What is the Monero whitepaper?

The foundational paper for Monero is the CryptoNote v2.0 whitepaper by Nicolas van Saberhagen (2013). It describes the cryptographic primitives — ring signatures and stealth addresses — that enable untraceable, unlinkable transactions.

Who wrote the CryptoNote whitepaper and when?

The CryptoNote v2.0 whitepaper was published in October 2013 by Nicolas van Saberhagen — a pseudonymous author whose identity remains unknown. Monero launched in April 2014 as a fork of Bytecoin, which first implemented CryptoNote.

What is Monero's core technical innovation?

Monero combines three privacy technologies: ring signatures (hiding the sender among decoys), stealth addresses (one-time addresses hiding the receiver), and RingCT (confidential transactions hiding the amount). Together, these make all transactions private by default.

How does Monero's consensus mechanism work?

Monero uses RandomX — a proof-of-work algorithm optimized for CPU mining. RandomX uses random code execution, making it resistant to ASIC and GPU miners, promoting decentralized mining using commodity hardware.

How does Monero differ from Bitcoin?

Unlike Bitcoin's transparent ledger, Monero transactions are private by default — sender, receiver, and amount are all hidden. Monero has no fixed block size (dynamic block scaling), tail emission, and uses CPU-friendly mining (RandomX).

What is Monero's supply model?

Monero has a main emission curve reaching ~18.132 million XMR. After that, tail emission provides 0.6 XMR per block indefinitely, ensuring miners always receive rewards and maintaining long-term network security without relying on fees alone.

What are Monero's primary use cases?

Monero is used for private, censorship-resistant payments. Its mandatory privacy makes it suitable for financial privacy, confidential business transactions, and as a fungible digital cash where every coin has identical history.

What problem does Monero solve?

Monero solves Bitcoin's privacy limitation — on transparent blockchains, transaction history is publicly traceable. Monero ensures fungibility (all coins are equally spendable) and protects users from surveillance, balance tracking, and transaction graph analysis.

How does Monero's security model work?

Monero's security combines proof-of-work (RandomX) with cryptographic privacy. Ring signatures provide plausible deniability, stealth addresses prevent address linkage, and RingCT hides amounts. Bulletproofs+ reduce proof sizes for efficiency.

What is the current state of the Monero ecosystem?

Monero remains the leading privacy-focused cryptocurrency. It has implemented Bulletproofs+ for smaller transactions, view tags for faster wallet syncing, and Full-Chain Membership Proofs (FCMP+) are in development to dramatically increase ring sizes for stronger privacy.

$XMR 2013 · 148 min

क्रिप्टोनोट v2.0

CryptoNote v2.0

द्वारा Nicolas van Saberhagen

साइड-बाय-साइड मोड getmonero.org

16px

यहाँ प्रस्तुत paper Nicolas van Saberhagen का CryptoNote v2.0 whitepaper (2013) है, जो उन cryptographic foundations का वर्णन करता है जिन पर Monero बनाया गया है। यह Monero-specific whitepaper नहीं है — Monero 2014 में CryptoNote reference implementation (Bytecoin) के fork के रूप में लॉन्च हुआ और तब से original protocol से काफी आगे विकसित हो गया है।

परिचय

"Bitcoin" [1] पी2पी इलेक्ट्रॉनिक कैश की अवधारणा का एक सफल कार्यान्वयन रहा है। दोनों पेशेवर और आम जनता इसके सुविधाजनक संयोजन की सराहना करने लगे हैं सार्वजनिक लेनदेन और proof-of-work एक ट्रस्ट मॉडल के रूप में। आज, इलेक्ट्रॉनिक नकदी का उपयोगकर्ता आधार स्थिर गति से बढ़ रहा है; ग्राहक कम शुल्क और गुमनामी की सुविधा से आकर्षित होते हैं इलेक्ट्रॉनिक नकदी द्वारा और व्यापारी इसके पूर्वानुमानित और विकेन्द्रीकृत उत्सर्जन को महत्व देते हैं। Bitcoin के पास है प्रभावी ढंग से साबित हुआ कि इलेक्ट्रॉनिक नकदी कागजी मुद्रा जितनी सरल और सुविधाजनक हो सकती है क्रेडिट कार्ड. दुर्भाग्य से, Bitcoin कई कमियों से ग्रस्त है। उदाहरण के लिए, सिस्टम वितरित है प्रकृति अनम्य है, जो नई सुविधाओं के कार्यान्वयन को तब तक रोकती है जब तक कि लगभग सभी नेटवर्क उपयोगकर्ता अपने क्लाइंट को अपडेट नहीं कर लेते। कुछ गंभीर खामियाँ जिन्हें तुरंत ठीक नहीं किया जा सकता, वे Bitcoin को रोकती हैं व्यापक प्रसार. ऐसे लचीले मॉडल में, एक नई परियोजना शुरू करना अधिक कुशल होता है मूल प्रोजेक्ट को हमेशा के लिए ठीक करने के बजाय। इस पेपर में, हम Bitcoin की मुख्य कमियों का अध्ययन और समाधान प्रस्तावित करते हैं। हमें विश्वास है हमारे द्वारा प्रस्तावित समाधानों को ध्यान में रखते हुए एक प्रणाली स्वस्थ प्रतिस्पर्धा को बढ़ावा देगी विभिन्न इलेक्ट्रॉनिक नकदी प्रणालियों के बीच। हम अपना स्वयं का इलेक्ट्रॉनिक कैश, "क्रिप्टोनोट" भी प्रस्तावित करते हैं। इलेक्ट्रॉनिक नकदी में अगली सफलता पर जोर देने वाला नाम।

Bitcoin कमियां और संभावित समाधान

2 Bitcoin कमियाँ और कुछ संभावित समाधान 2.1 लेन-देन का पता लगाने की क्षमता गोपनीयता और गुमनामी इलेक्ट्रॉनिक नकदी के सबसे महत्वपूर्ण पहलू हैं। सहकर्मी से सहकर्मी भुगतान तीसरे पक्ष के दृष्टिकोण से छुपाने की कोशिश करें, पारंपरिक के साथ तुलना करने पर एक अलग अंतर बैंकिंग. विशेष रूप से, टी. ओकामोटो और के. ओह्टा ने आदर्श इलेक्ट्रॉनिक नकदी के छह मानदंडों का वर्णन किया, जिसमें "गोपनीयता: उपयोगकर्ता और उसकी खरीदारी के बीच संबंध का पता नहीं लगाया जाना चाहिए" शामिल है किसी के द्वारा” [30]। उनके विवरण से, हमें दो संपत्तियाँ मिलीं जो पूरी तरह से गुमनाम थीं ओकामोटो द्वारा उल्लिखित आवश्यकताओं का अनुपालन करने के लिए इलेक्ट्रॉनिक कैश मॉडल को पूरा करना होगा और ओह्टा: अप्राप्यता: प्रत्येक आने वाले लेनदेन के लिए सभी संभावित प्रेषक समसंभावित होते हैं। अनलिंकेबिलिटी: किन्हीं दो आउटगोइंग लेनदेन के लिए यह साबित करना असंभव है कि उन्हें भेजा गया था वही व्यक्ति. दुर्भाग्य से, Bitcoin अप्राप्यता आवश्यकता को पूरा नहीं करता है। चूँकि नेटवर्क के प्रतिभागियों के बीच होने वाले सभी लेन-देन सार्वजनिक होते हैं, इसलिए कोई भी लेन-देन सार्वजनिक हो सकता है 1 क्रिप्टोनोट v 2.0 निकोलस वान सेबरहेगन 17 अक्टूबर 2013 1 परिचय "Bitcoin" [1] पी2पी इलेक्ट्रॉनिक कैश की अवधारणा का सफल कार्यान्वयन रहा है। दोनों पेशेवर और आम जनता इसके सुविधाजनक संयोजन की सराहना करने लगे हैं सार्वजनिक लेनदेन और proof-of-work एक ट्रस्ट मॉडल के रूप में। आज, इलेक्ट्रॉनिक नकदी का उपयोगकर्ता आधार स्थिर गति से बढ़ रहा है; ग्राहक कम शुल्क और गुमनामी की सुविधा से आकर्षित होते हैं इलेक्ट्रॉनिक नकदी द्वारा और व्यापारी इसके पूर्वानुमानित और विकेन्द्रीकृत उत्सर्जन को महत्व देते हैं। Bitcoin के पास है प्रभावी ढंग से साबित हुआ कि इलेक्ट्रॉनिक नकदी कागजी मुद्रा जितनी सरल और सुविधाजनक हो सकती है क्रेडिट कार्ड. दुर्भाग्य से, Bitcoin कई कमियों से ग्रस्त है। उदाहरण के लिए, सिस्टम वितरित है प्रकृति अनम्य है, जो नई सुविधाओं के कार्यान्वयन को तब तक रोकती है जब तक कि लगभग सभी नेटवर्क उपयोगकर्ता अपने क्लाइंट को अपडेट नहीं कर लेते। कुछ गंभीर खामियाँ जिन्हें तुरंत ठीक नहीं किया जा सकता, वे Bitcoin को रोकती हैं व्यापक प्रसार. ऐसे लचीले मॉडल में, एक नई परियोजना शुरू करना अधिक कुशल होता है मूल प्रोजेक्ट को हमेशा के लिए ठीक करने के बजाय। इस पेपर में, हम Bitcoin की मुख्य कमियों का अध्ययन और समाधान प्रस्तावित करते हैं। हमें विश्वास है हमारे द्वारा प्रस्तावित समाधानों को ध्यान में रखते हुए एक प्रणाली स्वस्थ प्रतिस्पर्धा को बढ़ावा देगी विभिन्न इलेक्ट्रॉनिक नकदी प्रणालियों के बीच। हम अपना स्वयं का इलेक्ट्रॉनिक कैश, "क्रिप्टोनोट" भी प्रस्तावित करते हैं। इलेक्ट्रॉनिक नकदी में अगली सफलता पर जोर देने वाला नाम। 2 Bitcoin कमियाँ और कुछ संभावित समाधान 2.1 लेन-देन का पता लगाने की क्षमता गोपनीयता और गुमनामी इलेक्ट्रॉनिक नकदी के सबसे महत्वपूर्ण पहलू हैं। सहकर्मी से सहकर्मी भुगतान तीसरे पक्ष के दृष्टिकोण से छुपाने की कोशिश करें, पारंपरिक के साथ तुलना करने पर एक अलग अंतर बैंकिंग. विशेष रूप से, टी. ओकामोटो और के. ओह्टा ने आदर्श इलेक्ट्रॉनिक नकदी के छह मानदंडों का वर्णन किया, जिसमें "गोपनीयता: उपयोगकर्ता और उसकी खरीदारी के बीच संबंध का पता नहीं लगाया जाना चाहिए" शामिल है किसी के द्वारा" [30]। उनके विवरण से, हमें दो संपत्तियाँ मिलीं जो पूरी तरह से गुमनाम थीं ओकामोटो द्वारा उल्लिखित आवश्यकताओं का अनुपालन करने के लिए इलेक्ट्रॉनिक कैश मॉडल को पूरा करना होगा और ओह्टा: अप्राप्यता: प्रत्येक आने वाले लेनदेन के लिए सभी संभावित प्रेषक समसंभावित होते हैं। अनलिंकेबिलिटी: किन्हीं दो आउटगोइंग लेनदेन के लिए यह साबित करना असंभव है कि उन्हें भेजा गया था वही व्यक्ति. दुर्भाग्यवश, Bitcoin अप्राप्यता आवश्यकता को पूरा नहीं करता है। चूँकि नेटवर्क के प्रतिभागियों के बीच होने वाले सभी लेन-देन सार्वजनिक होते हैं, इसलिए कोई भी लेन-देन सार्वजनिक हो सकता है 1 3 Bitcoin निश्चित रूप से "अनट्रैसेबिलिटी" में विफल रहता है। जब मैं आपको बीटीसी भेजता हूं, तो जिस वॉलेट से इसे भेजा जाता है blockchain पर अपरिवर्तनीय रूप से मुहर लगाई गई है। इस बारे में कोई सवाल नहीं है कि ये धनराशि किसने भेजी, क्योंकि केवल निजी कुंजियों का ज्ञाता ही उन्हें भेज सकता है।स्पष्ट रूप से एक अद्वितीय मूल और अंतिम प्राप्तकर्ता का पता लगाया गया। भले ही दो प्रतिभागी आदान-प्रदान करें अप्रत्यक्ष तरीके से धन, एक उचित रूप से इंजीनियर पथ-खोज विधि मूल को प्रकट करेगी और अंतिम प्राप्तकर्ता. यह भी संदेह है कि Bitcoin दूसरी संपत्ति को संतुष्ट नहीं करता है। कुछ शोधकर्ता कहा गया है ([33, 35, 29, 31]) कि सावधानीपूर्वक blockchain विश्लेषण के बीच संबंध का पता चल सकता है Bitcoin नेटवर्क के उपयोगकर्ता और उनके लेनदेन। हालाँकि कई विधियाँ हैं विवादित [25], यह संदेह है कि बहुत सारी छिपी हुई व्यक्तिगत जानकारी निकाली जा सकती है सार्वजनिक डेटाबेस. ऊपर उल्लिखित दो गुणों को संतुष्ट करने में Bitcoin की विफलता हमें इस निष्कर्ष पर ले जाती है कि यह है एक गुमनाम नहीं बल्कि एक छद्म-गुमनाम इलेक्ट्रॉनिक नकदी प्रणाली। उपयोगकर्ता तेजी से विकसित हुए इस कमी को दूर करने के उपाय. दो प्रत्यक्ष समाधान थे "लॉन्ड्रिंग सेवाएँ" [2] और वितरित विधियों का विकास [3, 4]। दोनों समाधान मिश्रण के विचार पर आधारित हैं कई सार्वजनिक लेनदेन और उन्हें कुछ मध्यस्थ पते के माध्यम से भेजना; जो बदले में विश्वसनीय तृतीय पक्ष की आवश्यकता की कमी का सामना करना पड़ता है। हाल ही में, आई. मियर्स एट अल द्वारा एक अधिक रचनात्मक योजना प्रस्तावित की गई थी। [28]: "ज़ीरोकॉइन"। शून्य सिक्का क्रिप्टोग्राफ़िक वन-वे संचायक और शून्य-ज्ञान प्रमाण का उपयोग करता है जो उपयोगकर्ताओं को इसकी अनुमति देता है बिटकॉइन को ज़ीरोकॉइन में "कन्वर्ट" करें और इसके बजाय स्वामित्व के गुमनाम प्रमाण का उपयोग करके उन्हें खर्च करें स्पष्ट सार्वजनिक-कुंजी आधारित डिजिटल हस्ताक्षर। हालाँकि, ऐसे ज्ञान प्रमाणों में निरंतरता होती है लेकिन असुविधाजनक आकार - लगभग 30kb (आज की Bitcoin सीमा के आधार पर), जो प्रस्ताव बनाता है अव्यावहारिक. लेखक स्वीकार करते हैं कि प्रोटोकॉल को बहुसंख्यक लोगों द्वारा कभी भी स्वीकार किए जाने की संभावना नहीं है Bitcoin उपयोगकर्ता [5]। 2.2 proof-of-work फ़ंक्शन Bitcoin निर्माता सातोशी नाकामोटो ने बहुमत निर्णय लेने वाले एल्गोरिदम को "वनसीपीयू-वन-वोट" के रूप में वर्णित किया और अपने proof-of-work के लिए सीपीयू-बाउंड मूल्य निर्धारण फ़ंक्शन (डबल SHA-256) का उपयोग किया। योजना. चूँकि उपयोगकर्ता लेन-देन के एकल इतिहास आदेश [1] के लिए वोट करते हैं, तर्कसंगतता और इस प्रक्रिया की निरंतरता पूरे सिस्टम के लिए महत्वपूर्ण शर्तें हैं। इस मॉडल की सुरक्षा दो कमियों से ग्रस्त है। सबसे पहले, इसके लिए 51% नेटवर्क की आवश्यकता होती है खनन शक्ति ईमानदार उपयोगकर्ताओं के नियंत्रण में होगी। दूसरे, सिस्टम की प्रगति (बग फिक्स, सुरक्षा सुधार, आदि...) के लिए अधिकांश उपयोगकर्ताओं को समर्थन और सहमति की आवश्यकता होती है परिवर्तन (यह तब होता है जब उपयोगकर्ता अपने वॉलेट सॉफ़्टवेयर को अपडेट करते हैं) [6]। अंत में वही वोटिंग कुछ सुविधाओं [7] के कार्यान्वयन के बारे में सामूहिक सर्वेक्षण के लिए भी तंत्र का उपयोग किया जाता है। यह हमें उन गुणों का अनुमान लगाने की अनुमति देता है जिन्हें proof-of-work द्वारा संतुष्ट किया जाना चाहिए मूल्य निर्धारण समारोह। इस तरह के फ़ंक्शन को किसी नेटवर्क भागीदार को महत्वपूर्ण भूमिका निभाने में सक्षम नहीं बनाना चाहिए किसी अन्य प्रतिभागी पर लाभ; इसके लिए सामान्य हार्डवेयर और उच्च के बीच समानता की आवश्यकता होती है कस्टम उपकरणों की लागत. हाल के उदाहरणों [8] से, हम देख सकते हैं कि SHA-256 फ़ंक्शन का उपयोग किया गया है Bitcoin वास्तुकला में यह संपत्ति नहीं है क्योंकि खनन अधिक कुशल हो जाता है हाई-एंड सीपीयू की तुलना में जीपीयू और एएसआईसी डिवाइस। इसलिए, Bitcoin की मतदान शक्ति के बीच एक बड़े अंतर के लिए अनुकूल परिस्थितियाँ बनाता है प्रतिभागियों के अनुसार यह "एक-सीपीयू-एक-वोट" सिद्धांत का उल्लंघन करता है क्योंकि GPU और ASIC मालिकों के पास है सीपीयू मालिकों की तुलना में बहुत बड़ी वोटिंग शक्ति। यह इसका एक शास्त्रीय उदाहरण है पेरेटो सिद्धांत जहां सिस्टम के 20% प्रतिभागी 80% से अधिक वोटों को नियंत्रित करते हैं। कोई यह तर्क दे सकता है कि ऐसी असमानता नेटवर्क की सुरक्षा के लिए प्रासंगिक नहीं है क्योंकि ऐसा नहीं है प्रतिभागियों की कम संख्या अधिकांश वोटों को नियंत्रित करती है लेकिन इनमें ईमानदारी है प्रतिभागी जो मायने रखते हैं। हालाँकि, ऐसा तर्क कुछ हद तक त्रुटिपूर्ण है क्योंकि यह ऐसा ही है प्रतिभागियों की ईमानदारी के बजाय सस्ते विशेषीकृत हार्डवेयर के प्रदर्शित होने की संभावना ख़तरा पैदा करता है. इसे प्रदर्शित करने के लिए, आइए निम्नलिखित उदाहरण लें। मान लीजिए कि कोई दुष्ट है व्यक्ति सस्ते में अपना स्वयं का खनन फार्म बनाकर महत्वपूर्ण खनन शक्ति प्राप्त करता है 2 स्पष्ट रूप से एक अद्वितीय मूल और अंतिम प्राप्तकर्ता का पता लगाया गया। भले ही दो प्रतिभागी आदान-प्रदान करें अप्रत्यक्ष तरीके से धन, एक उचित रूप से इंजीनियर पथ-खोज विधि मूल को प्रकट करेगी और अंतिम प्राप्तकर्ता. यह भी संदेह है कि Bitcoin दूसरी संपत्ति को संतुष्ट नहीं करता है। कुछ शोधकर्ता कहा गया है ([33, 35, 29, 31]) कि सावधानीपूर्वक blockchain विश्लेषण के बीच संबंध का पता चल सकता है Bitcoin नेटवर्क के उपयोगकर्ता और उनके लेनदेन। हालाँकि कई विधियाँ हैं घजारी किया गया [25], यह संदेह है कि बहुत सारी छिपी हुई व्यक्तिगत जानकारी निकाली जा सकती है सार्वजनिक डेटाबेस. ऊपर उल्लिखित दो गुणों को संतुष्ट करने में Bitcoin की विफलता हमें इस निष्कर्ष पर ले जाती है कि यह है एक गुमनाम नहीं बल्कि एक छद्म-गुमनाम इलेक्ट्रॉनिक नकदी प्रणाली। उपयोगकर्ता तेजी से विकसित हुए इस कमी को दूर करने के उपाय. दो प्रत्यक्ष समाधान थे "लॉन्ड्रिंग सेवाएँ" [2] और वितरित विधियों का विकास [3, 4]। दोनों समाधान मिश्रण के विचार पर आधारित हैं कई सार्वजनिक लेनदेन और उन्हें कुछ मध्यस्थ पते के माध्यम से भेजना; जो बदले में विश्वसनीय तृतीय पक्ष की आवश्यकता की कमी का सामना करना पड़ता है। हाल ही में, आई. मियर्स एट अल द्वारा एक अधिक रचनात्मक योजना प्रस्तावित की गई थी। [28]: "ज़ीरोकॉइन"। शून्य सिक्का क्रिप्टोग्राफ़िक वन-वे संचायक और शून्य-ज्ञान प्रमाण का उपयोग करता है जो उपयोगकर्ताओं को इसकी अनुमति देता है बिटकॉइन को ज़ीरोकॉइन में "कन्वर्ट" करें और इसके बजाय स्वामित्व के गुमनाम प्रमाण का उपयोग करके उन्हें खर्च करें स्पष्ट सार्वजनिक-कुंजी आधारित डिजिटल हस्ताक्षर। हालाँकि, ऐसे ज्ञान प्रमाणों में निरंतरता होती है लेकिन असुविधाजनक आकार - लगभग 30kb (आज की Bitcoin सीमा के आधार पर), जो प्रस्ताव बनाता है अव्यावहारिक. लेखक स्वीकार करते हैं कि प्रोटोकॉल को बहुसंख्यक लोगों द्वारा कभी भी स्वीकार किए जाने की संभावना नहीं है Bitcoin उपयोगकर्ता [5]। 2.2 proof-of-work फ़ंक्शन Bitcoin निर्माता सातोशी नाकामोतो ने बहुमत निर्णय लेने वाले एल्गोरिदम को "वनसीपीयू-वन-वोट" के रूप में वर्णित किया और अपने proof-of-work के लिए सीपीयू-बाउंड मूल्य निर्धारण फ़ंक्शन (डबल SHA-256) का उपयोग किया। योजना. चूँकि उपयोगकर्ता लेन-देन के एकल इतिहास आदेश [1] के लिए वोट करते हैं, तर्कसंगतता और इस प्रक्रिया की निरंतरता पूरे सिस्टम के लिए महत्वपूर्ण शर्तें हैं। इस मॉडल की सुरक्षा दो कमियों से ग्रस्त है। सबसे पहले, इसके लिए 51% नेटवर्क की आवश्यकता होती है खनन शक्ति ईमानदार उपयोगकर्ताओं के नियंत्रण में होगी। दूसरे, सिस्टम की प्रगति (बग फिक्स, सुरक्षा सुधार, आदि...) के लिए अधिकांश उपयोगकर्ताओं को समर्थन और सहमति की आवश्यकता होती है परिवर्तन (यह तब होता है जब उपयोगकर्ता अपने वॉलेट सॉफ़्टवेयर को अपडेट करते हैं) [6]। अंत में वही वोटिंग कुछ सुविधाओं [7] के कार्यान्वयन के बारे में सामूहिक सर्वेक्षण के लिए भी तंत्र का उपयोग किया जाता है। यह हमें उन गुणों का अनुमान लगाने की अनुमति देता है जिन्हें proof-of-work द्वारा संतुष्ट किया जाना चाहिए मूल्य निर्धारण समारोह। इस तरह के फ़ंक्शन को किसी नेटवर्क भागीदार को महत्वपूर्ण भूमिका निभाने में सक्षम नहीं बनाना चाहिए किसी अन्य प्रतिभागी पर लाभ; इसके लिए सामान्य हार्डवेयर और उच्च के बीच समानता की आवश्यकता होती है कस्टम उपकरणों की लागत. हाल के उदाहरणों [8] से, हम देख सकते हैं कि SHA-256 फ़ंक्शन का उपयोग किया गया है Bitcoin वास्तुकला में यह संपत्ति नहीं है क्योंकि खनन अधिक कुशल हो जाता है हाई-एंड सीपीयू की तुलना में जीपीयू और एएसआईसी डिवाइस। इसलिए, Bitcoin मतदान शक्ति के बीच बड़े अंतर के लिए अनुकूल परिस्थितियाँ बनाता है प्रतिभागियों के अनुसार यह "एक-सीपीयू-एक-वोट" सिद्धांत का उल्लंघन करता है क्योंकि GPU और ASIC मालिकों के पास है सीपीयू मालिकों की तुलना में बहुत बड़ी वोटिंग शक्ति। यह इसका एक शास्त्रीय उदाहरण है पेरेटो सिद्धांत जहां सिस्टम के 20% प्रतिभागी 80% से अधिक वोटों को नियंत्रित करते हैं। कोई यह तर्क दे सकता है कि ऐसी असमानता नेटवर्क की सुरक्षा के लिए प्रासंगिक नहीं है क्योंकि ऐसा नहीं है प्रतिभागियों की कम संख्या अधिकांश वोटों को नियंत्रित करती है लेकिन इनमें ईमानदारी है प्रतिभागी जो मायने रखते हैं। हालाँकि, ऐसा तर्क कुछ हद तक त्रुटिपूर्ण है क्योंकि यह ऐसा ही है प्रतिभागियों की ईमानदारी के बजाय सस्ते विशेषीकृत हार्डवेयर के प्रदर्शित होने की संभावना ख़तरा पैदा करता है. इसे प्रदर्शित करने के लिए, आइए निम्नलिखित उदाहरण लें। मान लीजिए कि कोई दुष्ट है व्यक्ति सस्ते में अपना स्वयं का खनन फार्म बनाकर महत्वपूर्ण खनन शक्ति प्राप्त करता है 2 4 संभवतः, यदि प्रत्येक उपयोगकर्ता हमेशा एक नया पता उत्पन्न करके अपनी गुमनामी को दूर करने में मदद करता है प्रत्येक प्राप्त भुगतान के लिए (जो बेतुका है लेकिन तकनीकी रूप से इसे करने का "सही" तरीका है), और यदि प्रत्येक उपयोगकर्ता ने यह आग्रह करके कि वे कभी भी धनराशि नहीं भेजते हैं, अन्य सभी की गुमनामी को दूर करने में मदद की एक ही BTC पते पर दो बार, तब भी Bitcoin केवल परिस्थितिवश ही पास होगा असंबद्धता परीक्षण. क्यों? उपभोक्ता डेटा का उपयोग हर समय लोगों के बारे में आश्चर्यजनक मात्रा जानने के लिए किया जा सकता है। उदाहरण के लिए देखें http://www.applieddatalabs.com/content/target-knows-it-shows अब, कल्पना करें कि यह भविष्य में 20 साल है और आगे कल्पना करें कि टारगेट को अभी तक पता नहीं था टारगेट पर आपकी खरीदारी की आदतों के बारे में, लेकिन वे सभी के लिए blockchain का खनन कर रहे थे अतीत में आपके कॉइनबेस वॉलेट से आपकी व्यक्तिगत खरीदारी बारह वर्ष. वे ऐसे कहेंगे, "अरे दोस्त, तुम आज रात खांसी की कोई दवा लेना चाहोगे, लेकिन तुम नहीं खरीदोगे कल अच्छा महसूस करो।" यदि मल्टी-पार्टी सॉर्टिंग का सही ढंग से उपयोग किया जाता है तो ऐसा नहीं हो सकता है। उदाहरण के लिए, यह देखेंब्लॉग पोस्ट: http://blog.ezyang.com/2012/07/secure-multiparty-bitcoin-anonymization/ मैं उस गणित से पूरी तरह आश्वस्त नहीं हूं, लेकिन... एक समय में एक पेपर, है ना? प्रशस्ति - पत्र आवश्यक। जबकि ज़ीरोकॉइन प्रोटोकॉल (स्टैंडअलोन) अपर्याप्त हो सकता है, ज़ीरोकैश ऐसा लगता है कि प्रोटोकॉल ने 1kb आकार के लेनदेन को लागू किया है। वह प्रोजेक्ट समर्थित है बेशक, अमेरिकी और इजरायली सेनाएं, इसलिए इसकी मजबूती के बारे में कौन जानता है। दूसरे पर हाथ, कोई भी सेना से अधिक निगरानी के बिना धन खर्च करने में सक्षम नहीं होना चाहता। http://zerocash-project.org/ मैं आश्वस्त नहीं हूं... उदाहरण के लिए देखें, http://fc14.ifca.ai/bitcoin/papers/bitcoin14_submission_12.pdf क्रिप्टोनोट से एक क्रिप्टोनोट डेवलपर मौरिस प्लैंक (संभवतः एक छद्म नाम) का उद्धरण मंच: "ज़ीरोकॉइन, ज़ीरोकैश। मुझे यह स्वीकार करना होगा कि यह सबसे उन्नत तकनीक है। हाँ, उद्धरण उपरोक्त प्रोटोकॉल के पिछले संस्करण के विश्लेषण से है। मेरी जानकारी में, ऐसा नहीं है 288, लेकिन 384 बाइट्स, लेकिन फिर भी यह अच्छी खबर है। उन्होंने SNARK नामक एक बिल्कुल नई तकनीक का उपयोग किया, जिसके कुछ नुकसान हैं: उदाहरण के लिए, हस्ताक्षर बनाने के लिए आवश्यक सार्वजनिक मापदंडों का बड़ा प्रारंभिक डेटाबेस (1 जीबी से अधिक) और लेन-देन करने के लिए आवश्यक महत्वपूर्ण समय (एक मिनट से अधिक)। अंततः, वे एक का उपयोग कर रहे हैं युवा क्रिप्टो, जिसका मैंने एक विवादास्पद विचार के रूप में उल्लेख किया है: https://forum.cryptonote.org/viewtopic.php?f= - मौरिस पी. गुरु 03 अप्रैल, 2014 7:56 अपराह्न एक फ़ंक्शन जो सीपीयू में किया जाता है और जीपीयू, एफपीजीए या एएसआईसी के लिए उपयुक्त नहीं है गणना. proof-of-work में प्रयुक्त "पहेली" को मूल्य निर्धारण फ़ंक्शन, लागत फ़ंक्शन, या के रूप में जाना जाता है पहेली समारोह.

स्पष्ट रूप से एक अद्वितीय मूल और अंतिम प्राप्तकर्ता का पता लगाया गया। भले ही दो प्रतिभागी आदान-प्रदान करें अप्रत्यक्ष तरीके से धन, एक उचित रूप से इंजीनियर पथ-खोज विधि मूल को प्रकट करेगी और अंतिम प्राप्तकर्ता. यह भी संदेह है कि Bitcoin दूसरी संपत्ति को संतुष्ट नहीं करता है। कुछ शोधकर्ता कहा गया है ([33, 35, 29, 31]) कि सावधानीपूर्वक blockchain विश्लेषण के बीच संबंध का पता चल सकता है Bitcoin नेटवर्क के उपयोगकर्ता और उनके लेनदेन। हालाँकि कई विधियाँ हैं विवादित [25], यह संदेह है कि बहुत सारी छिपी हुई व्यक्तिगत जानकारी निकाली जा सकती है सार्वजनिक डेटाबेस. ऊपर उल्लिखित दो गुणों को संतुष्ट करने में Bitcoin की विफलता हमें इस निष्कर्ष पर ले जाती है कि यह है एक गुमनाम नहीं बल्कि एक छद्म-गुमनाम इलेक्ट्रॉनिक नकदी प्रणाली। उपयोगकर्ता तेजी से विकसित हुए इस कमी को दूर करने के उपाय. दो प्रत्यक्ष समाधान थे "लॉन्ड्रिंग सेवाएँ" [2] और वितरित विधियों का विकास [3, 4]। दोनों समाधान मिश्रण के विचार पर आधारित हैं कई सार्वजनिक लेनदेन और उन्हें कुछ मध्यस्थ पते के माध्यम से भेजना; जो बदले में विश्वसनीय तृतीय पक्ष की आवश्यकता की कमी का सामना करना पड़ता है। हाल ही में, आई. मियर्स एट अल द्वारा एक अधिक रचनात्मक योजना प्रस्तावित की गई थी। [28]: "ज़ीरोकॉइन"। शून्य सिक्का क्रिप्टोग्राफ़िक वन-वे संचायक और शून्य-ज्ञान प्रमाण का उपयोग करता है जो उपयोगकर्ताओं को इसकी अनुमति देता है बिटकॉइन को ज़ीरोकॉइन में "कन्वर्ट" करें और इसके बजाय स्वामित्व के गुमनाम प्रमाण का उपयोग करके उन्हें खर्च करें स्पष्ट सार्वजनिक-कुंजी आधारित डिजिटल हस्ताक्षर। हालाँकि, ऐसे ज्ञान प्रमाणों में निरंतरता होती है लेकिन असुविधाजनक आकार - लगभग 30kb (आज की Bitcoin सीमा के आधार पर), जो प्रस्ताव बनाता है अव्यावहारिक. लेखक स्वीकार करते हैं कि प्रोटोकॉल को बहुसंख्यक लोगों द्वारा कभी भी स्वीकार किए जाने की संभावना नहीं है Bitcoin उपयोगकर्ता [5]। 2.2 proof-of-work फ़ंक्शन Bitcoin निर्माता सातोशी नाकामोटो ने बहुमत निर्णय लेने वाले एल्गोरिदम को "वनसीपीयू-वन-वोट" के रूप में वर्णित किया और अपने proof-of-work के लिए सीपीयू-बाउंड मूल्य निर्धारण फ़ंक्शन (डबल SHA-256) का उपयोग किया। योजना. चूँकि उपयोगकर्ता लेन-देन के एकल इतिहास आदेश [1] के लिए वोट करते हैं, तर्कसंगतता और इस प्रक्रिया की निरंतरता पूरे सिस्टम के लिए महत्वपूर्ण शर्तें हैं। इस मॉडल की सुरक्षा दो कमियों से ग्रस्त है। सबसे पहले, इसके लिए 51% नेटवर्क की आवश्यकता होती है खनन शक्ति ईमानदार उपयोगकर्ताओं के नियंत्रण में होगी। दूसरे, सिस्टम की प्रगति (बग फिक्स, सुरक्षा सुधार, आदि...) के लिए अधिकांश उपयोगकर्ताओं को समर्थन और सहमति की आवश्यकता होती है परिवर्तन (यह तब होता है जब उपयोगकर्ता अपने वॉलेट सॉफ़्टवेयर को अपडेट करते हैं) [6]। अंत में वही वोटिंग कुछ सुविधाओं [7] के कार्यान्वयन के बारे में सामूहिक सर्वेक्षण के लिए भी तंत्र का उपयोग किया जाता है। यह हमें उन गुणों का अनुमान लगाने की अनुमति देता है जिन्हें proof-of-work द्वारा संतुष्ट किया जाना चाहिए मूल्य निर्धारण समारोह। इस तरह के फ़ंक्शन को किसी नेटवर्क भागीदार को महत्वपूर्ण भूमिका निभाने में सक्षम नहीं बनाना चाहिए किसी अन्य प्रतिभागी पर लाभ; इसके लिए सामान्य हार्डवेयर और उच्च के बीच समानता की आवश्यकता होती है कस्टम उपकरणों की लागत. हाल के उदाहरणों [8] से, हम देख सकते हैं कि SHA-256 फ़ंक्शन का उपयोग किया गया है Bitcoin वास्तुकला में यह संपत्ति नहीं है क्योंकि खनन अधिक कुशल हो जाता है हाई-एंड सीपीयू की तुलना में जीपीयू और एएसआईसी डिवाइस। इसलिए, Bitcoin की मतदान शक्ति के बीच बड़े अंतर के लिए अनुकूल परिस्थितियाँ बनाता है प्रतिभागियों के अनुसार यह "एक-सीपीयू-एक-वोट" सिद्धांत का उल्लंघन करता है क्योंकि GPU और ASIC मालिकों के पास है सीपीयू मालिकों की तुलना में बहुत बड़ी वोटिंग शक्ति। यह इसका एक शास्त्रीय उदाहरण है पेरेटो सिद्धांत जहां सिस्टम के 20% प्रतिभागी 80% से अधिक वोटों को नियंत्रित करते हैं। कोई यह तर्क दे सकता है कि ऐसी असमानता नेटवर्क की सुरक्षा के लिए प्रासंगिक नहीं है क्योंकि ऐसा नहीं है प्रतिभागियों की कम संख्या अधिकांश वोटों को नियंत्रित करती है लेकिन इनमें ईमानदारी है प्रतिभागी जो मायने रखते हैं। हालाँकि, ऐसा तर्क कुछ हद तक त्रुटिपूर्ण है क्योंकि यह ऐसा ही है प्रतिभागियों की ईमानदारी के बजाय सस्ते विशेषीकृत हार्डवेयर के प्रदर्शित होने की संभावना ख़तरा पैदा करता है. इसे प्रदर्शित करने के लिए, आइए निम्नलिखित उदाहरण लें। मान लीजिए कि कोई दुष्ट है व्यक्ति सस्ते में अपना स्वयं का खनन फार्म बनाकर महत्वपूर्ण खनन शक्ति प्राप्त करता है 2 स्पष्ट रूप से एक अद्वितीय मूल और अंतिम प्राप्तकर्ता का पता लगाया गया। भले ही दो प्रतिभागी आदान-प्रदान करें अप्रत्यक्ष तरीके से धन, एक उचित रूप से इंजीनियर पथ-खोज विधि मूल को प्रकट करेगी और अंतिम प्राप्तकर्ता. यह भी संदेह है कि Bitcoin दूसरी संपत्ति को संतुष्ट नहीं करता है। कुछ शोधकर्ता कहा गया है ([33, 35, 29, 31]) कि सावधानीपूर्वक blockchain विश्लेषण के बीच संबंध का पता चल सकता है Bitcoin नेटवर्क के उपयोगकर्ता और उनके लेनदेन। हालाँकि कई विधियाँ हैं घजारी किया गया [25], यह संदेह है कि बहुत सारी छिपी हुई व्यक्तिगत जानकारी निकाली जा सकती है सार्वजनिक डेटाबेस. ऊपर उल्लिखित दो गुणों को संतुष्ट करने में Bitcoin की विफलता हमें इस निष्कर्ष पर ले जाती है कि यह है एक गुमनाम नहीं बल्कि एक छद्म-गुमनाम इलेक्ट्रॉनिक नकदी प्रणाली। उपयोगकर्ता तेजी से विकसित हुए इस कमी को दूर करने के उपाय. दो प्रत्यक्ष समाधान थे "लॉन्ड्रिंग सेवाएँ" [2] और वितरित विधियों का विकास [3, 4]। दोनों समाधान मिश्रण के विचार पर आधारित हैं कई सार्वजनिक लेनदेन और उन्हें कुछ मध्यस्थ पते के माध्यम से भेजना; जो बदले में विश्वसनीय तृतीय पक्ष की आवश्यकता की कमी का सामना करना पड़ता है। हाल ही में, आई. मियर्स एट अल द्वारा एक अधिक रचनात्मक योजना प्रस्तावित की गई थी। [28]: "ज़ीरोकॉइन"। शून्य सिक्का क्रिप्टोग्राफ़िक वन-वे संचायक और शून्य-ज्ञान प्रमाण का उपयोग करता है जो उपयोगकर्ताओं को इसकी अनुमति देता है बिटकॉइन को ज़ीरोकॉइन में "कन्वर्ट" करें और इसके बजाय स्वामित्व के गुमनाम प्रमाण का उपयोग करके उन्हें खर्च करें स्पष्ट सार्वजनिक-कुंजी आधारित डिजिटल हस्ताक्षर। हालाँकि, ऐसे ज्ञान प्रमाणों में निरंतरता होती है लेकिन असुविधाजनक आकार - लगभग 30kb (आज की Bitcoin सीमा के आधार पर), जो प्रस्ताव बनाता है अव्यावहारिक. लेखक स्वीकार करते हैं कि प्रोटोकॉल को बहुसंख्यक लोगों द्वारा कभी भी स्वीकार किए जाने की संभावना नहीं है Bitcoin उपयोगकर्ता [5]। 2.2 proof-of-work फ़ंक्शन Bitcoin निर्माता सातोशी नाकामोटो ने बहुमत निर्णय लेने वाले एल्गोरिदम को "oneCPU-एक-वोट" के रूप में वर्णित किया और अपने proof-of-work के लिए CPU-बाउंड मूल्य निर्धारण फ़ंक्शन (डबल SHA-256) का उपयोग किया। योजना. चूँकि उपयोगकर्ता लेन-देन के एकल इतिहास आदेश [1] के लिए वोट करते हैं, तर्कसंगतता और इस प्रक्रिया की निरंतरता पूरे सिस्टम के लिए महत्वपूर्ण शर्तें हैं। इस मॉडल की सुरक्षा दो कमियों से ग्रस्त है। सबसे पहले, इसके लिए 51% नेटवर्क की आवश्यकता होती है खनन शक्ति ईमानदार उपयोगकर्ताओं के नियंत्रण में होगी। दूसरे, सिस्टम की प्रगति (बग फिक्स, सुरक्षा सुधार, आदि...) के लिए अधिकांश उपयोगकर्ताओं को समर्थन और सहमति की आवश्यकता होती है परिवर्तन (यह तब होता है जब उपयोगकर्ता अपने वॉलेट सॉफ़्टवेयर को अपडेट करते हैं) [6]। अंत में वही वोटिंग कुछ सुविधाओं [7] के कार्यान्वयन के बारे में सामूहिक सर्वेक्षण के लिए भी तंत्र का उपयोग किया जाता है। यह हमें उन गुणों का अनुमान लगाने की अनुमति देता है जिन्हें proof-of-work द्वारा संतुष्ट किया जाना चाहिए मूल्य निर्धारण समारोह। इस तरह के फ़ंक्शन को किसी नेटवर्क भागीदार को महत्वपूर्ण भूमिका निभाने में सक्षम नहीं बनाना चाहिए किसी अन्य प्रतिभागी पर लाभ; इसके लिए सामान्य हार्डवेयर और उच्च के बीच समानता की आवश्यकता होती है कस्टम उपकरणों की लागत. हाल के उदाहरणों [8] से, हम देख सकते हैं कि SHA-256 फ़ंक्शन का उपयोग किया गया है Bitcoin वास्तुकला में यह गुण नहीं है क्योंकि खनन अधिक कुशल हो जाता है हाई-एंड सीपीयू की तुलना में जीपीयू और एएसआईसी डिवाइस। इसलिए, Bitcoin मतदान शक्ति के बीच बड़े अंतर के लिए अनुकूल परिस्थितियाँ बनाता है प्रतिभागियों के अनुसार यह "एक-सीपीयू-एक-वोट" सिद्धांत का उल्लंघन करता है क्योंकि GPU और ASIC मालिकों के पास है सीपीयू मालिकों की तुलना में बहुत बड़ी वोटिंग शक्ति। यह इसका एक शास्त्रीय उदाहरण है पेरेटो सिद्धांत जहां सिस्टम के 20% प्रतिभागी 80% से अधिक वोटों को नियंत्रित करते हैं। कोई यह तर्क दे सकता है कि ऐसी असमानता नेटवर्क की सुरक्षा के लिए प्रासंगिक नहीं है क्योंकि ऐसा नहीं है प्रतिभागियों की कम संख्या अधिकांश वोटों को नियंत्रित करती है लेकिन इनमें ईमानदारी है प्रतिभागी जो मायने रखते हैं। हालाँकि, ऐसा तर्क कुछ हद तक त्रुटिपूर्ण है क्योंकि यह ऐसा ही है प्रतिभागियों की ईमानदारी के बजाय सस्ते विशेषीकृत हार्डवेयर के प्रदर्शित होने की संभावना ख़तरा पैदा करता है. इसे प्रदर्शित करने के लिए, आइए निम्नलिखित उदाहरण लें। मान लीजिए कि कोई दुष्ट है व्यक्ति सस्ते में अपना स्वयं का खनन फार्म बनाकर महत्वपूर्ण खनन शक्ति प्राप्त करता है 2 पृष्ठ 2 पर टिप्पणियाँ

क्रिप्टोनोट प्रौद्योगिकी

अब जब हमने Bitcoin प्रौद्योगिकी की सीमाओं को कवर कर लिया है, तो हम इस पर ध्यान केंद्रित करेंगे क्रिप्टोनोट की विशेषताएं प्रस्तुत करना।

अप्राप्य लेन-देन

इस खंड में हम अप्राप्यता दोनों को संतुष्ट करते हुए पूरी तरह से गुमनाम लेनदेन की एक योजना का प्रस्ताव करते हैं और असंबद्धता की स्थितियाँ। हमारे समाधान की एक महत्वपूर्ण विशेषता इसकी स्वायत्तता है: प्रेषक उसे अपना लेनदेन करने के लिए अन्य उपयोगकर्ताओं या किसी विश्वसनीय तीसरे पक्ष के साथ सहयोग करने की आवश्यकता नहीं है; इसलिए प्रत्येक भागीदार स्वतंत्र रूप से एक कवर ट्रैफ़िक उत्पन्न करता है। 4.1 साहित्य समीक्षा हमारी योजना क्रिप्टोग्राफ़िक आदिम पर निर्भर करती है जिसे समूह हस्ताक्षर कहा जाता है। प्रथम द्वारा प्रस्तुत किया गया डी. चाउम और ई. वैन हेयस्ट [19], यह उपयोगकर्ता को समूह की ओर से अपने संदेश पर हस्ताक्षर करने की अनुमति देता है। उपयोगकर्ता द्वारा दिए गए संदेश पर हस्ताक्षर करने के बाद (सत्यापन प्रयोजनों के लिए) वह स्वयं ही सार्वजनिक नहीं होता है 1यह तथाकथित "सॉफ्ट लिमिट" है - नए ब्लॉक बनाने के लिए संदर्भ क्लाइंट प्रतिबंध। कठिन अधिकतम संभावित अवरोध आकार 1 एमबी था 4 यदि आवश्यक हो तो उन्हें मुख्य कमियों का कारण बनता है। दुर्भाग्य से, यह अनुमान लगाना कठिन है कि कब स्थिरांकों को बदलने की आवश्यकता हो सकती है और उन्हें बदलने से भयानक परिणाम हो सकते हैं। विनाशकारी परिणामों की ओर ले जाने वाले हार्डकोडेड सीमा परिवर्तन का एक अच्छा उदाहरण ब्लॉक है आकार सीमा 250kb1 पर सेट की गई। यह सीमा लगभग 10000 मानक लेनदेन रखने के लिए पर्याप्त थी। में 2013 की शुरुआत में, यह सीमा लगभग पूरी हो चुकी थी और इसे बढ़ाने पर एक समझौता हुआ था सीमा. परिवर्तन वॉलेट संस्करण 0.8 में लागू किया गया था और 24-ब्लॉक श्रृंखला विभाजन के साथ समाप्त हुआ और एक सफल दोहरे खर्च वाला हमला [9]। जबकि बग Bitcoin प्रोटोकॉल में नहीं था, लेकिन बल्कि डेटाबेस इंजन में अगर ऐसा होता तो इसे एक साधारण तनाव परीक्षण द्वारा आसानी से पकड़ा जा सकता था कोई कृत्रिम रूप से शुरू की गई ब्लॉक आकार सीमा नहीं। स्थिरांक भी केंद्रीकरण बिंदु के रूप में कार्य करते हैं। सहकर्मी से सहकर्मी स्वभाव के बावजूद Bitcoin, अधिकांश नोड्स द्वारा विकसित आधिकारिक संदर्भ क्लाइंट [10] का उपयोग करते हैं लोगों का एक छोटा समूह. यह समूह प्रोटोकॉल में परिवर्तन लागू करने का निर्णय लेता है और अधिकांश लोग इन परिवर्तनों को उनकी "सहीता" की परवाह किए बिना स्वीकार करते हैं। कुछ निर्णयों के कारण गरमागरम चर्चाएँ और यहाँ तक कि [11] के बहिष्कार का आह्वान भी, जो इंगित करता है कि समुदाय और डेवलपर्स कुछ महत्वपूर्ण बिंदुओं पर असहमत हो सकते हैं। इसलिए प्रोटोकॉल का होना तर्कसंगत लगता है इन समस्याओं से बचने के संभावित तरीके के रूप में उपयोगकर्ता-कॉन्फ़िगर करने योग्य और स्व-समायोजन चर के साथ। 2.5 भारी भरकम स्क्रिप्ट Bitcoin में स्क्रिप्टिंग प्रणाली एक भारी और जटिल विशेषता है। यह संभावित रूप से किसी को सृजन करने की अनुमति देता है परिष्कृत लेनदेन [12], लेकिन सुरक्षा चिंताओं के कारण इसकी कुछ सुविधाएँ अक्षम हैं कुछ का कभी भी उपयोग नहीं किया गया [13]। स्क्रिप्ट (प्रेषक और प्राप्तकर्ता दोनों भागों सहित) Bitcoin में सबसे लोकप्रिय लेनदेन इस तरह दिखता है: OP DUP OP HASH160 OP समान रूप से OP CHECKSIG सत्यापित करें। स्क्रिप्ट 164 बाइट्स लंबी है जबकि इसका एकमात्र उद्देश्य यह जांचना है कि रिसीवर के पास यह है या नहीं उसके हस्ताक्षर को सत्यापित करने के लिए गुप्त कुंजी की आवश्यकता है। 3 क्रिप्टोनोट प्रौद्योगिकी अब जब हमने Bitcoin प्रौद्योगिकी की सीमाओं को कवर कर लिया है, तो हम इस पर ध्यान केंद्रित करेंगे क्रिप्टोनोट की विशेषताएं प्रस्तुत करना। 4 अप्राप्य लेन-देन इस खंड में हम अप्राप्यता दोनों को संतुष्ट करते हुए पूरी तरह से गुमनाम लेनदेन की एक योजना का प्रस्ताव करते हैं और असंबद्धता की स्थितियाँ। हमारे समाधान की एक महत्वपूर्ण विशेषता इसकी स्वायत्तता है: प्रेषक उसे अपना लेनदेन करने के लिए अन्य उपयोगकर्ताओं या किसी विश्वसनीय तीसरे पक्ष के साथ सहयोग करने की आवश्यकता नहीं है; इसलिए प्रत्येक भागीदार स्वतंत्र रूप से एक कवर ट्रैफ़िक उत्पन्न करता है। 4.1 साहित्य समीक्षा हमारी योजना क्रिप्टोग्राफ़िक आदिम पर निर्भर करती है जिसे समूह हस्ताक्षर कहा जाता है। प्रथम द्वारा प्रस्तुत किया गया डी. चाउम और ई. वैन हेयस्ट [19], यह उपयोगकर्ता को समूह की ओर से अपने संदेश पर हस्ताक्षर करने की अनुमति देता है। उपयोगकर्ता द्वारा दिए गए संदेश पर हस्ताक्षर करने के बाद (सत्यापन प्रयोजनों के लिए) वह स्वयं ही सार्वजनिक नहीं होता है 1यह तथाकथित "सॉफ्ट लिमिट" है - नए ब्लॉक बनाने के लिए संदर्भ क्लाइंट प्रतिबंध। कठिन अधिकतम संभावित अवरोध आकार 1 एमबी था 4 7 पीछे मुड़कर देखने पर, ऐसा लगता है कि कोड में ब्लॉक आकार को एक निश्चित सीमा बनाना एक बड़ी गलती थी। वीज़ा और मास्टरकार्ड सैकड़ों नहीं तो हज़ारों लेनदेन संसाधित कर सकते हैं प्रति सेकंड. हालाँकि, लेन-देन एक स्टोकेस्टिक प्रक्रिया में होता है, कभी-कभी बड़े पैमाने पर विस्फोट में, कभी-कभी घंटों तक शांत रहना। बिटकॉइन एक्सचेंज की मात्रा के बारे में सोचें। ऐसा सिस्टम डिज़ाइन करना एक भव्य विचार प्रतीत होता है जो आवश्यक होने पर ब्लॉक आकार को गतिशील रूप से बढ़ाता है बढ़े हुए लेनदेन ट्रैफ़िक को समायोजित करने के लिए, और आवश्यकता पड़ने पर इसे गतिशील रूप से कम करने के लिए बैंडविड्थ दक्षता बढ़ाएँ. अब, उस धारणा को सभी सिस्टम मापदंडों पर लागू करें। और जब तक हम इसे बनाए रखने के प्रति सावधान रहेंगे प्रणाली नियंत्रण से बाहर होने से, यह शबढ़िया काम करेगा. https://github.com/bitcoin/bips/blob/master/bip-0050.mediawiki जैसा कि पहले उल्लेख किया गया है, यदि चर स्व-समायोजित होते हैं, तो कुछ नियंत्रण लगाए जाने चाहिए सिस्टम को बेतहाशा नियंत्रण से बाहर जाने से रोकें। हम उस तक पहुंचेंगे. यदि यह एक विकिपीडिया लेख होता, तो इसका लेबल "STUB" होता। हालाँकि हम निश्चित रूप से इसमें हैं अनुभाग "Bitcoin की समस्याएं" प्रस्तुत करता है, मैं यहां कुछ विस्तार चाहता हूं। क्यों है एक साधारण "गुप्त कुंजी की जाँच करें" कार्य के लिए 164 बाइट्स अस्वीकार्य हैं? उन्हें कितना कम दाम मिल सकता है एक उचित स्क्रिप्टिंग भाषा? हालाँकि, मैं कंप्यूटर वैज्ञानिक नहीं हूँ। http://download.springer.com/static/pdf/412/chp%253A10.1007%252F3-540-46416-6_22.pdf?auth66=140 जैसा कि बताया गया है, समूह हस्ताक्षर के लिए एक समूह प्रबंधक की आवश्यकता होती है। समूह प्रबंधक सक्षम है किसी भी हस्ताक्षरकर्ता की गुमनामी को रद्द करना। इसलिए, एक समूह में अंतर्निहित केंद्रीकरण होता है हस्ताक्षर योजना.

कुंजी, लेकिन उसके समूह के सभी उपयोगकर्ताओं की कुंजी। एक सत्यापनकर्ता आश्वस्त है कि वास्तविक हस्ताक्षरकर्ता एक है समूह का सदस्य, लेकिन हस्ताक्षरकर्ता की विशेष रूप से पहचान नहीं कर सकता। मूल प्रोटोकॉल के लिए एक विश्वसनीय तृतीय पक्ष (जिसे समूह प्रबंधक कहा जाता है) की आवश्यकता थी, और वह था एकमात्र व्यक्ति जो हस्ताक्षरकर्ता का पता लगा सकता था। रिंग सिग्नेचर नामक अगला संस्करण पेश किया गया रिवेस्ट एट अल द्वारा। [34] में, समूह प्रबंधक और गुमनामी के बिना एक स्वायत्त योजना थी निरसन. इस योजना के विभिन्न संशोधन बाद में सामने आए: लिंक करने योग्य रिंग हस्ताक्षर [26, 27, 17] यह निर्धारित करने की अनुमति दी गई कि क्या एक ही समूह के सदस्य द्वारा दो हस्ताक्षर किए गए थे, जिनका पता लगाया जा सके रिंग सिग्नेचर [24, 23] ने हस्ताक्षरकर्ता का पता लगाने की संभावना प्रदान करके अत्यधिक गुमनामी को सीमित कर दिया एक ही जानकारी के संबंध में दो संदेश (या [24] के संदर्भ में "टैग")। एक समान क्रिप्टोग्राफ़िक निर्माण को तदर्थ समूह हस्ताक्षर [16, 38] के रूप में भी जाना जाता है। यह मनमाने ढंग से समूह गठन पर जोर देता है, जबकि समूह/अंगूठी हस्ताक्षर योजनाएँ एक संकेत देती हैं सदस्यों का निश्चित समूह। अधिकांश भाग के लिए, हमारा समाधान ई. फुजिसाकी के कार्य "ट्रेसेबल रिंग सिग्नेचर" पर आधारित है और के. सुजुकी [24]। मूल एल्गोरिदम और हमारे संशोधन को अलग करने के लिए हम करेंगे बाद वाले को वन-टाइम रिंग सिग्नेचर कहें, जिससे उपयोगकर्ता की केवल एक वैध उत्पादन करने की क्षमता पर जोर दिया जा सके उसकी निजी कुंजी के तहत हस्ताक्षर। हमने ट्रैसेबिलिटी प्रॉपर्टी को कमजोर कर दिया और लिंकेबिलिटी को बनाए रखा केवल एक-समय प्रदान करने के लिए: सार्वजनिक कुंजी कई विदेशी सत्यापन सेटों में दिखाई दे सकती है एक अद्वितीय अनाम हस्ताक्षर उत्पन्न करने के लिए निजी कुंजी का उपयोग किया जा सकता है। दोहरे खर्च के मामले में प्रयास करें कि ये दोनों हस्ताक्षर एक साथ जुड़े रहेंगे, लेकिन हस्ताक्षरकर्ता का खुलासा करना आवश्यक नहीं है हमारे उद्देश्यों के लिए. 4.2 परिभाषाएँ 4.2.1 अण्डाकार वक्र पैरामीटर हमारे आधार हस्ताक्षर एल्गोरिथ्म के रूप में हमने तेज़ योजना EdDSA का उपयोग करना चुना, जिसे विकसित किया गया है डी.जे. द्वारा कार्यान्वित बर्नस्टीन एट अल. [18]. Bitcoin के ECDSA की तरह यह अण्डाकार वक्र पर आधारित है असतत लघुगणक समस्या, इसलिए हमारी योजना भविष्य में Bitcoin पर भी लागू की जा सकती है। सामान्य पैरामीटर हैं: q: एक अभाज्य संख्या; क्यू = 2255 −19; d: Fq का एक तत्व; डी = −121665/121666; ई: एक अण्डाकार वक्र समीकरण; −x2 + y2 = 1 + dx2y2; जी: एक आधार बिंदु; जी = (एक्स, −4/5); एल: आधार बिंदु का एक प्रमुख क्रम; एल = 2252 + 27742317777372353535851937790883648493; $H_s$: एक क्रिप्टोग्राफ़िक hash फ़ंक्शन $\{0, 1\}^* \to \mathbb{F}_q$; एचपी: एक नियतात्मक hash फ़ंक्शन $E(\mathbb{F}_q) \to E(\mathbb{F}_q)$। 4.2.2 शब्दावली उन्नत गोपनीयता के लिए एक नई शब्दावली की आवश्यकता है जिसे Bitcoin इकाइयों के साथ भ्रमित नहीं किया जाना चाहिए। प्राइवेट ईसी-की एक मानक अण्डाकार वक्र प्राइवेट कुंजी है: एक संख्या $a \in [1, l - 1]$; सार्वजनिक ईसी-कुंजी एक मानक अण्डाकार वक्र सार्वजनिक कुंजी है: एक बिंदु ए = एजी; वन-टाइम कीपेयर निजी और सार्वजनिक ईसी-की की एक जोड़ी है; 5 कुंजी, लेकिन उसके समूह के सभी उपयोगकर्ताओं की कुंजी। एक सत्यापनकर्ता आश्वस्त है कि वास्तविक हस्ताक्षरकर्ता एक है समूह का सदस्य, लेकिन हस्ताक्षरकर्ता की विशेष रूप से पहचान नहीं कर सकता। मूल प्रोटोकॉल के लिए एक विश्वसनीय तृतीय पक्ष (जिसे समूह प्रबंधक कहा जाता है) की आवश्यकता थी, और वह था एकमात्र व्यक्ति जो हस्ताक्षरकर्ता का पता लगा सकता था। रिंग सिग्नेचर नामक अगला संस्करण पेश किया गया रिवेस्ट एट अल द्वारा। [34] में, समूह प्रबंधक और गुमनामी के बिना एक स्वायत्त योजना थी निरसन. इस योजना के विभिन्न संशोधन बाद में सामने आए: लिंक करने योग्य रिंग हस्ताक्षर [26, 27, 17] यह निर्धारित करने की अनुमति दी गई कि क्या एक ही समूह के सदस्य द्वारा दो हस्ताक्षर किए गए थे, जिनका पता लगाया जा सके रिंग सिग्नेचर [24, 23] ने हस्ताक्षरकर्ता का पता लगाने की संभावना प्रदान करके अत्यधिक गुमनामी को सीमित कर दिया एक ही जानकारी के संबंध में दो संदेश (या [24] के संदर्भ में "टैग")। एक समान क्रिप्टोग्राफ़िक निर्माण को तदर्थ समूह हस्ताक्षर [16, 38] के रूप में भी जाना जाता है। यह मनमाने ढंग से समूह गठन पर जोर देता है, जबकि समूह/अंगूठी हस्ताक्षर योजनाएँ एक संकेत देती हैं सदस्यों का निश्चित समूह। अधिकांश भाग के लिए, हमारा समाधान ई. फुजिसाकी के कार्य "ट्रेसेबल रिंग सिग्नेचर" पर आधारित है और के. सुजुकी [24]। मूल एल्गोरिदम और हमारे संशोधन को अलग करने के लिए हम करेंगे बाद वाले को वन-टाइम रिंग सिग्नेचर कहें, जिससे उपयोगकर्ता की केवल एक वैध उत्पादन करने की क्षमता पर जोर दिया जा सके उसकी निजी कुंजी के तहत हस्ताक्षर। हमने ट्रैसेबिलिटी प्रॉपर्टी को कमजोर कर दिया और लिंकेबिलिटी को बनाए रखा केवल एक-समय प्रदान करने के लिए: सार्वजनिक कुंजी कई विदेशी सत्यापन सेटों में दिखाई दे सकती है एक अद्वितीय अनाम हस्ताक्षर उत्पन्न करने के लिए निजी कुंजी का उपयोग किया जा सकता है। दोहरे खर्च के मामले में प्रयास करें कि ये दोनों हस्ताक्षर एक साथ जुड़े रहेंगे, लेकिन हस्ताक्षरकर्ता का खुलासा करना आवश्यक नहीं है हमारे उद्देश्यों के लिए. 4.2 परिभाषाएँ 4.2.1 अण्डाकार वक्र पैरामीटर हमारे आधार हस्ताक्षर एल्गोरिथ्म के रूप में हम चुनते हैंई तेजी से योजना EdDSA का उपयोग करने के लिए, जो विकसित किया गया है और डी.जे. द्वारा कार्यान्वित बर्नस्टीन एट अल. [18]. Bitcoin के ECDSA की तरह यह अण्डाकार वक्र पर आधारित है असतत लघुगणक समस्या, इसलिए हमारी योजना भविष्य में Bitcoin पर भी लागू की जा सकती है। सामान्य पैरामीटर हैं: q: एक अभाज्य संख्या; क्यू = 2255 −19; d: Fq का एक तत्व; डी = −121665/121666; ई: एक अण्डाकार वक्र समीकरण; −x2 + y2 = 1 + dx2y2; जी: एक आधार बिंदु; जी = (एक्स, −4/5); एल: आधार बिंदु का एक प्रमुख क्रम; एल = 2252 + 27742317777372353535851937790883648493; $H_s$: एक क्रिप्टोग्राफ़िक hash फ़ंक्शन $\{0, 1\}^* \to \mathbb{F}_q$; एचपी: एक नियतात्मक hash फ़ंक्शन $E(\mathbb{F}_q) \to E(\mathbb{F}_q)$। 4.2.2 शब्दावली उन्नत गोपनीयता के लिए एक नई शब्दावली की आवश्यकता है जिसे Bitcoin इकाइयों के साथ भ्रमित नहीं किया जाना चाहिए। प्राइवेट ईसी-की एक मानक अण्डाकार वक्र प्राइवेट कुंजी है: एक संख्या $a \in [1, l - 1]$; सार्वजनिक ईसी-कुंजी एक मानक अण्डाकार वक्र सार्वजनिक कुंजी है: एक बिंदु ए = एजी; वन-टाइम कीपेयर निजी और सार्वजनिक ईसी-की की एक जोड़ी है; 5 8 रिंग सिग्नेचर इस तरह काम करता है: एलेक्स अपने नियोक्ता के बारे में विकीलीक्स को एक संदेश लीक करना चाहता है। उनकी कंपनी के प्रत्येक कर्मचारी के पास एक निजी/सार्वजनिक कुंजी जोड़ी (री, यूआई) है। वह रचना करती है उसके संदेश के रूप में इनपुट सेट के साथ उसका हस्ताक्षर, एम, उसकी निजी कुंजी, री, और हर कोई सार्वजनिक कुंजियाँ, (Ui;i=1...n). कोई भी (बिना किसी निजी कुंजी को जाने) इसे आसानी से सत्यापित कर सकता है कुछ जोड़ी (आरजे, उज) का उपयोग हस्ताक्षर बनाने के लिए किया गया होगा... कोई व्यक्ति जो काम करता है एलेक्स के नियोक्ता के लिए... लेकिन यह पता लगाना अनिवार्य रूप से एक यादृच्छिक अनुमान है कि यह कौन सा हो सकता है। http://en.wikipedia.org/wiki/Ring_signature#Crypto-currencies http://link.springer.com/chapter/10.1007/3-540-45682-1_32#page-1 http://link.springer.com/chapter/10.1007/11424826_65 http://link.springer.com/chapter/10.1007/978-3-540-27800-9_28 http://link.springer.com/chapter/10.1007%2F11774716_9 ध्यान दें कि यहां वर्णित लिंक करने योग्य रिंग हस्ताक्षर "अनलिंक करने योग्य" के विपरीत है। ऊपर वर्णित है. यहां, हम दो संदेशों को रोकते हैं, और हम यह निर्धारित कर सकते हैं कि क्या वे समान हैं पार्टी ने उन्हें भेजा है, हालाँकि हम अभी भी यह निर्धारित करने में असमर्थ हैं कि वह पार्टी कौन है। द क्रिप्टोनोट के निर्माण के लिए उपयोग की जाने वाली "अनलिंक करने योग्य" की परिभाषा का अर्थ है कि हम यह निर्धारित नहीं कर सकते हैं वही पार्टी उनका स्वागत कर रही है. इसलिए, हमारे यहां वास्तव में चार चीजें चल रही हैं। एक सिस्टम लिंक करने योग्य या हो सकता है गैर-लिंक करने योग्य, यह इस पर निर्भर करता है कि प्रेषक का निर्धारण करना संभव है या नहीं दो संदेश समान हैं (भले ही इसके लिए गुमनामी रद्द करने की आवश्यकता हो)। और कोई सिस्टम अनलिंक करने योग्य या गैर-अनलिंक करने योग्य हो सकता है, यह इस बात पर निर्भर करता है कि ऐसा करना संभव है या नहीं निर्धारित करें कि क्या दो संदेशों का प्राप्तकर्ता एक ही है (भले ही या नहीं)। इसके लिए गुमनामी रद्द करने की आवश्यकता है)। कृपया इस भयानक शब्दावली के लिए मुझे दोष न दें। ग्राफ़ सिद्धांतकारों को संभवतः होना चाहिए प्रसन्न. आप में से कुछ लोग "रिसीवर लिंक करने योग्य" बनाम "प्रेषक लिंक करने योग्य" के साथ अधिक सहज हो सकते हैं। http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 जब मैंने इसे पढ़ा तो यह एक मूर्खतापूर्ण फीचर जैसा लगा। फिर मैंने पढ़ा कि यह एक सुविधा हो सकती है इलेक्ट्रॉनिक वोटिंग, और यह समझ में आता प्रतीत हुआ। उस दृष्टिकोण से, थोड़ा अच्छा है। लेकिन मैं हूँ जानबूझकर ट्रेस करने योग्य रिंग हस्ताक्षरों को लागू करने के बारे में पूरी तरह से आश्वस्त नहीं हूं। http://search.ieice.org/bin/summary.php?id=e95-a_1_151

कुंजी, लेकिन उसके समूह के सभी उपयोगकर्ताओं की कुंजी। एक सत्यापनकर्ता आश्वस्त है कि वास्तविक हस्ताक्षरकर्ता एक है समूह का सदस्य, लेकिन हस्ताक्षरकर्ता की विशेष रूप से पहचान नहीं कर सकता। मूल प्रोटोकॉल के लिए एक विश्वसनीय तृतीय पक्ष (जिसे समूह प्रबंधक कहा जाता है) की आवश्यकता थी, और वह था एकमात्र व्यक्ति जो हस्ताक्षरकर्ता का पता लगा सकता था। रिंग सिग्नेचर नामक अगला संस्करण पेश किया गया रिवेस्ट एट अल द्वारा। [34] में, समूह प्रबंधक और गुमनामी के बिना एक स्वायत्त योजना थी निरसन. इस योजना के विभिन्न संशोधन बाद में सामने आए: लिंक करने योग्य रिंग हस्ताक्षर [26, 27, 17] यह निर्धारित करने की अनुमति दी गई कि क्या एक ही समूह के सदस्य द्वारा दो हस्ताक्षर किए गए थे, जिनका पता लगाया जा सके रिंग सिग्नेचर [24, 23] ने हस्ताक्षरकर्ता का पता लगाने की संभावना प्रदान करके अत्यधिक गुमनामी को सीमित कर दिया एक ही जानकारी के संबंध में दो संदेश (या [24] के संदर्भ में "टैग")। एक समान क्रिप्टोग्राफ़िक निर्माण को तदर्थ समूह हस्ताक्षर [16, 38] के रूप में भी जाना जाता है। यह मनमाने ढंग से समूह गठन पर जोर देता है, जबकि समूह/अंगूठी हस्ताक्षर योजनाएँ एक संकेत देती हैं सदस्यों का निश्चित समूह। अधिकांश भाग के लिए, हमारा समाधान ई. फुजिसाकी के कार्य "ट्रेसेबल रिंग सिग्नेचर" पर आधारित है और के. सुजुकी [24]। मूल एल्गोरिदम और हमारे संशोधन को अलग करने के लिए हम करेंगे बाद वाले को वन-टाइम रिंग सिग्नेचर कहें, जिससे उपयोगकर्ता की केवल एक वैध उत्पादन करने की क्षमता पर जोर दिया जा सके उसकी निजी कुंजी के तहत हस्ताक्षर। हमने ट्रैसेबिलिटी प्रॉपर्टी को कमजोर कर दिया और लिंकेबिलिटी को बनाए रखा केवल एक-समय प्रदान करने के लिए: सार्वजनिक कुंजी कई विदेशी सत्यापन सेटों में दिखाई दे सकती है एक अद्वितीय अनाम हस्ताक्षर उत्पन्न करने के लिए निजी कुंजी का उपयोग किया जा सकता है। दोहरे खर्च के मामले में प्रयास करें कि ये दोनों हस्ताक्षर एक साथ जुड़े रहेंगे, लेकिन हस्ताक्षरकर्ता का खुलासा करना आवश्यक नहीं है हमारे उद्देश्यों के लिए. 4.2 परिभाषाएँ 4.2.1 अण्डाकार वक्र पैरामीटर हमारे आधार हस्ताक्षर एल्गोरिथ्म के रूप में हमने तेज़ योजना EdDSA का उपयोग करना चुना, जिसे विकसित किया गया है डी.जे. द्वारा कार्यान्वित बर्नस्टीन एट अल. [18]. Bitcoin के ECDSA की तरह यह अण्डाकार वक्र पर आधारित है असतत लघुगणक समस्या, इसलिए हमारी योजना भविष्य में Bitcoin पर भी लागू की जा सकती है। सामान्य पैरामीटर हैं: q: एक अभाज्य संख्या; क्यू = 2255 −19; d: Fq का एक तत्व; डी = −121665/121666; ई: एक अण्डाकार वक्र समीकरण; −x2 + y2 = 1 + dx2y2; जी: एक आधार बिंदु; जी = (एक्स, −4/5); एल: आधार बिंदु का एक प्रमुख क्रम; एल = 2252 + 27742317777372353535851937790883648493; $H_s$: एक क्रिप्टोग्राफ़िक hash फ़ंक्शन $\{0, 1\}^* \to \mathbb{F}_q$; एचपी: एक नियतात्मक hash फ़ंक्शन $E(\mathbb{F}_q) \to E(\mathbb{F}_q)$। 4.2.2 शब्दावली उन्नत गोपनीयता के लिए एक नई शब्दावली की आवश्यकता है जिसे Bitcoin इकाइयों के साथ भ्रमित नहीं किया जाना चाहिए। प्राइवेट ईसी-की एक मानक अण्डाकार वक्र प्राइवेट कुंजी है: एक संख्या $a \in [1, l - 1]$; सार्वजनिक ईसी-कुंजी एक मानक अण्डाकार वक्र सार्वजनिक कुंजी है: एक बिंदु ए = एजी; वन-टाइम कीपेयर निजी और सार्वजनिक ईसी-की की एक जोड़ी है; 5 कुंजी, लेकिन उसके समूह के सभी उपयोगकर्ताओं की कुंजी। एक सत्यापनकर्ता आश्वस्त है कि वास्तविक हस्ताक्षरकर्ता एक है समूह का सदस्य, लेकिन हस्ताक्षरकर्ता की विशेष रूप से पहचान नहीं कर सकता। मूल प्रोटोकॉल के लिए एक विश्वसनीय तृतीय पक्ष (जिसे समूह प्रबंधक कहा जाता है) की आवश्यकता थी, और वह था एकमात्र व्यक्ति जो हस्ताक्षरकर्ता का पता लगा सकता था। रिंग सिग्नेचर नामक अगला संस्करण पेश किया गया रिवेस्ट एट अल द्वारा। [34] में, समूह प्रबंधक और गुमनामी के बिना एक स्वायत्त योजना थी निरसन. इस योजना के विभिन्न संशोधन बाद में सामने आए: लिंक करने योग्य रिंग हस्ताक्षर [26, 27, 17] यह निर्धारित करने की अनुमति दी गई कि क्या एक ही समूह के सदस्य द्वारा दो हस्ताक्षर किए गए थे, जिनका पता लगाया जा सके रिंग सिग्नेचर [24, 23] ने हस्ताक्षरकर्ता का पता लगाने की संभावना प्रदान करके अत्यधिक गुमनामी को सीमित कर दिया एक ही जानकारी के संबंध में दो संदेश (या [24] के संदर्भ में "टैग")। एक समान क्रिप्टोग्राफ़िक निर्माण को तदर्थ समूह हस्ताक्षर [16, 38] के रूप में भी जाना जाता है। यह मनमाने ढंग से समूह गठन पर जोर देता है, जबकि समूह/अंगूठी हस्ताक्षर योजनाएँ एक संकेत देती हैं सदस्यों का निश्चित समूह। अधिकांश भाग के लिए, हमारा समाधान ई. फुजिसाकी के कार्य "ट्रेसेबल रिंग सिग्नेचर" पर आधारित है और के. सुजुकी [24]। मूल एल्गोरिदम और हमारे संशोधन को अलग करने के लिए हम करेंगे बाद वाले को वन-टाइम रिंग सिग्नेचर कहें, जिससे उपयोगकर्ता की केवल एक वैध उत्पादन करने की क्षमता पर जोर दिया जा सके उसकी निजी कुंजी के तहत हस्ताक्षर। हमने ट्रैसेबिलिटी प्रॉपर्टी को कमजोर कर दिया और लिंकेबिलिटी को बनाए रखा केवल एक-समय प्रदान करने के लिए: सार्वजनिक कुंजी कई विदेशी सत्यापन सेटों में दिखाई दे सकती है एक अद्वितीय अनाम हस्ताक्षर उत्पन्न करने के लिए निजी कुंजी का उपयोग किया जा सकता है। दोहरे खर्च के मामले में प्रयास करें कि ये दोनों हस्ताक्षर एक साथ जुड़े रहेंगे, लेकिन हस्ताक्षरकर्ता का खुलासा करना आवश्यक नहीं है हमारे उद्देश्यों के लिए. 4.2 परिभाषाएँ 4.2.1 अण्डाकार वक्र पैरामीटर हमारे आधार हस्ताक्षर एल्गोरिथ्म के रूप में हम चुनते हैंई तेजी से योजना EdDSA का उपयोग करने के लिए, जो विकसित किया गया है और डी.जे. द्वारा कार्यान्वित बर्नस्टीन एट अल. [18]. Bitcoin के ECDSA की तरह यह अण्डाकार वक्र पर आधारित है असतत लघुगणक समस्या, इसलिए हमारी योजना भविष्य में Bitcoin पर भी लागू की जा सकती है। सामान्य पैरामीटर हैं: q: एक अभाज्य संख्या; क्यू = 2255 −19; d: Fq का एक तत्व; डी = −121665/121666; ई: एक अण्डाकार वक्र समीकरण; −x2 + y2 = 1 + dx2y2; जी: एक आधार बिंदु; जी = (एक्स, −4/5); एल: आधार बिंदु का एक प्रमुख क्रम; एल = 2252 + 27742317777372353535851937790883648493; $H_s$: एक क्रिप्टोग्राफ़िक hash फ़ंक्शन $\{0, 1\}^* \to \mathbb{F}_q$; एचपी: एक नियतात्मक hash फ़ंक्शन $E(\mathbb{F}_q) \to E(\mathbb{F}_q)$। 4.2.2 शब्दावली उन्नत गोपनीयता के लिए एक नई शब्दावली की आवश्यकता है जिसे Bitcoin इकाइयों के साथ भ्रमित नहीं किया जाना चाहिए। प्राइवेट ईसी-की एक मानक अण्डाकार वक्र प्राइवेट कुंजी है: एक संख्या $a \in [1, l - 1]$; सार्वजनिक ईसी-कुंजी एक मानक अण्डाकार वक्र सार्वजनिक कुंजी है: एक बिंदु ए = एजी; वन-टाइम कीपेयर निजी और सार्वजनिक ईसी-की की एक जोड़ी है; 5 9 हे भगवान, इस श्वेतपत्र के लेखक निश्चित रूप से इसे बेहतर ढंग से कह सकते थे! मान लीजिए कि एक कर्मचारी-स्वामित्व वाली कंपनी कुछ नए अधिग्रहण करने या न करने पर वोट लेना चाहती है संपत्ति, और एलेक्स और ब्रेंडा दोनों कर्मचारी हैं। कंपनी प्रत्येक कर्मचारी को एक प्रदान करती है संदेश जैसे "मैं प्रस्ताव ए पर हाँ वोट देता हूँ!" जिसमें मेटाइनफॉर्मेशन "समस्या" है [PROP A] और यदि वे प्रस्ताव का समर्थन करते हैं तो उन्हें ट्रेस करने योग्य रिंग हस्ताक्षर के साथ हस्ताक्षर करने के लिए कहता है। पारंपरिक रिंग हस्ताक्षर का उपयोग करके, एक बेईमान कर्मचारी कई बार संदेश पर हस्ताक्षर कर सकता है, संभवतः विभिन्न nonces के साथ, ताकि वे जितनी चाहें उतनी बार वोट कर सकें। दूसरे पर हाथ, एक ट्रेस करने योग्य रिंग हस्ताक्षर योजना में, एलेक्स वोट देने जाएगा, और उसकी निजी कुंजी उसके पास होगी मुद्दे पर इस्तेमाल किया गया [PROP A]। यदि एलेक्स किसी संदेश पर हस्ताक्षर करने का प्रयास करता है जैसे "मैं, ब्रेंडा, इसे स्वीकार करता हूं प्रस्ताव ए!" ब्रेंडा को "फ़्रेम" करने और डबल वोट देने के लिए, इस नए संदेश में भी मुद्दा होगा [प्रोप ए]। चूँकि एलेक्स की निजी कुंजी पहले ही [PROP A] समस्या को ख़त्म कर चुकी है, इसलिए एलेक्स की पहचान धोखाधड़ी के रूप में तुरंत खुलासा किया जाएगा। जो, इसका सामना करें, बहुत बढ़िया है! क्रिप्टोग्राफी ने वोटिंग समानता लागू की। http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 यह पेपर दिलचस्प है, अनिवार्य रूप से एक तदर्थ रिंग हस्ताक्षर बना रहा है लेकिन इसके बिना अन्य प्रतिभागी की सहमति. हस्ताक्षर की संरचना भिन्न हो सकती है; मैंने खोदा नहीं है गहरा, और मैंने नहीं देखा कि यह सुरक्षित है या नहीं। https://people.csail.mit.edu/rivest/AdidaHohenbergerRivest-AdHocGroupSignaturesFromHijackedKeypai तदर्थ समूह के हस्ताक्षर हैं: रिंग हस्ताक्षर, जो बिना किसी समूह के समूह हस्ताक्षर हैं प्रबंधकों, कोई केंद्रीकरण नहीं, लेकिन एक तदर्थ समूह में एक सदस्य को यह दावा करने की अनुमति देता है इसने समूह की ओर से गुमनाम हस्ताक्षर जारी नहीं किया है। http://link.springer.com/chapter/10.1007/11908739_9 मेरी समझ से यह बिल्कुल सही नहीं है। और मेरी समझ संभवत: बदल जाएगी मैं इस परियोजना में गहराई से उतरता हूँ। लेकिन मेरी समझ से, पदानुक्रम इस तरह दिखता है। समूह संकेत: समूह प्रबंधक ट्रेसबिलिटी और सदस्यों को जोड़ने या हटाने की क्षमता को नियंत्रित करते हैं हस्ताक्षरकर्ता होने से. रिंग सिग्स: समूह प्रबंधक के बिना मनमाना समूह गठन। कोई गुमनामी निरस्तीकरण नहीं. किसी विशेष हस्ताक्षर से स्वयं को ख़ारिज करने का कोई तरीका नहीं। ट्रेस करने योग्य और लिंक करने योग्य रिंग के साथ हस्ताक्षर, गुमनामी कुछ हद तक मापनीय है। तदर्थ समूह हस्ताक्षर: रिंग हस्ताक्षर की तरह, लेकिन सदस्य यह साबित कर सकते हैं कि उन्होंने नहीं बनाया एक विशेष हस्ताक्षर. यह तब महत्वपूर्ण है जब समूह में कोई भी हस्ताक्षर प्रस्तुत कर सकता है। http://link.springer.com/chapter/10.1007/978-3-540-71677-8_13 फुजिसाकी और सुज़ुकी के एल्गोरिदम को बाद में लेखक द्वारा वन-टाइम-नेस प्रदान करने के लिए संशोधित किया गया है। तो हम नए एल्गोरिदम के साथ-साथ फुजिसाकी और सुजुकी के एल्गोरिदम का विश्लेषण करेंगे यहाँ इस पर जाने की तुलना में।

कुंजी, लेकिन उसके समूह के सभी उपयोगकर्ताओं की कुंजी। एक सत्यापनकर्ता आश्वस्त है कि वास्तविक हस्ताक्षरकर्ता एक है समूह का सदस्य, लेकिन हस्ताक्षरकर्ता की विशेष रूप से पहचान नहीं कर सकता। मूल प्रोटोकॉल के लिए एक विश्वसनीय तृतीय पक्ष (जिसे समूह प्रबंधक कहा जाता है) की आवश्यकता थी, और वह था एकमात्र व्यक्ति जो हस्ताक्षरकर्ता का पता लगा सकता था। रिंग सिग्नेचर नामक अगला संस्करण पेश किया गया रिवेस्ट एट अल द्वारा। [34] में, समूह प्रबंधक और गुमनामी के बिना एक स्वायत्त योजना थी निरसन. इस योजना के विभिन्न संशोधन बाद में सामने आए: लिंक करने योग्य रिंग हस्ताक्षर [26, 27, 17] यह निर्धारित करने की अनुमति दी गई कि क्या एक ही समूह के सदस्य द्वारा दो हस्ताक्षर किए गए थे, जिनका पता लगाया जा सके रिंग सिग्नेचर [24, 23] ने हस्ताक्षरकर्ता का पता लगाने की संभावना प्रदान करके अत्यधिक गुमनामी को सीमित कर दिया एक ही जानकारी के संबंध में दो संदेश (या [24] के संदर्भ में "टैग")। एक समान क्रिप्टोग्राफ़िक निर्माण को तदर्थ समूह हस्ताक्षर [16, 38] के रूप में भी जाना जाता है। यह मनमाने ढंग से समूह गठन पर जोर देता है, जबकि समूह/अंगूठी हस्ताक्षर योजनाएँ एक संकेत देती हैं सदस्यों का निश्चित समूह। अधिकांश भाग के लिए, हमारा समाधान ई. फुजिसाकी के कार्य "ट्रेसेबल रिंग सिग्नेचर" पर आधारित है और के. सुजुकी [24]। मूल एल्गोरिदम और हमारे संशोधन को अलग करने के लिए हम करेंगे बाद वाले को वन-टाइम रिंग सिग्नेचर कहें, जिससे उपयोगकर्ता की केवल एक वैध उत्पादन करने की क्षमता पर जोर दिया जा सके उसकी निजी कुंजी के तहत हस्ताक्षर। हमने ट्रैसेबिलिटी प्रॉपर्टी को कमजोर कर दिया और लिंकेबिलिटी को बनाए रखा केवल एक-समय प्रदान करने के लिए: सार्वजनिक कुंजी कई विदेशी सत्यापन सेटों में दिखाई दे सकती है एक अद्वितीय अनाम हस्ताक्षर उत्पन्न करने के लिए निजी कुंजी का उपयोग किया जा सकता है। दोहरे खर्च के मामले में प्रयास करें कि ये दोनों हस्ताक्षर एक साथ जुड़े रहेंगे, लेकिन हस्ताक्षरकर्ता का खुलासा करना आवश्यक नहीं है हमारे उद्देश्यों के लिए. 4.2 परिभाषाएँ 4.2.1 अण्डाकार वक्र पैरामीटर हमारे आधार हस्ताक्षर एल्गोरिथ्म के रूप में हमने तेज़ योजना EdDSA का उपयोग करना चुना, जिसे विकसित किया गया है डी.जे. द्वारा कार्यान्वित बर्नस्टीन एट अल. [18]. Bitcoin के ECDSA की तरह यह अण्डाकार वक्र पर आधारित है असतत लघुगणक समस्या, इसलिए हमारी योजना भविष्य में Bitcoin पर भी लागू की जा सकती है। सामान्य पैरामीटर हैं: q: एक अभाज्य संख्या; क्यू = 2255 −19; d: Fq का एक तत्व; डी = −121665/121666; ई: एक अण्डाकार वक्र समीकरण; −x2 + y2 = 1 + dx2y2; जी: एक आधार बिंदु; जी = (एक्स, −4/5); एल: आधार बिंदु का एक प्रमुख क्रम; एल = 2252 + 27742317777372353535851937790883648493; $H_s$: एक क्रिप्टोग्राफ़िक hash फ़ंक्शन $\{0, 1\}^* \to \mathbb{F}_q$; एचपी: एक नियतात्मक hash फ़ंक्शन $E(\mathbb{F}_q) \to E(\mathbb{F}_q)$। 4.2.2 शब्दावली उन्नत गोपनीयता के लिए एक नई शब्दावली की आवश्यकता है जिसे Bitcoin इकाइयों के साथ भ्रमित नहीं किया जाना चाहिए। प्राइवेट ईसी-की एक मानक अण्डाकार वक्र प्राइवेट कुंजी है: एक संख्या $a \in [1, l - 1]$; सार्वजनिक ईसी-कुंजी एक मानक अण्डाकार वक्र सार्वजनिक कुंजी है: एक बिंदु ए = एजी; वन-टाइम कीपेयर निजी और सार्वजनिक ईसी-की की एक जोड़ी है; 5 कुंजी, लेकिन उसके समूह के सभी उपयोगकर्ताओं की कुंजी। एक सत्यापनकर्ता आश्वस्त है कि वास्तविक हस्ताक्षरकर्ता एक है समूह का सदस्य, लेकिन हस्ताक्षरकर्ता की विशेष रूप से पहचान नहीं कर सकता। मूल प्रोटोकॉल के लिए एक विश्वसनीय तृतीय पक्ष (जिसे समूह प्रबंधक कहा जाता है) की आवश्यकता थी, और वह था एकमात्र व्यक्ति जो हस्ताक्षरकर्ता का पता लगा सकता था। रिंग सिग्नेचर नामक अगला संस्करण पेश किया गया रिवेस्ट एट अल द्वारा। [34] में, समूह प्रबंधक और गुमनामी के बिना एक स्वायत्त योजना थी निरसन. इस योजना के विभिन्न संशोधन बाद में सामने आए: लिंक करने योग्य रिंग हस्ताक्षर [26, 27, 17] यह निर्धारित करने की अनुमति दी गई कि क्या एक ही समूह के सदस्य द्वारा दो हस्ताक्षर किए गए थे, जिनका पता लगाया जा सके रिंग सिग्नेचर [24, 23] ने हस्ताक्षरकर्ता का पता लगाने की संभावना प्रदान करके अत्यधिक गुमनामी को सीमित कर दिया एक ही जानकारी के संबंध में दो संदेश (या [24] के संदर्भ में "टैग")। एक समान क्रिप्टोग्राफ़िक निर्माण को तदर्थ समूह हस्ताक्षर [16, 38] के रूप में भी जाना जाता है। यह मनमाने ढंग से समूह गठन पर जोर देता है, जबकि समूह/अंगूठी हस्ताक्षर योजनाएँ एक संकेत देती हैं सदस्यों का निश्चित समूह। अधिकांश भाग के लिए, हमारा समाधान ई. फुजिसाकी के कार्य "ट्रेसेबल रिंग सिग्नेचर" पर आधारित है और के. सुजुकी [24]। मूल एल्गोरिदम और हमारे संशोधन को अलग करने के लिए हम करेंगे बाद वाले को वन-टाइम रिंग सिग्नेचर कहें, जिससे उपयोगकर्ता की केवल एक वैध उत्पादन करने की क्षमता पर जोर दिया जा सके उसकी निजी कुंजी के तहत हस्ताक्षर। हमने ट्रैसेबिलिटी प्रॉपर्टी को कमजोर कर दिया और लिंकेबिलिटी को बनाए रखा केवल एक-समय प्रदान करने के लिए: सार्वजनिक कुंजी कई विदेशी सत्यापन सेटों में दिखाई दे सकती है एक अद्वितीय अनाम हस्ताक्षर उत्पन्न करने के लिए निजी कुंजी का उपयोग किया जा सकता है। दोहरे खर्च के मामले में प्रयास करें कि ये दोनों हस्ताक्षर एक साथ जुड़े रहेंगे, लेकिन हस्ताक्षरकर्ता का खुलासा करना आवश्यक नहीं है हमारे उद्देश्यों के लिए. 4.2 परिभाषाएँ 4.2.1 अण्डाकार वक्र पैरामीटर हमारे आधार हस्ताक्षर एल्गोरिथ्म के रूप में हम चुनते हैंई तेजी से योजना EdDSA का उपयोग करने के लिए, जो विकसित किया गया है और डी.जे. द्वारा कार्यान्वित बर्नस्टीन एट अल. [18]. Bitcoin के ECDSA की तरह यह अण्डाकार वक्र पर आधारित है असतत लघुगणक समस्या, इसलिए हमारी योजना भविष्य में Bitcoin पर भी लागू की जा सकती है। सामान्य पैरामीटर हैं: q: एक अभाज्य संख्या; क्यू = 2255 −19; d: Fq का एक तत्व; डी = −121665/121666; ई: एक अण्डाकार वक्र समीकरण; −x2 + y2 = 1 + dx2y2; जी: एक आधार बिंदु; जी = (एक्स, −4/5); एल: आधार बिंदु का एक प्रमुख क्रम; एल = 2252 + 27742317777372353535851937790883648493; $H_s$: एक क्रिप्टोग्राफ़िक hash फ़ंक्शन $\{0, 1\}^* \to \mathbb{F}_q$; एचपी: एक नियतात्मक hash फ़ंक्शन $E(\mathbb{F}_q) \to E(\mathbb{F}_q)$। 4.2.2 शब्दावली उन्नत गोपनीयता के लिए एक नई शब्दावली की आवश्यकता है जिसे Bitcoin इकाइयों के साथ भ्रमित नहीं किया जाना चाहिए। प्राइवेट ईसी-की एक मानक अण्डाकार वक्र प्राइवेट कुंजी है: एक संख्या $a \in [1, l - 1]$; सार्वजनिक ईसी-कुंजी एक मानक अण्डाकार वक्र सार्वजनिक कुंजी है: एक बिंदु ए = एजी; वन-टाइम कीपेयर निजी और सार्वजनिक ईसी-की की एक जोड़ी है; 5 10 "लिंक करने योग्य रिंग सिग्नेचर" के अर्थ में लिंकेबिलिटी का मतलब है कि हम बता सकते हैं कि क्या दो आउटगोइंग लेनदेन एक ही स्रोत से आए हैं, बिना यह बताए कि स्रोत कौन है। लेखक कमजोर हो गए लिंकेबिलिटी ताकि (ए) गोपनीयता बनाए रखी जा सके, लेकिन फिर भी (बी) निजी कुंजी का उपयोग करके किसी भी लेनदेन का पता लगाया जा सके दूसरी बार अमान्य। ठीक है, तो यह घटनाओं के क्रम का प्रश्न है। निम्नलिखित परिदृश्य पर विचार करें. मेरा खनन कंप्यूटर में वर्तमान blockchain होगा, इसमें लेनदेन का अपना ब्लॉक होगा जिसे वह कॉल करता है वैध, यह उस ब्लॉक पर proof-of-work पहेली में काम करेगा, और इसमें एक होगा लंबित लेनदेन की सूची अगले ब्लॉक में जोड़ी जाएगी। यह कोई नया भी भेज रहा होगा लंबित लेनदेन के उस पूल में लेनदेन। अगर मैं अगला ब्लॉक हल नहीं कर पाता, लेकिन कोई और करता है, मुझे blockchain की एक अद्यतन प्रति मिलती है। जिस ब्लॉक पर मैं काम कर रहा था और लंबित लेनदेन की मेरी सूची में कुछ लेनदेन हो सकते हैं जिन्हें अब शामिल किया गया है blockchain में. मेरे लंबित ब्लॉक को सुलझाएं, उसे मेरे लंबित लेनदेन की सूची के साथ मिलाएं, और उसे कॉल करें लंबित लेनदेन का मेरा पूल। जो भी अब आधिकारिक तौर पर blockchain में हैं उन्हें हटा दें। अब मैं क्या करूं? क्या मुझे सबसे पहले आगे बढ़ना चाहिए और "सभी दोहरे खर्च हटा देना चाहिए"? दूसरे पर हाथ, क्या मुझे सूची में खोज करनी चाहिए और सुनिश्चित करना चाहिए कि प्रत्येक निजी कुंजी अभी तक नहीं है उपयोग किया गया, और यदि यह मेरी सूची में पहले से ही उपयोग किया गया है, तो मुझे पहली प्रति पहले प्राप्त हुई, और इसलिए कोई भी अतिरिक्त प्रतिलिपि नाजायज है. इस प्रकार मैं पहले के बाद सभी उदाहरणों को हटाने के लिए आगे बढ़ता हूं उसी निजी कुंजी का. बीजगणितीय ज्यामिति कभी भी मेरा मजबूत पक्ष नहीं रही। http://en.wikipedia.org/wiki/EdDSA इतनी स्पीड, बहुत वाह! यह जीत के लिए बीजगणितीय ज्यामिति है। ऐसा नहीं है कि मुझे कुछ पता होगा उसके बारे में. समस्यात्मक रूप से, या नहीं, अलग-अलग लॉग बहुत तेजी से हो रहे हैं। और क्वांटम कंप्यूटर उन्हें खा जाते हैं नाश्ते के लिए. http://link.springer.com/article/10.1007/s13389-012-0027-1 यह वास्तव में एक महत्वपूर्ण संख्या बन जाती है, लेकिन यह कैसे होती है, इसका कोई स्पष्टीकरण या उद्धरण नहीं है चुना गया. केवल एक ज्ञात बड़े अभाज्य को चुनना ठीक होगा, लेकिन यदि ज्ञात हों इस बड़े प्राइम के बारे में तथ्य, जो हमारी पसंद को प्रभावित कर सकते हैं। क्रिप्टोनोट के विभिन्न प्रकार के विभिन्न मान चुन सकता है हाँ, लेकिन इस पेपर में इस बारे में कोई चर्चा नहीं है कि वह कैसे विकल्प पृष्ठ 5 पर सूचीबद्ध अन्य वैश्विक मापदंडों के बारे में हमारी पसंद को प्रभावित करेगा। इस पेपर में पैरामीटर मान चुनने पर एक अनुभाग की आवश्यकता है।

निजी उपयोगकर्ता कुंजी दो अलग-अलग निजी ईसी-कुंजियों की एक जोड़ी (ए, बी) है; ट्रैकिंग कुंजी निजी और सार्वजनिक ईसी-कुंजी की एक जोड़ी (ए, बी) है (जहां बी = बीजी और ए ̸= बी); सार्वजनिक उपयोगकर्ता कुंजी (ए, बी) से प्राप्त दो सार्वजनिक ईसी-कुंजियों की एक जोड़ी (ए, बी) है; मानक पता मानव अनुकूल स्ट्रिंग में दी गई सार्वजनिक उपयोगकर्ता कुंजी का प्रतिनिधित्व है त्रुटि सुधार के साथ; छोटा किया गया पता दी गई सार्वजनिक उपयोगकर्ता कुंजी के दूसरे भाग (बिंदु बी) का प्रतिनिधित्व है त्रुटि सुधार के साथ मानव अनुकूल स्ट्रिंग में। लेन-देन संरचना Bitcoin की संरचना के समान रहती है: प्रत्येक उपयोगकर्ता चुन सकता है कई स्वतंत्र आने वाले भुगतान (लेन-देन आउटपुट), उन्हें संबंधित के साथ हस्ताक्षरित करें निजी कुंजियाँ और उन्हें विभिन्न गंतव्यों पर भेजें। Bitcoin मॉडल के विपरीत, जहां एक उपयोगकर्ता के पास अद्वितीय निजी और सार्वजनिक कुंजी होती है प्रस्तावित मॉडल में एक प्रेषक प्राप्तकर्ता के पते के आधार पर एक बार सार्वजनिक कुंजी उत्पन्न करता है कुछ यादृच्छिक डेटा. इस अर्थ में, उसी प्राप्तकर्ता के लिए आने वाला लेनदेन एक को भेजा जाता है एक बार की सार्वजनिक कुंजी (सीधे किसी अद्वितीय पते पर नहीं) और केवल प्राप्तकर्ता ही इसे पुनर्प्राप्त कर सकता है अपने धन को भुनाने के लिए संबंधित निजी भाग (अपनी अद्वितीय निजी कुंजी का उपयोग करके)। प्राप्तकर्ता कर सकता है अपने स्वामित्व और वास्तविक खर्च को गुमनाम रखते हुए, रिंग सिग्नेचर का उपयोग करके धनराशि खर्च करें। प्रोटोकॉल का विवरण अगले उपधाराओं में बताया गया है। 4.3 लिंक न करने योग्य भुगतान क्लासिक Bitcoin पते, एक बार प्रकाशित होने के बाद, आने वाले लोगों के लिए स्पष्ट पहचानकर्ता बन जाते हैं भुगतान, उन्हें एक साथ जोड़ना और प्राप्तकर्ता के छद्म नामों से जोड़ना। अगर कोई चाहता है यदि कोई "अनटाइड" लेनदेन प्राप्त करता है, तो उसे एक निजी चैनल द्वारा प्रेषक को अपना पता बताना चाहिए। यदि वह अलग-अलग लेनदेन प्राप्त करना चाहता है जो एक ही मालिक से संबंधित साबित नहीं किया जा सकता है उसे सभी अलग-अलग पते तैयार करने चाहिए और उन्हें कभी भी अपने छद्म नाम से प्रकाशित नहीं करना चाहिए। सार्वजनिक निजी ऐलिस कैरल बॉब का पता 1 बॉब का पता 2 बॉब की कुंजी 1 बॉब की कुंजी 2 बॉब चित्र 2. पारंपरिक Bitcoin कुंजी/लेनदेन मॉडल। हम एक समाधान प्रस्तावित करते हैं जो उपयोगकर्ता को एक ही पता प्रकाशित करने और बिना शर्त प्राप्त करने की अनुमति देता है लिंक न करने योग्य भुगतान. प्रत्येक क्रिप्टोनोट आउटपुट का गंतव्य (डिफ़ॉल्ट रूप से) एक सार्वजनिक कुंजी है, प्राप्तकर्ता के पते और प्रेषक के यादृच्छिक डेटा से प्राप्त किया गया। Bitcoin के विरुद्ध मुख्य लाभ यह है कि प्रत्येक गंतव्य कुंजी डिफ़ॉल्ट रूप से अद्वितीय होती है (जब तक कि प्रेषक प्रत्येक के लिए समान डेटा का उपयोग नहीं करता है)। उसी प्राप्तकर्ता को उसके लेनदेन का)। इसलिए, "पता पुन: उपयोग" जैसी कोई समस्या नहीं है डिज़ाइन और कोई भी पर्यवेक्षक यह निर्धारित नहीं कर सकता कि कोई लेनदेन किसी विशिष्ट पते या लिंक पर भेजा गया था या नहीं दो पते एक साथ. 6 निजी उपयोगकर्ता कुंजी दो अलग-अलग निजी ईसी-कुंजियों की एक जोड़ी (ए, बी) है; ट्रैकिंग कुंजी निजी और सार्वजनिक ईसी-कुंजी की एक जोड़ी (ए, बी) है (जहां बी = बीजी और ए ̸= बी); सार्वजनिक उपयोगकर्ता कुंजी (ए, बी) से प्राप्त दो सार्वजनिक ईसी-कुंजियों की एक जोड़ी (ए, बी) है; मानक पता मानव अनुकूल स्ट्रिंग में दी गई सार्वजनिक उपयोगकर्ता कुंजी का प्रतिनिधित्व है त्रुटि सुधार के साथ; छोटा किया गया पता दी गई सार्वजनिक उपयोगकर्ता कुंजी के दूसरे भाग (बिंदु बी) का प्रतिनिधित्व है त्रुटि सुधार के साथ मानव अनुकूल स्ट्रिंग में। लेन-देन संरचना Bitcoin में संरचना के समान रहती है: प्रत्येक उपयोगकर्ता चुन सकता है कई स्वतंत्र आने वाले भुगतान (लेन-देन आउटपुट), उन्हें संबंधित के साथ हस्ताक्षरित करें निजी कुंजियाँ और उन्हें विभिन्न गंतव्यों पर भेजें। Bitcoin के मॉडल के विपरीत, जहां एक उपयोगकर्ता के पास अद्वितीय निजी और सार्वजनिक कुंजी होती है प्रस्तावित मॉडल में एक प्रेषक प्राप्तकर्ता के पते के आधार पर एक बार सार्वजनिक कुंजी उत्पन्न करता है कुछ यादृच्छिक डेटा. इस अर्थ में, उसी प्राप्तकर्ता के लिए आने वाला लेनदेन एक को भेजा जाता है एक बार की सार्वजनिक कुंजी (सीधे किसी अद्वितीय पते पर नहीं) और केवल प्राप्तकर्ता ही इसे पुनर्प्राप्त कर सकता है अपने धन को भुनाने के लिए संबंधित निजी भाग (अपनी अद्वितीय निजी कुंजी का उपयोग करके)। प्राप्तकर्ता कर सकता है अपने स्वामित्व और वास्तविक खर्च को गुमनाम रखते हुए, रिंग सिग्नेचर का उपयोग करके धनराशि खर्च करें। प्रोटोकॉल का विवरण अगले उपधाराओं में बताया गया है। 4.3 लिंक न करने योग्य भुगतान क्लासिक Bitcoin पते, एक बार प्रकाशित होने के बाद, आने वाले लोगों के लिए स्पष्ट पहचानकर्ता बन जाते हैं भुगतान, उन्हें एक साथ जोड़ना और प्राप्तकर्ता के छद्म नामों से जोड़ना। अगर कोई चाहता है यदि कोई "अनटाइड" लेनदेन प्राप्त करता है, तो उसे एक निजी चैनल द्वारा प्रेषक को अपना पता बताना चाहिए। यदि वह अलग-अलग लेनदेन प्राप्त करना चाहता है जो एक ही मालिक से संबंधित साबित नहीं किया जा सकता है उसे सभी अलग-अलग पते तैयार करने चाहिए और उन्हें कभी भी अपने छद्म नाम से प्रकाशित नहीं करना चाहिए। सार्वजनिक निजी ऐलिस कैरल बॉब का पता 1 बॉब का पता 2 बॉब की कुंजी 1 बॉब की कुंजी 2 बॉब चित्र 2. पारंपरिक Bitcoin कुंजी/लेनदेन मॉडएल. हम एक समाधान प्रस्तावित करते हैं जो उपयोगकर्ता को एक ही पता प्रकाशित करने और बिना शर्त प्राप्त करने की अनुमति देता है लिंक न करने योग्य भुगतान. प्रत्येक क्रिप्टोनोट आउटपुट का गंतव्य (डिफ़ॉल्ट रूप से) एक सार्वजनिक कुंजी है, प्राप्तकर्ता के पते और प्रेषक के यादृच्छिक डेटा से प्राप्त किया गया। Bitcoin के विरुद्ध मुख्य लाभ यह है कि प्रत्येक गंतव्य कुंजी डिफ़ॉल्ट रूप से अद्वितीय होती है (जब तक कि प्रेषक प्रत्येक के लिए समान डेटा का उपयोग नहीं करता है)। उसी प्राप्तकर्ता को उसके लेनदेन का)। इसलिए, "पता पुन: उपयोग" जैसी कोई समस्या नहीं है डिज़ाइन और कोई भी पर्यवेक्षक यह निर्धारित नहीं कर सकता कि कोई लेनदेन किसी विशिष्ट पते या लिंक पर भेजा गया था या नहीं दो पते एक साथ. 6 11 तो यह Bitcoin जैसा है, लेकिन अनंत, अज्ञात पीओ बॉक्स के साथ, केवल रिसीवर द्वारा भुनाया जा सकता है एक निजी कुंजी उत्पन्न करना जो रिंग हस्ताक्षर जितनी ही गुमनाम हो सकती है। Bitcoin इस तरह काम करता है। यदि एलेक्स के बटुए में 0.112 Bitcoin है जो उसे अभी-अभी फ्रैंक से प्राप्त हुआ है, तो उसके पास वास्तव में एक हस्ताक्षरित है संदेश "मैं, [फ्रैंक], [एलेक्स] + H0 + N0 को 0.112 Bitcoin भेजता हूं" जहां 1) फ्रैंक ने हस्ताक्षर किए हैं अपनी निजी कुंजी के साथ संदेश [FRANK], 2) फ्रैंक ने एलेक्स की जनता के साथ संदेश पर हस्ताक्षर किए हैं कुंजी, [एलेक्स], 3) फ्रैंक ने बिटकॉइन के इतिहास के कुछ रूप को शामिल किया है, एच0, और 4) फ्रैंक इसमें nonce, N0 नामक डेटा का एक यादृच्छिक बिट शामिल है। यदि एलेक्स चार्लीन को 0.011 Bitcoin भेजना चाहता है, तो वह फ्रैंक का संदेश लेगी, और वह उसे H1 पर सेट करेगा, और दो संदेशों पर हस्ताक्षर करेगा: एक उसके लेनदेन के लिए, और एक परिवर्तन के लिए। H1= "मैं, [फ्रैंक], [alex] + H0 + N को 0.112 Bitcoin भेजता हूं" "मैं, [ALEX], इसे 0.011 Bitcoin भेजता हूं [चार्लेन] + एच1 + एन1" "मैं, [एलेक्स], [एलेक्स] + एच1 + एन2 में परिवर्तन के रूप में 0.101 Bitcoin भेजता हूं।" जहां एलेक्स दोनों संदेशों पर अपनी निजी कुंजी [ALEX] से हस्ताक्षर करती है, पहला संदेश चार्लीन की कुंजी से सार्वजनिक कुंजी [चार्लेन], एलेक्स की सार्वजनिक कुंजी [एलेक्स] के साथ दूसरा संदेश, और इसमें शामिल है इतिहास और कुछ बेतरतीब ढंग से उत्पन्न nonces N1 और N2 उचित रूप से। क्रिप्टोनोट इस तरह काम करता है: यदि एलेक्स के बटुए में 0.112 क्रिप्टोनोट है जो उसे अभी-अभी फ्रैंक से प्राप्त हुआ है, तो उसके पास वास्तव में एक हस्ताक्षरित है संदेश "मैं, [तदर्थ समूह में कोई], [एक बार के पते] + H0 पर 0.112 क्रिप्टोनोट भेजता हूं + एन0।" एलेक्स को अपनी निजी कुंजी [ALEX] से जांच करने पर पता चला कि यह उसका पैसा था प्रत्येक गुजरते संदेश के लिए [एक बार का पता], और यदि वह इसे खर्च करना चाहती है तो वह ऐसा करती है निम्नलिखित तरीके से. वह पैसे प्राप्त करने वाले को चुनती है, शायद चार्लेन ने ड्रोन-हमलों के लिए मतदान करना शुरू कर दिया है एलेक्स इसके बदले ब्रेंडा को पैसे भेजना चाहता है। तो एलेक्स ने ब्रेंडा की सार्वजनिक कुंजी देखी, [ब्रेंडा], और एक बार का पता [ALEX+brenda] उत्पन्न करने के लिए अपनी निजी कुंजी, [ALEX] का उपयोग करती है। वह फिर क्रिप्टोनोट उपयोगकर्ताओं के नेटवर्क से एक मनमाना संग्रह सी चुनता है और वह निर्माण करता है इस तदर्थ समूह से एक रिंग हस्ताक्षर। हम अपना इतिहास पिछले संदेश के रूप में सेट करते हैं, जोड़ें nonces, और हमेशा की तरह आगे बढ़ें? H1 = "मैं, [तदर्थ समूह में कोई व्यक्ति], [एक बार के पते पर] + H0 पर 0.112 क्रिप्टोनोट भेजता हूं + एन0।" "मैं, [संग्रह सी में कोई], [एक बार का पता-निर्मित-फ्रॉमएलेक्स+ब्रेंडा] + एच1 + एन1 को 0.011 क्रिप्टोनोट भेजता हूं" "मैं, [संग्रह सी में कोई], 0.101 क्रिप्टोनोट को [एक बार-पता-मेडफ्रॉम-एलेक्स+एलेक्स] + एच1 + एन2 में परिवर्तन के रूप में भेजता हूं" अब, एलेक्स और ब्रेंडा दोनों आने वाले सभी संदेशों को किसी भी एक बार के पते के लिए स्कैन करते हैं उनकी कुंजी का उपयोग करके बनाया गया। यदि उन्हें कोई मिलता है, तो वह संदेश उनका अपना बिल्कुल नया है क्रिप्टोनोट! और फिर भी, लेनदेन अभी भी blockchain तक पहुंच जाएगा। यदि सिक्के उस पते पर प्रवेश कर रहे हैं अपराधियों, राजनीतिक योगदानकर्ताओं, या समितियों और खातों से भेजे जाने के बारे में जाना जाता है सख्त बजट के साथ (यानी गबन), या यदि इन सिक्कों का नया मालिक कभी कोई गलती करता है और इन सिक्कों को उन सिक्कों के साथ एक सामान्य पते पर भेजता है जिनके पास वह जाना जाता है, गुमनामी जिग बिटकॉइन में ऊपर है.

निजी उपयोगकर्ता कुंजी दो अलग-अलग निजी ईसी-कुंजियों की एक जोड़ी (ए, बी) है; ट्रैकिंग कुंजी निजी और सार्वजनिक ईसी-कुंजी की एक जोड़ी (ए, बी) है (जहां बी = बीजी और ए ̸= बी); सार्वजनिक उपयोगकर्ता कुंजी (ए, बी) से प्राप्त दो सार्वजनिक ईसी-कुंजियों की एक जोड़ी (ए, बी) है; मानक पता मानव अनुकूल स्ट्रिंग में दी गई सार्वजनिक उपयोगकर्ता कुंजी का प्रतिनिधित्व है त्रुटि सुधार के साथ; छोटा किया गया पता दी गई सार्वजनिक उपयोगकर्ता कुंजी के दूसरे भाग (बिंदु बी) का प्रतिनिधित्व है त्रुटि सुधार के साथ मानव अनुकूल स्ट्रिंग में। लेन-देन संरचना Bitcoin की संरचना के समान रहती है: प्रत्येक उपयोगकर्ता चुन सकता है कई स्वतंत्र आने वाले भुगतान (लेन-देन आउटपुट), उन्हें संबंधित के साथ हस्ताक्षरित करें निजी कुंजियाँ और उन्हें विभिन्न गंतव्यों पर भेजें। Bitcoin के मॉडल के विपरीत, जहां एक उपयोगकर्ता के पास अद्वितीय निजी और सार्वजनिक कुंजी होती है प्रस्तावित मॉडल में एक प्रेषक प्राप्तकर्ता के पते के आधार पर एक बार सार्वजनिक कुंजी उत्पन्न करता है कुछ यादृच्छिक डेटा. इस अर्थ में, उसी प्राप्तकर्ता के लिए आने वाला लेनदेन एक को भेजा जाता है एक बार की सार्वजनिक कुंजी (सीधे किसी अद्वितीय पते पर नहीं) और केवल प्राप्तकर्ता ही इसे पुनर्प्राप्त कर सकता है अपने धन को भुनाने के लिए संबंधित निजी भाग (अपनी अद्वितीय निजी कुंजी का उपयोग करके)। प्राप्तकर्ता कर सकता है अपने स्वामित्व और वास्तविक खर्च को गुमनाम रखते हुए, रिंग सिग्नेचर का उपयोग करके धनराशि खर्च करें। प्रोटोकॉल का विवरण अगले उपधाराओं में बताया गया है। 4.3 लिंक न करने योग्य भुगतान क्लासिक Bitcoin पते, एक बार प्रकाशित होने के बाद, आने वाले लोगों के लिए स्पष्ट पहचानकर्ता बन जाते हैं भुगतान, उन्हें एक साथ जोड़ना और प्राप्तकर्ता के छद्म नामों से जोड़ना। अगर कोई चाहता है यदि कोई "अनटाइड" लेनदेन प्राप्त करता है, तो उसे एक निजी चैनल द्वारा प्रेषक को अपना पता बताना चाहिए। यदि वह अलग-अलग लेनदेन प्राप्त करना चाहता है जो एक ही मालिक से संबंधित साबित नहीं किया जा सकता है उसे सभी अलग-अलग पते तैयार करने चाहिए और उन्हें कभी भी अपने छद्म नाम से प्रकाशित नहीं करना चाहिए। सार्वजनिक निजी ऐलिस कैरल बॉब का पता 1 बॉब का पता 2 बॉब की कुंजी 1 बॉब की कुंजी 2 बॉब चित्र 2. पारंपरिक Bitcoin कुंजी/लेनदेन मॉडल। हम एक समाधान प्रस्तावित करते हैं जो उपयोगकर्ता को एक ही पता प्रकाशित करने और बिना शर्त प्राप्त करने की अनुमति देता है लिंक न करने योग्य भुगतान. प्रत्येक क्रिप्टोनोट आउटपुट का गंतव्य (डिफ़ॉल्ट रूप से) एक सार्वजनिक कुंजी है, प्राप्तकर्ता के पते और प्रेषक के यादृच्छिक डेटा से प्राप्त किया गया। Bitcoin के विरुद्ध मुख्य लाभ यह है कि प्रत्येक गंतव्य कुंजी डिफ़ॉल्ट रूप से अद्वितीय होती है (जब तक कि प्रेषक प्रत्येक के लिए समान डेटा का उपयोग नहीं करता है)। उसी प्राप्तकर्ता को उसके लेनदेन का)। इसलिए, "पता पुन: उपयोग" जैसी कोई समस्या नहीं है डिज़ाइन और कोई भी पर्यवेक्षक यह निर्धारित नहीं कर सकता कि कोई लेनदेन किसी विशिष्ट पते या लिंक पर भेजा गया था या नहीं दो पते एक साथ. 6 निजी उपयोगकर्ता कुंजी दो अलग-अलग निजी ईसी-कुंजियों की एक जोड़ी (ए, बी) है; ट्रैकिंग कुंजी निजी और सार्वजनिक ईसी-कुंजी की एक जोड़ी (ए, बी) है (जहां बी = बीजी और ए ̸= बी); सार्वजनिक उपयोगकर्ता कुंजी (ए, बी) से प्राप्त दो सार्वजनिक ईसी-कुंजियों की एक जोड़ी (ए, बी) है; मानक पता मानव अनुकूल स्ट्रिंग में दी गई सार्वजनिक उपयोगकर्ता कुंजी का प्रतिनिधित्व है त्रुटि सुधार के साथ; छोटा किया गया पता दी गई सार्वजनिक उपयोगकर्ता कुंजी के दूसरे भाग (बिंदु बी) का प्रतिनिधित्व है त्रुटि सुधार के साथ मानव अनुकूल स्ट्रिंग में। लेन-देन संरचना Bitcoin की संरचना के समान रहती है: प्रत्येक उपयोगकर्ता चुन सकता है कई स्वतंत्र आने वाले भुगतान (लेन-देन आउटपुट), उन्हें संबंधित के साथ हस्ताक्षरित करें निजी कुंजियाँ और उन्हें विभिन्न गंतव्यों पर भेजें। Bitcoin के मॉडल के विपरीत, जहां एक उपयोगकर्ता के पास अद्वितीय निजी और सार्वजनिक कुंजी होती है प्रस्तावित मॉडल में एक प्रेषक प्राप्तकर्ता के पते के आधार पर एक बार सार्वजनिक कुंजी उत्पन्न करता है कुछ यादृच्छिक डेटा. इस अर्थ में, उसी प्राप्तकर्ता के लिए आने वाला लेनदेन एक को भेजा जाता है एक बार की सार्वजनिक कुंजी (सीधे किसी अद्वितीय पते पर नहीं) और केवल प्राप्तकर्ता ही इसे पुनर्प्राप्त कर सकता है अपने धन को भुनाने के लिए संबंधित निजी भाग (अपनी अद्वितीय निजी कुंजी का उपयोग करके)। प्राप्तकर्ता कर सकता है अपने स्वामित्व और वास्तविक खर्च को गुमनाम रखते हुए, रिंग सिग्नेचर का उपयोग करके धनराशि खर्च करें। प्रोटोकॉल का विवरण अगले उपधाराओं में बताया गया है। 4.3 लिंक न करने योग्य भुगतान क्लासिक Bitcoin पते, एक बार प्रकाशित होने के बाद, आने वाले लोगों के लिए स्पष्ट पहचानकर्ता बन जाते हैं भुगतान, उन्हें एक साथ जोड़ना और प्राप्तकर्ता के छद्म नामों से जोड़ना। अगर कोई चाहता है यदि कोई "अनटाइड" लेनदेन प्राप्त करता है, तो उसे एक निजी चैनल द्वारा प्रेषक को अपना पता बताना चाहिए। यदि वह अलग-अलग लेनदेन प्राप्त करना चाहता है जो एक ही मालिक से संबंधित साबित नहीं किया जा सकता है उसे सभी अलग-अलग पते तैयार करने चाहिए और उन्हें कभी भी अपने छद्म नाम से प्रकाशित नहीं करना चाहिए। सार्वजनिक निजी ऐलिस कैरल बॉब का पता 1 बॉब का पता 2 बॉब की कुंजी 1 बॉब की कुंजी 2 बॉब चित्र 2. पारंपरिक Bitcoin कुंजी/लेनदेन मॉडएल. हम एक समाधान प्रस्तावित करते हैं जो उपयोगकर्ता को एक ही पता प्रकाशित करने और बिना शर्त प्राप्त करने की अनुमति देता है लिंक न करने योग्य भुगतान. प्रत्येक क्रिप्टोनोट आउटपुट का गंतव्य (डिफ़ॉल्ट रूप से) एक सार्वजनिक कुंजी है, प्राप्तकर्ता के पते और प्रेषक के यादृच्छिक डेटा से प्राप्त किया गया। Bitcoin के विरुद्ध मुख्य लाभ यह है कि प्रत्येक गंतव्य कुंजी डिफ़ॉल्ट रूप से अद्वितीय होती है (जब तक कि प्रेषक प्रत्येक के लिए समान डेटा का उपयोग नहीं करता है)। उसी प्राप्तकर्ता को उसके लेनदेन का)। इसलिए, "पता पुन: उपयोग" जैसी कोई समस्या नहीं है डिज़ाइन और कोई भी पर्यवेक्षक यह निर्धारित नहीं कर सकता कि कोई लेनदेन किसी विशिष्ट पते या लिंक पर भेजा गया था या नहीं दो पते एक साथ. 6 12 इसलिए, उपयोगकर्ताओं को पते से सिक्के भेजने के बजाय (जो वास्तव में एक सार्वजनिक कुंजी है)। (एक अन्य सार्वजनिक कुंजी) अपनी निजी कुंजी का उपयोग करके, उपयोगकर्ता एक बार के पीओ-बॉक्स से सिक्के भेज रहे हैं (जो आपके दोस्तों की सार्वजनिक कुंजी का उपयोग करके उत्पन्न हो रहा है) एक बार के पीओ-बॉक्स (इसी तरह) का उपयोग करके अपनी निजी चाबियाँ. एक तरह से, हम कह रहे हैं "ठीक है, हर कोई पैसे के रहते हुए उसे अपने हाथ में ले ले चारों ओर स्थानांतरित! बस यह जानना पर्याप्त है कि हमारी चाबियाँ उस बॉक्स को खोल सकती हैं हम जानते हैं कि बक्से में कितना पैसा है। कभी भी अपने फिंगरप्रिंट्स को PO बॉक्स पर न रखें वास्तव में इसका उपयोग करें, बस नकदी से भरे बॉक्स का व्यापार करें। इस तरह हमें नहीं पता कि किसने भेजा है क्या, लेकिन इन सार्वजनिक पतों की सामग्री अभी भी घर्षण रहित, प्रतिस्थापन योग्य, विभाज्य और है अभी भी हमारे पास बिटकॉइन जैसे पैसे के अन्य सभी अच्छे गुण हैं जो हम चाहते हैं।" पीओ बक्सों का एक अनंत सेट। आप एक पता प्रकाशित करें, मेरे पास एक निजी कुंजी है। मैं अपनी निजी कुंजी और आपके पते का उपयोग करता हूं, और सार्वजनिक कुंजी उत्पन्न करने के लिए कुछ यादृच्छिक डेटा। एल्गोरिदम इस प्रकार डिज़ाइन किया गया है कि, चूंकि आपका पते का उपयोग सार्वजनिक कुंजी उत्पन्न करने के लिए किया गया था, केवल आपकी निजी कुंजी अनलॉक करने के लिए काम करती है संदेश. एक पर्यवेक्षक, ईव, आपको अपना पता प्रकाशित करते हुए देखता है, और मेरे द्वारा घोषित सार्वजनिक कुंजी को देखता है। हालाँकि, वह नहीं जानती कि मैंने अपनी सार्वजनिक कुंजी आपके पते के आधार पर घोषित की है या उसके, या ब्रेंडा के पते के आधार पर या चार्लेन का, या जो भी हो। वह अपनी निजी कुंजी की जाँच मेरे द्वारा घोषित सार्वजनिक कुंजी से करती है और देखता है कि यह काम नहीं करता; यह उसका पैसा नहीं है। वह किसी और की निजी कुंजी नहीं जानती, और केवल संदेश प्राप्तकर्ता के पास ही निजी कुंजी होती है जो संदेश को अनलॉक कर सकती है। तो कोई नहीं सुनने से यह निर्धारित किया जा सकता है कि पैसा किसने प्राप्त किया, पैसे लेने की बात तो दूर।

सार्वजनिक निजी ऐलिस कैरल एक बार की कुंजी एक बार की कुंजी एक बार की कुंजी बॉब बॉब की कुंजी बॉब का पता चित्र 3. क्रिप्टोनोट कुंजी/लेनदेन मॉडल। सबसे पहले, प्रेषक अपने डेटा से एक साझा रहस्य प्राप्त करने के लिए डिफ-हेलमैन एक्सचेंज करता है प्राप्तकर्ता का आधा पता। फिर वह साझा का उपयोग करके एक बार की गंतव्य कुंजी की गणना करता है रहस्य और संबोधन का दूसरा भाग. प्राप्तकर्ता से दो अलग-अलग ईसी-कुंजियाँ आवश्यक हैं इन दो चरणों के लिए, इसलिए एक मानक क्रिप्टोनोट पता Bitcoin वॉलेट से लगभग दोगुना बड़ा है पता. रिसीवर संबंधित को पुनर्प्राप्त करने के लिए डाइ-हेलमैन एक्सचेंज भी करता है गुप्त कुंजी. एक मानक लेनदेन अनुक्रम इस प्रकार है: 1. ऐलिस बॉब को भुगतान भेजना चाहती है, जिसने उसका मानक पता प्रकाशित किया है। वह पते को अनपैक करता है और बॉब की सार्वजनिक कुंजी (ए, बी) प्राप्त करता है। 2. ऐलिस एक यादृच्छिक $r \in [1, l - 1]$ उत्पन्न करता है और एक बार की सार्वजनिक कुंजी $P = H_s(rA)G +$ की गणना करता है बी. 3. ऐलिस आउटपुट के लिए गंतव्य कुंजी के रूप में P का उपयोग करता है और मान R = rG (एक भाग के रूप में) भी पैक करता है डाइ-हेलमैन एक्सचेंज का) कहीं लेन-देन में। ध्यान दें कि वह सृजन कर सकती है अद्वितीय सार्वजनिक कुंजियों के साथ अन्य आउटपुट: विभिन्न प्राप्तकर्ताओं की कुंजियाँ (Ai, Bi) अलग-अलग Pi दर्शाती हैं यहां तक कि एक ही आर के साथ भी. लेन-देन टीएक्स सार्वजनिक कुंजी टीएक्स आउटपुट रकम गंतव्य कुंजी आर = आरजी पी = एचएस(आरए)जी + बी प्राप्तकर्ता का सार्वजनिक कुंजी प्रेषक का यादृच्छिक डेटा आर (ए, बी) चित्र 4. मानक लेनदेन संरचना। 4. ऐलिस लेनदेन भेजता है। 5. बॉब अपनी निजी कुंजी (ए, बी) के साथ प्रत्येक गुजरने वाले लेनदेन की जांच करता है, और पी ′ = की गणना करता है एचएस(एआर)जी + बी. यदि प्राप्तकर्ता के रूप में बॉब के साथ ऐलिस का लेनदेन उनमें से एक था, तब aR = arG = rA और P' = P. 7 सार्वजनिक निजी ऐलिस कैरल एक बार की कुंजी एक बार की कुंजी एक बार की कुंजी बॉब बॉब की कुंजी बॉब का पता चित्र 3. क्रिप्टोनोट कुंजी/लेनदेन मॉडल। सबसे पहले, प्रेषक अपने डेटा से एक साझा रहस्य प्राप्त करने के लिए डिफ-हेलमैन एक्सचेंज करता है प्राप्तकर्ता का आधा पता। फिर वह साझा का उपयोग करके एक बार की गंतव्य कुंजी की गणना करता है रहस्य और संबोधन का दूसरा भाग. प्राप्तकर्ता से दो अलग-अलग ईसी-कुंजियाँ आवश्यक हैं इन दो चरणों के लिए, इसलिए एक मानक क्रिप्टोनोट पता Bitcoin वॉलेट से लगभग दोगुना बड़ा है पता. रिसीवर संबंधित को पुनर्प्राप्त करने के लिए डाइ-हेलमैन एक्सचेंज भी करता है गुप्त कुंजी. एक मानक लेनदेन अनुक्रम इस प्रकार है: 1. ऐलिस बॉब को भुगतान भेजना चाहती है, जिसने उसका मानक पता प्रकाशित किया है। वह पते को अनपैक करता है और बॉब की सार्वजनिक कुंजी (ए, बी) प्राप्त करता है। 2. ऐलिस एक यादृच्छिक $r \in [1, l - 1]$ उत्पन्न करता है और एक बार की सार्वजनिक कुंजी $P = H_s(rA)G +$ की गणना करता है बी. 3. ऐलिस आउटपुट के लिए गंतव्य कुंजी के रूप में P का उपयोग करता है और मान R = rG (एक भाग के रूप में) भी पैक करता है डाइ-हेलमैन एक्सचेंज का) कहीं लेन-देन में। ध्यान दें कि वह सृजन कर सकती है अद्वितीय सार्वजनिक कुंजियों के साथ अन्य आउटपुट: विभिन्न प्राप्तकर्ताओं की कुंजियाँ (Ai, Bi) अलग-अलग Pi दर्शाती हैं यहां तक कि एक ही आर के साथ भी. लेन-देन टीएक्स सार्वजनिक कुंजी टीएक्स आउटपुट रकम गंतव्य कुंजी आर = आरजी पी = एचएस(आरए)जी + बी प्राप्तकर्ता का सार्वजनिक कुंजी प्रेषक का यादृच्छिक डेटा आर (ए, बी) चित्र 4. मानक लेनदेन संरचना। 4. ऐलिस लेनदेन भेजता है। 5. बॉब अपनी निजी कुंजी (ए, बी) के साथ प्रत्येक गुजरने वाले लेनदेन की जांच करता है, और पी ′ = की गणना करता है एचएस(एआर)जी + बी. यदि प्राप्तकर्ता के रूप में बॉब के साथ ऐलिस का लेनदेन उनमें से एक था, तब aR = arG = rA और P' = P. 7 13 मुझे आश्चर्य है कि क्रिप्टोग्राफी के विकल्प को लागू करने में गर्दन में कितना दर्द होगा योजना. अण्डाकार या अन्यथा. इसलिए यदि भविष्य में कोई योजना टूट जाती है, तो मुद्रा बदल जाती है बिना किसी चिंता के. शायद गांड में बहुत दर्द हो रहा है. ठीक है, यह बिल्कुल वही है जो मैंने अपनी पिछली टिप्पणी में समझाया था। डिफ-हेलमैन-प्रकार आदान-प्रदान साफ-सुथरे हैं। मान लें कि एलेक्स और ब्रेंडा प्रत्येक के पास एक गुप्त संख्या, ए और बी और एक संख्या है उन्हें गुप्त रखने की परवाह नहीं है, ए और बी। वे बिना साझा रहस्य उत्पन्न करना चाहते हैं ईवा इसे खोज रही है। डिफी और हेलमैन एलेक्स और ब्रेंडा के लिए साझा करने का एक तरीका लेकर आए सार्वजनिक संख्या ए और बी, लेकिन निजी संख्या ए और बी नहीं, और एक साझा रहस्य उत्पन्न करते हैं, के. इस साझा रहस्य का उपयोग करते हुए, के, बिना किसी ईवा की बात सुने, इसे उत्पन्न करने में सक्षम है K, एलेक्स और ब्रेंडा अब K को एक गुप्त एन्क्रिप्शन कुंजी के रूप में उपयोग कर सकते हैं और गुप्त संदेश वापस भेज सकते हैं और आगे. यहां बताया गया है कि यह कैसे कैन काम करता है, हालांकि इसे 100 से कहीं अधिक बड़ी संख्याओं के साथ काम करना चाहिए। हम 100 का उपयोग करेंगे क्योंकि पूर्णांक मॉड्यूल 100 पर काम करना "सभी को बाहर फेंकने" के बराबर है लेकिन किसी संख्या के अंतिम दो अंक।" एलेक्स और ब्रेंडा प्रत्येक ए, ए, बी और बी चुनते हैं। वे A और B को गुप्त रखते हैं। एलेक्स ने ब्रेंडा को उसके मॉड्यूल 100 (सिर्फ अंतिम दो अंक) का मूल्य बताया और ब्रेंडा ने एलेक्स को बताया उसका बी मॉड्यूलो 100 का मान है। अब ईवा (ए,बी) मॉड्यूलो 100 जानती है। लेकिन एलेक्स जानता है (ए,बी,ए) इसलिए वह x=abA मॉड्यूल 100 की गणना कर सकते हैं।एलेक्स अंतिम अंक को छोड़कर सभी को काट देता है क्योंकि हम काम कर रहे हैं पूर्णांक मॉड्यूलो 100 के अंतर्गत फिर से। इसी तरह, ब्रेंडा (ए,बी,बी) जानती है इसलिए वह गणना कर सकती है y=abB मॉड्यूल 100। एलेक्स अब x प्रकाशित कर सकता है और ब्रेंडा y प्रकाशित कर सकता है। लेकिन अब एलेक्स yA = abBA मॉड्यूलो 100 की गणना कर सकता है, और ब्रेंडा xB की गणना कर सकता है = एबीबीए मोडुलो 100. वे दोनों एक ही नंबर जानते हैं! लेकिन ईवा ने बस इतना ही सुना है (ए,बी,एबीए,एबीबी)। उसके पास abA*B की गणना करने का कोई आसान तरीका नहीं है। अब, यह डाइ-हेलमैन एक्सचेंज के बारे में सोचने का सबसे आसान और कम सुरक्षित तरीका है। अधिक सुरक्षित संस्करण मौजूद हैं. लेकिन अधिकांश संस्करण पूर्णांक गुणनखंडन और असतत के कारण काम करते हैं लघुगणक कठिन हैं, और उन दोनों समस्याओं को क्वांटम कंप्यूटर द्वारा आसानी से हल किया जाता है। मैं देखूंगा कि क्या कोई ऐसा संस्करण मौजूद है जो क्वांटम के प्रति प्रतिरोधी है। http://en.wikipedia.org/wiki/Diﬃe%E2%80%93Hellman_key_exchange यहां सूचीबद्ध "मानक टीएक्सएन अनुक्रम" में हस्ताक्षर जैसे चरणों का एक पूरा समूह गायब है। उन्हें यहां बस मान लिया गया है। जो वास्तव में बुरा है, क्योंकि जिस क्रम में हम हस्ताक्षर सामग्री, हस्ताक्षरित संदेश में शामिल जानकारी, इत्यादि... यह सब अत्यंत है प्रोटोकॉल के लिए महत्वपूर्ण. "द" को क्रियान्वित करते समय एक या दो कदम गलत हो जाना, यहाँ तक कि थोड़ा सा भी क्रम से बाहर हो जाना मानक लेनदेन अनुक्रम" पूरे सिस्टम की सुरक्षा को प्रश्न में डाल सकता है। इसके अलावा, बाद में पेपर में प्रस्तुत किए गए सबूत पर्याप्त रूप से कठोर नहीं हो सकते हैं यदि जिस ढाँचे के तहत वे काम करते हैं उसे इस खंड की तरह ही शिथिल रूप से परिभाषित किया गया है।

सार्वजनिक निजी ऐलिस कैरल एक बार की कुंजी एक बार की कुंजी एक बार की कुंजी बॉब बॉब की कुंजी बॉब का पता चित्र 3. क्रिप्टोनोट कुंजी/लेनदेन मॉडल। सबसे पहले, प्रेषक अपने डेटा से एक साझा रहस्य प्राप्त करने के लिए डिफ-हेलमैन एक्सचेंज करता है प्राप्तकर्ता का आधा पता। फिर वह साझा का उपयोग करके एक बार की गंतव्य कुंजी की गणना करता है रहस्य और संबोधन का दूसरा भाग. प्राप्तकर्ता से दो अलग-अलग ईसी-कुंजियाँ आवश्यक हैं इन दो चरणों के लिए, इसलिए एक मानक क्रिप्टोनोट पता Bitcoin वॉलेट से लगभग दोगुना बड़ा है पता. रिसीवर संबंधित को पुनर्प्राप्त करने के लिए डाइ-हेलमैन एक्सचेंज भी करता है गुप्त कुंजी. एक मानक लेनदेन अनुक्रम इस प्रकार है: 1. ऐलिस बॉब को भुगतान भेजना चाहती है, जिसने उसका मानक पता प्रकाशित किया है। वह पते को अनपैक करता है और बॉब की सार्वजनिक कुंजी (ए, बी) प्राप्त करता है। 2. ऐलिस एक यादृच्छिक $r \in [1, l - 1]$ उत्पन्न करता है और एक बार की सार्वजनिक कुंजी $P = H_s(rA)G +$ की गणना करता है बी. 3. ऐलिस आउटपुट के लिए गंतव्य कुंजी के रूप में P का उपयोग करता है और मान R = rG (एक भाग के रूप में) भी पैक करता है डाइ-हेलमैन एक्सचेंज का) कहीं लेन-देन में। ध्यान दें कि वह सृजन कर सकती है अद्वितीय सार्वजनिक कुंजियों के साथ अन्य आउटपुट: विभिन्न प्राप्तकर्ताओं की कुंजियाँ (Ai, Bi) अलग-अलग Pi दर्शाती हैं यहां तक कि एक ही आर के साथ भी. लेन-देन टीएक्स सार्वजनिक कुंजी टीएक्स आउटपुट रकम गंतव्य कुंजी आर = आरजी पी = एचएस(आरए)जी + बी प्राप्तकर्ता का सार्वजनिक कुंजी प्रेषक का यादृच्छिक डेटा आर (ए, बी) चित्र 4. मानक लेनदेन संरचना। 4. ऐलिस लेनदेन भेजता है। 5. बॉब अपनी निजी कुंजी (ए, बी) के साथ प्रत्येक गुजरने वाले लेनदेन की जांच करता है, और पी ′ = की गणना करता है एचएस(एआर)जी + बी. यदि प्राप्तकर्ता के रूप में बॉब के साथ ऐलिस का लेनदेन उनमें से एक था, तब aR = arG = rA और P' = P. 7 सार्वजनिक निजी ऐलिस कैरल एक बार की कुंजी एक बार की कुंजी एक बार की कुंजी बॉब बॉब की कुंजी बॉब का पता चित्र 3. क्रिप्टोनोट कुंजी/लेनदेन मॉडल। सबसे पहले, प्रेषक अपने डेटा से एक साझा रहस्य प्राप्त करने के लिए डिफ-हेलमैन एक्सचेंज करता है प्राप्तकर्ता का आधा पता। फिर वह साझा का उपयोग करके एक बार की गंतव्य कुंजी की गणना करता है रहस्य और संबोधन का दूसरा भाग. प्राप्तकर्ता से दो अलग-अलग ईसी-कुंजियाँ आवश्यक हैं इन दो चरणों के लिए, इसलिए एक मानक क्रिप्टोनोट पता Bitcoin वॉलेट से लगभग दोगुना बड़ा है पता. रिसीवर संबंधित को पुनर्प्राप्त करने के लिए डाइ-हेलमैन एक्सचेंज भी करता है गुप्त कुंजी. एक मानक लेनदेन अनुक्रम इस प्रकार है: 1. ऐलिस बॉब को भुगतान भेजना चाहती है, जिसने उसका मानक पता प्रकाशित किया है। वह पते को अनपैक करता है और बॉब की सार्वजनिक कुंजी (ए, बी) प्राप्त करता है। 2. ऐलिस एक यादृच्छिक $r \in [1, l - 1]$ उत्पन्न करता है और एक बार की सार्वजनिक कुंजी $P = H_s(rA)G +$ की गणना करता है बी. 3. ऐलिस आउटपुट के लिए गंतव्य कुंजी के रूप में P का उपयोग करता है और मान R = rG (एक भाग के रूप में) भी पैक करता है डाइ-हेलमैन एक्सचेंज का) कहीं लेन-देन में। ध्यान दें कि वह सृजन कर सकती है अद्वितीय सार्वजनिक कुंजियों के साथ अन्य आउटपुट: विभिन्न प्राप्तकर्ताओं की कुंजियाँ (Ai, Bi) अलग-अलग Pi दर्शाती हैं यहां तक कि एक ही आर के साथ भी. लेन-देन टीएक्स सार्वजनिक कुंजी टीएक्स आउटपुट रकम गंतव्य कुंजी आर = आरजी पी = एचएस(आरए)जी + बी प्राप्तकर्ता का सार्वजनिक कुंजी प्रेषक का यादृच्छिक डेटा आर (ए, बी) चित्र 4. मानक लेनदेन संरचना। 4. ऐलिस लेनदेन भेजता है। 5. बॉब अपनी निजी कुंजी (ए, बी) के साथ प्रत्येक गुजरने वाले लेनदेन की जांच करता है, और पी ′ = की गणना करता है एचएस(एआर)जी + बी. यदि प्राप्तकर्ता के रूप में बॉब के साथ ऐलिस का लेनदेन उनमें से एक था, तब aR = arG = rA और P' = P. 7 14 ध्यान दें कि लेखक अपनी शब्दावली को बिल्कुल सीधा रखने का बहुत ही खराब काम करते हैं पाठ, लेकिन विशेष रूप से इस अगले भाग में। इस पेपर का अगला अवतार अवश्य होगा बहुत अधिक कठोर. पाठ में वे पी को अपनी एक बार की सार्वजनिक कुंजी के रूप में संदर्भित करते हैं। आरेख में, वे R को संदर्भित करते हैं उनकी "टीएक्स सार्वजनिक कुंजी" और पी उनकी "गंतव्य कुंजी" है। यदि मैं इसे दोबारा लिखने जा रहा होता, तो मैं लिखता इन अनुभागों पर चर्चा करने से पहले विशेष रूप से कुछ शब्दावली प्रस्तुत करें। यह ईल विशाल है. पृष्ठ 5 देखें. ईल को कौन चुनता है? आरेख दर्शाता है कि लेनदेन सार्वजनिक कुंजी R = rG है, जो यादृच्छिक और चुनी गई है प्रेषक द्वारा, टीएक्स आउटपुट का हिस्सा नहीं है। ऐसा इसलिए है क्योंकि यह एकाधिक के लिए समान हो सकता है कई लोगों के लिए लेनदेन, और बाद में खर्च करने के लिए उपयोग नहीं किया जाता है। एक ताज़ा R उत्पन्न होता है हर बार जब आप एक नया क्रिप्टोनोट लेनदेन प्रसारित करना चाहते हैं। इसके अलावा, R का उपयोग केवल किया जाता है यह जांचने के लिए कि क्या आप लेनदेन के प्राप्तकर्ता हैं। यह जंक डेटा नहीं है, लेकिन यह किसी के लिए भी जंक है (ए,बी) से जुड़ी निजी कुंजी के बिना। दूसरी ओर, गंतव्य कुंजी, P = Hs(rA)G + B, Tx आउटपुट का हिस्सा है। हर कोई प्रत्येक गुजरने वाले लेन-देन के डेटा के माध्यम से अपने स्वयं के जेनरेट किए गए पी * की जांच करनी चाहिए यह P यह देखने के लिए कि क्या वे इस पासिंग लेनदेन के स्वामी हैं। कोई भी व्यक्ति जिसके पास खर्च न किया गया लेन-देन आउटपुट है (UTXO) के पास इन Ps का एक समूह मात्रा के साथ पड़ा होगा। खर्च करने के लिएघ, वे पी सहित कुछ नए संदेश पर हस्ताक्षर करें। ऐलिस को इस लेन-देन पर अव्ययित लेन-देन आउटपुट, गंतव्य कुंजी (कुंजियों) से जुड़ी एक बार की निजी कुंजी (कुंजियों) के साथ हस्ताक्षर करना होगा। ऐलिस के स्वामित्व वाली प्रत्येक गंतव्य कुंजी सुसज्जित है एक बार की निजी कुंजी भी (संभवतः) ऐलिस के स्वामित्व में है। हर बार ऐलिस चाहती है गंतव्य कुंजी की सामग्री मुझे, या बॉब, या ब्रेंडा, या चार्ली या चार्लीन, को भेजें लेन-देन पर हस्ताक्षर करने के लिए अपनी निजी कुंजी का उपयोग करती है। लेन-देन प्राप्त होने पर, मुझे एक नया प्राप्त होगा टीएक्स सार्वजनिक कुंजी, एक नई गंतव्य सार्वजनिक कुंजी, और मैं एक नई वन-टाइम निजी कुंजी एक्स पुनर्प्राप्त करने में सक्षम होऊंगा। मेरी एक बार की निजी कुंजी, x को नए लेनदेन के सार्वजनिक गंतव्य के साथ संयोजित करना कुंजी यह है कि हम एक नया लेनदेन कैसे भेजते हैं

बॉब संबंधित एक बार की निजी कुंजी को पुनर्प्राप्त कर सकता है: x = Hs(aR) + b, इसलिए P = xG। वह किसी भी समय x के साथ लेनदेन पर हस्ताक्षर करके इस आउटपुट को खर्च कर सकता है। लेन-देन टीएक्स सार्वजनिक कुंजी टीएक्स आउटपुट रकम गंतव्य कुंजी पी ' = एचएस(एआर)जी + बीजी एकमुश्त सार्वजनिक कुंजी एक्स = एचएस(एआर) + बी एक बार की निजी कुंजी प्राप्तकर्ता का निजी कुंजी (ए, बी) आर पी'' ?= पी चित्र 5. आने वाले लेनदेन की जाँच। परिणामस्वरूप बॉब को आने वाले भुगतान मिलते हैं, जो एकमुश्त सार्वजनिक कुंजियों से जुड़े होते हैं एक दर्शक के लिए अनलिंक करने योग्य. कुछ अतिरिक्त नोट्स: • जब बॉब अपने लेनदेन को "पहचानता है" (चरण 5 देखें) तो वह व्यावहारिक रूप से अपने लेनदेन का केवल आधा उपयोग करता है निजी जानकारी: (ए, बी)। यह जोड़ी, जिसे ट्रैकिंग कुंजी के रूप में भी जाना जाता है, पारित किया जा सकता है किसी तीसरे पक्ष को (कैरोल)। बॉब उसे नए लेनदेन की प्रोसेसिंग सौंप सकता है। बॉब उसे कैरल पर स्पष्ट रूप से भरोसा करने की आवश्यकता नहीं है, क्योंकि वह एक बार की गुप्त कुंजी पी को पुनर्प्राप्त नहीं कर सकती है बॉब की पूर्ण निजी कुंजी (ए, बी) के बिना। बॉब के पास बैंडविड्थ की कमी होने पर यह दृष्टिकोण उपयोगी है या गणना शक्ति (स्मार्टफोन, हार्डवेयर वॉलेट आदि)। • यदि ऐलिस यह साबित करना चाहती है कि उसने बॉब के पते पर लेनदेन भेजा है तो वह इसका खुलासा कर सकती है यह साबित करने के लिए कि वह आर को जानती है या किसी भी प्रकार के शून्य-ज्ञान प्रोटोकॉल का उपयोग करती है (उदाहरण के लिए हस्ताक्षर करके)। आर के साथ लेनदेन)। • यदि बॉब एक ऑडिट संगत पता चाहता है जहां सभी आने वाले लेनदेन हों लिंक करने योग्य, वह या तो अपनी ट्रैकिंग कुंजी प्रकाशित कर सकता है या काटे गए पते का उपयोग कर सकता है। वह पता केवल एक सार्वजनिक ईसी-कुंजी बी का प्रतिनिधित्व करता है, और प्रोटोकॉल द्वारा आवश्यक शेष भाग है इसे इस प्रकार व्युत्पन्न किया गया है: a = Hs(B) और A = Hs(B)G। दोनों ही मामलों में हर व्यक्ति है बॉब के आने वाले सभी लेनदेन को "पहचानने" में सक्षम है, लेकिन, निश्चित रूप से, कोई भी खर्च नहीं कर सकता है गुप्त कुंजी के बिना उनके भीतर संलग्न धन बी। 4.4 एक बार की अंगूठी पर हस्ताक्षर एक बार के रिंग हस्ताक्षरों पर आधारित एक प्रोटोकॉल उपयोगकर्ताओं को बिना शर्त अनलिंकेबिलिटी प्राप्त करने की अनुमति देता है। दुर्भाग्य से, सामान्य प्रकार के क्रिप्टोग्राफ़िक हस्ताक्षर उनके लेन-देन का पता लगाने की अनुमति देते हैं संबंधित प्रेषक और प्राप्तकर्ता। इस कमी का हमारा समाधान एक अलग हस्ताक्षर का उपयोग करने में निहित है वर्तमान में इलेक्ट्रॉनिक कैश सिस्टम में उपयोग किए जाने वाले प्रकारों की तुलना में। हम पहले बिना किसी स्पष्ट संदर्भ के अपने एल्गोरिदम का एक सामान्य विवरण प्रदान करेंगे इलेक्ट्रॉनिक नकदी. एक बार के रिंग सिग्नेचर में चार एल्गोरिदम होते हैं: (GEN, SIG, VER, LNK): GEN: सार्वजनिक पैरामीटर लेता है और एक ec-जोड़ी (P, x) और एक सार्वजनिक कुंजी I आउटपुट करता है। SIG: एक संदेश m, सार्वजनिक कुंजियों का एक सेट $S'$ लेता है {Pi}i̸=s, एक जोड़ी (Ps, xs) और एक हस्ताक्षर आउटपुट करता है $\sigma$ और एक समुच्चय $S = $S'$ \cup \{P_s\}$. 8
बॉब संबंधित एक बार की निजी कुंजी को पुनर्प्राप्त कर सकता है: x = Hs(aR) + b, इसलिए P = xG। वह किसी भी समय x के साथ लेनदेन पर हस्ताक्षर करके इस आउटपुट को खर्च कर सकता है। लेन-देन टीएक्स सार्वजनिक कुंजी टीएक्स आउटपुट रकम गंतव्य कुंजी पी ' = एचएस(एआर)जी + बीजी एकमुश्त सार्वजनिक कुंजी एक्स = एचएस(एआर) + बी एक बार की निजी कुंजी प्राप्तकर्ता का निजी कुंजी (ए, बी) आर पी'' ?= पी चित्र 5. आने वाले लेनदेन की जाँच। परिणामस्वरूप बॉब को आने वाले भुगतान मिलते हैं, जो एकमुश्त सार्वजनिक कुंजियों से जुड़े होते हैं एक दर्शक के लिए अनलिंक करने योग्य. कुछ अतिरिक्त नोट्स: • जब बॉब अपने लेनदेन को "पहचानता है" (चरण 5 देखें) तो वह व्यावहारिक रूप से अपने लेनदेन का केवल आधा उपयोग करता है निजी जानकारी: (ए, बी)। यह जोड़ी, जिसे ट्रैकिंग कुंजी के रूप में भी जाना जाता है, पारित किया जा सकता है किसी तीसरे पक्ष को (कैरोल)। बॉब उसे नए लेनदेन की प्रोसेसिंग सौंप सकता है। बॉब उसे कैरल पर स्पष्ट रूप से भरोसा करने की आवश्यकता नहीं है, क्योंकि वह एक बार की गुप्त कुंजी पी को पुनर्प्राप्त नहीं कर सकती है बॉब की पूर्ण निजी कुंजी (ए, बी) के बिना। बॉब के पास बैंडविड्थ की कमी होने पर यह दृष्टिकोण उपयोगी है या गणना शक्ति (स्मार्टफोन, हार्डवेयर वॉलेट आदि)। • यदि ऐलिस यह साबित करना चाहती है कि उसने बॉब के पते पर लेनदेन भेजा है तो वह इसका खुलासा कर सकती है यह साबित करने के लिए कि वह आर को जानती है या किसी भी प्रकार के शून्य-ज्ञान प्रोटोकॉल का उपयोग करती है (उदाहरण के लिए हस्ताक्षर करके)। आर के साथ लेनदेन)। • यदि बॉब एक ऑडिट संगत पता चाहता है जहां सभी आने वाले लेनदेन हों लिंक करने योग्य, वह या तो अपनी ट्रैकिंग कुंजी प्रकाशित कर सकता है या काटे गए पते का उपयोग कर सकता है। वह पता केवल एक सार्वजनिक ईसी-कुंजी बी का प्रतिनिधित्व करता है, और प्रोटोकॉल द्वारा आवश्यक शेष भाग है इसे इस प्रकार व्युत्पन्न किया गया है: a = Hs(B) और A = Hs(B)G। दोनों ही मामलों में हर व्यक्ति है बॉब के आने वाले सभी लेनदेन को "पहचानने" में सक्षम है, लेकिन, निश्चित रूप से, कोई भी खर्च नहीं कर सकता है गुप्त कुंजी के बिना उनके भीतर संलग्न धन बी। 4.4 एक बार की अंगूठी पर हस्ताक्षर एक बार के रिंग हस्ताक्षरों पर आधारित एक प्रोटोकॉल उपयोगकर्ताओं को बिना शर्त अनलिंकेबिलिटी प्राप्त करने की अनुमति देता है। दुर्भाग्य से, सामान्य प्रकार के क्रिप्टोग्राफ़िक हस्ताक्षर उनके लेन-देन का पता लगाने की अनुमति देते हैं संबंधित प्रेषक और प्राप्तकर्ता। इस कमी का हमारा समाधान एक अलग हस्ताक्षर का उपयोग करने में निहित है वर्तमान में इलेक्ट्रॉनिक कैश सिस्टम में उपयोग किए जाने वाले प्रकारों की तुलना में। हम सबसे पहले एक जेनर प्रदान करेंगेबिना किसी स्पष्ट संदर्भ के हमारे एल्गोरिदम का संपूर्ण विवरण इलेक्ट्रॉनिक नकदी. एक बार के रिंग सिग्नेचर में चार एल्गोरिदम होते हैं: (GEN, SIG, VER, LNK): GEN: सार्वजनिक पैरामीटर लेता है और एक ec-जोड़ी (P, x) और एक सार्वजनिक कुंजी I आउटपुट करता है। SIG: एक संदेश m, सार्वजनिक कुंजियों का एक सेट $S'$ लेता है {Pi}i̸=s, एक जोड़ी (Ps, xs) और एक हस्ताक्षर आउटपुट करता है $\sigma$ और एक समुच्चय $S = $S'$ \cup \{P_s\}$. 8 15 यहाँ एक अव्ययित लेनदेन आउटपुट कैसा दिखता है? आरेख से पता चलता है कि लेनदेन आउटपुट में केवल दो डेटा बिंदु होते हैं: राशि और गंतव्य कुंजी। लेकिन ऐसा नहीं है पर्याप्त है क्योंकि जब मैं इस "आउटपुट" को खर्च करने का प्रयास करूंगा तब भी मुझे R=rG जानने की आवश्यकता होगी। याद रखें, r को प्रेषक द्वारा चुना जाता है, और R का उपयोग आने वाले क्रिप्टोनोट्स को आपके रूप में पहचानने के लिए किया जाता है स्वयं और बी) आपके क्रिप्टोनोट पर "दावा" करने के लिए उपयोग की जाने वाली एक बार की निजी कुंजी उत्पन्न करने के लिए उपयोग किया जाता है। इसके बारे में वह भाग जो मुझे समझ में नहीं आता? सैद्धांतिक रूप से "ठीक है, हमारे पास ये हैं हस्ताक्षर और लेनदेन, और हम उन्हें प्रोग्रामिंग की दुनिया में आगे और पीछे भेजते हैं "ठीक है कौन सी जानकारी विशेष रूप से एक व्यक्ति UTXO बनाती है?" उस प्रश्न का उत्तर देने का सबसे अच्छा तरीका पूरी तरह से टिप्पणी न किए गए कोड के मुख्य भाग को खोदना है। जाने का रास्ता, बाइटकॉइन टीम। याद करें: लिंकेबिलिटी का अर्थ है "क्या उसी व्यक्ति ने भेजा था?" और अनलिंकेबिलिटी का अर्थ है "ऐसा ही किया व्यक्ति प्राप्त करता है?" तो एक सिस्टम लिंक करने योग्य या गैर-लिंक करने योग्य, अनलिंक करने योग्य या गैर-अनलिंक करने योग्य हो सकता है। कष्टप्रद, मुझे पता है. तो जब यहां निक वैन सेबरहेगन कहते हैं, "...आने वाले भुगतान एकमुश्त से जुड़े हुए हैं सार्वजनिक कुंजियाँ जो दर्शकों के लिए अनलिंक करने योग्य हैं," आइए देखें उनका क्या मतलब है। सबसे पहले, ऐसी स्थिति पर विचार करें जिसमें ऐलिस बॉब को दो अलग-अलग लेनदेन भेजती है एक ही पते पर पता. Bitcoin ब्रह्मांड में, ऐलिस पहले ही गलती कर चुकी है एक ही पते से भेजने से लेनदेन सीमित होने की हमारी इच्छा विफल हो गई है लिंकेबिलिटी। इसके अलावा, चूंकि उसने पैसे उसी पते पर भेजे थे, इसलिए उसने हमारी इच्छा विफल कर दी असंबद्धता के लिए. यह बिटकॉइन लेनदेन (पूरी तरह से) लिंक करने योग्य और गैर-अनलिंक करने योग्य दोनों था। दूसरी ओर, क्रिप्टोनोट ब्रह्मांड में, मान लें कि ऐलिस बॉब को कुछ क्रिप्टोनोट भेजता है, बॉब के सार्वजनिक पते का उपयोग करना। वह सार्वजनिक रूप से ज्ञात सभी कुंजियों को अपने अस्पष्ट सेट के रूप में चुनती है वाशिंगटन डीसी मेट्रो क्षेत्र में चाबियाँ। एलेक्स अपनी स्वयं की कुंजी का उपयोग करके एक बार की सार्वजनिक कुंजी उत्पन्न करता है जानकारी और बॉब की सार्वजनिक जानकारी। वह पैसे भेजती है, और कोई भी पर्यवेक्षक भेजेगा केवल एकत्र करने में सक्षम हो "वाशिंगटन डीसी मेट्रो क्षेत्र से किसी ने 2.3 क्रिप्टोनोट्स भेजे एक बार का सार्वजनिक पता XYZ123।" यहां लिंकेबिलिटी पर हमारा संभाव्य नियंत्रण है, इसलिए हम इसे "लगभग गैर-लिंक करने योग्य" कहेंगे। हम यह भी देखते हैं कि केवल एक बार की सार्वजनिक कुंजी का पैसा भेजा जाता है। भले ही हमें रिसीवर पर संदेह हो बॉब था, हमारे पास उसकी निजी चाबियाँ नहीं हैं और इसलिए हम परीक्षण नहीं कर सकते कि पासिंग लेनदेन है या नहीं बॉब का है, अपने क्रिप्टोनोट को भुनाने के लिए उसकी एक बार की निजी कुंजी बनाना तो दूर की बात है। तो ये वास्तव में, पूरी तरह से "अनलिंक करने योग्य" है। तो, यह सभी में से सबसे अच्छी ट्रिक है। कौन वास्तव में दूसरे माउंटगॉक्स पर भरोसा करना चाहता है? हम हो सकते हैं कॉइनबेस पर बीटीसी की कुछ मात्रा को संग्रहीत करना आरामदायक है, लेकिन बिटकॉइन सुरक्षा में अंतिम है एक भौतिक बटुआ. जो असुविधाजनक है. इस मामले में, आप बिना कोई समझौता किए अपनी निजी कुंजी का आधा हिस्सा अविश्वसनीय रूप से दे सकते हैं पैसा खर्च करने की अपनी क्षमता. ऐसा करते समय, आप बस किसी को यह बता रहे हैं कि अनलिंकेबिलिटी को कैसे तोड़ा जाए। दूसरा मुद्रा की तरह काम करने वाली सीएन की संपत्तियों को दोहरे खर्च के खिलाफ सबूत की तरह संरक्षित किया जाता है क्या नहीं.
बॉब संबंधित एक बार की निजी कुंजी को पुनर्प्राप्त कर सकता है: x = Hs(aR) + b, इसलिए P = xG। वह किसी भी समय x के साथ लेनदेन पर हस्ताक्षर करके इस आउटपुट को खर्च कर सकता है। लेन-देन टीएक्स सार्वजनिक कुंजी टीएक्स आउटपुट रकम गंतव्य कुंजी पी ' = एचएस(एआर)जी + बीजी एकमुश्त सार्वजनिक कुंजी एक्स = एचएस(एआर) + बी एक बार की निजी कुंजी प्राप्तकर्ता का निजी कुंजी (ए, बी) आर पी'' ?= पी चित्र 5. आने वाले लेनदेन की जाँच। परिणामस्वरूप बॉब को आने वाले भुगतान मिलते हैं, जो एकमुश्त सार्वजनिक कुंजियों से जुड़े होते हैं एक दर्शक के लिए अनलिंक करने योग्य. कुछ अतिरिक्त नोट्स: • जब बॉब अपने लेनदेन को "पहचानता है" (चरण 5 देखें) तो वह व्यावहारिक रूप से अपने लेनदेन का केवल आधा उपयोग करता है निजी जानकारी: (ए, बी)। यह जोड़ी, जिसे ट्रैकिंग कुंजी के रूप में भी जाना जाता है, पारित किया जा सकता है किसी तीसरे पक्ष को (कैरोल)। बॉब उसे नए लेनदेन की प्रोसेसिंग सौंप सकता है। बॉब उसे कैरल पर स्पष्ट रूप से भरोसा करने की आवश्यकता नहीं है, क्योंकि वह एक बार की गुप्त कुंजी पी को पुनर्प्राप्त नहीं कर सकती है बॉब की पूर्ण निजी कुंजी (ए, बी) के बिना। बॉब के पास बैंडविड्थ की कमी होने पर यह दृष्टिकोण उपयोगी है या गणना शक्ति (स्मार्टफोन, हार्डवेयर वॉलेट आदि)। • यदि ऐलिस यह साबित करना चाहती है कि उसने बॉब के पते पर लेनदेन भेजा है तो वह इसका खुलासा कर सकती है यह साबित करने के लिए कि वह आर को जानती है या किसी भी प्रकार के शून्य-ज्ञान प्रोटोकॉल का उपयोग करती है (उदाहरण के लिए हस्ताक्षर करके)। आर के साथ लेनदेन)। • यदि बॉब एक ऑडिट संगत पता चाहता है जहां सभी आने वाले लेनदेन हों लिंक करने योग्य, वह या तो अपनी ट्रैकिंग कुंजी प्रकाशित कर सकता है या काटे गए पते का उपयोग कर सकता है। वह पता केवल एक सार्वजनिक ईसी-कुंजी बी का प्रतिनिधित्व करता है, और प्रोटोकॉल द्वारा आवश्यक शेष भाग है इसे इस प्रकार व्युत्पन्न किया गया है: a = Hs(B) और A = Hs(B)G। दोनों ही मामलों में हर व्यक्ति है बॉब के आने वाले सभी लेनदेन को "पहचानने" में सक्षम है, लेकिन, निश्चित रूप से, कोई भी खर्च नहीं कर सकता है गुप्त कुंजी के बिना उनके भीतर संलग्न धन बी। 4.4 एक बार की अंगूठी पर हस्ताक्षर एक बार के रिंग हस्ताक्षरों पर आधारित एक प्रोटोकॉल उपयोगकर्ताओं को बिना शर्त अनलिंकेबिलिटी प्राप्त करने की अनुमति देता है। दुर्भाग्य से, सामान्य प्रकार के क्रिप्टोग्राफ़िक हस्ताक्षर उनके लेन-देन का पता लगाने की अनुमति देते हैं संबंधित प्रेषक और प्राप्तकर्ता। इस कमी का हमारा समाधान एक अलग हस्ताक्षर का उपयोग करने में निहित है वर्तमान में इलेक्ट्रॉनिक कैश सिस्टम में उपयोग किए जाने वाले प्रकारों की तुलना में। हम पहले बिना किसी स्पष्ट संदर्भ के अपने एल्गोरिदम का एक सामान्य विवरण प्रदान करेंगे इलेक्ट्रॉनिक नकदी. एक बार के रिंग सिग्नेचर में चार एल्गोरिदम होते हैं: (GEN, SIG, VER, LNK): GEN: सार्वजनिक पैरामीटर लेता है और एक ec-जोड़ी (P, x) और एक सार्वजनिक कुंजी I आउटपुट करता है। SIG: एक संदेश m, सार्वजनिक कुंजियों का एक सेट $S'$ लेता है {Pi}i̸=s, एक जोड़ी (Ps, xs) और एक हस्ताक्षर आउटपुट करता है $\sigma$ और एक समुच्चय $S = $S'$ \cup \{P_s\}$. 8
बॉब संबंधित एक बार की निजी कुंजी को पुनर्प्राप्त कर सकता है: x = Hs(aR) + b, इसलिए P = xG। वह किसी भी समय x के साथ लेनदेन पर हस्ताक्षर करके इस आउटपुट को खर्च कर सकता है। लेन-देन टीएक्स सार्वजनिक कुंजी टीएक्स आउटपुट रकम गंतव्य कुंजी पी ' = एचएस(एआर)जी + बीजी एकमुश्त सार्वजनिक कुंजी एक्स = एचएस(एआर) + बी एक बार की निजी कुंजी प्राप्तकर्ता का निजी कुंजी (ए, बी) आर पी'' ?= पी चित्र 5. आने वाले लेनदेन की जाँच। परिणामस्वरूप बॉब को आने वाले भुगतान मिलते हैं, जो एकमुश्त सार्वजनिक कुंजियों से जुड़े होते हैं एक दर्शक के लिए अनलिंक करने योग्य. कुछ अतिरिक्त नोट्स: • जब बॉब अपने लेनदेन को "पहचानता है" (चरण 5 देखें) तो वह व्यावहारिक रूप से अपने लेनदेन का केवल आधा उपयोग करता है निजी जानकारी: (ए, बी)। यह जोड़ी, जिसे ट्रैकिंग कुंजी के रूप में भी जाना जाता है, पारित किया जा सकता है किसी तीसरे पक्ष को (कैरोल)। बॉब उसे नए लेनदेन की प्रोसेसिंग सौंप सकता है। बॉब उसे कैरल पर स्पष्ट रूप से भरोसा करने की आवश्यकता नहीं है, क्योंकि वह एक बार की गुप्त कुंजी पी को पुनर्प्राप्त नहीं कर सकती है बॉब की पूर्ण निजी कुंजी (ए, बी) के बिना। बॉब के पास बैंडविड्थ की कमी होने पर यह दृष्टिकोण उपयोगी है या गणना शक्ति (स्मार्टफोन, हार्डवेयर वॉलेट आदि)। • यदि ऐलिस यह साबित करना चाहती है कि उसने बॉब के पते पर लेनदेन भेजा है तो वह इसका खुलासा कर सकती है यह साबित करने के लिए कि वह आर को जानती है या किसी भी प्रकार के शून्य-ज्ञान प्रोटोकॉल का उपयोग करती है (उदाहरण के लिए हस्ताक्षर करके)। आर के साथ लेनदेन)। • यदि बॉब एक ऑडिट संगत पता चाहता है जहां सभी आने वाले लेनदेन हों लिंक करने योग्य, वह या तो अपनी ट्रैकिंग कुंजी प्रकाशित कर सकता है या काटे गए पते का उपयोग कर सकता है। वह पता केवल एक सार्वजनिक ईसी-कुंजी बी का प्रतिनिधित्व करता है, और प्रोटोकॉल द्वारा आवश्यक शेष भाग है इसे इस प्रकार व्युत्पन्न किया गया है: a = Hs(B) और A = Hs(B)G। दोनों ही मामलों में हर व्यक्ति है बॉब के आने वाले सभी लेनदेन को "पहचानने" में सक्षम है, लेकिन, निश्चित रूप से, कोई भी खर्च नहीं कर सकता है गुप्त कुंजी के बिना उनके भीतर संलग्न धन बी। 4.4 एक बार की अंगूठी पर हस्ताक्षर एक बार के रिंग हस्ताक्षरों पर आधारित एक प्रोटोकॉल उपयोगकर्ताओं को बिना शर्त अनलिंकेबिलिटी प्राप्त करने की अनुमति देता है। दुर्भाग्य से, सामान्य प्रकार के क्रिप्टोग्राफ़िक हस्ताक्षर उनके लेन-देन का पता लगाने की अनुमति देते हैं संबंधित प्रेषक और प्राप्तकर्ता। इस कमी का हमारा समाधान एक अलग हस्ताक्षर का उपयोग करने में निहित है वर्तमान में इलेक्ट्रॉनिक कैश सिस्टम में उपयोग किए जाने वाले प्रकारों की तुलना में। हम सबसे पहले एक जेनर प्रदान करेंगेबिना किसी स्पष्ट संदर्भ के हमारे एल्गोरिदम का संपूर्ण विवरण इलेक्ट्रॉनिक नकदी. एक बार के रिंग सिग्नेचर में चार एल्गोरिदम होते हैं: (GEN, SIG, VER, LNK): GEN: सार्वजनिक पैरामीटर लेता है और एक ec-जोड़ी (P, x) और एक सार्वजनिक कुंजी I आउटपुट करता है। SIG: एक संदेश m, सार्वजनिक कुंजियों का एक सेट $S'$ लेता है {Pi}i̸=s, एक जोड़ी (Ps, xs) और एक हस्ताक्षर आउटपुट करता है $\sigma$ और एक समुच्चय $S = $S'$ \cup \{P_s\}$. 8 16 हाँ, तो अब हमारे पास a) एक भुगतान पता और b) एक भुगतान आईडी है। एक आलोचक पूछ सकता है "क्या हमें वास्तव में ऐसा करने की ज़रूरत है? आख़िरकार, यदि कोई व्यापारी 112.00678952 प्राप्त करता है बिल्कुल सीएन, और वह मेरा आदेश था, और मेरे पास एक स्क्रीनशॉट या रसीद या जो कुछ भी है, वह नहीं है परिशुद्धता की पागलपन भरी डिग्री पर्याप्त है?" उत्तर है "हो सकता है, अधिकांश समय, दिन-प्रतिदिन, आमने-सामने लेनदेन।" हालाँकि, अधिक सामान्य स्थिति (विशेषकर डिजिटल दुनिया में) यह है: एक व्यापारी बेचता है वस्तुओं का एक सेट, प्रत्येक की एक निश्चित कीमत। मान लें कि ऑब्जेक्ट A 0.001 CN है, ऑब्जेक्ट B 0.01 CN है और ऑब्जेक्ट C 0.1 CN है। अब, यदि व्यापारी को 1.618 सीएन का ऑर्डर प्राप्त होता है, तो बहुत सारे हैं ग्राहक के लिए ऑर्डर व्यवस्थित करने के (कई!) तरीके। और इसलिए किसी प्रकार की भुगतान आईडी के बिना, किसी ग्राहक के तथाकथित "अद्वितीय" ऑर्डर की उसकी तथाकथित "अद्वितीय" लागत के साथ पहचान करना व्यवस्था असंभव हो जाती है. और भी मज़ेदार: अगर मेरे ऑनलाइन स्टोर में हर चीज़ की कीमत बिल्कुल 1.0 है सीएन, और मुझे प्रतिदिन 1000 ग्राहक मिलते हैं? और आप यह साबित करना चाहते हैं कि आपने ठीक तीन वस्तुएँ खरीदीं दो सप्ताह पहले? बिना भुगतान आईडी के? गुड लक दोस्त। लंबी कहानी संक्षेप में: जब बॉब एक भुगतान पता प्रकाशित करता है, तो वह अंततः एक भुगतान पता भी प्रकाशित कर सकता है भुगतान आईडी भी (देखें, उदाहरण के लिए पोलोनिक्स एक्सएमआर जमा)। यह जो वर्णित है उससे भिन्न है यहां पाठ में जहां ऐलिस वह है जो भुगतान आईडी उत्पन्न करती है। बॉब के लिए भी भुगतान आईडी जनरेट करने का कोई तरीका होना चाहिए। (ए,बी) याद रखें कि ट्रैकिंग कुंजी (ए,बी) प्रकाशित की जा सकती है; 'ए' वसीयत के मूल्य की गोपनीयता खोना खर्च करने की आपकी क्षमता का उल्लंघन न करें या लोगों को आपसे चोरी करने की अनुमति न दें (मुझे लगता है... ऐसा होगा साबित करने के लिए), यह आसानी से लोगों को आने वाले सभी लेनदेन को देखने में सक्षम करेगा। एक छोटा किया गया पता, जैसा कि इस अनुच्छेद में वर्णित है, केवल कुंजी का "निजी" भाग लेता है और इसे "सार्वजनिक" भाग से उत्पन्न करता है। 'ए' के लिए मान प्रकट करने से गैर-लिंकेबिलिटी दूर हो जाएगी लेकिन शेष लेनदेन को सुरक्षित रखेगा। लेखक का अर्थ है "अनलिंक करने योग्य नहीं" क्योंकि अनलिंक करने योग्य का तात्पर्य रिसीवर और लिंक करने योग्य से है प्रेषक को संदर्भित करता है. यह भी स्पष्ट है कि लेखक को इस बात का एहसास नहीं था कि लिंकेबिलिटी के दो अलग-अलग पहलू थे। चूँकि, आख़िरकार, लेन-देन ग्राफ़ पर एक निर्देशित वस्तु है, इसलिए दो प्रश्न होंगे: "क्या ये दोनों लेन-देन एक ही व्यक्ति को जा रहे हैं?" और "क्या ये दो लेनदेन आ रहे हैं एक ही व्यक्ति से?" यह एक "नो-गोइंग-बैक" नीति है जिसके अंतर्गत क्रिप्टोनोट की अनलिंकेबिलिटी संपत्ति है सशर्त. कहने का तात्पर्य यह है कि बॉब अपने आने वाले लेनदेन को अनलिंक न करने का विकल्प चुन सकता है इस नीति का उपयोग करते हुए. यह एक ऐसा दावा है जिसे वे रैंडम ओरेकल मॉडल के तहत साबित करते हैं। हम उस तक पहुंचेंगे; यादृच्छिक ओरेकल के फायदे और नुकसान हैं।

VER: एक संदेश m, एक सेट S, एक हस्ताक्षर $\sigma$ लेता है और "सही" या "गलत" आउटपुट देता है। एलएनके: एक सेट I = {Ii}, एक हस्ताक्षर लेता है और "लिंक्ड" या "इंडिप" आउटपुट करता है। प्रोटोकॉल के पीछे का विचार काफी सरल है: एक उपयोगकर्ता एक हस्ताक्षर तैयार करता है जो हो सकता है किसी अद्वितीय सार्वजनिक कुंजी के बजाय सार्वजनिक कुंजियों के एक सेट द्वारा जाँच की जाती है। हस्ताक्षरकर्ता की पहचान है अन्य उपयोगकर्ताओं से अप्रभेद्य जिनकी सार्वजनिक कुंजियाँ सेट में तब तक हैं जब तक स्वामी उत्पादन नहीं करता उसी कुंजीयुग्म का उपयोग करके दूसरा हस्ताक्षर। निजी चाबियाँ x0 $\cdots$ xi $\cdots$ xn सार्वजनिक कुंजियाँ प0 $\cdots$ पाई $\cdots$ पी.एन अंगूठी हस्ताक्षर संकेत सत्यापित करें चित्र 6. रिंग हस्ताक्षर गुमनामी। जनरल: हस्ताक्षरकर्ता एक यादृच्छिक गुप्त कुंजी $x \in [1, l - 1]$ चुनता है और संबंधित की गणना करता है सार्वजनिक कुंजी P = xG. इसके अतिरिक्त वह एक अन्य सार्वजनिक कुंजी I = xHp(P) की गणना करता है जो हम करेंगे "कुंजी छवि" को कॉल करें। एसआईजी: हस्ताक्षरकर्ता एक गैर-संवादात्मक शून्य-ज्ञान के साथ एक बार रिंग हस्ताक्षर उत्पन्न करता है [21] से तकनीकों का उपयोग करके प्रमाण। वह अन्य उपयोगकर्ताओं से n का एक यादृच्छिक उपसमुच्चय $S'$ चुनता है सार्वजनिक कुंजी Pi, उसकी अपनी कुंजी जोड़ी (x, P) और कुंजी छवि I. मान लीजिए $0 \leq s \leq n$ हस्ताक्षरकर्ता का गुप्त सूचकांक है S में (ताकि उसकी सार्वजनिक कुंजी Ps हो)। वह एक यादृच्छिक {क्यूई | चुनता है मैं = 0 . . . n} और {wi | मैं = 0 . . . n, i ̸= s} (1...l) से और लागू होता है निम्नलिखित परिवर्तन: ली = ( क्यूआईजी, अगर मैं = एस क्यूआईजी + वाईपीआई, यदि मैं ̸= s री = ( क्यूआईएचपी(पीआई), अगर मैं = एस qiHp(Pi) + wiI, यदि मैं ̸= s अगला चरण गैर-संवादात्मक चुनौती प्राप्त करना है: सी = एचएस(एम, एल1,..., एलएन, आर1,..., आरएन) अंत में हस्ताक्षरकर्ता प्रतिक्रिया की गणना करता है: सीआई =    वाई, यदि मैं ̸= s सी − एन.पी मैं=0 सीआई मॉड एल, अगर मैं = एस री= ( क्यूई, यदि मैं ̸= s क्यूएस - सीएसएक्स मॉड एल, अगर मैं = एस परिणामी हस्ताक्षर $\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)$ है। 9 VER: एक संदेश m, एक सेट S, एक हस्ताक्षर $\sigma$ लेता है और "सही" या "गलत" आउटपुट देता है। एलएनके: एक सेट I = {Ii}, एक हस्ताक्षर लेता है और "लिंक्ड" या "इंडिप" आउटपुट करता है। प्रोटोकॉल के पीछे का विचार काफी सरल है: एक उपयोगकर्ता एक हस्ताक्षर तैयार करता है जो हो सकता है किसी अद्वितीय सार्वजनिक कुंजी के बजाय सार्वजनिक कुंजियों के एक सेट द्वारा जाँच की जाती है। हस्ताक्षरकर्ता की पहचान है अन्य उपयोगकर्ताओं से अप्रभेद्य जिनकी सार्वजनिक कुंजियाँ सेट में तब तक हैं जब तक स्वामी उत्पादन नहीं करता उसी कुंजीयुग्म का उपयोग करके दूसरा हस्ताक्षर। निजी चाबियाँ x0 $\cdots$ xi $\cdots$ xn सार्वजनिक कुंजियाँ प0 $\cdots$ पाई $\cdots$ पी.एन अंगूठी हस्ताक्षर संकेत सत्यापित करें चित्र 6. रिंग हस्ताक्षर गुमनामी। जनरल: हस्ताक्षरकर्ता एक यादृच्छिक गुप्त कुंजी $x \in [1, l - 1]$ चुनता है और संबंधित की गणना करता है सार्वजनिक कुंजी P = xG. इसके अतिरिक्त वह एक अन्य सार्वजनिक कुंजी I = xHp(P) की गणना करता है जो हम करेंगे "कुंजी छवि" को कॉल करें। एसआईजी: हस्ताक्षरकर्ता एक गैर-संवादात्मक शून्य-ज्ञान के साथ एक बार रिंग हस्ताक्षर उत्पन्न करता है [21] की तकनीकों का उपयोग करके प्रमाण। वह अन्य उपयोगकर्ताओं से n का एक यादृच्छिक उपसमुच्चय $S'$ चुनता है सार्वजनिक कुंजी Pi, उसकी अपनी कुंजी जोड़ी (x, P) और कुंजी छवि I. मान लीजिए $0 \leq s \leq n$ हस्ताक्षरकर्ता का गुप्त सूचकांक है S में (ताकि उसकी सार्वजनिक कुंजी Ps हो)। वह एक यादृच्छिक {क्यूई | चुनता है मैं = 0 . . . n} और {wi | मैं = 0 . . . n, i ̸= s} (1...l) से और लागू होता है निम्नलिखित परिवर्तन: ली = ( क्यूआईजी, अगर मैं = एस क्यूआईजी + वाईपीआई, यदि मैं ̸= s री = ( क्यूआईएचपी(पीआई), अगर मैं = एस qiHp(Pi) + wiI, यदि मैं ̸= s अगला चरण गैर-संवादात्मक चुनौती प्राप्त करना है: सी = एचएस(एम, एल1,..., एलएन, आर1,..., आरएन) अंत में हस्ताक्षरकर्ता प्रतिक्रिया की गणना करता है: सीआई =    वाई, यदि मैं ̸= s सी − एन.पी मैं=0 सीआई मॉड एल, अगर मैं = एस री= ( क्यूई, यदि मैं ̸= s क्यूएस - सीएसएक्स मॉड एल, अगर मैं = एस परिणामी हस्ताक्षर $\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)$ है। 9 17 शायद यह बेवकूफी है, लेकिन S और P_s को मिलाते समय सावधानी बरतनी चाहिए। यदि आप बस जोड़ते हैं अंत तक अंतिम सार्वजनिक कुंजी, अनलिंकबिलिटी टूट गई है क्योंकि कोई भी पासिंग लेनदेन की जांच कर रहा है प्रत्येक लेनदेन और बूम में सूचीबद्ध अंतिम सार्वजनिक कुंजी की जांच कर सकते हैं। वह सार्वजनिक कुंजी है प्रेषक से संबद्ध. इसलिए संघ बनाने के बाद, एक छद्म यादृच्छिक संख्या जनरेटर होना चाहिए चुनी गई सार्वजनिक कुंजियों को क्रमबद्ध करने के लिए उपयोग किया जाता है। "...जब तक स्वामी उसी कुंजीयुग्म का उपयोग करके दूसरा हस्ताक्षर तैयार नहीं कर लेता।" मैं लेखक को शुभकामनाएं देता हूं इस पर विस्तार से बताएंगे। मेरा मानना है कि इसका मतलब यह है कि "सुनिश्चित करें कि हर बार जब आप अस्पष्टता के लिए सार्वजनिक कुंजियों का एक सेट चुनते हैं अपने आप के साथ, आप एक बिल्कुल नया सेट चुनते हैं जिसमें कोई भी दो चाबियाँ एक जैसी नहीं होतीं।'' जो ऐसा प्रतीत होता है अनलिंकेबिलिटी पर रखने के लिए काफी मजबूत स्थिति। शायद "आप एक नया यादृच्छिक सेट चुनें सभी संभावित कुंजियाँ" इस धारणा के साथ कि, हालांकि गैर-तुच्छ चौराहे अनिवार्य रूप से होंगे घटित होते हैं, वे अक्सर घटित नहीं होंगे। किसी भी तरह, मुझे इस कथन की गहराई से जांच करने की आवश्यकता है। यह रिंग सिग्नेचर उत्पन्न कर रहा है। शून्य-ज्ञान प्रमाण अद्भुत हैं: मैं आपको यह साबित करने की चुनौती देता हूं कि आप एक रहस्य जानते हैं बिना रहस्य उजागर किये. उदाहरण के लिए, मान लें कि हम एक डोनट-आकार की गुफा के प्रवेश द्वार पर हैं, और गुफा के पीछे (प्रवेश द्वार से दृष्टि से परे) एक ओ हैने-वे दरवाजा जिससे आप दावा करें कि आपके पास चाबी है. यदि आप एक दिशा में जाते हैं, तो यह आपको हमेशा आगे बढ़ने देती है, लेकिन यदि आप जाते हैं दूसरी दिशा में, आपको एक कुंजी की आवश्यकता है। लेकिन आप मुझे चाबी तो दूर, मुझे दिखाना भी नहीं चाहते मुझे दिखाओ कि यह दरवाज़ा खोलता है। लेकिन आप मुझे यह साबित करना चाहते हैं कि आप जानते हैं कि इसे कैसे खोला जाता है दरवाज़ा. इंटरैक्टिव सेटिंग में, मैं एक सिक्का उछालता हूं। हेड बाईं ओर है, टेल दाईं ओर है, और आप नीचे जाते हैं डोनट के आकार की गुफा, चाहे सिक्का आपको किसी भी दिशा में ले जाए। सबसे पीछे, मेरी दृष्टि से परे, तुम दूसरी ओर वापस आने के लिए दरवाज़ा खोलो। हम सिक्का उछालने का प्रयोग दोहराते हैं जब तक मैं संतुष्ट नहीं हो जाता कि चाबी आपके पास है। लेकिन यह स्पष्ट रूप से इंटरैक्टिव शून्य-ज्ञान प्रमाण है। ऐसे गैर-संवादात्मक संस्करण हैं जिनमें आपको और मुझे कभी संवाद नहीं करना पड़ता; इस तरह, कोई भी सुनने वाला हस्तक्षेप नहीं कर सकता। http://en.wikipedia.org/wiki/Zero-knowledge_proof यह पिछली परिभाषा से उलट है।

VER: एक संदेश m, एक सेट S, एक हस्ताक्षर $\sigma$ लेता है और "सही" या "गलत" आउटपुट देता है। एलएनके: एक सेट I = {Ii}, एक हस्ताक्षर लेता है और "लिंक्ड" या "इंडिप" आउटपुट करता है। प्रोटोकॉल के पीछे का विचार काफी सरल है: एक उपयोगकर्ता एक हस्ताक्षर तैयार करता है जो हो सकता है किसी अद्वितीय सार्वजनिक कुंजी के बजाय सार्वजनिक कुंजियों के एक सेट द्वारा जाँच की जाती है। हस्ताक्षरकर्ता की पहचान है अन्य उपयोगकर्ताओं से अप्रभेद्य जिनकी सार्वजनिक कुंजियाँ सेट में तब तक हैं जब तक स्वामी उत्पादन नहीं करता उसी कुंजीयुग्म का उपयोग करके दूसरा हस्ताक्षर। निजी चाबियाँ x0 $\cdots$ xi $\cdots$ xn सार्वजनिक कुंजियाँ प0 $\cdots$ पाई $\cdots$ पी.एन अंगूठी हस्ताक्षर संकेत सत्यापित करें चित्र 6. रिंग हस्ताक्षर गुमनामी। जनरल: हस्ताक्षरकर्ता एक यादृच्छिक गुप्त कुंजी $x \in [1, l - 1]$ चुनता है और संबंधित की गणना करता है सार्वजनिक कुंजी P = xG. इसके अतिरिक्त वह एक अन्य सार्वजनिक कुंजी I = xHp(P) की गणना करता है जो हम करेंगे "कुंजी छवि" को कॉल करें। एसआईजी: हस्ताक्षरकर्ता एक गैर-संवादात्मक शून्य-ज्ञान के साथ एक बार रिंग हस्ताक्षर उत्पन्न करता है [21] की तकनीकों का उपयोग करके प्रमाण। वह अन्य उपयोगकर्ताओं से n का एक यादृच्छिक उपसमुच्चय $S'$ चुनता है सार्वजनिक कुंजी Pi, उसकी अपनी कुंजी जोड़ी (x, P) और कुंजी छवि I. मान लीजिए $0 \leq s \leq n$ हस्ताक्षरकर्ता का गुप्त सूचकांक है S में (ताकि उसकी सार्वजनिक कुंजी Ps हो)। वह एक यादृच्छिक {क्यूई | चुनता है मैं = 0 . . . n} और {wi | मैं = 0 . . . n, i ̸= s} (1...l) से और लागू होता है निम्नलिखित परिवर्तन: ली = ( क्यूआईजी, अगर मैं = एस क्यूआईजी + वाईपीआई, यदि मैं ̸= s री = ( क्यूआईएचपी(पीआई), अगर मैं = एस qiHp(Pi) + wiI, यदि मैं ̸= s अगला चरण गैर-संवादात्मक चुनौती प्राप्त करना है: सी = एचएस(एम, एल1,..., एलएन, आर1,..., आरएन) अंत में हस्ताक्षरकर्ता प्रतिक्रिया की गणना करता है: सीआई =    वाई, यदि मैं ̸= s सी − एन.पी मैं=0 सीआई मॉड एल, अगर मैं = एस री= ( क्यूई, यदि मैं ̸= s क्यूएस - सीएसएक्स मॉड एल, अगर मैं = एस परिणामी हस्ताक्षर $\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)$ है। 9 VER: एक संदेश m, एक सेट S, एक हस्ताक्षर $\sigma$ लेता है और "सही" या "गलत" आउटपुट देता है। एलएनके: एक सेट I = {Ii}, एक हस्ताक्षर लेता है और "लिंक्ड" या "इंडिप" आउटपुट करता है। प्रोटोकॉल के पीछे का विचार काफी सरल है: एक उपयोगकर्ता एक हस्ताक्षर तैयार करता है जो हो सकता है किसी अद्वितीय सार्वजनिक कुंजी के बजाय सार्वजनिक कुंजियों के एक सेट द्वारा जाँच की जाती है। हस्ताक्षरकर्ता की पहचान है अन्य उपयोगकर्ताओं से अप्रभेद्य जिनकी सार्वजनिक कुंजियाँ सेट में तब तक हैं जब तक स्वामी उत्पादन नहीं करता उसी कुंजीयुग्म का उपयोग करके दूसरा हस्ताक्षर। निजी चाबियाँ x0 $\cdots$ xi $\cdots$ xn सार्वजनिक कुंजियाँ प0 $\cdots$ पाई $\cdots$ पी.एन अंगूठी हस्ताक्षर संकेत सत्यापित करें चित्र 6. रिंग हस्ताक्षर गुमनामी। जनरल: हस्ताक्षरकर्ता एक यादृच्छिक गुप्त कुंजी $x \in [1, l - 1]$ चुनता है और संबंधित की गणना करता है सार्वजनिक कुंजी P = xG. इसके अतिरिक्त वह एक अन्य सार्वजनिक कुंजी I = xHp(P) की गणना करता है जो हम करेंगे "कुंजी छवि" को कॉल करें। एसआईजी: हस्ताक्षरकर्ता एक गैर-संवादात्मक शून्य-ज्ञान के साथ एक बार रिंग हस्ताक्षर उत्पन्न करता है [21] की तकनीकों का उपयोग करके प्रमाण। वह अन्य उपयोगकर्ताओं से n का एक यादृच्छिक उपसमुच्चय $S'$ चुनता है सार्वजनिक कुंजी Pi, उसकी अपनी कुंजी जोड़ी (x, P) और कुंजी छवि I. मान लीजिए $0 \leq s \leq n$ हस्ताक्षरकर्ता का गुप्त सूचकांक है S में (ताकि उसकी सार्वजनिक कुंजी Ps हो)। वह एक यादृच्छिक {क्यूई | चुनता है मैं = 0 . . . n} और {wi | मैं = 0 . . . n, i ̸= s} (1...l) से और लागू होता है निम्नलिखित परिवर्तन: ली = ( क्यूआईजी, अगर मैं = एस क्यूआईजी + वाईपीआई, यदि मैं ̸= s री = ( क्यूआईएचपी(पीआई), अगर मैं = एस qiHp(Pi) + wiI, यदि मैं ̸= s अगला चरण गैर-संवादात्मक चुनौती प्राप्त करना है: सी = एचएस(एम, एल1,..., एलएन, आर1,..., आरएन) अंत में हस्ताक्षरकर्ता प्रतिक्रिया की गणना करता है: सीआई =    वाई, यदि मैं ̸= s सी − एन.पी मैं=0 सीआई मॉड एल, अगर मैं = एस री= ( क्यूई, यदि मैं ̸= s क्यूएस - सीएसएक्स मॉड एल, अगर मैं = एस परिणामी हस्ताक्षर $\sigma = (I, c_1, \ldots, c_n, r_1, \ldots, r_n)$ है। 9 18 यह पूरा क्षेत्र क्रिप्टोनोट अज्ञेयवादी है, जो बिना रिंग सिग्नेचर एल्गोरिदम का वर्णन करता है मुद्राओं का संदर्भ. मुझे संदेह है कि कुछ नोटेशन शेष पेपर के अनुरूप हैं, हालाँकि. उदाहरण के लिए, x GEN में चुनी गई "यादृच्छिक" गुप्त कुंजी है, जो सार्वजनिक कुंजी P देती है और सार्वजनिक कुंजी छवि I. x का यह मान बॉब द्वारा भाग 6 पृष्ठ 8 में गणना किया गया मान है। तो यह है पिछले विवरण से कुछ भ्रम दूर करना शुरू कर रहा हूँ। यह एक तरह से अच्छा है; ऐलिस के सार्वजनिक पते से बॉब की जनता को पैसा हस्तांतरित नहीं किया जा रहा है पता।" इसे एक बार के पते से एक बार के पते पर स्थानांतरित किया जा रहा है। तो, एक तरह से, यहां बताया गया है कि स्टफिस कैसे काम कर रहा है। यदि एलेक्स के पास कुछ क्रिप्टोनोट्स हैं क्योंकि कोई उन्हें उसके पास भेज दिया, इसका मतलब है कि उसके पास उन्हें बॉब को भेजने के लिए आवश्यक निजी चाबियाँ हैं। वह उपयोग करती है एक नया एकमुश्त पता उत्पन्न करने के लिए बॉब की सार्वजनिक जानकारी का उपयोग करते हुए एक डाइ-हेलमैन एक्सचेंज और क्रिप्टोनोट्स को उस पते पर स्थानांतरित कर दिया जाता है। अब, चूंकि नया एकमुश्त पता उत्पन्न करने के लिए (संभवतः सुरक्षित) डीएच एक्सचेंज का उपयोग किया गया था जिस पर एलेक्स ने उसे सीएन भेजा था, बॉब एकमात्र ऐसा व्यक्ति है जिसके पास इसे दोहराने के लिए आवश्यक निजी कुंजी है ऊपर. तो अब, बॉब एलेक्स है। http://en.wikipedia.org/wiki/Piecewise#Notation_and_interpretation योग को j पर अनुक्रमित किया जाना चाहिए, i पर नहीं। प्रत्येक c_i यादृच्छिक जंक है (चूंकि w_i यादृच्छिक है) c_i गधे को छोड़करइस हस्ताक्षर में शामिल वास्तविक कुंजी से संबद्ध। c का मान है पिछली जानकारी का hash। मुझे लगता है कि इसमें इंडेक्स 'i' को दोबारा इस्तेमाल करने से भी बदतर कोई टाइपो हो सकता है, क्योंकि c_s लगता है स्पष्ट रूप से नहीं, परोक्ष रूप से परिभाषित किया जाना। वास्तव में, यदि हम इस समीकरण को विश्वास पर लेते हैं, तो हम यह निर्धारित करते हैं कि c_s = (1/2)c - (1/2) sum_i neq s c_i. अर्थात्, hash से यादृच्छिक संख्याओं का एक पूरा समूह घटा। दूसरी ओर, यदि इस सारांश को पढ़ने का इरादा है "c_s = (c - sum_j neq s c_j) mod l", फिर हम अपनी पिछली जानकारी का hash लेते हैं, यादृच्छिक संख्याओं का एक समूह उत्पन्न करते हैं, hash से उन सभी यादृच्छिक संख्याओं को घटाएं, और इससे हमें c_s मिलता है। ऐसा लगता है मेरे अंतर्ज्ञान को देखते हुए क्या "होना चाहिए" और पृष्ठ 10 पर सत्यापन चरण से मेल खाता है। लेकिन अंतर्ज्ञान गणित नहीं है. मैं इसकी गहराई से जांच करूंगा। पहले के जेसे; वास्तविक से जुड़े एक को छोड़कर ये सभी यादृच्छिक कबाड़ होंगे हस्ताक्षरकर्ता की सार्वजनिक कुंजी x. इस समय को छोड़कर, मैं संरचना से यही अपेक्षा करूंगा: r_i i!=s के लिए यादृच्छिक है और r_s केवल गुप्त x और s-अनुक्रमित मानों द्वारा निर्धारित किया जाता है q_i और c_i.

VER: सत्यापनकर्ता व्युत्क्रम परिवर्तनों को लागू करके हस्ताक्षर की जाँच करता है: ( एल' मैं = रिग + ciPi आर′ i = riHp(Pi) + ciI अंत में, सत्यापनकर्ता जाँच करता है कि क्या एन.पी मैं=0 सीआई ?= एचएस(एम, एल' 0, . . . , एल' एन, आर' 0, . . . , आर' एन) मॉड एल यदि यह समानता सही है, तो सत्यापनकर्ता एल्गोरिथम एलएनके चलाता है। अन्यथा सत्यापनकर्ता अस्वीकार कर देता है हस्ताक्षर. एलएनके: सत्यापनकर्ता जाँच करता है कि क्या पिछले हस्ताक्षरों में I का उपयोग किया गया है (ये मान इसमें संग्रहीत हैं) सेट I). एकाधिक उपयोग का अर्थ है कि एक ही गुप्त कुंजी के तहत दो हस्ताक्षर तैयार किए गए थे। प्रोटोकॉल का अर्थ: एल-परिवर्तन लागू करके हस्ताक्षरकर्ता साबित करता है कि वह जानता है ऐसा x कि कम से कम एक Pi = xG हो। इस प्रमाण को गैर-दोहराने योग्य बनाने के लिए हम मुख्य छवि का परिचय देते हैं जैसे I = xHp(P). हस्ताक्षरकर्ता लगभग समान कथन को सिद्ध करने के लिए समान गुणांक (री, सीआई) का उपयोग करता है: वह ऐसा x जानता है कि कम से कम एक $H_p(P_i) = I \cdot x^{-1}$। यदि मैपिंग $x \to I$ एक इंजेक्शन है: 1. कोई भी कुंजी छवि से सार्वजनिक कुंजी पुनर्प्राप्त नहीं कर सकता है और हस्ताक्षरकर्ता की पहचान नहीं कर सकता है; 2. हस्ताक्षरकर्ता अलग-अलग I और एक ही x के साथ दो हस्ताक्षर नहीं कर सकता। संपूर्ण सुरक्षा विश्लेषण परिशिष्ट ए में दिया गया है। 4.5 मानक क्रिप्टोनोट लेनदेन दोनों विधियों (अनलिंक करने योग्य सार्वजनिक कुंजियाँ और अप्राप्य रिंग हस्ताक्षर) को मिलाकर बॉब ने उपलब्धि हासिल की मूल Bitcoin योजना की तुलना में गोपनीयता का नया स्तर। इसके लिए उसे केवल भंडारण की आवश्यकता होती है गुमनाम लेनदेन प्राप्त करना और भेजना शुरू करने के लिए एक निजी कुंजी (ए, बी) और प्रकाशित (ए, बी)। प्रत्येक लेनदेन को सत्यापित करते समय बॉब अतिरिक्त रूप से केवल दो अण्डाकार वक्र गुणन और प्रति आउटपुट एक जोड़ करता है ताकि यह जांचा जा सके कि लेनदेन उसका है या नहीं। उसके हर के लिए आउटपुट बॉब एक बार की कीपेयर (पीआई, पीआई) पुनर्प्राप्त करता है और इसे अपने वॉलेट में संग्रहीत करता है। कोई भी इनपुट हो सकता है परिस्थितिजन्य रूप से यह तभी साबित होता है कि उनका मालिक एक ही है, यदि वे एक ही लेन-देन में दिखाई देते हैं। में सच तो यह है कि एक बार के रिंग सिग्नेचर के कारण यह रिश्ता स्थापित करना बहुत कठिन है। रिंग सिग्नेचर के साथ बॉब प्रभावी ढंग से हर इनपुट को किसी और के बीच छिपा सकता है; सब संभव खर्च करने वाले समसंभाव्य होंगे, यहां तक कि पिछले मालिक (ऐलिस) के पास भी इससे अधिक जानकारी नहीं है कोई भी पर्यवेक्षक. अपने लेन-देन पर हस्ताक्षर करते समय बॉब अपनी राशि के बराबर विदेशी आउटपुट निर्दिष्ट करता है अन्य उपयोगकर्ताओं की भागीदारी के बिना उन सभी को मिलाकर आउटपुट। बॉब खुद भी (साथ ही) (किसी अन्य को) नहीं पता कि इनमें से कोई भुगतान खर्च किया गया है या नहीं: एक आउटपुट का उपयोग किया जा सकता है हजारों हस्ताक्षरों में अस्पष्टता कारक के रूप में और कभी भी छिपाने के लक्ष्य के रूप में नहीं। दोहरा खर्च की जाँच एलएनके चरण में तब होती है जब प्रयुक्त कुंजी छवियों के सेट के विरुद्ध जाँच की जाती है। बॉब अस्पष्टता की डिग्री स्वयं चुन सकता है: n = 1 का अर्थ है कि उसके पास जो संभावना है खर्च किए गए आउटपुट की संभावना 50% है, n = 99 1% देता है। परिणामी हस्ताक्षर का आकार बढ़ जाता है रैखिक रूप से O(n+1) के रूप में, इसलिए बेहतर गुमनामी लागत बॉब को अतिरिक्त लेनदेन शुल्क देती है। वह भी कर सकता है n = 0 सेट करें और उसके रिंग हस्ताक्षर को केवल एक तत्व से युक्त बनाएं, हालाँकि यह तुरंत होगा उसे ख़र्च करने वाले के रूप में प्रकट करें। 10 VER: सत्यापनकर्ता व्युत्क्रम परिवर्तनों को लागू करके हस्ताक्षर की जाँच करता है: ( एल' मैं = रिग + ciPi आर′ i = riHp(Pi) + ciI अंत में, सत्यापनकर्ता जाँच करता है कि क्या एन.पी मैं=0 सीआई ?= एचएस(एम, एल' 0, . . . , एल' एन, आर' 0, . . . , आर' एन) मॉड एल यदि यह समानता सही है, तो सत्यापनकर्ता एल्गोरिथम एलएनके चलाता है। अन्यथा सत्यापनकर्ता अस्वीकार कर देता है हस्ताक्षर. एलएनके: सत्यापनकर्ता जाँच करता है कि क्या पिछले हस्ताक्षरों में I का उपयोग किया गया है (ये मान इसमें संग्रहीत हैं) सेट I). एकाधिक उपयोग का अर्थ है कि एक ही गुप्त कुंजी के तहत दो हस्ताक्षर तैयार किए गए थे। प्रोटोकॉल का अर्थ: एल-परिवर्तन लागू करके हस्ताक्षरकर्ता साबित करता है कि वह जानता है ऐसा x कि कम से कम एक Pi = xG हो। इस प्रमाण को गैर-दोहराने योग्य बनाने के लिए हम मुख्य छवि का परिचय देते हैं जैसे I = xHp(P). हस्ताक्षरकर्ता लगभग समान कथन को सिद्ध करने के लिए समान गुणांक (री, सीआई) का उपयोग करता है: वह ऐसा x जानता है कि कम से कम एक $H_p(P_i) = I \cdot x^{-1}$। यदि मैपिंग $x \to I$ एक इंजेक्शन है: 1. कोई भी कुंजी छवि से सार्वजनिक कुंजी पुनर्प्राप्त नहीं कर सकता है और हस्ताक्षरकर्ता की पहचान नहीं कर सकता है; 2. हस्ताक्षरकर्ता अलग-अलग I और एक ही x के साथ दो हस्ताक्षर नहीं कर सकता। संपूर्ण सुरक्षा विश्लेषण परिशिष्ट ए में दिया गया है। 4.5 मानक क्रिप्टोनोट लेनदेन दोनों विधियों (अनलिंक करने योग्य सार्वजनिक कुंजियाँ और अप्राप्य रिंग हस्ताक्षर) को मिलाकर बॉब ने उपलब्धि हासिल की मूल Bitcoin योजना की तुलना में गोपनीयता का नया स्तर। इसके लिए उसे केवल भंडारण की आवश्यकता होती है गुमनाम लेनदेन प्राप्त करना और भेजना शुरू करने के लिए एक निजी कुंजी (ए, बी) और प्रकाशित (ए, बी)। प्रत्येक लेनदेन को सत्यापित करते समय बॉब अतिरिक्त रूप से केवल दो अण्डाकार वक्र गुणन और प्रति आउटपुट एक जोड़ करता है ताकि यह जांचा जा सके कि लेनदेन उसका है या नहीं। उसके हर के लिए आउटपुट बॉब एक बार की कीपेयर (पीआई, पीआई) और सेंट को पुनर्प्राप्त करता हैइसे अपने बटुए में रखता है। कोई भी इनपुट हो सकता है परिस्थितिजन्य रूप से यह तभी साबित होता है कि उनका मालिक एक ही है, यदि वे एक ही लेन-देन में दिखाई देते हैं। में सच तो यह है कि एक बार के रिंग सिग्नेचर के कारण यह रिश्ता स्थापित करना बहुत कठिन है। रिंग सिग्नेचर के साथ बॉब प्रभावी ढंग से हर इनपुट को किसी और के बीच छिपा सकता है; सब संभव खर्च करने वाले समसंभाव्य होंगे, यहां तक कि पिछले मालिक (ऐलिस) के पास भी इससे अधिक जानकारी नहीं है कोई भी पर्यवेक्षक. अपने लेन-देन पर हस्ताक्षर करते समय बॉब अपनी राशि के बराबर विदेशी आउटपुट निर्दिष्ट करता है अन्य उपयोगकर्ताओं की भागीदारी के बिना उन सभी को मिलाकर आउटपुट। बॉब खुद भी (साथ ही) (किसी अन्य को) नहीं पता कि इनमें से कोई भुगतान खर्च किया गया है या नहीं: एक आउटपुट का उपयोग किया जा सकता है हजारों हस्ताक्षरों में अस्पष्टता कारक के रूप में और कभी भी छिपाने के लक्ष्य के रूप में नहीं। दोहरा खर्च की जाँच एलएनके चरण में तब होती है जब प्रयुक्त कुंजी छवियों के सेट के विरुद्ध जाँच की जाती है। बॉब अस्पष्टता की डिग्री स्वयं चुन सकता है: n = 1 का अर्थ है कि उसके पास जो संभावना है खर्च किए गए आउटपुट की संभावना 50% है, n = 99 1% देता है। परिणामी हस्ताक्षर का आकार बढ़ जाता है रैखिक रूप से O(n+1) के रूप में, इसलिए बेहतर गुमनामी लागत बॉब को अतिरिक्त लेनदेन शुल्क देती है। वह भी कर सकता है n = 0 सेट करें और उसके रिंग हस्ताक्षर को केवल एक तत्व से युक्त बनाएं, हालाँकि यह तुरंत होगा उसे ख़र्च करने वाले के रूप में प्रकट करें। 10 19 इस बिंदु पर, मैं बहुत भ्रमित हूं। एलेक्स को हस्ताक्षर (I,c_1, ..., c_n, r_1, ..., r_n) और जनता की सूची के साथ एक संदेश M प्राप्त होता है चाबियाँ एस। और वह VER चलाती है। यह L_i' और R_i' की गणना करेगा यह सत्यापित करता है कि c_s = c - sum_i पिछले पृष्ठ पर c_i नहीं है। पहले तो मैं बहुत भ्रमित था। कोई भी L_i' और R_i' की गणना कर सकता है। दरअसल, प्रत्येक r_i और c_i हस्ताक्षर में प्रकाशित किया गया है I के मान के साथ सिग्मा। सेट S = सभी सार्वजनिक कुंजियों का P_i भी प्रकाशित किया गया है। तो जिसने भी सिग्मा और का सेट देखा है कुंजी S = P_i को L_i' और R_i' के लिए समान मान मिलेंगे और इसलिए हस्ताक्षर की जांच करें। लेकिन फिर मुझे याद आया कि यह खंड केवल एक हस्ताक्षर एल्गोरिदम का वर्णन कर रहा है, न कि "चेक" का यदि हस्ताक्षर किए गए हैं, तो जांचें कि क्या मुझे भेजा गया है, और यदि हां, तो पैसे खर्च करें।" यह बस यही है खेल का हस्ताक्षर भाग. अंततः जब मैं वहां पहुंचूंगा तो परिशिष्ट ए पढ़ने में रुचि रखता हूं। मैं क्रिप्टोनोट की Bitcoin से पूर्ण पैमाने पर ऑपरेशन-दर-ऑपरेशन तुलना देखना चाहूंगा। इसके अलावा, बिजली/स्थिरता। एल्गोरिदम के कौन से भाग यहां "इनपुट" बनाते हैं? मेरा मानना है कि लेन-देन इनपुट, एक राशि और UTXOs का एक सेट है जिसका योग इससे अधिक है रकम. यह अस्पष्ट है. "छिपने का लक्ष्य?" मैंने इस बारे में कुछ मिनटों तक सोचा है और मैं अभी भी नहीं सोच पाया हूँ इसका क्या मतलब हो सकता है इसका सबसे धुँधला विचार। दोहरे खर्च वाले हमले को केवल नोड की कथित प्रयुक्त-कुंजी में हेरफेर करके ही अंजाम दिया जा सकता है छवियाँ $I$ सेट की गईं। "अस्पष्टता की डिग्री" = n लेकिन लेन-देन में शामिल सार्वजनिक कुंजियों की कुल संख्या है एन+1. कहने का तात्पर्य यह है कि, अस्पष्टता की डिग्री होगी "आप कितने अन्य लोगों को चाहते हैं भीड़?" उत्तर संभवतः, डिफ़ॉल्ट रूप से "जितना संभव हो उतना" होगा।

VER: सत्यापनकर्ता व्युत्क्रम परिवर्तनों को लागू करके हस्ताक्षर की जाँच करता है: ( एल' मैं = रिग + ciPi आर′ i = riHp(Pi) + ciI अंत में, सत्यापनकर्ता जाँच करता है कि क्या एन.पी मैं=0 सीआई ?= एचएस(एम, एल' 0, . . . , एल' एन, आर' 0, . . . , आर' एन) मॉड एल यदि यह समानता सही है, तो सत्यापनकर्ता एल्गोरिथम एलएनके चलाता है। अन्यथा सत्यापनकर्ता अस्वीकार कर देता है हस्ताक्षर. एलएनके: सत्यापनकर्ता जाँच करता है कि क्या पिछले हस्ताक्षरों में I का उपयोग किया गया है (ये मान इसमें संग्रहीत हैं) सेट I). एकाधिक उपयोग का अर्थ है कि एक ही गुप्त कुंजी के तहत दो हस्ताक्षर तैयार किए गए थे। प्रोटोकॉल का अर्थ: एल-परिवर्तन लागू करके हस्ताक्षरकर्ता साबित करता है कि वह जानता है ऐसा x कि कम से कम एक Pi = xG हो। इस प्रमाण को गैर-दोहराने योग्य बनाने के लिए हम मुख्य छवि का परिचय देते हैं जैसे I = xHp(P). हस्ताक्षरकर्ता लगभग समान कथन को सिद्ध करने के लिए समान गुणांक (री, सीआई) का उपयोग करता है: वह ऐसा x जानता है कि कम से कम एक $H_p(P_i) = I \cdot x^{-1}$। यदि मैपिंग $x \to I$ एक इंजेक्शन है: 1. कोई भी कुंजी छवि से सार्वजनिक कुंजी पुनर्प्राप्त नहीं कर सकता है और हस्ताक्षरकर्ता की पहचान नहीं कर सकता है; 2. हस्ताक्षरकर्ता अलग-अलग I और एक ही x के साथ दो हस्ताक्षर नहीं कर सकता। संपूर्ण सुरक्षा विश्लेषण परिशिष्ट ए में दिया गया है। 4.5 मानक क्रिप्टोनोट लेनदेन दोनों विधियों (अनलिंक करने योग्य सार्वजनिक कुंजियाँ और अप्राप्य रिंग हस्ताक्षर) को मिलाकर बॉब ने उपलब्धि हासिल की मूल Bitcoin योजना की तुलना में गोपनीयता का नया स्तर। इसके लिए उसे केवल भंडारण की आवश्यकता होती है गुमनाम लेनदेन प्राप्त करना और भेजना शुरू करने के लिए एक निजी कुंजी (ए, बी) और प्रकाशित (ए, बी)। प्रत्येक लेनदेन को सत्यापित करते समय बॉब अतिरिक्त रूप से केवल दो अण्डाकार वक्र गुणन और प्रति आउटपुट एक जोड़ करता है ताकि यह जांचा जा सके कि लेनदेन उसका है या नहीं। उसके हर के लिए आउटपुट बॉब एक बार की कीपेयर (पीआई, पीआई) पुनर्प्राप्त करता है और इसे अपने वॉलेट में संग्रहीत करता है। कोई भी इनपुट हो सकता है परिस्थितिजन्य रूप से यह तभी साबित होता है कि उनका मालिक एक ही है, यदि वे एक ही लेन-देन में दिखाई देते हैं। में सच तो यह है कि एक बार के रिंग सिग्नेचर के कारण यह रिश्ता स्थापित करना बहुत कठिन है। रिंग सिग्नेचर के साथ बॉब प्रभावी ढंग से हर इनपुट को किसी और के बीच छिपा सकता है; सब संभव खर्च करने वाले समसंभाव्य होंगे, यहां तक कि पिछले मालिक (ऐलिस) के पास भी इससे अधिक जानकारी नहीं है कोई भी पर्यवेक्षक. अपने लेन-देन पर हस्ताक्षर करते समय बॉब अपनी राशि के बराबर विदेशी आउटपुट निर्दिष्ट करता है अन्य उपयोगकर्ताओं की भागीदारी के बिना उन सभी को मिलाकर आउटपुट। बॉब खुद भी (साथ ही) (किसी अन्य को) नहीं पता कि इनमें से कोई भुगतान खर्च किया गया है या नहीं: एक आउटपुट का उपयोग किया जा सकता है हजारों हस्ताक्षरों में अस्पष्टता कारक के रूप में और कभी भी छिपाने के लक्ष्य के रूप में नहीं। दोहरा खर्च की जाँच एलएनके चरण में तब होती है जब प्रयुक्त कुंजी छवियों के सेट के विरुद्ध जाँच की जाती है। बॉब अस्पष्टता की डिग्री स्वयं चुन सकता है: n = 1 का अर्थ है कि उसके पास जो संभावना है खर्च किए गए आउटपुट की संभावना 50% है, n = 99 1% देता है। परिणामी हस्ताक्षर का आकार बढ़ जाता है रैखिक रूप से O(n+1) के रूप में, इसलिए बेहतर गुमनामी लागत बॉब को अतिरिक्त लेनदेन शुल्क देती है। वह भी कर सकता है n = 0 सेट करें और उसके रिंग हस्ताक्षर को केवल एक तत्व से युक्त बनाएं, हालाँकि यह तुरंत होगा उसे ख़र्च करने वाले के रूप में प्रकट करें। 10 VER: सत्यापनकर्ता व्युत्क्रम परिवर्तनों को लागू करके हस्ताक्षर की जाँच करता है: ( एल' मैं = रिग + ciPi आर′ i = riHp(Pi) + ciI अंत में, सत्यापनकर्ता जाँच करता है कि क्या एन.पी मैं=0 सीआई ?= एचएस(एम, एल' 0, . . . , एल' एन, आर' 0, . . . , आर' एन) मॉड एल यदि यह समानता सही है, तो सत्यापनकर्ता एल्गोरिथम एलएनके चलाता है। अन्यथा सत्यापनकर्ता अस्वीकार कर देता है हस्ताक्षर. एलएनके: सत्यापनकर्ता जाँच करता है कि क्या पिछले हस्ताक्षरों में I का उपयोग किया गया है (ये मान इसमें संग्रहीत हैं) सेट I). एकाधिक उपयोग का अर्थ है कि एक ही गुप्त कुंजी के तहत दो हस्ताक्षर तैयार किए गए थे। प्रोटोकॉल का अर्थ: एल-परिवर्तन लागू करके हस्ताक्षरकर्ता साबित करता है कि वह जानता है ऐसा x कि कम से कम एक Pi = xG हो। इस प्रमाण को गैर-दोहराने योग्य बनाने के लिए हम मुख्य छवि का परिचय देते हैं जैसे I = xHp(P). हस्ताक्षरकर्ता लगभग समान कथन को सिद्ध करने के लिए समान गुणांक (री, सीआई) का उपयोग करता है: वह ऐसा x जानता है कि कम से कम एक $H_p(P_i) = I \cdot x^{-1}$। यदि मैपिंग $x \to I$ एक इंजेक्शन है: 1. कोई भी कुंजी छवि से सार्वजनिक कुंजी पुनर्प्राप्त नहीं कर सकता है और हस्ताक्षरकर्ता की पहचान नहीं कर सकता है; 2. हस्ताक्षरकर्ता अलग-अलग I और एक ही x के साथ दो हस्ताक्षर नहीं कर सकता। संपूर्ण सुरक्षा विश्लेषण परिशिष्ट ए में दिया गया है। 4.5 मानक क्रिप्टोनोट लेनदेन दोनों विधियों (अनलिंक करने योग्य सार्वजनिक कुंजियाँ और अप्राप्य रिंग हस्ताक्षर) को मिलाकर बॉब ने उपलब्धि हासिल की मूल Bitcoin योजना की तुलना में गोपनीयता का नया स्तर। इसके लिए उसे केवल भंडारण की आवश्यकता होती है गुमनाम लेनदेन प्राप्त करना और भेजना शुरू करने के लिए एक निजी कुंजी (ए, बी) और प्रकाशित (ए, बी)। प्रत्येक लेनदेन को सत्यापित करते समय बॉब अतिरिक्त रूप से केवल दो अण्डाकार वक्र गुणन और प्रति आउटपुट एक जोड़ करता है ताकि यह जांचा जा सके कि लेनदेन उसका है या नहीं। उसके हर के लिए आउटपुट बॉब एक बार की कीपेयर (पीआई, पीआई) और सेंट को पुनर्प्राप्त करता हैइसे अपने बटुए में रखता है। कोई भी इनपुट हो सकता है परिस्थितिजन्य रूप से यह तभी साबित होता है कि उनका मालिक एक ही है, यदि वे एक ही लेन-देन में दिखाई देते हैं। में सच तो यह है कि एक बार के रिंग सिग्नेचर के कारण यह रिश्ता स्थापित करना बहुत कठिन है। रिंग सिग्नेचर के साथ बॉब प्रभावी ढंग से हर इनपुट को किसी और के बीच छिपा सकता है; सब संभव खर्च करने वाले समसंभाव्य होंगे, यहां तक कि पिछले मालिक (ऐलिस) के पास भी इससे अधिक जानकारी नहीं है कोई भी पर्यवेक्षक. अपने लेन-देन पर हस्ताक्षर करते समय बॉब अपनी राशि के बराबर विदेशी आउटपुट निर्दिष्ट करता है अन्य उपयोगकर्ताओं की भागीदारी के बिना उन सभी को मिलाकर आउटपुट। बॉब खुद भी (साथ ही) (किसी अन्य को) नहीं पता कि इनमें से कोई भुगतान खर्च किया गया है या नहीं: एक आउटपुट का उपयोग किया जा सकता है हजारों हस्ताक्षरों में अस्पष्टता कारक के रूप में और कभी भी छिपाने के लक्ष्य के रूप में नहीं। दोहरा खर्च की जाँच एलएनके चरण में तब होती है जब प्रयुक्त कुंजी छवियों के सेट के विरुद्ध जाँच की जाती है। बॉब अस्पष्टता की डिग्री स्वयं चुन सकता है: n = 1 का अर्थ है कि उसके पास जो संभावना है खर्च किए गए आउटपुट की संभावना 50% है, n = 99 1% देता है। परिणामी हस्ताक्षर का आकार बढ़ जाता है रैखिक रूप से O(n+1) के रूप में, इसलिए बेहतर गुमनामी लागत बॉब को अतिरिक्त लेनदेन शुल्क देती है। वह भी कर सकता है n = 0 सेट करें और उसके रिंग हस्ताक्षर को केवल एक तत्व से युक्त बनाएं, हालाँकि यह तुरंत होगा उसे ख़र्च करने वाले के रूप में प्रकट करें। 10 20 यह दिलचस्प है; पहले, हमने रिसीवर बॉब को सभी इनकमिंग करने का एक तरीका प्रदान किया था लेन-देन गैर-अनलिंक करने योग्य या तो उसकी आधी निजी चाबियों को नियतात्मक रूप से या उसके द्वारा चुनकर अपनी आधी निजी कुंजियाँ सार्वजनिक के रूप में प्रकाशित करना। यह पीछे न हटने वाली नीति है। यहाँ, हम देखते हैं एक प्रेषक, एलेक्स का एक एकल आउटगोइंग लेनदेन को लिंक करने योग्य के रूप में चुनने का एक तरीका, लेकिन वास्तव में यह एलेक्स को पूरे नेटवर्क के प्रेषक के रूप में प्रकट करता है। यह पीछे न हटने वाली नीति नहीं है। यह लेन-देन-दर-लेन-देन है। क्या कोई तीसरी नीति है? क्या कोई रिसीवर, बॉब, एलेक्स के लिए एक अद्वितीय भुगतान आईडी उत्पन्न कर सकता है कभी नहीं बदलता, शायद डाइ-हेलमैन एक्सचेंज का उपयोग कर रहा है? यदि कोई उस भुगतान को शामिल करता है बॉब के पते पर उसके लेन-देन में कहीं आईडी बंडल की गई है, यह एलेक्स से आया होगा। इस तरह, एलेक्स को किसी विशेष लिंक को चुनकर खुद को पूरे नेटवर्क के सामने प्रकट करने की आवश्यकता नहीं है लेन-देन, लेकिन वह अभी भी उस व्यक्ति को अपनी पहचान बता सकती है जिसे वह अपना पैसा भेजती है। क्या पोलोनिक्स यही नहीं करता है?

लेन-देन टीएक्स इनपुट आउटपुट0 . . . आउटपुट . . . आउटपुटएन मुख्य छवि हस्ताक्षर अंगूठी पर हस्ताक्षर गंतव्य कुंजी आउटपुट1 गंतव्य कुंजी आउटपुटएन विदेशी लेनदेन प्रेषक का आउटपुट गंतव्य कुंजी एक बार की जोड़ी एक बार निजी कुंजी मैं = xHp(पी) पी, एक्स चित्र 7. एक मानक लेनदेन में रिंग सिग्नेचर जेनरेशन। 5 कार्य का समतावादी प्रमाण इस अनुभाग में हम नए proof-of-work एल्गोरिदम का प्रस्ताव और आधार बनाते हैं। हमारा प्राथमिक लक्ष्य सीपीयू (बहुमत) और जीपीयू/एफपीजीए/एएसआईसी (अल्पसंख्यक) खनिकों के बीच अंतर को कम करना है। यह है यह उचित है कि कुछ उपयोगकर्ताओं को दूसरों पर एक निश्चित लाभ हो सकता है, लेकिन उनका निवेश शक्ति के साथ कम से कम रैखिक रूप से बढ़ना चाहिए। अधिक सामान्यतः, विशेष प्रयोजन उपकरणों का उत्पादन जितना संभव हो उतना कम लाभदायक होना चाहिए। 5.1 संबंधित कार्य मूल Bitcoin proof-of-work प्रोटोकॉल CPU-सघन मूल्य निर्धारण फ़ंक्शन SHA-256 का उपयोग करता है। इसमें मुख्य रूप से बुनियादी तार्किक ऑपरेटर शामिल हैं और यह पूरी तरह से कम्प्यूटेशनल गति पर निर्भर करता है प्रोसेसर, इसलिए मल्टीकोर/कन्वेयर कार्यान्वयन के लिए बिल्कुल उपयुक्त है। हालाँकि, आधुनिक कंप्यूटर केवल प्रति सेकंड संचालन की संख्या तक ही सीमित नहीं हैं, लेकिन स्मृति आकार के अनुसार भी। जबकि कुछ प्रोसेसर अन्य [8] की तुलना में काफी तेज़ हो सकते हैं, मशीनों के बीच मेमोरी का आकार भिन्न होने की संभावना कम होती है। मेमोरी-बाउंड मूल्य फ़ंक्शन सबसे पहले अबादी एट अल द्वारा पेश किए गए थे और इन्हें इस प्रकार परिभाषित किया गया था "फ़ंक्शन जिनकी गणना का समय मेमोरी तक पहुँचने में लगने वाले समय पर हावी होता है" [15]। मुख्य विचार डेटा के एक बड़े ब्लॉक ("स्क्रैचपैड") को आवंटित करने वाले एल्गोरिदम का निर्माण करना है मेमोरी के भीतर जिसे अपेक्षाकृत धीरे-धीरे एक्सेस किया जा सकता है (उदाहरण के लिए, रैम) और "एक्सेसिंग ए इसके भीतर स्थानों का अप्रत्याशित क्रम”। एक ब्लॉक इतना बड़ा होना चाहिए कि उसे सुरक्षित रखा जा सके प्रत्येक एक्सेस के लिए डेटा की पुन:गणना करने की तुलना में यह अधिक लाभप्रद है। एल्गोरिदम भी होना चाहिए आंतरिक समानता को रोकें, इसलिए N एक साथ थ्रेड को N गुना अधिक मेमोरी की आवश्यकता होनी चाहिए एक बार में. डवर्क एट अल [22] ने इस दृष्टिकोण की जांच की और उसे औपचारिक रूप दिया, जिससे उन्हें दूसरा सुझाव देना पड़ा मूल्य निर्धारण फ़ंक्शन का प्रकार: "एमबाउंड"। एक और काम एफ. कोएल्हो [20] का है, जो 11 लेन-देन टीएक्स इनपुट आउटपुट0 . . . आउटपुट . . . आउटपुटएन मुख्य छवि हस्ताक्षर अंगूठी पर हस्ताक्षर गंतव्य कुंजी आउटपुट1 गंतव्य कुंजी आउटपुटएन विदेशी लेनदेन प्रेषक का आउटपुट गंतव्य कुंजी एक बार की जोड़ी एक बार निजी कुंजी मैं = xHp(पी) पी, एक्स चित्र 7. एक मानक लेनदेन में रिंग सिग्नेचर जेनरेशन। 5 कार्य का समतावादी प्रमाण इस अनुभाग में हम नए proof-of-work एल्गोरिदम का प्रस्ताव और आधार बनाते हैं। हमारा प्राथमिक लक्ष्य सीपीयू (बहुमत) और जीपीयू/एफपीजीए/एएसआईसी (अल्पसंख्यक) खनिकों के बीच अंतर को कम करना है। यह है यह उचित है कि कुछ उपयोगकर्ताओं को दूसरों पर एक निश्चित लाभ हो सकता है, लेकिन उनका निवेश शक्ति के साथ कम से कम रैखिक रूप से बढ़ना चाहिए। अधिक सामान्यतः, विशेष प्रयोजन उपकरणों का उत्पादन जितना संभव हो उतना कम लाभदायक होना चाहिए। 5.1 संबंधित कार्य मूल Bitcoin proof-of-work प्रोटोकॉल CPU-सघन मूल्य निर्धारण फ़ंक्शन SHA-256 का उपयोग करता है। इसमें मुख्य रूप से बुनियादी तार्किक ऑपरेटर शामिल हैं और यह पूरी तरह से कम्प्यूटेशनल गति पर निर्भर करता है प्रोसेसर, इसलिए मल्टीकोर/कन्वेयर कार्यान्वयन के लिए बिल्कुल उपयुक्त है। हालाँकि, आधुनिक कंप्यूटर केवल प्रति सेकंड संचालन की संख्या तक ही सीमित नहीं हैं, लेकिन स्मृति आकार के अनुसार भी। जबकि कुछ प्रोसेसर दूसरों की तुलना में काफी तेज़ हो सकते हैं [8], मशीनों के बीच मेमोरी का आकार भिन्न होने की संभावना कम होती है। मेमोरी-बाउंड मूल्य फ़ंक्शन सबसे पहले अबादी एट अल द्वारा पेश किए गए थे और इन्हें इस प्रकार परिभाषित किया गया था "फ़ंक्शन जिनकी गणना का समय मेमोरी तक पहुँचने में लगने वाले समय पर हावी होता है" [15]। मुख्य विचार डेटा के एक बड़े ब्लॉक ("स्क्रैचपैड") को आवंटित करने वाले एल्गोरिदम का निर्माण करना है मेमोरी के भीतर जिसे अपेक्षाकृत धीरे-धीरे एक्सेस किया जा सकता है (उदाहरण के लिए, रैम) और "एक्सेसिंग ए इसके भीतर स्थानों का अप्रत्याशित क्रम”। एक ब्लॉक इतना बड़ा होना चाहिए कि उसे सुरक्षित रखा जा सके प्रत्येक एक्सेस के लिए डेटा की पुन:गणना करने की तुलना में यह अधिक लाभप्रद है। एल्गोरिदम भी होना चाहिए आंतरिक समानता को रोकें, इसलिए N एक साथ थ्रेड को N गुना अधिक मेमोरी की आवश्यकता होनी चाहिए एक बार में. डवर्क एट अल [22] ने इस दृष्टिकोण की जांच की और उसे औपचारिक रूप दिया, जिससे उन्हें दूसरा सुझाव देना पड़ा मूल्य निर्धारण फ़ंक्शन का प्रकार: "एमबाउंड"। एक और काम एफ. कोएल्हो [20] का है, जो 11 21 जाहिरा तौर पर, ये हमारे UTXO हैं: राशियाँ और गंतव्य कुंजियाँ। यदि एलेक्स इस मानक लेनदेन का निर्माण कर रहा है और बॉब को भेज रहा है, तो एलेक्स के पास निजी कुंजी भी है इनमें से प्रत्येक को. मुझे यह आरेख बहुत पसंद है, क्योंकि यह पहले के कुछ प्रश्नों का उत्तर देता है। एक Txn इनपुट शामिल है Txn आउटपुट और एक ke के एक सेट काy छवि. इसके बाद सभी सहित रिंग सिग्नेचर के साथ हस्ताक्षर किया जाता है सौदे में शामिल सभी विदेशी लेनदेन के लिए एलेक्स के पास निजी चाबियाँ हैं। द Txn आउटपुट में एक राशि और एक गंतव्य कुंजी होती है। लेन-देन का प्राप्तकर्ता, इच्छानुसार, खर्च करने के लिए पेपर में पहले वर्णित अनुसार अपनी एकमुश्त निजी कुंजी उत्पन्न करें पैसा. यह जानना आनंददायक होगा कि यह वास्तविक कोड से कितना मेल खाता है... नहीं, निक वैन सेबरहेगन कार्य प्रमाण एल्गोरिदम के कुछ गुणों का शिथिल रूप से वर्णन करते हैं, वास्तव में उस एल्गोरिदम का वर्णन किए बिना। क्रिप्टोनाइट एल्गोरिथम को स्वयं गहन विश्लेषण की आवश्यकता होगी। जब मैंने इसे पढ़ा तो मैं हकला गया। क्या निवेश कम से कम शक्ति के साथ रैखिक रूप से बढ़ना चाहिए, या होना चाहिए निवेश शक्ति के साथ अधिकतम रैखिक रूप से बढ़ता है? और तब मुझे एहसास हुआ; मैं, एक खनिक या निवेशक के रूप में, आमतौर पर सोचता हूं कि "मुझे कितनी बिजली मिल सकती है निवेश के लिए?" न कि "एक निश्चित मात्रा में बिजली के लिए कितना निवेश आवश्यक है?" निःसंदेह, निवेश को I से और शक्ति को P से निरूपित करें। यदि I(P) शक्ति के फलन के रूप में निवेश है और पी(आई) निवेश के कार्य के रूप में शक्ति है, वे एक दूसरे के व्युत्क्रम होंगे (जहाँ भी व्युत्क्रम मौजूद हो सकते हैं)। और यदि I(P) रैखिक से तेज़ है तो P(I) रैखिक से धीमा है। इसलिए, निवेशकों के लिए रिटर्न की दर कम हो जाएगी। कहने का तात्पर्य यह है कि, लेखक यहाँ जो कह रहा है वह यह है: "निश्चित रूप से, जैसे-जैसे आप अधिक निवेश करेंगे, आपको और अधिक मिलेगा शक्ति. लेकिन हमें इसे रिटर्न की कम दर वाली चीज़ बनाने की कोशिश करनी चाहिए।" सीपीयू निवेश अंततः उप-रैखिक रूप से समाप्त हो जाएगा; सवाल यह है कि क्या लेखक ने एक POW एल्गोरिदम डिज़ाइन किया है जो ASIC को भी ऐसा करने के लिए बाध्य करेगा। क्या एक काल्पनिक "भविष्य की मुद्रा" को हमेशा सबसे धीमे/सबसे सीमित संसाधनों के साथ खनन करना चाहिए? अबादी एट अल का पेपर, (जिसमें कुछ Google और Microsoft इंजीनियर लेखक हैं) है, अनिवार्य रूप से, इस तथ्य का उपयोग करते हुए कि पिछले कुछ वर्षों से मेमोरी का आकार बहुत छोटा हो गया है प्रोसेसर की गति की तुलना में मशीनों में भिन्नता, और रैखिक निवेश-फॉरपावर अनुपात से अधिक के साथ। कुछ वर्षों में इसका पुनः मूल्यांकन करना पड़ सकता है! सब कुछ हथियारों की होड़ है... hash फ़ंक्शन का निर्माण करना कठिन है; इन बाधाओं को पूरा करते हुए hash फ़ंक्शन का निर्माण करना अधिक कठिन प्रतीत होता है। ऐसा लगता है कि इस पेपर में वास्तविकता का कोई स्पष्टीकरण नहीं है hashआईएनजी एल्गोरिदम क्रिप्टोनाइट। मुझे लगता है कि यह SHA-3 का मेमोरी-हार्ड कार्यान्वयन है फ़ोरम पोस्ट पर लेकिन मुझे कोई जानकारी नहीं है... और यही बात है। इसकी व्याख्या होनी चाहिए.

सबसे प्रभावी समाधान प्रस्तावित: "होक्काइडो"। हमारी जानकारी के अनुसार एक बड़े सरणी में छद्म-यादृच्छिक खोजों के विचार पर आधारित अंतिम कार्य है एल्गोरिथ्म को सी. पर्सीवल [32] द्वारा "स्क्रिप्ट" के रूप में जाना जाता है। पिछले कार्यों के विपरीत यह इस पर ध्यान केंद्रित करता है कुंजी व्युत्पत्ति, न कि proof-of-work सिस्टम। इस तथ्य के बावजूद स्क्रिप हमारा उद्देश्य पूरा कर सकता है: यह आंशिक hash रूपांतरण समस्या जैसे SHA-256 में मूल्य निर्धारण फ़ंक्शन के रूप में अच्छी तरह से काम करता है Bitcoin. अब तक स्क्रिप्ट को Litecoin [14] और कुछ अन्य Bitcoin फोर्क्स में पहले ही लागू किया जा चुका है। हालाँकि, इसका कार्यान्वयन वास्तव में मेमोरी-बाउंड नहीं है: अनुपात "मेमोरी एक्सेस टाइम / समग्र।" समय" पर्याप्त बड़ा नहीं है क्योंकि प्रत्येक उदाहरण केवल 128 केबी का उपयोग करता है। यह GPU खनिकों को अनुमति देता है लगभग 10 गुना अधिक प्रभावी होना और अपेक्षाकृत सृजन की संभावना छोड़ना जारी रखता है सस्ते लेकिन अत्यधिक कुशल खनन उपकरण। इसके अलावा, स्क्रिप्ट निर्माण स्वयं मेमोरी आकार और के बीच एक रैखिक व्यापार की अनुमति देता है सीपीयू की गति इस तथ्य के कारण है कि स्क्रैचपैड में प्रत्येक ब्लॉक केवल पिछले से लिया गया है। उदाहरण के लिए, आप हर दूसरे ब्लॉक को स्टोर कर सकते हैं और दूसरों को आलसी तरीके से पुनर्गणना कर सकते हैं, यानी केवल जब यह आवश्यक हो जाता है. छद्म-यादृच्छिक सूचकांकों को समान रूप से वितरित माना जाता है, इसलिए अतिरिक्त ब्लॉकों की पुनर्गणना का अपेक्षित मूल्य 1 है 2 $\cdot$ एन, जहां एन संख्या है पुनरावृत्तियों का. कुल गणना समय आधे से भी कम बढ़ जाता है क्योंकि वहाँ भी हैं समय स्वतंत्र (निरंतर समय) संचालन जैसे स्क्रैचपैड तैयार करना और hashing करना हर पुनरावृत्ति. मेमोरी का 2/3 भाग सहेजने में 1 लागत आती है 3 $\cdot$ एन + 1 3 $\cdot$ 2 $\cdot$ एन = एन अतिरिक्त पुनर्गणना; 9/10 परिणाम 1 10 $\cdot$ एन + . . . +1 10 $\cdot$ 9 $\cdot$ एन = 4.5एन. यह दिखाना आसान है कि भंडारण केवल 1 है सभी ब्लॉक के एस समय को s−1 के गुणनखंड से कम बढ़ाता है 2 . इसका तात्पर्य यह है कि सीपीयू वाली एक मशीन आधुनिक चिप्स से 200 गुना तेज यह स्क्रैचपैड के केवल 320 बाइट्स को स्टोर कर सकता है। 5.2 प्रस्तावित एल्गोरिदम हम proof-of-work मूल्य निर्धारण फ़ंक्शन के लिए एक नया मेमोरी-बाउंड एल्गोरिदम प्रस्तावित करते हैं। यह निर्भर करता है धीमी मेमोरी तक यादृच्छिक पहुंच और विलंबता निर्भरता पर जोर देती है। हर स्क्रीप्ट के विपरीत नया ब्लॉक (लंबाई में 64 बाइट्स) पिछले सभी ब्लॉक पर निर्भर करता है। परिणामस्वरूप एक काल्पनिक "मेमोरी-सेवर" को अपनी गणना गति तेजी से बढ़ानी चाहिए। हमारे एल्गोरिदम को निम्नलिखित कारणों से प्रति उदाहरण लगभग 2 एमबी की आवश्यकता होती है: 1. यह आधुनिक प्रोसेसर के L3 कैश (प्रति कोर) में फिट बैठता है, जिसे मुख्यधारा बनना चाहिए कुछ वर्षों में; 2. आधुनिक ASIC पाइपलाइन के लिए आंतरिक मेमोरी का एक मेगाबाइट लगभग अस्वीकार्य आकार है; 3. GPU सैकड़ों समवर्ती उदाहरण चला सकते हैं, लेकिन वे अन्य तरीकों से सीमित हैं: GDDR5 मेमोरी CPU L3 कैश की तुलना में धीमी है और इसकी बैंडविड्थ के लिए उल्लेखनीय है, नहीं यादृच्छिक अभिगम गति. 4. स्क्रैचपैड के महत्वपूर्ण विस्तार के लिए पुनरावृत्तियों में वृद्धि की आवश्यकता होगी, जिसमें टर्न का तात्पर्य समग्र समय में वृद्धि से है। विश्वास-रहित पी2पी नेटवर्क में "भारी" कॉल का परिणाम हो सकता है गंभीर कमज़ोरियाँ, क्योंकि नोड्स प्रत्येक नए ब्लॉक के proof-of-work की जाँच करने के लिए बाध्य हैं। यदि कोई नोड प्रत्येक hash मूल्यांकन पर काफी समय खर्च करता है, तो इसे आसानी से किया जा सकता है मनमाने कार्य डेटा (nonce मान) के साथ नकली वस्तुओं की बाढ़ से DDoSed। 12 सबसे प्रभावी समाधान प्रस्तावित: "होक्काइडो"। हमारी जानकारी के अनुसार एक बड़े सरणी में छद्म-यादृच्छिक खोजों के विचार पर आधारित अंतिम कार्य है एल्गोरिथ्म को सी. पर्सिवल [32] द्वारा "स्क्रिप्ट" के रूप में जाना जाता है। पिछले कार्यों के विपरीत यह इस पर ध्यान केंद्रित करता है कुंजी व्युत्पत्ति, न कि proof-of-work सिस्टम। इस तथ्य के बावजूद स्क्रिप हमारा उद्देश्य पूरा कर सकता है: यह आंशिक hash रूपांतरण समस्या जैसे SHA-256 में मूल्य निर्धारण फ़ंक्शन के रूप में अच्छी तरह से काम करता है Bitcoin. अब तक स्क्रिप्ट को Litecoin [14] और कुछ अन्य Bitcoin फोर्क्स में पहले ही लागू किया जा चुका है। हालाँकि, इसका कार्यान्वयन वास्तव में मेमोरी-बाउंड नहीं है: अनुपात "मेमोरी एक्सेस टाइम / समग्र।" समय" पर्याप्त बड़ा नहीं है क्योंकि प्रत्येक उदाहरण केवल 128 केबी का उपयोग करता है। यह GPU खनिकों को अनुमति देता है लगभग 10 गुना अधिक प्रभावी होना और अपेक्षाकृत सृजन की संभावना छोड़ना जारी रखता है सस्ते लेकिन अत्यधिक कुशल खनन उपकरण। इसके अलावा, स्क्रिप्ट निर्माण स्वयं मेमोरी आकार और के बीच एक रैखिक व्यापार की अनुमति देता है सीपीयू की गति इस तथ्य के कारण है कि स्क्रैचपैड में प्रत्येक ब्लॉक केवल पिछले से लिया गया है। उदाहरण के लिए, आप हर दूसरे ब्लॉक को स्टोर कर सकते हैं और दूसरों को आलसी तरीके से पुनर्गणना कर सकते हैं, यानी केवल जब यह आवश्यक हो जाता है. छद्म-यादृच्छिक सूचकांकों को समान रूप से वितरित माना जाता है, इसलिए अतिरिक्त ब्लॉकों की पुनर्गणना का अपेक्षित मूल्य 1 है 2 $\cdot$ एन, कहांएन संख्या है पुनरावृत्तियों का. कुल गणना समय आधे से भी कम बढ़ जाता है क्योंकि वहाँ भी हैं समय स्वतंत्र (निरंतर समय) संचालन जैसे स्क्रैचपैड तैयार करना और hashing करना हर पुनरावृत्ति. मेमोरी का 2/3 भाग सहेजने में 1 लागत आती है 3 $\cdot$ एन + 1 3 $\cdot$ 2 $\cdot$ एन = एन अतिरिक्त पुनर्गणना; 9/10 परिणाम 1 10 $\cdot$ एन + . . . +1 10 $\cdot$ 9 $\cdot$ एन = 4.5एन. यह दिखाना आसान है कि भंडारण केवल 1 है सभी ब्लॉक के एस समय को s−1 के गुणनखंड से कम बढ़ाता है 2 . इसका तात्पर्य यह है कि सीपीयू वाली एक मशीन आधुनिक चिप्स से 200 गुना तेज यह स्क्रैचपैड के केवल 320 बाइट्स को स्टोर कर सकता है। 5.2 प्रस्तावित एल्गोरिदम हम proof-of-work मूल्य निर्धारण फ़ंक्शन के लिए एक नया मेमोरी-बाउंड एल्गोरिदम प्रस्तावित करते हैं। यह निर्भर करता है धीमी मेमोरी तक यादृच्छिक पहुंच और विलंबता निर्भरता पर जोर देती है। हर स्क्रीप्ट के विपरीत नया ब्लॉक (लंबाई में 64 बाइट्स) पिछले सभी ब्लॉक पर निर्भर करता है। परिणामस्वरूप एक काल्पनिक "मेमोरी-सेवर" को अपनी गणना गति तेजी से बढ़ानी चाहिए। हमारे एल्गोरिदम को निम्नलिखित कारणों से प्रति उदाहरण लगभग 2 एमबी की आवश्यकता होती है: 1. यह आधुनिक प्रोसेसर के L3 कैश (प्रति कोर) में फिट बैठता है, जिसे मुख्यधारा बनना चाहिए कुछ वर्षों में; 2. आधुनिक ASIC पाइपलाइन के लिए आंतरिक मेमोरी का एक मेगाबाइट लगभग अस्वीकार्य आकार है; 3. GPU सैकड़ों समवर्ती उदाहरण चला सकते हैं, लेकिन वे अन्य तरीकों से सीमित हैं: GDDR5 मेमोरी CPU L3 कैश की तुलना में धीमी है और इसकी बैंडविड्थ के लिए उल्लेखनीय है, नहीं यादृच्छिक अभिगम गति. 4. स्क्रैचपैड के महत्वपूर्ण विस्तार के लिए पुनरावृत्तियों में वृद्धि की आवश्यकता होगी, जिसमें टर्न का तात्पर्य समग्र समय में वृद्धि से है। विश्वास-रहित पी2पी नेटवर्क में "भारी" कॉल का परिणाम हो सकता है गंभीर कमज़ोरियाँ, क्योंकि नोड्स प्रत्येक नए ब्लॉक के proof-of-work की जाँच करने के लिए बाध्य हैं। यदि कोई नोड प्रत्येक hash मूल्यांकन पर काफी समय खर्च करता है, तो इसे आसानी से किया जा सकता है मनमाने कार्य डेटा (nonce मान) के साथ नकली वस्तुओं की बाढ़ से DDoSed। 12 22 कोई बात नहीं, यह एक स्क्रीप्ट सिक्का है? एल्गोरिदम कहां है? मैं केवल एक विज्ञापन देखता हूं। यह वह जगह है जहां क्रिप्टोनोट, यदि उनका पीओडब्ल्यू एल्गोरिदम सार्थक है, वास्तव में चमकेगा। यह नहीं है वास्तव में SHA-256, यह वास्तव में स्क्रिप्ट नहीं है। यह नया, मेमोरी बाउंड और गैर-पुनरावर्ती है।

6 और भी फायदे 6.1 सहज उत्सर्जन क्रिप्टोनोट डिजिटल सिक्कों की कुल मात्रा के लिए ऊपरी सीमा है: MSupply = 264 −1 परमाणु इकाइयाँ. यह एक प्राकृतिक प्रतिबंध है जो केवल कार्यान्वयन सीमाओं पर आधारित है, अंतर्ज्ञान पर नहीं जैसे कि "एन सिक्के किसी के लिए भी पर्याप्त होने चाहिए"। उत्सर्जन प्रक्रिया की सुचारूता सुनिश्चित करने के लिए हम ब्लॉक के लिए निम्नलिखित सूत्र का उपयोग करते हैं पुरस्कार: बेसरिवार्ड = (एमएस सप्लाई −ए) ≫18, जहां A पहले से उत्पन्न सिक्कों की मात्रा है। 6.2 समायोज्य पैरामीटर 6.2.1 कठिनाई क्रिप्टोनोट में एक लक्ष्यीकरण एल्गोरिदम होता है जो प्रत्येक ब्लॉक की कठिनाई को बदल देता है। यह जब नेटवर्क hashदर तीव्रता से बढ़ रहा हो या सिकुड़ रहा हो, तो सिस्टम का प्रतिक्रिया समय कम हो जाता है, एक स्थिर ब्लॉक दर का संरक्षण। मूल Bitcoin विधि वास्तविक के संबंध की गणना करती है और पिछले 2016 ब्लॉकों के बीच समय-अवधि को लक्षित करता है और इसे वर्तमान के लिए गुणक के रूप में उपयोग करता है कठिनाई. जाहिर है यह तेजी से पुनर्गणना के लिए अनुपयुक्त है (बड़ी जड़ता के कारण) और परिणाम स्वरूप दोलन होता है। हमारे एल्गोरिदम के पीछे सामान्य विचार नोड्स द्वारा पूर्ण किए गए सभी कार्यों का योग करना है इसे उनके द्वारा खर्च किये गये समय से विभाजित करें। कार्य का माप संगत कठिनाई मान है प्रत्येक ब्लॉक में. लेकिन गलत और अविश्वसनीय टाइमस्टैम्प के कारण हम सटीक निर्धारण नहीं कर सकते ब्लॉकों के बीच समय अंतराल. उपयोगकर्ता अपने टाइमस्टैम्प को भविष्य और अगली बार में स्थानांतरित कर सकता है अंतराल असंभव रूप से छोटा या नकारात्मक भी हो सकता है। संभवतः कुछ घटनाएं होंगी इस प्रकार, इसलिए हम केवल टाइमस्टैम्प और कट-ऑफ आउटलेर्स (यानी 20%) को सॉर्ट कर सकते हैं। की रेंज शेष मान वह समय है जो संबंधित ब्लॉकों के 80% के लिए व्यतीत किया गया था। 6.2.2 आकार सीमा उपयोगकर्ता blockchain को संग्रहीत करने के लिए भुगतान करते हैं और इसके आकार के लिए वोट करने के हकदार होंगे। हर खनिक फीस से लागत और लाभ को संतुलित करने के बीच व्यापार से संबंधित है और अपना स्वयं का निर्धारण करता है ब्लॉक बनाने के लिए "सॉफ्ट-लिमिट"। इसके अलावा अधिकतम ब्लॉक आकार के लिए मूल नियम आवश्यक है blockchain को फर्जी लेनदेन से भरने से रोकना, हालाँकि यह मान होना चाहिए हार्ड-कोडित न हों. मान लीजिए कि MN अंतिम N ब्लॉक आकारों का औसत मान है। फिर आकार के लिए "हार्ड-लिमिट"। ब्लॉक स्वीकार करने की संख्या 2 $\cdot$ एमएन है। यह blockchain को फूलने से रोकता है लेकिन फिर भी इसकी सीमा की अनुमति देता है यदि आवश्यक हो तो समय के साथ धीरे-धीरे बढ़ें। लेन-देन का आकार स्पष्ट रूप से सीमित करने की आवश्यकता नहीं है। यह एक ब्लॉक के आकार से घिरा हुआ है; और यदि कोई सैकड़ों इनपुट/आउटपुट (या साथ) के साथ एक बड़ा लेनदेन बनाना चाहता है रिंग हस्ताक्षरों में उच्च अस्पष्टता की डिग्री), वह पर्याप्त शुल्क का भुगतान करके ऐसा कर सकता है। 6.2.3 अधिक आकार पर जुर्माना एक खनिक के पास अभी भी अपने स्वयं के शून्य-शुल्क लेनदेन को अधिकतम सीमा तक ब्लॉक करने की क्षमता है आकार 2 $\cdot$ एमबी. हालाँकि केवल अधिकांश खनिक ही औसत मूल्य को स्थानांतरित कर सकते हैं, फिर भी एक है 13 6 और भी फायदे 6.1 सहज उत्सर्जन क्रिप्टोनोट डिजिटल सिक्कों की कुल मात्रा के लिए ऊपरी सीमा है: MSupply = 264 −1 परमाणु इकाइयाँ. यह एक प्राकृतिक प्रतिबंध है जो केवल कार्यान्वयन सीमाओं पर आधारित है, अंतर्ज्ञान पर नहीं जैसे कि "एन सिक्के किसी के लिए भी पर्याप्त होने चाहिए"। उत्सर्जन प्रक्रिया की सुचारूता सुनिश्चित करने के लिए हम ब्लॉक के लिए निम्नलिखित सूत्र का उपयोग करते हैं पुरस्कार: बेसरिवार्ड = (एमएस सप्लाई −ए) ≫18, जहां A पहले से उत्पन्न सिक्कों की मात्रा है। 6.2 समायोज्य पैरामीटर 6.2.1 कठिनाई क्रिप्टोनोट में एक लक्ष्यीकरण एल्गोरिदम होता है जो प्रत्येक ब्लॉक की कठिनाई को बदल देता है। यह जब नेटवर्क hashदर तीव्रता से बढ़ रहा हो या सिकुड़ रहा हो, तो सिस्टम का प्रतिक्रिया समय कम हो जाता है, एक स्थिर ब्लॉक दर का संरक्षण। मूल Bitcoin विधि वास्तविक के संबंध की गणना करती है और पिछले 2016 ब्लॉकों के बीच समय-अवधि को लक्षित करता है और इसे वर्तमान के लिए गुणक के रूप में उपयोग करता है कठिनाई. जाहिर है यह तेजी से पुनर्गणना के लिए अनुपयुक्त है (बड़ी जड़ता के कारण) और परिणाम स्वरूप दोलन होता है। हमारे एल्गोरिदम के पीछे सामान्य विचार नोड्स द्वारा पूर्ण किए गए सभी कार्यों का योग करना है इसे उनके द्वारा खर्च किये गये समय से विभाजित करें। कार्य का माप संगत कठिनाई मान है प्रत्येक ब्लॉक में. लेकिन गलत और अविश्वसनीय टाइमस्टैम्प के कारण हम सटीक निर्धारण नहीं कर सकते ब्लॉकों के बीच समय अंतराल. उपयोगकर्ता अपने टाइमस्टैम्प को भविष्य और अगली बार में स्थानांतरित कर सकता है अंतराल असंभव रूप से छोटा या नकारात्मक भी हो सकता है। संभवतः कुछ घटनाएं होंगी इस प्रकार, इसलिए हम केवल टाइमस्टैम्प और कट-ऑफ आउटलेर्स (यानी 20%) को सॉर्ट कर सकते हैं। की रेंज शेष मान वह समय है जो संबंधित ब्लॉकों के 80% के लिए व्यतीत किया गया था। 6.2.2 आकार सीमा उपयोगकर्ता blockchain को संग्रहीत करने के लिए भुगतान करते हैं और इसके आकार के लिए वोट करने के हकदार होंगे। हर खनिक संतुलन के बीच व्यापार-संबंध से संबंधित हैवह फीस से लागत और मुनाफा कमाता है और अपना खर्च खुद तय करता है ब्लॉक बनाने के लिए "सॉफ्ट-लिमिट"। इसके अलावा अधिकतम ब्लॉक आकार के लिए मूल नियम आवश्यक है blockchain को फर्जी लेन-देन की बाढ़ से बचाना, हालाँकि यह मान होना चाहिए हार्ड-कोडित न हों. मान लीजिए कि MN अंतिम N ब्लॉक आकारों का औसत मान है। फिर आकार के लिए "हार्ड-लिमिट"। ब्लॉक स्वीकार करने की संख्या 2 $\cdot$ एमएन है। यह blockchain को फूलने से रोकता है लेकिन फिर भी इसकी सीमा की अनुमति देता है यदि आवश्यक हो तो समय के साथ धीरे-धीरे बढ़ें। लेन-देन का आकार स्पष्ट रूप से सीमित करने की आवश्यकता नहीं है। यह एक ब्लॉक के आकार से घिरा हुआ है; और यदि कोई सैकड़ों इनपुट/आउटपुट (या साथ) के साथ एक बड़ा लेनदेन बनाना चाहता है रिंग हस्ताक्षरों में उच्च अस्पष्टता की डिग्री), वह पर्याप्त शुल्क का भुगतान करके ऐसा कर सकता है। 6.2.3 अधिक आकार पर जुर्माना एक खनिक के पास अभी भी अपने स्वयं के शून्य-शुल्क लेनदेन को अधिकतम सीमा तक ब्लॉक करने की क्षमता है आकार 2 $\cdot$ एमबी. हालाँकि केवल अधिकांश खनिक ही औसत मूल्य को स्थानांतरित कर सकते हैं, फिर भी एक है 13 23 परमाणु इकाइयाँ। मुझे वह पसंद है। क्या यह सातोशी के समकक्ष है? अगर ऐसा है, तो इसका मतलब है कि 185 बिलियन क्रिप्टोनोट होने वाले हैं। मैं जानता हूं कि अंततः इसे कुछ पन्नों में बदला जाना चाहिए, या हो सकता है कि इसमें कोई टाइपो त्रुटि हो? यदि आधार इनाम "सभी शेष सिक्के" है तो सभी सिक्के प्राप्त करने के लिए केवल एक ब्लॉक पर्याप्त है। इंस्टामाइन। दूसरी ओर, यदि यह किसी तरह से आनुपातिक माना जाता है अब और कुछ सिक्का-उत्पादन-समाप्ति-तिथि के बीच समय में अंतर? वह होगा मतलब समझो. साथ ही, मेरी दुनिया में, इस तरह के दो ग्रेटर दैन संकेतों का अर्थ है "इससे कहीं अधिक महान।" लेखक ने किया संभवतः कुछ और मतलब? यदि कठिनाई के अनुसार समायोजन हर ब्लॉक में होता है तो एक हमलावर के पास बहुत बड़ा फ़ार्म हो सकता है मशीनें सावधानी से चुने गए समय अंतराल में चालू और बंद होती हैं। यदि कठिनाई समायोजन फ़ार्मुलों को उपयुक्त रूप से नम नहीं किया गया है, तो यह कठिनाई में एक अराजक विस्फोट (या शून्य पर क्रैश) का कारण बन सकता है। इसमें कोई संदेह नहीं है कि Bitcoin की विधि तीव्र पुनर्गणना के लिए अनुपयुक्त है, लेकिन जड़ता का विचार इन प्रणालियों में सिद्ध करने की आवश्यकता होगी, न कि हल्के में लेने की। इसके अलावा, दोलन नेटवर्क में कठिनाई आवश्यक रूप से एक समस्या नहीं है जब तक कि इसके परिणामस्वरूप प्रत्यक्ष रूप से दोलन न हो सिक्कों की आपूर्ति - और बहुत तेजी से बदलती कठिनाई के कारण "अति-सुधार" हो सकता है। बिताया गया समय, विशेष रूप से कुछ मिनटों जैसे थोड़े से समय में, "कुल" के समानुपाती होगा नेटवर्क पर बनाए गए ब्लॉकों की संख्या।" आनुपातिकता का स्थिरांक अपने आप बढ़ेगा समय के साथ, संभवतः तेजी से यदि CN ओﬀ लेता है। यह एक बेहतर विचार हो सकता है कि "सृजित कुल ब्लॉकों" को बनाए रखने के लिए कठिनाई को आसानी से समायोजित किया जाए नेटवर्क क्योंकि अंतिम ब्लॉक को मुख्य श्रृंखला में जोड़ा गया था" कुछ स्थिर मूल्य के भीतर, या साथ सीमित भिन्नता या ऐसा कुछ। यदि एक अनुकूली एल्गोरिदम जो कम्प्यूटेशनल है कार्यान्वयन में आसानी निर्धारित की जा सकती है, इससे समस्या का समाधान प्रतीत होगा। लेकिन फिर, अगर हम उस पद्धति का उपयोग करते हैं, तो बड़े खनन फार्म वाला कोई व्यक्ति अपने फार्म को बंद कर सकता है कुछ घंटों के लिए, और इसे फिर से चालू करें। पहले कुछ ब्लॉकों के लिए, वह फार्म बनाएगा बैंक. तो, वास्तव में, यह विधि एक दिलचस्प बात सामने लाएगी: खनन (औसतन) बन जाता है बिना आरओआई के गेम हारना, खासकर जब अधिक लोग नेटवर्क पर आते हैं। यदि खनन में कठिनाई हो बहुत बारीकी से ट्रैक किए गए नेटवर्क hashरेट, मुझे किसी तरह संदेह है कि लोग उतना ही खनन करेंगे जितना वे करते हैं वर्तमान में करते हैं. या, दूसरी ओर, वे अपने खनन फार्मों को चौबीसों घंटे चालू रखने के बजाय, उन्हें चालू कर सकते हैं 6 घंटे के लिए चालू, 2 के लिए चालू, 6 के लिए चालू, 2 के लिए चालू, या ऐसा ही कुछ। बस दूसरे सिक्के पर स्विच करें कुछ घंटों के लिए, कठिनाई कम होने तक प्रतीक्षा करें, फिर कुछ अतिरिक्त हासिल करने के लिए वापस कूद पड़ें नेटवर्क के अनुकूल होने पर लाभप्रदता के ब्लॉक। और तुम्हें पता है क्या? यह वास्तव में शायद है बेहतर खनन परिदृश्यों में से एक, जिसमें मैंने अपना दिमाग लगाया है... यह गोलाकार हो सकता है, लेकिन यदि ब्लॉक निर्माण का समय औसत लगभग एक मिनट है, तो क्या हम ऐसा कर सकते हैं "समय बिताया?" के लिए प्रॉक्सी के रूप में ब्लॉक की संख्या का उपयोग करें?

6 और भी फायदे 6.1 सहज उत्सर्जन क्रिप्टोनोट डिजिटल सिक्कों की कुल मात्रा के लिए ऊपरी सीमा है: MSupply = 264 −1 परमाणु इकाइयाँ. यह एक प्राकृतिक प्रतिबंध है जो केवल कार्यान्वयन सीमाओं पर आधारित है, अंतर्ज्ञान पर नहीं जैसे कि "एन सिक्के किसी के लिए भी पर्याप्त होने चाहिए"। उत्सर्जन प्रक्रिया की सुचारूता सुनिश्चित करने के लिए हम ब्लॉक के लिए निम्नलिखित सूत्र का उपयोग करते हैं पुरस्कार: बेसरिवार्ड = (एमएस सप्लाई −ए) ≫18, जहां A पहले से उत्पन्न सिक्कों की मात्रा है। 6.2 समायोज्य पैरामीटर 6.2.1 कठिनाई क्रिप्टोनोट में एक लक्ष्यीकरण एल्गोरिदम होता है जो प्रत्येक ब्लॉक की कठिनाई को बदल देता है। यह जब नेटवर्क hashदर तीव्रता से बढ़ रहा हो या सिकुड़ रहा हो, तो सिस्टम का प्रतिक्रिया समय कम हो जाता है, एक स्थिर ब्लॉक दर का संरक्षण। मूल Bitcoin विधि वास्तविक के संबंध की गणना करती है और पिछले 2016 ब्लॉकों के बीच समय-अवधि को लक्षित करता है और इसे वर्तमान के लिए गुणक के रूप में उपयोग करता है कठिनाई. जाहिर है यह तेजी से पुनर्गणना के लिए अनुपयुक्त है (बड़ी जड़ता के कारण) और परिणाम स्वरूप दोलन होता है। हमारे एल्गोरिदम के पीछे सामान्य विचार नोड्स द्वारा पूर्ण किए गए सभी कार्यों का योग करना है इसे उनके द्वारा खर्च किये गये समय से विभाजित करें। कार्य का माप संगत कठिनाई मान है प्रत्येक ब्लॉक में. लेकिन गलत और अविश्वसनीय टाइमस्टैम्प के कारण हम सटीक निर्धारण नहीं कर सकते ब्लॉकों के बीच समय अंतराल. उपयोगकर्ता अपने टाइमस्टैम्प को भविष्य और अगली बार में स्थानांतरित कर सकता है अंतराल असंभव रूप से छोटा या नकारात्मक भी हो सकता है। संभवतः कुछ घटनाएं होंगी इस प्रकार, इसलिए हम केवल टाइमस्टैम्प और कट-ऑफ आउटलेर्स (यानी 20%) को सॉर्ट कर सकते हैं। की रेंज शेष मान वह समय है जो संबंधित ब्लॉकों के 80% के लिए व्यतीत किया गया था। 6.2.2 आकार सीमा उपयोगकर्ता blockchain को संग्रहीत करने के लिए भुगतान करते हैं और इसके आकार के लिए वोट करने के हकदार होंगे। हर खनिक फीस से लागत और लाभ को संतुलित करने के बीच व्यापार से संबंधित है और अपना स्वयं का निर्धारण करता है ब्लॉक बनाने के लिए "सॉफ्ट-लिमिट"। इसके अलावा अधिकतम ब्लॉक आकार के लिए मूल नियम आवश्यक है blockchain को फर्जी लेन-देन की बाढ़ से बचाना, हालाँकि यह मान होना चाहिए हार्ड-कोडित न हों. मान लीजिए कि MN अंतिम N ब्लॉक आकारों का औसत मान है। फिर आकार के लिए "हार्ड-लिमिट"। ब्लॉक स्वीकार करने की संख्या 2 $\cdot$ एमएन है। यह blockchain को फूलने से रोकता है लेकिन फिर भी इसकी सीमा की अनुमति देता है यदि आवश्यक हो तो समय के साथ धीरे-धीरे बढ़ें। लेन-देन का आकार स्पष्ट रूप से सीमित करने की आवश्यकता नहीं है। यह एक ब्लॉक के आकार से घिरा हुआ है; और यदि कोई सैकड़ों इनपुट/आउटपुट (या साथ) के साथ एक बड़ा लेनदेन बनाना चाहता है रिंग हस्ताक्षरों में उच्च अस्पष्टता की डिग्री), वह पर्याप्त शुल्क का भुगतान करके ऐसा कर सकता है। 6.2.3 अधिक आकार पर जुर्माना एक खनिक के पास अभी भी अपने स्वयं के शून्य-शुल्क लेनदेन को अधिकतम सीमा तक ब्लॉक करने की क्षमता है आकार 2 $\cdot$ एमबी. हालाँकि केवल अधिकांश खनिक ही औसत मूल्य को स्थानांतरित कर सकते हैं, फिर भी एक है 13 6 और भी फायदे 6.1 सहज उत्सर्जन क्रिप्टोनोट डिजिटल सिक्कों की कुल मात्रा के लिए ऊपरी सीमा है: MSupply = 264 −1 परमाणु इकाइयाँ. यह एक प्राकृतिक प्रतिबंध है जो केवल कार्यान्वयन सीमाओं पर आधारित है, अंतर्ज्ञान पर नहीं जैसे कि "एन सिक्के किसी के लिए भी पर्याप्त होने चाहिए"। उत्सर्जन प्रक्रिया की सुचारूता सुनिश्चित करने के लिए हम ब्लॉक के लिए निम्नलिखित सूत्र का उपयोग करते हैं पुरस्कार: बेसरिवार्ड = (एमएस सप्लाई −ए) ≫18, जहां A पहले से उत्पन्न सिक्कों की मात्रा है। 6.2 समायोज्य पैरामीटर 6.2.1 कठिनाई क्रिप्टोनोट में एक लक्ष्यीकरण एल्गोरिदम होता है जो प्रत्येक ब्लॉक की कठिनाई को बदल देता है। यह जब नेटवर्क hashदर तीव्रता से बढ़ रहा हो या सिकुड़ रहा हो, तो सिस्टम का प्रतिक्रिया समय कम हो जाता है, एक स्थिर ब्लॉक दर का संरक्षण। मूल Bitcoin विधि वास्तविक के संबंध की गणना करती है और पिछले 2016 ब्लॉकों के बीच समय-अवधि को लक्षित करता है और इसे वर्तमान के लिए गुणक के रूप में उपयोग करता है कठिनाई. जाहिर है यह तेजी से पुनर्गणना के लिए अनुपयुक्त है (बड़ी जड़ता के कारण) और परिणाम स्वरूप दोलन होता है। हमारे एल्गोरिदम के पीछे सामान्य विचार नोड्स द्वारा पूर्ण किए गए सभी कार्यों का योग करना है इसे उनके द्वारा खर्च किये गये समय से विभाजित करें। कार्य का माप संगत कठिनाई मान है प्रत्येक ब्लॉक में. लेकिन गलत और अविश्वसनीय टाइमस्टैम्प के कारण हम सटीक निर्धारण नहीं कर सकते ब्लॉकों के बीच समय अंतराल. उपयोगकर्ता अपने टाइमस्टैम्प को भविष्य और अगली बार में स्थानांतरित कर सकता है अंतराल असंभव रूप से छोटा या नकारात्मक भी हो सकता है। संभवतः कुछ घटनाएं होंगी इस प्रकार, इसलिए हम केवल टाइमस्टैम्प और कट-ऑफ आउटलेर्स (यानी 20%) को सॉर्ट कर सकते हैं। की रेंज शेष मान वह समय है जो संबंधित ब्लॉकों के 80% के लिए व्यतीत किया गया था। 6.2.2 आकार सीमा उपयोगकर्ता blockchain को संग्रहीत करने के लिए भुगतान करते हैं और इसके आकार के लिए वोट करने के हकदार होंगे। हर खनिक संतुलन के बीच व्यापार-संबंध से संबंधित हैवह फीस से लागत और मुनाफा कमाता है और अपना खर्च खुद तय करता है ब्लॉक बनाने के लिए "सॉफ्ट-लिमिट"। इसके अलावा अधिकतम ब्लॉक आकार के लिए मूल नियम आवश्यक है blockchain को फर्जी लेन-देन की बाढ़ से बचाना, हालाँकि यह मान होना चाहिए हार्ड-कोडित न हों. मान लीजिए कि MN अंतिम N ब्लॉक आकारों का औसत मान है। फिर आकार के लिए "हार्ड-लिमिट"। ब्लॉक स्वीकार करने की संख्या 2 $\cdot$ एमएन है। यह blockchain को फूलने से रोकता है लेकिन फिर भी इसकी सीमा की अनुमति देता है यदि आवश्यक हो तो समय के साथ धीरे-धीरे बढ़ें। लेन-देन का आकार स्पष्ट रूप से सीमित करने की आवश्यकता नहीं है। यह एक ब्लॉक के आकार से घिरा हुआ है; और यदि कोई सैकड़ों इनपुट/आउटपुट (या साथ) के साथ एक बड़ा लेनदेन बनाना चाहता है रिंग हस्ताक्षरों में उच्च अस्पष्टता की डिग्री), वह पर्याप्त शुल्क का भुगतान करके ऐसा कर सकता है। 6.2.3 अधिक आकार पर जुर्माना एक खनिक के पास अभी भी अपने स्वयं के शून्य-शुल्क लेनदेन को अधिकतम सीमा तक ब्लॉक करने की क्षमता है आकार 2 $\cdot$ एमबी. हालाँकि केवल अधिकांश खनिक ही औसत मूल्य को स्थानांतरित कर सकते हैं, फिर भी एक है 13 24 ठीक है, तो हमारे पास blockchain है, और प्रत्येक ब्लॉक में बस होने के अलावा टाइमस्टैम्प भी हैं आदेश दिया. यह स्पष्ट रूप से केवल कठिनाई समायोजन के लिए डाला गया था, क्योंकि टाइमस्टैम्प हैं जैसा कि उल्लेख किया गया है, बहुत अविश्वसनीय है। क्या हमें श्रृंखला में विरोधाभासी टाइमस्टैम्प रखने की अनुमति है? यदि ब्लॉक ए श्रृंखला में ब्लॉक बी से पहले आता है, और वित्त के संदर्भ में सब कुछ सुसंगत है, लेकिन ऐसा प्रतीत होता है कि ब्लॉक ए को ब्लॉक बी के बाद बनाया गया है? क्योंकि, शायद, किसी का स्वामित्व था नेटवर्क का एक बड़ा हिस्सा? क्या वह ठीक है? शायद, क्योंकि वित्त गड़बड़ नहीं है। ठीक है, इसलिए मुझे इस मनमानी से नफरत है "केवल 80% ब्लॉक मुख्य blockchain के लिए वैध हैं" दृष्टिकोण. इसका उद्देश्य झूठ बोलने वालों को अपने टाइमस्टैम्प में बदलाव करने से रोकना था? लेकिन अब, यह जुड़ गया है हर किसी को अपने टाइमस्टैम्प के बारे में झूठ बोलने और केवल माध्यिका चुनने के लिए प्रोत्साहन। कृपया परिभाषित करें. मतलब "इस ब्लॉक के लिए, केवल उन लेनदेन को शामिल करें जिनमें अधिक शुल्क शामिल है पी% से अधिक, अधिमानतः 2पी% से अधिक फीस के साथ" या ऐसा कुछ? फर्जी से उनका क्या मतलब है? यदि लेनदेन पिछले इतिहास के अनुरूप है blockchain, और लेन-देन में खनिकों को संतुष्ट करने वाली फीस शामिल है, क्या यह पर्याप्त नहीं है? खैर, नहीं, जरूरी नहीं. यदि कोई अधिकतम ब्लॉक आकार मौजूद नहीं है, तो दुर्भावनापूर्ण उपयोगकर्ता को रखने के लिए कुछ भी नहीं है केवल धीमा करने के लिए लेन-देन के एक बड़े ब्लॉक को एक ही बार में स्वयं पर अपलोड करने से नेटवर्क. अधिकतम ब्लॉक आकार के लिए एक मुख्य नियम लोगों को भारी मात्रा में कबाड़ डालने से रोकता है चीजों को धीमा करने के लिए blockchain पर एक ही बार में डेटा। लेकिन ऐसा नियम निश्चित रूप से होना चाहिए अनुकूल रहें - उदाहरण के लिए, क्रिसमस के मौसम के दौरान, हम यातायात में वृद्धि की उम्मीद कर सकते हैं, और ब्लॉक का आकार बहुत बड़ा हो जाता है, और उसके तुरंत बाद, ब्लॉक का आकार बाद में कम हो जाता है पुनः. तो हमें या तो a) किसी प्रकार की अनुकूली टोपी या b) इतनी बड़ी टोपी की आवश्यकता है कि 99% उचित क्रिसमस शिखर सीमा को नहीं तोड़ते। बेशक, वह दूसरा असंभव है अनुमान - कौन जानता है कि कोई मुद्रा चलन में आएगी? बेहतर होगा कि इसे अनुकूल बनाया जाए और चिंता न की जाए इसके बारे में. लेकिन फिर हमारे सामने नियंत्रण सिद्धांत की समस्या है: इसे बिना अनुकूल कैसे बनाया जाए हमले के प्रति संवेदनशीलता या जंगली और पागल दोलन? ध्यान दें कि अनुकूली विधि दुर्भावनापूर्ण उपयोगकर्ताओं को छोटी मात्रा में जमा करने से नहीं रोकती है blockchain पर समय के साथ जंक डेटा का लंबे समय तक ब्लोट का कारण बनना। यह एक अलग मुद्दा है कुल मिलाकर और एक कि क्रिप्टोनोट सिक्कों में गंभीर समस्याएं हैं।

6 और भी फायदे 6.1 सहज उत्सर्जन क्रिप्टोनोट डिजिटल सिक्कों की कुल मात्रा के लिए ऊपरी सीमा है: MSupply = 264 −1 परमाणु इकाइयाँ. यह एक प्राकृतिक प्रतिबंध है जो केवल कार्यान्वयन सीमाओं पर आधारित है, अंतर्ज्ञान पर नहीं जैसे कि "एन सिक्के किसी के लिए भी पर्याप्त होने चाहिए"। उत्सर्जन प्रक्रिया की सुचारूता सुनिश्चित करने के लिए हम ब्लॉक के लिए निम्नलिखित सूत्र का उपयोग करते हैं पुरस्कार: बेसरिवार्ड = (एमएस सप्लाई −ए) ≫18, जहां A पहले से उत्पन्न सिक्कों की मात्रा है। 6.2 समायोज्य पैरामीटर 6.2.1 कठिनाई क्रिप्टोनोट में एक लक्ष्यीकरण एल्गोरिदम होता है जो प्रत्येक ब्लॉक की कठिनाई को बदल देता है। यह जब नेटवर्क hashदर तीव्रता से बढ़ रहा हो या सिकुड़ रहा हो, तो सिस्टम का प्रतिक्रिया समय कम हो जाता है, एक स्थिर ब्लॉक दर का संरक्षण। मूल Bitcoin विधि वास्तविक के संबंध की गणना करती है और पिछले 2016 ब्लॉकों के बीच समय-अवधि को लक्षित करता है और इसे वर्तमान के लिए गुणक के रूप में उपयोग करता है कठिनाई. जाहिर है यह तेजी से पुनर्गणना के लिए अनुपयुक्त है (बड़ी जड़ता के कारण) और परिणाम स्वरूप दोलन होता है। हमारे एल्गोरिदम के पीछे सामान्य विचार नोड्स द्वारा पूर्ण किए गए सभी कार्यों का योग करना है इसे उनके द्वारा खर्च किये गये समय से विभाजित करें। कार्य का माप संगत कठिनाई मान है प्रत्येक ब्लॉक में. लेकिन गलत और अविश्वसनीय टाइमस्टैम्प के कारण हम सटीक निर्धारण नहीं कर सकते ब्लॉकों के बीच समय अंतराल. उपयोगकर्ता अपने टाइमस्टैम्प को भविष्य और अगली बार में स्थानांतरित कर सकता है अंतराल असंभव रूप से छोटा या नकारात्मक भी हो सकता है। संभवतः कुछ घटनाएं होंगी इस प्रकार, इसलिए हम केवल टाइमस्टैम्प और कट-ऑफ आउटलेर्स (यानी 20%) को सॉर्ट कर सकते हैं। की रेंज शेष मान वह समय है जो संबंधित ब्लॉकों के 80% के लिए व्यतीत किया गया था। 6.2.2 आकार सीमा उपयोगकर्ता blockchain को संग्रहीत करने के लिए भुगतान करते हैं और इसके आकार के लिए वोट करने के हकदार होंगे। हर खनिक फीस से लागत और लाभ को संतुलित करने के बीच व्यापार से संबंधित है और अपना स्वयं का निर्धारण करता है ब्लॉक बनाने के लिए "सॉफ्ट-लिमिट"। इसके अलावा अधिकतम ब्लॉक आकार के लिए मूल नियम आवश्यक है blockchain को फर्जी लेनदेन से भरने से रोकना, हालाँकि यह मान होना चाहिए हार्ड-कोडित न हों. मान लीजिए कि MN अंतिम N ब्लॉक आकारों का औसत मान है। फिर आकार के लिए "हार्ड-लिमिट"। ब्लॉक स्वीकार करने की संख्या 2 $\cdot$ एमएन है। यह blockchain को फूलने से रोकता है लेकिन फिर भी इसकी सीमा की अनुमति देता है यदि आवश्यक हो तो समय के साथ धीरे-धीरे बढ़ें। लेन-देन का आकार स्पष्ट रूप से सीमित करने की आवश्यकता नहीं है। यह एक ब्लॉक के आकार से घिरा हुआ है; और यदि कोई सैकड़ों इनपुट/आउटपुट (या साथ) के साथ एक बड़ा लेनदेन बनाना चाहता है रिंग हस्ताक्षरों में उच्च अस्पष्टता की डिग्री), वह पर्याप्त शुल्क का भुगतान करके ऐसा कर सकता है। 6.2.3 अधिक आकार पर जुर्माना एक खनिक के पास अभी भी अपने स्वयं के शून्य-शुल्क लेनदेन को अधिकतम सीमा तक ब्लॉक करने की क्षमता है आकार 2 $\cdot$ एमबी. हालाँकि केवल अधिकांश खनिक ही औसत मूल्य को स्थानांतरित कर सकते हैं, फिर भी एक है 13 6 और भी फायदे 6.1 सहज उत्सर्जन क्रिप्टोनोट डिजिटल सिक्कों की कुल मात्रा के लिए ऊपरी सीमा है: MSupply = 264 −1 परमाणु इकाइयाँ. यह एक प्राकृतिक प्रतिबंध है जो केवल कार्यान्वयन सीमाओं पर आधारित है, अंतर्ज्ञान पर नहीं जैसे कि "एन सिक्के किसी के लिए भी पर्याप्त होने चाहिए"। उत्सर्जन प्रक्रिया की सुचारूता सुनिश्चित करने के लिए हम ब्लॉक के लिए निम्नलिखित सूत्र का उपयोग करते हैं पुरस्कार: बेसरिवार्ड = (एमएस सप्लाई −ए) ≫18, जहां A पहले से उत्पन्न सिक्कों की मात्रा है। 6.2 समायोज्य पैरामीटर 6.2.1 कठिनाई क्रिप्टोनोट में एक लक्ष्यीकरण एल्गोरिदम होता है जो प्रत्येक ब्लॉक की कठिनाई को बदल देता है। यह जब नेटवर्क hashदर तीव्रता से बढ़ रहा हो या सिकुड़ रहा हो, तो सिस्टम का प्रतिक्रिया समय कम हो जाता है, एक स्थिर ब्लॉक दर का संरक्षण। मूल Bitcoin विधि वास्तविक के संबंध की गणना करती है और पिछले 2016 ब्लॉकों के बीच समय-अवधि को लक्षित करता है और इसे वर्तमान के लिए गुणक के रूप में उपयोग करता है कठिनाई. जाहिर है यह तेजी से पुनर्गणना के लिए अनुपयुक्त है (बड़ी जड़ता के कारण) और परिणाम स्वरूप दोलन होता है। हमारे एल्गोरिदम के पीछे सामान्य विचार नोड्स द्वारा पूर्ण किए गए सभी कार्यों का योग करना है इसे उनके द्वारा खर्च किये गये समय से विभाजित करें। कार्य का माप संगत कठिनाई मान है प्रत्येक ब्लॉक में. लेकिन गलत और अविश्वसनीय टाइमस्टैम्प के कारण हम सटीक निर्धारण नहीं कर सकते ब्लॉकों के बीच समय अंतराल. उपयोगकर्ता अपने टाइमस्टैम्प को भविष्य और अगली बार में स्थानांतरित कर सकता है अंतराल असंभव रूप से छोटा या नकारात्मक भी हो सकता है। संभवतः कुछ घटनाएं होंगी इस प्रकार, इसलिए हम केवल टाइमस्टैम्प और कट-ऑफ आउटलेर्स (यानी 20%) को सॉर्ट कर सकते हैं। की रेंज शेष मान वह समय है जो संबंधित ब्लॉकों के 80% के लिए व्यतीत किया गया था। 6.2.2 आकार सीमा उपयोगकर्ता blockchain को संग्रहीत करने के लिए भुगतान करते हैं और इसके आकार के लिए वोट करने के हकदार होंगे। हर खनिक संतुलन के बीच व्यापार-संबंध से संबंधित हैवह फीस से लागत और मुनाफा कमाता है और अपना खर्च खुद तय करता है ब्लॉक बनाने के लिए "सॉफ्ट-लिमिट"। इसके अलावा अधिकतम ब्लॉक आकार के लिए मूल नियम आवश्यक है blockchain को फर्जी लेनदेन से भरने से रोकना, हालाँकि यह मान होना चाहिए हार्ड-कोडित न हों. मान लीजिए कि MN अंतिम N ब्लॉक आकारों का औसत मान है। फिर आकार के लिए "हार्ड-लिमिट"। ब्लॉक स्वीकार करने की संख्या 2 $\cdot$ एमएन है। यह blockchain को फूलने से रोकता है लेकिन फिर भी इसकी सीमा की अनुमति देता है यदि आवश्यक हो तो समय के साथ धीरे-धीरे बढ़ें। लेन-देन का आकार स्पष्ट रूप से सीमित करने की आवश्यकता नहीं है। यह एक ब्लॉक के आकार से घिरा हुआ है; और यदि कोई सैकड़ों इनपुट/आउटपुट (या साथ) के साथ एक बड़ा लेनदेन बनाना चाहता है रिंग हस्ताक्षरों में उच्च अस्पष्टता की डिग्री), वह पर्याप्त शुल्क का भुगतान करके ऐसा कर सकता है। 6.2.3 अधिक आकार पर जुर्माना एक खनिक के पास अभी भी अपने स्वयं के शून्य-शुल्क लेनदेन को अधिकतम सीमा तक ब्लॉक करने की क्षमता है आकार 2 $\cdot$ एमबी. हालाँकि केवल अधिकांश खनिक ही औसत मूल्य को स्थानांतरित कर सकते हैं, फिर भी एक है 13 25 समय का पुनर्मूल्यांकन ताकि समय की एक इकाई एन ब्लॉक हो, औसत ब्लॉक आकार अभी भी, सैद्धांतिक रूप से, 2ˆt तक आनुपातिक रूप से बढ़ सकता है। दूसरी ओर, एक अधिक सामान्य टोपी अगले ब्लॉक पर कुछ फ़ंक्शन f के लिए M_nf(M_n) होगा। f के क्या गुण होंगे हम ब्लॉक आकार की कुछ "उचित वृद्धि" की गारंटी के लिए चुनते हैं? की प्रगति ब्लॉक का आकार (समय घटाने के बाद) इस प्रकार होगा: M_n f(M_n)M_n f(f(M_n)M_n)f(M_n)M_n f(f(f(M_n)M_n)f(M_n)M_n)f(f(M_n)M_n)f( ... और यहाँ लक्ष्य f को इस प्रकार चुनना है कि यह क्रम, मान लीजिए, रैखिक रूप से, अधिक तेजी से न बढ़े। या शायद लॉग(टी) के रूप में भी। निःसंदेह, यदि किसी स्थिरांक a के लिए f(M_n) = a है, तो यह क्रम है असल में M_n aM_n aˆ2M_n aˆ3M_n ... और, निःसंदेह, इसे अधिकतम रैखिक वृद्धि तक सीमित करने का एकमात्र तरीका a=1 चुनना है। निःसंदेह, यह अव्यवहार्य है। यह बिल्कुल भी विकास नहीं होने देता। दूसरी ओर, यदि f(M_n) एक गैर-स्थिर फलन है, तो स्थिति बहुत अधिक है जटिल है और एक सुंदर समाधान की अनुमति दे सकता है। मैं इस पर कुछ देर सोचूंगा. यह शुल्क इतना बड़ा होना चाहिए कि अगले अनुभाग से अतिरिक्त आकार के जुर्माने पर छूट दी जा सके। एक सामान्य उपयोगकर्ता को पुरुष क्यों माना जाता है, हुह? हुंह?

blockchain को फुलाने और नोड्स पर अतिरिक्त भार उत्पन्न करने की संभावना। हतोत्साहित करना बड़े ब्लॉक बनाने से द्वेषपूर्ण प्रतिभागियों को हम एक दंड समारोह का परिचय देते हैं: नया इनाम = आधार इनाम $\cdot$ ब्लेकआकार एमएन −1 2 यह नियम केवल तभी लागू होता है जब BlkSize न्यूनतम मुक्त ब्लॉक आकार से अधिक होता है जो कि होना चाहिए अधिकतम (10केबी, एमएन $\cdot$ 110%) के करीब हो। खनिकों को "सामान्य आकार" या समान आकार के ब्लॉक बनाने की अनुमति है जब कुल शुल्क जुर्माने से अधिक हो जाए तो इसे लाभ से अधिक करें। लेकिन फीस बढ़ने की संभावना नहीं है चतुष्कोणीय रूप से दंड मूल्य के विपरीत इसलिए एक संतुलन होगा। 6.3 लेन-देन स्क्रिप्ट क्रिप्टोनोट में एक बहुत ही न्यूनतम स्क्रिप्टिंग सबसिस्टम है। एक प्रेषक एक अभिव्यक्ति निर्दिष्ट करता है Φ = f (x1, x2,..., xn), जहां n गंतव्य सार्वजनिक कुंजियों की संख्या है {Pi}n मैं=1. केवल पाँच बाइनरी ऑपरेटर समर्थित हैं: न्यूनतम, अधिकतम, योग, एमयूएल और सीएमपी। जब प्राप्तकर्ता यह भुगतान खर्च कर देता है, वह $0 \leq k \leq n$ हस्ताक्षर बनाता है और उन्हें लेनदेन इनपुट में भेजता है। सत्यापन प्रक्रिया सार्वजनिक कुंजी Pi के लिए वैध हस्ताक्षर की जांच करने के लिए बस xi = 1 के साथ Φ का मूल्यांकन करता है, और xi = 0। एक सत्यापनकर्ता प्रमाण स्वीकार करता है यदिﬀΦ > 0. अपनी सरलता के बावजूद यह दृष्टिकोण हर संभावित मामले को कवर करता है: • मल्टी-/थ्रेसहोल्ड हस्ताक्षर। Bitcoin-शैली "एम-आउट-ऑफ-एन" बहु-हस्ताक्षर (यानी) के लिए प्राप्तकर्ता को कम से कम $0 \leq M \leq N$ वैध हस्ताक्षर प्रदान करने चाहिए) Φ = x1+x2+। . .+xN $\geq M$ (स्पष्टता के लिए हम सामान्य बीजगणितीय संकेतन का उपयोग कर रहे हैं)। भारित सीमा हस्ताक्षर (कुछ कुंजियाँ अन्य की तुलना में अधिक महत्वपूर्ण हो सकती हैं) को Φ = w1 $\cdot$ X1 + के रूप में व्यक्त किया जा सकता है $w_2 \cdot x_2$ + . . . + $w_N \cdot x_N$ $\geq wM$. और परिदृश्य जहां मास्टर-कुंजी Φ = से मेल खाती है अधिकतम(एम $\cdot$ एक्स, एक्स1 + एक्स2 +... + एक्सएन) $\geq एम$। यह दिखाना आसान है कि कोई भी जटिल मामला हो सकता है इन ऑपरेटरों के साथ व्यक्त किया जाता है, यानी वे आधार बनाते हैं। • पारणशब्द सुरक्षा। गुप्त पासवर्ड का होना ज्ञान के बराबर है एक निजी कुंजी, जो निश्चित रूप से पासवर्ड से प्राप्त होती है: k = KDF(s)। इसलिए, एक रिसीवर कुंजी k के अंतर्गत एक अन्य हस्ताक्षर प्रदान करके यह साबित कर सकता है कि वह पासवर्ड जानता है। प्रेषक बस संबंधित सार्वजनिक कुंजी को अपने आउटपुट में जोड़ता है। ध्यान दें कि यह विधि Bitcoin [13] में प्रयुक्त "लेन-देन पहेली" से कहीं अधिक सुरक्षित है, जहां इनपुट में पासवर्ड स्पष्ट रूप से पारित किया गया है। • पतित मामले. Φ = 1 का मतलब है कि कोई भी पैसा खर्च कर सकता है; Φ = 0 का अंक है आउटपुट हमेशा के लिए खर्च करने योग्य नहीं है। ऐसी स्थिति में जब सार्वजनिक कुंजियों के साथ संयुक्त आउटपुट स्क्रिप्ट किसी प्रेषक के लिए बहुत बड़ी हो, तो वह विशेष आउटपुट प्रकार का उपयोग कर सकते हैं, जो इंगित करता है कि प्राप्तकर्ता इस डेटा को अपने इनपुट में डालेगा जबकि प्रेषक इसका केवल hash प्रदान करता है। यह दृष्टिकोण Bitcoin के "पे-टू-hash" के समान है सुविधा, लेकिन नई स्क्रिप्ट कमांड जोड़ने के बजाय हम इस मामले को डेटा संरचना में संभालते हैं स्तर. 7 निष्कर्ष हमने Bitcoin में प्रमुख खामियों की जांच की है और कुछ संभावित समाधान प्रस्तावित किए हैं। ये लाभप्रद सुविधाएँ और हमारा चल रहा विकास नई इलेक्ट्रॉनिक नकदी प्रणाली क्रिप्टोनोट बनाता है Bitcoin का एक गंभीर प्रतिद्वंद्वी, जो इसके सभी कांटों को पछाड़ रहा है। 14 blockchain को फुलाने और नोड्स पर अतिरिक्त भार उत्पन्न करने की संभावना। हतोत्साहित करना बड़े ब्लॉक बनाने से द्वेषपूर्ण प्रतिभागियों को हम एक दंड समारोह का परिचय देते हैं: नया इनाम = आधार इनाम $\cdot$ ब्लेकआकार एमएन −1 2 यह नियम केवल तभी लागू होता है जब BlkSize न्यूनतम मुक्त ब्लॉक आकार से अधिक होता है जो कि होना चाहिए अधिकतम (10केबी, एमएन $\cdot$ 110%) के करीब हो। खनिकों को "सामान्य आकार" या समान आकार के ब्लॉक बनाने की अनुमति है जब कुल शुल्क जुर्माने से अधिक हो जाए तो इसे लाभ से अधिक करें। लेकिन फीस बढ़ने की संभावना नहीं है चतुष्कोणीय रूप से दंड मूल्य के विपरीत इसलिए एक संतुलन होगा। 6.3 लेन-देन स्क्रिप्ट क्रिप्टोनोट में एक बहुत ही न्यूनतम स्क्रिप्टिंग सबसिस्टम है। एक प्रेषक एक अभिव्यक्ति निर्दिष्ट करता है Φ = f (x1, x2,..., xn), जहां n गंतव्य सार्वजनिक कुंजियों की संख्या है {Pi}n मैं=1. केवल पाँच बाइनरी ऑपरेटर समर्थित हैं: न्यूनतम, अधिकतम, योग, एमयूएल और सीएमपी। जब प्राप्तकर्ता यह भुगतान खर्च कर देता है, वह $0 \leq k \leq n$ हस्ताक्षर बनाता है और उन्हें लेनदेन इनपुट में भेजता है। सत्यापन प्रक्रिया सार्वजनिक कुंजी Pi के लिए वैध हस्ताक्षर की जांच करने के लिए बस xi = 1 के साथ Φ का मूल्यांकन करता है, और xi = 0। एक सत्यापनकर्ता प्रमाण स्वीकार करता है यदिﬀΦ > 0. अपनी सरलता के बावजूद यह दृष्टिकोण हर संभावित मामले को कवर करता है: • मल्टी-/थ्रेसहोल्ड हस्ताक्षर। Bitcoin-शैली "एम-आउट-ऑफ-एन" बहु-हस्ताक्षर (यानी) के लिए प्राप्तकर्ता को कम से कम $0 \leq M \leq N$ वैध हस्ताक्षर प्रदान करने चाहिए) Φ = x1+x2+। . .+xN $\geq M$ (स्पष्टता के लिए हम सामान्य बीजगणितीय संकेतन का उपयोग कर रहे हैं)। भारित सीमा हस्ताक्षर (कुछ कुंजियाँ अन्य की तुलना में अधिक महत्वपूर्ण हो सकती हैं) को Φ = w1 $\cdot$ X1 + के रूप में व्यक्त किया जा सकता है $w_2 \cdot x_2$ + . . . + $w_N \cdot x_N$ $\geq wM$. और परिदृश्यio जहां मास्टर-कुंजी Φ = से मेल खाती है अधिकतम(एम $\cdot$ एक्स, एक्स1 + एक्स2 +... + एक्सएन) $\geq एम$। यह दिखाना आसान है कि कोई भी जटिल मामला हो सकता है इन ऑपरेटरों के साथ व्यक्त किया जाता है, यानी वे आधार बनाते हैं। • पारणशब्द सुरक्षा। गुप्त पासवर्ड का होना ज्ञान के बराबर है एक निजी कुंजी, जो निश्चित रूप से पासवर्ड से प्राप्त होती है: k = KDF(s)। इसलिए, एक रिसीवर कुंजी k के अंतर्गत एक अन्य हस्ताक्षर प्रदान करके यह साबित कर सकता है कि वह पासवर्ड जानता है। प्रेषक बस संबंधित सार्वजनिक कुंजी को अपने आउटपुट में जोड़ता है। ध्यान दें कि यह विधि Bitcoin [13] में प्रयुक्त "लेन-देन पहेली" से कहीं अधिक सुरक्षित है, जहां इनपुट में पासवर्ड स्पष्ट रूप से पारित किया गया है। • पतित मामले. Φ = 1 का मतलब है कि कोई भी पैसा खर्च कर सकता है; Φ = 0 का अंक है आउटपुट हमेशा के लिए खर्च करने योग्य नहीं है। ऐसी स्थिति में जब सार्वजनिक कुंजियों के साथ संयुक्त आउटपुट स्क्रिप्ट किसी प्रेषक के लिए बहुत बड़ी हो, तो वह विशेष आउटपुट प्रकार का उपयोग कर सकते हैं, जो इंगित करता है कि प्राप्तकर्ता इस डेटा को अपने इनपुट में डालेगा जबकि प्रेषक इसका केवल hash प्रदान करता है। यह दृष्टिकोण Bitcoin के "पे-टू-hash" के समान है सुविधा, लेकिन नई स्क्रिप्ट कमांड जोड़ने के बजाय हम इस मामले को डेटा संरचना में संभालते हैं स्तर. 7 निष्कर्ष हमने Bitcoin में प्रमुख खामियों की जांच की है और कुछ संभावित समाधान प्रस्तावित किए हैं। ये लाभप्रद सुविधाएँ और हमारा चल रहा विकास नई इलेक्ट्रॉनिक नकदी प्रणाली क्रिप्टोनोट बनाता है Bitcoin का एक गंभीर प्रतिद्वंद्वी, जो इसके सभी कांटों को पछाड़ रहा है। 14 26 यह अनावश्यक हो सकता है यदि हम समय के साथ ब्लॉक आकार को सीमित करने का कोई तरीका ढूंढ सकें... ये भी सही नहीं हो सकता. उन्होंने बस "न्यूरिवार्ड" को ऊपर की ओर मुख वाले परवलय पर सेट किया है ब्लॉक आकार स्वतंत्र चर है. तो नया इनाम अनंत तक बढ़ता है। यदि, दूसरे पर हाथ, नया इनाम अधिकतम(0,आधार इनाम(1-(BlkSize/Mn - 1)ˆ2)) है, फिर नया इनाम एक नीचे की ओर मुख वाला परवलय होगा जिसका शिखर ब्लॉक आकार = Mn पर होगा, और अंतःखंड पर होगा ब्लॉकसाइज = 0 और ब्लॉकसाइज = 2एमएन। और ऐसा प्रतीत होता है कि वे यही वर्णन करने का प्रयास कर रहे हैं। हालाँकि, ऐसा नहीं होता

विश्लेषण

Bitcoin network total computation speed chart showing hashrate and difficulty from 2012 to 2013

5 ऐसा नहीं है कि यह बहुत अधिक मायने रखता है जब दुनिया में एक अरब लोग एक डॉलर से भी कम पर जीवन यापन करते हैं दिन और किसी भी प्रकार के खनन नेटवर्क में भाग लेने की कोई उम्मीद नहीं है... लेकिन एक आर्थिक एक-सीपीयू-एक-वोट के साथ पी2पी मुद्रा प्रणाली द्वारा संचालित दुनिया, संभवतः, अधिक होगी फ्रैक्शनल रिज़र्व बैंकिंग द्वारा संचालित प्रणाली की तुलना में निष्पक्ष। लेकिन क्रिप्टोनोट के प्रोटोकॉल के लिए अभी भी 51% ईमानदार उपयोगकर्ताओं की आवश्यकता है... उदाहरण के लिए, क्रिप्टोनोट देखें फ़ोरम जहां डेवलपर्स में से एक, प्लिस्कोव का कहना है कि पारंपरिक रिप्लेस-द-डेटा-ऑन-दblockchain 51% हमला अभी भी काम कर सकता है। https://forum.cryptonote.org/viewtopic.php?f=2&t=198 ध्यान दें कि आपको वास्तव में 51% ईमानदार उपयोगकर्ताओं की आवश्यकता नहीं है। आपको वास्तव में "एक भी बेईमान नहीं चाहिए।" नेटवर्क की 51% से अधिक hashing शक्ति वाला गुट।" आइए बिटकॉइन की इस तथाकथित समस्या को "अनुकूली कठोरता" कहें। अनुकूली के लिए क्रिप्टोनोट का समाधान कठोरता प्रोटोकॉल पैरामीटर मानों में अनुकूली लचीलापन है। यदि आपको बड़े आकार के ब्लॉक चाहिए, कोई समस्या नहीं, नेटवर्क पूरे समय धीरे-धीरे समायोजित होता रहेगा। कहने का तात्पर्य यह है, जिस तरह से Bitcoin समय के साथ कठिनाई को समायोजित करता है उसे हमारे सभी प्रोटोकॉल में दोहराया जा सकता है पैरामीटर ताकि प्रोटोकॉल को अद्यतन करने के लिए नेटवर्क सहमति प्राप्त करने की आवश्यकता न हो। सतही तौर पर यह एक अच्छा विचार लगता है, लेकिन बिना सावधानीपूर्वक पूर्वविचार के, एक स्व-समायोजन व्यवस्था काफी अप्रत्याशित और अराजक हो सकती है। हम इस पर बाद में और गौर करेंगे अवसर पैदा होते हैं. "अच्छी" प्रणालियाँ अनुकूली रूप से कठोर और अनुकूली रूप से कहीं बीच में हैं लचीला, और शायद कठोरता भी स्वयं अनुकूली है। यदि हमारे पास वास्तव में "एक-सीपीयू-एक-वोट" है, तो 51% तक पहुंचने के लिए सहयोग करना और पूल विकसित करना अधिक कठिन होगा. हम उम्मीद करेंगे कि दुनिया का हर सीपीयू फोन से खनन करेगा आपके टेस्ला के ऑन-बोर्ड सीपीयू को चार्ज करते समय। http://en.wikipedia.org/wiki/Pareto_principle मेरा दावा है कि पेरेटो संतुलन कुछ हद तक अपरिहार्य है। या तो सिस्टम का 20% होगा 80% सीपीयू का मालिक होगा, या सिस्टम का 20% 80% एएसआईसी का मालिक होगा। मैं इसकी परिकल्पना इसलिए करता हूं क्योंकि समाज में धन का अंतर्निहित वितरण पहले से ही पेरेटो वितरण को प्रदर्शित करता है, और जैसे ही नए खनिक जुड़ते हैं, वे उस अंतर्निहित वितरण से आकर्षित होते हैं। हालाँकि, मेरा तर्क है कि एक-सीपीयू-एक-वोट वाले प्रोटोकॉल हार्डवेयर पर आरओआई देखेंगे। ब्लॉक प्रति नोड इनाम नेटवर्क में नोड्स की संख्या के अधिक निकटता से आनुपातिक होगा क्योंकि सभी नोड्स में प्रदर्शन का वितरण अधिक सख्त होगा। Bitcoin, दूसरी ओर हाथ, एक ब्लॉक इनाम (प्रति नोड) को उसकी कम्प्यूटेशनल क्षमता के अधिक आनुपातिक देखता है नोड. कहने का तात्पर्य यह है कि, केवल "बड़े लड़के" ही अभी भी खनन के खेल में हैं। दूसरी ओर, हालाँकि एक-सीपीयू-एक-वोट की दुनिया में पेरेटो सिद्धांत अभी भी लागू रहेगा, हर कोई नेटवर्क सुरक्षा में भाग लेता है और खनन से थोड़ी आय प्राप्त करता है। ASIC दुनिया में, प्रत्येक XBox और सेल फोन को माइन करने के लिए हेराफेरी करना समझदारी नहीं है। एक सीपीयू-एक वोट की दुनिया में, खनन इनाम के मामले में यह बहुत समझदार है। एक सुखद परिणाम के रूप में, 51% वोट हासिल करना तब अधिक कठिन होता है जब अधिक से अधिक वोट हों, जिससे एक सुंदर परिणाम मिले नेटवर्क सुरक्षा के लिए लाभ..हार्डवेयर पहले वर्णित है। मान लीजिए कि वैश्विक hashदर काफी कम हो जाती है, यहां तक कि इसके लिए भी एक क्षण में, वह अब अपनी खनन शक्ति का उपयोग श्रृंखला को तोड़ने और दोगुना खर्च करने के लिए कर सकता है। जैसा कि हम देखेंगे इस लेख में बाद में, पहले वर्णित घटना के घटित होने की संभावना नहीं है। 2.3 अनियमित उत्सर्जन Bitcoin की एक पूर्व निर्धारित उत्सर्जन दर है: प्रत्येक हल किया गया ब्लॉक एक निश्चित मात्रा में सिक्के उत्पन्न करता है। लगभग हर चार साल में यह इनाम आधा कर दिया जाता है। मूल उद्देश्य एक बनाना था घातीय क्षय के साथ सीमित सुचारू उत्सर्जन, लेकिन वास्तव में हमारे पास टुकड़े-टुकड़े रैखिक उत्सर्जन है फ़ंक्शन जिसके ब्रेकप्वाइंट Bitcoin बुनियादी ढांचे के लिए समस्याएं पैदा कर सकते हैं। जब ब्रेकप्वाइंट होता है, तो खनिकों को अपने पिछले मूल्य का केवल आधा हिस्सा ही मिलना शुरू होता है इनाम. 12.5 और 6.25 बीटीसी (वर्ष 2020 के लिए अनुमानित) के बीच पूर्ण अंतर हो सकता है सहनीय लगता है. हालाँकि, जब नवंबर में हुई 50 से 25 बीटीसी गिरावट की जांच की गई 28 2012, खनन समुदाय के सदस्यों की एक बड़ी संख्या के लिए अनुपयुक्त महसूस किया गया। चित्रा 1 नवंबर के अंत में नेटवर्क की hash दर में नाटकीय कमी दर्शाता है, ठीक उसी समय जब पड़ाव हुआ. यह घटना उस दुष्ट व्यक्ति के लिए एकदम सही क्षण हो सकती थी दोहरे खर्च वाले हमले को अंजाम देने के लिए proof-of-work फ़ंक्शन अनुभाग में वर्णित [36]। चित्र 1. Bitcoin hashरेट चार्ट (स्रोत: http://bitcoin.sipa.be) 2.4 हार्डकोडेड स्थिरांक Bitcoin में कई हार्ड-कोडित सीमाएं हैं, जहां कुछ मूल डिज़ाइन के प्राकृतिक तत्व हैं (उदाहरण के लिए) ब्लॉक आवृत्ति, धन आपूर्ति की अधिकतम मात्रा, पुष्टिकरण की संख्या) जबकि अन्य कृत्रिम बाधाएँ प्रतीत होती हैं। यह उतनी सीमाएँ नहीं है, जितनी शीघ्रता से बदलने की असमर्थता है 3 हार्डवेयर पहले वर्णित है। मान लीजिए कि वैश्विक hashदर काफी कम हो जाती है, यहाँ तक कि इसके लिए भी एक क्षण में, वह अब अपनी खनन शक्ति का उपयोग श्रृंखला को तोड़ने और दोगुना खर्च करने के लिए कर सकता है। जैसा कि हम देखेंगे इस लेख में बाद में, पहले वर्णित घटना के घटित होने की संभावना नहीं है। 2.3 अनियमित उत्सर्जन Bitcoin की एक पूर्व निर्धारित उत्सर्जन दर है: प्रत्येक हल किया गया ब्लॉक एक निश्चित मात्रा में सिक्के उत्पन्न करता है। लगभग हर चार साल में यह इनाम आधा कर दिया जाता है। मूल उद्देश्य एक बनाना था घातीय क्षय के साथ सीमित सुचारू उत्सर्जन, लेकिन वास्तव में हमारे पास टुकड़े-टुकड़े रैखिक उत्सर्जन है फ़ंक्शन जिसके ब्रेकप्वाइंट Bitcoin बुनियादी ढांचे के लिए समस्याएँ पैदा कर सकते हैं। जब ब्रेकप्वाइंट होता है, तो खनिकों को अपने पिछले मूल्य का केवल आधा हिस्सा ही मिलना शुरू होता है इनाम. 12.5 और 6.25 बीटीसी (वर्ष 2020 के लिए अनुमानित) के बीच पूर्ण अंतर हो सकता है सहनीय लगता है. हालाँकि, जब नवंबर में हुई 50 से 25 बीटीसी गिरावट की जांच की गई 28 2012, खनन समुदाय के सदस्यों की एक बड़ी संख्या के लिए अनुपयुक्त महसूस किया गया। चित्रा 1 नवंबर के अंत में नेटवर्क की hashदर में नाटकीय कमी दर्शाता है, ठीक उसी समय जब पड़ाव हुआ. यह घटना उस दुष्ट व्यक्ति के लिए एकदम सही क्षण हो सकती थी दोहरे खर्च वाले हमले को अंजाम देने के लिए proof-of-work फ़ंक्शन अनुभाग में वर्णित [36]। चित्र 1. Bitcoin hashरेट चार्ट (स्रोत: http://bitcoin.sipa.be) 2.4 हार्डकोडेड स्थिरांक Bitcoin में कई हार्ड-कोडित सीमाएं हैं, जहां कुछ मूल डिज़ाइन के प्राकृतिक तत्व हैं (उदाहरण के लिए) ब्लॉक आवृत्ति, धन आपूर्ति की अधिकतम मात्रा, पुष्टिकरण की संख्या) जबकि अन्य कृत्रिम बाधाएँ प्रतीत होती हैं। यह उतनी सीमाएँ नहीं है, जितनी शीघ्रता से बदलने की असमर्थता है 3 6 चलिए इसे ज़ोंबी हमला कहते हैं। आइए चर्चा करें कि निरंतर उत्सर्जन कैसा हो सकता है ज़ोंबी हमले के परिदृश्य में एक-सीपीयू-एक-वोट से संबंधित। एक-सीपीयू-एक-वोट की दुनिया में, हर सेल फोन और कार, जब भी निष्क्रिय होगी, खनन कर रही होगी। खनन फार्म बनाने के लिए सस्ते हार्डवेयर के ढेर इकट्ठा करना बहुत आसान होगा, क्योंकि बस लगभग हर चीज़ में एक सीपीयू होता है। दूसरी ओर, उस समय सीपीयू की संख्या मुझे लगता है कि 51% आक्रमण शुरू करने की आवश्यकता काफी आश्चर्यजनक होगी। इसके अलावा, बिल्कुल क्योंकि सस्ता हार्डवेयर इकट्ठा करना आसान होगा, हम उचित रूप से उम्मीद कर सकते हैं बहुत से लोग सीपीयू के साथ कुछ भी जमा करना शुरू कर देते हैं। एक-सीपीयू-एक-वोट की दुनिया में हथियारों की होड़ ASIC दुनिया की तुलना में यह आवश्यक रूप से अधिक समतावादी है। इसलिए, नेटवर्क में एक असंतोष एक-सीपीयू-एक-वोट की दुनिया में उत्सर्जन दरों के कारण सुरक्षा एक समस्या से कम होनी चाहिए। हालाँकि, दो तथ्य शेष हैं: 1) उत्सर्जन दर में असंतुलन से हकलाना प्रभाव हो सकता है अर्थव्यवस्था और नेटवर्क सुरक्षा दोनों में, जो ख़राब है, और 2) 51% हमले के बावजूद सस्ते हार्डवेयर इकट्ठा करने वाले किसी व्यक्ति द्वारा किया गया प्रदर्शन अभी भी एक-सीपीयू-एक में हो सकता है-वोट दुनिया, ऐसा लगता है जैसे यह कठिन होना चाहिए। संभवतः, इसके विरुद्ध सुरक्षा उपाय यह है कि सभी बेईमान अभिनेता यह प्रयास कर रहे होंगे साथ ही, और हम Bitcoin की पिछली सुरक्षा धारणा पर वापस आ जाते हैं: "हमें किसी बेईमानी की आवश्यकता नहीं है 51% से अधिक नेटवर्क को नियंत्रित करने वाला गुट।" लेखक यहां दावा कर रहा है कि बिटकॉइन के साथ एक समस्या सिक्का उत्सर्जन में असंतुलन है दर से नेटवर्क भागीदारी और इसलिए नेटवर्क सुरक्षा में अचानक गिरावट आ सकती है। इस प्रकार, एक सतत, विभेदित, सुचारू सिक्का उत्सर्जन दर बेहतर है। जरूरी नहीं कि लेखक गलत हो। नेटवर्क भागीदारी में किसी भी प्रकार की अचानक कमी आ सकती है ऐसी समस्या उत्पन्न होती है, और यदि हम इसके एक स्रोत को हटा सकते हैं, तो हमें ऐसा करना चाहिए। ऐसा कहने के बाद, यह है संभव है कि "अपेक्षाकृत स्थिर" सिक्का उत्सर्जन की लंबी अवधि में अचानक परिवर्तन हो अर्थशास्त्र के दृष्टिकोण से यह आदर्श तरीका है। मैं कोई अर्थशास्त्री नहीं हूं. तो, शायद हम यह तय करना होगा कि क्या हम आर्थिक चीज़ के लिए नेटवर्क सुरक्षा का व्यापार करने जा रहे हैं - यहाँ क्या है? http://arxiv.org/abs/1402.2009यदि आवश्यक हो तो उन्हें मुख्य कमियों का कारण बनता है। दुर्भाग्य से, यह अनुमान लगाना कठिन है कि कब स्थिरांकों को बदलने की आवश्यकता हो सकती है और उन्हें बदलने से भयानक परिणाम हो सकते हैं। विनाशकारी परिणामों की ओर ले जाने वाले हार्डकोडेड सीमा परिवर्तन का एक अच्छा उदाहरण ब्लॉक है आकार सीमा 250kb1 पर सेट की गई। यह सीमा लगभग 10000 मानक लेनदेन रखने के लिए पर्याप्त थी। में 2013 की शुरुआत में, यह सीमा लगभग पूरी हो चुकी थी और इसे बढ़ाने पर एक समझौता हुआ था सीमा. परिवर्तन वॉलेट संस्करण 0.8 में लागू किया गया था और 24-ब्लॉक श्रृंखला विभाजन के साथ समाप्त हुआ और एक सफल दोहरे खर्च वाला हमला [9]। जबकि बग Bitcoin प्रोटोकॉल में नहीं था, लेकिन बल्कि डेटाबेस इंजन में अगर ऐसा होता तो इसे एक साधारण तनाव परीक्षण द्वारा आसानी से पकड़ा जा सकता था कोई कृत्रिम रूप से शुरू की गई ब्लॉक आकार सीमा नहीं। स्थिरांक भी केंद्रीकरण बिंदु के रूप में कार्य करते हैं। सहकर्मी से सहकर्मी स्वभाव के बावजूद Bitcoin, अधिकांश नोड्स द्वारा विकसित आधिकारिक संदर्भ क्लाइंट [10] का उपयोग करते हैं लोगों का एक छोटा समूह. यह समूह प्रोटोकॉल में परिवर्तन लागू करने का निर्णय लेता है और अधिकांश लोग इन परिवर्तनों को उनकी "सहीता" की परवाह किए बिना स्वीकार करते हैं। कुछ निर्णयों के कारण गरमागरम चर्चाएँ और यहाँ तक कि बहिष्कार का आह्वान [11], जो इंगित करता है कि समुदाय और डेवलपर्स कुछ महत्वपूर्ण बिंदुओं पर असहमत हो सकते हैं। इसलिए प्रोटोकॉल का होना तर्कसंगत लगता है इन समस्याओं से बचने के संभावित तरीके के रूप में उपयोगकर्ता-कॉन्फ़िगर करने योग्य और स्व-समायोजन चर के साथ। 2.5 भारी भरकम स्क्रिप्ट Bitcoin में स्क्रिप्टिंग प्रणाली एक भारी और जटिल विशेषता है। यह संभावित रूप से किसी को सृजन करने की अनुमति देता है परिष्कृत लेनदेन [12], लेकिन सुरक्षा चिंताओं के कारण इसकी कुछ सुविधाएँ अक्षम हैं कुछ का कभी भी उपयोग नहीं किया गया [13]। स्क्रिप्ट (प्रेषक और प्राप्तकर्ता दोनों भागों सहित) Bitcoin में सबसे लोकप्रिय लेनदेन इस तरह दिखता है: OP DUP OP HASH160 OP समान रूप से OP CHECKSIG सत्यापित करें। स्क्रिप्ट 164 बाइट्स लंबी है जबकि इसका एकमात्र उद्देश्य यह जांचना है कि रिसीवर के पास यह है या नहीं उसके हस्ताक्षर को सत्यापित करने के लिए गुप्त कुंजी की आवश्यकता है।

अक्सर पूछे जाने वाले सवाल

Monero का whitepaper क्या है?: Monero का मूलभूत paper Nicolas van Saberhagen का CryptoNote v2.0 whitepaper (2013) है। यह cryptographic primitives — ring signatures और stealth addresses — का वर्णन करता है जो untraceable, unlinkable transactions को सक्षम बनाते हैं।
CryptoNote whitepaper किसने और कब लिखा?: CryptoNote v2.0 whitepaper अक्टूबर 2013 में Nicolas van Saberhagen — एक छद्मनाम लेखक जिनकी पहचान अज्ञात रही — द्वारा प्रकाशित किया गया था। Monero अप्रैल 2014 में Bytecoin के fork के रूप में लॉन्च हुआ, जिसने पहली बार CryptoNote को लागू किया था।
Monero का मूल तकनीकी नवाचार क्या है?: Monero तीन privacy technologies को मिलाता है: ring signatures (decoys के बीच sender को छिपाना), stealth addresses (receiver को छिपाने वाले one-time addresses), और RingCT (amount छिपाने वाले confidential transactions)। मिलकर, ये सभी transactions को डिफ़ॉल्ट रूप से private बनाते हैं।
Monero का consensus mechanism कैसे काम करता है?: Monero RandomX का उपयोग करता है — CPU mining के लिए अनुकूलित एक proof-of-work algorithm। RandomX random code execution का उपयोग करता है, जो इसे ASIC और GPU miners के प्रति resistant बनाता है और commodity hardware का उपयोग करके विकेंद्रीकृत mining को बढ़ावा देता है।
Monero, Bitcoin से कैसे अलग है?: Bitcoin के transparent ledger के विपरीत, Monero transactions डिफ़ॉल्ट रूप से private हैं — sender, receiver और amount सभी छिपे होते हैं। Monero में कोई fixed block size नहीं है (dynamic block scaling), tail emission है, और CPU-friendly mining (RandomX) का उपयोग होता है।
Monero का supply model क्या है?: Monero की एक main emission curve है जो लगभग 18.132 million XMR तक पहुँचती है। उसके बाद, tail emission अनिश्चित काल के लिए प्रति block 0.6 XMR प्रदान करता है, यह सुनिश्चित करते हुए कि miners को हमेशा rewards मिलते रहें और केवल fees पर निर्भर हुए बिना दीर्घकालिक network security बनी रहे।
Monero के प्राथमिक उपयोग क्या हैं?: Monero का उपयोग private, censorship-resistant payments के लिए किया जाता है। इसकी अनिवार्य privacy इसे financial privacy, गोपनीय व्यावसायिक transactions, और एक fungible digital cash के रूप में उपयुक्त बनाती है जहाँ प्रत्येक coin का समान इतिहास होता है।
Monero किस समस्या का समाधान करता है?: Monero Bitcoin की privacy की सीमा को हल करता है — transparent blockchains पर, transaction history सार्वजनिक रूप से traceable होती है। Monero fungibility सुनिश्चित करता है (सभी coins समान रूप से खर्च योग्य हैं) और users को निगरानी, balance tracking, और transaction graph analysis से बचाता है।
Monero का security model कैसे काम करता है?: Monero की सुरक्षा proof-of-work (RandomX) और cryptographic privacy को मिलाती है। Ring signatures plausible deniability प्रदान करते हैं, stealth addresses address linkage रोकते हैं, और RingCT amounts छिपाता है। Bulletproofs+ दक्षता के लिए proof sizes को कम करता है।
Monero ecosystem की वर्तमान स्थिति क्या है?: Monero privacy-focused cryptocurrency में अग्रणी बना हुआ है। इसने छोटे transactions के लिए Bulletproofs+, तेज़ wallet syncing के लिए view tags लागू किए हैं, और Full-Chain Membership Proofs (FCMP+) विकास में हैं जो मज़बूत privacy के लिए ring sizes को नाटकीय रूप से बढ़ाएंगे।