r$, or has set $b_i = 0$ and propagated $(\text{ESIG}_i(0), \text{ESIG}_i(H(B_\ell^r)), \sigma_i^{r,s^*})$. Indeed, because Step $s^*$ is the first time some verifier should stop without propagating anything, there does not exist a step $s' < s^*$ with $s' - 2 \equiv 1 \mod 3$ such that $t_H$ $(r, s' - 1)$-verifiers have signed 1. Accordingly, no verifier in $HSV^{r,s^*}$ stops with $B_r = B_\epsilon^r$.

Moreover, as all honest verifiers in steps {4, 5, . . . , $s^* - 1$} have signed $H(B_\ell^r)$, there does not exist a step $s' \leq s^*$ with $s' - 2 \equiv 0 \mod 3$ such that $t_H$ $(r, s' - 1)$-verifiers have signed some $v'' \neq H(B_\ell^r)$ —indeed, $|MSV^{r,s'-1}| < t_H$. Accordingly, no verifier in $HSV^{r,s^*}$ stops with $B_r \neq B_\epsilon^r$ and $B_r \neq B_\ell^r$. That is, if a player $i \in HSV^{r,s^*}$ has stopped without propagating anything, he must have set $B_r = B_\ell^r$. If a player $i \in HSV^{r,s^*}$ has waited time $t_{s^*}$ and propagated a message at time $\beta_i^{r,s^*} = \alpha_i^{r,s^*} + t_{s^*}$, he has received all messages from $HSV^{r,s^*-1}$, including at least $t_H - |MSV^{r,s^*-1}|$ of them for 0 and v. If i has seen > 2/3 majority for 1, then he has seen more than $2(t_H - |MSV^{r,s^*-1}|)$ valid (r, $s^* - 1$)-messages for 1, with more than $2t_H - 3|MSV^{r,s^*-1}|$ of them from honest (r, $s^* - 1$)-verifiers. However, this implies $|HSV^{r,s^*-1}| \geq t_H - |MSV^{r,s^*-1}| + 2t_H - 3|MSV^{r,s^*-1}| > 2n - 4|MSV^{r,s^*-1}|$, contradicting the fact that $|HSV^{r,s^*-1}| + 4|MSV^{r,s^*-1}| < 2n$, which comes from the relationships for the parameters. Accordingly, i does not see > 2/3 majority for 1, and he sets $b_i = 0$ because Step $s^*$ is a Coin-Fixed-To-0 step. As we have seen, $v_i = H(B_\ell^r)$. Thus i propagates $(\text{ESIG}_i(0), \text{ESIG}_i(H(B_\ell^r)), \sigma_i^{r,s^*})$ as we wanted to show. For Step $s^* + 1$, since player $i'$ has helped propagating the messages in his $\text{CERT}^r$ on or before time $\alpha_{i'}^{r,s^*} + t_{s^*}$, all honest verifiers in $HSV^{r,s^*+1}$ have received at least $t_H$ valid (r, $s^* - 1$)-messages for bit 0 and value $H(B_\ell^r)$ on or before they are done waiting. Furthermore, verifiers in $HSV^{r,s^*+1}$ will not stop before receiving those (r, $s^* - 1$)- messages, because there do not exist any other $t_H$ valid $(r, s' - 1)$-messages for bit 1 with $s' - 2 \equiv 1 \mod 3$ and $6 \leq s' \leq s^* + 1$, by the definition of Step $s^*$. In particular, Step $s^* + 1$ itself is a Coin-Fixed-To-1 step, but no honest verifier in $HSV^{r,s^*}$ has propagated a message for 1, and $|MSV^{r,s^*}| < t_H$. Thus all honest verifiers in $HSV^{r,s^*+1}$ stop without propagating anything and set $B_r = B_\ell^r$: as before, they have received $m_\ell^{r,1}$ before they receive the desired (r, $s^* - 1$)-messages.20 The same can be said for all honest verifiers in future steps and all honest users in general. In particular, they all know $B_r = B_\ell^r$ within the time interval $I_{r+1}$ and $T^{r+1} \leq \alpha_{i'}^{r,s^*} + t_{s^*} \leq T^r + \lambda + t_{s^*}$. Case 2.1.b. Event E.b happens and there exists an honest verifier $i' \in HSV^{r,s^*}$ who should also stop without propagating anything. In this case we have $s^* - 2 \equiv 1 \mod 3$ and Step $s^*$ is a Coin-Fixed-To-1 step. The analysis is similar to Case 2.1.a and many details have been omitted. 20If $\ell$ is malicious, he might send out $m_\ell^{r,1}$ late, hoping that some honest users/verifiers have not received $m_\ell^{r,1}$ yet when they receive the desired certiﬁcate for it. However, since verifier $\hat{i} \in HSV^{r,4}$ has set $b_{\hat{i}} = 0$ and $v_{\hat{i}} = H(B_\ell^r)$, as before we have that more than half of honest verifiers $i \in HSV^{r,3}$ have set $v_i = H(B_\ell^r)$. This further implies more than half of honest verifiers $i \in HSV^{r,2}$ have set $v_i = H(B_\ell^r)$, and those (r, 2)-verifiers have all received $m_\ell^{r,1}$. As the Adversary cannot distinguish a verifier from a non-verifier, he cannot target the propagation of $m_\ell^{r,1}$ to (r, 2)-verifiers without having the non-verifiers seeing it. In fact, with high probability, more than half (or a good constant fraction) of all honest users have seen $m_\ell^{r,1}$ after waiting for $t_2$ from the beginning of their own round r. From here on, the time $\lambda'$ needed for $m_\ell^{r,1}$ to reach the remaining honest users is much smaller than $\Lambda$, and for simplicity we do not write it out in the analysis. If $4\lambda \geq \lambda'$ then the analysis goes through without any change: by the end of Step 4, all honest users would have received $m_\ell^{r,1}$. If the size of the block becomes enormous and $4\lambda < \lambda'$, then in Steps 3 and 4, the protocol could ask each verifier to wait for $\lambda'/2$ rather than $2\lambda$, and the analysis continues to hold.

As before, player $i'$ must have received at least $t_H$ valid (r, $s^* - 1$)-messages of the form $(\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,s^*-1})$. Again by the definition of $s^*$, there does not exist a step $5 \leq s' < s^*$ with $s' - 2 \equiv 0 \mod 3$, where at least $t_H$ $(r, s' - 1)$-verifiers have signed 0 and the same v. Thus player $i'$ stops without propagating anything; sets $B_r = B_\epsilon^r$; and sets his own $\text{CERT}^r$ to be the set of valid (r, $s^* - 1$)-messages for bit 1 that he has received. Moreover, any other verifier $i \in HSV^{r,s^*}$ has either stopped with $B_r = B_\epsilon^r$ , or has set $b_i = 1$ and propagated $(\text{ESIG}_i(1), \text{ESIG}_i(v_i), \sigma_i^{r,s^*})$. Since player $i'$ has helped propagating the (r, $s^* - 1$)-messages in his $\text{CERT}^r$ by time $\alpha_{i'}^{r,s^*} + t_{s^*}$, again all honest verifiers in $HSV^{r,s^*+1}$ stop without propagating anything and set $B_r = B_\epsilon^r$ . Similarly, all honest users know $B_r = B_\epsilon^r$ within the time interval $I_{r+1}$ and $T^{r+1} \leq \alpha_{i'}^{r,s^*} + t_{s^*} \leq T^r + \lambda + t_{s^*}$. Case 2.2.a. Event E.a happens and there does not exist an honest verifier $i' \in HSV^{r,s^*}$ who should also stop without propagating anything. In this case, note that player $i^*$ could have a valid $\text{CERT}_{i^*}^r$ consisting of the $t_H$ desired (r, $s^* - 1$)-messages the Adversary is able to collect or generate. However, the malicious verifiers may not help propagating those messages, so we cannot conclude that the honest users will receive them in time $\lambda$. In fact, $|MSV^{r,s^*-1}|$ of those messages may be from malicious (r, $s^* - 1$)-verifiers, who did not propagate their messages at all and only send them to the malicious verifiers in step $s^*$. Similar to Case 2.1.a, here we have $s^* - 2 \equiv 0 \mod 3$, Step $s^*$ is a Coin-Fixed-To-0 step, and the (r, $s^* - 1$)-messages in $\text{CERT}_{i^*}^r$ are for bit 0 and v = $H(B_\ell^r)$. Indeed, all honest (r, $s^* - 1$)-verifiers sign v, thus the Adversary cannot generate $t_H$ valid (r, $s^* - 1$)-messages for a different $v'$. Moreover, all honest (r, $s^*$)-verifiers have waited time $t_{s^*}$ and do not see > 2/3 majority for bit 1, again because $|HSV^{r,s^*-1}| + 4|MSV^{r,s^*-1}| < 2n$. Thus every honest verifier $i \in HSV^{r,s^*}$ sets $b_i = 0$, $v_i = H(B_\ell^r)$ by the majority vote, and propagates $m_i^{r,s^*} =$ $(\text{ESIG}_i(0), \text{ESIG}_i(H(B_\ell^r)), \sigma_i^{r,s^*})$ at time $\alpha_i^{r,s^*} + t_{s^*}$. Now consider the honest verifiers in Step $s^* + 1$ (which is a Coin-Fixed-To-1 step). If the Adversary actually sends the messages in $\text{CERT}_{i^*}^r$ to some of them and causes them to stop, then similar to Case 2.1.a, all honest users know $B_r = B_\ell^r$ within the time interval $I_{r+1}$ and $T^{r+1} \leq T^r + \lambda + t_{s^*+1}$. Otherwise, all honest verifiers in Step $s^* + 1$ have received all the (r, $s^*$)-messages for 0 and $H(B_\ell^r)$ from $HSV^{r,s^*}$ after waiting time $t_{s^*+1}$, which leads to > 2/3 majority, because $|HSV^{r,s^*}| > 2|MSV^{r,s^*}|$. Thus all the verifiers in $HSV^{r,s^*+1}$ propagate their messages for 0 and $H(B_\ell^r)$ accordingly. Note that the verifiers in $HSV^{r,s^*+1}$ do not stop with $B_r = B_\ell^r$, because Step $s^* + 1$ is not a Coin-Fixed-To-0 step. Now consider the honest verifiers in Step $s^* + 2$ (which is a Coin-Genuinely-Flipped step). If the Adversary sends the messages in $\text{CERT}_{i^*}^r$ to some of them and causes them to stop, then again all honest users know $B_r = B_\ell^r$ within the time interval $I_{r+1}$ and $T^{r+1} \leq T^r + \lambda + t_{s^*+2}$.

Otherwise, all honest verifiers in Step $s^* + 2$ have received all the (r, $s^* + 1$)-messages for 0 and $H(B_\ell^r)$ from $HSV^{r,s^*+1}$ after waiting time $t_{s^*+2}$, which leads to > 2/3 majority. Thus all of them propagate their messages for 0 and $H(B_\ell^r)$ accordingly: that is they do not “ﬂip a coin” in this case. Again, note that they do not stop without propagating, because Step $s^* + 2$ is not a Coin-Fixed-To-0 step. Finally, for the honest verifiers in Step $s^* + 3$ (which is another Coin-Fixed-To-0 step), all of them would have received at least $t_H$ valid messages for 0 and $H(B_\ell^r)$ from $HSV^{s^*+2}$, if they really wait time $t_{s^*+3}$. Thus, whether or not the Adversary sends the messages in $\text{CERT}_{i^*}^r$ to any of them, all verifiers in $HSV^{r,s^*+3}$ stop with $B_r = B_\ell^r$, without propagating anything. Depending on how the Adversary acts, some of them may have their own $\text{CERT}^r$ consisting of those $(r, s^*-1)$-messages in $\text{CERT}_{i^*}^r$, and the others have their own $\text{CERT}^r$ consisting of those (r, $s^* + 2$)-messages. In any case, all honest users know $B_r = B_\ell^r$ within the time interval $I_{r+1}$ and $T^{r+1} \leq T^r + \lambda + t_{s^*+3}$. Case 2.2.b. Event E.b happens and there does not exist an honest verifier $i' \in HSV^{r,s^*}$ who should also stop without propagating anything. The analysis in this case is similar to those in Case 2.1.b and Case 2.2.a, thus many details have been omitted. In particular, $\text{CERT}_{i^*}^r$ consists of the $t_H$ desired $(r, s^*-1)$-messages for bit 1 that the Adversary is able to collect or generate, $s^* - 2 \equiv 1 \mod 3$, Step $s^*$ is a Coin-Fixed-To-1 step, and no honest $(r, s^*)$-veriﬁer could have seen > 2/3 majority for 0. Thus, every veriﬁer $i \in HSV^{r,s^*}$ sets $b_i = 1$ and propagates $m_i^{r,s^*} = (\text{ESIG}_i(1), \text{ESIG}_i(v_i), \sigma_i^{r,s^*})$ at time $\alpha_i^{r,s^*} + t_{s^*}$. Similar to Case 2.2.a, in at most 3 more steps (i.e., the protocol reaches Step $s^* + 3$, which is another Coin-Fixed-To-1 step), all honest users know $B_r = B_\epsilon^r$ within the time interval $I_{r+1}$. Moreover, $T^{r+1}$ may be $\leq T^r + \lambda + t_{s^*+1}$, or $\leq T^r + \lambda + t_{s^*+2}$, or $\leq T^r + \lambda + t_{s^*+3}$, depending on when is the ﬁrst time an honest veriﬁer is able to stop without propagating. Combining the four sub-cases, we have that all honest users know $B_r$ within the time interval $I_{r+1}$, with $T^{r+1} \leq T^r + \lambda + t_{s^*}$ in Cases 2.1.a and 2.1.b, and $T^{r+1} \leq T^r + \lambda + t_{s^*+3}$ in Cases 2.2.a and 2.2.b. It remains to upper-bound $s^*$ and thus $T^{r+1}$ for Case 2, and we do so by considering how many times the Coin-Genuinely-Flipped steps are actually executed in the protocol: that is, some honest veriﬁers actually have ﬂipped a coin. In particular, arbitrarily ﬁx a Coin-Genuinely-Flipped step $s'$ (i.e., $7 \leq s' \leq m + 2$ and $s' - 2 \equiv 2 \mod 3$), and let $\ell' \triangleq \arg \min_{j \in SV^{r,s'-1}} H(\sigma_j^{r,s'-1})$. For now let us assume $s' < s^*$, because otherwise no honest veriﬁer actually ﬂips a coin in Step $s'$, according to previous discussions. By the deﬁnition of $SV^{r,s'-1}$, the hash value of the credential of $\ell'$ is also the smallest among all users in $PK^{r-k}$. Since the hash function is a random oracle, ideally player $\ell'$ is honest with probability at least h. As we will show later, even if the Adversary tries his best to predict the output of the random oracle and tilt the probability, player $\ell'$ is still honest with probability

at least $p_h = h^2(1 + h - h^2)$. Below we consider the case when that indeed happens: that is, $\ell' \in HSV^{r,s'-1}$. Note that every honest veriﬁer $i \in HSV^{r,s'}$ has received all messages from $HSV^{r,s'-1}$ by time $\alpha_i^{r,s'} + t_{s'}$. If player i needs to ﬂip a coin (i.e., he has not seen > 2/3 majority for the same bit $b \in \{0, 1\}$), then he sets $b_i = \text{lsb}(H(\sigma_{\ell'}^{r,s'-1}))$. If there exists another honest veriﬁer $i' \in HSV^{r,s'}$ who has seen > 2/3 majority for a bit $b \in \{0, 1\}$, then by Property (d) of Lemma 5.5, no honest veriﬁer in $HSV^{r,s'}$ would have seen > 2/3 majority for a bit $b' \neq b$. Since $\text{lsb}(H(\sigma_{\ell'}^{r,s'-1})) = b$ with probability $1/2$, all honest veriﬁers in $HSV^{r,s'}$ reach an agreement on b with probability $1/2$. Of course, if such a veriﬁer $i'$ does not exist, then all honest veriﬁers in $HSV^{r,s'}$ agree on the bit $\text{lsb}(H(\sigma_{\ell'}^{r,s'-1}))$ with probability $1$. Combining the probability for $\ell' \in HSV^{r,s'-1}$, we have that the honest veriﬁers in $HSV^{r,s'}$ reach an agreement on a bit $b \in \{0, 1\}$ with probability at least $\frac{p_h}{2} = \frac{h^2(1+h-h^2)}{2}$. Moreover, by induction on the majority vote as before, all honest veriﬁers in $HSV^{r,s'}$ have their $v_i$'s set to be $H(B_\ell^r)$. Thus, once an agreement on b is reached in Step $s'$, $T^{r+1}$ is either $\leq T^r + \lambda + t_{s'+1}$ or $\leq T^r + \lambda + t_{s'+2}$, depending on whether $b = 0$ or $b = 1$, following the analysis of Cases 2.1.a and 2.1.b. In particular, no further Coin-Genuinely-Flipped step will be executed: that is, the veriﬁers in such steps still check that they are the veriﬁers and thus wait, but they will all stop without propagating anything. Accordingly, before Step $s^*$, the number of times the Coin-GenuinelyFlipped steps are executed is distributed according to the random variable $L_r$. Letting Step $s'$ be the last Coin-Genuinely-Flipped step according to $L_r$, by the construction of the protocol we have $s' = 4 + 3L_r$. When should the Adversary make Step $s^*$ happen if he wants to delay $T^{r+1}$ as much as possible? We can even assume that the Adversary knows the realization of $L_r$ in advance. If $s^*$ > $s'$ then it is useless, because the honest veriﬁers have already reached an agreement in Step $s'$. To be sure, in this case $s^*$ would be $s' + 1$ or $s' + 2$, again depending on whether $b = 0$ or $b = 1$. However, this is actually Cases 2.1.a and 2.1.b, and the resulting $T^{r+1}$ is exactly the same as in that case. More precisely, $T^{r+1} \leq T^r + \lambda + t_{s^*} \leq T^r + \lambda + t_{s'+2}$. If $s^*$ < $s' - 3$ —that is, $s^*$ is before the second-last Coin-Genuinely-Flipped step— then by the analysis of Cases 2.2.a and 2.2.b, $T^{r+1} \leq T^r + \lambda + t_{s^*+3} < T^r + \lambda + t_{s'}$. That is, the Adversary is actually making the agreement on $B_r$ happen faster. If $s^* = s' - 2$ or $s' - 1$ —that is, the Coin-Fixed-To-0 step or the Coin-Fixed-To-1 step immediately before Step $s'$— then by the analysis of the four sub-cases, the honest veriﬁers in Step $s'$ do not get to ﬂip coins anymore, because they have either stopped without propagating, or have seen > 2/3 majority for the same bit $b$. Therefore we have $T^{r+1} \leq T^r + \lambda + t_{s^*+3} \leq T^r + \lambda + t_{s'+2}$.

In sum, no matter what $s^*$ is, we have $T^{r+1} \leq T^r + \lambda + t_{s'+2} = T^r + \lambda + t_{3L_r+6}$ $= T^r + \lambda + (2(3L_r + 6) - 3)\lambda + \Lambda$ $= T^r + (6L_r + 10)\lambda + \Lambda$, as we wanted to show. The worst case is when $s^* = s' - 1$ and Case 2.2.b happens. Combining Cases 1 and 2 of the binary BA protocol, Lemma 5.3 holds. ■ 5.9 Security of the Seed $Q_r$ and Probability of An Honest Leader It remains to prove Lemma 5.4. Recall that the veriﬁers in round $r$ are taken from $PK^{r-k}$ and are chosen according to the quantity $Q_{r-1}$. The reason for introducing the look-back parameter $k$ is to make sure that, back at round $r - k$, when the Adversary is able to add new malicious users to $PK^{r-k}$, he cannot predict the quantity $Q_{r-1}$ except with negligible probability. Note that the hash function is a random oracle and $Q_{r-1}$ is one of its inputs when selecting veriﬁers for round $r$. Thus, no matter how malicious users are added to $PK^{r-k}$, from the Adversary's point of view each one of them is still selected to be a veriﬁer in a step of round $r$ with the required probability $p$ (or $p_1$ for Step 1). More precisely, we have the following lemma. Lemma 5.6. With $k = O(\log_{1/2} F)$, for each round $r$, with overwhelming probability the Adversary did not query $Q_{r-1}$ to the random oracle back at round $r - k$. Proof. We proceed by induction. Assume that for each round $\gamma < r$, the Adversary did not query $Q_{\gamma-1}$ to the random oracle back at round $\gamma - k$.21 Consider the following mental game played by the Adversary at round $r - k$, trying to predict $Q_{r-1}$. In Step 1 of each round $\gamma = r - k, \ldots, r - 1$, given a speciﬁc $Q_{\gamma-1}$ not queried to the random oracle, by ordering the players $i \in PK^{\gamma-k}$ according to the hash values $H(\text{SIG}_i(\gamma, 1, Q_{\gamma-1}))$ increasingly, we obtain a random permutation over $PK^{\gamma-k}$. By deﬁnition, the leader $\ell_\gamma$ is the ﬁrst user in the permutation and is honest with probability $h$. Moreover, when $PK^{\gamma-k}$ is large enough, for any integer $x \geq 1$, the probability that the ﬁrst $x$ users in the permutation are all malicious but the $(x + 1)$st is honest is $(1 - h)^x h$. If $\ell_\gamma$ is honest, then $Q_\gamma = H(\text{SIG}_{\ell_\gamma}(Q_{\gamma-1}), \gamma)$. As the Adversary cannot forge the signature of $\ell_\gamma$, $Q_\gamma$ is distributed uniformly at random from the Adversary's point of view and, except with exponentially small probability,22 was not queried to $H$ at round $r - k$. Since each $Q_{\gamma+1}, Q_{\gamma+2}, \ldots, Q_{r-1}$ respectively is the output of $H$ with $Q_\gamma, Q_{\gamma+1}, \ldots, Q_{r-2}$ as one of the inputs, they all look random to the Adversary and the Adversary could not have queried $Q_{r-1}$ to $H$ at round $r - k$. Accordingly, the only case where the Adversary can predict $Q_{r-1}$ with good probability at round $r - k$ is when all the leaders $\ell_{r-k}, \ldots, \ell_{r-1}$ are malicious. Again consider a round $\gamma \in \{r - k \ldots, r - 1\}$ and the random permutation over $PK^{\gamma-k}$ induced by the corresponding hash values. If for some $x \geq 2$, the ﬁrst $x - 1$ users in the permutation are all malicious and the $x$-th is honest, then the Adversary has $x$ possible choices for $Q_\gamma$: either of the form $H(\text{SIG}_i(Q_{\gamma-1}, \gamma))$, where $i$ is one of 21As $k$ is a small integer, without loss of generality one can assume that the ﬁrst $k$ rounds of the protocol are run under a safe environment and the inductive hypothesis holds for those rounds. 22That is, exponential in the length of the output of $H$. Note that this probability is way smaller than $F$.

the ﬁrst $x - 1$ malicious users, by making player $i$ the actually leader of round $\gamma$; or $H(Q_{\gamma-1}, \gamma)$, by forcing $B_\gamma = B_\gamma^\epsilon$. Otherwise, the leader of round $\gamma$ will be the ﬁrst honest user in the permutation and $Q_{r-1}$ becomes unpredictable to the Adversary. Which of the above $x$ options of $Q_\gamma$ should the Adversary pursue? To help the Adversary answer this question, in the mental game we actually make him more powerful than he actually is, as follows. First of all, in reality, the Adversary cannot compute the hash of a honest user's signature, thus cannot decide, for each $Q_\gamma$, the number $x(Q_\gamma)$ of malicious users at the beginning of the random permutation in round $\gamma + 1$ induced by $Q_\gamma$. In the mental game, we give him the numbers $x(Q_\gamma)$ for free. Second of all, in reality, having the ﬁrst $x$ users in the permutation all being malicious does not necessarily mean they can all be made into the leader, because the hash values of their signatures must also be less than $p_1$. We have ignored this constraint in the mental game, giving the Adversary even more advantages. It is easy to see that in the mental game, the optimal option for the Adversary, denoted by $\hat{Q}_\gamma$, is the one that produces the longest sequence of malicious users at the beginning of the random permutation in round $\gamma + 1$. Indeed, given a speciﬁc $Q_\gamma$, the protocol does not depend on $Q_{\gamma-1}$ anymore and the Adversary can solely focus on the new permutation in round $\gamma + 1$, which has the same distribution for the number of malicious users at the beginning. Accordingly, in each round $\gamma$, the above mentioned $\hat{Q}_\gamma$ gives him the largest number of options for $Q_{\gamma+1}$ and thus maximizes the probability that the consecutive leaders are all malicious. Therefore, in the mental game the Adversary is following a Markov Chain from round $r - k$ to round $r - 1$, with the state space being $\{0\} \cup \{x : x \geq 2\}$. State 0 represents the fact that the ﬁrst user in the random permutation in the current round $\gamma$ is honest, thus the Adversary fails the game for predicting $Q_{r-1}$; and each state $x \geq 2$ represents the fact that the ﬁrst $x - 1$ users in the permutation are malicious and the $x$-th is honest, thus the Adversary has $x$ options for $Q_\gamma$. The transition probabilities $P(x, y)$ are as follows. • $P(0, 0) = 1$ and $P(0, y) = 0$ for any $y \geq 2$. That is, the Adversary fails the game once the ﬁrst user in the permutation becomes honest. • $P(x, 0) = h^x$ for any $x \geq 2$. That is, with probability $h^x$, all the $x$ random permutations have their ﬁrst users being honest, thus the Adversary fails the game in the next round. • For any $x \geq 2$ and $y \geq 2$, $P(x, y)$ is the probability that, among the $x$ random permutations induced by the $x$ options of $Q_\gamma$, the longest sequence of malicious users at the beginning of some of them is $y - 1$, thus the Adversary has $y$ options for $Q_{\gamma+1}$ in the next round. That is, $P(x, y) = \left(\sum_{i=0}^{y-1} (1 - h)^i h\right)^x - \left(\sum_{i=0}^{y-2} (1 - h)^i h\right)^x = (1 - (1 - h)^y)^x - (1 - (1 - h)^{y-1})^x$. Note that state 0 is the unique absorbing state in the transition matrix $P$, and every other state $x$ has a positive probability of going to 0. We are interested in upper-bounding the number $k$ of rounds needed for the Markov Chain to converge to 0 with overwhelming probability: that is, no matter which state the chain starts at, with overwhelming probability the Adversary loses the game and fails to predict $Q_{r-1}$ at round $r - k$. Consider the transition matrix $P^{(2)} \triangleq P \cdot P$ after two rounds. It is easy to see that $P^{(2)}(0, 0) = 1$ and $P^{(2)}(0, x) = 0$ for any $x \geq 2$. For any $x \geq 2$ and $y \geq 2$, as $P(0, y) = 0$, we have $P^{(2)}(x, y) = P(x, 0)P(0, y) + \sum_{z \geq 2} P(x, z)P(z, y) = \sum_{z \geq 2} P(x, z)P(z, y)$.

Letting $\bar{h} \triangleq 1 - h$, we have $P(x, y) = (1 - \bar{h}^y)^x - (1 - \bar{h}^{y-1})^x$ and $P^{(2)}(x, y) = \sum_{z \geq 2} [(1 - \bar{h}^z)^x - (1 - \bar{h}^{z-1})^x][(1 - \bar{h}^y)^z - (1 - \bar{h}^{y-1})^z]$. Below we compute the limit of $\frac{P^{(2)}(x,y)}{P(x,y)}$ as $h$ goes to 1 —that is, $\bar{h}$ goes to 0. Note that the highest order of $\bar{h}$ in $P(x, y)$ is $\bar{h}^{y-1}$, with coeﬃcient $x$. Accordingly, $\lim_{h \to 1} \frac{P^{(2)}(x, y)}{P(x, y)} = \lim_{\bar{h} \to 0} \frac{P^{(2)}(x, y)}{P(x, y)} = \lim_{\bar{h} \to 0} \frac{P^{(2)}(x, y)}{x\bar{h}^{y-1} + O(\bar{h}^y)}$ $= \lim_{\bar{h} \to 0} \frac{\sum_{z \geq 2} [x\bar{h}^{z-1} + O(\bar{h}^z)][z\bar{h}^{y-1} + O(\bar{h}^y)]}{x\bar{h}^{y-1} + O(\bar{h}^y)} = \lim_{\bar{h} \to 0} \frac{2x\bar{h}^y + O(\bar{h}^{y+1})}{x\bar{h}^{y-1} + O(\bar{h}^y)}$ $= \lim_{\bar{h} \to 0} \frac{2x\bar{h}^y}{x\bar{h}^{y-1}} = \lim_{\bar{h} \to 0} 2\bar{h} = 0$. When $h$ is suﬃciently close to 1,23 we have $\frac{P^{(2)}(x, y)}{P(x, y)} \leq \frac{1}{2}$ for any $x \geq 2$ and $y \geq 2$. By induction, for any $k > 2$, $P^{(k)} \triangleq P^k$ is such that • $P^{(k)}(0, 0) = 1$, $P^{(k)}(0, x) = 0$ for any $x \geq 2$, and • for any $x \geq 2$ and $y \geq 2$, $P^{(k)}(x, y) = P^{(k-1)}(x, 0)P(0, y) + \sum_{z \geq 2} P^{(k-1)}(x, z)P(z, y) = \sum_{z \geq 2} P^{(k-1)}(x, z)P(z, y)$ $\leq \sum_{z \geq 2} \frac{P(x, z)}{2^{k-2}} \cdot P(z, y) = \frac{P^{(2)}(x, y)}{2^{k-2}} \leq \frac{P(x, y)}{2^{k-1}}$. As $P(x, y) \leq 1$, after $1 - \log_2 F$ rounds, the transition probability into any state $y \geq 2$ is negligible, starting with any state $x \geq 2$. Although there are many such states $y$, it is easy to see that $\lim_{y \to +\infty} \frac{P(x, y)}{P(x, y + 1)} = \lim_{y \to +\infty} \frac{(1 - \bar{h}^y)^x - (1 - \bar{h}^{y-1})^x}{(1 - \bar{h}^{y+1})^x - (1 - \bar{h}^y)^x} = \lim_{y \to +\infty} \frac{\bar{h}^{y-1} - \bar{h}^y}{\bar{h}^y - \bar{h}^{y+1}} = \frac{1}{\bar{h}} = \frac{1}{1 - h}$. Therefore each row $x$ of the transition matrix $P$ decreases as a geometric sequence with rate $\frac{1}{1-h} > 2$ when $y$ is large enough, and the same holds for $P^{(k)}$. Accordingly, when $k$ is large enough but still on the order of $\log_{1/2} F$, $\sum_{y \geq 2} P^{(k)}(x, y) < F$ for any $x \geq 2$. That is, with overwhelming probability the Adversary loses the game and fails to predict $Q_{r-1}$ at round $r - k$. For $h \in (2/3, 1]$, a more complex analysis shows that there exists a constant $C$ slightly larger than 1/2, such that it suﬃces to take $k = O(\log_C F)$. Thus Lemma 5.6 holds. ■ Lemma 5.4. (restated) Given Properties 1–3 for each round before $r$, $p_h = h^2(1 + h - h^2)$ for $L_r$, and the leader $\ell_r$ is honest with probability at least $p_h$. 23For example, $h = 80\%$ as suggested by the speciﬁc choices of parameters.

Proof. Following Lemma 5.6, the Adversary cannot predict $Q_{r-1}$ back at round $r - k$ except with negligible probability. Note that this does not mean the probability of an honest leader is $h$ for each round. Indeed, given $Q_{r-1}$, depending on how many malicious users are at the beginning of the random permutation of $PK^{r-k}$, the Adversary may have more than one options for $Q_r$ and thus can increase the probability of a malicious leader in round $r + 1$ —again we are giving him some unrealistic advantages as in Lemma 5.6, so as to simplify the analysis. However, for each $Q_{r-1}$ that was not queried to $H$ by the Adversary back at round $r - k$, for any $x \geq 1$, with probability $(1 - h)^{x-1} h$ the ﬁrst honest user occurs at position $x$ in the resulting random permutation of $PK^{r-k}$. When $x = 1$, the probability of an honest leader in round $r + 1$ is indeed $h$; while when $x = 2$, the Adversary has two options for $Q_r$ and the resulting probability is $h^2$. Only by considering these two cases, we have that the probability of an honest leader in round $r + 1$ is at least $h \cdot h + (1 - h)h \cdot h^2 = h^2(1 + h - h^2)$ as desired. Note that the above probability only considers the randomness in the protocol from round $r - k$ to round $r$. When all the randomness from round 0 to round $r$ is taken into consideration, $Q_{r-1}$ is even less predictable to the Adversary and the probability of an honest leader in round $r + 1$ is at least $h^2(1 + h - h^2)$. Replacing $r + 1$ with $r$ and shifts everything back by one round, the leader $\ell_r$ is honest with probability at least $h^2(1 + h - h^2)$, as desired. Similarly, in each Coin-Genuinely-Flipped step $s$, the "leader" of that step —that is the veriﬁer in $SV^{r,s}$ whose credential has the smallest hash value, is honest with probability at least $h^2(1 + h - h^2)$. Thus $p_h = h^2(1 + h - h^2)$ for $L_r$ and Lemma 5.4 holds. ■

Algorand '

1 Di bagian ini, kami membuat versi Algorand ′ yang bekerja dengan asumsi berikut. Asumsi Mayoritas Pengguna Jujur: Lebih dari 2/3 pengguna di setiap PKr adalah jujur. Di Bagian 8, kami menunjukkan cara mengganti asumsi di atas dengan Mayoritas Jujur yang diinginkan Asumsi uang. 5.1 Notasi dan Parameter Tambahan Notasi • m $\in$Z+: jumlah langkah maksimum dalam protokol BA biner, kelipatan 3. • Lr $\leq$m/3: variabel acak yang mewakili jumlah percobaan Bernoulli yang diperlukan untuk mendapatkan hasil 1, ketika setiap percobaan adalah 1 dengan probabilitas ph 2 dan paling banyak terdapat m/3 percobaan. Jika semua percobaan gagal maka Lr $\triangleq$m/3. Lr akan digunakan untuk membatasi waktu yang dibutuhkan untuk menghasilkan blok Br. • tH = 2n 3 + 1: jumlah tanda tangan yang diperlukan dalam kondisi akhir protokol. • CERT r : sertifikat untuk Br. Ini adalah satu set tanda tangan H(Br) dari verifier yang tepat di putaran r. Parameter • Hubungan antara berbagai parameter. — Untuk setiap langkah s > 1 pada putaran r, n dipilih sehingga, dengan probabilitas yang sangat besar, |HSV r,s| > 2|MSV r,s| dan |HSV r,s| + 4|MSV r,s| < 2n. Semakin mendekati 1 nilai h, maka n harus semakin kecil. Secara khusus, kami menggunakan (varian dari) Batas Cherno untuk memastikan kondisi yang diinginkan terpenuhi dengan kemungkinan yang sangat besar. — m dipilih sedemikian rupa sehingga Lr < m/3 dengan probabilitas yang sangat besar. • Contoh pilihan parameter penting. — F = 10−12. — n $\approx$1500, k = 40 dan m = 180.5.2 Menerapkan Kunci Ephemeral di Algorand ′ 1 Seperti telah disebutkan, kami berharap bahwa verifier i $\in$SV r,s menandatangani pesannya secara digital mr,s saya langkah s pada putaran r, relatif terhadap pkr kunci publik sementara, s i , menggunakan kunci rahasia sementara skr,s saya itu dia segera menghancurkan setelah digunakan. Oleh karena itu, kami memerlukan metode yang efisien untuk memastikan bahwa setiap pengguna dapat melakukannya verifikasi bahwa pkr,s saya memang kunci yang digunakan untuk memverifikasi tanda tangan saya pak saya. Kami melakukannya dengan (untuk yang terbaik sepengetahuan kami) penggunaan baru skema tanda tangan berbasis identitas. Pada tingkat tinggi, dalam skema seperti itu, otoritas pusat A menghasilkan kunci master publik, PMK, dan kunci master rahasia yang sesuai, SMK. Mengingat identitas, U, dari pemain U, A menghitung, melalui SMK, skU kunci tanda tangan rahasia relatif terhadap kunci publik U, dan secara pribadi memberikan skU ke U. (Memang benar, dalam skema tanda tangan digital berbasis identitas, kunci publik dari pengguna U adalah U itu sendiri!) Dengan cara ini, jika A menghancurkan SMK setelah menghitung kunci rahasia pengguna yang ingin dia aktifkan menghasilkan tanda tangan digital, dan tidak menyimpan kunci rahasia apa pun yang dihitung, maka hanya U yang melakukannya dapat menandatangani pesan secara digital relatif terhadap kunci publik U. Jadi, siapa pun yang mengetahui “nama U”, secara otomatis mengetahui kunci publik U, dan dengan demikian dapat memverifikasi tanda tangan U (mungkin juga menggunakan kunci master publik PMK). Dalam aplikasi kita, otoritas A adalah pengguna i, dan himpunan semua kemungkinan pengguna yang bertepatan dengan U pasangan langkah bulat (r, s) di —katakanlah— S = {i}$\times${r′, . . . , r′ +106}$\times${1, . . . , m+3}, dengan r′ diberikan putaran, dan m + 3 batas atas dengan jumlah langkah yang mungkin terjadi dalam satu putaran. Ini cara, pkr, s saya $\triangleq$(i, r, s), sehingga semua orang melihat tanda tangan i SIGr,s pkr, s saya (Tuan, s i ) bisa, dengan luar biasa probabilitasnya, segera verifikasi untuk jutaan putaran pertama r setelah r′. Dengan kata lain saya generate dulu PMK dan SMK. Kemudian, ia mempublikasikan bahwa PMK adalah majikannya kunci publik untuk setiap putaran r $\in$[r′, r′ + 106], dan menggunakan SMK untuk memproduksi dan menyimpan rahasia secara pribadi kunci skr,s saya untuk setiap rangkap tiga (i, r, s) $\in$S. Selesai, dia menghancurkan SMK. Jika dia memutuskan bahwa dia tidak melakukannya bagian dari SV r,s, maka saya boleh meninggalkan skr,s saya sendirian (karena protokol tidak mengharuskan dia melakukan autentikasi pesan apa pun di Langkah s pada putaran r). Kalau tidak, saya pertama kali menggunakan skr,s saya untuk menandatangani pesannya secara digital, Tuan, s saya, dan lalu hancurkan skr,s saya. Perhatikan bahwa saya dapat mempublikasikan kunci master publik pertamanya ketika dia pertama kali memasuki sistem. Artinya, pembayaran yang sama $\wp$yang membawa i ke dalam sistem (pada putaran r′ atau pada putaran yang mendekati r′), juga dapat tentukan, atas permintaan i, bahwa kunci master publik i untuk setiap putaran r $\in$[r′, r′ + 106] adalah PMK —misalnya, dengan termasuk sepasang bentuk (PMK, [r′, r′ + 106]). Perhatikan juga bahwa, karena m + 3 adalah jumlah langkah maksimum dalam satu putaran, dengan asumsi bahwa satu putaran membutuhkan waktu satu menit, simpanan kunci sementara yang dihasilkan akan bertahan selama hampir dua tahun. Pada saat yang sama waktu, kunci rahasia sementara ini tidak akan memakan waktu terlalu lama untuk diproduksi. Menggunakan berbasis kurva elips sistem dengan kunci 32B, setiap kunci rahasia dihitung dalam beberapa mikrodetik. Jadi, jika m + 3 = 180, maka seluruh 180 juta kunci rahasia dapat dihitung dalam waktu kurang dari satu jam. Ketika putaran saat ini semakin mendekati r′ + 106, untuk menangani jutaan putaran berikutnya, i menghasilkan pasangan baru (PMK′, SMK′), dan menginformasikan simpanan kunci sementara berikutnya dengan —misalnya— meminta SIGi(PMK′, [r′ + 106 + 1, r′ + 2 $\cdot$ 106 + 1]) memasukkan blok baru, baik sebagai memisahkan “transaksi” atau sebagai beberapa informasi tambahan yang merupakan bagian dari pembayaran. Dengan melakukan hal itu, saya memberi tahu semua orang bahwa dia harus menggunakan PMK′ untuk memverifikasi tanda tangan sementara saya selanjutnya juta putaran. Dan sebagainya. (Perhatikan bahwa, dengan mengikuti pendekatan dasar ini, cara lain untuk mengimplementasikan kunci sementara tanpa menggunakan tanda tangan berbasis identitas tentu saja dimungkinkan. Misalnya, melalui Merkle trees.16) 16Dalam metode ini, saya membuat pasangan kunci rahasia publik (pkr,s saya, skr, s saya ) untuk setiap pasangan langkah bulat (r, s) di —katakanlah—Cara lain untuk mengimplementasikan kunci sementara tentu saja dimungkinkan —misalnya melalui Merkle trees. 5.3 Mencocokkan Langkah Algorand′ 1 dengan BA⋆ Seperti yang kami katakan, putaran di Algorand ′ 1 memiliki paling banyak m + 3 langkah. Langkah 1. Pada langkah ini, setiap calon pemimpin i menghitung dan menyebarkan calon bloknya Br saya , bersama dengan kredensialnya sendiri, $\sigma$r,1 saya. Ingatlah bahwa kredensial ini secara eksplisit mengidentifikasi i. Hal ini terjadi karena $\sigma$r,1 saya $\triangleq$SIGi(r, 1, Qr−1). Pemverifikasi potensial saya juga menyebarkan, sebagai bagian dari pesannya, tanda tangan digital H(Br saya ). Tidak berurusan dengan pembayaran atau kredensial, tanda tangan i ini bersifat relatif terhadap publiknya yang fana kunci pkr,1 i : yaitu dia menyebarkan sigpkr,1 saya (H(Br saya )). Mengingat konvensi kita, daripada menyebarkan Br saya dan sigpkr,1 saya (H(Br saya )), dia bisa saja SIGpkr yang disebarkan,1 saya (H(Br saya )). Namun, dalam analisis kami, kami perlu memiliki akses eksplisit sigpkr,1 saya (H(Br saya )). Langkah 2. Pada langkah ini, setiap verifier i menetapkan $\ell$r saya menjadi calon pemimpin yang memiliki kredensial hash adalah yang terkecil, dan Br saya menjadi blok yang diusulkan oleh $\ell$r saya. Karena, demi efisiensi, kami ingin menyetujui H(Br), daripada langsung pada Br, saya menyebarkan pesan yang ingin dia sampaikan disebarkan pada langkah pertama BA⋆dengan nilai awal v′ saya = H(Br saya ). Artinya, dia menyebarkan v′ saya, tentu saja setelah menandatanganinya sebentar. (Yaitu, setelah menandatanganinya relatif terhadap fana yang tepat kunci publik yang dalam hal ini adalah pkr,2 i .) Tentu saja, saya juga mengirimkan kredensialnya sendiri. Karena langkah pertama BA⋆ terdiri dari langkah pertama protokol konsensus bertingkat GC, Langkah 2 dari Algorand ′ sesuai dengan langkah pertama GC. Langkah 3. Pada langkah ini, setiap verifier i $\in$SV r,2 menjalankan langkah kedua BA⋆. Artinya, dia mengirimkan pesan yang sama yang akan dia kirimkan pada langkah kedua GC. Sekali lagi, pesan saya bersifat sementara ditandatangani dan disertai dengan kredensial saya. (Mulai sekarang, kami tidak akan lagi mengatakan bahwa verifier secara singkat menandatangani pesannya dan juga menyebarkan kredensialnya.) Langkah 4. Pada langkah ini, setiap verifier i $\in$SV r,4 menghitung output dari GC, (vi, gi), dan secara ephemeral menandatangani dan mengirimkan pesan yang sama seperti yang akan dikirimkannya pada langkah ketiga BA⋆, yaitu di langkah pertama BBA⋆, dengan bit awal 0 jika gi = 2, dan 1 sebaliknya. Langkah s = 5, . . . , m + 2. Langkah tersebut, jika pernah tercapai, berhubungan dengan langkah s −1 dari BA⋆, dan dengan demikian menjadi langkah s −3 dari BBA⋆. Karena model propagasi kita cukup asynchronous, kita harus memperhitungkan kemungkinan tersebut bahwa, di tengah langkah s tersebut, pemverifikasi i $\in$SV r,s dicapai dengan informasi yang membuktikannya blok Br itu telah dipilih. Dalam hal ini, saya menghentikan eksekusinya sendiri pada putaran r Algorand ′, dan mulai menjalankan instruksi putaran-(r + 1). {R', . . . , r′ + 106} $\times$ {1, . . . , m+3}. Kemudian dia memesan kunci publik ini dengan cara kanonik, menyimpan publik ke-j memasukkan daun ke-j dari Merkle tree, dan menghitung nilai akar Ri, yang dipublikasikannya. Ketika dia ingin menandatangani pesan relatif terhadap kunci pkr,s saya , saya tidak hanya memberikan tanda tangan sebenarnya, tetapi juga jalur otentikasi untuk pkr,s saya relatif terhadap Ri. Perhatikan bahwa jalur autentikasi ini juga membuktikan bahwa pkr,s saya disimpan di daun ke-j. Sisanya rinciannya dapat dengan mudah diisi.Oleh karena itu, instruksi dari verifier i $\in$SV r,s, selain instruksi yang sesuai ke Langkah s −3 dari BBA⋆, termasuk memeriksa apakah eksekusi BBA⋆telah dihentikan sebelumnya Langkah s′. Karena BBA⋆ hanya dapat berhenti pada Langkah Koin-Tetap-ke-0 atau langkah Koin-Tetap-ke-1, maka instruksi membedakan apakah A (Kondisi Akhir 0): s′ −2 ≡0 mod 3, atau B (Kondisi Akhir 1): s′ −2 ≡1 mod 3. Faktanya, dalam kasus A, blok Br tidak kosong, dan dengan demikian diperlukan instruksi tambahan untuk melakukannya memastikan bahwa saya merekonstruksi Br dengan benar, bersama dengan sertifikat CERT r yang sesuai. Dalam kasus B, blok Br kosong, sehingga i diinstruksikan untuk menyetel Br = Br $\varepsilon$ = (r, $\emptyset$, H(Qr−1, r), H(Br−1)), dan untuk menghitung CERT r. Jika, selama pelaksanaan langkah s, saya tidak melihat bukti apa pun bahwa blok Br sudah ada telah dihasilkan, lalu dia mengirimkan pesan yang sama seperti yang akan dia kirimkan pada langkah s −3 dari BBA⋆. Langkah m + 3. Jika, pada langkah m + 3, i $\in$SV r,m+3 melihat bahwa blok Br telah dihasilkan pada langkah sebelumnya s′, maka dia melanjutkan seperti dijelaskan di atas. Jika tidak, daripada mengirim pesan yang sama yang akan dia kirimkan pada langkah m BBA⋆, i adalah diinstruksikan, berdasarkan informasi yang dimilikinya, untuk menghitung Br dan korespondennya sertifikat CERT r. Ingatlah, faktanya, kita melakukan batas atas sebesar m + 3 jumlah total langkah dalam satu putaran. 5.4 Protokol Aktual Ingatlah bahwa, pada setiap langkah s pada putaran r, pemverifikasi i $\in$SV r,s menggunakan pasangan kunci rahasia publik jangka panjangnya untuk menghasilkan kredensialnya, $\sigma$r,s saya $\triangleq$SIGi(r, s, Qr−1), serta SIGi Qr−1 dalam kasus s = 1. Pemverifikasi i menggunakan kunci rahasia singkatnya skr,s saya untuk menandatangani (r, s) -pesannya tuan, s saya. Untuk mempermudah, kapan r dan s adalah jelas, kami menulis esigi(x) daripada sigpkr,s i (x) untuk menunjukkan tanda tangan sementara yang tepat dari suatu nilai x pada langkah s putaran r, dan tulis ESIGi(x) sebagai ganti SIGpkr,s i (x) untuk menyatakan (i, x, esigi(x)). Langkah 1: Blokir Proposal Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkah 1 pada putaran r segera setelah dia tahu Br−1. • Pengguna i menghitung Qr−1 dari komponen ketiga Br−1 dan memeriksa apakah i $\in$SV r,1 atau tidak. • Jika i /$\in$SV r,1, maka i segera menghentikan pelaksanaan Langkah 1. • Jika i $\in$SV r,1, yaitu jika i adalah calon pemimpin, maka ia mengumpulkan pembayaran putaran-r yang telah telah disebarkan kepadanya sejauh ini dan menghitung pembayaran maksimal PAY r saya dari mereka. Selanjutnya, dia menghitung “blok kandidatnya” Br i = (r, BAYAR r saya , SIGi(Qr−1), H(Br−1)). Akhirnya, dia menghitung pesannya pak,1 saya = (Sdr saya , esigi(H(Br saya )), $\sigma$r,1 i ), menghancurkan skr kunci rahasia fana miliknya,1 saya, dan kemudian menyebarkan Tuan,1 saya.Komentar. Dalam praktiknya, untuk mempersingkat pelaksanaan global Langkah 1, penting bahwa (r, 1)- pesan disebarkan secara selektif. Artinya, untuk setiap pengguna i dalam sistem, untuk yang pertama (r, 1)- pesan yang pernah dia terima dan berhasil diverifikasi,17 pemain saya menyebarkannya seperti biasa. Untuk semua other (r, 1)-pesan yang diterima dan berhasil diverifikasi oleh pemain i, ia menyebarkannya hanya jika hash nilai kredensial yang dikandungnya adalah yang terkecil di antara hash nilai kredensial yang dikandungnya di semua (r, 1)-pesan yang dia terima dan berhasil diverifikasi sejauh ini. Selanjutnya seperti yang disarankan oleh Georgios Vlachos, akan bermanfaat jika setiap calon pemimpin i juga menyebarkan kredensialnya $\sigma$r,1 saya secara terpisah: pesan-pesan kecil tersebut berjalan lebih cepat daripada blok, memastikan penyebaran mr,1 secara tepat waktu j's di mana kredensial yang terkandung memiliki nilai hash yang kecil, sedangkan kredensial yang terkandung memiliki nilai hash yang besar menghilang dengan cepat. Langkah 2: Langkah Pertama dari Protokol Konsensus Bertingkat GC Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkah 2 pada putaran r segera setelah dia tahu Br−1. • Pengguna i menghitung Qr−1 dari komponen ketiga Br−1 dan memeriksa apakah i $\in$SV r,2 atau tidak. • Jika i /$\in$SV r,2 maka i menghentikan eksekusi Langkah 2 segera. • Jika i $\in$SV r,2, maka setelah menunggu beberapa waktu t2 $\triangleq$ $\lambda$ + Λ, i bertindak sebagai berikut. 1. Dia menemukan pengguna $\ell$sehingga H($\sigma$r,1 $\ell$) $\leq$H($\sigma$r,1 j ) untuk semua kredensial $\sigma$r,1 j itu adalah bagian dari pesan (r, 1) yang berhasil diverifikasi yang dia terima sejauh ini.a 2. Jika dia telah menerima dari $\ell$pesan yang valid, Tuan,1 $\ell$ = (Sdr $\ell$, esig$\ell$(H(Br $\ell$)), $\sigma$r,1 $\ell$),b lalu saya set v′ i $\triangleq$H(Br $\ell$); jika tidak, saya menetapkan v′ saya $\triangleq$ $\bot$. 3. saya menghitung pesan mr,2 saya $\triangleq$(ESIGi(v′ saya), $\sigma$r,2 i ),c menghancurkan kunci rahasia fananya skr,2 i , dan kemudian menyebarkan mr,2 saya. aPada dasarnya, pengguna i secara pribadi memutuskan bahwa pemimpin putaran r adalah pengguna $\ell$. bSekali lagi, tanda tangan pemain $\ell$ dan hashes semuanya berhasil diverifikasi, dan MEMBAYAR r $\ell$di Br $\ell$adalah pembayaran yang valid untuk putaran r —walaupun saya tidak memeriksa apakah MEMBAYAR r $\ell$maksimal untuk $\ell$atau tidak. cPesan Pak,2 saya menandakan pemain yang saya anggap v′ saya menjadi hash blok berikutnya, atau mempertimbangkan blok berikutnya blok menjadi kosong. 17Artinya, semua tanda tangan sudah benar dan blok serta hash-nya valid —walaupun saya tidak memeriksanya apakah payset yang disertakan sudah maksimal bagi pengusulnya atau tidak.

Langkah 3: Langkah Kedua GC Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkah ke-3 pada putaran r segera setelah dia tahu Br−1. • Pengguna i menghitung Qr−1 dari komponen ketiga Br−1 dan memeriksa apakah i $\in$SV r,3 atau tidak. • Jika i /$\in$SV r,3, maka i menghentikan eksekusi Langkah 3 segera. • Jika i $\in$SV r,3, maka setelah menunggu beberapa saat t3 $\triangleq$t2 + 2$\lambda$ = 3$\lambda$ + Λ, i bertindak sebagai berikut. 1. Jika terdapat nilai v′ ̸= $\bot$sehingga, di antara semua pesan valid mr,2 j dia telah menerima, lebih dari 2/3nya berbentuk (ESIGj(v′), $\sigma$r,2 j ), tanpa kontradiksi,a lalu dia menghitung pesan mr,3 saya $\triangleq$(ESIGi(v′), $\sigma$r,3 saya ). Jika tidak, dia menghitung mr,3 saya $\triangleq$ (ESIGi($\bot$), $\sigma$r,3 saya ). 2. aku menghancurkan skr kunci rahasianya yang fana,3 i , dan kemudian menyebarkan mr,3 saya. aArtinya, dia belum menerima dua pesan valid yang masing-masing berisi ESIGj(v′) dan ESIGj(v′′) yang berbeda, dari pemain j. Di sini dan mulai sekarang, kecuali dalam Kondisi Akhir yang ditentukan nanti, kapan pun pemain jujur menginginkan pesan dalam bentuk tertentu, pesan yang bertentangan satu sama lain tidak pernah dihitung atau dianggap valid.Langkah 4: Keluaran GC dan Langkah Pertama BBA⋆ Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkah 4 pada putaran r segera setelah dia tahu Br−1. • Pengguna i menghitung Qr−1 dari komponen ketiga Br−1 dan memeriksa apakah i $\in$SV r,4 atau tidak. • Jika i /$\in$SV r,4, maka i menghentikan eksekusi Langkah 4 dengan segera. • Jika i $\in$SV r,4, maka setelah menunggu beberapa saat t4 $\triangleq$t3 + 2$\lambda$ = 5$\lambda$ + Λ, i bertindak sebagai berikut. 1. Dia menghitung vi dan gi, keluaran dari GC, sebagai berikut. (a) Jika terdapat nilai v′ ̸= $\bot$sehingga, di antara semua pesan valid mr,3 j dia punya diterima, lebih dari 2/3nya berbentuk (ESIGj(v′), $\sigma$r,3 j ), lalu dia mengatur vi $\triangleq$v′ dan gi $\triangleq$2. (b) Sebaliknya, jika terdapat nilai v′ ̸= $\bot$sehingga, di antara semua pesan yang valid Tuan,3 j diterimanya, lebih dari 1/3nya berbentuk (ESIGj(v′), $\sigma$r,3 j ), lalu dia menetapkan vi $\triangleq$v′ dan gi $\triangleq$1.a (c) Jika tidak, ia menetapkan vi $\triangleq$H(Br ǫ ) dan gi $\triangleq$0. 2. Dia menghitung bi, masukan dari BBA⋆, sebagai berikut: bi $\triangleq$0 jika gi = 2, dan bi $\triangleq$1 jika tidak. 3. Dia menghitung pesan mr,4 saya $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,4 i ), menghancurkan kefanaannya kunci rahasia skr,4 i , dan kemudian menyebarkan mr,4 saya. aDapat dibuktikan bahwa v′ pada kasus (b), jika ada, pasti unik.

Langkah s, 5 $\leq$s $\leq$m + 2, s −2 ≡0 mod 3: Langkah BBA⋆ Koin-Tetap-Ke-0 Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkahnya sendiri pada putaran r segera setelah dia tahu Br−1. • Pengguna i menghitung Qr−1 dari komponen ketiga Br−1 dan memeriksa apakah i $\in$SV r,s. • Jika i /$\in$SV r,s, maka i menghentikan eksekusi Langkah s-nya segera. • Jika i $\in$SV r,s maka ia bertindak sebagai berikut. – Dia menunggu hingga selang waktu ts $\triangleq$ts−1 + 2$\lambda$ = (2s −3)$\lambda$ + Λ berlalu. – Kondisi Akhir 0: Jika, selama penantian tersebut dan pada suatu waktu tertentu, terdapat a string v ̸= $\bot$dan langkah s′ sedemikian rupa sehingga (a) 5 $\leq$s′ $\leq$s, s′ −2 ≡0 mod 3 —yaitu, Langkah s′ adalah langkah Koin-Tetap-Ke-0, (b) saya telah menerima setidaknya tH = 2n 3 + 1 pesan valid tuan,s′−1 j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ),a dan (c) Saya telah menerima pesan yang valid, Tuan,1 j = (Sdr j , esigj(H(Br j )), $\sigma$r,1 j ) dengan v = H(Br j ), kemudian, saya langsung menghentikan eksekusi Langkah s (dan faktanya putaran r) tanpanya menyebarkan apa pun; himpunan Br = Br j ; dan menetapkan CERT r miliknya sendiri menjadi kumpulan pesan Tuan, s′−1 j dari sub-langkah (b).b – Kondisi Akhir 1: Jika, selama penantian tersebut dan pada suatu waktu tertentu, terdapat a langkah s′ seperti itu (a’) 6 $\leq$s′ $\leq$s, s′ −2 ≡1 mod 3 —yaitu, Langkah s′ adalah langkah Koin-Tetap-Ke-1, dan (b') saya telah menerima setidaknya pesan yang valid tuan,s′−1 j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j ),c kemudian, saya langsung menghentikan eksekusi Langkah s (dan faktanya putaran r) tanpanya menyebarkan apa pun; himpunan Br = Br ; dan menetapkan CERT r miliknya sendiri menjadi kumpulan pesan Tuan, s′−1 j dari sub-langkah (b'). – Jika tidak, di akhir penantian, pengguna i akan melakukan hal berikut. Ia menetapkan vi sebagai suara terbanyak dari vj pada komponen kedua dari semua yang sah Tuan, s−1 j itu yang dia terima. Dia menghitung bi sebagai berikut. Jika lebih dari 2/3 dari seluruh mr,s−1 yang valid j yang dia terima adalah dalam bentuk (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), lalu dia menetapkan bi $\triangleq$0. Lain, jika lebih dari 2/3 dari seluruh mr,s−1 yang valid j yang dia terima adalah dalam bentuk (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), lalu dia menetapkan bi $\triangleq$1. Jika tidak, dia menetapkan bi $\triangleq$0. Dia menghitung pesan mr, s saya $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ), menghancurkan kefanaannya kunci rahasia skr,s i , dan kemudian menyebarkan mr,s saya. aPesan seperti itu dari pemain j dihitung meskipun pemain i juga menerima pesan dari j yang menandatangani untuk 1. Hal serupa untuk Kondisi Akhir 1. Seperti yang ditunjukkan dalam analisis, hal ini dilakukan untuk memastikan bahwa semua pengguna yang jujur mengetahuinya Br dalam waktu $\lambda$ satu sama lain. pengguna saya sekarang mengetahui Br dan penyelesaian putarannya sendiri. Dia masih membantu menyebarkan pesan sebagai pengguna umum, tapi tidak memulai propagasi apa pun sebagai pemverifikasi (r, s). Secara khusus, dia telah membantu menyebarkan semua pesan di dalamnya CERT r, yang cukup untuk protokol kami. Perhatikan bahwa ia juga harus menetapkan bi $\triangleq$0 untuk protokol biner BA, tetapi bi tidak diperlukan dalam kasus ini. Hal serupa untuk semua instruksi di masa depan. cDalam hal ini, tidak menjadi masalah apa pun vjnya.Langkah s, 6 $\leq$s $\leq$m + 2, s −2 ≡1 mod 3: Langkah BBA⋆ Koin-Tetap-Ke-1 Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkahnya sendiri pada putaran r segera setelah dia tahu Br−1. • Pengguna i menghitung Qr−1 dari komponen ketiga Br−1 dan memeriksa apakah i $\in$SV r,s atau tidak. • Jika i /$\in$SV r,s, maka i menghentikan eksekusi Langkah s-nya segera. • Jika i $\in$SV r,s maka ia melakukan hal berikut. – Dia menunggu hingga selang waktu ts $\triangleq$(2s −3)$\lambda$ + Λ telah berlalu. – Kondisi Akhir 0: Instruksi yang sama seperti langkah Coin-Fixed-To-0. – Kondisi Akhir 1: Instruksi yang sama seperti langkah Coin-Fixed-To-0. – Jika tidak, di akhir penantian, pengguna i akan melakukan hal berikut. Ia menetapkan vi sebagai suara terbanyak dari vj pada komponen kedua dari semua yang sah Tuan, s−1 j itu yang dia terima. Dia menghitung bi sebagai berikut. Jika lebih dari 2/3 dari seluruh mr,s−1 yang valid j yang dia terima adalah dalam bentuk (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), lalu dia menetapkan bi $\triangleq$0. Lain, jika lebih dari 2/3 dari seluruh mr,s−1 yang valid j yang dia terima adalah dalam bentuk (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), lalu dia menetapkan bi $\triangleq$1. Jika tidak, dia menetapkan bi $\triangleq$1. Dia menghitung pesan mr, s saya $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ), menghancurkan kefanaannya kunci rahasia skr,s i , dan kemudian menyebarkan mr,s saya.

Langkah s, 7 $\leq$s $\leq$m + 2, s −2 ≡2 mod 3: Langkah BBA⋆ yang Benar-Benar Dibalik Koin Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkahnya sendiri pada putaran r segera setelah dia tahu Br−1. • Pengguna i menghitung Qr−1 dari komponen ketiga Br−1 dan memeriksa apakah i $\in$SV r,s atau tidak. • Jika i /$\in$SV r,s, maka i menghentikan eksekusi Langkah s-nya segera. • Jika i $\in$SV r,s maka ia melakukan hal berikut. – Dia menunggu hingga selang waktu ts $\triangleq$(2s −3)$\lambda$ + Λ telah berlalu. – Kondisi Akhir 0: Instruksi yang sama seperti langkah Coin-Fixed-To-0. – Kondisi Akhir 1: Instruksi yang sama seperti langkah Coin-Fixed-To-0. – Jika tidak, di akhir penantian, pengguna i akan melakukan hal berikut. Ia menetapkan vi sebagai suara terbanyak dari vj pada komponen kedua dari semua yang sah Tuan, s−1 j itu yang dia terima. Dia menghitung bi sebagai berikut. Jika lebih dari 2/3 dari seluruh mr,s−1 yang valid j yang dia terima adalah dalam bentuk (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), lalu dia menetapkan bi $\triangleq$0. Lain, jika lebih dari 2/3 dari seluruh mr,s−1 yang valid j yang dia terima adalah dalam bentuk (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), lalu dia menetapkan bi $\triangleq$1. Jika tidak, misalkan SV r,s−1 saya menjadi himpunan (r, s −1)-pengukur yang darinya ia menerima valid pesan tuan, s−1 j . Dia menetapkan bi $\triangleq$lsb(minj$\in$SV r,s−1 saya H($\sigma$r,s−1 j )). Dia menghitung pesan mr, s saya $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ), menghancurkan kefanaannya kunci rahasia skr,s i , dan kemudian menyebarkan mr,s saya.

Langkah m + 3: Langkah Terakhir BBA⋆a Petunjuk untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkahnya sendiri m + 3 putaran r segera setelah dia tahu Br−1. • Pengguna i menghitung Qr−1 dari komponen ketiga Br−1 dan memeriksa apakah i $\in$SV r,m+3 atau tidak. • Jika i /$\in$SV r,m+3, maka i menghentikan eksekusi Langkah m + 3 segera. • Jika i $\in$SV r,m+3 maka ia melakukan hal berikut. – Dia menunggu sampai selang waktu tm+3 $\triangleq$tm+2 + 2$\lambda$ = (2m + 3)$\lambda$ + Λ telah berlalu. – Kondisi Akhir 0: Instruksi yang sama seperti langkah Coin-Fixed-To-0. – Kondisi Akhir 1: Instruksi yang sama seperti langkah Coin-Fixed-To-0. – Jika tidak, di akhir penantian, pengguna i akan melakukan hal berikut. Dia menetapkan outi $\triangleq$1 dan Br $\triangleq$Br . Dia menghitung pesan mr,m+3 saya = (ESIGi(outi), ESIGi(H(Br)), $\sigma$r,m+3 saya ), menghancurkan miliknya kunci rahasia sementara skr,m+3 saya , dan kemudian menyebarkan mr,m+3 saya untuk mensertifikasi Br.b aDengan kemungkinan besar BBA⋆telah berakhir sebelum langkah ini, dan kami menetapkan langkah ini sebagai penyelesaian. sertifikat bA dari Langkah m + 3 tidak harus menyertakan ESIGi(outi). Kami menyertakannya untuk keseragaman saja: the sertifikat kini memiliki format yang seragam, apa pun langkah pembuatannya.Rekonstruksi Blok Round-r oleh Non-Verifiers Petunjuk untuk setiap pengguna i dalam sistem: Pengguna i memulai putarannya sendiri r segera setelah dia mengetahuinya Br−1, dan tunggu informasi blok sebagai berikut. – Jika, selama penantian tersebut dan pada suatu waktu tertentu, terdapat string v dan langkah s′ seperti itu itu (a) 5 $\leq$s′ $\leq$m + 3 dengan s′ −2 ≡0 mod 3, (b) saya telah menerima setidaknya pesan yang valid tuan,s′−1 j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ), dan (c) Saya telah menerima pesan yang valid, Tuan,1 j = (Sdr j , esigj(H(Br j )), $\sigma$r,1 j ) dengan v = H(Br j ), kemudian, saya segera menghentikan eksekusi putaran r-nya sendiri; himpunan Br = Br j; dan menetapkan CERT r-nya sendiri menjadi himpunan pesan mr,s′−1 j dari sub-langkah (b). – Jika, selama penantian tersebut dan pada suatu waktu tertentu, terdapat langkah s′ sedemikian rupa sehingga (a’) 6 $\leq$s′ $\leq$m + 3 dengan s′ −2 ≡1 mod 3, dan (b') saya telah menerima setidaknya pesan yang valid tuan,s′−1 j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j ), kemudian, saya segera menghentikan eksekusi putaran r-nya sendiri; himpunan Br = Br ; dan menetapkan CERT r-nya sendiri menjadi himpunan pesan mr,s′−1 j dari sub-langkah (b'). – Jika, selama penantian tersebut dan pada suatu waktu, saya telah menerima setidaknya pesan yang valid Tuan, m+3 j = (ESIGj(1), ESIGj(H(Br ǫ )), $\sigma$r,m+3 j ), lalu saya menghentikan eksekusinya sendiri pada putaran r segera, himpunan Br = Br ǫ , dan menetapkan CERT r miliknya sendiri menjadi kumpulan pesan mr,m+3 j untuk 1 dan H(Br ). 5.5 Analisis Algorand′ 1 Kami memperkenalkan notasi berikut untuk setiap putaran r $\geq$0, yang digunakan dalam analisis. • Misalkan T r adalah waktu ketika pengguna pertama yang jujur mengetahui Br−1. • Misalkan Ir+1 adalah interval [T r+1, T r+1 + $\lambda$]. Perhatikan bahwa T 0 = 0 dengan inisialisasi protokol. Untuk setiap s $\geq$1 dan i $\in$SV r,s, ingat kembali hal tersebut $\alpha$r,s saya dan $\beta$r,s saya masing-masing adalah waktu mulai dan waktu berakhirnya langkah pemain i. Selain itu, ingat bahwa ts = (2s −3)$\lambda$ + Λ untuk setiap 2 $\leq$s $\leq$m + 3. Sebagai tambahan, misalkan I0 $\triangleq${0} dan t1 $\triangleq$0. Terakhir, ingatlah bahwa Lr $\leq$m/3 adalah variabel acak yang mewakili jumlah percobaan Bernoulli diperlukan untuk melihat angka 1, ketika setiap percobaan adalah 1 dengan probabilitas ph 2 dan paling banyak terdapat m/3 percobaan. Jika semua uji coba gagal maka Lr $\triangleq$m/3. Dalam analisis kami mengabaikan waktu komputasi, karena pada kenyataannya waktu tersebut dapat diabaikan dibandingkan dengan waktu yang dibutuhkan untuk menyebarkan pesan. Bagaimanapun, dengan menggunakan $\lambda$ dan Λ yang sedikit lebih besar, waktu komputasi bisa dimasukkan ke dalam analisis secara langsung. Sebagian besar pernyataan di bawah ini menyatakan “dengan luar biasa probabilitasnya,” dan kami mungkin tidak berulang kali menekankan fakta ini dalam analisis.5.6 Teorema Utama Teorema 5.1. Properti berikut ini memiliki probabilitas yang sangat besar untuk setiap putaran r $\geq$0: 1. Semua pengguna yang jujur menyetujui blok yang sama Br. 2. Ketika pemimpin $\ell$r jujur, blok Br dihasilkan oleh $\ell$r, Br berisi payset maksimal diterima oleh $\ell$r pada waktu $\alpha$r,1 $\ell$r , T r+1 $\leq$T r + 8$\lambda$ + Λ dan semua pengguna yang jujur mengetahui Br pada waktunya interval Ir+1. 3. Ketika pemimpin $\ell$r jahat, T r+1 $\leq$T r + (6Lr + 10)$\lambda$ + Λ dan semua pengguna yang jujur mengetahui Br dalam selang waktu Ir+1. 4. ph = h2(1 + h −h2) untuk Lr, dan pemimpin $\ell$r jujur dengan probabilitas paling sedikit ph. Sebelum membuktikan teorema utama kita, mari kita buat dua catatan. Perkataan. • Pembuatan Blok dan Latensi Sejati. Waktu untuk membangkitkan blok Br didefinisikan sebagai T r+1 −T r. Artinya, ini didefinisikan sebagai perbedaan antara pertama kali beberapa pengguna yang jujur mempelajari Br dan pertama kalinya beberapa pengguna yang jujur mempelajari Br−1. Ketika pemimpin putaran-r jujur, Properti 2 milik kita teorema utama menjamin bahwa waktu yang tepat untuk menghasilkan Br adalah waktu 8$\lambda$ + Λ, tidak peduli berapa pun nilai yang tepat dari h > 2/3 mungkin. Ketika pemimpinnya jahat, Properti 3 menyiratkan bahwa waktu yang diharapkan untuk menghasilkan Br dibatasi oleh ( 12 ph + 10)$\lambda$ + Λ, sekali lagi tidak peduli berapa tepatnya nilai h.18 Namun, waktu yang diharapkan untuk menghasilkan Br bergantung pada nilai h yang tepat. Memang benar, berdasarkan Sifat 4, ph = h2(1 + h −h2) dan pemimpinnya jujur dengan probabilitas paling sedikit ph, dengan demikian E[T r+1 −T r] $\leq$h2(1 + h −h2) $\cdot$ (8$\lambda$ + Λ) + (1 −h2(1 + h −h2))(( 12 h2(1 + h −h2) + 10)$\lambda$ + Λ). Misalnya, jika h = 80%, maka E[T r+1 −T r] $\leq$12.7$\lambda$ + Λ. • $\lambda$ vs. Λ. Perhatikan bahwa ukuran pesan yang dikirim oleh verifikasi pada langkah Algorand ′ didominasi berdasarkan panjang kunci tanda tangan digital, yang dapat tetap, meskipun jumlahnya pengguna sangatlah besar. Perhatikan juga bahwa, pada setiap langkah s > 1, jumlah n verifikator yang diharapkan sama dapat digunakan apakah jumlah penggunanya 100K, 100M, atau 100M. Hal ini terjadi karena n semata-mata bergantung pada h dan F. Oleh karena itu, kecuali ada kebutuhan mendadak untuk menambah panjang kunci rahasia, nilai $\lambda$ harus tetap sama tidak peduli seberapa besar jumlah pengguna di dalamnya masa depan yang dapat diperkirakan. Sebaliknya, untuk tingkat transaksi apa pun, jumlah transaksi bertambah seiring dengan jumlah pengguna. Oleh karena itu, untuk memproses semua transaksi baru secara tepat waktu, ukuran satu blok harus tepat juga bertambah seiring dengan jumlah pengguna, menyebabkan Λ pun bertambah. Jadi, dalam jangka panjang, kita harus melakukannya $\lambda$ << Λ. Oleh karena itu, wajar jika memiliki koefisien yang lebih besar untuk $\lambda$, dan sebenarnya koefisien dari 1 untuk Λ. Bukti Teorema 5.1. Kami membuktikan Properti 1–3 dengan induksi: dengan asumsi properti tersebut berlaku untuk putaran r −1 (tanpa kehilangan keumumannya, mereka secara otomatis berlaku untuk “putaran -1” ketika r = 0), kami membuktikannya putaran r. 18Memang benar, E[T r+1 −T r] $\leq$(6E[Lr] + 10)$\lambda$ + Λ = (6 $\cdot$ 2 ph + 10)$\lambda$ + Λ = ( 12 ph + 10)$\lambda$ + Λ.Karena Br−1 didefinisikan secara unik oleh hipotesis induktif, himpunan SV r,s didefinisikan secara unik untuk setiap langkah s pada putaran r. Dengan pilihan n1, SV r,1 ̸= $\emptyset$dengan probabilitas yang sangat besar. Kami sekarang nyatakan dua lemma berikut, dibuktikan dalam Bagian 5.7 dan 5.8. Sepanjang induksi dan masuk pembuktian kedua lemma, analisa putaran 0 hampir sama dengan langkah induktif, dan kami akan menyoroti perbedaannya ketika hal itu terjadi. Lemma 5.2. [Lemma Kelengkapan] Dengan Asumsi Properti 1–3 berlaku untuk ronde r−1, saat menjadi pemimpin $\ell$r jujur, dengan kemungkinan yang sangat besar, • Semua pengguna yang jujur menyetujui blok Br yang sama, yang dihasilkan oleh $\ell$r dan berisi maksimal payset diterima oleh $\ell$r pada waktu $\alpha$r,1 $\ell$r $\in$Ir; dan • T r+1 $\leq$T r + 8$\lambda$ + Λ dan semua pengguna yang jujur mengetahui Br pada interval waktu Ir+1. Lemma 5.3. [Lemma Kesehatan] Dengan Asumsi Properti 1–3 berlaku untuk ronde r −1, saat menjadi pemimpin $\ell$r berbahaya, dengan kemungkinan besar, semua pengguna jujur menyetujui blok yang sama Br, T r+1 $\leq$ T r + (6Lr + 10)$\lambda$ + Λ dan semua pengguna yang jujur mengetahui Br dalam interval waktu Ir+1. Sifat 1–3 berlaku dengan menerapkan Lemmas 5.2 dan 5.3 pada r = 0 dan pada langkah induktif. Akhirnya, kami menyatakan kembali Properti 4 sebagai lemma berikut, dibuktikan di Bagian 5.9. Lemma 5.4. Sifat yang diberikan 1–3 untuk setiap putaran sebelum r, ph = h2(1 + h −h2) untuk Lr, dan pemimpin $\ell$r jujur dengan probabilitas setidaknya ph. Dengan menggabungkan ketiga lemma di atas, Teorema 5.1 berlaku. ■ Lemma di bawah menyatakan beberapa sifat penting tentang putaran r mengingat induktifnya hipotesis, dan akan digunakan dalam pembuktian ketiga lemma di atas. Lemma 5.5. Asumsikan Properti 1–3 berlaku untuk putaran r −1. Untuk setiap langkah s $\geq$1 putaran r dan setiap pemverifikasi jujur saya $\in$HSV r,s, kami punya itu (a) $\alpha$r,s saya $\in$Ir; (b) jika pemain i telah menunggu selama beberapa waktu ts, maka $\beta$r,s saya $\in$[T r + ts, T r + $\lambda$ + ts] untuk r > 0 dan $\beta$r, s saya = ts untuk r = 0; dan (c) jika pemain i telah menunggu selama beberapa waktu ts, maka dalam waktu $\beta$r,s i, dia telah menerima semua pesan dikirim oleh semua verifikator yang jujur j $\in$HSV r,s′ untuk semua langkah s′ < s. Selain itu, untuk setiap langkah s $\geq$3, kita memilikinya (d) tidak terdapat dua pemain berbeda i, i′ $\in$SV r,s dan dua nilai berbeda v, v′ yang sama panjangnya, sehingga kedua pemain telah menunggu sejumlah waktu ts, lebih dari 2/3 dari keseluruhan waktu pesan yang valid tuan,s−1 j pemain yang saya terima telah menandatangani v, dan lebih dari 2/3 dari semuanya valid pesan tuan, s−1 j pemain yang saya terima telah menandatangani v ′. Bukti. Properti (a) mengikuti langsung hipotesis induktif, karena pemain i mengetahui Br−1 di interval waktu Ir dan segera memulai langkahnya sendiri. Properti (b) mengikuti langsung dari (a): sejak pemain saya telah menunggu beberapa saat sebelum bertindak, $\beta$r,s saya = $\alpha$r,s saya + ts. Perhatikan bahwa $\alpha$r,s saya = 0 untuk r = 0. Sekarang kita buktikan Properti (c). Jika s = 2, maka berdasarkan Properti (b), untuk semua verifikasi j $\in$HSV r,1 kita punya $\beta$r, s saya = $\alpha$r,s saya + ts $\geq$T r + ts = T r + $\lambda$ + Λ $\geq$ $\beta$r,1 j + Λ.Karena setiap verifier j $\in$HSV r,1 mengirimkan pesannya pada waktu $\beta$r,1 j dan pesannya sampai kepada semua orang dengan jujur pengguna paling banyak dalam waktu Λ, dalam waktu $\beta$r,s saya pemain saya telah menerima pesan yang dikirim oleh semua verifikator masuk HSV r,1 sesuai keinginan. Jika s > 2, maka ts = ts−1 + 2$\lambda$. Berdasarkan Properti (b), untuk semua langkah s′ < s dan semua verifikasi j $\in$HSV r,s′, $\beta$r, s saya = $\alpha$r,s saya + ts $\geq$T r + ts = T r + ts−1 + 2$\lambda$ $\geq$T r + ts′ + 2$\lambda$ = T r + $\lambda$ + ts′ + $\lambda$ $\geq$ $\beta$r,s′ j + $\lambda$. Karena setiap verifier j $\in$HSV r,s′ mengirimkan pesannya pada waktu $\beta$r,s′ j dan pesannya sampai kepada semua orang dengan jujur pengguna paling banyak dalam waktu $\lambda$, dalam waktu $\beta$r,s saya pemain saya telah menerima semua pesan yang dikirim oleh semua verifikasi yang jujur dalam HSV r,s′ untuk semua s′ < s. Dengan demikian Properti (c) berlaku. Terakhir, kita buktikan Properti (d). Perhatikan bahwa verifikator j $\in$SV r,s−1 menandatangani paling banyak dua hal Langkah s −1 menggunakan kunci rahasia sementaranya: nilai vj yang panjangnya sama dengan keluaran dari fungsi hash, dan juga sedikit bj $\in${0, 1} jika s −1 $\geq$4. Itu sebabnya dalam pernyataan lemma kita mengharuskan v dan v′ memiliki panjang yang sama: banyak verifier yang mungkin telah menandatangani kedua nilai hash v dan sedikit b, sehingga keduanya melewati ambang batas 2/3. Asumsikan demi kontradiksi bahwa terdapat verifier i, i′ dan nilai v, v′ yang diinginkan. Perhatikan bahwa beberapa pengverifikasi jahat di MSV r,s−1 mungkin telah menandatangani v dan v′, tetapi masing-masing verifikasi jujur pemverifikasi di HSV r,s−1 telah menandatangani paling banyak salah satunya. Berdasarkan Sifat (c), baik i maupun i′ telah diterima semua pesan yang dikirim oleh semua verifikator yang jujur di HSV r,s−1. Misalkan HSV r,s−1(v) adalah himpunan verifikator jujur (r, s −1) yang telah menandatangani v, MSV r,s−1 saya set dari pemverifikasi jahat (r, s −1) yang darinya saya telah menerima pesan yang valid, dan MSV r,s−1 saya (v) itu bagian dari MSV r,s−1 saya dari siapa saya menerima pesan yang sah penandatanganan v. Dengan persyaratan untuk aku dan v, kita punya rasio $\triangleq$|HSV r,s−1(v)| + |MSV r,s−1 saya (v)| |HSV r,s−1| + |MSV r,s−1 saya |

2 3. (1) Kami tampilkan dulu |MSV r,s−1 saya (v)| $\leq$|HSV r,s−1(v)|. (2) Dengan asumsi sebaliknya, berdasarkan hubungan antar parameter, dengan kemungkinan yang sangat besar |HSV r,s−1| > 2|MSV r,s−1| $\geq$2|MSV r,s−1 saya |, dengan demikian rasio < |HSV r,s−1(v)| + |MSV r,s−1 saya (v)| 3|MSV r,s−1 saya | < 2|MSV r,s−1 saya (v)| 3|MSV r,s−1 saya | $\leq$2 3, bertentangan dengan Ketimpangan 1. Selanjutnya, dengan Pertidaksamaan 1 yang kita dapatkan 2|HSV r,s−1| + 2|MSV r,s−1 saya | < 3|HSV r,s−1(v)| + 3|MSV r,s−1 saya (v)| $\leq$ 3|HSV r,s−1(v)| + 2|MSV r,s−1 saya | + |MSV r,s−1 saya (v)|. Dikombinasikan dengan Ketimpangan 2, 2|HSV r,s−1| < 3|HSV r,s−1(v)| + |MSV r,s−1 saya (v)| $\leq$4|HSV r,s−1(v)|, yang menyiratkan |HSV r,s−1(v)| > 1 2|HSV r,s−1|.Demikian pula, dengan persyaratan untuk i′ dan v′, kita punya |HSV r,s−1(v′)| > 1 2|HSV r,s−1|. Karena pemverifikasi yang jujur j $\in$HSV r,s−1 menghancurkan kunci rahasia sementaranya skr,s−1 j sebelum disebarkan pesannya, Musuh tidak dapat memalsukan tanda tangan j untuk nilai yang tidak ditandatangani oleh j setelahnya mengetahui bahwa j adalah pemverifikasi. Jadi, kedua pertidaksamaan di atas menyiratkan |HSV r,s−1| $\geq$|HSV r,s−1(v)| + |HSV r,s−1(v′)| > |HSV r,s−1|, sebuah kontradiksi. Oleh karena itu, i, i′, v, v′ yang diinginkan tidak ada, dan Properti (d) dimiliki. ■ 5.7 Kelengkapan Lemma Lemma 5.2. [Lemma Kelengkapan, dinyatakan kembali] Dengan asumsi Properti 1–3 berlaku untuk putaran r−1, kapan pemimpinnya jujur, dengan kemungkinan besar, • Semua pengguna yang jujur menyetujui blok Br yang sama, yang dihasilkan oleh $\ell$r dan berisi maksimal payset diterima oleh $\ell$r pada waktu $\alpha$r,1 $\ell$r $\in$Ir; dan • T r+1 $\leq$T r + 8$\lambda$ + Λ dan semua pengguna yang jujur mengetahui Br pada interval waktu Ir+1. Bukti. Berdasarkan hipotesis induktif dan Lemma 5.5, untuk setiap langkah s dan pemverifikasi i $\in$HSV r,s, $\alpha$r,s saya $\in$Ir. Di bawah ini kami menganalisis protokol langkah demi langkah. Langkah 1. Berdasarkan definisinya, setiap pemverifikasi yang jujur i $\in$HSV r,1 menyebarkan pesan yang diinginkan mr,1 saya di waktu $\beta$r,1 saya = $\alpha$r,1 saya , dimana tuan,1 saya = (Sdr saya , esigi(H(Br saya )), $\sigma$r,1 saya ), Sdr i = (r, BAYAR r saya , SIGi(Qr−1), H(Br−1)), dan MEMBAYAR r i adalah pembayaran maksimal di antara semua pembayaran yang telah saya lihat pada waktu $\alpha$r,1 saya. Langkah 2. Perbaiki secara sewenang-wenang pemverifikasi yang jujur i $\in$HSV r,2. Oleh Lemma 5.5, ketika pemain i selesai menunggu pada waktu $\beta$r,2 saya = $\alpha$r,2 saya + t2, dia telah menerima semua pesan yang dikirim oleh verifikator di HSV r,1, termasuk Tuan, 1 $\ell$r. Berdasarkan definisi $\ell$r, tidak ada pemain lain di PKr−k yang kredensialnya hash nilainya lebih kecil dari H($\sigma$r,1 $\ell$r ). Tentu saja Musuh dapat merusak $\ell$r setelah melihat H($\sigma$r,1 $\ell$r ) sangat kecil, tetapi pada saat itu pemain $\ell$r telah menghancurkan kunci sementaranya dan pesan mr,1 $\ell$r telah disebarkan. Jadi pemverifikasi saya menetapkan pemimpinnya sendiri menjadi pemain $\ell$r. Oleh karena itu, pada waktu $\beta$r,2 saya , pemverifikasi saya menyebarkan Pak,2 saya = (ESIGi(v′ saya), $\sigma$r,2 saya ), di mana v′ saya = H(Br $\ell$r). Ketika r = 0, satu-satunya perbedaan apakah itu $\beta$r,2 saya = t2 daripada berada dalam jangkauan. Hal serupa dapat dikatakan untuk langkah-langkah masa depan dan kita tidak akan menekankannya lagi. Langkah 3. Sewenang-wenang memperbaiki pemverifikasi yang jujur i $\in$HSV r,3. Oleh Lemma 5.5, ketika pemain i selesai menunggu pada waktu $\beta$r,3 saya = $\alpha$r,3 saya + t3, dia telah menerima semua pesan yang dikirim oleh verifikator di HSV r,2. Berdasarkan hubungan antar parameter, dengan probabilitas yang sangat besar |HSV r,2| > 2|MSV r,2|. Selain itu, tidak ada verifikasi yang jujur yang akan menandatangani pesan-pesan yang bertentangan, dan Musuh tidak dapat memalsukan tanda tangan pemeriksa yang jujur setelah pemeriksa tersebut memusnahkan tanda tangannya kunci rahasia sementara. Jadi lebih dari 2/3 dari semua pesan valid (r, 2) yang saya terima berasal dari verifikator yang jujur dan dalam bentuk Tuan,2 j = (ESIGj(H(Br $\ell$r)), $\sigma$r,2 j ), tanpa kontradiksi. Oleh karena itu, pada waktu $\beta$r,3 saya pemain saya menyebarkan mr,3 saya = (ESIGi(v′), $\sigma$r,3 saya ), dimana v′ = H(Br $\ell$r).Langkah 4. Memperbaiki secara sewenang-wenang pemverifikasi yang jujur i $\in$HSV r,4. Dengan Lemma 5.5, pemain saya telah menerima semuanya pesan yang dikirim oleh verifikator di HSV r,3 setelah selesai menunggu pada waktu $\beta$r,4 saya = $\alpha$r,4 saya + t4. Mirip dengan Langkah 3, lebih dari 2/3 dari semua pesan valid (r, 3) yang saya terima berasal dari verifikator yang jujur dan dari bentuk tuan,3 j = (ESIGj(H(Br $\ell$r)), $\sigma$r,3 j ). Oleh karena itu, pemain i menetapkan vi = H(Br $\ell$r), gi = 2 dan bi = 0. Pada waktu $\beta$r,4 saya = $\alpha$r,4 saya +t4 dia menyebar Tuan, 4 saya = (ESIGi(0), ESIGi(H(Br $\ell$r)), $\sigma$r,4 saya ). Langkah 5. Perbaiki secara sewenang-wenang pemverifikasi yang jujur i $\in$HSV r,5. Dengan Lemma 5.5, pemain yang saya inginkan menerima semua pesan yang dikirim oleh verifikator di HSV r,4 jika dia menunggu sampai waktu $\alpha$r,5 saya + t5. Perhatikan itu |HSV r,4| $\geq$tH.19 Perhatikan juga bahwa semua verifikator di HSV r,4 telah menandatangani H(Br $\ell$r). Sebagai |MSV r,4| < tH, tidak ada v′ ̸= H(Br $\ell$r) yang bisa saja ditandatangani oleh tH pemverifikasi di SV r,4 (yang tentu saja jahat), jadi pemain i tidak berhenti sebelum dia melakukannya menerima pesan yang valid, Tuan, 4 j = (ESIGj(0), ESIGj(H(Br $\ell$r)), $\sigma$r,4 j ). Biarkan T menjadi waktu kapan peristiwa terakhir terjadi. Beberapa pesan tersebut mungkin berasal dari pemain jahat, tetapi karena |MSV r,4| < tH, setidaknya salah satunya berasal dari verifikator yang jujur di HSV r,4 dan dikirim setelah waktu tertentu T r + t4. Oleh karena itu, T $\geq$T r +t4 > T r +$\lambda$+Λ $\geq$ $\beta$r,1 $\ell$r +Λ, dan pada saat T pemain saya juga telah menerimanya pesannya pak,1 $\ell$r. Dengan konstruksi protokol, pemain i berhenti pada waktu $\beta$r,5 saya = T tanpa menyebarkan apa pun; himpunan Br = Br $\ell$r; dan menetapkan CERT r miliknya sendiri menjadi himpunan (r, 4)-pesan untuk 0 dan H(Br $\ell$r) yang diterimanya. Langkah s > 5. Demikian pula, untuk setiap langkah s > 5 dan setiap pemverifikasi i $\in$HSV r,s, pemain i akan memiliki menerima semua pesan yang dikirim oleh verifikator di HSV r,4 jika dia telah menunggu hingga waktu $\alpha$r,s saya + ts. Oleh analisa yang sama, pemain i berhenti tanpa menyebarkan apapun, setting Br = Br $\ell$r (dan mengatur sendiri CERT r dengan benar). Tentu saja, pemverifikasi jahat tidak boleh berhenti dan dapat menyebar secara sewenang-wenang pesan, tetapi karena |MSV r,s| < tH, dengan induksi tidak ada v′ lain yang dapat ditandatangani oleh pemeriksa tersebut pada setiap langkah 4 $\leq$s′ < s, sehingga verifikator yang jujur hanya berhenti karena mereka telah menerima validitas (r, 4)-pesan untuk 0 dan H(Br $\ell$r). Rekonstruksi Blok Round-r. Analisis pada Langkah 5 berlaku untuk kejujuran umum pengguna saya hampir tanpa perubahan apa pun. Memang, pemain i memulai putarannya sendiri r pada interval Ir dan hanya akan berhenti pada waktu T ketika dia telah menerima pesan (r, 4) yang valid untuk H(Br $\ell$r). Sekali lagi karena setidaknya satu dari pesan tersebut berasal dari verifikasi yang jujur dan dikirim setelah waktu T r + t4, pemain i punya juga menerima Tuan, 1 $\ell$r dengan waktu T. Jadi dia menetapkan Br = Br $\ell$r dengan CERT yang tepat r. Yang tersisa hanyalah menunjukkan bahwa semua pengguna yang jujur menyelesaikan putarannya r dalam interval waktu Ir+1. Berdasarkan analisis pada Langkah 5, setiap verifier yang jujur i $\in$HSV r,5 mengetahui Br pada atau sebelum $\alpha$r,5 saya + t5 $\leq$ T r + $\lambda$ + t5 = T r + 8$\lambda$ + Λ. Karena T r+1 adalah waktu ketika pengguna pertama yang jujur mengetahui Br, maka kita mengetahuinya T r+1 $\leq$T r + 8$\lambda$ + Λ sesuai keinginan. Apalagi ketika pemain mengenal Br, dia sudah membantu menyebarkan pesan-pesan yang masuk CERT-nya r. Perhatikan bahwa semua pesan tersebut akan diterima oleh semua pengguna yang jujur dalam waktu $\lambda$, meskipun 19Sebenarnya, hal ini terjadi dengan probabilitas yang sangat tinggi namun tidak terlalu besar. Namun, ini probabilitas sedikit mempengaruhi waktu berjalannya protokol, namun tidak mempengaruhi kebenarannya. Bila h = 80%, maka |HSV r,4| $\geq$tH dengan probabilitas 1 −10−8. Jika peristiwa ini tidak terjadi, maka protokol akan dilanjutkan ke peristiwa lain 3 langkah. Karena kemungkinan hal ini tidak terjadi pada dua langkah dapat diabaikan, maka protokol akan selesai pada Langkah 8. Dalam ekspektasinya, maka jumlah langkah yang dibutuhkan hampir 5.pemain saya adalah pemain pertama yang menyebarkannya. Apalagi berikut analisa diatas yang kami miliki T r+1 $\geq$T r + t4 $\geq$ $\beta$r,1 $\ell$r + Λ, jadi semua pengguna jujur telah menerima mr,1 $\ell$r menurut waktu T r+1 + $\lambda$. Oleh karena itu, semua pengguna yang jujur mengetahui Br dalam selang waktu Ir+1 = [T r+1, T r+1 + $\lambda$]. Terakhir, untuk r = 0 sebenarnya kita mempunyai T 1 $\leq$t4 + $\lambda$ = 6$\lambda$ + Λ. Menggabungkan semuanya bersama-sama, Lemma 5.2 berlaku. ■ 5.8 Lemma Kesehatan Lemma 5.3. [Lemma Kesehatan, dinyatakan kembali] Dengan asumsi Properti 1–3 berlaku untuk putaran r −1, kapan pemimpin $\ell$r jahat, dengan kemungkinan besar, semua pengguna jujur setuju pada blok yang sama Br, T r+1 $\leq$T r + (6Lr + 10)$\lambda$ + Λ dan semua pengguna yang jujur mengetahui Br dalam selang waktu Ir+1. Bukti. Kami mempertimbangkan dua bagian protokol, GC dan BBA⋆, secara terpisah. hal. Berdasarkan hipotesis induktif dan Lemma 5.5, untuk setiap langkah s $\in${2, 3, 4} dan setiap langkah jujur pemverifikasi i $\in$HSV r,s, ketika pemain i bertindak pada waktu $\beta$r,s saya = $\alpha$r,s saya + ts, dia telah menerima semua pesan yang dikirim oleh semua pemverifikasi yang jujur pada langkah s′ < s. Kami membedakan dua kemungkinan kasus untuk langkah 4. Kasus 1. Tidak ada pemverifikasi i $\in$HSV r,4 menetapkan gi = 2. Dalam hal ini, menurut definisi bi = 1 untuk semua verifier i $\in$HSV r,4. Artinya, mereka memulai dengan kesepakatan pada 1 dalam protokol BA biner. Mereka mungkin tidak memiliki kesepakatan mengenai vi mereka, tapi ini tidak masalah seperti yang akan kita lihat di BA biner. Kasus 2. Terdapat pemverifikasi ˆi $\in$HSV r,4 sehingga gˆi = 2. Dalam hal ini, kami menunjukkan hal itu (1) gi $\geq$1 untuk semua i $\in$HSV r,4, (2) terdapat nilai v′ sehingga vi = v′ untuk semua i $\in$HSV r,4, dan (3) ada pesan yang valid mr,1 $\ell$ dari beberapa pemverifikasi $\ell$ $\in$SV r,1 sehingga v′ = H(Br $\ell$). Memang benar, karena pemain ˆi jujur dan menetapkan gˆi = 2, lebih dari 2/3 dari semua pesan valid mr,3 j yang dia terima adalah untuk nilai yang sama v′ ̸= $\bot$, dan dia telah menetapkan vˆi = v′. Berdasarkan Sifat (d) dalam Lemma 5.5, untuk pemverifikasi i lainnya yang jujur (r, 4), tidak lebih dari itu. dari 2/3 dari semua pesan valid mr,3 j yang i′ terima bernilai sama v′′ ̸= v′. Oleh karena itu, jika saya menetapkan gi = 2, maka haruslah saya telah melihat > 2/3 mayoritas untuk v′ juga dan menetapkan vi = v′, sesuai keinginan. Sekarang pertimbangkan pemverifikasi sembarang i $\in$HSV r,4 dengan gi < 2. Mirip dengan analisis Properti (d) pada Lemma 5.5, karena pemain i telah memperoleh > 2/3 mayoritas untuk v′, lebih dari 1 2|HSV r,3| jujur (r, 3)-penguji telah menandatangani v′. Karena saya telah menerima semua pesan dari verifikasi yang jujur (r, 3). waktu $\beta$r,4 saya = $\alpha$r,4 saya + t4, dia secara khusus menerima lebih dari 1 2|HSV r,3| pesan dari mereka untuk v′. Karena |HSV r,3| > 2|MSV r,3|, saya telah melihat > 1/3 mayoritas untuk v′. Oleh karena itu, pemain i menetapkan gi = 1, dan Properti (1) berlaku. Apakah pemain i harus menyetel vi = v′? Asumsikan terdapat nilai yang berbeda v′′ ̸= $\bot$sehingga pemain yang saya juga lihat > 1/3 mayoritas untuk v′′. Beberapa dari pesan tersebut mungkin berasal dari pesan jahat penguji, tapi paling tidak salah satu dari mereka berasal dari penguji yang jujur j $\in$HSV r,3: tentu saja, karena |HSV r,3| > 2|MSV r,3| dan saya telah menerima semua pesan dari HSV r,3, kumpulan berbahaya pemverifikasi yang darinya saya menerima pesan valid (r, 3) dihitung < 1/3 dari semua pesan valid pesan yang dia terima.Berdasarkan definisi, pemain j harus melihat > 2/3 mayoritas untuk v′′ di antara semua pesan (r, 2) yang valid dia telah menerima. Namun, kami sudah mengetahui hal yang telah dilihat oleh beberapa pengverifikasi (r, 3) yang jujur 2/3 mayoritas untuk v′ (karena mereka menandatangani v′). Berdasarkan Sifat (d) Lemma 5.5, hal ini tidak bisa terjadi dan nilai v′′ seperti itu tidak ada. Jadi pemain i harus mengatur vi = v′ sesuai keinginan, dan Properti (2) dimiliki. Akhirnya, mengingat bahwa beberapa pengverifikasi (r, 3) yang jujur telah mendapatkan > 2/3 mayoritas untuk v′, beberapa (sebenarnya, lebih dari separuh) verifikator yang jujur (r, 2) telah menandatangani v′ dan menyebarkan pesan-pesan mereka. Dengan dibangunnya protokol tersebut, para verifikator yang jujur (r, 2) harus sudah mendapatkan surat keterangan yang sah pesan Pak, 1 $\ell$ dari beberapa pemain $\ell$ $\in$SV r,1 dengan v′ = H(Br $\ell$), dengan demikian Properti (3) berlaku. BBA⋆. Kami sekali lagi membedakan dua kasus. Kasus 1. Semua verifikator i $\in$HSV r,4 mempunyai bi = 1. Hal ini terjadi setelah Kasus 1 GC. Sebagai |MSV r,4| < tH, dalam hal ini tidak ada verifier di SV r,5 dapat mengumpulkan atau menghasilkan pesan yang valid (r, 4) untuk bit 0. Dengan demikian, tidak ada pemverifikasi yang jujur di HSV r,5 akan berhenti karena mengetahui blok yang tidak kosong Br. Selain itu, meskipun setidaknya ada pesan (r, 4) yang valid untuk bit 1, s′ = 5 tidak memuaskan s′ −2 ≡1 mod 3, sehingga tidak ada verifikator yang jujur di HSV r,5 yang akan berhenti karena dia mengetahui Br = Br . Sebaliknya, setiap pemverifikasi i $\in$HSV r,5 bertindak pada waktu $\beta$r,5 saya = $\alpha$r,5 saya + t5, saat dia telah menerima semuanya pesan yang dikirim oleh HSV r,4 mengikuti Lemma 5.5. Jadi pemain yang saya lihat > 2/3 mayoritas untuk 1 dan himpunan bi = 1. Pada Langkah 6 yang merupakan langkah Koin-Tetap-Ke-1, meskipun s′ = 5 memenuhi s′ −2 ≡0 mod 3, terdapat tidak ada pesan (r, 4) yang valid untuk bit 0, sehingga tidak ada pemverifikasi di HSV r,6 yang akan berhenti karena dia mengetahui blok yang tidak kosong Br. Namun, dengan s′ = 6, s′ −2 ≡1 mod 3 dan memang ada |HSV r,5| $\geq$tH valid (r, 5)-pesan untuk bit 1 dari HSV r,5. Untuk setiap verifier i $\in$HSV r,6, mengikuti Lemma 5.5, pada atau sebelum waktu $\alpha$r,6 saya + pemain t6 i telah menerima semua pesan dari HSV r,5, jadi saya berhenti tanpa menyebarkan apa pun dan menyetel Br = Br . CERT r-nya adalah kumpulan pesan (r, 5) yang valid mr,5 j = (ESIGj(1), ESIGj(vj), $\sigma$r,5 j ) diterima olehnya ketika dia berhenti. Selanjutnya, biarkan pemain i menjadi pemverifikasi yang jujur pada langkah s > 6 atau pengguna umum yang jujur (yaitu, non-verifikasi). Mirip dengan pembuktian Lemma 5.2, pemain i menetapkan Br = Br ǫ dan menetapkan miliknya sendiri CERT r menjadi himpunan pesan (r, 5) yang valid mr,5 j = (ESIGj(1), ESIGj(vj), $\sigma$r,5 j ) dia punya diterima. Terakhir, mirip dengan Lemma 5.2, Tr+1 $\leq$ menit i$\in$HSV r,6 $\alpha$r,6 saya + t6 $\leq$T r + $\lambda$ + t6 = T r + 10$\lambda$ + Λ, dan semua pengguna jujur mengetahui Br pada interval waktu Ir+1, karena pengguna jujur pertama adalah siapa mengetahui Br telah membantu menyebarkan pesan (r, 5) di CERT r-nya. Kasus 2. Terdapat verifier ˆi $\in$HSV r,4 dengan bˆi = 0. Hal ini terjadi setelah Kasus 2 GC dan merupakan kasus yang lebih kompleks. Dengan analisis GC, dalam hal ini terdapat pesan yang valid mr,1 $\ell$ sehingga vi = H(Br $\ell$) untuk semua i $\in$HSV r,4. Catatan bahwa pemverifikasi di HSV r,4 mungkin tidak memiliki kesepakatan mengenai bi mereka. Untuk setiap langkah s $\in${5, . . . , m + 3} dan pemverifikasi i $\in$HSV r,s, oleh pemain Lemma 5.5 saya akan memiliki menerima semua pesan yang dikirim oleh semua verifikator yang jujur di HSV r,4 $\cup$ $\cdots$ $\cup$HSV r,s−1 jika dia telah menunggu untuk waktu ts.Sekarang kita perhatikan kejadian berikut E: terdapat langkah s∗$\geq$5 sehingga, untuk langkah pertama waktu dalam biner BA, beberapa pemain i∗$\in$SV r,s∗(baik jahat atau jujur) harus berhenti tanpa menyebarkan apa pun. Kita menggunakan “harus berhenti” untuk menekankan fakta bahwa, jika pemain i∗ berbahaya, maka dia mungkin berpura-pura tidak berhenti sesuai dengan protokol dan menyebarkan pesan pilihan Musuh. Apalagi dengan konstruksi protokolnya juga (E.a) i∗mampu mengumpulkan atau menghasilkan setidaknya pesan yang valid mr,s′−1 j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ) untuk v dan s′ yang sama, dengan 5 $\leq$s′ $\leq$s∗dan s′ −2 ≡0 mod 3; atau (E.b) i∗mampu mengumpulkan atau menghasilkan setidaknya pesan yang valid mr,s′−1 j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j ) untuk s′ yang sama, dengan 6 $\leq$s′ $\leq$s∗dan s′ −2 ≡1 mod 3. Karena pesan jujur (r, s′ −1) diterima oleh semua pemeriksa jujur (r, s′) sebelum mereka selesai menunggu di Langkah s′, dan karena Musuh menerima semuanya selambat-lambatnya pengguna yang jujur, tanpa kehilangan sifat umum yang kami miliki s′ = s∗dan pemain i∗berbahaya. Perhatikan itu kami tidak mengharuskan nilai v di E.a menjadi hash dari blok yang valid: karena akan menjadi jelas dalam analisis, v = H(Br $\ell$) dalam sub-acara ini. Di bawah ini pertama-tama kita menganalisis Kasus 2 setelah peristiwa E, dan kemudian menunjukkan bahwa nilai s∗ pada dasarnya adalah didistribusikan sesuai dengan Lr (jadi kejadian E terjadi sebelum Langkah m + 3 dengan luar biasa probabilitas mengingat hubungan untuk parameter). Pertama-tama, untuk setiap langkah 5 $\leq$s < s∗, setiap pemverifikasi yang jujur i $\in$HSV r,s telah menunggu waktu ts dan menetapkan vi sebagai suara terbanyak dalam pemilu. valid (r, s−1)-pesan yang diterimanya. Sejak pemain i telah menerima semua pesan jujur (r, s−1). mengikuti Lemma 5.5, karena semua verifikator yang jujur di HSV r,4 telah menandatangani H(Br $\ell$) Kasus berikut 2 dari GC, dan sejak |HSV r,s−1| > 2|MSV r,s−1| untuk setiap s, dengan induksi kita mempunyai pemain i telah ditetapkan vi = H(Br $\ell$). Hal yang sama berlaku untuk setiap verifikator yang jujur i $\in$HSV r,s∗yang tidak berhenti tanpa menyebarkan apa pun. Sekarang kita pertimbangkan Langkah s∗dan membedakan empat subkasus. Kasus 2.1.a. Peristiwa E.a terjadi dan terdapat pemverifikasi yang jujur i′ $\in$HSV r,s∗siapa yang harus juga berhenti tanpa menyebarkan apa pun. Dalam hal ini, kita mempunyai s∗−2 ≡0 mod 3 dan Langkah s∗adalah langkah Koin-Tetap-Ke-0. Oleh definisinya, pemain i′ telah menerima setidaknya pesan (r, s∗−1) yang valid dalam bentuk (ESIGj(0), ESIGj(v), $\sigma$r,s∗−1 j ). Karena semua verifikator di HSV r,s∗−1 telah menandatangani H(Br $\ell$) dan |MSV r,s∗−1| < tH, kita mempunyai v = H(Br $\ell$). Karena setidaknya tH −|MSV r,s∗−1| $\geq$1 dari (r, s∗−1)-pesan yang diterima oleh i′ untuk 0 dan v dikirim oleh verifikator di HSV r,s∗−1 setelah waktu T r +ts∗−1 $\geq$T r +t4 $\geq$T r +$\lambda$+Λ $\geq$ $\beta$r,1 $\ell$ +Λ, pemain saya′ telah menerima tuan,1 $\ell$ pada saat dia menerima pesan (r, s∗−1) tersebut. Jadi pemain aku berhenti tanpa menyebarkan apa pun; himpunan Br = Br $\ell$; dan menetapkan CERT r miliknya sendiri menjadi kumpulan pesan valid (r, s∗−1) untuk 0 dan v yang telah diterimanya. Selanjutnya, kami tunjukkan bahwa, pemverifikasi lainnya i $\in$HSV r,s∗telah berhenti dengan Br = Br $\ell$, atau telah menetapkan bi = 0 dan menyebarkan (ESIGi(0), ESIGi(H(Br $\ell$)), $\sigma$r,s saya ). Memang, karena Langkah s∗ adalah pertama kalinya beberapa verifikator berhenti tanpa menyebarkan apa pun, ternyata tidak ada langkah s′ < s∗dengan s′ −2 ≡1 mod 3 sehingga pengverifikasi tH (r, s′ −1) telah menandatangani 1. Oleh karena itu, tidak ada verifikasi di HSV r,s∗berhenti dengan Br = Br .Terlebih lagi, seperti semua verifier yang jujur pada langkah {4, 5, . . . , s∗−1} telah menandatangani H(Br $\ell$), memang ada tidak ada langkah s′ $\leq$s∗dengan s′ −2 ≡0 mod 3 sehingga pengverifikasi tH (r, s′ −1) telah menandatangani beberapa v′′ ̸= H(Br $\ell$) —memang, |MSV r,s′−1| < th. Oleh karena itu, tidak ada pemverifikasi di HSV r,s∗stops dengan Br ̸= Br ǫ dan Br ̸= Br $\ell$. Artinya, jika pemain i $\in$HSV r,s∗telah berhenti tanpa menyebarkan apa pun, dia pasti menetapkan Br = Br $\ell$. Jika seorang pemain i $\in$HSV r,s∗telah menunggu waktu ts∗dan menyebarkan pesan pada waktu $\beta$r,s∗ saya = $\alpha$r,s∗ saya + ts∗, dia telah menerima semua pesan dari HSV r,s∗−1, termasuk setidaknya tH −|MSV r,s∗−1| dari mereka untuk 0 dan v. Jika saya melihat > 2/3 mayoritas untuk 1, maka dia telah melihat lebih dari 2(tH −|MSV r,s∗−1|) valid (r, s∗−1)-pesan untuk 1, dengan lebih banyak dari 2tH −3|MSV r,s∗−1| di antaranya dari pengverifikasi (r, s∗−1) yang jujur. Namun, hal ini menyiratkan |HSV r,s∗−1| $\geq$tH−|MSV r,s∗−1|+2tH−3|MSV r,s∗−1| > 2n−4|MSV r,s∗−1|, bertentangan fakta itu |HSV r,s∗−1| + 4|MSV r,s∗−1| < 2n, yang berasal dari hubungan untuk parameter. Oleh karena itu, saya tidak melihat > 2/3 mayoritas untuk 1, dan dia menetapkan bi = 0 karena Langkah s∗adalah langkah Koin-Tetap-Ke-0. Seperti yang kita miliki terlihat, vi = H(Br $\ell$). Jadi saya menyebarkan (ESIGi(0), ESIGi(H(Br $\ell$)), $\sigma$r,s i ) seperti yang kita inginkan menunjukkan. Untuk Langkah s∗+ 1, karena pemain i′ telah membantu menyebarkan pesan di CERT r-nya pada atau sebelum waktu $\alpha$r,s∗ saya′ + ts∗, semua verifikator yang jujur di HSV r,s∗+1 telah menerima setidaknya pesan (r, s∗−1) yang valid untuk bit 0 dan nilai H(Br $\ell$) pada atau sebelum selesai menunggu. Selanjutnya, pengverifikasi di HSV r,s∗+1 tidak akan berhenti sebelum menerima (r, s∗−1)- pesan, karena tidak ada pesan lain yang valid (r, s′ −1) untuk bit 1 dengan s′ −2 ≡1 mod 3 dan 6 $\leq$s′ $\leq$s∗+ 1, berdasarkan definisi Langkah s∗. Secara khusus, Langkah s∗+ 1 sendiri merupakan langkah Coin-Fixed-To-1, namun tidak ada verifier yang jujur di HSV r,s∗ yang telah disebarkan pesan untuk 1, dan |MSV r,s∗| < th. Jadi semua verifier yang jujur di HSV r,s∗+1 berhenti tanpa menyebarkan apa pun dan menetapkan Br = Sdr $\ell$: seperti sebelumnya, mereka telah menerima tuan,1 $\ell$ sebelum mereka menerima pesan (r, s∗−1) yang diinginkan.20 Hal yang sama juga berlaku untuk semua pemverifikasi yang jujur pada langkah selanjutnya dan semua pengguna yang jujur secara umum. Secara khusus, mereka semua mengetahui Br = Br $\ell$dalam selang waktu Ir+1 dan T r+1 $\leq$ $\alpha$r,s∗ saya′ + ts∗$\leq$T r + $\lambda$ + ts∗. Kasus 2.1.b. Peristiwa E.b terjadi dan terdapat pemverifikasi yang jujur i′ $\in$HSV r,s∗siapa yang harus juga berhenti tanpa menyebarkan apa pun. Dalam hal ini kita mempunyai s∗−2 ≡1 mod 3 dan Langkah s∗adalah langkah Koin-Tetap-Ke-1. Analisisnya mirip dengan Kasus 2.1.a dan banyak rincian yang dihilangkan. 20Jika $\ell$berniat jahat, dia mungkin akan mengirim Tuan, 1 $\ell$ terlambat, berharap beberapa pengguna/verifikasi yang jujur belum menerima mr,1 $\ell$ belum ketika mereka menerima sertifikat yang diinginkan untuk itu. Namun, karena verifier ˆi $\in$HSV r,4 telah menetapkan bˆi = 0 dan vˆi = H(Br $\ell$), sebagai sebelum kita mengetahui bahwa lebih dari separuh pengverifikasi yang jujur i $\in$HSV r,3 telah menetapkan vi = H(Br $\ell$). Hal ini semakin menyiratkan lebih banyak lagi dari separuh pengverifikasi yang jujur i $\in$HSV r,2 telah menetapkan vi = H(Br $\ell$), dan (r, 2)-verifier semuanya telah menerima mr,1 $\ell$. Sebagai Musuh tidak dapat membedakan verifikator dari non-verifikasi, ia tidak dapat menargetkan penyebaran mr,1 $\ell$ ke (r, 2)-pengverifikasi tanpa orang yang bukan pemverifikasi melihatnya. Faktanya, dengan probabilitas tinggi, lebih dari setengah (atau pecahan konstan yang bagus) dari semua pengguna jujur telah melihat mr,1 $\ell$ setelah menunggu t2 dari awal rondenya sendiri r. Mulai sekarang, itu waktu $\lambda$′ yang dibutuhkan untuk mr,1 $\ell$ untuk menjangkau pengguna jujur lainnya jauh lebih kecil dari Λ, dan demi kesederhanaan, kami tidak melakukannya tuliskan dalam analisis. Jika 4$\lambda$ $\geq$ $\lambda$′ maka analisis berjalan tanpa perubahan apa pun: pada akhir Langkah 4, semua pengguna yang jujur akan menerima mr,1 $\ell$. Jika ukuran balok menjadi sangat besar dan 4$\lambda$ < $\lambda$′, maka pada Langkah 3 dan 4, protokol dapat meminta setiap pemverifikasi untuk menunggu $\lambda$′/2 daripada 2$\lambda$, dan analisis terus berlanjut.Seperti sebelumnya, pemain i′ harus menerima setidaknya tH valid (r, s∗−1)-pesan dalam bentuk (ESIGj(1), ESIGj(vj), $\sigma$r,s∗−1 j ). Sekali lagi berdasarkan definisi s∗, tidak ada langkah 5 $\leq$s′ < s∗dengan s′ −2 ≡0 mod 3, dimana setidaknya tH (r, s′ −1)-pengverifikasi telah menandatangani 0 dan v yang sama. Jadi pemain i′ berhenti tanpa menyebarkan apa pun; himpunan Br = Br ; dan set CERT r miliknya sendiri menjadi himpunan pesan valid (r, s∗−1) untuk bit 1 yang telah diterimanya. Selain itu, pemverifikasi i $\in$HSV r,s∗ lainnya telah berhenti pada Br = Br , atau telah menetapkan bi = 1 dan diperbanyak (ESIGi(1), ESIGi(vi), $\sigma$r,s∗ saya ). Sejak player i′ telah membantu propagasi pesan (r, s∗−1) di CERT-nya r pada waktu $\alpha$r,s∗ saya′ + ts∗, sekali lagi semua verifier yang jujur masuk HSV r,s∗+1 berhenti tanpa menyebarkan apa pun dan mengatur Br = Br . Demikian pula semuanya jujur pengguna mengetahui Br = Br ǫ dalam interval waktu Ir+1 dan T r+1 $\leq$ $\alpha$r,s∗ saya′ + ts∗$\leq$T r + $\lambda$ + ts∗. Kasus 2.2.a. Peristiwa E.a terjadi dan tidak terdapat pemeriksa yang jujur i′ $\in$HSV r,s∗who juga harus berhenti tanpa menyebarkan apa pun. Dalam hal ini, perhatikan bahwa pemain i∗dapat memiliki CERT r yang valid i∗terdiri dari tH yang diinginkan (r, s∗−1)-pesan yang dapat dikumpulkan atau dihasilkan oleh Musuh. Namun, yang jahat pemeriksa mungkin tidak membantu menyebarkan pesan-pesan tersebut, jadi kami tidak dapat menyimpulkan bahwa mereka jujur pengguna akan menerimanya tepat waktu $\lambda$. Faktanya, |MSV r,s∗−1| dari pesan-pesan itu mungkin berasal pengverifikasi (r, s∗−1) jahat, yang tidak menyebarkan pesan mereka sama sekali dan hanya mengirim mereka ke pemverifikasi jahat di langkah s∗. Mirip dengan Kasus 2.1.a, di sini kita memiliki s∗−2 ≡0 mod 3, Langkah s∗adalah langkah Koin-Tetap-Ke-0, dan pesan (r, s∗−1) di CERT r i∗adalah untuk bit 0 dan v = H(Br $\ell$). Memang semuanya jujur (r, s∗−1)-verifier menandatangani v, sehingga Musuh tidak dapat menghasilkan pesan-pesan (r, s∗−1) yang valid untuk v′ yang berbeda. Terlebih lagi, semua pengverifikasi yang jujur (r, s∗) telah menunggu waktu ts∗dan tidak melihat > 2/3 mayoritas untuk bit 1, sekali lagi karena |HSV r,s∗−1| + 4|MSV r,s∗−1| < 2n. Demikianlah setiap verifikator yang jujur i $\in$HSV r,s∗set bi = 0, vi = H(Br $\ell$) dengan suara terbanyak, dan memperbanyak mr,s∗ saya = (ESIGi(0), ESIGi(H(Br $\ell$)), $\sigma$r,s∗ saya ) pada waktu $\alpha$r,s∗ saya + ts∗. Sekarang pertimbangkan pemverifikasi yang jujur pada Langkah s∗+ 1 (yang merupakan langkah Koin-Tetap-Ke-1). Jika Musuh sebenarnya mengirimkan pesan di CERT r i∗kepada beberapa di antaranya dan menyebabkannya stop, lalu mirip dengan Kasus 2.1.a, semua pengguna yang jujur mengetahui Br = Br $\ell$dalam interval waktu Ir+1 dan T r+1 $\leq$T r + $\lambda$ + ts∗+1. Jika tidak, semua verifikator yang jujur pada Langkah s∗+1 telah menerima semua pesan (r, s∗) untuk 0 dan H(Br $\ell$) dari HSV r,s∗setelah waktu tunggu ts∗+1, yang menghasilkan > 2/3 mayoritas, karena |HSV r,s∗| > 2|MSV r,s∗|. Jadi semua verifikator di HSV r,s∗+1 menyebarkan pesan mereka 0 dan H(Br $\ell$) sesuai dengan itu. Perhatikan bahwa verifier di HSV r,s∗+1 tidak berhenti pada Br = Br $\ell$, karena Langkah s∗+ 1 bukanlah langkah Koin-Tetap-Ke-0. Sekarang pertimbangkan pemverifikasi yang jujur pada Langkah s∗+2 (yang merupakan langkah Pembalikan Koin). Jika Musuh mengirimkan pesan dalam CERT r i∗kepada beberapa dari mereka dan menyebabkan mereka berhenti, sekali lagi semua pengguna yang jujur mengetahui Br = Br $\ell$dalam selang waktu Ir+1 dan T r+1 $\leq$T r + $\lambda$ + ts∗+2.Jika tidak, semua verifikasi yang jujur pada Langkah s∗+ 2 telah menerima semua pesan (r, s∗+ 1) untuk 0 dan H(Br $\ell$) dari HSV r,s∗+1 setelah waktu tunggu ts∗+2, sehingga menghasilkan > 2/3 mayoritas. Dengan demikian mereka semua menyebarkan pesannya untuk 0 dan H(Br $\ell$) sesuai dengan itu: itulah yang mereka lakukan bukan “melempar koin” dalam kasus ini. Sekali lagi, perhatikan bahwa mereka tidak berhenti tanpa menyebar, karena Langkah s∗+ 2 bukanlah langkah Koin-Tetap-Ke-0. Yang terakhir, bagi pemverifikasi yang jujur pada Langkah s∗+3 (yang merupakan langkah Koin-Tetap-Ke-0 lainnya), semua dari mereka akan menerima setidaknya pesan yang valid untuk 0 dan H(Br $\ell$) dari HSV s∗+2, jika mereka benar-benar menunggu waktu ts∗+3. Jadi, apakah Musuh mengirimkan pesan atau tidak di CERT r i∗ke salah satu dari mereka, semua verifier di HSV r,s∗+3 berhenti dengan Br = Br $\ell$, tanpa menyebarkan apa pun. Bergantung pada bagaimana Musuh bertindak, beberapa di antaranya mungkin pernah melakukannya CERT r mereka sendiri yang terdiri dari pesan-pesan (r, s∗−1) di CERT r i∗, dan yang lainnya punya CERT mereka sendiri r yang terdiri dari pesan-pesan (r, s∗+ 2). Bagaimanapun, semua pengguna yang jujur tahu Br = Br $\ell$dalam selang waktu Ir+1 dan T r+1 $\leq$T r + $\lambda$ + ts∗+3. Kasus 2.2.b. Peristiwa E.b terjadi dan tidak terdapat pemeriksa yang jujur i′ $\in$HSV r,s∗who juga harus berhenti tanpa menyebarkan apa pun. Analisis dalam kasus ini mirip dengan Kasus 2.1.b dan Kasus 2.2.a, sehingga banyak rinciannya. telah dihilangkan. Secara khusus, CERT r i∗terdiri dari pesan-pesan (r, s∗−1) yang diinginkan untuk bit 1 yang dapat dikumpulkan atau dihasilkan oleh Musuh, s∗−2 ≡1 mod 3, Langkah s∗is a Langkah Coin-Fixed-To-1, dan tidak ada pemverifikasi (r, s∗) yang jujur yang dapat memperoleh > 2/3 mayoritas untuk 0. Jadi, setiap pemverifikasi i $\in$HSV r,s∗set bi = 1 dan menyebarkan mr,s∗ saya = (ESIGi(1), ESIGi(vi), $\sigma$r,s∗ saya ) pada waktu $\alpha$r,s∗ saya + ts∗. Mirip dengan Kasus 2.2.a, dalam paling banyak 3 langkah lagi (yaitu protokol mencapai Langkah s∗+3, yang merupakan langkah Koin-Tetap-Ke-1 lainnya), semua pengguna yang jujur mengetahui Br = Br ǫ dalam selang waktu Ir+1. Selain itu, T r+1 mungkin $\leq$T r+$\lambda$+ts∗+1, atau $\leq$T r+$\lambda$+ts∗+2, atau $\leq$T r + $\lambda$ + ts∗+3, bergantung pada kapan pertama kalinya verifikator yang jujur dapat menghentikan tanpa menyebar. Menggabungkan empat sub-kasus, kami mendapatkan bahwa semua pengguna yang jujur mengetahui Br dalam interval waktu tersebut Ir+1, dengan T r+1 $\leq$T r + $\lambda$ + ts∗dalam Kasus 2.1.a dan 2.1.b, dan T r+1 $\leq$T r + $\lambda$ + ts∗+3 dalam Kasus 2.2.a dan 2.2.b. Tetap pada batas atas s∗dan dengan demikian T r+1 untuk Kasus 2, dan kami melakukannya dengan mempertimbangkan bagaimana berkali-kali langkah-langkah yang Dibalik Koin sebenarnya dijalankan dalam protokol: yaitu, beberapa pemverifikasi yang jujur sebenarnya telah melakukan lemparan koin. Secara khusus, perbaiki secara sewenang-wenang langkah Koin-Benar-Terbalik s′ (yaitu, 7 $\leq$s′ $\leq$m + 2 dan s′ −2 ≡2 mod 3), dan misalkan $\ell$′ $\triangleq$arg minj$\in$SV r,s′−1 H($\sigma$r,s′−1 j ). Untuk saat ini mari kita asumsikan s′ < s∗, karena jika tidak, tidak ada pemverifikasi yang jujur yang benar-benar melempar koin pada Langkah s′, menurut langkah sebelumnya diskusi. Berdasarkan definisi SV r,s′−1, nilai hash dari kredensial $\ell$′ juga merupakan yang terkecil di antara semua pengguna di PKr−k. Karena fungsi hash adalah oracle acak, idealnya pemain $\ell$′ jujur dengan probabilitas setidaknya h. Seperti yang akan kami tunjukkan nanti, meskipun Musuh mencoba yang terbaik untuk memprediksinya keluaran oracle acak dan memiringkan probabilitas, pemain $\ell$′ masih jujur dengan probabilitaspaling tidak ph = h2(1 + h −h2). Di bawah ini kami mempertimbangkan kasus ketika hal tersebut benar-benar terjadi: yaitu, $\ell$′ $\in$HSV r,s′−1. Perhatikan bahwa setiap pemverifikasi yang jujur i $\in$HSV r,s′ telah menerima semua pesan dari HSV r,s′−1 pada waktu $\alpha$r,s′ saya + ts′. Jika pemain i perlu melempar koin (yaitu, dia belum melihat > 2/3 mayoritas untuk bit yang sama b $\in${0, 1}), lalu ia menetapkan bi = lsb(H($\sigma$r,s′−1 $\ell$′ )). Jika ada yang lain jujur pemverifikasi i′ $\in$HSV r,s′ yang telah melihat > 2/3 mayoritas untuk bit b $\in${0, 1}, maka berdasarkan Properti (d) dari Lemma 5.5, tidak ada pemverifikasi yang jujur di HSV r,s′ yang akan memperoleh > 2/3 mayoritas untuk sementara waktu b′ ̸= b. Sejak lsb(H($\sigma$r,s′−1 $\ell$′ )) = b dengan probabilitas 1/2, semua verifier yang jujur di HSV r,s′ dapat dijangkau kesepakatan pada b dengan probabilitas 1/2. Tentu saja, jika pemverifikasi i′ tersebut tidak ada, maka semuanya ada pemverifikasi yang jujur di HSV r,s′ menyetujui bit lsb(H($\sigma$r,s′−1 $\ell$′ )) dengan probabilitas 1. Menggabungkan probabilitas untuk $\ell$′ $\in$HSV r,s′−1, kita mendapatkan bahwa pemverifikasi yang jujur dalam HSV r,s′ mencapai kesepakatan pada bit b $\in${0, 1} dengan probabilitas paling sedikit ph 2 = h2(1+h−h2) 2 . Selain itu, dengan induksi pada suara mayoritas seperti sebelumnya, semua verifier yang jujur di HSV r,s′ telah menetapkan vinya menjadi H(Br $\ell$). Jadi, setelah kesepakatan tentang b tercapai pada Langkah s′, T r+1 adalah baik $\leq$T r + $\lambda$ + ts′+1 atau $\leq$T r + $\lambda$ + ts′+2, tergantung pada apakah b = 0 atau b = 1, mengikuti analisis Kasus 2.1.a dan 2.1.b. Di khususnya, tidak ada langkah Pembalikan Koin lebih lanjut yang akan dijalankan: yaitu, pemverifikasi di langkah-langkah tersebut masih memeriksa apakah merekalah yang melakukan verifikasi dan dengan demikian menunggu, namun langkah-langkah tersebut akan berhenti jika tidak dilakukan menyebarkan apa pun. Oleh karena itu, sebelum Langkah s∗, berapa kali langkah Coin-GenuinelyFlipped dijalankan didistribusikan sesuai dengan variabel acak Lr. Membiarkan Langkah s′ menjadi langkah terakhir yang Benar-Benar Dibalik Koin menurut Lr, dengan konstruksi protokol kita punya s′ = 4 + 3Lr. Kapan Musuh harus membuat Langkah itu terjadi jika dia ingin menunda T r+1 sebanyak itu mungkin? Kita bahkan dapat berasumsi bahwa Musuh mengetahui realisasi Lr terlebih dahulu. Jika s∗> s′ maka percuma saja, karena verifikator yang jujur sudah mencapai kesepakatan Langkah s′. Yang pasti, dalam kasus ini s∗akan menjadi s′ +1 atau s′ +2, sekali lagi bergantung pada apakah b = 0 atau b = 1. Namun, ini sebenarnya Kasus 2.1.a dan 2.1.b, dan T r+1 yang dihasilkan sama persis dengan sama seperti dalam kasus itu. Lebih tepatnya, T r+1 $\leq$T r + $\lambda$ + ts∗$\leq$T r + $\lambda$ + ts′+2. Jika s∗< s′ −3 —yaitu, s∗adalah sebelum langkah kedua terakhir yang Membalik Koin— maka dengan analisis Kasus 2.2.a dan 2.2.b, T r+1 $\leq$T r + $\lambda$ + ts∗+3 < T r + $\lambda$ + ts′. Maksudnya, pihak Adversary sebenarnya membuat kesepakatan mengenai Br terjadi lebih cepat. Jika s∗= s′ −2 atau s′ −1 —yaitu, langkah Koin-Tetap-Ke-0 atau langkah Koin-Tetap-Ke-1 tepat sebelum Langkah s′— kemudian dengan analisis empat sub-kasus, verifikator yang jujur masuk Langkah s′ tidak perlu lagi melempar koin, karena sudah berhenti tanpa menyebar, atau telah melihat > 2/3 mayoritas untuk bit yang sama b. Oleh karena itu kita punya T r+1 $\leq$T r + $\lambda$ + ts∗+3 $\leq$T r + $\lambda$ + ts′+2.Singkatnya, apa pun masalahnya, kita punya T r+1 $\leq$T r + $\lambda$ + ts′+2 = T r + $\lambda$ + t3Lr+6 = T r + $\lambda$ + (2(3Lr + 6) −3)$\lambda$ + Λ = T r + (6Lr + 10)$\lambda$ + Λ, seperti yang ingin kami tunjukkan. Kasus terburuk adalah ketika s∗= s′ −1 dan Kasus 2.2.b terjadi. Menggabungkan Kasus 1 dan 2 dari protokol BA biner, Lemma 5.3 berlaku. ■ 5.9 Keamanan Benih Qr dan Kemungkinan Pemimpin yang Jujur Masih harus membuktikan Lemma 5.4. Ingatlah bahwa pemverifikasi pada putaran r diambil dari PKr−k dan dipilih berdasarkan kuantitas Qr−1. Alasan memperkenalkan parameter lihat kembali k adalah untuk memastikan bahwa, kembali ke putaran r −k, ketika Musuh dapat menambahkan pengguna jahat baru untuk PKr−k, dia tidak dapat memprediksi kuantitas Qr−1 kecuali dengan probabilitas yang dapat diabaikan. Perhatikan bahwa Fungsi hash adalah oracle acak dan Qr−1 adalah salah satu inputnya ketika memilih verifier untuk putaran r. Jadi, tidak peduli seberapa jahatnya pengguna yang ditambahkan ke PKr−k, dari sudut pandang Musuh masing-masing salah satu dari mereka masih terpilih menjadi pemverifikasi pada langkah putaran r dengan probabilitas yang diperlukan p (atau p1 untuk Langkah 1). Lebih tepatnya, kita mempunyai lemma berikut. Lemma 5.6. Dengan k = O(log1/2 F), untuk setiap putaran r, dengan kemungkinan besar Musuh tidak menanyakan Qr−1 ke oracle acak pada putaran r −k. Bukti. Kami melanjutkan dengan induksi. Asumsikan bahwa untuk setiap putaran $\gamma$ < r, Musuh tidak mengajukan pertanyaan Q$\gamma$−1 ke oracle acak kembali pada ronde $\gamma$ −k.21 Perhatikan permainan mental berikut yang dimainkan oleh Musuh di ronde r −k, mencoba memprediksi Qr−1. Pada Langkah 1 setiap putaran $\gamma$ = r −k, . . . , r −1, diberikan Q$\gamma$−1 spesifik yang tidak ditanyakan secara acak oracle, dengan mengurutkan pemain i $\in$PK$\gamma$−k sesuai dengan nilai hash H(SIGi($\gamma$, 1, Q$\gamma$−1)) semakin banyak, kita mendapatkan permutasi acak atas PK$\gamma$−k. Menurut definisi, pemimpin $\ell$ $\gamma$ adalah pengguna pertama dalam permutasi dan jujur dengan probabilitas h. Apalagi bila PK$\gamma$−k besar cukup, untuk sembarang bilangan bulat x $\geq$1, probabilitas bahwa pengguna x pertama dalam permutasi semuanya adalah berbahaya tetapi (x + 1) yang jujur adalah (1 −h)xh. Jika $\ell$ $\gamma$ jujur, maka Q$\gamma$ = H(SIG$\ell$ $\gamma$(Q$\gamma$−1), $\gamma$). Karena Musuh tidak dapat memalsukan tanda tangannya dari $\ell$ $\gamma$, Q$\gamma$ didistribusikan secara seragam secara acak dari sudut pandang Musuh dan, kecuali dengan probabilitas yang sangat kecil,22 tidak ditanyakan ke H pada putaran r −k. Sejak masing-masing Q$\gamma$+1, Q$\gamma$+2, . . . , Qr−1 masing-masing adalah keluaran dari H dengan Q$\gamma$, Q$\gamma$+1, . . . , Qr−2 sebagai salah satu masukan, mereka semua terlihat acak bagi Musuh dan Musuh tidak mungkin menanyakan Qr−1 hingga H di putaran r −k. Oleh karena itu, satu-satunya kasus di mana Musuh dapat memprediksi Qr−1 dengan probabilitas yang baik pada putaran tersebut r−k adalah saat semua pemimpin $\ell$r−k, . . . , $\ell$r−1 berbahaya. Sekali lagi pertimbangkan putaran $\gamma$ $\in${r−k . . . , r−1} dan permutasi acak pada PK$\gamma$−k yang disebabkan oleh nilai hash yang sesuai. Jika untuk beberapa orang x $\geq$2, pengguna x −1 pertama dalam permutasi semuanya jahat dan ke-x jujur, maka Musuh mempunyai x kemungkinan pilihan untuk Q$\gamma$: salah satu dari bentuk H(SIGi(Q$\gamma$−1, $\gamma$)), dimana i adalah salah satu dari 21Karena k adalah bilangan bulat kecil, tanpa kehilangan keumumannya, kita dapat berasumsi bahwa k putaran pertama dari protokol dijalankan dalam lingkungan yang aman dan hipotesis induktif berlaku untuk putaran tersebut. 22Artinya, panjang keluaran H bersifat eksponensial. Perhatikan bahwa probabilitas ini jauh lebih kecil daripada F.pengguna jahat x−1 pertama, dengan menjadikan pemain i sebagai pemimpin putaran $\gamma$; atau H(Q$\gamma$−1, $\gamma$), oleh memaksa B$\gamma$ = B$\gamma$ . Jika tidak, pemimpin putaran $\gamma$ akan menjadi pengguna jujur pertama dalam permutasi tersebut dan Qr−1 menjadi tidak dapat diprediksi oleh Musuh. Manakah dari opsi x Q$\gamma$ di atas yang harus dilakukan oleh Musuh? Untuk membantu Musuh jawab pertanyaan ini, dalam permainan mental kita sebenarnya membuatnya lebih kuat dari dia sebenarnya adalah, sebagai berikut. Pertama-tama, pada kenyataannya, Musuh tidak dapat menghitung hash pengguna yang jujur tanda tangan, sehingga tidak dapat memutuskan, untuk setiap Q$\gamma$, jumlah x(Q$\gamma$) pengguna jahat di awal dari permutasi acak pada putaran $\gamma$ + 1 yang diinduksi oleh Q$\gamma$. Dalam permainan mental, kami memberinya angka x(Q$\gamma$) gratis. Yang kedua, pada kenyataannya, memiliki x pengguna pertama dalam permutasi semuanya bersikap jahat tidak berarti mereka semua bisa dijadikan pemimpin, karena hash nilai tanda tangannya juga harus kurang dari p1. Kami telah mengabaikan kendala mental ini permainan, memberikan Musuh lebih banyak keuntungan. Sangat mudah untuk melihat bahwa dalam permainan mental, pilihan optimal untuk Musuh, dilambangkan dengan Q$\gamma$, adalah salah satu yang menghasilkan urutan pengguna jahat terpanjang di awal acak permutasi pada putaran $\gamma$ + 1. Memang, mengingat Q$\gamma$ tertentu, protokolnya tidak bergantung pada Q$\gamma$−1 lagi dan Musuh hanya bisa fokus pada permutasi baru di babak $\gamma$ + 1, yang memiliki distribusi yang sama untuk jumlah pengguna jahat di awal. Oleh karena itu, di setiap putaran $\gamma$, ˆQ$\gamma$ yang disebutkan di atas memberinya jumlah opsi terbesar untuk Q$\gamma$+1 dan dengan demikian memaksimalkan kemungkinan bahwa pemimpin berturut-turut semuanya jahat. Oleh karena itu, dalam permainan mental Musuh mengikuti Rantai Markov dari putaran r −k untuk membulatkan r −1, dengan ruang keadaan menjadi {0} $\cup${x : x $\geq$2}. Negara 0 mewakili fakta bahwa pengguna pertama dalam permutasi acak pada putaran saat ini $\gamma$ adalah jujur, sehingga Musuh gagal dalam permainan untuk memprediksi Qr−1; dan setiap negara bagian x $\geq$2 mewakili fakta bahwa pengguna x −1 pertama di permutasi berbahaya dan x-th jujur, sehingga Musuh memiliki opsi x untuk Q$\gamma$. Itu probabilitas transisi P(x, y) adalah sebagai berikut. • P(0, 0) = 1 dan P(0, y) = 0 untuk sembarang y $\geq$2. Artinya, Musuh gagal dalam permainan satu kali saja pengguna dalam permutasi menjadi jujur. • P(x, 0) = hx untuk sembarang x $\geq$2. Artinya, dengan probabilitas hx, semua x permutasi acak mempunyai pengguna pertama mereka bersikap jujur, sehingga Musuh gagal dalam permainan di babak berikutnya. • Untuk setiap x $\geq$2 dan y $\geq$2, P(x, y) adalah probabilitas bahwa, di antara x permutasi acak diinduksi oleh opsi x dari Q$\gamma$, urutan terpanjang dari pengguna jahat di awal beberapa di antaranya adalah y −1, sehingga Musuh memiliki opsi y untuk Q$\gamma$+1 di babak berikutnya. Artinya, P(x, kamu) = kamu−1 X saya=0 (1 −h)ih !x - kamu−2 X saya=0 (1 −h)ih !x = (1 −(1 −h)y)x −(1 −(1 −h)y−1)x. Perhatikan bahwa keadaan 0 adalah keadaan penyerap unik dalam matriks transisi P, dan setiap keadaan lainnya x mempunyai probabilitas positif untuk menuju ke 0. Kita tertarik untuk membatasi bilangan k dari putaran yang diperlukan agar Rantai Markov menyatu ke 0 dengan probabilitas yang sangat besar: yaitu, tidak tidak peduli di negara bagian mana rantai itu dimulai, dengan kemungkinan besar Musuh kalah dalam permainan dan gagal memprediksi Qr−1 pada putaran r −k. Pertimbangkan matriks transisi P (2) $\triangleq$P $\cdot$ P setelah dua putaran. Sangat mudah untuk melihat bahwa P (2)(0, 0) = 1 dan P (2)(0, x) = 0 untuk sembarang x $\geq$2. Untuk setiap x $\geq$2 dan y $\geq$2, karena P(0, y) = 0, kita mempunyai P (2)(x, y) = P(x, 0)P(0, y) + X z$\geq$2 P(x, z)P(z, y) = X z$\geq$2 P(x, z)P(z, kamu).Membiarkan ¯h $\triangleq$1 −h, kita punya P(x, y) = (1 −¯hy)x −(1 −¯hy−1)x dan P (2)(x, kamu) = X z$\geq$2 [(1 −¯hz)x −(1 −¯hz−1)x][(1 −¯hy)z −(1 −¯hy−1)z]. Di bawah ini kita menghitung limit P (2)(x,y) P (x, y) saat h menjadi 1 —yaitu, ¯h menjadi 0. Perhatikan bahwa yang tertinggi orde ¯h pada P(x, y) adalah ¯hy−1, dengan koefisien x. Oleh karena itu, batas jam $\to$ 1 P (2)(x, kamu) P(x, kamu) = lim ¯ jam $\to$ 0 P (2)(x, kamu) P(x, kamu) = lim ¯ jam $\to$ 0 P (2)(x, kamu) x¯hy−1 + O(¯hy) = batas ¯ jam $\to$ 0 hal z$\geq$2[x¯hz−1 + O(¯hz)][z¯hy−1 + O(¯hy)] x¯hy−1 + O(¯hy) = lim ¯ jam $\to$ 0 2x¯hy + O(¯hy+1) x¯hy−1 + O(¯hy) = batas ¯ jam $\to$ 0 2x¯hy x¯hy−1 = lim ¯jam $\to$ 0 2¯jam = 0. Ketika h cukup mendekati 1,23, kita punya P (2)(x, kamu) P(x, kamu) $\leq$1 2 untuk setiap x $\geq$2 dan y $\geq$2. Dengan induksi, untuk sembarang k > 2, P (k) $\triangleq$P k sedemikian rupa sehingga • P (k)(0, 0) = 1, P (k)(0, x) = 0 untuk sembarang x $\geq$2, dan • untuk setiap x $\geq$2 dan y $\geq$2, P (k)(x, y) = P (k−1)(x, 0)P(0, y) + X z$\geq$2 P (k−1)(x, z)P(z, y) = X z$\geq$2 P (k−1)(x, z)P(z, y) $\leq$ X z$\geq$2 P(x, z) 2k−2 $\cdot$ P(z, y) = P (2)(x, y) 2k−2 $\leq$P(x, y) 2k−1 . Karena P(x, y) $\leq$1, setelah putaran 1−log2 F, probabilitas transisi ke keadaan mana pun y $\geq$2 dapat diabaikan, dimulai dengan keadaan apa pun x $\geq$2. Meskipun ada banyak negara bagian y, mudah untuk melihatnya batas kamu→+∞ P(x, kamu) P(x, y + 1) = batas kamu→+∞ (1 −¯hy)x −(1 −¯hy−1)x (1 −¯hy+1)x −(1 −¯hy)x = batas kamu→+∞ ¯hy−1 −¯hy ¯hy −¯hy+1 = 1 ¯ jam = 1 1 jam. Oleh karena itu setiap baris x matriks transisi P berkurang sebagai barisan geometri dengan laju 1 1−jam > 2 ketika y cukup besar, dan hal yang sama berlaku untuk P (k). Oleh karena itu, ketika k cukup besar namun tetap pada urutan log1/2 F, P y$\geq$2 P (k)(x, y) < F untuk setiap x $\geq$2. Artinya, dengan kemungkinan yang sangat besar Musuh kalah dalam permainan dan gagal memprediksi Qr−1 pada ronde r −k. Untuk h $\in$(2/3, 1], lebih analisis kompleks menunjukkan bahwa terdapat konstanta C yang sedikit lebih besar dari 1/2, sehingga mencukupi untuk mengambil k = O(logC F). Demikianlah Lemma 5.6 berlaku. ■ Lemma 5.4. (disajikan kembali) Sifat yang diberikan 1–3 untuk setiap putaran sebelum r, ph = h2(1 + h −h2) untuk Lr, dan pemimpin $\ell$r jujur dengan probabilitas setidaknya ph. 23Misalnya, h = 80% seperti yang disarankan oleh pilihan parameter tertentu.

Bukti. Mengikuti Lemma 5.6, Musuh tidak dapat memprediksi kembali Qr−1 pada putaran r −k kecuali dengan probabilitas yang dapat diabaikan. Perlu dicatat bahwa hal ini tidak berarti kemungkinan untuk mendapatkan pemimpin yang jujur adalah hal yang mustahil setiap putaran. Memang, mengingat Qr−1, tergantung pada berapa banyak pengguna jahat di awal permutasi acak PKr−k, Musuh mungkin mempunyai lebih dari satu pilihan untuk Qr dan dengan demikian dapat meningkatkan kemungkinan munculnya pemimpin jahat di putaran r + 1 —sekali lagi kita memberikannya beberapa kelebihan yang tidak realistis seperti pada Lemma 5.6, sehingga dapat menyederhanakan analisis. Namun, untuk setiap Qr−1 yang tidak ditanyakan ke H oleh Musuh pada putaran r −k, untuk setiap x $\geq$1, dengan probabilitas (1 −h)x−1h pengguna jujur pertama muncul pada posisi x dalam hasil permutasi acak dari PKr−k. Jika x = 1, peluang munculnya pemimpin yang jujur pada putaran r + 1 adalah memang h; sedangkan ketika x = 2, Musuh memiliki dua pilihan Qr dan probabilitas yang dihasilkan adalah h2. Hanya dengan mempertimbangkan dua kasus ini, kita mempunyai kemungkinan untuk mendapatkan pemimpin yang jujur r + 1 setidaknya h $\cdot$ h + (1 −h)h $\cdot$ h2 = h2(1 + h −h2) sesuai keinginan. Perhatikan bahwa probabilitas di atas hanya mempertimbangkan keacakan protokol dari putaran r −k untuk membulatkan r. Ketika semua keacakan dari putaran 0 hingga putaran r dipertimbangkan, Qr−1 adalah bahkan lebih sulit diprediksi oleh Musuh dan kemungkinan pemimpin yang jujur di babak r + 1 adalah paling sedikit h2(1 + h −h2). Mengganti r + 1 dengan r dan menggeser semuanya kembali satu putaran, pemimpin $\ell$r jujur dengan probabilitas paling sedikit h2(1 + h −h2), sesuai keinginan. Demikian pula, dalam setiap langkah Pembalikan Koin, “pemimpin” dari langkah tersebut —yaitu pemverifikasi pada SV r,s yang kredensialnya mempunyai nilai hash terkecil, jujur dengan probabilitas paling sedikit h2(1 + jam −h2). Jadi ph = h2(1 + h −h2) untuk Lr dan Lemma 5.4 berlaku. ■

Algorand ′

$\text{Algorand}^\prime$

2 In this section, we construct a version of $\text{Algorand}^\prime$ working under the following assumption. Honest Majority of Users Assumption: More than 2/3 of the users in each $PK^r$ are honest. In Section 8, we show how to replace the above assumption with the desired Honest Majority of Money assumption. 6.1 Additional Notations and Parameters for $\text{Algorand}^\prime$ 2 Notations • $\mu \in \mathbb{Z}^+$: a pragmatic upper-bound to the number of steps that, with overwhelming probability, will actually taken in one round. (As we shall see, parameter $\mu$ controls how many ephemeral keys a user prepares in advance for each round.) • $L_r$: a random variable representing the number of Bernoulli trials needed to see a 1, when each trial is 1 with probability $\frac{p_h}{2}$. $L_r$ will be used to upper-bound the time needed to generate block $B_r$. • $t_H$: a lower-bound for the number of honest veriﬁers in a step $s > 1$ of round $r$, such that with overwhelming probability (given $n$ and $p$), there are $> t_H$ honest veriﬁers in $SV^{r,s}$. Parameters • Relationships among various parameters. — For each step $s > 1$ of round $r$, $n$ is chosen so that, with overwhelming probability,

$|HSV^{r,s}| > t_H$ and $|HSV^{r,s}| + 2|MSV^{r,s}| < 2t_H$. Note that the two inequalities above together imply $|HSV^{r,s}| > 2|MSV^{r,s}|$: that is, there is a 2/3 honest majority among selected veriﬁers. The closer to 1 the value of $h$ is, the smaller $n$ needs to be. In particular, we use (variants of) Chernoﬀbounds to ensure the desired conditions hold with overwhelming probability. • Example choices of important parameters. — $F = 10^{-18}$. — $n \approx 4{,}000$, $t_H \approx 0.69n$, $k = 70$. 6.2 Implementing Ephemeral Keys in $\text{Algorand}^\prime$ 2 Recall that a veriﬁer $i \in SV^{r,s}$ digitally signs his message $m_i^{r,s}$ of step $s$ in round $r$, relative to an ephemeral public key $pk_i^{r,s}$, using an ephemeral secrete key $sk_i^{r,s}$ that he promptly destroys after using. When the number of possible steps that a round may take is capped by a given integer $\mu$, we have already seen how to practically handle ephemeral keys. For example, as we have explained in $\text{Algorand}'_1$ (where $\mu = m + 3$), to handle all his possible ephemeral keys, from a round $r'$ to a round $r' + 10^6$, $i$ generates a pair $(PMK, SMK)$, where $PMK$ public master key of an identity based signature scheme, and $SMK$ its corresponding secret master key. User $i$ publicizes $PMK$ and uses $SMK$ to generate the secret key of each possible ephemeral public key (and destroys $SMK$ after having done so). The set of $i$'s ephemeral public keys for the relevant rounds is $S = \{i\} \times \{r', \ldots, r' + 10^6\} \times \{1, \ldots, \mu\}$. (As discussed, as the round $r' + 10^6$ approaches, $i$ "refreshes" his pair $(PMK, SMK)$.) In practice, if $\mu$ is large enough, a round of $\text{Algorand}'_2$ will not take more than $\mu$ steps. In principle, however, there is the remote possibility that, for some round $r$ the number of steps actually taken will exceed $\mu$. When this happens, $i$ would be unable to sign his message $m_i^{r,s}$ for any step $s > \mu$, because he has prepared in advance only $\mu$ secret keys for round $r$. Moreover, he could not prepare and publicize a new stash of ephemeral keys, as discussed before. In fact, to do so, he would need to insert a new public master key $PMK'$ in a new block. But, should round $r$ take more and more steps, no new blocks would be generated. However, solutions exist. For instance, $i$ may use the last ephemeral key of round $r$, $pk_i^{r,\mu}$, as follows. He generates another stash of key-pairs for round $r$ —e.g., by (1) generating another master key pair $(PMK, SMK)$; (2) using this pair to generate another, say, $10^6$ ephemeral keys, $sk_i^{r,\mu+1}, \ldots, sk_i^{r,\mu+10^6}$, corresponding to steps $\mu+1, \ldots, \mu+10^6$ of round $r$; (3) using $sk_i^{r,\mu}$ to digitally sign $PMK$ (and any $(r, \mu)$-message if $i \in SV^{r,\mu}$), relative to $pk_i^{r,\mu}$; and (4) erasing $SMK$ and $sk_i^{r,\mu}$. Should $i$ become a veriﬁer in a step $\mu + s$ with $s \in \{1, \ldots, 10^6\}$, then $i$ digitally signs his $(r, \mu + s)$- message $m_i^{r,\mu+s}$ relative to his new key $pk_i^{r,\mu+s} = (i, r, \mu + s)$. Of course, to verify this signature of $i$, others need to be certain that this public key corresponds to $i$'s new public master key $PMK$. Thus, in addition to this signature, $i$ transmits his digital signature of $PMK$ relative to $pk_i^{r,\mu}$. Of course, this approach can be repeated, as many times as necessary, should round $r$ continue for more and more steps! The last ephemeral secret key is used to authenticate a new master public key, and thus another stash of ephemeral keys for round $r$. And so on.

6.3 The Actual Protocol $\text{Algorand}'_2$ Recall again that, in each step $s$ of a round $r$, a veriﬁer $i \in SV^{r,s}$ uses his long-term public-secret key pair to produce his credential, $\sigma_i^{r,s} \triangleq \text{SIG}_i(r, s, Q^{r-1})$, as well as $\text{SIG}_i(Q^{r-1})$ in case $s = 1$. Veriﬁer $i$ uses his ephemeral key pair, $(pk_i^{r,s}, sk_i^{r,s})$, to sign any other message $m$ that may be required. For simplicity, we write $\text{esig}_i(m)$, rather than $\text{sig}_{pk_i^{r,s}}(m)$, to denote $i$'s proper ephemeral signature of $m$ in this step, and write $\text{ESIG}_i(m)$ instead of $\text{SIG}_{pk_i^{r,s}}(m) \triangleq (i, m, \text{esig}_i(m))$. Step 1: Block Proposal Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step 1 of round $r$ as soon as he has $\text{CERT}^{r-1}$, which allows $i$ to unambiguously compute $H(B^{r-1})$ and $Q^{r-1}$. • User $i$ uses $Q^{r-1}$ to check whether $i \in SV^{r,1}$ or not. If $i \notin SV^{r,1}$, he does nothing for Step 1. • If $i \in SV^{r,1}$, that is, if $i$ is a potential leader, then he does the following. (a) If $i$ has seen $B^0, \ldots, B^{r-1}$ himself (any $B^j = B^j_\epsilon$ can be easily derived from its hash value in $\text{CERT}^j$ and is thus assumed "seen"), then he collects the round-$r$ payments that have been propagated to him so far and computes a maximal payset $PAY_i^r$ from them. (b) If $i$ hasn't seen all $B^0, \ldots, B^{r-1}$ yet, then he sets $PAY_i^r = \emptyset$. (c) Next, $i$ computes his "candidate block" $B_i^r = (r, PAY_i^r, \text{SIG}_i(Q^{r-1}), H(B^{r-1}))$. (c) Finally, $i$ computes the message $m_i^{r,1} = (B_i^r, \text{esig}_i(H(B_i^r)), \sigma_i^{r,1})$, destroys his ephemeral secret key $sk_i^{r,1}$, and then propagates two messages, $m_i^{r,1}$ and $(\text{SIG}_i(Q^{r-1}), \sigma_i^{r,1})$, separately but simultaneously.a aWhen $i$ is the leader, $\text{SIG}_i(Q^{r-1})$ allows others to compute $Q^r = H(\text{SIG}_i(Q^{r-1}), r)$.

Selective Propagation To shorten the global execution of Step 1 and the whole round, it is important that the $(r, 1)$- messages are selectively propagated. That is, for every user $j$ in the system, • For the ﬁrst $(r, 1)$-message that he ever receives and successfully veriﬁes,a whether it contains a block or is just a credential and a signature of $Q^{r-1}$, player $j$ propagates it as usual. • For all the other $(r, 1)$-messages that player $j$ receives and successfully veriﬁes, he propagates it only if the hash value of the credential it contains is the smallest among the hash values of the credentials contained in all $(r, 1)$-messages he has received and successfully veriﬁed so far. • However, if $j$ receives two diﬀerent messages of the form $m_i^{r,1}$ from the same player $i$,b he discards the second one no matter what the hash value of $i$'s credential is. Note that, under selective propagation it is useful that each potential leader $i$ propagates his credential $\sigma_i^{r,1}$ separately from $m_i^{r,1}$:c those small messages travel faster than blocks, ensure timely propagation of the $m_i^{r,1}$'s where the contained credentials have small hash values, while make those with large hash values disappear quickly. aThat is, all the signatures are correct and, if it is of the form $m_i^{r,1}$, both the block and its hash are valid —although $j$ does not check whether the included payset is maximal for $i$ or not. bWhich means $i$ is malicious. cWe thank Georgios Vlachos for suggesting this.

Step 2: The First Step of the Graded Consensus Protocol GC Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step 2 of round $r$ as soon as he has $\text{CERT}^{r-1}$. • User $i$ waits a maximum amount of time $t_2 \triangleq \lambda + \Lambda$. While waiting, $i$ acts as follows. 1. After waiting for time $2\lambda$, he ﬁnds the user $\ell$ such that $H(\sigma_\ell^{r,1}) \leq H(\sigma_j^{r,1})$ for all credentials $\sigma_j^{r,1}$ that are part of the successfully veriﬁed $(r, 1)$-messages he has received so far.a 2. If he has received a block $B^{r-1}$, which matches the hash value $H(B^{r-1})$ contained in $\text{CERT}^{r-1}$,b and if he has received from $\ell$ a valid message $m_\ell^{r,1} = (B_\ell^r, \text{esig}\ell(H(B\ell^r)), \sigma_\ell^{r,1})$,c then $i$ stops waiting and sets $v'i \triangleq (H(B\ell^r), \ell)$. 3. Otherwise, when time $t_2$ runs out, $i$ sets $v'_i \triangleq \bot$. 4. When the value of $v'_i$ has been set, $i$ computes $Q^{r-1}$ from $\text{CERT}^{r-1}$ and checks whether $i \in SV^{r,2}$ or not. 5. If $i \in SV^{r,2}$, $i$ computes the message $m_i^{r,2} \triangleq (\text{ESIG}_i(v'_i), \sigma_i^{r,2})$,d destroys his ephemeral secret key $sk_i^{r,2}$, and then propagates $m_i^{r,2}$. Otherwise, $i$ stops without propagating anything. aEssentially, user $i$ privately decides that the leader of round $r$ is user $\ell$. bOf course, if $\text{CERT}^{r-1}$ indicates that $B^{r-1} = B^{r-1}_\epsilon$, then $i$ has already "received" $B^{r-1}$ the moment he has $\text{CERT}^{r-1}$. cAgain, player $\ell$'s signatures and the hashes are all successfully veriﬁed, and $PAY_\ell^r$ in $B_\ell^r$ is a valid payset for round $r$ —although $i$ does not check whether $PAY_\ell^r$ is maximal for $\ell$ or not. If $B_\ell^r$ contains an empty payset, then there is actually no need for $i$ to see $B^{r-1}$ before verifying whether $B_\ell^r$ is valid or not. dThe message $m_i^{r,2}$ signals that player $i$ considers the ﬁrst component of $v'_i$ to be the hash of the next block, or considers the next block to be empty.

Step 3: The Second Step of GC Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step 3 of round $r$ as soon as he has $\text{CERT}^{r-1}$. • User $i$ waits a maximum amount of time $t_3 \triangleq t_2 + 2\lambda = 3\lambda + \Lambda$. While waiting, $i$ acts as follows. 1. If there exists a value $v$ such that he has received at least $t_H$ valid messages $m_j^{r,2}$ of the form $(\text{ESIG}_j(v), \sigma_j^{r,2})$, without any contradiction,a then he stops waiting and sets $v' = v$. 2. Otherwise, when time $t_3$ runs out, he sets $v' = \bot$. 3. When the value of $v'$ has been set, $i$ computes $Q^{r-1}$ from $\text{CERT}^{r-1}$ and checks whether $i \in SV^{r,3}$ or not. 4. If $i \in SV^{r,3}$, then $i$ computes the message $m_i^{r,3} \triangleq (\text{ESIG}_i(v'), \sigma_i^{r,3})$, destroys his ephemeral secret key $sk_i^{r,3}$, and then propagates $m_i^{r,3}$. Otherwise, $i$ stops without propagating anything. aThat is, he has not received two valid messages containing $\text{ESIG}_j(v)$ and a diﬀerent $\text{ESIG}_j(\hat{v})$ respectively, from a player $j$. Here and from here on, except in the Ending Conditions deﬁned later, whenever an honest player wants messages of a given form, messages contradicting each other are never counted or considered valid.

Step 4: Output of GC and The First Step of $\text{BBA}^\star$ Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step 4 of round $r$ as soon as he ﬁnishes his own Step 3. • User $i$ waits a maximum amount of time $2\lambda$.a While waiting, $i$ acts as follows. 1. He computes $v_i$ and $g_i$, the output of GC, as follows. (a) If there exists a value $v' \neq \bot$ such that he has received at least $t_H$ valid messages $m_j^{r,3} = (\text{ESIG}_j(v'), \sigma_j^{r,3})$, then he stops waiting and sets $v_i \triangleq v'$ and $g_i \triangleq 2$. (b) If he has received at least $t_H$ valid messages $m_j^{r,3} = (\text{ESIG}_j(\bot), \sigma_j^{r,3})$, then he stops waiting and sets $v_i \triangleq \bot$ and $g_i \triangleq 0$.b (c) Otherwise, when time $2\lambda$ runs out, if there exists a value $v' \neq \bot$ such that he has received at least $\lceil \frac{t_H}{2} \rceil$ valid messages $m_j^{r,3} = (\text{ESIG}_j(v'), \sigma_j^{r,3})$, then he sets $v_i \triangleq v'$ and $g_i \triangleq 1$.c (d) Else, when time $2\lambda$ runs out, he sets $v_i \triangleq \bot$ and $g_i \triangleq 0$. 2. When the values $v_i$ and $g_i$ have been set, $i$ computes $b_i$, the input of $\text{BBA}^\star$, as follows: $b_i \triangleq 0$ if $g_i = 2$, and $b_i \triangleq 1$ otherwise. 3. $i$ computes $Q^{r-1}$ from $\text{CERT}^{r-1}$ and checks whether $i \in SV^{r,4}$ or not. 4. If $i \in SV^{r,4}$, he computes the message $m_i^{r,4} \triangleq (\text{ESIG}_i(b_i), \text{ESIG}_i(v_i), \sigma_i^{r,4})$, destroys his ephemeral secret key $sk_i^{r,4}$, and propagates $m_i^{r,4}$. Otherwise, $i$ stops without propagating anything. aThus, the maximum total amount of time since $i$ starts his Step 1 of round $r$ could be $t_4 \triangleq t_3 + 2\lambda = 5\lambda + \Lambda$. bWhether Step (b) is in the protocol or not does not aﬀect its correctness. However, the presence of Step (b) allows Step 4 to end in less than $2\lambda$ time if suﬃciently many Step-3 veriﬁers have "signed $\bot$." cIt can be proved that the $v'$ in this case, if exists, must be unique.

Step $s$, $5 \leq s \leq m + 2$, $s - 2 \equiv 0 \mod 3$: A Coin-Fixed-To-0 Step of $\text{BBA}^\star$ Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step $s$ of round $r$ as soon as he ﬁnishes his own Step $s - 1$. • User $i$ waits a maximum amount of time $2\lambda$.a While waiting, $i$ acts as follows. – Ending Condition 0: If at any point there exists a string $v \neq \bot$ and a step $s'$ such that (a) $5 \leq s' \leq s$, $s' - 2 \equiv 0 \mod 3$ —that is, Step $s'$ is a Coin-Fixed-To-0 step, (b) $i$ has received at least $t_H$ valid messages $m_j^{r,s'-1} = (\text{ESIG}_j(0), \text{ESIG}_j(v), \sigma_j^{r,s'-1})$,b and (c) $i$ has received a valid message $(\text{SIG}_j(Q^{r-1}), \sigma_j^{r,1})$ with $j$ being the second component of $v$, then, $i$ stops waiting and ends his own execution of Step $s$ (and in fact of round $r$) right away without propagating anything as a $(r, s)$-veriﬁer; sets $H(B^r)$ to be the ﬁrst component of $v$; and sets his own $\text{CERT}^r$ to be the set of messages $m_j^{r,s'-1}$ of step (b) together with $(\text{SIG}_j(Q^{r-1}), \sigma_j^{r,1})$.c – Ending Condition 1: If at any point there exists a step $s'$ such that (a') $6 \leq s' \leq s$, $s' - 2 \equiv 1 \mod 3$ —that is, Step $s'$ is a Coin-Fixed-To-1 step, and (b') $i$ has received at least $t_H$ valid messages $m_j^{r,s'-1} = (\text{ESIG}j(1), \text{ESIG}_j(v_j), \sigma_j^{r,s'-1})$,d then, $i$ stops waiting and ends his own execution of Step $s$ (and in fact of round $r$) right away without propagating anything as a $(r, s)$-veriﬁer; sets $B^r = B^r_\epsilon$; and sets his own $\text{CERT}^r$ to be the set of messages $m_j^{r,s'-1}$ of sub-step (b'). – If at any point he has received at least $t_H$ valid $m_j^{r,s-1}$'s of the form $(\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, then he stops waiting and sets $b_i \triangleq 1$. – If at any point he has received at least $t_H$ valid $m_j^{r,s-1}$'s of the form $(\text{ESIG}_j(0), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, but they do not agree on the same $v$, then he stops waiting and sets $b_i \triangleq 0$. – Otherwise, when time $2\lambda$ runs out, $i$ sets $b_i \triangleq 0$. – When the value $b_i$ has been set, $i$ computes $Q^{r-1}$ from $\text{CERT}^{r-1}$ and checks whether $i \in SV^{r,s}$. – If $i \in SV^{r,s}$, $i$ computes the message $m_i^{r,s} \triangleq (\text{ESIG}_i(b_i), \text{ESIG}_i(v_i), \sigma_i^{r,s})$ with $v_i$ being the value he has computed in Step 4, destroys his ephemeral secret key $sk_i^{r,s}$, and then propagates $m_i^{r,s}$. Otherwise, $i$ stops without propagating anything. aThus, the maximum total amount of time since $i$ starts his Step 1 of round $r$ could be $t_s \triangleq t + 2\lambda = (2s - 3)\lambda + \Lambda$. bSuch a message from player $j$ is counted even if player $i$ has also received a message from $j$ signing for 1. Similar things for Ending Condition 1. As shown in the analysis, this is to ensure that all honest users know $\text{CERT}^r$ within time $\lambda$ from each other. cUser $i$ now knows $H(B^r)$ and his own round $r$ ﬁnishes. He just needs to wait until the actually block $B^r$ is propagated to him, which may take some additional time. He still helps propagating messages as a generic user, but does not initiate any propagation as a $(r, s)$-veriﬁer. In particular, he has helped propagating all messages in his $\text{CERT}^r$, which is enough for our protocol. Note that he should also set $b_i \triangleq 0$ for the binary BA protocol, but $b_i$ is not needed in this case anyway. Similar things for all future instructions. dIn this case, it does not matter what the $v_j$'s are. 65

Step $s$, $6 \leq s \leq m + 2$, $s - 2 \equiv 1 \mod 3$: A Coin-Fixed-To-1 Step of $\text{BBA}^\star$ Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step $s$ of round $r$ as soon as he ﬁnishes his own Step $s - 1$. • User $i$ waits a maximum amount of time $2\lambda$. While waiting, $i$ acts as follows. – Ending Condition 0: The same instructions as in a Coin-Fixed-To-0 step. – Ending Condition 1: The same instructions as in a Coin-Fixed-To-0 step. – If at any point he has received at least $t_H$ valid $m_j^{r,s-1}$'s of the form $(\text{ESIG}_j(0), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, then he stops waiting and sets $b_i \triangleq 0$.a – Otherwise, when time $2\lambda$ runs out, $i$ sets $b_i \triangleq 1$. – When the value $b_i$ has been set, $i$ computes $Q^{r-1}$ from $\text{CERT}^{r-1}$ and checks whether $i \in SV^{r,s}$. – If $i \in SV^{r,s}$, $i$ computes the message $m_i^{r,s} \triangleq (\text{ESIG}_i(b_i), \text{ESIG}_i(v_i), \sigma_i^{r,s})$ with $v_i$ being the value he has computed in Step 4, destroys his ephemeral secret key $sk_i^{r,s}$, and then propagates $m_i^{r,s}$. Otherwise, $i$ stops without propagating anything. aNote that receiving $t_H$ valid $(r, s - 1)$-messages signing for 1 would mean Ending Condition 1. Step $s$, $7 \leq s \leq m + 2$, $s - 2 \equiv 2 \mod 3$: A Coin-Genuinely-Flipped Step of $\text{BBA}^\star$ Instructions for every user $i \in PK^{r-k}$: User $i$ starts his own Step $s$ of round $r$ as soon as he ﬁnishes his own step $s - 1$. • User $i$ waits a maximum amount of time $2\lambda$. While waiting, $i$ acts as follows. – Ending Condition 0: The same instructions as in a Coin-Fixed-To-0 step. – Ending Condition 1: The same instructions as in a Coin-Fixed-To-0 step. – If at any point he has received at least $t_H$ valid $m_j^{r,s-1}$'s of the form $(\text{ESIG}_j(0), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, then he stops waiting and sets $b_i \triangleq 0$. – If at any point he has received at least $t_H$ valid $m_j^{r,s-1}$'s of the form $(\text{ESIG}_j(1), \text{ESIG}_j(v_j), \sigma_j^{r,s-1})$, then he stops waiting and sets $b_i \triangleq 1$. – Otherwise, when time $2\lambda$ runs out, letting $SV_i^{r,s-1}$ be the set of $(r, s - 1)$-veriﬁers from whom he has received a valid message $m_j^{r,s-1}$, $i$ sets $b_i \triangleq \text{lsb}(\min_{j \in SV_i^{r,s-1}} H(\sigma_j^{r,s-1}))$. – When the value $b_i$ has been set, $i$ computes $Q^{r-1}$ from $\text{CERT}^{r-1}$ and checks whether $i \in SV^{r,s}$. – If $i \in SV^{r,s}$, $i$ computes the message $m_i^{r,s} \triangleq (\text{ESIG}_i(b_i), \text{ESIG}_i(v_i), \sigma_i^{r,s})$ with $v_i$ being the value he has computed in Step 4, destroys his ephemeral secret key $sk_i^{r,s}$, and then propagates $m_i^{r,s}$. Otherwise, $i$ stops without propagating anything. Remark. In principle, as considered in subsection 6.2, the protocol may take arbitrarily many steps in some round. Should this happens, as discussed, a user $i \in SV^{r,s}$ with $s > \mu$ has exhausted

his stash of pre-generated ephemeral keys and has to authenticate his $(r, s)$-message $m_i^{r,s}$ by a "cascade" of ephemeral keys. Thus $i$'s message becomes a bit longer and transmitting these longer messages will take a bit more time. Accordingly, after so many steps of a given round, the value of the parameter $\lambda$ will automatically increase slightly. (But it reverts to the original $\lambda$ once a new block is produced and a new round starts.) Reconstruction of the Round-$r$ Block by Non-Veriﬁers Instructions for every user $i$ in the system: User $i$ starts his own round $r$ as soon as he has $\text{CERT}^{r-1}$. • $i$ follows the instructions of each step of the protocol, participates the propagation of all messages, but does not initiate any propagation in a step if he is not a veriﬁer in it. • $i$ ends his own round $r$ by entering either Ending Condition 0 or Ending Condition 1 in some step, with the corresponding $\text{CERT}^r$. • From there on, he starts his round $r + 1$ while waiting to receive the actual block $B^r$ (unless he has already received it), whose hash $H(B^r)$ has been pinned down by $\text{CERT}^r$. Again, if $\text{CERT}^r$ indicates that $B^r = B^r_\epsilon$, the $i$ knows $B^r$ the moment he has $\text{CERT}^r$. 6.4 Analysis of $\text{Algorand}'_2$ The analysis of $\text{Algorand}'_2$ is easily derived from that of $\text{Algorand}'_1$. Essentially, in $\text{Algorand}'_2$, with overwhelming probability, (a) all honest users agree on the same block $B^r$; the leader of a new block is honest with probability at least $p_h = h^2(1 + h - h^2)$.

Algorand '

2 Di bagian ini, kami membuat versi Algorand ′ yang bekerja dengan asumsi berikut. Asumsi Mayoritas Pengguna Jujur: Lebih dari 2/3 pengguna di setiap PKr adalah jujur. Di Bagian 8, kami menunjukkan cara mengganti asumsi di atas dengan Mayoritas Jujur yang diinginkan Asumsi uang. 6.1 Notasi dan Parameter Tambahan untuk Algorand ′ 2 Notasi • $\mu$ $\in$Z+: batas atas pragmatis terhadap jumlah langkah yang, dengan kemungkinan sangat besar, sebenarnya akan diambil dalam satu putaran. (Seperti yang akan kita lihat, parameter $\mu$ mengontrol berapa banyak ephemeral kunci yang disiapkan pengguna sebelumnya untuk setiap putaran.) • Lr: variabel acak yang mewakili jumlah percobaan Bernoulli yang diperlukan untuk mendapatkan angka 1, ketika masing-masing percobaan percobaan adalah 1 dengan probabilitas ph 2. Lr akan digunakan untuk membatasi waktu yang diperlukan untuk menghasilkan blok Br. • tH: batas bawah jumlah verifikator yang jujur pada langkah s > 1 pada putaran r, sehingga dengan probabilitas yang sangat besar (mengingat n dan p), ada > pemverifikasi yang jujur di SV r,s. Parameter • Hubungan antara berbagai parameter. — Untuk setiap langkah s > 1 pada putaran r, n dipilih sehingga, dengan probabilitas yang sangat besar,

|HSV r,s| > ini dan |HSV r,s| + 2|MSV r,s| < 2tH. Perhatikan bahwa kedua pertidaksamaan di atas secara bersama-sama menyiratkan |HSV r,s| > 2|MSV r,s|: yaitu disana adalah 2/3 mayoritas yang jujur di antara verifikator terpilih. Semakin mendekati 1 nilai h, maka n harus semakin kecil. Secara khusus, kami menggunakan (varian dari) Batas Cherno untuk memastikan kondisi yang diinginkan terpenuhi dengan kemungkinan yang sangat besar. • Contoh pilihan parameter penting. — F = 10−18. — n $\approx$4000, tH $\approx$0,69n, k = 70. 6.2 Menerapkan Kunci Ephemeral di Algorand ′ 2 Ingatlah bahwa pemverifikasi i $\in$SV r,s secara digital menandatangani pesannya mr,s saya langkah s di putaran r, relatif terhadap pkr kunci publik sementara i , menggunakan kunci rahasia sementara skr,s saya yang segera dia hancurkan setelah menggunakan. Ketika jumlah langkah yang mungkin diambil dalam suatu putaran dibatasi oleh jumlah langkah tertentu bilangan bulat $\mu$, kita telah melihat cara menangani kunci sementara secara praktis. Misalnya seperti kita sudah dijelaskan di Algorand′ 1 (di mana $\mu$ = m + 3), untuk menangani semua kemungkinan kunci sementaranya, dari putaran r′ ke putaran r′ + 106, i menghasilkan pasangan (PMK, SMK), dimana PMK public master kunci skema tanda tangan berbasis identitas, dan SMK kunci master rahasianya yang sesuai. Pengguna i mempublikasikan PMK dan menggunakan SMK untuk menghasilkan kunci rahasia dari setiap kemungkinan kunci publik sementara (dan menghancurkan SMK setelah melakukannya). Kumpulan kunci publik sementara i untuk relevan putarannya adalah S = {i} $\times$ {r′, . . . , r′ + 106} $\times$ {1, . . . , $\mu$}. (Seperti yang telah dibahas, saat putaran r′ + 106 mendekat, saya “menyegarkan” pasangannya (PMK, SMK).) Dalam prakteknya, jika $\mu$ cukup besar, putaran Algorand ′ 2 tidak akan memakan waktu lebih dari $\mu$ langkah. Di prinsipnya, bagaimanapun, ada kemungkinan kecil bahwa, untuk beberapa putaran r jumlah langkah sebenarnya diambil akan melebihi $\mu$. Jika ini terjadi, saya tidak akan bisa menandatangani pesannya, Tuan saya untuk setiap langkah s > $\mu$, karena dia telah mempersiapkan sebelumnya hanya $\mu$ kunci rahasia untuk putaran r. Apalagi dia tidak dapat menyiapkan dan mempublikasikan simpanan kunci sementara yang baru, seperti yang telah dibahas sebelumnya. Faktanya, untuk melakukan jadi, dia perlu memasukkan PMK′ kunci master publik baru di blok baru. Tapi, harus mengitari sungai mengambil lebih banyak langkah, tidak ada blok baru yang akan dihasilkan. Namun, solusinya ada. Misalnya, saya dapat menggunakan kunci sementara terakhir dari putaran r, pkr,$\mu$ saya , sebagai berikut. Dia menghasilkan simpanan pasangan kunci lainnya untuk putaran r —misalnya, dengan (1) menghasilkan pasangan kunci lainnya pasangan kunci utama (PMK, SMK); (2) menggunakan pasangan ini untuk menghasilkan yang lain, katakanlah, 106 kunci sementara, sk r,$\mu$+1 saya , . . . , sk r,$\mu$+106 saya , sesuai dengan langkah $\mu$+1, ..., $\mu$+106 putaran r; (3) menggunakan skr,$\mu$ saya ke secara digital tanda tangani PMK (dan pesan (r, $\mu$) apa pun jika i $\in$SV r,$\mu$), relatif terhadap pkr,$\mu$ saya ; dan (4) menghapus SMK dan skr,$\mu$ saya . Haruskah saya menjadi pemverifikasi pada langkah $\mu$ + s dengan s $\in${1, . . . , 106}, lalu saya menandatanganinya secara digital (r, $\mu$ + s)- pesan tuan,$\mu$+s saya relatif terhadap pk kunci barunya r,$\mu$+s saya = (i, r, $\mu$ + s). Tentu saja untuk memverifikasi tanda tangan ini dari i, yang lain perlu memastikan bahwa kunci publik ini sesuai dengan PMK kunci publik i yang baru. Jadi, selain tanda tangan ini, saya mengirimkan tanda tangan digital PMK relatif terhadap pkr,$\mu$ saya . Tentu saja, pendekatan ini dapat diulang sebanyak yang diperlukan jika putaran r terus berlanjut untuk lebih banyak langkah! Kunci rahasia sementara terakhir digunakan untuk mengautentikasi publik master baru kunci, dan dengan demikian kumpulan kunci fana lainnya untuk putaran r. Dan sebagainya.6.3 Protokol Sebenarnya Algorand ′ 2 Ingat kembali bahwa, pada setiap langkah s pada putaran r, pemverifikasi i $\in$SV r,s menggunakan rahasia publik jangka panjangnya pasangan kunci untuk menghasilkan kredensialnya, $\sigma$r,s saya $\triangleq$SIGi(r, s, Qr−1), serta SIGi Qr−1 dalam kasus s = 1. Verifier i menggunakan pasangan kunci fana miliknya, (pkr,s saya, skr, s i ), untuk menandatangani pesan lain yang mungkin ada diperlukan. Untuk mempermudah, kami menulis esigi(m), bukan sigpkr,s i (m), untuk menunjukkan kefanaan i yang sebenarnya tanda tangan m pada langkah ini, dan tulis ESIGi(m) sebagai pengganti SIGpkr,s saya (m) $\triangleq$(saya, m, esigi(m)). Langkah 1: Blokir Proposal Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkah 1 pada putaran r segera setelah ia menyelesaikannya CERT r−1, yang memungkinkan i menghitung H(Br−1) dan Qr−1 secara jelas. • Pengguna i menggunakan Qr−1 untuk memeriksa apakah i $\in$SV r,1 atau tidak. Jika i /$\in$SV r,1, dia tidak melakukan apa pun untuk Langkah 1. • Jika i $\in$SV r,1, yaitu jika i adalah calon pemimpin, maka ia melakukan hal berikut. (a) Jika saya telah melihat B0, . . . , Br−1 sendiri (setiap Bj = Bj ǫ dapat dengan mudah diturunkan dari nilai hash-nya di CERT j dan dengan demikian diasumsikan “terlihat”), lalu dia mengumpulkan pembayaran putaran-r yang dimilikinya telah disebarkan kepadanya sejauh ini dan menghitung pembayaran maksimal PAY r saya dari mereka. (b) Jika saya belum melihat semua B0, . . . , Br−1 lagi, lalu dia menetapkan PAY r saya = $\emptyset$. (c) Selanjutnya, saya menghitung “blok kandidat” nya Br i = (r, BAYAR r saya , SIGi(Qr−1), H(Br−1)). (c) Akhirnya, saya menghitung pesan mr,1 saya = (Sdr saya , esigi(H(Br saya )), $\sigma$r,1 i ), menghancurkan kefanaannya kunci rahasia skr,1 i , dan kemudian menyebarkan dua pesan, mr,1 saya dan (SIGi(Qr−1), $\sigma$r,1 saya ), secara terpisah namun bersamaan.a aKetika i adalah pemimpinnya, SIGi(Qr−1) memungkinkan orang lain menghitung Qr = H(SIGi(Qr−1), r).

Propagasi Selektif Untuk mempersingkat pelaksanaan global Langkah 1 dan keseluruhan putaran, penting bahwa (r, 1)- pesan disebarkan secara selektif. Artinya, untuk setiap pengguna j dalam sistem, • Untuk (r, 1)-pesan pertama yang pernah diterimanya dan berhasil diverifikasi,a apakah pesan tersebut berisi sebuah blok atau hanya kredensial dan tanda tangan dari Qr−1, pemain j menyebarkannya seperti biasa. • Untuk semua pesan (r, 1) lainnya yang diterima dan berhasil diverifikasi oleh pemain j, ia menyebarkan hanya jika nilai hash dari kredensial yang dikandungnya adalah yang terkecil di antara nilai hash dari kredensial yang terkandung dalam semua (r, 1)-pesan yang telah dia terima dan berhasil diverifikasi jauh. • Namun, jika j menerima dua pesan berbeda dalam bentuk mr,1 saya dari pemain yang sama i,b he membuang yang kedua tidak peduli berapa pun nilai hash dari kredensial i. Perhatikan bahwa, dalam propagasi selektif, akan bermanfaat jika setiap pemimpin potensial menyebarkan idenya sendiri kredensial $\sigma$r,1 saya terpisah dari Tuan,1 i :c pesan-pesan kecil itu menyebar lebih cepat daripada blok, pastikan propagasi tepat waktu dari mr,1 di mana kredensial yang terkandung memiliki nilai hash yang kecil, sedangkan membuat yang memiliki nilai hash besar menghilang dengan cepat. aArtinya, semua tanda tangan sudah benar dan jika berbentuk bapak,1 i , blok dan hash-nya valid —walaupun j tidak memeriksa apakah payset yang disertakan sudah maksimal untuk i atau tidak. bYang berarti saya jahat. cKami berterima kasih kepada Georgios Vlachos yang telah menyarankan hal ini.Langkah 2: Langkah Pertama dari Protokol Konsensus Bertingkat GC Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkah 2 pada putaran r segera setelah ia menyelesaikannya CERT r−1. • Pengguna i menunggu selama waktu maksimum t2 $\triangleq$ $\lambda$ + Λ. Sambil menunggu, saya bertindak sebagai berikut. 1. Setelah menunggu waktu 2$\lambda$, dia menemukan pengguna $\ell$sehingga H($\sigma$r,1 $\ell$) $\leq$H($\sigma$r,1 j ) untuk semua kredensial $\sigma$r,1 j yang merupakan bagian dari pesan (r, 1) yang berhasil diverifikasi yang diterimanya sejauh ini.a 2. Jika dia memiliki diterima sebuah blok Br−1, yang mana cocok itu hash nilai H(Br−1) terkandung dalam CERT r−1,b dan jika dia telah menerima dari $\ell$ pesan yang valid mr,1 $\ell$ = (Br $\ell$, esig$\ell$(H(Br $\ell$)), $\sigma$r,1 $\ell$),c lalu saya berhenti menunggu dan menyetel v′ i $\triangleq$(H(Br $\ell$), $\ell$). 3. Jika tidak, ketika waktu t2 habis, saya menetapkan v′ saya $\triangleq$ $\bot$. 4. Ketika nilai v′ i telah ditetapkan, i menghitung Qr−1 dari CERT r−1 dan memeriksa apakah i $\in$SV r,2 atau tidak. 5. Jika i $\in$SV r,2, i menghitung pesan mr,2 saya $\triangleq$(ESIGi(v′ saya), $\sigma$r,2 i ),d menghancurkan kefanaannya kunci rahasia skr,2 i , dan kemudian menyebarkan mr,2 saya. Jika tidak, saya berhenti tanpa menyebarkan apa pun. aPada dasarnya, pengguna i secara pribadi memutuskan bahwa pemimpin putaran r adalah pengguna $\ell$. bTentu saja, jika CERT r−1 menunjukkan bahwa Br−1 = Br−1 ǫ , maka saya sudah “menerima” Br−1 pada saat dia menerimanya CERT r−1. cSekali lagi, tanda tangan pemain $\ell$ dan hashes semuanya berhasil diverifikasi, dan MEMBAYAR r $\ell$di Br $\ell$adalah pembayaran yang valid untuk putaran r —walaupun saya tidak memeriksa apakah MEMBAYAR r $\ell$maksimal untuk $\ell$atau tidak. Jika Sdr $\ell$berisi set pembayaran kosong sebenarnya i tidak perlu melihat Br−1 sebelum memverifikasi apakah Br $\ell$ valid atau tidak. dPesan Pak,2 saya memberi sinyal bahwa pemain i menganggap komponen pertama dari v′ saya menjadi hash blok berikutnya, atau menganggap blok berikutnya kosong.

Langkah 3: Langkah Kedua GC Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkah ke-3 pada putaran r segera setelah ia menyelesaikannya CERT r−1. • Pengguna i menunggu selama waktu maksimum t3 $\triangleq$t2 + 2$\lambda$ = 3$\lambda$ + Λ. Sambil menunggu, aku berperan sebagai berikut. 1. Jika terdapat nilai v sehingga dia telah menerima setidaknya pesan yang valid mr,2 j dari bentuk (ESIGj(v), $\sigma$r,2 j ), tanpa kontradiksi apa pun,a lalu dia berhenti menunggu dan mulai terbenam v′ = v. 2. Jika tidak, ketika waktu t3 habis, ia menetapkan v′ = $\bot$. 3. Ketika nilai v′ telah ditetapkan, saya menghitung Qr−1 dari CERT r−1 dan memeriksa apakah i $\in$SV r,3 atau tidak. 4. Jika i $\in$SV r,3, maka i menghitung pesan mr,3 saya $\triangleq$(ESIGi(v′), $\sigma$r,3 i ), menghancurkan miliknya skr kunci rahasia sementara,3 i , dan kemudian menyebarkan mr,3 saya. Kalau tidak, aku akan berhenti tanpanya menyebarkan apa pun. aArtinya, dia belum menerima dua pesan valid yang masing-masing berisi ESIGj(v) dan ESIGj(ˆv) yang berbeda, dari pemain j. Di sini dan mulai sekarang, kecuali dalam Kondisi Akhir yang ditentukan nanti, kapan pun pemain jujur menginginkan pesan dalam bentuk tertentu, pesan yang bertentangan satu sama lain tidak pernah dihitung atau dianggap valid.

Langkah 4: Keluaran GC dan Langkah Pertama BBA⋆ Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkah 4 pada putaran r segera setelah dia menyelesaikan Langkah 3 miliknya sendiri. • Pengguna i menunggu selama waktu maksimum 2$\lambda$.a Saat menunggu, i bertindak sebagai berikut. 1. Dia menghitung vi dan gi, keluaran dari GC, sebagai berikut. (a) Jika terdapat nilai v′ ̸= $\bot$sehingga dia telah menerima setidaknya pesan yang valid Tuan,3 j = (ESIGj(v′), $\sigma$r,3 j ), lalu dia berhenti menunggu dan menetapkan vi $\triangleq$v′ dan gi $\triangleq$2. (b) Jika dia telah menerima setidaknya pesan yang valid, Tuan,3 j = (ESIGj($\bot$), $\sigma$r,3 j ), lalu dia berhenti menunggu dan menyetel vi $\triangleq$ $\bot$dan gi $\triangleq$0.b (c) Sebaliknya, ketika waktu 2$\lambda$ habis, jika terdapat nilai v′ ̸= $\bot$sehingga ia mempunyai menerima setidaknya ⌈tH 2 ⌉pesan yang valid pak, j j = (ESIGj(v′), $\sigma$r,3 j ), lalu dia menetapkan vi $\triangleq$v′ dan gi $\triangleq$1.c (d) Jika tidak, ketika waktu 2$\lambda$ habis, ia menetapkan vi $\triangleq$ $\bot$dan gi $\triangleq$0. 2. Ketika nilai vi dan gi telah ditetapkan, i menghitung bi, masukan dari BBA⋆, sebagai berikut: bi $\triangleq$0 jika gi = 2, dan bi $\triangleq$1 jika tidak. 3. i menghitung Qr−1 dari CERT r−1 dan memeriksa apakah i $\in$SV r,4 atau tidak. 4. Jika i $\in$SV r,4, ia menghitung pesan mr,4 saya $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,4 i ), menghancurkan miliknya skr kunci rahasia sementara,4 i , dan menyebarkan mr,4 saya. Jika tidak, saya berhenti tanpa menyebarkan apa pun. aJadi, total waktu maksimum sejak i memulai Langkah 1 pada putaran r adalah t4 $\triangleq$t3 + 2$\lambda$ = 5$\lambda$ + Λ. bApakah Langkah (b) ada dalam protokol atau tidak, tidak mempengaruhi kebenarannya. Namun, kehadiran Langkah (b) memungkinkan Langkah 4 berakhir dalam waktu kurang dari 2$\lambda$ jika cukup banyak pemverifikasi Langkah-3 yang “menandatangani $\bot$.” cDapat dibuktikan bahwa v′ dalam hal ini, jika ada, pasti unik.Langkah s, 5 $\leq$s $\leq$m + 2, s −2 ≡0 mod 3: Langkah BBA⋆ Koin-Tetap-Ke-0 Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkahnya sendiri pada putaran r segera setelah dia menyelesaikan Langkahnya sendiri s −1. • Pengguna i menunggu selama waktu maksimum 2$\lambda$.a Saat menunggu, i bertindak sebagai berikut. – Kondisi Akhir 0: Jika suatu titik terdapat string v ̸= $\bot$dan langkah s′ sedemikian rupa sehingga (a) 5 $\leq$s′ $\leq$s, s′ −2 ≡0 mod 3 —yaitu, Langkah s′ adalah langkah Koin-Tetap-Ke-0, (b) saya telah menerima setidaknya pesan yang valid tuan,s′−1 j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ),b dan (c) saya telah menerima pesan yang valid (SIGj(Qr−1), $\sigma$r,1 j ) dengan j menjadi yang kedua komponen v, kemudian, saya berhenti menunggu dan mengakhiri eksekusi Langkah s-nya sendiri (dan sebenarnya putaran r) segera tanpa menyebarkan apa pun sebagai pemverifikasi (r, s); menetapkan H(Br) menjadi yang pertama komponen v; dan menetapkan CERT r miliknya sendiri menjadi kumpulan pesan mr,s′−1 j langkah (b) bersama dengan (SIGj(Qr−1), $\sigma$r,1 j ).c – Kondisi Akhir 1: Jika suatu saat terdapat langkah s′ sedemikian rupa (a’) 6 $\leq$s′ $\leq$s, s′ −2 ≡1 mod 3 —yaitu, Langkah s′ adalah langkah Koin-Tetap-Ke-1, dan (b') saya telah menerima setidaknya pesan yang valid tuan,s′−1 j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j ),d kemudian, saya berhenti menunggu dan mengakhiri eksekusinya sendiri pada Langkah s (dan sebenarnya putaran r) dengan benar pergi tanpa menyebarkan apa pun sebagai pemverifikasi (r, s); himpunan Br = Br ; dan menetapkan miliknya sendiri CERT r menjadi himpunan pesan mr,s′−1 j dari sub-langkah (b'). – Jika di apapun titik dia memiliki diterima di setidaknya itu sah Tuan, s−1 j itu dari itu bentuk (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), lalu dia berhenti menunggu dan menyetel bi $\triangleq$1. – Jika di apapun titik dia memiliki diterima di setidaknya itu sah Tuan, s−1 j itu dari itu bentuk (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), tetapi mereka tidak sepakat pada v yang sama, lalu dia berhenti menunggu dan menyetel bi $\triangleq$0. – Jika tidak, ketika waktu 2$\lambda$ habis, i menetapkan bi $\triangleq$0. – Ketika nilai bi telah ditetapkan, i menghitung Qr−1 dari CERT r−1 dan memeriksa apakah saya $\in$SV r,s. – Jika i $\in$SV r,s, i menghitung pesan mr,s saya $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ) dengan vi menjadi nilai yang telah dia hitung pada Langkah 4, menghancurkan skr,s kunci rahasia fananya saya, dan kemudian menyebarkan Tuan, s saya. Jika tidak, saya berhenti tanpa menyebarkan apa pun. aJadi, total waktu maksimum sejak i memulai Langkah 1 pada putaran r adalah ts $\triangleq$ts−1 + 2$\lambda$ = (2s −3)$\lambda$ + Λ. bPesan seperti itu dari pemain j dihitung meskipun pemain i juga menerima pesan dari j yang menandatangani untuk 1. Hal serupa untuk Kondisi Akhir 1. Seperti yang ditunjukkan dalam analisis, ini untuk memastikan bahwa semua pengguna yang jujur mengetahuinya CERT r dalam waktu $\lambda$ satu sama lain. Pengguna i sekarang mengetahui H(Br) dan penyelesaian putarannya sendiri. Dia hanya perlu menunggu hingga blok Br benar-benar berada disebarkan kepadanya, yang mungkin memerlukan waktu tambahan. Dia masih membantu menyebarkan pesan sebagai pengguna umum, tetapi tidak memulai propagasi apa pun sebagai pemverifikasi (r, s). Secara khusus, dia telah membantu menyebarkan semua pesan di dalamnya CERT r-nya, yang cukup untuk protokol kami. Perhatikan bahwa ia juga harus menetapkan bi $\triangleq$0 untuk protokol biner BA, tapi bi tidak diperlukan dalam hal ini. Hal serupa untuk semua instruksi di masa depan. dDalam hal ini, tidak peduli apa vjnya. 65Langkah s, 6 $\leq$s $\leq$m + 2, s −2 ≡1 mod 3: Langkah BBA⋆ Koin-Tetap-Ke-1 Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkahnya sendiri pada putaran r segera setelah dia menyelesaikan Langkahnya sendiri s −1. • Pengguna i menunggu maksimal 2$\lambda$. Sambil menunggu, saya bertindak sebagai berikut. – Kondisi Akhir 0: Instruksi yang sama seperti pada langkah Koin-Tetap-Ke-0. – Kondisi Akhir 1: Instruksi yang sama seperti pada langkah Koin-Tetap-Ke-0. – Jika di apapun titik dia memiliki diterima di setidaknya itu sah Tuan, s−1 j itu dari itu bentuk (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), lalu dia berhenti menunggu dan menyetel bi $\triangleq$0.a – Jika tidak, ketika waktu 2$\lambda$ habis, i menetapkan bi $\triangleq$1. – Ketika nilai bi telah ditetapkan, i menghitung Qr−1 dari CERT r−1 dan memeriksa apakah saya $\in$SV r,s. – Jika i $\in$SV r,s, i menghitung pesan mr,s saya $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ) dengan vi menjadi nilai yang telah dia hitung pada Langkah 4, menghancurkan skr,s kunci rahasia fananya saya, dan kemudian menyebarkan Tuan, s saya. Jika tidak, saya berhenti tanpa menyebarkan apa pun. aPerhatikan bahwa menerima pesan valid (r, s −1) yang ditandatangani untuk 1 berarti Kondisi Akhir 1. Langkah s, 7 $\leq$s $\leq$m + 2, s −2 ≡2 mod 3: Langkah BBA⋆ yang Benar-Benar Dibalik Koin Instruksi untuk setiap pengguna i $\in$PKr−k: Pengguna i memulai Langkahnya sendiri pada putaran r segera setelah dia menyelesaikan langkahnya sendiri s −1. • Pengguna i menunggu maksimal 2$\lambda$. Sambil menunggu, saya bertindak sebagai berikut. – Kondisi Akhir 0: Instruksi yang sama seperti pada langkah Koin-Tetap-Ke-0. – Kondisi Akhir 1: Instruksi yang sama seperti pada langkah Koin-Tetap-Ke-0. – Jika di apapun titik dia memiliki diterima di setidaknya itu sah Tuan, s−1 j itu dari itu bentuk (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), lalu dia berhenti menunggu dan menyetel bi $\triangleq$0. – Jika di apapun titik dia memiliki diterima di setidaknya itu sah Tuan, s−1 j itu dari itu bentuk (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), lalu dia berhenti menunggu dan menyetel bi $\triangleq$1. – Jika tidak, ketika waktu 2$\lambda$ habis, biarkan SV r,s−1 saya menjadi himpunan (r, s −1)-pengukur dari kepada siapa dia telah menerima pesan yang valid tuan,s−1 j , saya menyetel bi $\triangleq$lsb(minj$\in$SV r,s−1 saya H($\sigma$r,s−1 j )). – Ketika nilai bi telah ditetapkan, i menghitung Qr−1 dari CERT r−1 dan memeriksa apakah saya $\in$SV r,s. – Jika i $\in$SV r,s, i menghitung pesan mr,s saya $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ) dengan vi menjadi nilai yang telah dia hitung pada Langkah 4, menghancurkan skr,s kunci rahasia fananya saya, dan kemudian menyebarkan Tuan, s saya. Jika tidak, saya berhenti tanpa menyebarkan apa pun. Komentar. Pada prinsipnya, sebagaimana dibahas dalam sub-bagian 6.2, protokol dapat mengambil banyak hal secara sewenang-wenang langkah dalam beberapa putaran. Jika hal ini terjadi, seperti yang dibahas, pengguna i $\in$SV r,s dengan s > $\mu$ telah habis

simpanan kunci sementara yang telah dibuat sebelumnya dan harus mengautentikasi pesan (r, s)-nya, mr,s saya oleh a “cascade” dari kunci-kunci fana. Dengan demikian pesan saya menjadi sedikit lebih panjang dan penyampaiannya menjadi lebih lama pesan akan memakan waktu lebih lama. Oleh karena itu, setelah begitu banyak langkah dalam suatu putaran tertentu, nilai parameter $\lambda$ secara otomatis akan meningkat sedikit. (Tetapi itu kembali ke $\lambda$ asli sekali lagi blok diproduksi dan babak baru dimulai.) Rekonstruksi Blok Round-r oleh Non-Verifiers Petunjuk untuk setiap pengguna i dalam sistem: Pengguna i memulai putarannya sendiri r segera setelah ia melakukannya CERT r−1. • Saya mengikuti instruksi dari setiap langkah protokol, berpartisipasi dalam penyebaran semuanya pesan, tetapi tidak memulai propagasi apa pun dalam suatu langkah jika dia bukan pemverifikasi di dalamnya. • i mengakhiri putarannya sendiri r dengan memasukkan Kondisi Akhir 0 atau Kondisi Akhir 1 di beberapa bagian langkah, dengan CERT r yang sesuai. • Dari sana, dia memulai putarannya r + 1 sambil menunggu untuk menerima blok Br yang sebenarnya (kecuali dia sudah menerimanya), yang hash H(Br)-nya telah ditembaki oleh CERT r. Sekali lagi, jika CERT r menunjukkan bahwa Br = Br ǫ, saya tahu Br saat dia memiliki CERT r. 6.4 Analisis Algorand′ 2 Analisis Algorand′ 2 dengan mudah diturunkan dari Algorand ′ 1. Intinya, di Algorand ′ 2, dengan kemungkinan besar, (a) semua pengguna yang jujur menyetujui blok yang sama Br; pemimpin yang baru blok jujur dengan probabilitas paling sedikit ph = h2(1 + h −h2).

Handling Oﬄine Honest users

As we said, a honest user follows all his prescribed instructions, which include that of being online and running the protocol. This is not a major burden in Algorand, since the computation and bandwidth required from a honest user are quite modest. Yet, let us point out that Algorand can be easily modiﬁed so as to work in two models, in which honest users are allowed to be oﬄine in great numbers. Before discussing these two models, let us point out that, if the percentage of honest players were 95%, Algorand could still be run setting all parameters assuming instead that $h = 80\%$. Accordingly, Algorand would continue to work properly even if at most half of the honest players chose to go oﬄine (indeed, a major case of "absenteeism"). In fact, at any point in time, at least 80% of the players online would be honest. From Continual Participation to Lazy Honesty As we saw, $\text{Algorand}'_1$ and $\text{Algorand}'_2$ choose the look-back parameter $k$. Let us now show that choosing $k$ properly large enables one to remove the Continual Participation requirement. This requirement ensures a crucial property: namely, that the underlying BA protocol $\text{BBA}^\star$ has a proper honest majority. Let us now explain how lazy honesty provides an alternative and attractive way to satisfy this property.

Recall that a user $i$ is lazy-but-honest if (1) he follows all his prescribed instructions, when he is asked to participate to the protocol, and (2) he is asked to participate to the protocol only very rarely —e.g., once a week— with suitable advance notice, and potentially receiving signiﬁcant rewards when he participates. To allow Algorand to work with such players, it just suﬃces to "choose the veriﬁers of the current round among the users already in the system in a much earlier round." Indeed, recall that the veriﬁers for a round $r$ are chosen from users in round $r - k$, and the selections are made based on the quantity $Q_{r-1}$. Note that a week consists of roughly 10,000 minutes, and assume that a round takes roughly (e.g., on average) 5 minutes, so a week has roughly 2,000 rounds. Assume that, at some point of time, a user $i$ wishes to plan his time and know whether he is going to be a veriﬁer in the coming week. The protocol now chooses the veriﬁers for a round $r$ from users in round $r - k - 2{,}000$, and the selections are based on $Q_{r-2{,}001}$. At round $r$, player $i$ already knows the values $Q_{r-2{,}000}, \ldots, Q_{r-1}$, since they are actually part of the blockchain. Then, for each $M$ between 1 and 2,000, $i$ is a veriﬁer in a step $s$ of round $r + M$ if and only if

\[H\bigl(\text{SIG}_i(r + M,\, s,\, Q_{r+M-2{,}001})\bigr) \leq p\]

Thus, to check whether he is going to be called to act as a veriﬁer in the next 2,000 rounds, $i$ must compute $\sigma^{M,s}_i = \text{SIG}_i(r + M,\, s,\, Q_{r+M-2{,}001})$ for $M = 1$ to $2{,}000$ and for each step $s$, and check whether $H(\sigma^{M,s}_i) \leq p$ for some of them. If computing a digital signature takes a millisecond, then this entire operation will take him about 1 minute of computation. If he is not selected as a veriﬁer in any of these rounds, then he can go oﬀ-line with an "honest conscience". Had he continuously participated, he would have essentially taken 0 steps in the next 2,000 rounds anyway! If, instead, he is selected to be a veriﬁer in one of these rounds, then he readies himself (e.g., by obtaining all the information necessary) to act as an honest veriﬁer at the proper round. By so acting, a lazy-but-honest potential veriﬁer $i$ only misses participating to the propagation of messages. But message propagation is typically robust. Moreover, the payers and the payees of recently propagated payments are expected to be online to watch what happens to their payments, and thus they will participate to message propagation, if they are honest.

Menangani pengguna Oﬄine Jujur

Seperti yang kami katakan, pengguna yang jujur mengikuti semua instruksi yang ditentukan, termasuk instruksi online dan menjalankan protokol. Hal ini tidak menjadi beban besar di Algorand, karena perhitungan dan bandwidth yang dibutuhkan dari pengguna yang jujur cukup sederhana. Namun, izinkan kami menunjukkan bahwa Algorand bisa dapat dengan mudah dimodifikasi agar dapat berfungsi dalam dua model, di mana pengguna yang jujur diperbolehkan untuk offline di angka yang besar. Sebelum membahas kedua model ini, mari kita tunjukkan persentase pemain yang jujur adalah 95%, Algorand masih dapat dijalankan dengan mengatur semua parameter dengan asumsi h = 80%. Oleh karena itu, Algorand akan terus berfungsi dengan baik meskipun sebagian besar pemain jujur memilih untuk offline (memang merupakan kasus utama “ketidakhadiran”). Faktanya, setidaknya kapan saja 80% pemain online akan jujur. Dari Partisipasi Terus-menerus hingga Kejujuran yang Malas Seperti yang kita lihat, Algorand ′ 1 dan Algorand′ 2 pilih parameter lihat kembali k. Sekarang mari kita tunjukkan bahwa memilih k yang besar dengan benar memungkinkan seseorang untuk menghapus persyaratan Partisipasi Berkelanjutan. Persyaratan ini memastikan properti penting: yaitu, bahwa protokol BA yang mendasari BBA⋆memiliki mayoritas yang jujur. Sekarang mari kita jelaskan betapa malasnya kejujuran memberikan cara alternatif dan menarik untuk memuaskan properti ini.

Ingatlah bahwa pengguna i malas-tapi-jujur jika (1) dia mengikuti semua instruksi yang ditentukan, kapan dia diminta untuk berpartisipasi dalam protokol, dan (2) dia diminta untuk berpartisipasi dalam protokol saja sangat jarang —misalnya, seminggu sekali— dengan pemberitahuan awal yang sesuai, dan berpotensi menerima penerimaan yang signifikan imbalan ketika dia berpartisipasi. Untuk mengizinkan Algorand bekerja dengan pemain seperti itu, cukup dengan “memilih pemverifikasi putaran saat ini di antara pengguna yang sudah berada dalam sistem pada putaran sebelumnya.” Memang benar, ingatlah itu pemverifikasi untuk putaran r dipilih dari pengguna pada putaran r −k, dan pemilihan dibuat berdasarkan pada kuantitas Qr−1. Perhatikan bahwa seminggu terdiri dari sekitar 10.000 menit, dan asumsikan bahwa a putaran memakan waktu kira-kira (misalnya, rata-rata) 5 menit, jadi dalam seminggu ada sekitar 2.000 putaran. Asumsikan bahwa, pada suatu saat, pengguna ingin merencanakan waktunya dan mengetahui apakah dia akan merencanakan waktunya pemverifikasi dalam minggu mendatang. Protokol sekarang memilih pemverifikasi untuk putaran r dari pengguna di putaran r −k −2.000, dan pilihannya didasarkan pada Qr−2.001. Pada ronde r, pemain yang sudah saya kenal nilai Qr−2,000, . . . , Qr−1, karena mereka sebenarnya adalah bagian dari blockchain. Kemudian, untuk setiap M antara 1 dan 2.000, i adalah pemverifikasi pada langkah s pada putaran r + M jika dan hanya jika .H SIGi r + M, s, Qr+M−2,001 $\leq$p. Jadi, untuk memeriksa apakah dia akan dipanggil untuk bertindak sebagai verifikator dalam 2.000 putaran berikutnya, saya harus hitung $\sigma$M,s saya = SIGi r + M, s, Qr+M−2,001 untuk M = 1 sampai 2.000 dan untuk setiap langkah s, dan periksa apakah .H($\sigma$M,s saya ) $\leq$p untuk beberapa di antaranya. Jika penghitungan tanda tangan digital membutuhkan waktu satu milidetik, maka seluruh operasi ini akan memakan waktu sekitar 1 menit komputasi. Jika dia tidak terpilih sebagai verifikator di salah satu ronde ini, maka dia bisa offline dengan “hati nurani yang jujur”. Apakah dia terus menerus berpartisipasi, pada dasarnya dia akan mengambil 0 langkah dalam 2.000 putaran berikutnya! Sebaliknya, jika dia terpilih menjadi verifier di salah satu putaran ini, lalu dia mempersiapkan diri (misalnya, dengan mendapatkan semua informasi yang diperlukan) untuk bertindak sebagai verifikator yang jujur pada putaran yang tepat. Dengan bertindak demikian, calon verifikator yang malas tapi jujur hanya akan ketinggalan berpartisipasi dalam propagasi pesan. Namun penyebaran pesan biasanya kuat. Selain itu, pembayar dan penerima pembayaran pembayaran yang baru-baru ini disebarkan diharapkan online untuk melihat apa yang terjadi pada pembayaran mereka, dan dengan demikian mereka akan berpartisipasi dalam penyebaran pesan, jika mereka jujur.

Protocol Algorand ′ with Honest Majority of Money

Protocol $\text{Algorand}^\prime$ with Honest Majority of Money

We now, ﬁnally, show how to replace the Honest Majority of Users assumption with the much more meaningful Honest Majority of Money assumption. The basic idea is (in a proof-of-stake ﬂavor) "to select a user $i \in PK^{r-k}$ to belong to $SV^{r,s}$ with a weight (i.e., decision power) proportional to the amount of money owned by $i$."24 By our HMM assumption, we can choose whether that amount should be owned at round $r - k$ or at (the start of) round $r$. Assuming that we do not mind continual participation, we opt for the latter choice. (To remove continual participation, we would have opted for the former choice. Better said, for the amount of money owned at round $r - k - 2{,}000$.) There are many ways to implement this idea. The simplest way would be to have each key hold at most 1 unit of money and then select at random $n$ users $i$ from $PK^{r-k}$ such that $a_i^{(r)} = 1$. 24We should say $PK^{r-k-2{,}000}$ so as to replace continual participation. For simplicity, since one may wish to require continual participation anyway, we use $PK^{r-k}$ as before, so as to carry one less parameter.

The Next Simplest Implementation The next simplest implementation may be to demand that each public key owns a maximum amount of money $M$, for some ﬁxed $M$. The value $M$ is small enough compared with the total amount of money in the system, such that the probability a key belongs to the veriﬁer set of more than one step in —say— $k$ rounds is negligible. Then, a key $i \in PK^{r-k}$, owning an amount of money $a_i^{(r)}$ in round $r$, is chosen to belong to $SV^{r,s}$ if

\[H\left(\text{SIG}_i\left(r, s, Q^{r-1}\right)\right) \leq p \cdot \frac{a_i^{(r)}}{M}.\]

And all proceeds as before. A More Complex Implementation The last implementation "forced a rich participant in the system to own many keys". An alternative implementation, described below, generalizes the notion of status and consider each user $i$ to consist of $K + 1$ copies $(i, v)$, each of which is independently selected to be a veriﬁer, and will own his own ephemeral key $(pk_{i,v}^{r,s}, sk_{i,v}^{r,s})$ in a step $s$ of a round $r$. The value $K$ depends on the amount of money $a_i^{(r)}$ owned by $i$ in round $r$. Let us now see how such a system works in greater detail. Number of Copies Let $n$ be the targeted expected cardinality of each veriﬁer set, and let $a_i^{(r)}$ be the amount of money owned by a user $i$ at round $r$. Let $A^r$ be the total amount of money owned by the users in $PK^{r-k}$ at round $r$, that is,

\[A^r = \sum_{i \in PK^{r-k}} a_i^{(r)}.\]

If $i$ is an user in $PK^{r-k}$, then $i$'s copies are $(i, 1), \ldots, (i, K + 1)$, where

\[K = \left\lfloor \frac{n \cdot a_i^{(r)}}{A^r} \right\rfloor.\]

Example. Let $n = 1{,}000$, $A^r = 10^9$, and $a_i^{(r)} = 3.7$ millions. Then,

\[K = \left\lfloor \frac{10^3 \cdot (3.7 \cdot 10^6)}{10^9} \right\rfloor = \lfloor 3.7 \rfloor = 3.\]

Veriﬁers and Credentials Let $i$ be a user in $PK^{r-k}$ with $K + 1$ copies. For each $v = 1, \ldots, K$, copy $(i, v)$ belongs to $SV^{r,s}$ automatically. That is, $i$'s credential is $\sigma_{i,v}^{r,s} \triangleq \text{SIG}_i((i, v), r, s, Q^{r-1})$, but the corresponding condition becomes $H(\sigma_{i,v}^{r,s}) \leq 1$, which is always true. For copy $(i, K + 1)$, for each Step $s$ of round $r$, $i$ checks whether

\[H\left(\text{SIG}_i\left((i, K + 1), r, s, Q^{r-1}\right)\right) \leq \frac{a_i^{(r)} \cdot n}{A^r} - K.\]

If so, copy $(i, K + 1)$ belongs to $SV^{r,s}$. To prove it, $i$ propagates the credential

\[\sigma_{i,K+1}^{r,1} = \text{SIG}_i\left((i, K + 1), r, s, Q^{r-1}\right).\]

Example. As in the previous example, let $n = 1\text{K}$, $a_i^{(r)} = 3.7\text{M}$, $A^r = 1\text{B}$, and $i$ has 4 copies: $(i, 1), \ldots, (i, 4)$. Then, the ﬁrst 3 copies belong to $SV^{r,s}$ automatically. For the 4th one, conceptually, $\text{Algorand}^\prime$ independently rolls a biased coin, whose probability of Heads is 0.7. Copy $(i, 4)$ is selected if and only if the coin toss is Heads. (Of course, this biased coin ﬂip is implemented by hashing, signing, and comparing —as we have done all along in this paper— so as to enable $i$ to prove his result.) Business as Usual Having explained how veriﬁers are selected and how their credentials are computed at each step of a round $r$, the execution of a round is similar to that already explained.

Protokol Algorand ′ dengan Mayoritas Uang yang Jujur

Kini, pada akhirnya, kami menunjukkan cara mengganti asumsi Mayoritas Pengguna yang Jujur dengan asumsi yang lebih banyak lagi asumsi Mayoritas Uang yang Jujur dan bermakna. Ide dasarnya adalah (dalam rasa proof-of-stake) “untuk memilih pengguna i $\in$PKr−k untuk menjadi anggota SV r,s dengan bobot (yaitu, kekuatan keputusan) sebanding dengan jumlah uang yang dimiliki oleh i.”24 Dengan asumsi HMM kita, kita dapat memilih apakah jumlah tersebut harus dimiliki pada putaran r −k atau di (awal) putaran r. Dengan asumsi bahwa kami tidak keberatan dengan partisipasi terus-menerus, kami memilih untuk ikut serta pilihan terakhir. (Untuk menghilangkan partisipasi yang berkelanjutan, kita akan memilih pilihan yang pertama. Lebih baik dikatakan, untuk jumlah uang yang dimiliki pada putaran r −k −2, 000.) Ada banyak cara untuk mengimplementasikan ide ini. Cara paling sederhana adalah dengan menahan setiap kunci paling banyak 1 satuan uang lalu pilih secara acak n pengguna i dari PKr−k sehingga a(r) saya = 1. 24Kita harus menyatakan PKr−k−2.000 untuk menggantikan partisipasi yang berkelanjutan. Untuk kesederhanaan, karena seseorang mungkin ingin membutuhkannya bagaimanapun, kita tetap menggunakan PKr−k seperti sebelumnya, sehingga mengurangi satu parameter.

Implementasi Paling Sederhana Berikutnya Implementasi paling sederhana berikutnya adalah dengan menuntut agar setiap kunci publik memiliki jumlah maksimum uang M, untuk beberapa M tetap. Nilai M cukup kecil dibandingkan dengan jumlah total uang dalam sistem, sedemikian rupa sehingga kemungkinan suatu kunci dimiliki oleh himpunan pemverifikasi lebih dari satu langkah dalam —katakanlah— k putaran dapat diabaikan. Kemudian, kunci i $\in$PKr−k, memiliki sejumlah uang a(r) saya pada putaran r, dipilih menjadi anggota SV r,s jika .H SIGi r, s, Qr−1 $\leq$p $\cdot$ a(r) saya M . Dan semuanya berjalan seperti sebelumnya. Implementasi yang Lebih Kompleks Implementasi terakhir “memaksa peserta kaya dalam sistem untuk memiliki banyak kunci”. Implementasi alternatif, dijelaskan di bawah, menggeneralisasi pengertian status dan pertimbangan setiap pengguna i terdiri dari K + 1 salinan (i, v), yang masing-masing dipilih secara independen untuk menjadi pemverifikasi, dan akan memiliki kunci fananya sendiri (pkr,s saya,v,skr,s i,v) dalam satu langkah s pada putaran r. Nilai K tergantung pada jumlah uang a(r) saya dimiliki oleh i pada putaran r. Sekarang mari kita lihat bagaimana sistem tersebut bekerja secara lebih rinci. Jumlah Salinan Misalkan n adalah kardinalitas yang diharapkan dari masing-masing himpunan pemverifikasi, dan misalkan a(r) saya menjadi jumlah uang yang dimiliki oleh pengguna i pada putaran r. Misalkan Ar adalah jumlah uang yang dimiliki oleh pengguna di PKr−k pada putaran r, yaitu, Ar = X i$\in$P Kr−k sebuah (kanan) saya. Jika i adalah pengguna di PKr−k, maka salinan i adalah (i, 1), . . . , (i, K + 1), dimana K = $ n $\cdot$ sebuah(r) saya Ar % . Contoh. Misal n = 1.000, Ar = 109, dan a(r) saya = 3,7 juta. Lalu, K = 103 $\cdot$ (3,7 $\cdot$ 106) 109 = ⌊3.7⌋= 3 . Verifikasi dan Kredensial Biarkan saya menjadi pengguna di PKr−k dengan K + 1 salinan. Untuk setiap v = 1, . . . , K, salin (i, v) milik SV r,s secara otomatis. Artinya, kredensial saya adalah $\sigma$r, s i,v $\triangleq$SIGi((i, v), r, s, Qr−1), namun kondisinya menjadi .H($\sigma$r,s i,v) $\leq$1, yaitu selalu benar. Untuk salinan (i, K + 1), untuk setiap Langkah s pada putaran r, i memeriksa apakah .H SIGi (saya, K + 1), r, s, Qr−1 $\leq$a(r) saya n Ar −K .

Jika ya, salinan (i, K + 1) milik SV r,s. Untuk membuktikannya, saya menyebarkan kredensial $\sigma$r,1 saya,K+1 = SIGi (saya, K + 1), r, s, Qr−1 . Contoh. Seperti pada contoh sebelumnya, misalkan n = 1K, a(r) saya = 3,7M, Ar = 1B, dan i punya 4 salinan: (i, 1), . . . , (saya, 4). Kemudian, 3 salinan pertama menjadi milik SV r,s secara otomatis. Untuk yang ke 4, secara konseptual, Algorand ′ secara mandiri melempar koin yang bias, yang probabilitas Kepalanya adalah 0,7. Salin (i, 4) dipilih jika dan hanya jika pelemparan koin adalah Kepala. (Tentu saja, pelemparan koin yang bias ini diterapkan dengan hashing, menandatangani, dan membandingkan —seperti yang kita lakukan telah saya lakukan selama ini dalam makalah ini— sehingga memungkinkan saya membuktikan hasilnya.) Bisnis seperti Biasa Setelah menjelaskan bagaimana verifikator dipilih dan bagaimana kredensial mereka dihitung pada setiap langkah putaran r, pelaksanaan putaran serupa dengan yang telah dijelaskan.

Handling Forks

Having reduced the probability of forks to 10−12 or 10−18, it is practically unnecessary to handle them in the remote chance that they occur. Algorand, however, can also employ various fork resolution procedures, with or without proof of work. One possible way of instructing the users to resolve forks is as follows: • Follow the longest chain if a user sees multiple chains. • If there are more than one longest chains, follow the one with a non-empty block at the end. If all of them have empty blocks at the end, consider their second-last blocks. • If there are more than one longest chains with non-empty blocks at the end, say the chains are of length r, follow the one whose leader of block r has the smallest credential. If there are ties, follow the one whose block r itself has the smallest hash value. If there are still ties, follow the one whose block r is ordered the ﬁrst lexicographically.

Menangani Fork

Setelah mengurangi kemungkinan percabangan menjadi 10−12 atau 10−18, hal ini praktis tidak perlu ditangani mereka dalam kemungkinan kecil hal itu terjadi. Algorand, bagaimanapun, juga dapat menggunakan berbagai fork prosedur penyelesaian, dengan atau tanpa bukti kerja. Salah satu cara yang mungkin untuk menginstruksikan pengguna untuk menyelesaikan percabangan adalah sebagai berikut: • Ikuti rantai terpanjang jika pengguna melihat beberapa rantai. • Jika terdapat lebih dari satu rantai terpanjang, ikuti rantai yang tidak ada blok kosong di ujungnya. Jika semuanya memiliki blok kosong di akhir, pertimbangkan blok kedua terakhirnya. • Jika terdapat lebih dari satu rantai terpanjang dengan blok-blok kosong di ujungnya, katakanlah rantai tersebut adalah dengan panjang r, ikuti salah satu yang pemimpin blok r mempunyai kredensial terkecil. Jika ada ikatan, ikuti yang blok rnya sendiri memiliki nilai hash terkecil. Jika masih ada ikatan, ikuti yang blok rnya diurutkan pertama secara leksikografis.

Handling Network Partitions

As said, we assume the propagation times of messages among all users in the network are upperbounded by $\lambda$ and $\Lambda$. This is not a strong assumption, as today's Internet is fast and robust, and the actual values of these parameters are quite reasonable. Here, let us point out that $\text{Algorand}^\prime_2$ continues to work even if the Internet occasionally got partitioned into two parts. The case when the Internet is partitioned into more than two parts is similar. 10.1 Physical Partitions First of all, the partition may be caused by physical reasons. For example, a huge earthquake may end up completely breaking down the connection between Europe and America. In this case, the malicious users are also partitioned and there is no communication between the two parts. Thus

there will be two Adversaries, one for part 1 and the other for part 2. Each Adversary still tries to break the protocol in its own part. Assume the partition happens in the middle of round $r$. Then each user is still selected as a veriﬁer based on $PK^{r-k}$, with the same probability as before. Let $HSV^{r,s}_i$ and $MSV^{r,s}_i$ respectively be the set of honest and malicious veriﬁers in a step $s$ in part $i \in \{1, 2\}$. We have

\[|HSV^{r,s}_1| + |MSV^{r,s}_1| + |HSV^{r,s}_2| + |MSV^{r,s}_2| = |HSV^{r,s}| + |MSV^{r,s}|.\]

Note that $|HSV^{r,s}| + |MSV^{r,s}| < |HSV^{r,s}| + 2|MSV^{r,s}| < 2t_H$ with overwhelming probability. If some part $i$ has $|HSV^{r,s}_i| + |MSV^{r,s}_i| \geq t_H$ with non-negligible probability, e.g., 1%, then the probability that $|HSV^{r,s}_{3-i}| + |MSV^{r,s}_{3-i}| \geq t_H$ is very low, e.g., $10^{-16}$ when $F = 10^{-18}$. In this case, we may as well treat the smaller part as going oﬄine, because there will not be enough veriﬁers in this part to generate $t_H$ signatures to certify a block. Let us consider the larger part, say part 1 without loss of generality. Although $|HSV^{r,s}| < t_H$ with negligible probability in each step $s$, when the network is partitioned, $|HSV^{r,s}_1|$ may be less than $t_H$ with some non-negligible probability. In this case the Adversary may, with some other non-negligible probability, force the binary BA protocol into a fork in round $r$, with a nonempty block $B_r$ and the empty block $B^r_\epsilon$ both having $t_H$ valid signatures.25 For example, in a Coin-Fixed-To-0 step $s$, all veriﬁers in $HSV^{r,s}_1$ signed for bit 0 and $H(B_r)$, and propagated their messages. All veriﬁers in $MSV^{r,s}_1$ also signed 0 and $H(B_r)$, but withheld their messages. Because $|HSV^{r,s}_1| + |MSV^{r,s}_1| \geq t_H$, the system has enough signatures to certify $B_r$. However, since the malicious veriﬁers withheld their signatures, the users enter step $s + 1$, which is a Coin-Fixed-To-1 step. Because $|HSV^{r,s}_1| < t_H$ due to the partition, the veriﬁers in $HSV^{r,s+1}_1$ did not see $t_H$ signatures for bit 0 and they all signed for bit 1. All veriﬁers in $MSV^{r,s+1}_1$ did the same. Because $|HSV^{r,s+1}_1| + |MSV^{r,s+1}_1| \geq t_H$, the system has enough signatures to certify $B^r_\epsilon$. The Adversary then creates a fork by releasing the signatures of $MSV^{r,s}_1$ for 0 and $H(B_r)$. Accordingly, there will be two $Q_r$'s, deﬁned by the corresponding blocks of round $r$. However, the fork will not continue and only one of the two branches may grow in round $r + 1$. Additional Instructions for $\text{Algorand}^\prime_2$. When seeing a non-empty block $B_r$ and the empty block $B^r_\epsilon$, follow the non-empty one (and the $Q_r$ deﬁned by it). Indeed, by instructing the users to go with the non-empty block in the protocol, if a large amount of honest users in $PK^{r+1-k}$ realize there is a fork at the beginning of round $r + 1$, then the empty block will not have enough followers and will not grow. Assume the Adversary manages to partition the honest users so that some honest users see $B_r$ (and perhaps $B^r_\epsilon$), and some only see $B^r_\epsilon$. Because the Adversary cannot tell which one of them will be a veriﬁer following $B_r$ and which will be a veriﬁer following $B^r_\epsilon$, the honest users are randomly partitioned and each one of them still becomes a veriﬁer (either with respect to $B_r$ or with respect to $B^r_\epsilon$) in a step $s > 1$ with probability $p$. For the malicious users, each one of them may have two chances to become a veriﬁer, one with $B_r$ and the other with $B^r_\epsilon$, each with probability $p$ independently. Let $HSV^{r+1,s}_{1;B_r}$ be the set of honest veriﬁers in step $s$ of round $r+1$ following $B_r$. Other notations such as $HSV^{r+1,s}_{1;B^r_\epsilon}$, $MSV^{r+1,s}_{1;B_r}$ and $MSV^{r+1,s}_{1;B^r_\epsilon}$ are similarly deﬁned. By Chernoﬀ bound, it is easy 25Having a fork with two non-empty blocks is not possible with or without partitions, except with negligible probability.

to see that with overwhelming probability,

\[|HSV^{r+1,s}_{1;B_r}| + |HSV^{r+1,s}_{1;B^r_\epsilon}| + |MSV^{r+1,s}_{1;B_r}| + |MSV^{r+1,s}_{1;B^r_\epsilon}| < 2t_H.\]

Accordingly, the two branches cannot both have $t_H$ proper signatures certifying a block for round $r + 1$ in the same step $s$. Moreover, since the selection probabilities for two steps $s$ and $s^\prime$ are the same and the selections are independent, also with overwhelming probability

\[|HSV^{r+1,s}_{1;B_r}| + |MSV^{r+1,s}_{1;B_r}| + |HSV^{r+1,s^\prime}_{1;B^r_\epsilon}| + |MSV^{r+1,s^\prime}_{1;B^r_\epsilon}| < 2t_H,\]

for any two steps $s$ and $s^\prime$. When $F = 10^{-18}$, by the union bound, as long as the Adversary cannot partition the honest users for a long time (say $10^4$ steps, which is more than 55 hours with $\lambda = 10$ seconds26), with high probability (say $1 - 10^{-10}$) at most one branch will have $t_H$ proper signatures to certify a block in round $r + 1$. Finally, if the physical partition has created two parts with roughly the same size, then the probability that $|HSV^{r,s}_i| + |MSV^{r,s}_i| \geq t_H$ is small for each part $i$. Following a similar analysis, even if the Adversary manages to create a fork with some non-negligible probability in each part for round $r$, at most one of the four branches may grow in round $r + 1$. 10.2 Adversarial Partition Second of all, the partition may be caused by the Adversary, so that the messages propagated by the honest users in one part will not reach the honest users in the other part directly, but the Adversary is able to forward messages between the two parts. Still, once a message from one part reaches an honest user in the other part, it will be propagated in the latter as usual. If the Adversary is willing to spend a lot of money, it is conceivable that he may be able to hack the Internet and partition it like this for a while. The analysis is similar to that for the larger part in the physical partition above (the smaller part can be considered as having population 0): the Adversary may be able to create a fork and each honest user only sees one of the branches, but at most one branch may grow. 10.3 Network Partitions in Sum Although network partitions can happen and a fork in one round may occur under partitions, there is no lingering ambiguity: a fork is very short-lived, and in fact lasts for at most a single round. In all parts of the partition except for at most one, the users cannot generate a new block and thus (a) realize there is a partition in the network and (b) never rely on blocks that will "vanish". Acknowledgements We would like to ﬁrst acknowledge Sergey Gorbunov, coauthor of the cited Democoin system. Most sincere thanks go to Maurice Herlihy, for many enlightening discussions, for pointing out that pipelining will improve Algorand's throughput performance, and for greatly improving the 26Note that a user ﬁnishes a step $s$ without waiting for $2\lambda$ time only if he has seen at least $t_H$ signatures for the same message. When there are not enough signatures, each step will last for $2\lambda$ time.

exposition of an earlier version of this paper. Many thanks to Sergio Rajsbaum, for his comments on an earlier version of this paper. Many thanks to Vinod Vaikuntanathan, for several deep discussions and insights. Many thanks to Yossi Gilad, Rotem Hamo, Georgios Vlachos, and Nickolai Zeldovich for starting to test these ideas, and for many helpful comments and discussions. Silvio Micali would like to personally thank Ron Rivest for innumerable discussions and guidance in cryptographic research over more than 3 decades, for coauthoring the cited micropayment system that has inspired one of the veriﬁer selection mechanisms of Algorand. We hope to bring this technology to the next level. Meanwhile the travel and companionship are great fun, for which we are very grateful.

Menangani Partisi Jaringan

Seperti yang dikatakan, kami berasumsi waktu propagasi pesan di antara semua pengguna di jaringan dibatasi oleh $\lambda$ dan Λ. Ini bukanlah asumsi yang kuat, karena Internet saat ini cepat dan tangguh nilai sebenarnya dari parameter ini cukup masuk akal. Di sini, izinkan kami menunjukkan bahwa Algorand ′ 2 terus berfungsi meskipun Internet kadang-kadang dipartisi menjadi dua bagian. Kasus kapan Internet dipartisi menjadi lebih dari dua bagian serupa. 10.1 Partisi Fisik Pertama-tama, partisi tersebut mungkin disebabkan oleh alasan fisik. Misalnya, gempa bumi besar mungkin terjadi akhirnya memutuskan hubungan antara Eropa dan Amerika. Dalam hal ini, pengguna jahat juga dipartisi dan tidak ada komunikasi antara kedua bagian. Jadi

akan ada dua Musuh, satu untuk bagian 1 dan satu lagi untuk bagian 2. Masing-masing Musuh masih mencoba untuk melanggar protokol di bagiannya sendiri. Asumsikan partisi terjadi di tengah putaran r. Kemudian setiap pengguna masih dipilih sebagai a verifier berdasarkan PKr−k, dengan probabilitas yang sama seperti sebelumnya. Biarkan HSV r,s saya dan MSV r,s saya masing-masing jadilah himpunan pemverifikasi yang jujur dan jahat dalam langkah s di bagian i $\in${1, 2}. Kita punya |HSV r,s 1 | + |MSV r,s 1 | + |HSV r,s 2 | + |MSV r,s 2 | = |HSV r,s| + |MSV r,s|. Perhatikan bahwa |HSV r,s| + |MSV r,s| < |HSV r,s| + 2|MSV r,s| < 2tH dengan kemungkinan yang sangat besar. Jika beberapa bagian saya memiliki |HSV r,s saya | + |MSV r,s saya | $\geq$tH dengan probabilitas yang tidak dapat diabaikan, misalnya 1%, maka probabilitas bahwa |HSV r,s 3−i| + |MSV r,s 3−i| $\geq$tH sangat rendah, misalnya 10−16 ketika F = 10−18. Dalam hal ini, sebaiknya kita menganggap bagian yang lebih kecil saja tidak berfungsi, karena tidak akan ada cukup verifikasi yang masuk bagian ini untuk menghasilkan tanda tangan untuk mengesahkan suatu blok. Mari kita pertimbangkan bagian yang lebih besar, katakanlah bagian 1 tanpa kehilangan sifat umum. Meskipun |HSV r,s| < tH dengan probabilitas yang dapat diabaikan di setiap langkah s, ketika jaringan dipartisi, |HSV r,s 1 | mungkin kurang dari tH dengan probabilitas yang tidak dapat diabaikan. Dalam hal ini Musuh mungkin, dengan beberapa pihak probabilitas lain yang tidak dapat diabaikan, memaksa protokol biner BA menjadi percabangan pada putaran r, dengan blok kosong Br dan blok kosong Br ǫ keduanya mempunyai tanda tangan yang sah.25 Misalnya, pada a Langkah Koin-Tetap-Ke-0, semua verifier di HSV r,s 1 ditandatangani untuk bit 0 dan H(Br), dan menyebarkannya pesan. Semua pemverifikasi di MSV r,s 1 juga menandatangani 0 dan H(Br), tetapi menahan pesan mereka. Karena |HSV r,s 1 | + |MSV r,s 1 | $\geq$tH, sistem mempunyai cukup tanda tangan untuk mengesahkan Br. Namun, sejak itu pemverifikasi jahat menahan tanda tangan mereka, pengguna memasukkan langkah s + 1, yang merupakan langkah Coin-Fixed-To1. Karena |HSV r,s 1 | < tH karena partisi, pemverifikasi di HSV r,s+1 1 tidak melihat itu tanda tangan untuk bit 0 dan semuanya menandatangani untuk bit 1. Semua verifier di MSV r,s+1 1 melakukan hal yang sama. Karena |HSV r,s+1 1 | + |MSV r,s+1 1 | $\geq$tH, sistem mempunyai cukup tanda tangan untuk mengesahkan Br . Musuh kemudian membuat fork dengan melepaskan tanda tangan MSV r,s 1 untuk 0 dan H(Br). Oleh karena itu, akan ada dua Qr, yang ditentukan oleh blok-blok putaran r yang bersesuaian. Namun, percabangan tidak akan berlanjut dan hanya satu dari dua cabang yang dapat tumbuh pada putaran r + 1. Petunjuk Tambahan untuk Algorand ′ 2. Saat melihat blok Br yang tidak kosong dan kosong blok Br ǫ , ikuti yang tidak kosong (dan Qr yang ditentukan olehnya). Memang benar, dengan menginstruksikan pengguna untuk menggunakan blok yang tidak kosong dalam protokol, jika berukuran besar sejumlah pengguna jujur di PKr+1−k menyadari ada percabangan di awal putaran r +1, maka blok kosong tidak akan memiliki cukup pengikut dan tidak akan berkembang. Asumsikan Musuh berhasil melakukannya partisi pengguna yang jujur sehingga beberapa pengguna yang jujur melihat Br (dan mungkin Br ǫ), dan ada pula yang hanya melihat Sdr . Karena Musuh tidak bisa membedakan mana di antara mereka yang akan menjadi verifikasi setelah Br dan yang mana akan menjadi verifikator menyusul Sdr , pengguna yang jujur dipartisi secara acak dan masing-masing pengguna tetap menjadi verifikator (baik terhadap Br maupun terhadap Br ǫ) dalam satu langkah s > 1 dengan probabilitas hal. Untuk pengguna jahat, masing-masing dari mereka mungkin memiliki dua peluang untuk menjadi pemverifikasi, satu dengan Br dan satu lagi dengan Br ǫ, masing-masing dengan probabilitas p secara independen. Misalkan HSV r+1,s 1;Br jadilah himpunan verifikator yang jujur pada langkah s putaran r+1 setelah Br. Notasi lainnya seperti HSV r+1,s 1;Br, MSV r+1,s 1;Br dan MSV r+1,s 1;Br didefinisikan dengan cara yang sama. Dengan terikat Cherno, itu mudah 25Memiliki percabangan dengan dua blok yang tidak kosong tidak mungkin dilakukan dengan atau tanpa partisi, kecuali dengan partisi yang dapat diabaikan. kemungkinan.untuk melihatnya dengan kemungkinan yang sangat besar, |HSV r+1,s 1;Br | + |HSV r+1,s 1;Br| + |MSV r+1,s 1;Br | + |MSV r+1,s 1;Br| < 2tH. Oleh karena itu, kedua cabang tidak dapat memiliki tanda tangan yang tepat untuk mengesahkan blok untuk putaran r + 1 pada langkah yang sama s. Terlebih lagi, karena probabilitas seleksi untuk dua langkah s dan s′ adalah sama dan pilihannya independen, juga dengan kemungkinan yang sangat besar |HSV r+1,s 1;Br | + |MSV r+1,s 1;Br | + |HSV r+1,s′ 1;Br | + |MSV r+1,s′ 1;Br | < 2tH, untuk dua langkah s dan s′. Ketika F = 10−18, dengan ikatan gabungan, selama Musuh tidak bisa mempartisi pengguna yang jujur untuk waktu yang lama (katakanlah 104 langkah, yaitu lebih dari 55 jam dengan $\lambda$ = 10 detik26), dengan probabilitas tinggi (katakanlah 1−10−10) paling banyak satu cabang akan memiliki tanda tangan yang tepat untuk mensertifikasi blok di putaran r + 1. Terakhir, jika partisi fisik telah membuat dua bagian dengan ukuran yang kira-kira sama, maka probabilitas bahwa |HSV r,s saya | + |MSV r,s saya | $\geq$tH kecil untuk setiap bagian i. Mengikuti analisis serupa, bahkan jika Musuh berhasil membuat percabangan dengan probabilitas yang tidak dapat diabaikan di setiap bagiannya untuk putaran r, paling banyak satu dari empat cabang dapat tumbuh pada putaran r + 1. 10.2 Partisi Musuh Kedua, partisi tersebut mungkin disebabkan oleh Musuh, sehingga pesan disebarkan oleh pengguna jujur di satu bagian tidak akan menjangkau pengguna jujur di bagian lain secara langsung, namun Musuh mampu meneruskan pesan antara dua bagian. Tetap saja, pernah ada pesan dari seseorang bagian mencapai pengguna yang jujur di bagian lain, itu akan disebarkan di pengguna yang jujur seperti biasa. Jika Musuh rela mengeluarkan banyak uang, bisa dibayangkan dia bisa meretasnya Internet dan partisi seperti ini untuk sementara waktu. Analisisnya mirip dengan bagian yang lebih besar pada partisi fisik di atas (yang lebih kecil bagian dapat dianggap memiliki populasi 0): Musuh mungkin dapat membuat garpu dan setiap pengguna yang jujur hanya melihat satu cabang, tetapi paling banyak satu cabang dapat tumbuh. 10.3 Partisi Jaringan dalam Jumlah Meskipun partisi jaringan dapat terjadi dan percabangan dalam satu putaran dapat terjadi di bawah partisi, namun demikian tidak ada ambiguitas yang tersisa: sebuah garpu berumur sangat pendek, dan pada kenyataannya hanya bertahan paling banyak satu putaran. Di semua bagian partisi kecuali paling banyak satu, pengguna tidak dapat membuat blok baru dan karenanya (a) menyadari adanya partisi dalam jaringan dan (b) jangan pernah mengandalkan blok yang akan “hilang”. Ucapan Terima Kasih Pertama-tama kami ingin mengucapkan terima kasih kepada Sergey Gorbunov, salah satu penulis sistem Democoin yang dikutip. Terima kasih yang paling tulus kami sampaikan kepada Maurice Herlihy, atas banyak diskusi yang mencerahkan, atas petunjuknya mengetahui bahwa pipeline akan meningkatkan kinerja throughput Algorand, dan untuk meningkatkan secara signifikan 26Perhatikan bahwa pengguna menyelesaikan langkah tanpa menunggu 2$\lambda$ waktu hanya jika dia telah melihat setidaknya tanda tangan untuk pesan yang sama. Jika tanda tangan tidak mencukupi, setiap langkah akan berlangsung selama 2$\lambda$ kali.

eksposisi versi sebelumnya dari makalah ini. Terima kasih banyak kepada Sergio Rajsbaum, atas komentarnya versi sebelumnya dari makalah ini. Terima kasih banyak kepada Vinod Vaikuntanathan, atas beberapa diskusi mendalam dan wawasan. Terima kasih banyak kepada Yossi Gilad, Rotem Hamo, Georgios Vlachos, dan Nickolai Zeldovich untuk mulai menguji ide-ide ini, dan untuk banyak komentar dan diskusi yang bermanfaat. Silvio Micali secara pribadi ingin mengucapkan terima kasih kepada Ron Rivest atas diskusi dan bimbingannya yang tak terhitung jumlahnya dalam penelitian kriptografi selama lebih dari 3 dekade, karena ikut menulis sistem pembayaran mikro yang dikutip yang menginspirasi salah satu mekanisme seleksi verifikator Algorand. Kami berharap dapat membawa teknologi ini ke tingkat berikutnya. Sementara itu perjalanan dan persahabatan sangat menyenangkan, dan kami sangat berterima kasih.

Algorand: Menskalakan Perjanjian Bizantium untuk Cryptocurrency

Abstract

Abstract

Abstrak

Introduction

Introduction

Perkenalan

Preliminaries

Preliminaries

Persiapan

The BA Protocol BA⋆in a Traditional Setting

The BA Protocol BA⋆in a Traditional Setting

Protokol BA BA⋆dalam Pengaturan Tradisional

s

Two Embodiments of Algorand

Two Embodiments of Algorand

Dua Perwujudan Algorand

Algorand ′

\(\text{Algorand}^\prime\)

Algorand '

Algorand ′

\(\text{Algorand}^\prime\)

Algorand '

Handling Oﬄine Honest users

Handling Oﬄine Honest users

Menangani pengguna Oﬄine Jujur

Protocol Algorand ′ with Honest Majority of Money

Protocol \(\text{Algorand}^\prime\) with Honest Majority of Money

Protokol Algorand ′ dengan Mayoritas Uang yang Jujur

Handling Forks

Handling Forks

Menangani Fork

Handling Network Partitions

Handling Network Partitions

Menangani Partisi Jaringan