What is the Algorand whitepaper?

The Algorand whitepaper, titled 'Algorand: Scaling Byzantine Agreements for Cryptocurrencies,' was published by Jing Chen and Silvio Micali in 2017. It presents a pure proof-of-stake protocol achieving instant finality without forking.

Who wrote the Algorand whitepaper and when?

The Algorand whitepaper was co-authored by Silvio Micali, a Turing Award-winning cryptographer from MIT, and Jing Chen. It was first published as a research paper in 2017.

What is Algorand's core technical innovation?

Algorand's core innovation is the use of Verifiable Random Functions (VRF) for secret, random committee selection. Each block is proposed and voted on by committees chosen via cryptographic sortition, making it impossible to target committee members in advance.

How does Algorand's consensus mechanism work?

Algorand uses Pure Proof of Stake (PPoS) with cryptographic sortition. For each block, a proposer and voting committee are secretly selected via VRF based on stake weight. Committee members verify this locally, preventing targeted attacks. Finality occurs in ~3.3 seconds.

How does Algorand differ from other PoS chains?

Algorand achieves immediate finality — blocks cannot be forked. Unlike Ethereum's PoS (which has epochs and can reorganize), Algorand's consensus guarantees that once a block is confirmed, it is final. Participation requires no minimum stake.

What is Algorand's supply model?

Algorand has a fixed supply of 10 billion ALGO, all minted at genesis. Distribution follows an accelerated vesting schedule. Participation rewards and governance rewards incentivize ALGO holders to secure the network and participate in governance.

What are Algorand's primary use cases?

Algorand is used for digital asset issuance, DeFi, real-world asset tokenization, CBDCs (e.g., the Marshall Islands SOV), carbon credit markets, and enterprise applications requiring instant finality and regulatory compliance.

What problem does Algorand solve?

Algorand solves the blockchain trilemma by achieving security, scalability, and decentralization simultaneously. Its VRF-based committee selection ensures decentralization, instant finality provides security, and parallel processing enables scalability.

How does Algorand's security model work?

Algorand's security is based on the assumption that two-thirds of the stake is held by honest participants. The VRF-based committee selection is secret until the vote is cast, making targeted attacks computationally infeasible.

What is the current state of the Algorand ecosystem?

Algorand's ecosystem includes DeFi protocols (Folks Finance, Tinyman), NFT platforms, and enterprise partnerships. AVM (Algorand Virtual Machine) supports smart contracts, and the State Proofs feature enables trustless cross-chain communication.

概要

公開台帳は、誰でも読み取って拡張できる改ざん防止された一連のデータです。公開台帳には無数の魅力的な用途があります。一目瞭然で、あらゆる種類のセキュリティを確保できます。トランザクション (タイトル、販売、支払いなど) を発生した正確な順序で記録します。公開台帳は汚職を防止するだけでなく、非常に高度なアプリケーションを可能にします。暗号通貨とsmart contract。彼らは民主主義社会のあり方に革命を起こそうとしている動作します。ただし、現在実装されているように、拡張性が低く、潜在力を発揮できません。 Algorand は、公開台帳を実装するための真に民主的で効率的な方法です。以前とは異なりプルーフ・オブ・ワークに基づく実装では、必要な計算量はごくわずかです。圧倒的に高い確率で「フォーク」しない取引履歴を生成します。 Algorand は、(斬新で超高速な) メッセージパッシングビザンチン協定に基づいています。具体的にするために、Algorand をマネープラットフォームとしてのみ説明します。

導入

お金はますます仮想化しています。米国の約80％と推定されています。現在のドルは台帳エントリ [5] としてのみ存在します。他の金融商品もこれに追随している。理想的な世界では、普遍的に信頼される中心的存在である免疫を頼りにすることができます。あらゆる可能性のあるサイバー攻撃に対して、金銭やその他の金融取引は電子的にのみ行われる可能性があります。残念ながら、私たちはそのような世界に住んでいません。したがって、分散型暗号通貨、 Bitcoin [29]、および Ethereum などの「smart contract」システムが [4] として提案されています。でこれらのシステムの中心は、一連の取引を確実に記録する共有台帳です。 ∗これは、2 番目の著者 [24] による ArXiv 論文のより正式な (および非同期) バージョンです。それ自体は、ゴルブノフとミカリ [18] のそれに基づいています。 Algorand のテクノロジーは以下の対象です特許出願: US62/117,138 US62/120,916 US62/142,318 US62/218,817 US62/314,601 PCT/US2016/018300 US62/326,865 62/331,654 US62/333,340 US62/343,369 US62/344,667 US62/346,775 US62/351,011 US62/653,482 US62/352,195 US62/363,970 US62/369,447 US62/378,753 US62/383,299 US62/394,091 US62/400,361 US62/403,403 US62/410,721 US62/416,959 US62/422,883 US62/455,444 US62/458,746 US62/459,652 US62/460,928 US62/465,931支払いや契約などさまざまな情報を改ざん防止された方法で。選ばれるテクノロジーこのような改ざん防止性を保証するものは blockchain です。ブロックチェーンは次のようなアプリケーションの背後にあります。暗号通貨 [29]、金融アプリケーション [4]、モノのインターネット [3]。いくつかのテクニック blockchain ベースの台帳を管理することが提案されています: プルーフ・オブ・ワーク [29]、プルーフ・オブ・ステーク [2]、実用的なビザンチンフォールトトレランス [8]、またはその組み合わせ。ただし、現在のところ、台帳の管理は非効率的である可能性があります。たとえば、Bitcoin の proof-of-work ([14] の元の概念に基づく) アプローチは膨大な量の計算を必要とし、無駄が多い [1] はスケーリングが不十分です。さらに、事実上、ごく少数の手に権力が集中している。したがって、私たちは、以下を提供する公開台帳を実装する新しい方法を提案したいと考えています。信頼できる不可侵の機関によって運営される集中システムの利便性と効率性。現在の分散型実装の非効率性と弱点。私たちのアプローチを Algorand、これまでに構築された台帳に基づいてアルゴリズムのランダム性を使用して選択するため、有効なトランザクションの次のブロックの構築を担当する一連の検証者。当然のことながら、私たちは、そのような選択が操作の影響を受けないことが証明されており、実際に行われるまでは予測できないことを保証します。それは最後の瞬間だけでなく、最終的には普遍的に明らかであるということでもあります。 Algorand のアプローチは、原理的にも事実上もそうではないという意味で、非常に民主的です。さまざまなクラスのユーザーを作成します (Bitcoin では「マイナー」と「一般ユーザー」)。 Algorand では「すべて権限はすべてのユーザーの集合にあります。」 Algorand の注目すべき特性の 1 つは、そのトランザクション履歴が非常に小さいものだけでフォークされる可能性があることです。確率（たとえば、1兆分の1、つまり10−18）。 Algorand は、いくつかの法的問題にも対処できますそして政治的な懸念。 Algorand アプローチは、blockchain に適用され、より一般的には、あらゆる生成方法に適用されます。改ざん防止された一連のブロック。私たちは実際に、およびに代わる新しい方法を提案しました。 blockchains よりも効率的です。これは独立した関心事かもしれません。 1.1 Bitcoin の仮定と技術的問題 Bitcoin は非常に独創的なシステムであり、その後の大量の研究に影響を与えました。それでも、それはも問題があります。その根底にある前提と技術的問題をまとめてみましょう。実際には、Bitcoin のような、proof-of-work に基づく基本的にすべての暗号通貨によって共有されます。この概要については、Bitcoin で、ユーザーは複数の公開鍵を所有できることを思い出していただくだけで十分です。デジタル署名スキームの、お金は公開鍵に関連付けられている、そして支払いはある公開鍵から別の公開鍵にいくらかの金額を転送するデジタル署名。本質的には、 Bitcoin は、処理されたすべての支払いを一連のブロック B1、B2、... に整理します。。 .、それぞれは複数で構成されます B1 のすべての支払いが任意の順序で行われ、続いて B2 の支払いが任意の順序で行われるような支払い、などは、一連の有効な支払いを構成します。各ブロックは平均して 10 分ごとに生成されます。この一連のブロックはチェーンです。これは、あらゆる変更が確実に行われるように構造化されているためです。単一のブロック内で後続のすべてのブロックに浸透するため、変更を発見しやすくなります。支払い履歴。 (後で説明するように、これは各ブロックに暗号化を含めることによって実現されます。このようなブロック構造は、blockchain と呼ばれます。仮定: 計算能力の正直な過半数 Bitcoin は悪意がないことを前提としていますエンティティ (または調整された悪意のあるエンティティの連合体) が、計算の大部分を制御します。ブロック生成に専念する電力。実際、そのようなエンティティは blockchain を変更できます。支払い履歴を好き勝手に書き換えます。特に、支払い$\wp$を行うことができます。支払われた給付金を受け取り、その後、$\wp$の痕跡をすべて「消去」します。技術的問題 1: 計算上の無駄 Bitcoin の proof-of-work をブロックするアプローチ生成には膨大な量の計算が必要です。現在、わずか数百人ですが、システム内に数千の公開鍵があり、上位 500 の最も強力なスーパーコンピュータだけが集めることができます。 Bitcoin プレーヤーに必要な総計算能力のわずか 12.8% に過ぎません。これ大幅に多くのユーザーがシステムに参加すると、計算量が大幅に増加します。技術課題2：電力の集中今日は、あまりにも量が多かったので、計算が必要な場合、ユーザーは通常のデスクトップ (ましてやデスクトップ) を使用して新しいブロックを生成しようとします。携帯電話）、損失が予想されます。実際、通常のコンピュータで新しいブロックを計算するには、計算に必要な電力の予想コストが、予想される報酬を超えています。特別に構築されたコンピューター (「新しいブロックをマイニングする」以外のことは何もしない) のプールのみを使用します。新しいブロックを生成することで利益が期待できるかもしれません。したがって、今日では事実上、次の 2 つが存在します。ユーザーの分離したクラス: 支払いのみを行う通常のユーザーと、特殊なマイニングプール新しいブロックのみを検索します。したがって、最近の時点で、ブロックの総計算能力が世代はわずか 5 つのプール内にあります。このような状況では、大多数の正直なところ、計算能力の信頼性は低くなります。技術的問題 3: あいまいさ Bitcoin では、blockchain は必ずしも一意である必要はありません。確かにその最新部分はフォークすることがよくあります。blockchain は、たとえば、B1 である可能性があります。。。、Bk、B' k+1、B' k+2、によると 1 人のユーザーと B1、. 。。、Bk、B'' k+1、B'' k+2、B'' 別のユーザーによれば、k+3。いくつかのブロックが完了した後でのみ、チェーンに追加された場合、最初の k + 3 ブロックが同じであると合理的に確信できますかすべてのユーザーのために。したがって、最後のブロックに含まれる支払いにすぐに依存することはできません。チェーン。ブロックが十分に深くなるかどうかを待って確認する方が賢明です。 blockchain であるため、十分に安定しています。これとは別に、Bitcoin に関して法執行機関と金融政策に関する懸念も提起されています。1 1.2 Algorand、要約すると設定 Algorand は非常に厳しい環境で動作します。簡単に言うと、 (a) 許可のない環境と許可された環境。 Algorand は、たとえ完全に許可のない環境では、任意の数のユーザーが参加できます。いかなる審査や許可も必要とせず、いつでもシステムを利用できます。もちろん、Algorand は機能します許可された環境ではさらに優れています。 1Bitcoin の支払いによって提供される (擬似) 匿名性は、マネーロンダリングや資金調達に悪用される可能性があります。犯罪者やテロ組織のこと。従来の紙幣や金の延べ棒は、原則として完璧な品質を提供します。匿名性も同様の課題を引き起こすはずですが、これらの通貨の現物性により、お金の動きが大幅に遅くなります。法執行機関によるある程度の監視を可能にするため。「お金を印刷する」能力は、国民国家の非常に基本的な権限の 1 つです。したがって、原則として、大規模な独立変動通貨の採用により、この力が抑制される可能性があります。ただし、現時点では Bitcoin は実現には程遠いです。政府の金融政策に対する脅威ではありますが、その拡張性の問題により、決して脅威にならない可能性があります。(b) 非常に敵対的な環境。 Algorand は非常に強力な敵に耐えます。 (1) 必要なときに、必要なユーザーを即座に破損させます。許可のない環境では、システム内のお金の 2/3 は正直なユーザーに属します。 (で許可された環境では、お金に関係なく、ユーザーの 2/3 が正直であれば十分です。) (2) すべての破損したユーザーを完全に制御し、完全に調整します。そして (3) 各メッセージが誠実なユーザーによって送信された場合に限り、すべてのメッセージの配信をスケジュールします。時間 $\lambda$m 以内に正直なユーザーの 95% に到達します。これは m のサイズのみに依存します。主な特性強力な敵の存在にもかかわらず、Algorand • 必要な計算量は最小限です。基本的に、ユーザーの数に関係なく、システム内に存在する場合、1500 人のユーザーはそれぞれ、せいぜい数秒間実行する必要があります。計算。 • 新しいブロックは 10 分以内に生成され、事実上、blockchain から離れることはありません。例えば、予想では、第１の実施形態におけるブロックを生成する時間はより短い。 Λ + 12.4$\lambda$ よりも優れています。ここで、Λ は、ピアツーピアのゴシップでブロックを伝播するのに必要な時間です。選択するブロックサイズに関係なく、$\lambda$ は 1,500 個の 200Blong メッセージを伝播する時間です。 (真の分散型システムでは、Λ は本質的に固有のレイテンシであるため、 Algorand ブロック生成の制限要因はネットワーク速度です。) 2 番目の実施形態には次のような特徴があります。実際に実験的に (? によって) テストされており、ブロックが 40 秒未満で生成されることが示されています。秒。さらに、Algorand の blockchain は無視できる確率 (つまり、1 未満) でのみフォークする可能性があります。 1 兆単位)、したがってユーザーは、ブロックが完了するとすぐに、新しいブロックに含まれる支払いを中継することができます。ブロックが表示されます。 • すべての権限はユーザー自身にあります。 Algorand は真の分散システムです。特に、どのトランザクションを制御できる外部エンティティ (Bitcoin の「マイナー」など) は存在しません。認識されています。 Algorand のテクニック。 1. 新しい高速ビザンチン協定プロトコル。 Algorand は次の方法で新しいブロックを生成します新しい暗号化、メッセージパッシング、バイナリビザンチン協定 (BA) プロトコル、BA⋆。プロトコル BA⋆は、いくつかの追加特性 (これについてはすぐに説明します) を満たすだけでなく、非常に高速です。大まかに言えば、そのバイナリ入力バージョンは 3 ステップのループで構成されており、プレイヤー i が単一のメッセージを送信します。他のプレイヤー全員にメッセージを送ります。完全な同期ネットワークで実行され、さらに多くの機能が追加されます。プレイヤーの 2/3 が正直である場合、確率は 1/3 以上で、各ループの後、プロトコルは次のように終了します。合意。 (プロトコル BA⋆ がビザンチン協定の元の定義を満たしていることを強調します) ピーズ、ショスタコ、ランポート [31] の、弱体化なし。) Algorand は、このバイナリ BA プロトコルを利用して、さまざまなコミュニケーションで合意に達します。新しいブロックごとにモデルを作成します。合意されたブロックは、規定の数の認証を介して認証されます。適切な検証者のデジタル署名が含まれ、ネットワークを通じて伝播されます。 2. 暗号の分類。非常に高速ですが、BA⋆プロトコルはさらに多くの利点をもたらします。何百万ものユーザーがプレイした場合の速度。したがって、Algorand は BA⋆の選手を選出します。すべてのユーザーのセットのはるかに小さいサブセット。異種の権力集中を避けるためにこの問題では、新しいブロック Br はそれぞれ、BA⋆ の新たな実行を通じて構築され、合意されます。選択された検証者の別のセット、SV r による。原則として、そのようなセットを選択するのは次のような困難になる可能性があります。 Br を直接選択します。私たちは、この潜在的な問題を、次のようなアプローチと呼んでいます。 Maurice Herlihy の洞察力に富んだ提案、暗号ソート。仕分けというのは、資格のある大規模な集団から無作為に役人を選択する[6]。（仕分け練習をしました何世紀にもわたって、たとえばアテネ、フィレンツェ、ヴェネツィアの共和国によって。現代の司法ではシステムでは、陪審員を選ぶためにランダムな選択がよく使用されます。最近ではランダムサンプリングも行われています David Chaum [9] によって選挙について提唱されました。) 分散型システムでは、もちろん、各検証者セットSV r のメンバーをランダムに選択するために必要なランダムコインには問題があります。したがって、すべてのユーザーの母集団から各検証セットを選択するために暗号化に頼ります。自動（つまり、メッセージ交換を必要としない）かつランダムであることが保証された方法で。本質的には、暗号化関数を使用して、前のブロックから自動的に決定します。 Br-1、新しいブロック Br の提案を担当するユーザー、リーダー、および検証者セット SV r、リーダーが提案したブロックについて合意に達するよう請求する。悪意のあるユーザーが影響を与える可能性があるため、 Br−1 の構成（たとえば、その支払いの一部を選択することによって）を特別に構築して使用します。 r 番目のブロックのリーダーと検証子セット SV r が確かに正しいことを証明するための追加入力ランダムに選ばれます。 3. 数量 (シード) Qr.次の目的で、blockchain の最後のブロック Br−1 を使用します。新しいブロックの構築を担当する次の検証者セットとリーダーを自動的に決定します Br.このアプローチの課題は、わずかに異なる支払いを選択するだけで、前のラウンドでは、私たちの強力な敵対者が次のリーダーに対する驚異的なコントロールを獲得しました。たとえ彼がシステム内のプレイヤー/資金の 1/1000 のみを管理しているだけで、彼はすべてのリーダーが確実に行動できるようにすることができました。悪意のある。 (直感セクション 4.1 を参照してください。) この課題は、すべての proof-of-stake アプローチの中心です。そして、私たちの知る限りでは、これまでのところ、この問題は十分に解決されていません。この課題に対処するために、私たちは意図的に別の、慎重に構築し、継続的に更新しています。定義された量 Qr は、おそらく予測できないだけでなく、影響を与えることもできません。強力な敵。 Algorand が選択するのは Qr からであるため、Qr を r 番目のシードと呼ぶことがあります。秘密の暗号ソートを介して、 r番目のブロック。 4. 秘密暗号による分類と秘密資格情報。検証者セットと担当リーダーを選択するために、現在の最後のブロック Br-1 をランダムかつ明確に使用します。新しいブロック Br を構築するだけでは十分ではありません。 Br−1 は Br を生成する前に既知である必要があるため、 Br-1 に含まれる影響のない最後の量 Qr-1 も既知でなければなりません。したがって、は検証者であり、ブロック Br の計算を担当するリーダーです。したがって、私たちの強力な敵は、彼らがBrについて議論する前に、即座に彼ら全員を堕落させるかもしれない。彼らが認証するブロックを完全に制御します。この問題を防ぐために、リーダー (実際には検証者も) は自分たちの役割を密かに知りますが、実際にその役割を担っているすべての人に証明できる適切な資格情報を計算します。いつユーザーは、自分が次のブロックのリーダーであることを内密に認識し、最初に密かに自分のブロックを組み立てます。彼自身が新しいブロックを提案し、それを自分のブロックと一緒に（認証できるように）広めます。資格情報。この方法では、敵対者は次のリーダーが誰であるかをすぐに認識します。ブロックはあり、彼はすぐに彼を堕落させることができますが、敵対者にとっては遅すぎるでしょう。新しいブロックの選択に影響します。確かに、彼はもうリーダーのメッセージを「コールバック」することはできません強力な政府がウィキリークスによってウイルス的に拡散されたメッセージを瓶に戻すよりも。これから説明するように、リーダーの独自性を保証することはできませんし、誰がリーダーであるかを誰もが確信できるわけでもありません。リーダー自身も含めてです！ただし、Algorand では、明確な進捗が保証されます。 5. 選手の交代可能性。新しいブロックを提案した後、リーダーは「死ぬ」（あるいは死ぬ）のも同然かもしれない。敵対者によって破壊されました)、彼の仕事は終わったからです。しかし、SV r の検証者にとっては、状況はそれほど変わりません。シンプル。確かに、十分な数の署名を持つ新しいブロック Br の認証を担当しており、彼らはまずリーダーが提案したブロックに関してビザンチン協定を締結しなければならない。問題は、どんなに効率的であっても、BA⋆には複数のステップと、プレイヤーの 2/3 以上の誠実さが必要です。これは問題です。効率上の理由から、BA⋆ のプレーヤーセットは小さなセット SV r から構成されているからです。すべてのユーザーのセットの中からランダムに選択されます。したがって、私たちの強力な敵は、たとえそれができないとしても、全ユーザーの 1/3 が破損しているため、SV r のすべてのメンバーが破損している可能性があります。幸いなことに、ピアツーピア方式でメッセージを伝播することによって実行されるプロトコル BA⋆ は、プレーヤーの置き換えが可能であることが証明されます。この新しい要件は、プロトコルが正しく、各ステップがまったく新しいランダムな方法で実行された場合でも、効率的に合意に達します。独立して選ばれたプレイヤーのセット。したがって、何百万ものユーザーがいる場合、それぞれの小さなプレイヤーのセットは BA のステップに関連付けられている⋆は、おそらく次のセットとの空の交差があります。さらに、BA⋆の異なるステップのプレイヤーのセットは、おそらくまったく異なるものになるでしょう。基数。さらに、各セットのメンバーは、次のセットのプレーヤーが誰になるかを知りません。内部状態を密かに渡してはなりません。ダイナミックで非常に強力なプレーヤーを倒すには、プレーヤーの交換可能特性が実際に非常に重要です私たちが想定している敵。私たちは、プレーヤー交換プロトコルが多くの分野で重要になると信じています。コンテキストとアプリケーション。特に、小さなサブプロトコルを安全に実行するために重要になります。より大きなプレイヤーの世界に組み込まれたダイナミックな敵は、全プレイヤーのほんの一部ですが、小規模なプレイヤー全員を堕落させるのは難しいことではありません。サブプロトコル。追加の特性/テクニック: 怠惰な正直さ正直なユーザーは自分の規定に従いますこれには、オンラインになってプロトコルを実行することが含まれます。以来、Algorand にはささやかなものしかありません計算と通信の要件、オンラインであり、「中で」プロトコルを実行している「背景」は大きな犠牲ではありません。もちろん、誠実なプレイヤーの中にもいくつかの「不在」はあります。接続が突然失われたり、再起動が必要になったりする場合は、自動的に許容されます (理由は、このような少数のプレイヤーは一時的に悪意があると常に考えることができます)。ただし、次のことを指摘しておきます。 Algorand は、新しいモデルで動作するように簡単に適応できます。そのモデルでは、正直なユーザーがほとんどの時間はオフラインです。当社の新モデルは次のように非公式に紹介されます。怠惰な正直さ。大まかに言えば、ユーザー i は、(1) 決められたことをすべて守っている場合、怠け者だが正直であると言えます。指示、プロトコールへの参加を求められたとき、および (2) 参加を求められたときプロトコルに従うことはまれであり、適切な事前通知が必要です。正直さについてこのように緩やかな概念があると、正直な人は誠実であるという確信がさらに高まるかもしれません。必要なときにいつでもすぐに利用できるようにし、Algorand がそのような場合に保証します。システムは、特定の時点で次のような場合でも安全に動作します。参加プレイヤーの大半は悪意のあるプレイヤーです。1.3 密接に関連する作品 Proof-of-Work アプローチ (引用された [29] や [4] など) は、私たちのアプローチとはまったく直交しています。も同様ですメッセージパッシングビザンチン協定または実用的なビザンチンフォールトトレランスに基づくアプローチ (引用された [8] のように)。実際、これらのプロトコルはすべてのユーザー間で実行できず、私たちのモデルでは、適切な少数のユーザーセットに制限します。実際、私たちの強力な敵は、実際に BA プロトコルを実行する責任を負う小規模なセットに関与するすべてのユーザーが即座に破損します。私たちのアプローチは、ユーザーの「力」という意味で、プルーフ・オブ・ステーク [2] に関連していると考えることができます。ブロックの構築は、システム内で所有するお金に比例します（「言う」のとは対照的に）彼らが「エスクロー」に預けたお金）。私たちの論文に最も近い論文は、Pass と Shi [30] の Sleepy Consensus Model です。を避けるために、 proof-of-work アプローチでは大量の計算が必要となるため、彼らの論文が依存しています (親切にもクレジット) Algorand の秘密の暗号ソート。この重要な側面が共通しているため、いくつかの私たちの論文間には大きな違いがあります。特に、 (1) 設定は許可のみです。対照的に、Algorand もパーミッションレスシステムです。 (2) 彼らはnakamoto スタイルのプロトコルを使用しているため、blockchain は頻繁にフォークします。とはいえ proof-of-work を省略し、彼らのプロトコルでは、秘密裏に選ばれたリーダーが、その期間を延長するよう求められています。最長有効 (よりリッチな意味で) blockchain。したがって、フォークは避けられず、それが完了するまで待つ必要があります。ブロックはチェーンの十分に「深い」ところにあります。確かに、敵と協力して目的を達成するには適応的な破損が発生する可能性があるため、ブロックの深さがポリ(N)である必要があります。ここで、Nはシステム内のユーザーの総数。ブロックが生成されると仮定しても、次の点に注意してください。 1 分以内に、N = 100 万人のユーザーがいる場合、約 200 万年待たなければなりません。ブロックが深さ N 2 になるまで、ブロックが深さ N になるまで約 2 年かかります。対照的に、 Algorand の blockchain は、敵対者が破損しているにもかかわらず、無視できる確率でのみフォークしますユーザーは即座に適応的に機能し、その新しいブロックはすぐに信頼できます。 (3) 個別のビザンチン協定は扱っていない。ある意味、彼らは保証するだけです「増大する一連の価値観に関する最終的な合意」。彼らのプロトコルは状態レプリケーションプロトコルです。 BA のものよりも重要であり、関心のある個別の値についてビザンチン合意に達するために使用することはできません。対照的に、Algorand は、必要に応じて 1 回だけ使用して、何百万ものユーザーが迅速に特定の関心のある値についてビザンチン合意に達する。 (4) 弱く同期されたクロックが必要です。つまり、すべてのユーザーの時計がわずかな時間だけずれています。 δ。対照的に、Algorand では、クロックは (本質的に) 同じ「速度」を持つだけで済みます。 (5) 彼らのプロトコルは、怠け者だが正直なユーザー、または大多数の正直なオンラインユーザーに対して機能します。彼らは、正直なユーザーが一斉にオフラインになるという問題を提起した Algorand を親切に称賛しています。それに応じて怠惰な正直モデルを提唱します。彼らのプロトコルは怠惰な環境で機能するだけではありません正直モデルだけでなく、敵対者がどのユーザーを選択するかという、敵対的眠気モデルでもあります。オンラインユーザーの大多数が常に正直であれば、どれがオンラインでどれがオフラインであるかが決まります。2 2 彼らの論文の元のバージョンでは、実際には、敵対的スリーピーモデルにおけるセキュリティのみが考慮されていました。の彼らのバージョンに先行する Algorand のオリジナルバージョンも、特定の過半数がオンラインプレーヤーは常に正直ですが、怠惰な正直モデルを支持して、考慮から明示的に除外されています。 (たとえば、ある時点で誠実なユーザーの半数がオフラインになることを選択した場合、大多数のユーザーはオンラインは悪意のあるものである可能性が非常に高いです。したがって、これが起こらないようにするために、敵対者は自分の攻撃のほとんどを強制する必要があります。破損したプレイヤーもオフラインになりますが、これは明らかに彼自身の利益に反します。) 過半数を獲得したプロトコルに注目してください。オンラインのユーザーの大多数が常に悪意を持っている場合、怠け者だが正直なプレイヤーが問題なく動作します。これはそうです、なぜなら十分な数の正直なプレイヤーは、まれな時点で重要な存在になることを知っていて、選出するだろう。そのような瞬間にオフラインになってはなりませんし、敵対者が誰を攻撃しているのかわからないため、敵対者によってオフラインに強制されることもできません。正直なプレイヤーは重要かもしれない。(6) 単純な正直な多数決が必要である。対照的に、Algorand の現在のバージョンでは、 2/3の正直な過半数。私たちに近いもう 1 つの論文は、Ouroboros: A Provively Secure Proof-of-Stake Blockchain Protocol です。 Kiayias、Russell、David、Oliynykov [20] 著。彼らのシステムも私たちのシステムの後に登場しました。それも暗号ソートを使用して、証明可能な方法で作業証明を不要にします。しかし、彼らのこのシステムもまた、ナカモトスタイルのプロトコルであり、フォークが避けられず、頻繁に発生します。 (ただし、彼らのモデルでは、ブロックはスリーピーコンセンサスモデルほど深くする必要はありません。) さらに、彼らのシステムは次の仮定に依存しています。著者自身の言葉を借りれば、「(1) ネットワークは高度に同期性が高く、(2) 選択された関係者の大多数は必要に応じて利用可能です。各エポックに参加する、(3) 利害関係者が長期間オフラインにならない、 (4) 破損の適応性は、ラウンド単位で線形に測定される小さな遅延の影響を受けます。セキュリティパラメータ。」対照的に、Algorand は、圧倒的な確率でフォークがなく、これら 4 つの仮定のいずれにも依存しません。特に、Algorand では、敵対者は次のことが可能です。彼が制御したいユーザーを瞬時に破壊します。

準備事項

2.1 暗号化プリミティブ理想的なハッシュ。効率的に計算可能な暗号関数 hash を使用します。任意の長さの文字列を固定長のバイナリ文字列にマッピングします。長い伝統を受け継ぎ、私たちはモデルを作ります。 H はランダムな oracle であり、基本的には考えられる各文字列 s をランダムにマッピングする関数です。選択した長さの独立して選択された (そして固定された) バイナリ文字列 H(s)。この論文では、H の出力は 256 ビット長です。確かに、そのような長さは、システムの効率性と、システムを安全にするのに十分な長さ。たとえば、H に衝突耐性を持たせたいとします。つまり、H(x) = H(y) となる 2 つの異なる文字列 x と y を見つけるのは難しいはずです。 H が 256 ビット長の出力を持つランダムな oracle である場合、そのような文字列のペアを見つけることは実際に難しい。 (誕生日のパラドックスに頼ってランダムに試すと、2256/2 = 2128 が必要になります。試練。）デジタル署名。デジタル署名により、ユーザーは相互に情報を認証できます。秘密鍵を一切共有せずに。デジタル署名スキームは 3 つの高速な構成で構成されます。アルゴリズム: 確率的鍵生成 G、署名アルゴリズム S、および検証アルゴリズム V。十分に大きな整数であるセキュリティパラメータ k が与えられると、ユーザー i は G を使用して次のペアを生成します。 k ビット鍵 (つまり、文字列): 「公開」鍵 pki と、対応する「秘密」署名鍵 Ski です。重要なのは、公開鍵は、対応する秘密鍵を「裏切る」ことはありません。つまり、pki の知識があったとしても、いいえ私以外の 1 人は、天文学的な時間未満でスキーを計算できます。ユーザー i は、ski を使用してメッセージにデジタル署名します。考えられる各メッセージ (バイナリ文字列) m、i について、最初に hashes m を実行し、入力 H(m) と Ski に対してアルゴリズム S を実行して、k ビット文字列を生成します。 sigpki(m) $\triangleq$ S(H(m)、スキー板) .3 3 H は衝突耐性があるため、1 つに署名することによって別の署名に「誤って署名」することは事実上不可能です。メッセージm'。バイナリ文字列 sigpki(m) は、m (pki を基準とした) の i のデジタル署名と呼ばれ、次のようになります。公開鍵 pki がコンテキストから明らかな場合は、より簡単に sigi(m) で表されます。 pki を知っている人は誰でも、i によって生成されたデジタル署名を検証するためにそれを使用できます。具体的には、入力 (a) プレーヤー i の公開鍵 pki、(b) メッセージ m、および (c) 文字列 s、つまり i の主張メッセージ m のデジタル署名に対して、検証アルゴリズム V は YES または NO を出力します。デジタル署名スキームに必要なプロパティは次のとおりです。 1. 正当な署名は常に検証されます。s = sigi(m) の場合、V (pki, m, s) = Y ES;そして 2. デジタル署名は偽造が困難です。スキーの知識がなければ、そのような文字列を見つけるのに時間がかかります。 i によって署名されていないメッセージ m の場合、V (pki, m, s) = Y ES は天文学的な長さになります。 (Goldwasser、Micali、Rivest [17] の強力なセキュリティ要件に従って、これは当てはまりますたとえ他のメッセージの署名を取得できたとしても。) したがって、他の人が自分に代わってメッセージに署名することを防ぐために、プレーヤー i は自分のメッセージを保持しなければなりません。署名キースキーシークレット (そのため「秘密キー」という用語)、および誰でもメッセージを検証できるようにするため彼は署名していますが、私は彼の鍵 pki (そのため「公開鍵」という用語が使われています) を公開することに興味があります。一般に、メッセージ m は、その署名 sigi(m) からは取得できません。実質的に取引するために概念的に便利な「検索可能性」特性を満たすデジタル署名を使用します（つまり、署名者とメッセージが署名から簡単に計算できることを保証します。 SIGpki(m) = (i, m, sigpki(m)) そして SIGi(m) = (i, m, sigi(m)) (pki がクリアの場合)。ユニークなデジタル署名。また、次を満たすデジタル署名スキーム (G、S、V ) も考慮します。次の追加プロパティ。 3. 独自性。次のような文字列 pk'、m、s、s' を見つけるのは困難です。 s̸= s′ そして V (pk', m, s) = V (pk', m, s') = 1。 (一意性プロパティは、正当に生成されていない文字列 pk' にも当てはまります。公開鍵。ただし、特に、一意性のプロパティは、次のことを意味します。公開鍵 pk と一致する秘密鍵 sk を計算するために鍵生成器 G を指定し、したがって、SK は、2 つの異なるデジタルを見つけることも本質的に不可能であることを知っていました。 pk に関連する同じメッセージの署名。) 備考 • 固有の署名から検証可能なランダム関数まで。デジタルと比較して一意性プロパティを持つ署名スキーム、マッピング m $\to$ H(sigi(m)) に関連付けられます。考えられる各文字列 m、ランダムに選択された一意の 256 ビット文字列、およびこの正確性マッピングは、署名 sigi(m) が与えられると証明できます。つまり、本質的に一意性プロパティを満たす理想的な hashing およびデジタル署名スキームです。導入されたように、検証可能なランダム関数の基本的な実装を提供します。ミカリ、ラビン、ヴァダン [27]。 (元の実装は必然的により複雑でしたが、なぜなら、彼らは理想的なhashingに依存していなかったからです。)• デジタル署名に対する 3 つの異なるニーズ。 Algorand では、ユーザーはデジタルに依存していますの署名 (1) i 自身の支払いを認証する。このアプリケーションでは、キーは「長期」（つまり、長期間にわたって多くのメッセージに署名する）、通常の署名スキームから来ています。 (2) i がラウンド r のいくつかのステップで行動する資格があることを証明する資格情報を生成する。ここで、キーは長期にわたる可能性がありますが、一意性プロパティを満たすスキームから取得する必要があります。 (3) i が行動する各ステップで送信するメッセージを認証する。ここで、キーは一時的 (つまり、最初の使用後に破棄される) ですが、通常の署名スキームに由来する可能性があります。 • 低コストの簡素化。簡単にするために、各ユーザー i が単一の長期キーを持つことを想定しています。したがって、そのようなキーは、一意性を持つ署名スキームから取得されなければなりません。財産。このような単純さにより、計算コストは小さくなります。通常、実際、ユニークなデジタル署名は、通常の署名よりも作成および検証に若干のコストがかかります。 2.2 理想的な公開台帳 Algorand は、理想的な公開台帳に基づいて、次の支払いシステムを模倣しようとしています。 1. 初期ステータス。お金は個々の公開鍵 (非公開で生成され、ユーザーが所有します)。 pk1、. 。。、ｐｋｊが初期公開鍵であり、ａ１、．。。、aj それぞれの初期金額単位の場合、初期ステータスは次のようになります。 S0 = (pk1, a1), . 。。、 (pkj、aj) 、それはシステム内の常識であると考えられています。 2. 支払い。 pk を現在 $\geq$0 の通貨単位を持つ公開鍵とし、pk' を別の公開鍵とします。 key、および a' は a 以下の非負の数です。したがって、(有効な) 支払い $\wp$ はデジタルです。 pk を基準として、pk から pk' への a' 通貨単位の移動を指定する署名いくつかの追加情報とともに。記号では、 $\wp$= SIGpk(pk, pk′, a′, I, H(I)), ここで、I は、有用ではあるが機密ではないとみなされる追加情報を表します (例: 時間) 情報および支払い識別子）、および機密とみなされる追加情報（例: 支払いの理由、場合によってはPKとPK'の所有者の身元など）。 pk (またはその所有者) を支払者、各 pk' (またはその所有者) を受取人、a' を受取人と呼びます。お支払い金額$\wp$。支払いによる無料参加。ユーザーはいつでも好きなときにシステムに参加できることに注意してください。独自の公開鍵/秘密鍵ペアを生成します。したがって、以下に現れる公開鍵 pk' は、上記の支払い$\wp$は、お金を「所有」したことのない新しく生成された公開鍵である可能性があります。前に。 3. 魔法の台帳。理想化されたシステムでは、すべての支払いは有効であり、改ざん防止された状態で表示されます。誰でも見られるように「空に掲載」された一連の支払いのリスト L 個: L = PAY 1、PAY 2、. 。。、各ブロック PAY r+1 は、ブロックの出現以降に行われたすべての支払いのセットで構成されます。支払い r.理想的なシステムでは、一定 (または有限) 時間が経過すると、新しいブロックが表示されます。議論。 • より一般的な支払いと未使用のトランザクション出力。より一般的には、公開鍵の場合、 pk が金額 a を所有している場合、pk の有効な支払い$\wp$により金額 a' を転送できます。 1、a' 2、。。、、それぞれキー pk' に 1、PK' 2、。。 .、Pである限りじゃぁ j $\leq$ a。 Bitcoin および同様のシステムでは、公開鍵 pk が所有するお金は別個に分離されます。金額、および pk によって行われた支払い $\wp$ は、そのような分離された金額 a を全額送金しなければなりません。 pk が a の a' < a の部分のみを別のキーに転送したい場合は、別のキー (場合によっては pk 自体) への、未使用のトランザクション出力のバランス。 Algorand は、分離された量を持つキーでも機能します。ただし、そこに集中するためには、 Algorand には新しい側面があるため、よりシンプルな支払い形式に固執するほうが概念的には簡単ですおよび単一の金額が関連付けられたキー。 • 現在のステータス。理想化されたスキームは、現在の状況に関する情報を直接提供しません。システムのステータス (つまり、各公開鍵がどのくらいの通貨単位を持っているか)。この情報マジックレジャーから推測可能です。理想的なシステムでは、アクティブなユーザーが最新のステータス情報を継続的に保存および更新し、そうしないと、最初から、または最後に作成したものから再構築する必要があります。それを計算しました。 (このペーパーの次のバージョンでは、Algorand を拡張して、ユーザーが現在のステータスを効率的に再構築できるようになります。） • セキュリティと「プライバシー」。デジタル署名により、誰も支払いを偽造できないことが保証されます。別のユーザー。支払い $\wp$ では、公開キーと金額は隠されませんが、機密情報は隠されません。情報は私です。実際、$\wp$ には H(I) のみが表示され、H は理想的な hash 関数であるため、H(I) はランダムな 256 ビット値であるため、自分が以下よりも優れていたことを把握する方法はありません。単に推測するだけです。それでも、私が何であるかを証明するために（たとえば、支払いの理由を証明するために）、支払者は I を明らかにするだけでよい。明らかにされた I の正しさは、H(I) を計算することによって検証できる。そして、結果の値を$\wp$の最後の項目と比較します。実際、H は衝突耐性があるため、 H(I) = H(I') となる 2 番目の値 I' を見つけるのは困難です。 2.3 基本的な概念と表記法キー、ユーザー、所有者特に指定がない限り、各公開キー (略して「キー」) は長期にわたり、一意性特性を持つデジタル署名スキームに関連付けられます。公開鍵 i が結合しますすでにシステム内にある別の公開鍵 j が i に支払いを行うとき、システム。色については、鍵を擬人化します。キー i を「彼」と呼び、私は正直である、送信すると言うユーザーはキーと同義です。キーを区別したいとき所有者を表す場合、それぞれ「デジタルキー」と「所有者」という用語を使用します。許可のないシステムと許可されたシステム。デジタルキーが無料であれば、システムはパーミッションレスですいつでも参加でき、所有者は複数のデジタルキーを所有できます。それ以外の場合は許可されています。ユニークな表現 Algorand の各オブジェクトには固有の表現があります。特に、各集合 {(x, y, z, . . .) : x $\in$X, y $\in$Y, z $\in$Z, ... 。 .} は、事前に指定された方法で順序付けされます。例: first 辞書順に x に、次に y にというように。同速度クロックグローバルクロックはありません。むしろ、各ユーザーが独自のクロックを持っています。ユーザークロックいかなる方法でも同期する必要はありません。ただし、それらはすべて同じ速度であると仮定します。たとえば、ユーザー i の時計では午後 12 時ですが、時計によれば午後 2 時 30 分である可能性があります。他のユーザー j の時計ですが、i の時計では 12:01 になるはずですが、i の時計では 2:31 になります。 Jの時計に。つまり、「1 分はどのユーザーにとっても同じ (十分に、本質的に同じ)」ということです。ラウンド Algorand は、論理単位 r = 0、1、... で構成されます。。 .、ラウンドと呼ばれます。私たちはラウンドを示すために一貫して上付き文字を使用します。非数値量 Q であることを示すには (文字列、公開鍵、セット、デジタル署名など) はラウンド r を指します。単純に Qr と書きます。 Q が (数値として解釈可能なバイナリ文字列ではなく) 本物の数値である場合にのみ、シンボル r が Q の指数として解釈されないように、Q(r) と書きます。ラウンド r > 0 (の開始時) では、すべての公開鍵のセットは PKr で、システムのステータスは次のようになります。シニア = n 私、a(r) 私、。。。 : i $\in$PKro 、ここで、a(r) 私はは公開鍵 i に利用できる金額です。 PKr は次から推定できることに注意してください。 Sr であり、その Sr は各公開鍵 i の他のコンポーネントを指定することもできます。ラウンド 0 の場合、PK0 は初期公開鍵のセット、S0 は初期ステータスです。 PK0 と S0 はシステムの常識であると想定されます。簡単にするために、ラウンド r の開始時は次のようになります。 PK1、. 。。、ＰＫｒおよびＳ１、．。。、Sr. ラウンド r では、システムのステータスが Sr から Sr+1 に遷移します。象徴的には、ラウンド r: Sr −→ Sr+1。支払い Algorand では、ユーザーは継続的に支払いを行います (そして、その支払いを方法で広めます) セクション 2.7 で説明されています）。ユーザー i $\in$PKr の支払い $\wp$ は、同じ形式とセマンティクスを持ちます。理想的なシステムのように。つまり、 $\wp$= SIGi(i, i', a, I, H(I)) 。支払い $\wp$ は、(1) その金額が次の場合にラウンド r (略してラウンド R 支払い) で個別に有効になります。 a は a(r) 以下です i 、および (2) r' < r の場合、公式の給与セット PAY r' には表示されません。 (以下で説明するように、2 番目の条件は、$\wp$ がまだ有効になっていないことを意味します。 i のラウンド r 支払いのセットは、その金額の合計が最大でも a(r) である場合、集合的に有効です。私は。給与セットラウンド r ペイセット P は、各ユーザー i に対して次のようなラウンド r 支払いのセットです。 P の i のうち (おそらくなし) は、集合的に有効です。すべてのラウンド r のペイセットのセットは PAY(r) です。ラウンドR ペイセット P のスーパーセットがラウンド r ペイセットでない場合、ペイセット P は最大になります。実際に、支払い $\wp$ がラウンド $\rho$ 、 $\wp$= SIGi($\rho$, i, i', a, I, H(I)) を指定することを提案します。また、一部の固定非負整数 k については、[$\rho$, $\rho$ + k] の外側のどの丸でも有効ではありません。4 4これにより、$\wp$が「有効」になったかどうかのチェックが簡素化されます（つまり、何らかのペイセットが有効かどうかの判断が簡素化されます） PAY r には$\wp$が含まれます。 k = 0、$\wp$= SIGi(r, i, i′, a, I, H(I)) 、および $\wp$/$\in$PAY r の場合、i は $\wp$ を再送信する必要があります。公的給与セットラウンド r ごとに、Algorand が (後述する方法で) 公的に選択します。単一の（おそらく空の）ペイセット、PAY r、ラウンドの公式ペイセット。 (本質的に、PAY r は「実際に」起こったラウンドアール支払い。）理想的なシステム (および Bitcoin) と同様、(1) 新しいユーザー j がシステムに入る唯一の方法所定のラウンド r の公式給与セット PAY r に属する支払いの受取人となること。そして (2) PAY r は、現在のラウンド Sr のステータスから次のラウンド Sr+1 のステータスを決定します。象徴的に言えば、 PAY r : Sr −→Sr+1。具体的には、 1. ラウンド r + 1 の公開鍵のセット、PKr+1 は、PKr の和集合とすべての公開鍵のセットで構成されます。 PAY r の支払いで初めて表示される受取人キー。そして 2. 金額 a(r+1) 私はユーザー i がラウンド r + 1 で所有するものは、ai(r) の合計です。前回のラウンドで私が所有していた金額 (i ̸$\in$PKr の場合は 0)— と金額の合計 PAY r の支払いに従って i に支払われます。まとめると、理想的なシステムと同様に、Sr+1 の各ステータスは以前の支払い履歴から推定できます。支払い 0、. 。。、ペイr。 2.4 ブロックと実証済みのブロック Algorand0 では、ラウンド r に対応するブロック Br は以下を指定します。 r 自体。一連の支払いラウンドr、PAY r;量 Qr (後述)、および前のブロック H(Br−1) の hash。したがって、ある固定ブロック B0 から開始して、従来の blockchain が得られます。 B1 = (1, PAY 1, Q0, H(B0)), B2 = (2, PAY 2, Q1, H(B1)), B3 = (3, PAY 3, Q2, H(B2)), 。。。 Algorand では、ブロックの信頼性は実際には別の情報によって保証されます。「ブロック証明書」CERT r。Br を証明済みブロック Br に変換します。したがって、マジックレジャーは、実証済みのブロックのシーケンスによって実装されます。 B1、B2、. 。。ディスカッションこれから説明するように、CERT r は、H(Br) のデジタル署名のセットで構成されています。 SV r のメンバーの大多数、およびそれらのメンバーのそれぞれが実際に所属していることの証明 SVrへ。もちろん、証明書 CERT r をブロック自体に含めることもできますが、概念的には分離しておいたほうがすっきりします)。 Bitcoin では、各ブロックは特別なプロパティを満たす必要があります。つまり、「暗号パズル」により、ブロック生成の計算量が増加し、フォークの両方が避けられなくなります。そして珍しくありません。対照的に、Algorand の blockchain には 2 つの主な利点があります。最小限の計算で済み、圧倒的に高い確率でフォークしません。各ブロック Bi は blockchain に入るとすぐに安全に最終的になります。2.5 許容可能な失敗確率 Algorand の安全性を分析するには、確率 F を指定します。何かが間違っていることを受け入れる（たとえば、検証者セット SV r が正当な多数派を持たない）。暗号化 hash 関数 H の出力長の場合と同様、F もパラメーターです。しかし、この場合と同様に、より直観的に理解するために、F を具体的な値に設定すると便利であることがわかります。 Algorand では、同時に十分なセキュリティを享受することが確かに可能であるという事実の把握そして十分な効率性。 F が必要に応じて設定できるパラメータであることを強調するために、最初にそれぞれ設定した第2の実施形態 F = 10−12 そして F = 10−18 。ディスカッション 10−12 は実際には 1 兆分の 1 未満であることに注意してください。私たちのアプリケーションでは F の選択が適切です。 10−12 は確率ではないことを強調しましょう。これにより、敵対者は誠実なユーザーの支払いを偽造することができます。すべての支払いはデジタルで行われますしたがって、適切なデジタル署名が使用されている場合、支払いが偽造される可能性は次のとおりです。 10−12 よりもはるかに低く、実際には本質的に 0 です。私たちが喜んで許容する悪い出来事確率 F では、Algorand の blockchain がフォークします。 F と 1 分間のラウンドでは、Algorand の blockchain でフォークが発生する頻度は低いと予想されます。 (およそ) 190 万年に 1 回。対照的に、Bitcoin では、フォークが頻繁に発生します。より要求の厳しい人は、F をより低い値に設定する場合があります。この目的のために、第２の実施形態では、 F を 10−18 に設定することを検討します。なお、ブロックが毎秒生成されると仮定すると、1018 ビッグバンから現在まで、宇宙がこれまでにかかった推定秒数時間。したがって、F = 10−18 の場合、ブロックが 1 秒以内に生成される場合、その経過時間は次のようになります。宇宙にフォークが見えます。 2.6 敵対的モデル Algorand は、非常に敵対的なモデルでも安全になるように設計されています。説明しましょう。正直なユーザーと悪意のあるユーザーユーザーは、プロトコルの指示をすべて遵守する場合、誠実であると言えます。メッセージの送受信が完全に可能です。ユーザーは悪意のあるユーザーです (例: Byzantine、分散コンピューティングの用語)、規定された指示から任意に逸脱できる場合。敵対者敵対者は、色で擬人化された効率的な (技術的には多項式時間の) アルゴリズムであり、いつでも、望むユーザーを即座に悪意のあるものにすることができます (主題) 破壊できるユーザー数の上限のみ）。敵対者は、すべての悪意のあるユーザーを完全に制御し、完全に調整します。彼はあらゆる行動を起こすすべてのメッセージの送受信を含め、ユーザーに代わって、ユーザーが本来の目的から逸脱できるようにすることができます。決められた指示を恣意的な方法で行うこと。または、単に破損したユーザーが送信しているものを隔離することもできます。そしてメッセージを受信しています。ユーザー i が悪意があることを他の誰も自動的に学習しないことを明確にしましょう。ただし、i の悪意は、敵対者が彼にとらせた行動によって明らかになる可能性があります。しかし、この強力な敵は、 • 無制限の計算能力を持たないため、デジタル暗号化をうまく偽造することができません。無視できる可能性を除いて、正直なユーザーの署名。そして• 正直なユーザー間のメッセージ交換にいかなる形でも干渉することはできません。さらに、正直なユーザーを攻撃する彼の能力は、次の仮定のいずれかによって制限されます。正直にお金の大部分を占める Honest Majority of Money (HMM) の連続体を考慮します。仮定: つまり、非負の整数 k および実数 h > 1/2 について、 HHMk > h: すべてのラウンドで正直なユーザーは、r で全資金のうち h より大きい割合を所有していました。ラウンド r −k のシステム。議論。すべての悪意のあるユーザーが自分の行動を完全に調整していると仮定します (あたかも制御されているかのように) 単一の存在、つまり敵対者による）はかなり悲観的な仮説です。完璧なコーディネートも多くの人にとって達成は困難です。おそらく調整は別々のグループ内でのみ行われます悪意のあるプレイヤーの。ただし、悪意のあるユーザーの調整のレベルについては確信が持てないため、楽しめるかも知れませんが、後悔するよりは安全を確保した方が良いでしょう。敵対者が密かに、動的に、即座にユーザーを破壊できると仮定すると、悲観的。結局のところ、現実的には、ユーザーの操作を完全に制御するには時間がかかるはずです。 HMMk > h という仮定は、たとえば、ラウンド (平均) が実装された場合に次のことを意味します。つまり、1 分以内に、特定のラウンドの資金の大部分が正当な手に残ることになります。 k = 120 の場合は少なくとも 2 時間、k = 10,000 の場合は少なくとも 1 週間。 HMM の仮定と以前のコンピューティング能力の正直多数に注意してください。計算能力はお金で買えるので、仮定は次のような意味で関連しています。悪意のあるユーザーが資金の大部分を所有している場合、彼らはコンピューティング能力の大部分を手に入れることができます。 2.7 コミュニケーションモデル私たちは、メッセージの伝播、つまり「ピアツーピアのゴシップ」5が唯一の手段であると想定しています。コミュニケーション。一時的な仮定: ネットワーク全体でのメッセージのタイムリーな配信。のためにこの文書の大部分では、伝播されたすべてのメッセージがほぼすべての誠実なユーザーに届くと想定しています。タイムリーに。この仮定は、ネットワークを扱うセクション 10 で削除します。自然発生または敵対的に誘発されたパーティション。 (これから見ていきますが、私たちは仮定するだけですネットワークの接続された各コンポーネント内でのメッセージのタイムリーな配信。) (ネットワーク全体で) 伝播されたメッセージのタイムリーな配信をキャプチャする具体的な方法の 1 つは次のとおりです。以下: すべての到達可能性 $\rho$ > 95% およびメッセージサイズ $\mu$ $\in$Z+ に対して、次のような $\lambda$ $\rho$,$\mu$ が存在します。正直なユーザーが時間 t にμバイトのメッセージ m を伝播すると、そして、時間 t + $\lambda$ $\rho$,μ までに、m は正直なユーザーの少なくとも一部 $\rho$ に到達します。 5本質的に、Bitcoin のように、ユーザーがメッセージ m を伝播すると、すべてのアクティブユーザー i が初めて m を受信します。適切な少数のアクティブなユーザー、つまり「隣人」をランダムかつ独立して選択し、そのユーザーに m を転送します。おそらく彼が彼らから承認を受け取るまで。 m の伝播は、ユーザーが受信しない場合に終了します。初めてのメートル。ただし、上記のプロパティは、別のユーザー/デポジトリなどによって最新の blockchain を取得するメカニズムを明示的かつ個別に想定しない限り、Algorand プロトコルをサポートできません。実際、新しいブロック Br を構築するには、適切な検証者のセットがタイムリーにラウンド R を受信する必要があるだけではありません。メッセージだけでなく、Br-1 と他のすべての以前のメッセージを知るために、前のラウンドのメッセージも表示されます。ブロック。Br での支払いが有効かどうかを判断するために必要です。以下の代わりに仮定で十分です。メッセージ伝播 (MP) の仮定: すべての $\rho$ > 95% および $\mu$ $\in$Z+ に対して、 $\lambda$ $\rho$,$\mu$ が存在します。つまり、すべての時間 t と、t −$\lambda$ $\rho$,μ より前に正直なユーザーによって伝播されたすべての μ バイトのメッセージ m について、 m は、時刻 t までに、正直なユーザーの少なくとも一部 $\rho$ によって受信されます。プロトコル Algorand ' は、実際には少数のユーザー (つまり、 Algorand ' のラウンドの指定されたステップで、(小さい) 規定サイズの別個のメッセージを伝播します。そして、これらの指示を実行するために必要な時間を制限する必要があります。 MPを充実させることでこれを実現します以下のような仮定。すべての n、$\rho$ > 95%、および $\mu$ $\in$Z+ に対して、すべての時間 t およびすべての $\mu$ バイトについて、次のような $\lambda$n,$\rho$,$\mu$ が存在します。メッセージｍ１、．。。、ｍｎ、それぞれは、ｔ−$\lambda$ｎ、$\rho$、μ、ｍ１、．。。、mn が受信され、時間 t までに、正直なユーザーの少なくとも一部 $\rho$ によって。注記 • 上記の仮定は意図的に単純ですが、本稿で必要以上に強力でもあります。6 • 簡単にするために、$\rho$ = 1 と仮定するため、$\rho$ についての言及は省略します。 • 私たちは、彼が MP の仮定に違反しない限り、敵対者は次のように悲観的に仮定します。すべてのメッセージの配信を完全に制御します。特に正直者には気付かれずにユーザー、敵対者は、どの正直なプレイヤーがどのメッセージをいつ受け取るかを任意に決定できます。そして彼が望むあらゆるメッセージの配信を恣意的に加速させます。7

従来の設定における BA プロトコル BA⋆

すでに強調したように、ビザンチン協定は Algorand の重要な要素です。確かに、それは通ります Algorand がフォークの影響を受けないような BA プロトコルの使用。ただし、私たちの攻撃に対して安全を確保するために、強力な敵対者 Algorand は、新しいプレーヤーの置き換え可能性を満たす BA プロトコルに依存する必要があります制約。さらに、Algorand を効率的にするには、そのような BA プロトコルが非常に効率的である必要があります。 BA プロトコルは、同期完全な理想的な通信モデルのために最初に定義されました。ネットワーク (SC ネットワーク)。このようなモデルにより、BA プロトコルの設計と分析がより簡単になります。 6正直なパーセンテージ h と許容可能な失敗確率 F が与えられると、Algorand は上限 N を計算します。ステップ内の検証者のメンバーの最大数まで。したがって、MP 仮定は n $\leq$ N の場合にのみ成立する必要があります。さらに、前述したように、MP の仮定は、他のメッセージがどれだけ多くても一緒に伝播される可能性があります。 mjさん。ただし、Algorand でわかるように、メッセージは基本的に重複しない時間で伝播されます。間隔。その間、単一のブロックが伝播されるか、最大 N 個の検証者が小さなブロック (例: 200B) を伝播します。メッセージ。したがって、MP の仮定をより弱い、しかしより複雑な方法で言い直すことができます。 7たとえば、彼は正直なプレイヤーが送信したメッセージをすぐに知ることができます。したがって、悪意のあるユーザー i' は、正直なユーザー i と同時にメッセージを伝播するように求められますが、常に以下に基づいて自分のメッセージ m' を選択できます。メッセージ m は実際に i によって伝播されます。この能力は、分散計算の用語で言えば、ラッシングに関連しています。文学。したがって、このセクションでは、SC ネットワーク用の新しい BA プロトコル BA⋆ を導入し、選手の入れ替え可能性の問題。プロトコル BA⋆ は別の値の貢献です。実際、これは、これまでに知られている SC ネットワーク用の最も効率的な暗号化 BA プロトコルです。 Algorand プロトコル内で使用するには、異なるものを考慮して BA⋆を少し変更します。通信モデルとコンテキスト。ただし、セクション X で、BA⋆がどのように使用されるかを強調するようにしてください。実際のプロトコル Algorand 内。まず、BA⋆が動作するモデルとビザンチン協定の概念を思い出すことから始めます。 3.1 同期の完全なネットワークと一致する敵対者 SC ネットワークには共通のクロックがあり、整数時間 r = 1、2、... ごとに時を刻みます。。。偶数の時間に r をクリックするたびに、各プレーヤー i は単一のメッセージを瞬時に同時に送信します。メッセージミスター i,j (おそらく空のメッセージ) を各プレイヤー j (自分自身を含む) に送信します。各氏 i、jが受信されます同時に、プレイヤー j が送信者 i の身元とともに r + 1 をクリックします。繰り返しますが、通信プロトコルでは、規定されたすべてに従えば、プレーヤーは正直です。指示、それ以外の場合は悪意があります。すべての悪意のあるプレイヤーは完全に制御され、完璧に制御されます敵対者によって調整され、特に、次の宛先のすべてのメッセージを即座に受信します。悪意のあるプレーヤーを攻撃し、彼らが送信するメッセージを選択します。敵対者は、悪意のある誠実なユーザーをいつでも、いつでもすぐにクリックさせることができます。彼は、悪意のあるプレイヤーの数の可能な上限にのみ従うことを望んでいます。つまり、敵対者は「正直なユーザー i によってすでに送信されたメッセージを妨害することはできません」。通常通り配達されました。敵対者は、各偶数ラウンドで瞬時に、現在正直なプレイヤーが送信するメッセージを収集し、この情報を即座に使用して選択します。悪意のあるプレイヤーが同時に送信するメッセージもチェックされます。備考 • 敵対勢力。上記の設定は非常に敵対的です。実際、ビザンチン協定では文学では、多くの設定がそれほど敵対的ではありません。ただし、さらに敵対的な設定もあります。敵対者が、正直なプレイヤーから送信されたメッセージを見た後、私を攻撃する場合も考慮されます。任意のタイミングで「r」をクリックすると、これらすべてのメッセージをネットワークから即座に消去できます。破損した私は、r をクリックするときに悪意のある私が送信するメッセージを選択して、それらに送信してもらいます通常通り配達されました。敵対者の予想される力は、私たちの設定で彼が持っているものと一致します。 • 物理的な抽象化。想定される通信モデルは、より物理的なモデルを抽象化したものです。ここでは、プレーヤーの各ペア (i、j) が個別のプライベート通信回線 li、j によってリンクされます。つまり、他の誰も、送信されたメッセージに関する情報を挿入したり、干渉したり、取得したりすることはできません。リー、ジェイ。敵対者が li,j にアクセスする唯一の方法は、i または j を破壊することです。 • プライバシーと認証。 SC ネットワークでは、メッセージのプライバシーと認証が保証されます仮定によります。対照的に、私たちの通信ネットワークでは、メッセージが伝播されます。ピアツーピアでは、認証はデジタル署名によって保証され、プライバシーは存在しません。したがって、プロトコル BA⋆を設定に採用するには、交換される各メッセージにデジタル署名が必要です (送信された状態をさらに特定します)。幸いなことに、私たちが提供する BA プロトコルは、メッセージのプライバシーを必要としない Algorand での使用を検討してください。3.2 ビザンチン協定の概念ビザンチン協定の概念は、ピーズ・ショスタクとランポート [31] によって導入されました。バイナリの場合、つまり、すべての初期値がビットで構成される場合。しかし、すぐに延長されました任意の初期値に設定します。 (Fischer [16] および Chor および Dwork [10] の調査を参照してください。) BA によるプロトコルとは、任意の値のプロトコルを意味します。定義 3.1.同期ネットワークでは、P を n プレーヤープロトコルとし、そのプレーヤーセットは共通です。 t は、n $\geq$ 2t + 1 となる正の整数です。 P は任意の値 (それぞれバイナリ) (n, t) - 健全性 $\sigma$ $\in$(0, 1) を持つビザンチン合意プロトコル特殊記号 $\bot$ を含まないすべての値 V のセットについて (それぞれ、V = {0, 1} の場合)、最大でも t 人のプレイヤーが悪意を持っており、すべてのプレイヤーが初期値 vi $\in$V 、すべての正直なプレイヤー j は確率 1 で停止し、outi $\in$V $\cup${$\bot$} の値を出力します。少なくとも $\sigma$ の確率で、次の 2 つの条件を満たすようにします。 1. 同意: すべての正直なプレイヤー i に対して outi = out となる out $\in$V $\cup${$\bot$} が存在します。 2. 一貫性: ある値 v $\in$V について、すべての正直なプレイヤーに対して vi = v の場合、out = v になります。 out を P の出力と呼び、各 outi をプレーヤー i の出力と呼びます。 3.3 BA 表記番号 BA プロトコルでは、プレイヤーは何人のプレイヤーが自分に特定のメッセージを送信したかを数える必要があります。与えられたステップ。したがって、送信される可能性のある値 v ごとに、

s

i(v) (または、s がクリアの場合は単に #i(v)) は、i がステップ s で v を受け取ったプレイヤー j の数です。プレーヤー i が各プレーヤー j からちょうど 1 つのメッセージを受信することを思い出してください。プレイヤーが n の場合、すべての i と s に対して P v#s i(v) = n。 3.4 バイナリ BA プロトコル BBA⋆ このセクションでは、より多くの正直さに依存する新しいバイナリ BA プロトコル、BBA⋆ を紹介します。プレイヤーの 3 分の 2 よりも多く、非常に高速です。悪意のあるプレイヤーが何をしようとも、メインループが実行されるたびに、プレイヤーは確率 1/3 で一致します。各プレーヤーは、一意の署名を満たすデジタル署名スキームの独自の公開鍵を持っています。財産。このプロトコルは同期完全ネットワーク上で実行されることを目的としているため、プレイヤーにメッセージのそれぞれに署名してもらう必要があります。デジタル署名は、ステップ 3 で十分に共通なランダムビットを生成するために使用されます。(Algorand では、デジタル署名は、他のすべてのメッセージの認証にも同様に使用されます。) このプロトコルには最小限のセットアップが必要です。つまり、プレイヤーの意思とは独立した共通のランダム文字列 r です。キー。 (Algorand では、r は実際には数量 Qr に置き換えられます。) プロトコル BBA⋆ は 3 ステップのループであり、プレイヤーはブール値を繰り返し交換し、異なるプレイヤーが異なるタイミングでこのループを終了する可能性があります。プレイヤー i は伝播することでこのループを終了します。あるステップで、特別な値 0 または特別な値 1 のいずれかが与えられ、それによってすべてのプレイヤーに次のように指示されます。「ふり」すると、将来のすべてのステップで i からそれぞれ 0 と 1 を受け取ります。 (別の言い方: 仮定するプレーヤー j が別のプレーヤー i から受け取った最後のメッセージはビット b でした。その後、どの段階でもこの場合、彼は i からメッセージを何も受け取らず、j はあたかも私が彼にビット b を送信したかのように動作します。) このプロトコルは、3 ステップのループが実行された回数を表すカウンター $\gamma$ を使用します。 BBA⋆ の開始時、$\gamma$ = 0。 ($\gamma$ はグローバルカウンターと考えるかもしれませんが、実際には増加します) ループが実行されるたびに、各プレイヤーが実行します)。 n $\geq$ 3t + 1 が存在します。ここで、t は悪意のあるプレーヤーの最大可能数です。バイナリ文字列 x は、バイナリ表現 (先頭に 0 が付く可能性あり) が x である整数で識別されます。 lsb(x) は x の最下位ビットを示します。プロトコルBBA⋆ (コミュニケーション) ステップ 1. [Coin-Fixed-To-0 Step] 各プレイヤー i は、bi を送信します。 1.1 ＃1の場合 i (0) $\geq$2t + 1 の場合、i は bi = 0 に設定し、0* を送信し、outi = 0 を出力します。そして停止します。 1.2 #1 の場合 i (1) $\geq$2t + 1 の場合、i は bi = 1 に設定されます。 1.3 それ以外の場合、i は bi = 0 を設定します。 (コミュニケーション) ステップ 2. [Coin-Fixed-To-1 Step] 各プレイヤー i は、bi を送信します。 2.1 ＃2の場合 i (1) $\geq$2t + 1 の場合、i は bi = 1 に設定されます。 1∗ を送信します。出力 outi = 1、そして停止します。 2.2 ＃2の場合 i (0) $\geq$2t + 1 の場合、bi = 0 を設定します。 2.3 それ以外の場合、i は bi = 1 に設定されます。 (通信) ステップ 3. [コインを実際に投げるステップ] 各プレイヤー i は、bi と SIGi(r, $\gamma$) を送信します。 3.1 #3 の場合 i (0) $\geq$2t + 1 の場合、i は bi = 0 に設定されます。 3.2 #3 の場合 i (1) $\geq$2t + 1 の場合、i は bi = 1 に設定されます。 3.3 それ以外の場合、Si = {j $\in$N このステップ 3 で i に適切なメッセージを送信した人 } とすると、 i は bi = c $\triangleq$lsb(minj$\in$Si H(SIGi(r, $\gamma$))) を設定します。 $\gamma$i を 1 増加させます。そしてステップ1に戻ります。定理3.1。 n $\geq$3t + 1 の場合、BBA⋆ は健全性 1 のバイナリ (n, t)-BA プロトコルです。定理 3.1 の証明は [26] で与えられます。私たちの設定への適応性とプレーヤーの置き換え可能性プロパティは斬新です。歴史的発言確率的バイナリ BA プロトコルは、Ben-Or によって最初に提案されました。非同期設定 [7]。プロトコル BBA⋆ は、公開鍵設定に合わせて、 Feldman と Micali のバイナリ BA プロトコル [15]。彼らのプロトコルは、予想通りに機能したのは初めてでした。一定のステップ数。プレイヤー自身が共通のコインを実装することで機能しましたが、 Rabin によって提案された概念で、外部の信頼できるパーティ [32] を通じて実装されました。3.5 段階的コンセンサスとプロトコル GC 任意の値について、ビザンチンの合意よりもはるかに弱い合意の概念を思い出してみましょう。定義 3.2. P を、すべてのプレーヤーの集合が共通の知識であるプロトコルとします。プレイヤー i は任意の初期値 v' を個人的に知っています私。 n 人のプレイヤーによるすべての実行において、そのほとんどが悪意のあるものであるため、すべての正直なプレイヤーは値とグレードのペア (vi、gi) の出力を停止します。ここで、gi $\in${0, 1, 2} として、次の 3 つの条件を満たすようにします。 1. すべての正直なプレイヤー i と j に対して、 |gi −gj| $\leq$1。 2. すべての正直なプレイヤー i と j の場合、gi、gj > 0 ⇒vi = vj。 3. v'の場合 1 = $\cdots$ = v' ある値 v については n = v、すべての正直なプレイヤー i については vi = v および gi = 2 となります。歴史的メモ段階的コンセンサスの概念は、単に段階的コンセンサスの概念から派生したものです。十字軍の概念を強化することによって、[15] にフェルドマンとミカリによって提案された放送 Dolev [12] によって導入され、Turpin と Coan [33] によって洗練された合意。8 [15] では、著者らは、3 ステップ (n, t) で等級分けされたブロードキャストプロトコル、グレードキャストも提供しました。 n≧3t+1。 n > 2t+1 のより複雑な (n, t) 段階ブロードキャストプロトコルが後に発見されました。カッツとクー [19] 著。次の 2 ステッププロトコル GC は、グレードキャストの最後の 2 ステップで構成されており、次のように表されます。表記。この事実を強調し、セクション 4.1 のプロトコル Algorand の手順と一致させるために、次のようにします。 2 と 3 はそれぞれ GC のステップに名前を付けます。プロトコル GC ステップ 2. 各プレイヤー i は v' を送信しますプレイヤーの皆様へ。ステップ 3. #2 の場合にのみ、各プレイヤー i がすべてのプレイヤーに文字列 x を送信します。 i (x) ≧ 2t + 1。出力の決定。各プレーヤー i は、次のように計算されたペア (vi, gi) を出力します。 • ある x について #3 の場合 i (x) $\geq$2t + 1 の場合、vi = x および gi = 2 となります。 • ある x について #3 の場合 i (x) $\geq$t + 1 の場合、vi = x および gi = 1 となります。 • それ以外の場合、vi = $\bot$かつ gi = 0。定理3.2。 n $\geq$3t + 1 の場合、GC は (n, t) 等級のブロードキャストプロトコルです。この証明は、[15] のプロトコルグレードキャストの証明の直後に続くため、省略されています。9 8 本質的に、段階的放送プロトコルでは、(a) すべてのプレーヤーの入力が、著名なプレーヤーの ID になります。追加のプライベート入力として任意の値 v を持つ送信者であるプレーヤー、および (b) 出力は次の条件を満たす必要があります。段階的コンセンサスの同じ特性 1 と 2 に加えて、次の特性 3': 送信者が正直であれば、vi = v、およびすべての正直なプレイヤー i の場合、gi = 2。 9実際、彼らのプロトコルでは、ステップ 1 で、送信者は自分のプライベート値 v をすべてのプレーヤーに送信し、各プレーヤーに私が送信できるようにします。 v' i は、ステップ 1 で送信者から実際に受け取った値で構成されます。3.6 プロトコルBA⋆ ここで、バイナリ BA プロトコル BBA⋆ を介した任意値 BA プロトコル BA⋆ と、段階的コンセンサスプロトコル GC。以下、各プレイヤー i の初期値は v' 私。プロトコルBA⋆ ステップ 1 と 2。各プレーヤー i は、入力 v' で GC を実行します。 i、ペア (vi, gi) を計算するため。ステップ3、. 。。各プレイヤー i は、gi = 2 の場合は初期入力 0、それ以外の場合は 1 で BBA⋆ を実行します。ビットoutiを計算するために。出力の決定。各プレイヤー i は、outi = 0 の場合は vi を出力し、それ以外の場合は $\bot$ を出力します。定理3.3。 n $\geq$3t + 1 の場合、BA⋆ は健全性 1 の (n, t)-BA プロトコルです。証拠。まず一貫性を証明し、次に一致を証明します。一貫性の証明。ある値 v $\in$V 、 v' について仮定します。 i = v. 次に、次の性質 3 により、段階的コンセンサス。GC の実行後、すべての正直なプレイヤーが (v, 2) を出力します。したがって、0は BBA⋆ の実行終了時のすべての正直なプレイヤーの最初のビット。したがって、本契約により、バイナリビザンチン協定の特性、BA⋆ の実行終了時、すべての正直者に対して outi = 0 選手たち。これは、BA⋆ における各正直なプレイヤー i の出力が vi = v であることを意味します。 ✷ 同意の証明。 BBA⋆はバイナリBAプロトコルであるため、次のいずれかです。 (A) すべての正直なプレイヤー i に対して outi = 1、または (B) すべての正直なプレイヤー i に対して outi = 0。ケース A では、すべての正直なプレイヤーが $\bot$in BA⋆ を出力するため、合意が成立します。ここでケース B を考えてみましょう。この場合、BBA⋆ の実行では、少なくとも 1 人の正直なプレイヤー i の初期ビットは 0 です。すべての正直なプレイヤーの初期ビットが 1 であった場合、BBA⋆ の Consistency プロパティにより、次のようになります。すべての正直な j について outj = 1。) したがって、GC の実行後、i はいくつかのペア (v, 2) を出力します。値 v。したがって、段階的コンセンサスの特性 1 により、すべての正直なプレイヤー j について gj > 0 となります。したがって、段階的コンセンサスの特性 2、すべての正直なプレーヤーの vj = v j。これは、次のことを意味します。 BA⋆、すべての正直なプレイヤー j は v を出力します。したがって、合意はケース B にも当てはまります。 ✷ 一貫性と一致性の両方が成立するため、BA⋆は任意の値のBAプロトコルです。歴史的メモ Turpin と Coan は、n $\geq$3t+1 の場合、任意の 2 値 (n, t)-BA が成り立つことを最初に示しました。プロトコルは、任意の値の (n, t)-BA プロトコルに変換できます。リダクション任意値段階的コンセンサスを介したビザンチン協定からバイナリビザンチン協定への移行は、よりモジュール化されており、 Algorand プロトコル Algorand ' の分析がよりクリーンになり、簡素化されます。 Algorand で使用するための BA⋆の一般化 Algorand は、すべての通信が経由の場合でも機能します。うわさ話。ただし、従来の使い慣れた通信ネットワークで表示されているにもかかわらず、従来技術との比較を容易にし、理解を容易にするため、プロトコル BA⋆works うわさ話ネットワークでも。実際、Algorand の詳細な実施形態では、それを提示します。ゴシップネットワークに直接。また、プレーヤーの交換可能性を満たしていることも指摘します。これは、想定される非常に敵対的なモデルで Algorand を安全にするために重要です。

うわさ通信ネットワークで動作する BA プレーヤーで置き換え可能なプロトコルはすべて、本発明のAlgorandシステム内で安全に使用される。特にミカリとヴァイクンタナタン BA⋆は、単純に大多数の正直なプレイヤーに対しても非常に効率的に動作するように拡張しました。それプロトコルも Algorand で使用できます。

Algorand の 2 つの実施形態

説明したように、非常に高いレベルで、Algorand のラウンドは理想的には次のように進行します。まず、ランダムに選ばれたユーザー、つまりリーダーが新しいブロックを提案し、回覧します。 (このプロセスには最初に潜在的なリーダーを数人選び、少なくともかなりの時間は、単一の共通リーダーが出現します。) 次に、ランダムに選択されたユーザーの委員会が選択され、指導者が提案したブロックに関してビザンチン合意に達する。 (このプロセスには次のことが含まれます) BA プロトコルの各ステップは、個別に選択された委員会によって実行されます。) 合意されたブロックその後、委員会メンバーの指定されたしきい値 (TH) によってデジタル署名されます。これらのデジタル署名が回覧されるため、どれが新しいブロックであるかが全員に保証されます。（これには、署名者の資格情報を確認し、新しいブロックの hash だけを認証して、全員が hash が明確になると、ブロックを学習することが保証されます。) 次の 2 つのセクションでは、Algorand、Algorand の 2 つの実施形態を示します。 1 と Algorand 」 2、それは大多数の正直なユーザーの想定の下で動作します。セクション 8 では、これらを採用する方法を示します。実施形態は、金銭の正直な多数派の仮定の下で機能する。 Algorand 」 1 は、委員会メンバーの 3 分の 2 以上が正直であることのみを想定しています。さらに、 Algorand 」 1、ビザンチン合意に達するためのステップ数は適切な上限に制限されているそのため、短期間で圧倒的な確率で合意に達することが保証されます。固定ステップ数 (ただし、Algorand のステップよりも時間がかかる可能性があります) 2)。で最後の段階までにまだ合意に達していないリモートケースでは、委員会は次の点で合意する。空のブロック。常に有効です。 Algorand 」 2 は、委員会の誠実なメンバーの数が常に 2 よりも多いことを想定しています。または固定しきい値 tH に等しい (これにより、圧倒的な確率で、少なくとも委員会メンバーの 2/3 は正直です)。さらに、Algorand 」 2 ビザンチン協定により、任意のステップ数で到達します (ただし、Algorand よりも短い時間で到達する可能性があります) 1)。これらの基本的な実施形態の多くの変形を導き出すことは容易である。特に、次のことを考えると簡単です。 Algorand 」 2、Algorand を変更します 1 任意の方法でビザンチン協定に達することができるようにするためステップ数。両方の実施形態は、以下の共通のコア、表記法、概念、およびパラメータを共有する。 4.1 共通のコア目的理想的には、各ラウンド r について、Algorand は次の特性を満たします。 1. 完璧な正しさ。すべての正直なユーザーは同じブロック Br に同意します。 2. 完全性 1. 確率 1 では、Br のペイセット、PAY r は最大になります。10 10 ペイセットは有効な支払いを含むように定義されており、正直なユーザーは有効な支払いのみを行うように定義されているため、 PAY r には、すべての誠実なユーザーの「現在未払い」の支払いが含まれます。もちろん、完全な正しさを保証するだけでは簡単ではありません。誰もが常に公式を選択します。ペイセット PAY r を空にします。ただし、この場合、システムの完全性は 0 になります。残念ながら、完全な正確性と完全性の両方を保証すること 1 は、悪意のあるものが存在する場合には容易ではありません。ユーザー。したがって、Algorand はより現実的な目標を採用しています。非公式に、h をパーセンテージを表すものとします。正直なユーザーの割合、h > 2/3、Algorand の目標は圧倒的な確率で、h に近い完全な正確性と完全性を保証します。完全性よりも正確さを優先するのは合理的な選択であるように思えます。支払いは次の方法で処理されません。あるラウンドは次のラウンドで処理できますが、可能であればフォークは避けるべきです。主導されたビザンチン協定完全な正確性は次のように保証されます。初めにラウンド r では、各ユーザー i が自分の候補ブロック Br を構築します。 i 、その後、すべてのユーザーが Byzantine に到達します 1 つの候補ブロックについての合意。紹介のとおり、採用されている BA プロトコルには次のものが必要です。 2/3 の正直な多数派であり、プレーヤーは交代可能です。その各ステップは小規模で実行できます。内部変数を共有しない、ランダムに選択された検証者のセット。残念ながら、このアプローチには完全性の保証はありません。それはそうです、なぜなら候補者は正直なユーザーのブロックは、おそらく互いにまったく異なります。したがって、最終的には、合意されたブロックは、常に最大ではないペイセットを持つブロックである可能性があります。実際には、常にそうである可能性があります。空のブロック、B$\varepsilon$、つまりペイセットが空のブロック。デフォルトの空のものでも構いません。 Algorand ' は、次のようにこの完全性の問題を回避します。まず、ラウンド r のリーダー $\ell$r を選択します。次に、$\ell$r は自身の候補ブロック Br を伝播します。 $\ell$r.最終的にユーザーはブロックについて合意に達します実際には$\ell$rから受け取ります。なぜなら、$\ell$r が正直であるときはいつでも、完全な正確性と完全性が保たれるからです。 1 両方が成り立つ場合、 Algorand ' は、$\ell$r が h に近い確率で正直であることを保証します。 (リーダーがいるとき悪意がある場合、合意されたブロックが空のペイセットを持つブロックであるかどうかは気にしません。結局のところ、悪意のあるリーダー$\ell$r は常に悪意を持って Br を選択する可能性があります $\ell$r を空のブロックにして、正直に言うとそれを伝播させて、正直なユーザーに空のブロックへの同意を強制します。) リーダーの選択 Algorand では、r 番目のブロックは Br = (r, PAY r, Qr, H(Br−1) の形式になります。冒頭ですでに述べたように、量 Qr−1 は次のように注意深く構築されます。私たちの非常に強力な敵によって本質的に操作することはできません。 (このセクションの後半で、これが当てはまる理由については、直感的に理解してください。) ラウンド r の開始時に、すべてのユーザーは次のことを知っています。 blockchain これまでのところ、B0、. 。。 , Br−1、そこから彼らは前のすべてのラウンドのユーザーのセットを推定します。は、PK1、です。。。、ＰＫｒ−１。ラウンド r の潜在的なリーダーは、次のようなユーザー i です。 .H シギ r、1、Qr−1 $\leq$p 。説明しましょう。量 Qr−1 はブロック Br−1 の一部であるため、その基礎となることに注意してください。署名スキームは一意性プロパティ SIGi を満たします r、1、Qr−1 一意のバイナリ文字列です i と r に関連付けられます。したがって、H はランダムな oracle であるため、H シギ r、1、Qr−1 はランダムな 256 ビットです i と r に一意に関連付けられた長い文字列。記号「。」 Hさんの前でシギ r、1、Qr−1 です小数点 (この場合は 2 進数)、つまり ri $\triangleq$.H シギ r、1、Qr−1 のバイナリ展開です i と r に一意に関連付けられた 0 から 1 までの 256 ビットのランダムな数。したがって、その確率は、 ri が p 以下であることは、本質的に p です。 (私たちの潜在的なリーダーの選択メカニズムは、 Micali と Rivest [28] の少額決済スキームからインスピレーションを得たものです。) 確率 p は、圧倒的な (つまり 1 −F) 確率で、少なくとも 1 つの確率が得られるように選択されます。潜在的な検証者は正直です。 (実際であれば、p はそのような確率が最小になるように選択されます。)i は自分自身の署名を計算できる唯一の人であるため、i だけが実行できることに注意してください。彼がラウンド 1 の潜在的な検証者であるかどうかを判断します。ただし、彼自身の資格を明らかにすることで、 $\sigma$r 私$\triangleq$SIGi r、1、Qr−1 、私はラウンド r の潜在的な検証者であることを誰にでも証明できます。リーダー $\ell$r は、hash された資格情報が、他のすべての潜在的なリーダー j の hashed 資格情報: つまり、H($\sigma$r,s $\ell$r ) $\leq$H($\sigma$r,s j)。悪意のある$\ell$r は自分の資格情報を明らかにしない可能性があるため、ラウンド r の正しいリーダーは、決して知られることはなく、ありそうもない関係を除けば、$\ell$r がラウンド r の唯一のリーダーであることは確かです。最後に、最後に重要な詳細を取り上げましょう。ユーザー i は潜在的なリーダーになる可能性があります (したがって、ラウンド r のリーダー）は、彼が少なくとも k ラウンドの間システムに属していた場合に限ります。これにより保証されます Qr と将来のすべての Q 量の操作不可能性。実際、潜在的なリーダーの一人は、実際にQrを決定します。検証者の選択ラウンド r の各ステップ s > 1 は、小さな検証者のセット SV r,s によって実行されます。繰り返しますが、各検証者 i $\in$SV r,s は、システム k ラウンドに既に参加しているユーザーの中からランダムに選択されます。 r の前に、そして再び特殊量 Qr−1 を介して。具体的には、次の場合、i $\in$PKr−k は SV r,s の検証子です。 .H シギ r、s、Qr−1 $\leq$p' 。もう一度言いますが、彼がSV r,sに属しているかどうかは私だけが知っていますが、もしこれが事実である場合、彼は次のようにしてそれを証明できるでしょう。彼の資格 $\sigma$r,s を提示する私は $\triangleq$H(シギ r、s、Qr−1 ）。検証者 i $\in$SV r,s がメッセージ mr,s を送信します。私は、でラウンド r のステップ s、このメッセージには彼の資格情報 $\sigma$r,s が含まれます i 、検証者を有効にするため次のステップで、ミスターのことを認識します。私はは正当なステップメッセージです。確率 p' は、SV r,s において #good を正直なユーザーと #bad 悪意のあるユーザーの数では、圧倒的な確率で次のような結果になります。という2つの条件が成立します。実施形態 Algorand の場合 1: (1) #良い > 2 $\cdot$ #悪いおよび (2) #good + 4 $\cdot$ #bad < 2n、n は SV r,s の予想されるカーディナリティです。実施形態 Algorand の場合 2: (1) #good > thH および (2) #good + 2#bad < 2tH、ここで tH は指定されたしきい値です。これらの条件は、十分に高い確率で、(a) BA の最後のステップで、プロトコルに従うと、新しいブロック Br にデジタル署名する正直なプレイヤーが少なくとも一定数存在します。 (b) 必要な数の署名を持つことができるのはラウンドごとに 1 つのブロックのみ、および (c) 使用される BA プロトコルは（各ステップで）必要な 2/3 の正直な過半数を持っています。ブロック生成の明確化ラウンド r リーダー $\ell$r が正直であれば、対応するブロックはという形です Br = r、PAY r、SIG$\ell$r Qr−1 、H Br−1 、ここで、ペイセット PAY r は最大です。 (すべてのペイセットは、定義上、集合的に有効であることを思い出してください。) それ以外の場合 (つまり、$\ell$r が悪意のある場合)、Br は次の 2 つの可能な形式のいずれかになります。 Br = r、ペイ、r、SIGi Qr−1 、H Br−1 そして Br = Br $\varepsilon$ $\triangleq$ r、$\emptyset$、Qr−1、H Br−1 。最初の形式では、PAY r は (必ずしも最大ではない) ペイセットであり、PAY r = $\emptyset$ となる可能性があります。そして私はラウンドrのリーダー候補。（ただし、私はリーダーではないかもしれません。） $\ell$r は自分の資格を秘密にし、自分自身を明らかにしません。） 2 番目の形式は、BA プロトコルのラウンド R 実行において、すべての正直なプレイヤーがデフォルト値、つまり空のブロック Br を出力します。私たちのアプリケーションでは$\varepsilon$です。 (定義上、可能性があるのは、 BA プロトコルの出力には、一般に $\bot$ で示されるデフォルト値が含まれます。セクション 3.2 を参照してください。) どちらの場合もペイセットは空ですが、Br = r、$\emptyset$、SIGi Qr−1 、H Br−1 そしてBr $\varepsilon$ は構文的に異なるブロックであり、2 つの異なる状況で発生します。それぞれ、「すべて」 BA プロトコルの実行は十分にスムーズに進みました」、および「プロトコルで何か問題が発生しました」 BAプロトコルであり、デフォルト値が出力されました。」ここで、 Algorand ' のラウンド r でブロック Br の生成がどのように進行するかを直感的に説明しましょう。最初のステップでは、各適格なプレーヤー、つまり各プレーヤー i $\in$PKr−k が、自分が潜在的なプレーヤーであるかどうかを確認します。リーダー。これが事実である場合、私は、彼がこれまでに見たすべての支払いを使用して尋ねられます。現在のblockchain、B0、. 。。 , Br−1、最大支払いセット PAY r を密かに準備します。私は、そして密かに候補ブロック Br = を組み立てます。 r、支払いr 私、シギ Qr−1 、H Br−1 。つまり、彼はそうするだけでなく、 Brに含める i 、その 2 番目のコンポーネントとして、準備されたばかりのペイセットですが、また、その 3 番目のコンポーネントとして、最後のブロック Br-1 の 3 番目のコンポーネントである Qr-1 の彼自身の署名。最後に、彼は自分の考えを広めます。ラウンド R ステップ 1 メッセージ、mr,1 i 、これには (a) 彼の候補ブロック Br が含まれます。 i 、(b) 彼の適切な署名彼の候補者ブロックの署名 (つまり、Br の hash の署名) i 、および (c) 彼自身の資格情報 $\sigma$r,1 私は証明します彼が確かにラウンド R の潜在的な検証者であることを。 (正直な私がメッセージを提出するまで注意してください、mr,1 私、敵対者は私が潜在的な検証者。彼が正直な潜在的な指導者を堕落させたいのであれば、敵対者も同様にそうするかもしれない。腐敗したランダムな正直なプレイヤー。しかし、ひとたびミスター1を見ると、 i には i の資格情報が含まれているため、敵対者は i を破壊することを知っており、破壊する可能性がありますが、mr,1 を防ぐことはできません。 i はウイルスによって伝播され、からシステム内のすべてのユーザーに到達します。) 2 番目のステップでは、選択された各検証者 j $\in$SV r,2 がラウンドのリーダーを識別しようとします。具体的には、j はステップ 1 の資格情報 $\sigma$r,1 を取得します。 i1、. 。。、$\sigma$r,1 に、適切なステップ 1 メッセージ mr,1 に含まれています私は彼は受け取りました。 hashes、つまり H を計算します $\sigma$r,1 i1 、。。。、H $\sigma$r,1 で ;資格情報を見つけて、 $\sigma$r,1 $\ell$j 、その hash は辞書編集上最小です。 $\ell$rを考慮します j がラウンド r のリーダーになります。考慮される各資格情報は Qr-1 のデジタル署名であることを思い出してください。 r、1、Qr−1 です i と Qr−1 によって一意に決定され、H はランダム oracle であるため、各 H(SIGi r、1、Qr−1 は、ラウンド r の潜在的な各リーダー i に固有のランダムな 256 ビット長の文字列です。このことから、256 ビット文字列 Qr−1 自体がランダムかつ独立して存在する場合、次のように結論付けることができます。選択されると、ラウンド r の潜在的なリーダー全員の hash された資格情報が取得されます。実際、すべて潜在的なリーダーは明確に定義されており、その資格情報（実際に計算されたものであるかどうかにかかわらず）も同様です。ではありません）。さらに、ラウンド r の潜在的なリーダーのセットは、ラウンドのユーザーのランダムなサブセットです。 r −k、そして誠実な潜在的なリーダーである私は、常に彼のメッセージを適切に構築し、広めます、mr 私、これには i の資格情報が含まれています。したがって、正直なユーザーの割合は h であるため、悪意のある潜在的なリーダーが行う可能性があるもの (例: 自分の資格情報を明らかにしたり隠したり)、最低限の hashed 潜在的リーダー資格情報は誠実なユーザーに属し、必然的に全員が識別しますラウンドrのリーダー$\ell$rになる。したがって、256 ビット文字列 Qr−1 自体がランダムであり、独立に選択され、確率は正確に h (a) リーダー $\ell$r は正直であり、(b) リーダー $\ell$r はすべてのリーダー $\ell$j = $\ell$r 正直なステップ 2 検証者 j. 実際には、hash された資格情報はランダムに選択されますが、Qr-1 に依存します。無作為かつ独立して選択されたものではありません。ただし、分析では Qr−1 がラウンドのリーダーが確率に対して誠実であることを保証するために十分に操作不可能である h' は h に十分に近い、つまり h' > h2(1 + h −h2) です。たとえば、h = 80% の場合、h' > .7424 になります。ラウンドのリーダーを特定したら (リーダーが正直であれば、これは正しく行われます)、ステップ 2 検証者のタスクは、彼らが信じているものを初期値として使用して BA の実行を開始することです。リーダーのブロックになります。実は、必要な通信量を最小限に抑えるために、検証者 j $\in$SV r,2 は、入力値 v' として使用しません。 j をビザンチンプロトコルに変換するブロック Bj 彼は実際に $\ell$j (ユーザー j がリーダーであると信じている) から受け取りましたが、リーダーではありますが、そのブロックの hash、つまり v' j = H(Bi)。したがって、BA プロトコルが終了すると、検証者は最後のステップでは、目的のラウンド r ブロック Br を計算するのではなく、計算 (認証と伝播) H(Br)。したがって、H(Br) は十分に多くの検証者によってデジタル署名されているため、 BA プロトコルの最後のステップで、システム内のユーザーは、H(Br) が新しいプロトコルの hash であることに気づきます。ブロック。ただし、実行は完全に非同期なので、取得する (または待機する) 必要もあります。 Br 自体をブロックします。敵対者が何であれ、プロトコルによって実際に利用可能であることが保証されます。できるかもしれない。非同期とタイミング Algorand 」 1 と Algorand 」 2 にはかなりの程度の非同期性があります。これは、敵対者がメッセージの配信スケジュールを大幅に自由に設定できるためです。伝播した。さらに、ラウンド内の総ステップ数に上限があるかどうかに関係なく、分散は、実際に実行されたステップ数によって決まります。 B0 の証明書を知るとすぐに、. 。。、Br−1、ユーザー i が Qr−1 を計算し、作業を開始します。ラウンド r で、彼が潜在的なリーダーであるか、ラウンド r のいくつかのステップで検証者であるかをチェックします。議論された非同期性を考慮して、ステップ s で行動しなければならないと仮定すると、さまざまな依存します。行動する前に十分な情報を確実に得られるようにするための戦略。たとえば、彼は、検証者から少なくとも指定された数のメッセージを受信するのを待つかもしれません。前のステップに進むか、メッセージが十分に受信されることを確認するために十分な時間を待ちます。前のステップの多くの検証者。シード Qr とルックバックパラメータ k 理想的には、Qr の量は次のとおりであることを思い出してください。ランダムで独立していますが、それらは十分に操作不可能であれば十分です。敵対者。一見すると、H と一致するように Qr−1 を選択できます。 PAY r−1 したがって、次のことは避けてください。 Br-1 で Qr-1 を明示的に指定します。ただし、基本的な分析により、悪意のあるユーザーがこの選択メカニズムを利用してください。11 追加の努力により、他の無数の 11ラウンド r −1 の開始点にいます。したがって、Qr−2 = PAY r−2 は公に知られており、敵対者は非公開です。彼がコントロールする潜在的なリーダーが誰であるかを知っています。敵対者がユーザーの 10% を制御していると仮定します。非常に高い確率で、悪意のあるユーザー w がラウンド r -1 の潜在的なリーダーである可能性があります。つまり、次のように仮定します H SIGw r−2、1、Qr−2 非常に小さいため、誠実な潜在的なリーダーが実際にリーダーになる可能性は非常に低いです。ラウンド r −1 のリーダー。 (私たちは秘密の暗号による選別メカニズムを介して潜在的なリーダーを選択しているため、敵対者は、誠実な潜在的リーダーが誰であるかを知りません。) したがって、敵対者は、うらやましい状況にいます。彼が望むペイセット PAY を選択し、それをラウンド r -1 の正式なペイセットにするという立場です。ただし、彼はもっとできるよ。また、高い確率で () 悪意のあるユーザーの 1 人がリーダーになることを保証することもできます。また、ラウンド r も選択できるため、PAY r を自由に選択できます。 (など。少なくともしばらくの間は、つまり、これらの高確率のイベントが実際に発生する限り。) () を保証するために、敵対者は次のように動作します。支払わせてください」は、敵対者がラウンド r −1 に好むペイセットになります。次に、H(PAY ') を計算し、次のことを確認します。すでに悪意のあるプレイヤー z、SIGz(r, 1, H(PAY ')) は特に小さい、つまり、非常に高い確率 z がラウンド r のリーダーになります。この場合、彼は w に、候補となるブロックを選択するように指示します。従来のブロック量に基づく代替案は、敵対者によって簡単に悪用されて、悪意のあるリーダーが非常に頻繁に存在すること。代わりに、具体的かつ帰納的にブランドを定義します。新しい量 Qr を生成して、敵対者によって操作できないことを証明できるようにします。つまり、 Br が空ブロックでない場合は Qr $\triangleq$ H(SIG$\ell$r(Qr−1), r)、そうでない場合は Qr $\triangleq$ H(Qr−1, r)。 Qr のこの構造が機能する理由の直感は次のとおりです。ちょっと考えてみましょう Qr−1 は真にランダムかつ独立して選択されます。では、Qrもそうなるのでしょうか？ $\ell$r が正直であれば、答えは（大まかに言えば）はいです。これはそうなので、 H(SIG$\ell$r(・), r) : {0, 1}256 −→{0, 1}256 はランダム関数です。しかし、$\ell$r が悪意のある場合、Qr は Qr−1 から一義的に定義されなくなります。そして$\ell$r。 Qr には少なくとも 2 つの個別の値があります。 1 は引き続き Qr $\triangleq$ H(SIG$\ell$r(Qr−1), r)、もう 1 つは H(Qr−1, r) です。まず、2 番目の選択は多少恣意的ではありますが、 2番目の選択は絶対に必須です。その理由は、悪意のある$\ell$r が常に原因となる可能性があるためです。第 2 ステップの誠実な検証者が受け取る、まったく異なる候補ブロック。12 この場合、ブロックが BA プロトコルを通じて最終的に合意されたことを確認するのは簡単です。丸め r はデフォルトのものになるため、Qr−1 の誰のデジタル署名も含まれません。でもシステムは継続しなければならず、そのためにはラウンド r のリーダーが必要です。このリーダーが自動的にそして公然と選ばれれば、敵対者は彼を簡単に堕落させるだろう。前回で選択した場合同じプロセスを経て Qr−1 になると、$\ell$r が再びラウンド r+1 のリーダーになります。私たちが具体的に提案するのは、同じ秘密の暗号ソートメカニズムを使用しますが、新しい Q 数量に適用されます。 H(Qr−1, r)。この量を H の出力にすることで、出力がランダムであることが保証されます。そして、H の 2 番目の入力として r を含めることにより、H の他のすべての使用には 1 つまたは 3 つ以上の入力があります。そのような Qr が独立して選択されることを「保証」します。繰り返しになりますが、代替 Qr の具体的な選択それは問題ではありません。重要なのは、$\ell$r には Qr の選択肢が 2 つあるため、チャンスが 2 倍になるということです。別の悪意のあるユーザーを次のリーダーとして迎えます。悪意のある$\ell$r を制御する敵対者にとって、Qr のオプションはさらに多くなる可能性があります。たとえば、x、y、z をラウンド r の 3 人の悪意のある潜在的なリーダーであるとします。 H $\sigma$r,1 $\times$ < H $\sigma$r,1 y < H $\sigma$r,1 z そしてH $\sigma$r,1 z 特に小さいです。つまり、非常に小さいため、H が発生する可能性が十分にあります。 $\sigma$r,1 z ですすべての誠実な潜在的リーダーの hash された資格情報のうちの小さいもの。次に、x に自分の名前を隠すように依頼することで、資格情報を考慮すると、敵対者は y をラウンド r −1 のリーダーにする可能性が高くなります。これこれは、彼が Qr に対して別のオプション、つまり SIGy を持っていることを意味します。 Qr−1 。同様に、敵対者は、 z がラウンド r −1 のリーダーになるように、x と y の両方に資格情報を保留するよう依頼します。そして、Qr の別のオプション、つまり SIGz を取得します。 Qr−1 。ただし、もちろん、これらのオプションやその他のオプションはそれぞれ失敗する可能性がゼロではありません。敵対者は、誠実な潜在的なユーザーのデジタル署名の hash を予測できません。 Br−1 私は = (r −1, PAY ’, H(Br−2)。そうでない場合、彼は他の 2 人の悪意のあるユーザー x と y に新しい支払いを生成し続けます。 $\wp$' は、ある悪意のあるユーザー z (または一部の固定ユーザー z) にとって、H (SIGz (PAY ' $\cup${$\wp$})) になるまで、一方から他方へと続きます。特に小さいです。この実験はすぐに終了します。そして、それが行われると、敵対者はwに提案するように頼みます候補ブロック Br−1 私は = (r −1, PAY ′ $\cup${$\wp$}, H(Br−2)。 12たとえば、（極端ですが）単純にするために、「第 2 ステップの時間が切れそうになったとき」、$\ell$r は次のようにすることができます。異なる候補ブロック Bi を各ユーザーに直接電子メールで送信します。このようにして、ステップ 2 の検証者が誰であっても、まったく異なるブロックを受信することになります。マルコフ連鎖のような注意深く分析すると、敵対者がどのようなオプションを選択しても、ラウンド r −1 で行うには、システムに新しいユーザーを注入できない限り、正直なユーザーがラウンド r + 40 のリーダーになる確率は h をはるかに下回ります。これが理由ですこれは、ラウンド r の潜在的なリーダーがラウンド r −k にすでに存在するユーザーであることを要求します。これは、ラウンド r −k で敵対者が確率を大幅に変更できないことを保証する方法です。正直なユーザーがラウンド r のリーダーになります。実際、どんなユーザーを追加しても、ラウンド r −k から r までのシステムでは、彼らは潜在的なリーダーになる資格がありません (さらに、ラウンドRのリーダー）したがって、ルックバックパラメータ k は最終的にはセキュリティパラメータになります。 (とはいえ、セクション 7 で説明するように、これは一種の「便宜パラメータ」である場合もあります。) 一時的なキープロトコルの実行ではフォークを生成できませんが、次の場合を除きます。無視できる確率ですが、敵対者は正当なブロックの後の r 番目のブロックでフォークを生成する可能性があります。ブロックrが生成されました。おおよそ、Br が生成されると、敵対者は各ステップの検証者が誰であるかを学習します。ラウンドrはあります。したがって、彼はそれらすべてを破損し、新しいブロックを認証するよう義務付けることができます f Br.この偽のブロックは正規のブロックの後にのみ伝播される可能性があるため、注意を払うことはだまされないでしょう。13 それにもかかわらず、f Br は構文的に正しいでしょうし、製造を阻止したい。これは新しいルールによって行われます。基本的に、ステップ s の検証者セット SV r,s のメンバーは、ラウンド r では一時的な公開鍵 pkr,s を使用します私はメッセージにデジタル署名するためです。これらのキーは 1 回のみ使用され、対応する秘密キー skr,s です。私は一度使用すると破壊されます。このように、検証者が後で破損した場合、敵対者は最初に署名していないものに署名を強制することはできません。当然のことながら、敵対者が新しいキー g を計算できないようにする必要があります。広報私はそして、それがステップ s で使用する検証者 i $\in$SV r,s の一時的な鍵であることを正直なユーザーに納得させます。 4.2 表記法、概念、パラメータの一般的な概要表記法 • r $\geq$0: 現在のラウンド番号。 • s $\geq$1: ラウンド r の現在のステップ番号。 • Br: ラウンド r で生成されたブロック。 • PKr: ラウンド r -1 の終了時およびラウンド r の開始時までの公開鍵のセット。 • Sr: ラウンド r -1 の終了時およびラウンド r.14 の開始時までのシステムの状態。 • PAY r: Br に含まれるペイセット。 • $\ell$r: ラウンド R リーダー。 $\ell$r はラウンド r のペイセット PAY r を選択します (そして次の Qr を決定します)。 • Qr: ラウンド r のシード、ラウンド r の終了時に生成される数量 (つまり、バイナリ文字列) ラウンド r + 1 の検証者を選択するために使用されます。Qr はブロック内のペイセットから独立しています。 $\ell$r では操作できません。 13 大手テレビネットワークのニュースキャスターを汚職し、今日ニュース映画を制作して放送することを検討してください。前回の大統領選挙でクリントン長官が勝利したことを示している。私たちのほとんどはそれがデマだと認識するでしょう。でも昏睡状態から抜け出した人は騙されるかもしれない。 14 非同期システムでは、「ラウンド r の終わり -1」と「ラウンド r の始まり」の概念慎重に定義する必要があります。数学的には、PKr と Sr は初期ステータス S0 とブロックから計算されます。 B1、. 。。、Ｂｒ−１。• SV r,s: ラウンド r のステップ s に対して選択された検証者のセット。 • SV r: ラウンド r で選択された検証者のセット、SV r = $\cup$s$\geq$1SV r,s。 • MSV r,s と HSV r,s: それぞれ、悪意のある検証者のセットと誠実な検証者のセット SV r、sで。 MSV r,s $\cup$HSV r,s = SV r,s および MSV r,s ∩HSV r,s = $\emptyset$。 • n1 $\in$Z+ および n $\in$Z+: それぞれ、各 SV の潜在的なリーダーの予想数 r,1、 s > 1 の場合、各 SV r,s 内の検証者の予想数。 SV r,1 には少なくとも 1 つの正直な正直なメンバーが必要なので、n1 << n であることに注意してください。各 SV の正直なメンバーの大多数は、s > 1 の場合、r,s になります。 • h $\in$(0, 1): 2/3 より大きい定数。 h はシステム内の正直率です。つまり、使用される仮定に応じて、各 PKr における正直なユーザーまたは正直なお金の割合は次のようになります。少なくともh。 • H: ランダムな oracle としてモデル化された暗号化 hash 関数。 • $\bot$: H の出力と同じ長さの特殊な文字列。 • F $\in$(0, 1): 許容されるエラー確率を指定するパラメータ。確率 $\leq$F は、確率は「無視できる」とみなされ、確率 $\geq$1 −F は「圧倒的」とみなされます。 • ph $\in$(0, 1): ラウンド r のリーダー $\ell$r が正直である確率。理想的には ph = h です。と敵対者の存在、ph の値は分析で決定されます。 • k $\in$Z+: ルックバックパラメータ。つまり、ラウンド r −k は、ラウンド r の検証者が存在する場所です。から選択されます。つまり、SV r $\subseteq$PKr−k.15 • p1 $\in$(0, 1): ラウンド r の最初のステップでは、ラウンド r −k のユーザーが SV r,1 に属するように選択されます。確率 p1 $\triangleq$ n1 |P Kr−k|。 • p $\in$(0, 1): ラウンド r の各ステップ s > 1 に対して、ラウンド r −k のユーザーが SV r,s に属するように選択されます。確率 p $\triangleq$ n |P Kr−k|。 • CERT r: Br の証明書。これは、適切な検証者からの H(Br) の署名のセットです。ラウンドR。 • Br $\triangleq$(Br, CERT r) is a proven block. ユーザー i は、証明されたブロックの両方の部分を所有している (そして検証に成功している) 場合、Br を知っています。異なるユーザーによって表示される CERT r は異なる場合があることに注意してください。 • τr i : ユーザー i が Br を知っている (ローカル) 時刻。 Algorand プロトコルでは、各ユーザーは自分の自分の時計。異なるユーザーの時計を同期する必要はありませんが、速度は同じである必要があります。分析の目的のみで、基準クロックを考慮し、プレーヤーのパフォーマンスを測定します。それに関連する回。 • $\alpha$r,s 私はと$\beta$r、s i : ユーザー i がステップ s の実行を開始および終了したそれぞれの (ローカル) 時刻ラウンドR。 • Λ と $\lambda$: 基本的に、それぞれステップ 1 とステップ 1 を実行するのに必要な時間の上限です。 Algorand プロトコルの他のステップに必要な時間。パラメータ Λ は、単一の 1MB ブロックを伝播する時間の上限を設定します。 (私たちの表記では、 Λ = $\lambda$ $\rho$、1MB。簡単にするために $\rho$ = 1 に設定し、ブロックは最大でも 1MB の長さになるように選択すると、Λ = $\lambda$1,1,1MB となります)。 15厳密に言えば、「r −k」は「max{0, r −k}」となるはずです。パラメータ $\lambda$ は、ステップ s > 1 で検証者ごとに 1 つの小さなメッセージを伝播する時間の上限を設定します。 (Bitcoin のように、32B の鍵を持つ楕円曲線署名を使用すると、検証者メッセージの長さは 200B になります。したがって、私たちの表記では、$\lambda$ = $\lambda$n,$\rho$,200B となります。) Λ = O($\lambda$) と仮定します。概念 • 検証者の選択。各ラウンド r およびステップ s > 1 について、SV r,s $\triangleq${i $\in$PKr−k : .H(SIGi(r, s, Qr−1)) $\leq$p}。それぞれユーザー i $\in$PKr−k は、長期鍵を使用して自分の署名を非公開で計算し、次のいずれかを決定します。 i $\in$SV r,s かどうか。 i $\in$SV r,s の場合、SIGi(r, s, Qr−1) は i の (r, s)-資格情報であり、簡潔に表されます。 $\sigma$r,sによる私は。ラウンド r の最初のステップでは、SV r,1 と $\sigma$r,1 私はも同様に定義されますが、p は p1 に置き換えられます。の SV r,1 の検証者は潜在的なリーダーです。 • リーダーの選択。 H($\sigma$r,1 の場合、ユーザー i $\in$SV r,1 はラウンド r のリーダーであり、$\ell$r で示されます) i ) $\leq$H($\sigma$r,1 j ) あらゆる可能性に対してリーダー j $\in$SV r,1。 2 人のプレーヤーの資格情報の hash が比較されるたびに、ありそうもないことですが、同点の場合、プロトコルは辞書順に常に関係を解消します (長期公開) ) 潜在的なリーダーの鍵。定義により、プレイヤー$\ell$r の認証情報の hash 値も、すべてのユーザーの中で最小です。 PKr-k。潜在的なリーダーは、自分がリーダーであるかどうかを個人的に決定することはできないことに注意してください。他の潜在的なリーダーの資格情報を見ることなく。 hash の値はランダムに一様であるため、SV r,1 が空でない場合、$\ell$r は常に存在し、少なくとも h の確率で正直です。パラメータ n1 は、それぞれの SV r,1 は圧倒的な確率で空ではありません。 • ブロック構造。空でないブロックは Br = (r, PAY r, SIG$\ell$r(Qr−1), H(Br−1)) の形式で、空のブロックは Br の形式です ϫ = (r, $\emptyset$, Qr−1, H(Br−1))。支払いが発生しない場合、空ではないブロックには空のペイセット PAY r が含まれる可能性があることに注意してください。このラウンド、またはリーダーが悪意がある場合。ただし、空ではないブロックは、 $\ell$r、彼の資格 $\sigma$r,1 $\ell$r と SIG$\ell$r(Qr−1) はすべてタイムリーに明らかにされました。プロトコルは保証しますつまり、リーダーが正直であれば、圧倒的な確率でブロックは空ではなくなるでしょう。 • シード Qr. Br が空でない場合は、Qr $\triangleq$ H(SIG$\ell$r(Qr−1), r)、それ以外の場合は、Qr $\triangleq$ H(Qr−1, r) です。パラメータ • さまざまなパラメータ間の関係。 — ラウンド r の検証者と潜在的なリーダーは PKr-k のユーザーから選択されます。ここで、k は、敵対者がラウンド r −k −1 で Qr−1 を予測できないように選択されます。 F よりも確率が高い: そうしないと、彼は悪意のあるユーザーを紹介することができますラウンド r -k では、全員がラウンド r の潜在的なリーダー/検証者となり、成功します。

SV の中に悪意のあるリーダーまたは悪意のある多数派がいて、彼らが望むいくつかのステップを実行する彼。 — 各ラウンド r のステップ 1 では、圧倒的な確率で SV r,1 ̸= $\emptyset$ となるように n1 が選択されます。 • 重要なパラメータの選択例。 — H の出力は 256 ビット長です。 — h = 80%、n1 = 35。 — Λ = 1 分、$\lambda$ = 10 秒。 • プロトコルの初期化。プロトコルは、r = 0 の時刻 0 に開始されます。「B-1」または「CERT -1」が存在しないため、構文的には、B-1 はパブリックパラメータであり、その 3 番目のコンポーネントは Q-1 とすべてのユーザーを指定します。時間 0 での B−1 がわかっています。

Algorand 」

1 このセクションでは、次の仮定の下で動作する Algorand ' のバージョンを構築します。ユーザーの正直な大多数の仮定: 各 PKr のユーザーの 2/3 以上が正直です。セクション 8 では、上記の仮定を望ましい正直多数派に置き換える方法を示します。お金の仮定。 5.1 追加の表記とパラメータ表記法 • m $\in$Z+: バイナリ BA プロトコルの最大ステップ数、3 の倍数。 • Lr $\leq$m/3: 1 を確認するために必要なベルヌーイ試行回数を表す確率変数。各試行が確率 ph で 1 の場合 2、最大でも m/3 のトライアルが存在します。すべての試行が失敗した場合、 Lr$\triangleq$m/3。 Lr は、ブロック Br の生成に必要な時間の上限を設定するために使用されます。 • tH = 2n 3 + 1: プロトコルの終了条件で必要な署名の数。 • CERT r: Br の証明書。これは、適切な検証者からの H(Br) の署名のセットです。ラウンドR。パラメータ • さまざまなパラメータ間の関係。 — ラウンド r の各ステップ s > 1 に対して、圧倒的な確率で次のように n が選択されます。 |HSV r,s| > 2|MSV r,s| そして |HSV r,s| + 4|MSV r,s| < 2n。 h の値が 1 に近づくほど、n を小さくする必要があります。特に、(バリアントを使用します) of) チェルノフは、圧倒的な確率で望ましい条件が確実に成立するように努めます。 — m は、圧倒的な確率で Lr < m/3 となるように選択されます。 • 重要なパラメータの選択例。 — F = 10−12。 — n $\approx$1500、k = 40、m = 180。5.2 Algorand での一時キーの実装 1 すでに述べたように、検証者 i $\in$SV r,s が自分のメッセージ mr,s にデジタル署名することを望みます。私はステップのラウンド r の s、一時公開鍵 pkr,s に関連 i 、一時秘密鍵 skr,s を使用私はそれ彼は使用後すぐに破壊します。したがって、すべてのユーザーが確実に pkr を確認する私は確かに、i 氏の署名を検証するために使用する鍵です私は。私たちは、（最善を尽くして）これを行います。私たちの知識では) ID ベースの署名スキームの新しい使用法。このようなスキームでは、高いレベルで、中央機関 A が公開マスターキー PMK を生成します。および対応する秘密マスターキー SMK。プレイヤー U の ID U が与えられると、A は次のように計算します。 SMK を介して、公開鍵 U に関連する秘密署名鍵 skU を使用し、skU を非公開で提供します。 U. (実際、アイデンティティベースのデジタル署名方式では、ユーザー U の公開鍵は U そのものです!) このようにして、A が有効にしたいユーザーの秘密鍵を計算した後に SMK を破棄した場合、デジタル署名を生成し、計算された秘密鍵を保持しない場合、U だけが公開鍵 U に関連してメッセージにデジタル署名できます。したがって、「U の名前」を知っている人は誰でも、は自動的に U の公開鍵を認識するため、U の署名を検証できます (おそらく、公開マスターキー PMK)。私たちのアプリケーションでは、権限 A はユーザー i であり、すべての可能なユーザーのセット U は次と一致します。 —たとえば— S = {i}$\times${r', . . のラウンドステップペア (r, s) 。。、ｒ'＋１０６｝$\times$｛１、．。。 , m+3}、ここで r' は与えられた値ですラウンド、m + 3 はラウンド内で発生する可能性のあるステップ数の上限です。これ方法、pkr、s 私は $\triangleq$(i, r, s) なので、i の署名 SIGr,s がすべての人に表示されます。 PKR、S 私（さん、さん）私は）できる、圧倒的に確率を評価するには、r' に続く最初の 100 万ラウンド r について直ちに検証します。言い換えれば、最初に PMK と SMK を生成します。そして、PMKがiのマスターであることを公表します。任意のラウンド r $\in$[r', r' + 106] の公開鍵を作成し、SMK を使用して秘密を非公開で作成および保存しますキークローナ私は各トリプル (i, r, s) $\in$S について。これが完了すると、彼はSMKを破壊します。彼がそうでないと判断した場合 SV r,s の一部である場合、skr,s を離れることができます私は単独で (プロトコルでは認証する必要がないため) ラウンド r のステップ s の任意のメッセージ）。それ以外の場合は、最初に skr,s を使用します私は彼のメッセージにデジタル署名します、さん私、そしてその後、skr,s を破壊します私は。彼が最初にシステムに入ったときに、彼の最初の公開マスターキーを公開できることに注意してください。つまり、 i をシステムに導入するのと同じ支払い$\wp$ (ラウンド r' または r' に近いラウンド) も可能性があります。 i の要求に応じて、任意のラウンド r $\in$[r', r' + 106] に対する i の公開マスター鍵が PMK であることを指定します。たとえば、次のようにします。 (PMK, [r', r' + 106]) という形式のペアを含みます。また、m + 3 がラウンド内の最大ステップ数であるため、ラウンドが所要時間は 1 分ですが、このようにして作成された一時キーの隠し場所は、ほぼ 2 年間持続します。同時にこれらの一時的な秘密鍵の生成にはそれほど時間はかかりません。楕円曲線ベースの使用 32B の鍵を備えたシステムでは、各秘密鍵は数マイクロ秒で計算されます。したがって、m + 3 = 180 の場合、そうすれば、1 億 8,000 万個の秘密鍵すべてを 1 時間以内に計算できます。現在のラウンドが r' + 106 に近づくと、次の 100 万ラウンドを処理するために、i 新しい (PMK'、SMK') ペアを生成し、次の一時キーの隠し場所を通知します。 —たとえば— SIGi(PMK', [r' + 106 + 1, r' + 2 $\cdot$ 106 + 1]) を新しいブロックに入力させると、別個の「トランザクション」として、または支払いの一部である追加情報として。そうすることで、 i は全員に、次回の i の一時的な署名を検証するために PMK' を使用する必要があることを通知します。百万ラウンド。等々。 (この基本的なアプローチに従って、一時キーを実装するための他の方法も存在することに注意してください。 ID ベースの署名を使用することは確かに可能です。たとえば、Merkle trees 経由。16) 16このメソッドでは、公開秘密鍵ペア (pkr,s) を生成します。私、クロース私は ) —たとえば—の各ラウンドステップペア (r, s) について一時キーを実装する他の方法も確かに可能です (Merkle trees など)。 5.3 Algorand のステップと一致する 1 BA⋆のものと先ほども言いましたが、Algorand のラウンドです 1 には最大でも m + 3 ステップがあります。ステップ 1. このステップでは、各潜在的なリーダー i が候補ブロック Br を計算して伝播します。私、彼自身の資格情報 $\sigma$r,1 とともに私は。この資格情報は i を明示的に識別することを思い出してください。 $\sigma$r,1 であるため、これは当てはまります。私は $\triangleq$SIGi(r, 1, Qr−1)。潜在的な検証者 i は、メッセージの一部として、H(Br 私）。支払いや資格情報を扱うものではなく、i のこの署名は彼の一時的な公開に関連しています。キー pkr、1 i : つまり、彼は sigpkr,1 を伝播します。 i (H(Br 私））。私たちの慣例を考慮すると、Br を広めるのではなく、私はそして sigpkr,1 i (H(Br 私））、彼はそうすることができたでしょう伝播された SIGpkr,1 i (H(Br 私））。ただし、分析では、明示的にアクセスする必要があります。 sigpkr,1 i (H(Br 私））。ステップ 2. このステップでは、各検証者 i が $\ell$r を設定します私は、hash された資格を持つ潜在的なリーダーになりますが最小で、Br i は $\ell$r によって提案されたブロックになります私は。効率化のため、 Br に直接同意するのではなく、H(Br) に同意したい、私は彼が持つであろうメッセージを広めます BA⋆の最初のステップで初期値v'で伝播される i = H(Br 私）。つまり、彼は v' を伝播します。私、もちろん、一時的に署名した後です。 (つまり、右の一時的なものに対して相対的に署名した後、公開鍵、この場合は pkr,2 です i .) もちろん、私も自分の資格情報を送信します。 BA⋆の最初のステップは段階的コンセンサスプロトコルGCの最初のステップで構成されているため、 Algorand ' の 2 は GC の最初のステップに対応します。ステップ 3. このステップでは、各検証者 i $\in$SV r,2 が BA⋆ の 2 番目のステップを実行します。つまり、彼は GC の 2 番目のステップで送信するのと同じメッセージです。繰り返しますが、i のメッセージは儚いものです署名され、i の資格証明書が添付されています。（以降、検証者とは言うのは省略します）彼のメッセージに一時的に署名し、彼の資格を広めます。) ステップ 4. このステップでは、すべての検証者 i $\in$SV r,4 が GC (vi, gi) の出力を計算し、一時的に BA⋆ の 3 番目のステップで送信したのと同じメッセージに署名して送信します。 BBA⋆ の最初のステップ。gi = 2 の場合は初期ビット 0、それ以外の場合は 1。ステップ s = 5、. 。。 , m + 2。そのようなステップに到達した場合、BA⋆ のステップ s −1 に対応するため、次のようになります。 BBA⋆のステップs−3。私たちの伝播モデルは十分に非同期であるため、次の可能性を考慮する必要があります。そのようなステップ s の途中で、検証者 i $\in$SV r,s が、検証者 i $\in$SV r,s を証明する情報に到達するとします。そのブロック Br はすでに選択されています。この場合、私は自分自身のラウンド r の実行を停止します。 Algorand '、round-(r + 1) 命令の実行を開始します。 {r'、. 。。 , r' + 106} $\times$ {1, . 。。、ｍ＋３｝。次に、これらの公開鍵を正規の方法で注文し、j 番目の公開鍵を保存します。 Merkle tree の j 番目の葉のキーを入力し、ルート値 Ri を計算し、それを公開します。彼がサインしたいときキー pkr,s に関連するメッセージ私は、実際の署名だけでなく、pkr,s の認証パスも提供します。私はリに対して。この認証パスは pkr,s を証明することにも注意してください。私は j 番目のリーフに格納されます。残りの部分は、詳細を簡単に入力できます。したがって、検証者 i $\in$SV r,s の命令は、対応する命令に加えて、 BBA⋆ のステップ -3 まで、BBA⋆ の実行が前の時点で停止したかどうかのチェックが含まれます。ステップｓ'。 BBA⋆が停止できるのは、コインが0に固定されたステップまたはコインが1に固定されたステップのみであるため、命令は、 A (終了条件 0): s′ −2 ≡0 mod 3、または B (終了条件 1): s′ −2 ≡1 mod 3. 実際、ケース A では、ブロック Br は空ではないため、追加の命令が必要です。 i が適切な証明書 CERT r とともに Br を適切に再構築していることを確認します。ケースBの場合、ブロック Br は空であるため、i は Br = Br を設定するように指示されます。 $\varepsilon$ = (r, $\emptyset$, H(Qr−1, r), H(Br−1)), そして CERT r を計算します。ステップ s の実行中に、ブロック Br が既に存在するという証拠が見つからない場合、が生成された後、BBA⋆ のステップ s -3 で送信したのと同じメッセージを送信します。ステップ m + 3。ステップ m + 3 中に、i $\in$SV r,m+3 でブロック Br がすでに生成されていることがわかる場合、前のステップ s' がある場合は、上で説明したとおりに進みます。それ以外の場合、BBA⋆ のステップ m で送信するのと同じメッセージを送信するのではなく、i は所有する情報に基づいて、Br とそれに対応するものを計算するよう指示されました。証明書 CERT r. 実際、ラウンドの合計ステップ数の上限を m + 3 としたことを思い出してください。 5.4 実際のプロトコルラウンド r の各ステップ s で、検証者 i $\in$SV r,s が長期公開秘密鍵ペアを使用することを思い出してください。彼の資格情報 $\sigma$r,s を生成する私は $\triangleq$SIGi(r, s, Qr−1)、および SIGi Qr−1 s = 1 の場合。検証者 i 一時的な秘密鍵 skr,s を使用します私は彼の (r, s)-メッセージに署名する私は。簡単にするために、r と s が明らかに、sigpkr,s ではなく esigi(x) と書きます。 i (x) は、i の値の適切な一時的な署名を示しますラウンド r のステップ s で x を使用し、SIGpkr,s の代わりに ESIGi(x) を書き込みます。 i (x) は (i, x, esigi(x)) を表します。ステップ 1: 提案をブロックするすべてのユーザー i $\in$PKr−k への指示: ユーザー i は、ラウンド r の自分のステップ 1 をすぐに開始します。 Br−1を知っています。 • ユーザー i は Br−1 の 3 番目の成分から Qr−1 を計算し、i $\in$SV r,1 かどうかを確認します。そうではありません。 • i /$\in$SV r,1 の場合、i はステップ 1 の実行を直ちに停止します。 • i $\in$SV r,1 の場合、つまり i が潜在的なリーダーである場合、彼は次のラウンド R の支払いを回収します。これまでに彼に伝播され、最大の給与セット PAY r を計算します。私は彼らから。次に、彼は、彼の「候補ブロック」Br を計算します。 i = (r, PAY r i 、SIGi(Qr−1)、H(Br−1))。最後に、彼は計算しますメッセージミスター1 私は = (Br i , エシギ(H(Br i))、$\sigma$r,1 i )、彼の一時的な秘密鍵 skr を破壊します、1 私、そしてそれから mr,1 を伝播します私は。述べる。実際には、ステップ 1 の全体的な実行を短縮するには、(r, 1)- メッセージは選択的に伝播されます。つまり、システム内のすべてのユーザー i について、最初の (r, 1)- プレイヤー i は、これまでに受信して検証に成功したメッセージを、いつものように伝播します。すべての人にとって、プレイヤー i が受信して検証に成功した other (r, 1)-メッセージは、hash の場合にのみ伝播します。含まれる資格情報の値は、含まれる資格情報の hash 値の中で最小ですこれまでに彼が受信し、検証に成功したすべての (r, 1)-メッセージにおいて。さらに、提案されているように、 Georgios Vlachos によると、各潜在的なリーダー i も自分の資格 $\sigma$r,1 を伝播することが有益です。私は個別に: これらの小さなメッセージはブロックよりも速く送信され、mr,1 のタイムリーな伝播が保証されます。 jさんここで、含まれる認証情報は小さい hash 値を持ち、それらは大きい hash 値を持ちます。すぐに消えます。ステップ 2: 段階的コンセンサスプロトコル GC の最初のステップすべてのユーザー i $\in$PKr−k への指示: ユーザー i は、ラウンド r の自分のステップ 2 をすぐに開始します。 Br−1を知っています。 • ユーザー i は Br−1 の 3 番目の成分から Qr−1 を計算し、i $\in$SV r,2 かどうかを確認します。そうではありません。 • i /$\in$SV r,2 の場合、i はステップ 2 の実行を直ちに停止します。 • i $\in$SV r,2 の場合、時間 t2 $\triangleq$ $\lambda$ + Λ だけ待機した後、i は次のように動作します。 1. 彼は、H($\sigma$r,1 となるようなユーザー $\ell$ を見つけます。 $\ell$) $\leq$H($\sigma$r,1 j ) すべての資格情報 $\sigma$r,1 について j の一部です彼がこれまでに受信した、検証に成功した (r, 1)-メッセージ。 2. 彼が $\ell$ から有効なメッセージを受け取った場合 mr,1 $\ell$ = (Br $\ell$、esig$\ell$(H(Br $\ell$))、$\sigma$r,1 $\ell$),b then i を設定します v' i$\triangleq$H(Br $\ell$);それ以外の場合は v' を設定します私は$\triangleq$ $\bot$です。 3. 私はメッセージ mr,2 を計算します私は $\triangleq$(ESIG(v' i)、$\sigma$r,2 i ),c は一時的な秘密鍵を破壊します 2クローナ i 、そして mr,2 を伝播します私は。 a基本的に、ユーザー i は、ラウンド r のリーダーがユーザー $\ell$ であることを非公開で決定します。 b 繰り返しますが、プレイヤー $\ell$ の署名と hashes はすべて正常に検証され、支払いが完了します。 $\ell$in Br $\ell$は有効な給与セットですラウンド r — ただし、PAY r かどうかはチェックしません $\ell$が$\ell$の最大値かどうか。 cメッセージ mr,2 私はプレイヤー i が v' とみなす信号 i は次のブロックの hash であるか、次のブロックであるとみなします。ブロックを空にします。 17つまり、すべての署名が正しく、ブロックとその hash の両方が有効です。ただし、チェックはしていません。含まれる給与セットが提案者にとって最大であるかどうか。

ステップ 3: GC の 2 番目のステップすべてのユーザー i $\in$PKr−k への指示: ユーザー i は、ラウンド r の自分のステップ 3 をすぐに開始します。 Br−1を知っています。 • ユーザー i は Br−1 の 3 番目の成分から Qr−1 を計算し、i $\in$SV r,3 かどうかを確認します。そうではありません。 • i /$\in$SV r,3 の場合、i はステップ 3 の実行を直ちに停止します。 • i $\in$SV r,3 の場合、t3 $\triangleq$ t2 + 2$\lambda$ = 3$\lambda$ + Λ だけ待機した後、i は次のように動作します。 1. すべての有効なメッセージ mr,2 のような値 v' ̸= $\bot$が存在する場合 j 彼が受け取ったのは、それらの 2/3 以上は次の形式です (ESIGj(v'), $\sigma$r,2 j ) 矛盾なく、a 次に、メッセージ mr,3 を計算します。私は $\triangleq$(ESIGi(v'), $\sigma$r,3 私）。それ以外の場合は、mr,3 を計算します。私は $\triangleq$ (ESIGi($\bot$), $\sigma$r,3 私）。 2. 私は彼の一時的な秘密鍵 skr を破壊します、3 i 、そして mr,3 を伝播します私は。 aつまり、ESIGj(v') と異なる ESIGj(v') をそれぞれ含む 2 つの有効なメッセージを受信していません。選手Jよりこことここから、後で定義される終了条件を除いて、正直なプレイヤーはいつでも特定の形式のメッセージが必要ですが、互いに矛盾するメッセージは決してカウントされず、有効とは見なされません。ステップ 4: GC の出力と BBA の最初のステップ⋆ すべてのユーザー i $\in$PKr−k への指示: ユーザー i は、ラウンド r の自分のステップ 4 をすぐに開始します。 Br−1を知っています。 • ユーザー i は Br−1 の 3 番目の成分から Qr−1 を計算し、i $\in$SV r,4 かどうかを確認します。そうではありません。 • i /$\in$SV r,4 の場合、i はステップ 4 の実行を直ちに停止します。 • i $\in$SV r,4 の場合、t4 $\triangleq$ t3 + 2$\lambda$ = 5$\lambda$ + Λ だけ待機した後、i は次のように動作します。 1. 次のように、GC の出力である vi と gi を計算します。 (a) すべての有効なメッセージ mr,3 の中に、次のような値 v' ̸= $\bot$が存在する場合 j 彼は持っています受信すると、そのうちの 2/3 以上が (ESIGj(v'), $\sigma$r,3 j )、その後、彼は設定します vi $\triangleq$ v ' および gi $\triangleq$ 2。 (b) それ以外の場合、すべての有効なメッセージの中に、次のような値 v' ̸= $\bot$が存在する場合さん、3 j 彼が受け取ったもののうち、1/3 以上は次の形式です (ESIGj(v'), $\sigma$r,3 j)、その後彼は vi $\triangleq$ v ' および gi $\triangleq$ 1.a を設定します。 (c) それ以外の場合、vi $\triangleq$H(Br ϫ ) および gi $\triangleq$ 0。 2. 次のように、BBA⋆ の入力である bi を計算します。 gi = 2 の場合は bi $\triangleq$ 0、それ以外の場合は bi $\triangleq$ 1。 3. 彼はメッセージ mr,4 を計算します。私は $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,4 i )、彼の一時的なものを破壊します秘密鍵 SKR,4 i 、そして mr,4 を伝播します私は。 a ケース (b) の v' が存在する場合、それは一意でなければならないことが証明できます。

ステップ s, 5 $\leq$ s $\leq$ m + 2, s −2 ≡0 mod 3: BBA⋆ のコイン固定の 0 ステップすべてのユーザー i $\in$PKr−k への命令: ユーザー i は、ラウンド r の自分のステップ s をすぐに開始します。 Br−1を知っています。 • ユーザー i は、Br−1 の 3 番目の成分から Qr−1 を計算し、i $\in$SV r,s かどうかを確認します。 • i /$\in$SV r,s の場合、i はステップ s の実行を直ちに停止します。 • i $\in$SV r,s の場合、彼は次のように動作します。 – 時間 ts $\triangleq$ ts−1 + 2$\lambda$ = (2s −3)$\lambda$ + Λ が経過するまで待ちます。 – 終了条件 0: この待機中および任意の時点で、文字列 v ̸= $\bot$および次のようなステップ s' (a) 5 $\leq$ s' $\leq$ s, s' −2 ≡0 mod 3 —つまり、ステップ s' は Coin-Fixed-To-0 ステップです。 (b) 私は少なくとも tH を受け取りました = 2n 3 + 1 個の有効なメッセージ mr,s′−1 j = (ESIGj(0), ESIGj(v)、$\sigma$r,s′−1 j )、a、そして (c) 私は有効なメッセージ mr,1 を受信しました j = (Br j , esigj(H(Br j ))、$\sigma$r,1 j ) v = H(Br j)、次に、私はステップ s (実際にはラウンド r) の実行をすぐに停止します。何かを広めること。 Br = Br を設定します j ;そして、自分自身の CERT r をメッセージのセットとして設定します。ミスター、s'−1 j サブステップ (b).b – 終了条件 1: 待機中および任意の時点で、次のようなステップ s' (a’) 6 $\leq$s’ $\leq$ s, s’ −2 ≡1 mod 3 —つまり、ステップ s’ は Coin-Fixed-To-1 ステップであり、 (b’) i は少なくとも tH 個の有効なメッセージ mr,s’−1 を受信しました j = (ESIGj(1)、ESIGj(vj)、 $\sigma$r,s′−1 j ）、c 次に、私はステップ s (実際にはラウンド r) の実行をすぐに停止します。何かを広めること。 Br = Br を設定します￣ ;そして、自分自身の CERT r をメッセージのセットとして設定します。ミスター、s'−1 j サブステップ（b’）の。 – それ以外の場合、待機の終了時にユーザー i は次の操作を行います。彼は、すべての有効なコンポーネントの 2 番目のコンポーネントにおける vj の多数決として vi を設定します。さん、s−1 j を彼は受け取りました。彼は次のように bi を計算します。すべての有効な mr,s−1 の 2/3 を超える場合 j 彼が受け取ったのは次のような形式です (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j )、次に、bi $\triangleq$ 0 を設定します。それ以外の場合、すべての有効な mr,s−1 の 2/3 を超える場合 j 彼が受け取ったのは次のような形式です (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j )、次に、bi $\triangleq$ 1 を設定します。それ以外の場合は、bi $\triangleq$ 0 を設定します。彼はメッセージを計算します。私は $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i )、彼の一時的なものを破壊します秘密鍵 SKR,S i 、そして mr,s を伝播します私は。 aプレーヤー j からのそのようなメッセージは、プレーヤー i が 1 に署名する j からメッセージを受信した場合でもカウントされます。終了条件 1 についても同様です。分析で示されているように、これはすべての正直なユーザーが確実に知っているようにするために行われます。 Br は互いに時間 $\lambda$ 以内にあります。 b ユーザー i は、Br と彼自身のラウンドフィニッシュを知りました。彼は今でも一般ユーザーとしてメッセージの伝達に貢献していますが、 (r, s)-verifier として伝播を開始しません。特に、彼はすべてのメッセージを広めるのに貢献しました。 CERT r。このプロトコルにはこれで十分です。バイナリ BA プロトコルに対しても bi $\triangleq$ 0 を設定する必要があることに注意してください。とにかくこの場合は必要ありません。今後のすべての指示についても同様のことが起こります。 c この場合、vj が何であるかは関係ありません。ステップ s, 6 $\leq$ s $\leq$ m + 2, s −2 ≡1 mod 3: BBA のコイン固定 To-1 ステップ⋆ すべてのユーザー i $\in$PKr−k への命令: ユーザー i は、ラウンド r の自分のステップ s をすぐに開始します。 Br−1を知っています。 • ユーザー i は Br−1 の 3 番目の成分から Qr−1 を計算し、i $\in$SV r,s かどうかを確認します。そうではありません。 • i /$\in$SV r,s の場合、i はステップ s の実行を直ちに停止します。 • i $\in$SV r,s の場合、次のことを行います。 – 時間 ts $\triangleq$(2s −3)$\lambda$ + Λ が経過するまで待ちます。 – 終了条件 0: Coin-Fixed-To-0 ステップと同じ手順。 – 終了条件 1: Coin-Fixed-To-0 ステップと同じ手順。 – それ以外の場合、待機の終了時にユーザー i は次の操作を行います。彼は、すべての有効なコンポーネントの 2 番目のコンポーネントにおける vj の多数決として vi を設定します。さん、s−1 j を彼は受け取りました。彼は次のように bi を計算します。すべての有効な mr,s−1 の 2/3 を超える場合 j 彼が受け取ったのは次のような形式です (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j )、次に、bi $\triangleq$ 0 を設定します。それ以外の場合、すべての有効な mr,s−1 の 2/3 を超える場合 j 彼が受け取ったのは次のような形式です (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j )、次に、bi $\triangleq$ 1 を設定します。それ以外の場合は、bi $\triangleq$ 1 を設定します。彼はメッセージを計算します。私は $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i )、彼の一時的なものを破壊します秘密鍵 SKR,S i 、そして mr,s を伝播します私は。

ステップ s, 7 $\leq$ s $\leq$ m + 2, s −2 ≡2 mod 3: BBA の本物のコイン投げステップ⋆ すべてのユーザー i $\in$PKr−k への命令: ユーザー i は、ラウンド r の自分のステップ s をすぐに開始します。 Br−1を知っています。 • ユーザー i は Br−1 の 3 番目の成分から Qr−1 を計算し、i $\in$SV r,s かどうかを確認します。そうではありません。 • i /$\in$SV r,s の場合、i はステップ s の実行を直ちに停止します。 • i $\in$SV r,s の場合、次のことを行います。 – 時間 ts $\triangleq$(2s −3)$\lambda$ + Λ が経過するまで待ちます。 – 終了条件 0: Coin-Fixed-To-0 ステップと同じ手順。 – 終了条件 1: Coin-Fixed-To-0 ステップと同じ手順。 – それ以外の場合、待機の終了時にユーザー i は次の操作を行います。彼は、すべての有効なコンポーネントの 2 番目のコンポーネントにおける vj の多数決として vi を設定します。さん、s−1 j を彼は受け取りました。彼は次のように bi を計算します。すべての有効な mr,s−1 の 2/3 を超える場合 j 彼が受け取ったのは次のような形式です (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j )、次に、bi $\triangleq$ 0 を設定します。それ以外の場合、すべての有効な mr,s−1 の 2/3 を超える場合 j 彼が受け取ったのは次のような形式です (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j )、次に、bi $\triangleq$ 1 を設定します。それ以外の場合は、SV r,s−1 とします。私は彼が有効な情報を受け取った (r, s −1)-検証者の集合であるメッセージミスター、s−1 j 。彼は bi $\triangleq$lsb(minj$\in$SV r,s−1 私は H($\sigma$r,s−1 j ））。彼はメッセージを計算します。私は $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i )、彼の一時的なものを破壊します秘密鍵 SKR,S i 、そして mr,s を伝播します私は。

ステップ m + 3: BBA⋆a の最後のステップすべてのユーザー i $\in$PKr−k への命令: ユーザー i は、ラウンド r の自分のステップ m + 3 をすぐに開始します。 Br−1を知っています。 • ユーザー i は Br−1 の 3 番目の成分から Qr−1 を計算し、i $\in$SV r,m+3 かどうかを確認します。そうではありません。 • i /$\in$SV r,m+3 の場合、i はステップ m + 3 の実行をすぐに停止します。 • i $\in$SV r,m+3 の場合、次の操作を行います。 – 時間 tm+3 $\triangleq$ tm+2 + 2$\lambda$ = (2m + 3)$\lambda$ + Λ が経過するまで待ちます。 – 終了条件 0: Coin-Fixed-To-0 ステップと同じ手順。 – 終了条件 1: Coin-Fixed-To-0 ステップと同じ手順。 – それ以外の場合、待機の終了時にユーザー i は次の操作を行います。彼は、i $\triangleq$ 1 および Br $\triangleq$ Br を設定します。ああ。彼はメッセージ mr,m+3 を計算します私は = (ESIGi(outi), ESIGi(H(Br)), $\sigma$r,m+3 私は）、彼のものを破壊します一時的な秘密鍵 skr,m+3 私は、そして mr,m+3 を伝播します。私は Br.bを証明する a圧倒的な確率で BBA⋆ はこのステップの前に終了しているため、完全を期すためにこのステップを指定します。 bステップ m + 3 の証明書には ESIGi(outi) が含まれている必要はありません。統一性を高めるためだけにこれを含めます。証明書は、生成されるステップに関係なく、統一された形式を持つようになりました。非検証者による Round-r ブロックの再構築システム内のすべてのユーザー i に対する指示: ユーザー i は、知ったらすぐに自分のラウンド r を開始します。 Br-1 を実行し、次のようにブロック情報を待ちます。 – そのような待機中および任意の時点で、そのような文字列 v とステップ s' が存在する場合それ (a) 5 $\leq$ s′ $\leq$ m + 3、s′ −2 ≡0 mod 3、 (b) i は少なくとも tH 個の有効なメッセージ mr,s'−1 を受信しました j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j )、そして (c) 私は有効なメッセージ mr,1 を受信しました j = (Br j , esigj(H(Br j ))、$\sigma$r,1 j ) v = H(Br j)、その後、私は彼自身のラウンド r の実行をすぐに停止します。 Br = Br を設定します j;そして自分自身の CERT r を設定しますメッセージのセット mr,s'−1 j サブステップ(b)の。 – そのような待機中および任意の時点で、次のようなステップ s' が存在する場合、 (a’) 6 $\leq$ s’ $\leq$ m + 3、s’ −2 ≡1 mod 3、および (b’) i は少なくとも tH 個の有効なメッセージ mr,s’−1 を受信しました j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j ）、その後、私は彼自身のラウンド r の実行をすぐに停止します。 Br = Br を設定しますっ;そして自分自身の CERT r を設定しますメッセージのセット mr,s'−1 j サブステップ（b’）の。 – そのような待機中および任意の時点で、少なくとも tH 個の有効なメッセージを受信した場合さん、m+3 j = (ESIGj(1), ESIGj(H(Br ϫ ))、$\sigma$r,m+3 j )、その後、私は彼自身のラウンド r の実行を停止します。すぐに、Br = Br と設定します。 iq は、自分自身の CERT r をメッセージのセット mr,m+3 に設定します。 j 1人分と H(Br ）。 5.5 Algorand の分析 1 解析で使用される各ラウンド r $\geq$0 に次の表記法を導入します。 • 最初に正直なユーザーが Br-1 を知った時刻を T r とします。 • Ir+1 を区間 [T r+1, T r+1 + $\lambda$] とします。プロトコルの初期化により、T 0 = 0 になることに注意してください。各 s $\geq$1 および i $\in$SV r,s について、次のことを思い出してください。 $\alpha$r,s 私はと$\beta$r、s 私ははそれぞれプレイヤー i のステップ s の開始時間と終了時間です。さらに、各 2 $\leq$ s $\leq$ m + 3 について、ts = (2s −3)$\lambda$ + Λ であることを思い出してください。さらに、I0 $\triangleq$ {0} および t1 $\triangleq$ 0 とします。最後に、Lr $\leq$ m/3 はベルヌーイ試行回数を表す確率変数であることを思い出してください。各試行が確率 ph で 1 である場合、1 を確認するために必要 2、最大でも m/3 のトライアルが存在します。もしすべてなら試行が失敗すると、Lr $\triangleq$ m/3 になります。実際、必要な時間に比べれば計算時間は無視できるため、分析では計算時間を無視します。メッセージを伝播します。いずれの場合も、少し大きな $\lambda$ と Λ を使用することで、計算時間を短縮できます。分析に直接組み込むことができます。以下のステートメントのほとんどは、「圧倒的なそして、分析においてこの事実を繰り返し強調することはないかもしれません。5.6 主定理定理5.1。次の特性は、各ラウンド r $\geq$0 で圧倒的な確率で当てはまります。 1. すべての正直なユーザーが同じブロック Br に同意します。 2. リーダー $\ell$r が正直である場合、ブロック Br は $\ell$r によって生成され、Br には最大のペイセットが含まれます時間$\alpha$r,1までに$\ell$rが受信 $\ell$r , T r+1 $\leq$T r + 8$\lambda$ + Λ そして正直なユーザーは皆、当時の Br を知っています。間隔 Ir+1。 3. リーダー $\ell$r が悪意のある場合、T r+1 $\leq$T r + (6Lr + 10)$\lambda$ + Λ となり、すべての正直なユーザーは Br を知っています。時間間隔 Ir+1 で。 4. Lr に対して ph = h2(1 + h −h2) であり、リーダー $\ell$r は少なくとも ph の確率で正直です。私たちの主定理を証明する前に、2 つの点について述べておきます。備考。 • ブロック生成と真のレイテンシー。ブロック Br を生成する時間は、T r+1 -T r と定義されます。つまり、正直なユーザーが初めて Br を学習したときと、正直なユーザーが初めて Br-1 を学習するとき。ラウンドリーダーが正直であれば、プロパティ 2 主定理により、Br を生成する正確な時間は、何があっても 8$\lambda$ + Λ 時間であることが保証されます。 h の正確な値は 2/3 を超える場合があります。リーダーが悪意のある場合、特性 3 は、 Br の生成にかかる予想時間の上限は ( 12 ph + 10)$\lambda$ + Λ、やはり正確さは関係ありません h.18 の値ただし、Br が生成されるまでの予想時間は、h の正確な値によって異なります。実際、性質 4 より、ph = h2(1 + h −h2) であり、リーダーは少なくとも確率に関しては正直です。 ph、したがって E[T r+1 −T r] $\leq$h2(1 + h −h2) $\cdot$ (8$\lambda$ + Λ) + (1 −h2(1 + h −h2))(( 12 h2(1 + h −h2) + 10)$\lambda$ + Λ)。たとえば、h = 80% の場合、E[T r+1 −T r] $\leq$12.7$\lambda$ + Λ となります。 • $\lambda$ 対 Λ。ステップ Algorand ' で検証者によって送信されるメッセージのサイズが支配的であることに注意してください。デジタル署名キーの長さによって決まります。デジタル署名キーの数が増えても、その長さは固定されたままにすることができます。ユーザーは膨大です。また、どのステップ s > 1 でも、検証者の期待数 n は同じであることに注意してください。ユーザー数が 100K、100M、または 100M のいずれであっても使用できます。これは単に n だけであるため、そうなります。したがって、秘密鍵の長さを突然増やす必要がない限り、次のようになります。 $\lambda$ の値は、ユーザーの数がどれほど多くても同じままである必要があります。予見可能な未来。対照的に、どのトランザクションレートでも、トランザクション数はトランザクション数に応じて増加します。ユーザー。したがって、すべての新しいトランザクションをタイムリーに処理するには、ブロックのサイズが次のとおりである必要があります。ユーザーの数とともに成長するため、Λ も成長します。したがって、長期的には、次のようにする必要があります。 $\lambda$ << Λ。したがって、$\lambda$ の係数を大きくするのが適切であり、実際には係数 Λの場合は1の。定理5.1の証明。性質 1 ～ 3 を帰納法によって証明します: ラウンド r −1 に当てはまると仮定します。 (一般性を失うことなく、r = 0 の場合、これらは自動的に「round -1」に当てはまります)、これらを証明します。ラウンドR。 18確かに、E[T r+1 −T r] $\leq$(6E[Lr] + 10)$\lambda$ + Λ = (6 $\cdot$ 2 ph + 10)$\lambda$ + Λ = ( 12 ph + 10) $\lambda$ + Λ。Br-1 は帰納的仮説によって一意に定義されるため、集合 SV r,s は一意に定義されます。ラウンド r の各ステップ s に対して。 n1 の選択により、圧倒的な確率で SV r,1 ̸= $\emptyset$ となります。私たちは今セクション 5.7 と 5.8 で証明された次の 2 つの補題を述べます。導入中も導入中も 2 つの補題の証明、ラウンド 0 の分析は帰納的ステップとほぼ同じです。違いが生じた場合には、それを強調します。補助定理 5.2. [完全性補題] リーダーがラウンド r−1 でプロパティ 1 ～ 3 が保持されると仮定します。 $\ell$rは正直で、圧倒的な確率で、 • すべての正直なユーザーは、$\ell$r によって生成され、最大値を含む同じブロック Br に同意します。時間 $\alpha$r,1 までに $\ell$r が受け取った給与セット $\ell$r $\in$Ir;そして • T r+1 $\leq$T r + 8$\lambda$ + Λ であり、すべての正直なユーザーは時間間隔 Ir+1 における Br を知っています。補助定理 5.3. [健全性補題] リーダーがラウンド r −1 に対してプロパティ 1 ～ 3 が成立すると仮定すると、 $\ell$r は悪意があり、圧倒的な確率で、すべての正直なユーザーが同じブロック Br、T r+1 $\leq$ に同意します T r + (6Lr + 10)$\lambda$ + Λ とすべての正直なユーザーは、時間間隔 Ir+1 における Br を知っています。プロパティ 1 ～ 3 は、補助定理 5.2 および 5.3 を r = 0 および帰納ステップに適用することによって成立します。最後に、セクション 5.9 で証明されたプロパティ 4 を次の補題として言い換えます。補題 5.4. r の前の各ラウンドのプロパティ 1 ～ 3 が与えられると、Lr については ph = h2(1 + h −h2)、リーダー$\ell$r は少なくとも ph の確率で正直です。上記の 3 つの補題を組み合わせると、定理 5.1 が成り立ちます。 ■ 以下の補題は、帰納法を考慮した場合の丸め r に関するいくつかの重要な性質を述べています。仮説であり、上記の 3 つの補題の証明に使用されます。補題 5.5。特性 1 ～ 3 がラウンド r −1 に当てはまると仮定します。ラウンド r の各ステップ s $\geq$1 およびそれぞれの正直な検証者 i $\in$HSV r,s は、 (a) $\alpha$r,s 私は $\in$Ir; (b) プレイヤー i が時間 ts 待った場合、$\beta$r,s 私は $\in$[T r + ts, T r + $\lambda$ + ts] (r > 0 の場合) $\beta$r,s 私は = ts (r = 0);そして (c) プレイヤー i が時間 ts 待った場合、時間 $\beta$r,s までに私、彼はすべてのメッセージを受け取りましたすべてのステップ s' < s について、すべての正直な検証者 j $\in$HSV r,s' によって送信されます。さらに、各ステップ s $\geq$3 について、次のようになります。 (d) 2 人の異なるプレイヤー i、i' $\in$SV r,s と、同じプレイヤーの 2 つの異なる値 v、v' は存在しません。両方のプレーヤーがすべての時間の 2/3 を超える時間 ts を待機したような長さ有効なメッセージ mr,s−1 j 私が受け取った選手は v にサインしており、有効な選手全員の 2/3 以上がサインしています。メッセージ mr,s−1 j プレーヤー i' が v' と契約したことを受け取ります。証拠。プレーヤー i は Br−1 を知っているため、特性 (a) は帰納的仮説から直接得られます。時間間隔 Ir を設定し、すぐに自分のステップを開始します。プロパティ (b) は (a) から直接得られます。プレイヤー i は行動する前に ts 時間待機しました、$\beta$r,s 私は = $\alpha$r,s 私は +ts. $\alpha$r,s に注意してください。私は = 0 r = 0。ここで性質 (c) を証明します。 s = 2 の場合、プロパティ (b) により、すべての検証者 j $\in$HSV r,1 について次のようになります。 $\beta$r,s 私は = $\alpha$r,s 私は + ts $\geq$T r + ts = T r + $\lambda$ + Λ $\geq$ $\beta$r,1 j +Λ。各検証者 j $\in$HSV r,1 は時刻 $\beta$r,1 にメッセージを送信するため、 j そしてメッセージはすべての正直者に届きますユーザー数は最大 Λ 時間、時間別 $\beta$r,s 私はプレイヤー i は、すべての検証者によって送信されたメッセージを受信しました。必要に応じて、HSV r,1。 s > 2 の場合、ts = ts−1 + 2$\lambda$。プロパティ (b) により、すべてのステップ s' < s およびすべての検証者 j $\in$HSV r,s' に対して、 $\beta$r,s 私は = $\alpha$r,s 私は + ts $\geq$T r + ts = T r + ts−1 + 2$\lambda$ $\geq$T r + ts′ + 2$\lambda$ = T r + $\lambda$ + ts′ + $\lambda$ ≧$\beta$r,s′ j + $\lambda$。各検証者 j $\in$HSV r,s' は時刻 $\beta$r,s' にメッセージを送信するため、 j そしてメッセージはすべての正直者に届きます最大 $\lambda$ 時間のユーザー数、時間 $\beta$r,s ごと私はプレイヤー i はすべての正直な検証者から送信されたすべてのメッセージを受信しました HSV では、すべての s' < s に対して r,s'。したがって、性質(c)が成り立つ。最後に、性質 (d) を証明します。検証者 j $\in$SV r,s−1 は、次の中で最大 2 つのものに署名することに注意してください。一時的な秘密鍵を使用したステップ s −1: の出力と同じ長さの値 vj hash 関数、および s −1 $\geq$4 の場合、ビット bj $\in${0, 1}。だからこそ、補題のステートメントでは v と v' は同じ長さである必要があります。多くの検証者は両方の hash 値に署名している可能性があります。 v とビット b なので、両方とも 2/3 しきい値を通過します。矛盾を避けるために、目的の検証子 i、i' と値 v、v' が存在すると仮定します。 MSV r,s-1 内の悪意のある検証者の中には v と v' の両方に署名している可能性があることに注意してください。 HSV r,s-1 の検証者は、それらのうちの 1 つまでに署名しました。プロパティ (c) により、i と i' は両方とも受信しました HSV r,s-1 内のすべての正直な検証者によって送信されたすべてのメッセージ。 HSV r,s−1(v) を、v に署名した正直な (r, s −1) 検証者のセットとする、MSV r,s−1 私はセット i が有効なメッセージを受信した悪意のある (r, s −1) 検証者の数と MSV r,s−1 私は (v) MSV r,s−1 のサブセット私は誰から有効なメッセージ署名を受信したか v. の要件による i と v は、比 $\triangleq$|HSV r,s−1(v)| + |MSV r,s−1 私は (v)| |HSV r,s−1| + |MSV r,s−1 私は |

2 3. (1) まずはお見せします |MSV r,s−1 私は (v)| $\leq$|HSV r,s−1(v)|。 (2) そうでないと仮定すると、パラメータ間の関係から圧倒的な確率で |HSV r,s−1| > 2|MSV r,s−1| $\geq$2|MSV r,s−1 私は | したがって、比 < |HSV r,s−1(v)| + |MSV r,s−1 私は (v)| 3|MSV r,s−1 私は | < 2|MSV r,s−1 私は (v)| 3|MSV r,s−1 私は | $\leq$2 3、矛盾1。次に、不等式 1 により、次のようになります。 2|HSV r,s−1| + 2|MSV r,s−1 私は | < 3|HSV r,s−1(v)| + 3|MSV r,s−1 私は (v)| $\leq$ 3|HSV r,s−1(v)| + 2|MSV r,s−1 私は | + |MSV r,s−1 私は (v)|。不等式2と組み合わせると、 2|HSV r,s−1| < 3|HSV r,s−1(v)| + |MSV r,s−1 私は (v)| $\leq$4|HSV r,s−1(v)|, それは意味します |HSV r,s−1(v)| > 1 2|HSV r,s−1|。同様に、i' と v' の要件により、次のようになります。 |HSV r,s−1(v')| > 1 2|HSV r,s−1|。正直な検証者 j $\in$HSV r,s−1 は一時的な秘密鍵 skr,s−1 を破壊するので、 j 伝播する前に彼のメッセージによれば、敵対者は、j が署名していない値に対する j の署名を偽造することはできません。 j が検証者であることを学習します。したがって、上記の 2 つの不等式は |HSV r,s−1| を意味します。 ≧|HSV r,s−1(v)| + |HSV r,s−1(v')| > |HSV r,s−1|、矛盾しています。したがって、目的の i、i'、v、v' は存在せず、性質(d)が成り立つ。 ■ 5.7 完全性の補題補助定理 5.2. [完全性補題、再掲] ラウンド r−1 に対してプロパティ 1 ～ 3 が成立すると仮定すると、リーダー$\ell$rは正直で、圧倒的な確率で、 • すべての正直なユーザーは、$\ell$r によって生成され、最大値を含む同じブロック Br に同意します。時間 $\alpha$r,1 までに $\ell$r が受け取った給与セット $\ell$r $\in$Ir;そして • T r+1 $\leq$T r + 8$\lambda$ + Λ であり、すべての正直なユーザーは時間間隔 Ir+1 における Br を知っています。証拠。帰納的仮説と補題 5.5 により、各ステップ s と検証者 i $\in$HSV r,s に対して、 $\alpha$r,s 私は $\in$Ir.以下では、プロトコルを段階的に分析します。ステップ1. 定義により、すべての正直な検証者 i $\in$HSV r,1 は、目的のメッセージ mr,1 を伝播します。私はで時間 $\beta$r,1 私は = $\alpha$r,1 私、ここで、mr,1 私は = (Br i , エシギ(H(Br i))、$\sigma$r,1 i)、Br i = (r, PAY r i , SIGi(Qr−1), H(Br−1)), そして支払ってください i は、時間 $\alpha$r,1 までに確認されたすべての支払いの中で最大の支払いセットです。私は。ステップ2。正直な検証者 i $\in$HSV r,2 を任意に修正します。補題 5.5 により、プレイヤー i が終了したとき時間 $\beta$r,2 で待機中私は = $\alpha$r,2 私は + t2、彼は HSV r,1 の検証者によって送信されたすべてのメッセージを受信しました。さん、1 $\ell$r 。 $\ell$r の定義によれば、資格情報が hash である他のプレイヤーは PKr-k に存在しません。値が H($\sigma$r,1 より小さい) $\ell$r）。もちろん、敵対者は H($\sigma$r,1 $\ell$r）は非常に小さいですが、その時までにプレイヤー $\ell$r は一時的な鍵とメッセージ mr,1 を破壊しています。 $\ell$r が伝播されてきました。したがって、検証者 i は自分のリーダーをプレイヤー $\ell$r に設定します。したがって、時刻 $\beta$r,2 では、私、検証者 i が mr,2 を伝播します私は = (ESIG(v' i)、$\sigma$r,2 i )、ここで v' i = H(Br $\ell$r）。 r = 0の場合、唯一の違いはそれは$\beta$r,2ですか私は = t2 の範囲内にあるのではなく。今後のステップについても同様のことが言えます。それらを再び強調することはありません。ステップ3。正直な検証者 i $\in$HSV r,3 を任意に修正します。補題 5.5 により、プレイヤー i が終了したとき時間 $\beta$r,3 で待機中私は = $\alpha$r,3 私は + t3、彼は HSV r,2 の検証者によって送信されたすべてのメッセージを受信しました。パラメータ間の関係により、圧倒的な確率で |HSV r,2| > 2|MSV r,2|。さらに、誠実な検証者は矛盾するメッセージに署名することはありません。正直な検証者が対応する署名を破棄した後は、その署名を偽造することはできない一時的な秘密鍵。したがって、私が受信したすべての有効な (r, 2)-メッセージの 2/3 以上は、正直な検証者、形式は mr,2 j = (ESIGj(H(Br $\ell$r))、$\sigma$r,2 j )、矛盾はありません。したがって、時刻 $\beta$r,3 では、私はプレイヤー i が mr,3 を伝播します私は = (ESIGi(v'), $\sigma$r,3 i )、ここで v' = H(Br $\ell$r）。ステップ4。正直な検証者 i $\in$HSV r,4 を任意に修正します。補題 5.5 により、プレイヤー i はすべてを受け取りました検証者が時間 $\beta$r,4 で待機し終えたときに、HSV r,3 の検証者によって送信されるメッセージ私は = $\alpha$r,4 私は +t4。に似ているステップ 3、私が受け取ったすべての有効な (r, 3)-メッセージの 2/3 以上は誠実な検証者からのものであり、 mr,3 という形式の j = (ESIGj(H(Br $\ell$r))、$\sigma$r,3 j)。したがって、プレイヤー i は vi = H(Br $\ell$r)、gi = 2、bi = 0。時刻 $\beta$r,4 私は = $\alpha$r,4 私は +t4 彼は伝播しますミスター、4 私は = (ESIGi(0), ESIGi(H(Br $\ell$r))、$\sigma$r,4 私）。ステップ5。正直な検証者 i $\in$HSV r,5 を任意に修正します。補題 5.5 によれば、プレーヤーは次のようになります。時間 $\alpha$r,5 まで待っていれば、検証者によって送信されたすべてのメッセージを HSV r,4 で受信しました私は +t5。注意してください |HSV r,4| $\geq$tH.19 また、HSV r,4 のすべての検証者が H(Br $\ell$r）。 |MSV r,4| として< tH、v′ ̸= H(Br $\ell$r) tH によって署名された可能性があります SV r,4 の検証者 (必然的に悪意のある人物) なので、プレイヤー i は、完了する前に停止しません。有効なメッセージを受信しました mr,4 j = (ESIGj(0), ESIGj(H(Br $\ell$r))、$\sigma$r,4 j)。 T を次の時刻とします。後者の出来事が起こります。これらのメッセージの一部は悪意のあるプレーヤーからのものである可能性がありますが、 |MSV r,4| < tH、少なくとも 1 つは HSV r,4 の誠実な検証者からのものであり、時間が経過してから送信されます T r +t4。したがって、T $\geq$T r +t4 > T r +$\lambda$+Λ $\geq$ $\beta$r,1 $\ell$r +Λ、そしてやがて T プレイヤーも受け取りましたメッセージミスター1 $\ell$r 。プロトコルの構築により、プレイヤー i は時刻 $\beta$r,5 で停止します。私は = T なし何かを広めること。 Br = Br を設定します $\ell$r;そして、自分自身の CERT r を (r, 4)-メッセージのセットに設定します。 0 と H(Br $\ell$r) 彼が受け取ったもの。ステップ s > 5。同様に、任意のステップ s > 5 および任意の検証者 i $\in$HSV r,s について、プレイヤー i は次のようになります。時間 $\alpha$r,s まで待っていれば、検証者によって送信されたすべてのメッセージを HSV r,4 で受信しました私は +ts.によって同じ分析、プレーヤー i は何も伝播せずに停止し、Br = Br に設定します。 $\ell$r (そして自分自身の設定 CERT を適切に実行します）。もちろん、悪意のある検証者は止まらず、任意の情報を伝播する可能性があります。メッセージですが、 |MSV r,s| のため< tH、帰納法により、検証者は他の v' に署名できませんどのステップでも 4 $\leq$ s' < s であるため、正直な検証者は有効な tH を受け取ったためにのみ停止します。 (r, 4)-0 および H(Br のメッセージ) $\ell$r）。 Round-rブロックの再建。ステップ 5 の分析は、一般的な正直者に適用されます。ユーザー i はほとんど変更ありません。実際、プレーヤー i は、インターバル Ir で自分のラウンド r を開始し、 H(Br への有効な (r, 4) メッセージを tH 回受信したときのみ、時刻 T に停止します。 $\ell$r）。またまただからこれらのメッセージの少なくとも 1 つは正直な検証者からのものであり、時間 T r + t4 の後に送信され、プレイヤー i は Mr.1も受け取りました $\ell$r を時間 T で計算します。したがって、Br = Br と設定します。 $\ell$r を適切な CERT r と照合します。すべての正直なユーザーが時間間隔 Ir+1 内にラウンド r を終了することを示すだけです。ステップ 5 の分析により、すべての正直な検証者 i $\in$HSV r,5 は、$\alpha$r,5 以降の Br を知っています。私は +t5≦ T r + $\lambda$ + t5 = T r + 8$\lambda$ + Λ。 T r+1 は、最初に正直なユーザー ir が Br を知っている時間であるため、次のようになります。 T r+1 $\leq$T r + 8$\lambda$ + Λ 希望どおりに。さらに、プレイヤー ir が Br を知っているとき、彼はすでにメッセージの伝播に協力しています。彼の CERT r.これらのメッセージはすべて、たとえ 19厳密に言えば、これは非常に高い確率で起こりますが、必ずしも圧倒的ではありません。ただし、これは確率はプロトコルの実行時間にわずかに影響しますが、その正確さには影響しません。 h = 80% の場合、 |HSV r,4|確率 1 −10−8 で $\geq$tH。このイベントが発生しない場合、プロトコルは別のイベントで続行されます。 3ステップ。これが 2 つのステップで発生しない確率は無視できるため、プロトコルはステップ 8 で終了します。したがって、必要なステップ数はほぼ 5 であることが予想されます。プレイヤー ir は、それらを広めた最初のプレイヤーでした。さらに、上記の分析に従って、 T r+1 ≧T r + t4 ≧$\beta$r,1 $\ell$r + Λ、したがって、すべての正直なユーザーは mr,1 を受け取ります $\ell$r は時間 T r+1 + $\lambda$ で計算されます。したがって、すべての正直なユーザーは、時間間隔 Ir+1 = [T r+1, T r+1 + $\lambda$] における Br を知っています。最後に、r = 0 の場合、実際には T 1 $\leq$ t4 + $\lambda$ = 6$\lambda$ + Λ になります。すべてを組み合わせて、補題 5.2 が成り立ちます。 ■ 5.8 健全性の補題補助定理 5.3. [健全性補題、再掲] ラウンド r −1 に対してプロパティ 1 ～ 3 が成立すると仮定すると、リーダー$\ell$r は悪意があり、圧倒的な確率で、すべての正直なユーザーが同じブロックに同意します Br、T r+1 $\leq$T r + (6Lr + 10)$\lambda$ + Λ、そしてすべての正直なユーザーは、時間間隔 Ir+1 における Br を知っています。証拠。プロトコルの 2 つの部分、GC と BBA⋆ を別々に検討します。 GC。帰納的仮説と補題 5.5 により、任意のステップ s $\in${2, 3, 4} および任意の正直な検証者 i $\in$HSV r,s、プレイヤー i が時刻 $\beta$r,s に行動するとき私は = $\alpha$r,s 私は + ts、彼は送信されたすべてのメッセージを受信しましたステップ s' < s のすべての正直な検証者による。ステップ 4 では、考えられる 2 つのケースを区別します。ケース 1. 検証者なし i $\in$HSV r,4 は gi = 2 を設定します。この場合、定義により、すべての検証者 i $\in$HSV r,4 に対して bi = 1 となります。つまり、で始まります。バイナリ BA プロトコルの 1 に関する合意。 vi に関して合意が得られていない可能性がありますが、しかし、バイナリ BA でわかるように、これは問題ではありません。ケース 2. g^i = 2 となる検証器 ^i $\in$HSV r,4 が存在します。この場合、次のことを示します。 (1) すべての i $\in$HSV r,4 について gi $\geq$1、 (2) すべての i $\in$HSV r,4 に対して、vi = v' となる値 v' が存在します。 (3) 有効なメッセージ mr,1 が存在します。 $\ell$ ある検証者 $\ell$ $\in$SV r,1 から、v' = H(Br $\ell$）。実際、プレイヤー＾i は正直であり、g ^i = 2 に設定しているため、すべての有効なメッセージの 2/3 以上が mr,3 です。 j 彼が受け取った値は同じ値 v′ ̸= $\bot$ であり、v^i = v′ と設定しました。補助定理 5.5 の性質 (d) によれば、他の正直な (r, 4) 検証者 i にとって、それ以上のことはあり得ません。すべての有効なメッセージの 2/3 よりも少ない mr,3 j i' が受け取った値は、同じ値 v'' ̸= v' です。したがって、i が gi = 2 と設定した場合、i は v' についても > 2/3 多数派を確認し、設定する必要があります。必要に応じて、vi = v'。ここで、gi < 2 の任意の検証器 i $\in$HSV r,4 を考えます。プロパティの分析と同様です。 (d) 補助定理 5.5 の場合、プレイヤー＾i は v' に対して 2/3 を超える過半数を獲得しているため、1 を超えています。 2|HSV r,3|正直な (r, 3)-検証者は v' に署名しました。なぜなら、私は正直な (r, 3) 検証者によってすべてのメッセージを受信しているからです。時間 $\beta$r,4 私は = $\alpha$r,4 私は + t4、彼は特に 1 つ以上を受け取りました 2|HSV r,3|彼らからのメッセージ v'の場合。なぜなら |HSV r,3| > 2|MSV r,3|、i は v' の > 1/3 過半数を確認しました。したがって、プレイヤーは、 i は gi = 1 を設定し、プロパティ (1) が成立します。プレイヤー i は必ず vi = v' を設定しますか?次のような異なる値 v'''' ̸= $\bot$が存在すると仮定します。プレーヤー i も、v'' の 1/3 以上の過半数を確認しました。これらのメッセージの一部は悪意のあるものからのものである可能性があります検証者ですが、そのうちの少なくとも 1 つは誠実な検証者からのものです j $\in$HSV r,3: 確かに、なぜなら |HSV r,3| > 2|MSV r,3|そして私は HSV r,3 からのすべてのメッセージを受信しました。有効な (r, 3) メッセージを受け取った検証者の数は、有効なメッセージ全体の 1/3 未満です。彼が受け取ったメッセージ。定義により、プレイヤー j は、すべての有効な (r, 2)-メッセージのうち v'' の 2/3 を超える過半数を見た必要があります。彼は受け取りました。ただし、他の誠実な (r, 3) 検証者がすでに確認していることはわかっています。 v' の 2/3 多数派 (v' に署名したため)。補助定理 5.5 の性質 (d) により、これはできません。このような値 v'' は存在しません。したがって、プレイヤー i は必要に応じて vi = v' を設定する必要があります。そして、性質(2)が成り立つ。最後に、一部の正直な (r, 3) 検証者が v' に対して 2/3 以上の多数派を認めたことを考慮すると、一部の (実際には、正直な (r, 2) 検証者の半数以上が v' に署名し、メッセージを広めました。プロトコルの構築により、これらの正直な (r, 2) 検証者は有効なメッセージミスター1 $\ell$ あるプレイヤーから $\ell$ $\in$SV r,1 with v′ = H(Br $\ell$）であるため、性質（3）が成り立ちます。 BBA⋆。ここでも 2 つの場合を区別します。ケース 1. すべての検証者 i $\in$HSV r,4 は bi = 1 を持ちます。これは GC のケース 1 に続いて発生します。 |MSV r,4| として< tH、この場合、SV r,5 にはベリファイアがありませんビット 0 の有効な (r, 4) メッセージを収集または生成できません。したがって、HSV r,5 には正直な検証者は存在しません。 Br は空ではないブロックを知っているので停止するでしょう。さらに、ビット 1 には少なくとも tH 個の有効な (r, 4) メッセージがありますが、s' = 5 は満たされません。 s′ −2 ≡1 mod 3 であるため、HSV r,5 の正直な検証者は、Br = Br を知っているので停止することはありません。ああ。代わりに、すべての検証者 i $\in$HSV r,5 は時間 $\beta$r,5 に動作します。私は = $\alpha$r,5 私は + t5、いつまでに彼はすべてを受け取ります Lemma 5.5 に従って HSV r,4 によって送信されるメッセージ。したがって、プレイヤー i は 2/3 を超える過半数を 1 で見たことになります。そして、bi = 1 を設定します。 Coin-Fixed-To-1 ステップであるステップ 6 では、s' = 5 は s' −2 ≡0 mod 3 を満たしますが、ビット 0 の有効な (r, 4) メッセージは存在しないため、HSV r,6 のベリファイアは停止しません。彼は空ではないブロックを知っています。ただし、s′ = 6 の場合、s′ −2 ≡1 mod 3 が存在します。 |HSV r,5| $\geq$tH 有効 (r, 5) - HSV r,5 からのビット 1 のメッセージ。すべての検証者 i $\in$HSV r,6 について、補題 5.5 に従って、時刻 $\alpha$r,6 またはそれ以前私は + t6 プレイヤー i HSV r,5 からすべてのメッセージを受信したため、何も伝播せずに停止し、セットします Br = Br ああ。彼の CERT r は、有効な (r, 5)-メッセージ mr,5 のセットです。 j = (ESIGj(1), ESIGj(vj), $\sigma$r,5 j) 彼が立ち止まったときに彼が受け取りました。次に、プレイヤー i をステップ s > 6 の正直な検証者、または一般的な正直なユーザー (つまり、非検証者）。補題 5.2 の証明と同様に、プレイヤー i は Br = Br を設定します。 ë と自分自身を設定します CERT r は、tH 有効な (r, 5)-メッセージ mr,5 のセットになります j = (ESIGj(1), ESIGj(vj), $\sigma$r,5 j ) 彼は持っています受け取りました。最後に、補題 5.2 と同様に、 T r+1 $\leq$ 分 i$\in$HSV r,6 $\alpha$r,6 私は + t6 $\leq$T r + $\lambda$ + t6 = T r + 10$\lambda$ + Λ、そして、すべての正直なユーザーは、Ir+1 の時間間隔で Br を知っています。なぜなら、最初の正直なユーザーは、 Br が彼の CERT r で (r, 5)-メッセージの普及に貢献したことを知っています。ケース 2. b^i = 0 の検証器 ^i $\in$HSV r,4 が存在します。これは GC のケース 2 に続いて発生し、より複雑なケースです。 GCの分析により、この場合、有効なメッセージ mr,1 が存在します。 $\ell$ vi = H(Br $\ell$) すべての i $\in$HSV r,4 について。注記 HSV r,4 の検証者は、BI について合意していない可能性があります。任意のステップ s $\in${5, . 。。 , m + 3} および検証者 i $\in$HSV r,s、補題 5.5 プレーヤーによると、私は次のようになります。待っていれば、HSV r,4 $\cup$ $\cdots$ $\cup$HSV r,s−1 のすべての正直な検証者によって送信されたすべてのメッセージを受信しました時間のためにts。ここで次のイベント E を考えます。次のようなステップ s∗$\geq$5 が存在します。バイナリ BA の時間、一部のプレイヤー i∗$\in$SV r,s∗ (悪意のあるプレイヤーか正直なプレイヤーか) を停止する必要があります。何も伝播せずに。「停止すべき」という言葉を使って、プレイヤー i∗ が次のような場合に、悪意がある場合、プロトコルに従って停止すべきではないふりをする可能性があります。敵対者が選択したメッセージを伝播します。また、プロトコルの構築により、 (E.a) i∗ は少なくとも tH 個の有効なメッセージ mr,s'−1 を収集または生成できます j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ) 同じ v と s' に対して、5 $\leq$ s' $\leq$ s∗ および s' −2 ≡0 mod 3 です。または (E.b) i∗ は少なくとも tH 個の有効なメッセージ mr,s'−1 を収集または生成できます j = (ESIGj(1)、ESIGj(vj)、 $\sigma$r,s′−1 j ) 同じ s' に対して、6 $\leq$ s' $\leq$ s∗ および s' −2 ≡1 mod 3 です。なぜなら、正直な (r, s' -1) メッセージは、すべての正直な (r, s') 検証者によって受信される前に、ステップ s' で待機が完了し、敵対者は遅くとも正直なユーザーの場合、一般性を失うことなく、s′ = s∗ となり、プレイヤー i∗ は悪意があります。注意してください E.a の値 v が有効なブロックの hash である必要はありませんでした。解析では、v = H(Br $\ell$）のサブイベントです。以下では、まずイベント E に続くケース 2 を分析し、次に s∗ の値が本質的に次のとおりであることを示します。 Lr に応じて分散されます (したがって、イベント E は圧倒的なステップ m + 3 の前に発生します) パラメータの関係を考慮した確率)。まず、任意のステップ 5 $\leq$ s < s∗ について、すべての正直な検証者 i $\in$HSV r,s は時間 ts を待機し、vi を多数決に設定します。彼が受信した有効な (r, s−1) メッセージ。プレイヤー i はすべての正直な (r, s−1)-メッセージを受信しているため HSV r,4 のすべての正直な検証者が H(Br $\ell$）以下の場合 GC の 2、および |HSV r,s−1| 以降> 2|MSV r,s−1|各 s について、帰納法により、そのプレイヤー i が得られます。設定しました vi = H(Br $\ell$）。同じことが、伝播せずに止まらないすべての正直な検証者 i $\in$HSV r,s∗にも当てはまります何でも。ここで、ステップ s を検討し、4 つのサブケースを区別します。ケース 2.1.a。イベント E.a が発生し、誠実な検証者 i' $\in$HSV r,s∗ が存在します。また、何も伝播せずに停止します。この場合、s∗−2 ≡0 mod 3 があり、ステップ s∗ は Coin-Fixed-To-0 ステップです。によって定義では、プレイヤー i' は次の形式の有効な (r, s∗−1) メッセージを少なくとも tH 受信しました。 (ESIGj(0), ESIGj(v), $\sigma$r,s∗−1 j ）。 HSV r,s∗−1 のすべての検証者が H(Br $\ell$）と |MSV r,s∗−1| < tH、v = H(Br $\ell$）。少なくとも tH −|MSV r,s∗−1| なので$\geq$1 個の (r, s∗−1)-メッセージが 0 および v に対して i' によって受信される時間 T r +ts∗−1 $\geq$T r +t4 $\geq$T r +$\lambda$+Λ $\geq$ $\beta$r,1 の後に、検証者によって HSV r,s∗−1 で送信されます。 $\ell$ +Λ、プレイヤー i は mr,1 を受け取りました $\ell$ 彼がそれらの (r, s∗−1)-メッセージを受信するまでに。したがって、プレーヤー i' は何も伝播せずに停止します。 Br = Br を設定します $\ell$;そして自分自身の CERT r を彼が受信した 0 と v に対する有効な (r, s∗−1) メッセージのセット。次に、他の検証子 i $\in$HSV r,s∗ が Br = Br で停止していることを示します。 $\ell$、または bi = 0 に設定され、伝播されました (ESIGi(0), ESIGi(H(Br $\ell$))、$\sigma$r,s 私）。確かに、ステップ s∗ なので、一部の検証者が何も伝播せずに停止する必要があるのは初めてですが、そのようなことはありません tH (r, s' -1) 検証者が 1 に署名するように、s' −2 ≡1 mod 3 であるステップ s' < s∗ が存在します。したがって、HSV r,s∗ では Br = Br で停止する検証子はありません。ああ。さらに、ステップ{4、5、...のすべての正直な検証者と同様に、。。 , s∗−1} は H(Br $\ell$)、あります tH (r, s' -1) 検証者が署名したようなステップ s' $\leq$ s∗ with s' −2 ≡0 mod 3 は存在しないいくつかの v''̸= H(Br $\ell$) —確かに、|MSV r,s'−1| < tH.したがって、HSV r,s∗ のベリファイアは停止しません Br ̸= Br で iq および Br ̸= Br $\ell$。つまり、プレイヤー i $\in$HSV r,s∗ が何もせずに停止した場合、何かを宣伝する場合、彼は Br = Br と設定したに違いありません $\ell$。プレイヤー i $\in$HSV r,s∗ が時間 ts∗ 待機し、時間にメッセージを伝播した場合 $\beta$r,s∗ 私は = $\alpha$r,s∗ 私は + ts∗、彼は HSV r,s∗−1 からのすべてのメッセージを受信しました。 tH −|MSV r,s∗−1|そのうちの 0 と v です。私が 2/3 以上の 1 の過半数を見た場合、彼は 1 に対して 2(tH −|MSV r,s∗−1|) 個以上の有効な (r, s∗−1)-メッセージを確認しました。 2tH −3|MSV r,s∗−1| よりそのうちの 1 つは正直な (r, s∗−1) 検証者からのものです。ただし、これが意味するのは、 |HSV r,s∗−1| $\geq$tH−|MSV r,s∗−1|+2tH−3|MSV r,s∗−1| > 2n−4|MSV r,s∗−1|、矛盾していますという事実 |HSV r,s∗−1| + 4|MSV r,s∗−1| < 2n、これはパラメータの関係から得られます。したがって、2/3 を超えるものは表示されません。過半数は 1 であり、ステップ s∗ は Coin-Fixed-To-0 ステップであるため、bi = 0 と設定します。私たちが持っているように見られるように、vi = H(Br $\ell$）。したがって、 i は (ESIGi(0), ESIGi(H(Br $\ell$))、$\sigma$r,s 私）私たちが望んでいたようにショー。ステップ s∗+ 1 の場合、プレーヤー i' が CERT r 内のメッセージの伝播に協力したため、時刻$\alpha$r,s∗ またはそれ以前私は + ts∗、HSV r,s∗+1 のすべての正直な検証者は少なくとも tH 有効 (r, s∗−1) - ビット 0 および値 H(Br $\ell$) 完了時または完了前待っています。さらに、HSV r,s∗+1 の検証者は (r, s∗−1)- を受信する前に停止しません。メッセージ。ビット 1 には他に有効な (r, s' -1) メッセージが存在しないためです。ステップ s∗ の定義により、s′ −2 ≡1 mod 3 および 6 $\leq$ s′ $\leq$ s∗+ 1 となります。特にステップ s∗+ 1 自体は Coin-Fixed-To-1 ステップですが、HSV r,s∗ には正直な検証者が伝播していません 1 のメッセージ、および |MSV r,s∗| < tH. したがって、HSV r,s∗+1 のすべての正直な検証者は何も伝播せずに停止し、Br = と設定します。 Br $\ell$: 以前と同様に、彼らは mr,1 を受け取りました $\ell$ 必要な (r, s∗−1)-メッセージを受信する前に。20 同じことが、今後のステップでのすべての正直な検証者と、一般のすべての正直なユーザーにも言えます。特に、彼らは皆、Br = Br を知っています。時間間隔 Ir+1 内で $\ell$ および T r+1 $\leq$ $\alpha$r,s∗ 私は + ts∗$\leq$T r + $\lambda$ + ts∗。ケース 2.1.b.イベント E.b が発生し、誠実な検証者 i' $\in$HSV r,s∗ が存在します。また、何も伝播せずに停止します。この場合、s∗−2 ≡1 mod 3 があり、ステップ s∗ は Coin-Fixed-To-1 ステップです。分析これはケース 2.1.a に似ており、多くの詳細が省略されています。 20もし$\ell$が悪意があるなら、彼はミスター1を送り出すかもしれない $\ell$ 一部の正直なユーザー/検証者が mr,1 を受け取っていないことを願って、遅くなりました。 $\ell$ まだ希望する証明書を受け取ったとき。ただし、検証者 ^ i $\in$HSV r,4 は b ^ i = 0 および v ^ i = H(Br $\ell$）として、正直な検証者 i $\in$HSV r,3 の半数以上が vi = H(Br $\ell$）。これはさらに多くのことを意味します正直な検証者 i $\in$HSV r,2 の半数以上が vi = H(Br $\ell$)、それらの (r, 2)-検証者は全員 mr,1 を受け取りました $\ell$。として敵対者は検証者と非検証者を区別できず、mr,1 の伝播をターゲットにすることはできません。 $\ell$ (r, 2)-検証者へ非検証者に見られることなく。実際、高い確率で、半分以上 (またはかなりの定数) すべての正直なユーザーのうち 1 人が mr を見たことがあります $\ell$ 自分のラウンドの開始から t2 待った後、r.ここからは、 mr,1 に必要な時間 $\lambda$' $\ell$ 残りの正直なユーザーに到達するのに必要な量は Λ よりもはるかに小さいため、簡略化するために、それを分析に書き出します。 4$\lambda$ $\geq$ $\lambda$' の場合、解析は何も変更せずに完了します。ステップ 4 の終わりまでに、すべての正直なユーザーは m,1 を受け取ったでしょう $\ell$。ブロックのサイズが巨大になり、4$\lambda$ < $\lambda$' になった場合、ステップ 3 と 4 で、プロトコルは各検証者に 2$\lambda$ ではなく $\lambda$'/2 を待つよう要求することができ、分析は継続します。前と同様に、プレーヤー i' は、次の形式の少なくとも tH 個の有効な (r, s∗−1)-メッセージを受信している必要があります。 (ESIGj(1), ESIGj(vj), $\sigma$r,s∗−1 j ）。再び s∗ の定義により、ステップは存在しません。 5 $\leq$ s′ < s∗ with s′ −2 ≡0 mod 3、ここで少なくとも tH (r, s′ −1) 検証者は 0 に署名しており、同じ v. したがって、プレーヤー i' は何も伝播せずに停止します。 Br = Br を設定しますっ;とセット彼自身の CERT r は、彼が受信したビット 1 の有効な (r, s∗−1) メッセージのセットになります。さらに、他の検証器 i $\in$HSV r,s∗ は Br = Br で停止しているか、 iq 、または bi = を設定しました 1 と伝播 (ESIGi(1)、ESIGi(vi)、$\sigma$r,s∗ 私は）。プレイヤーi'が普及に協力してくれたので彼の CERT r の (r, s∗−1)-メッセージ (時間 $\alpha$r,s∗) 私は + ts∗、ここでもすべての正直な検証者 HSV r,s∗+1 は何も伝播せずに停止し、Br = Br に設定しますァ。同様に、すべて正直ですユーザーは Br = Br を知っています ϫ 時間間隔 Ir+1 内および T r+1 $\leq$ $\alpha$r,s∗ 私は + ts∗$\leq$T r + $\lambda$ + ts∗。ケース 2.2.a。イベント E.a が発生し、正直な検証者 i' $\in$HSV r,s∗who が存在しない何も伝播せずに停止する必要もあります。この場合、プレーヤー i∗ は有効な CERT r を持っている可能性があることに注意してください。 i は希望する tH から成ります (r, s∗−1)-敵対者が収集または生成できるメッセージ。ただし、悪意のある検証者はそれらのメッセージの伝播に協力しない可能性があるため、正直なメッセージが正しいと結論付けることはできません。ユーザーは時間 $\lambda$ 以内にそれらを受け取ります。実際、 |MSV r,s∗−1|そのうちのメッセージは次からのものである可能性があります悪意のある (r, s∗−1) 検証者。メッセージをまったく伝播せず、ただ送信するだけです。ステップ s∗ で悪意のある検証者にそれらを送信します。ケース 2.1.a と同様に、ここでは s∗−2 ≡0 mod 3 があり、ステップ s∗ は Coin-Fixed-To-0 ステップです。および CERT r の (r, s∗−1)-メッセージ i∗はビット0、v = H(Br $\ell$）。確かに、みんな正直です (r, s∗−1)-検証者は v に署名するため、敵対者は tH 個の有効な (r, s∗−1)-メッセージを生成できません異なる v' について。さらに、すべての正直な (r, s∗) 検証者は時間 ts∗ を待機しましたが、過半数の 2/3 を超えていないことがわかります。ビット 1 についても、 |HSV r,s∗−1| であるため、 + 4|MSV r,s∗−1| < 2n。したがって、すべての正直な検証者は、 i $\in$HSV r,s∗bi = 0、vi = H(Br $\ell$) を多数決で決定し、mr,s∗ を伝播します私は = (ESIGi(0)、ESIGi(H(Br $\ell$))、$\sigma$r,s∗ 私は ) 時刻 $\alpha$r,s∗ 私は +ts∗. ここで、ステップ s∗+ 1 (Coin-Fixed-To-1 ステップ) の正直な検証者を考えてみましょう。もし攻撃者は実際に CERT r でメッセージを送信しますそれらの一部にi∗して、それらを引き起こします停止します。ケース 2.1.a と同様に、すべての正直なユーザーは Br = Br を知っています。時間間隔内で$\ell$ Ir+1と T r+1 $\leq$T r + $\lambda$ + ts∗+1。それ以外の場合、ステップ s∗+1 のすべての正直な検証者は、0 と 0 に対するすべての (r, s∗)-メッセージを受信しています。 H(Br $\ell$) 待機時間 ts∗+1 後の HSV r,s∗ から、2/3 を超える過半数が得られます。 |HSV r,s∗| > 2|MSV r,s∗|。したがって、HSV r,s∗+1 のすべての検証者はメッセージを伝播します。 0 と H(Br $\ell$）に応じて。 HSV r,s∗+1 の検証子は Br = Br で停止しないことに注意してください。 $\ell$、ステップ s∗+ 1 は Coin-Fixed-To-0 ステップではないためです。ここで、ステップ s∗+2 (コインを本物に投げたステップ) の正直な検証者を考えてみましょう。攻撃者が CERT r でメッセージを送信した場合それらの一部にi∗して、それらを停止させます。もう一度言いますが、すべての正直なユーザーは Br = Br を知っています。時間間隔 Ir+1 内で $\ell$ および T r+1 $\leq$T r + $\lambda$ + ts∗+2。それ以外の場合、ステップ s∗+ 2 のすべての正直な検証者は、次のすべての (r, s∗+ 1)-メッセージを受信しています。 0 と H(Br $\ell$) 待機時間 ts∗+2 後の HSV r,s∗+1 から、> 2/3 過半数になります。したがって、それらはすべて 0 と H(Br $\ell$) したがって、彼らはそうしますこの場合、「コインを投げる」のではありません。繰り返しますが、それらは伝播せずに停止しないことに注意してください。ステップ s∗+ 2 は Coin-Fixed-To-0 ステップではないためです。最後に、ステップ s∗+3 (これも Coin-Fixed To-0 ステップです) の正直な検証者の場合、すべてそのうちの 0 と H(Br $\ell$) HSV s∗+2 より、本当に待ち時間 ts∗+3 の場合。したがって、攻撃者がメッセージを送信するかどうかに関係なく、 CERTrでそれらのいずれに対しても、HSV r,s∗+3 のすべての検証者は Br = Br で停止します。 $\ell$なし何でも広める。敵対者がどのように行動するかに応じて、その一部は CERT r 内の (r, s∗−1)-メッセージで構成される独自の CERT r i∗、その他はそれらの (r, s∗+ 2) メッセージで構成される独自の CERT r。いずれにせよ、誠実なユーザーの皆様 Br = Br を知っています時間間隔 Ir+1 内で $\ell$ および T r+1 $\leq$T r + $\lambda$ + ts∗+3。ケース 2.2.b.イベント E.b が発生し、正直な検証者 i' $\in$HSV r,s∗who が存在しない何も伝播せずに停止する必要もあります。このケースの分析はケース 2.1.b およびケース 2.2.a の分析と似ているため、多くの詳細が説明されています。は省略されています。特に、CERT r i∗は tH 個の必要な (r, s∗−1) メッセージで構成されます敵対者が収集または生成できるビット 1 の場合、s∗−2 ≡1 mod 3、ステップ s∗ は Coin-Fixed-To-1 ステップでは、正直な (r, s∗) 検証者は 2/3 以上の 0 の多数派を確認できませんでした。したがって、すべての検証者 i $\in$HSV r,s∗ は bi = 1 を設定し、mr,s∗ を伝播します。私は = (ESIGi(1), ESIGi(vi), $\sigma$r,s∗ 私は ) 時刻 $\alpha$r,s∗ 私は +ts∗.ケース 2.2.a と同様に、さらに最大 3 つのステップ（つまり、プロトコルステップ s∗+3 に達すると、これは別の Coin-Fixed-To-1 ステップです)、すべての正直なユーザーは Br = Br を知っています。ああ時間間隔 Ir+1 内。さらに、T r+1 は、$\leq$T r+$\lambda$+ts∗+1、または$\leq$T r+$\lambda$+ts∗+2 であってもよく、または $\leq$T r + $\lambda$ + ts∗+3、正直な検証者が最初に停止できるのがいつかに応じて伝播せずに。 4 つのサブケースを組み合わせると、すべての正直なユーザーが時間間隔内で Br を知っていることがわかります。 Ir+1、付き T r+1 $\leq$T r + $\lambda$ + ts∗ (ケース 2.1.a および 2.1.b)、およびケース 2.2.a および 2.2.b では、T r+1 $\leq$T r + $\lambda$ + ts∗+3。ケース 2 では、上限 s∗、したがって T r+1 に残りますが、これを行うには、次の方法が考えられます。多くの場合、コインを本物に投げたステップがプロトコル内で実際に実行されます。正直な検証者の中には、実際にコインを投げた人もいます。特に、コインを本物に投げたステップ s' を任意に固定します (つまり、7 $\leq$ s' $\leq$ m + 2、および s′ −2 ≡2 mod 3) とし、$\ell$′ $\triangleq$arg minj$\in$SV r,s′−1 H($\sigma$r,s′−1 j ）。今のところ、s' < s∗ と仮定しましょう。それ以外の場合は、前に示したように、正直な検証者はステップ s で実際にコインを投げることはできないからです。議論。 SV r,s'-1 の定義により、$\ell$' の資格情報の hash 値も次の中で最小になります。 PKr-k のすべてのユーザ。 hash 関数はランダムな oracle であるため、理想的にはプレイヤー $\ell$′ は次のように正直になります。少なくとも h の確率。後で示すように、たとえ敵対者が最善を尽くして予測しようとしても、ランダム oracle を出力して確率を傾けても、プレイヤー $\ell$′ は依然として確率に対して正直です少なくとも ph = h2(1 + h −h2)。以下では、それが実際に起こる場合を考えます。 $\ell$′$\in$HSV r,s′−1。すべての正直な検証者 i $\in$HSV r,s' は、HSV r,s'-1 からのすべてのメッセージを次のように受信していることに注意してください。時間$\alpha$r,s' 私は +ts'。プレーヤー i がコインを投げる必要がある場合 (つまり、プレーヤー i が 2/3 を超える過半数を見ていない場合) 同じビット b $\in${0, 1}) の場合、bi = lsb(H($\sigma$r,s′−1) と設定します。 $\ell$’ ））。他に正直な人がいるなら検証者 i' $\in$HSV r,s' ビット b $\in${0, 1} について 2/3 を超える多数派を確認し、プロパティによって補助定理 5.5 の (d)、HSV r,s' の正直な検証者は、しばらくの間 2/3 を超える多数派を確認できなかったでしょう。 b' ̸= b。 lsb(H($\sigma$r,s′−1 $\ell$’ )) = b 確率 1/2、HSV r,s' 内のすべての正直な検証者が到達 b については確率 1/2 で一致します。もちろん、そのような検証者 i' が存在しない場合、すべて HSV r,s' の正直な検証者はビット lsb(H($\sigma$r,s'−1 $\ell$’ )) 確率 1。 $\ell$′ $\in$HSV r,s′−1 の確率を組み合わせると、HSV r,s′ における正直な検証者は次のようになります。少なくとも ph 以上の確率でビット b $\in${0, 1} について合意に達する 2 = h2(1+h−h2) 2 。さらに、以前と同様に多数決による誘導により、HSV r,s のすべての正直な検証者は vi を設定します H(Br $\ell$）。したがって、ステップ s' で b について合意に達すると、T r+1 は次のようになります。 $\leq$T r + $\lambda$ + ts'+1 または $\leq$T r + $\lambda$ + ts'+2、ケース 2.1.a および 2.1.b の分析に従って、b = 0 か b = 1 に応じて異なります。で特に、これ以上のコイン本物投げステップは実行されません。つまり、検証者はこのようなステップは、依然として自分が検証者であることを確認するため待機しますが、何も行わずにすべて停止します。何でも広める。したがって、ステップ s∗ の前では、Coin-AuthenticlyFlipped ステップの実行回数が確率変数 Lr に応じて分配されます。ステップ s' を許可するプロトコルの構築により、Lr によると最後の Coin-Authenticly-Flipped ステップとなる私たちは持っています s' = 4 + 3Lr。敵対者が T r+1 をできるだけ遅らせたい場合、いつステップを実行すべきか可能ですか？敵対者が Lr の実現を事前に知っていると仮定することもできます。もし s∗> s' の場合、正直な検証者はすでに合意に達しているため、それは役に立ちません。ステップｓ'。確かに、この場合、s* は、やはり b = 0 かどうかに応じて、s′ +1 または s′ +2 になります。または b = 1。ただし、これは実際にはケース 2.1.a および 2.1.b であり、結果として得られる T r+1 は正確にあの場合と同じように。より正確には、 T r+1 $\leq$T r + $\lambda$ + ts∗$\leq$T r + $\lambda$ + ts'+2。 s∗< s′ −3 の場合、つまり s∗ が最後から 2 番目のコイン本物投げステップの前である場合、次のようになります。ケース 2.2.a および 2.2.b の分析、 T r+1 $\leq$T r + $\lambda$ + ts∗+3 < T r + $\lambda$ + ts′。つまり、敵対者は実際に Br に関する合意をより早く実現させているのです。 s∗= s′ −2 または s′ −1 の場合、つまり Coin-Fixed-To-0 ステップまたは Coin-Fixed-To-1 ステップステップ s' の直前 - 次に 4 つのサブケースの分析により、正直な検証者はステップ s' では、コインが伝播せずに停止しているため、もうコインを投げることはできません。または、同じビットで 2/3 を超える多数決が見られた場合 b.したがって、私たちは T r+1 $\leq$T r + $\lambda$ + ts∗+3 $\leq$T r + $\lambda$ + ts'+2。要約すると、それが何であっても、私たちは T r+1 $\leq$T r + $\lambda$ + ts′+2 = T r + $\lambda$ + t3Lr+6 = T r + $\lambda$ + (2(3Lr + 6) −3)$\lambda$ + Λ = T r + (6Lr + 10)$\lambda$ + Λ、私たちが見せたかったとおり。最悪のケースは、s∗= s′ −1 でケース 2.2.b が発生する場合です。バイナリ BA プロトコルのケース 1 とケース 2 を組み合わせると、補題 5.3 が成り立ちます。 ■ 5.9 シード Qr の安全性と誠実なリーダーの確率補題 5.4 を証明することはまだ残っています。ラウンド r の検証者は PKr-k から取得され、量 Qr−1 に従って選択されます。ルックバックパラメータ k を導入する理由ラウンド r -k に戻って、敵対者が新しい悪意のあるユーザーをいつ追加できるかを確認することです。 PKr−k に対して、無視できる確率を除いて量 Qr−1 を予測することはできません。注意してください。 hash 関数はランダムな oracle であり、Qr-1 はラウンド r の検証器を選択するときの入力の 1 つです。したがって、いかに悪意のあるユーザが PKr-k に追加されたとしても、敵対者の観点からは、それぞれのユーザがそのうちの 1 つが、ラウンド r のステップで必要な確率 p (またはステップ 1 の p1)。より正確には、次の補題があります。補題 5.6. k = O(log1/2 F) の場合、ラウンド r ごとに、圧倒的な確率で敵対者がラウンド r −k で Qr−1 をランダムな oracle に問い合わせませんでした。証拠。帰納法で進めていきます。 $\gamma$ < r の各ラウンドで、敵対者がクエリを行わなかったと仮定します。 Q$\gamma$−1 からラウンド $\gamma$ −k.21 に戻るランダムな oracle へ。敵対者はラウンド r −k で Qr−1 を予測しようとします。各ラウンドのステップ 1 では、 $\gamma$ = r −k、. 。。 , r −1、ランダムにクエリされない特定の Q$\gamma$−1 が与えられた場合 oracle、hash 値 H(SIGi($\gamma$, 1, Q$\gamma$－1)) に従ってプレーヤー i $\in$PK$\gamma$－k を順序付けることによって徐々に、PK$\gamma$−k にわたるランダムな置換が得られます。定義上、リーダー $\ell$ $\gamma$ は順列の最初のユーザーであり、確率 h で正直です。また、PK$\gamma$−kが大きい場合には、任意の整数 x $\geq$1 について、順列内の最初の x 人のユーザーが全員である確率は十分です。悪意はありますが、(x + 1) 番目に正直なのは (1 −h)xh です。 $\ell$ $\gamma$ が正直であれば、Q$\gamma$ = H(SIG$\ell$ $\gamma$(Q$\gamma$−1), $\gamma$) となります。敵対者は署名を偽造できないため、 $\ell$ $\gamma$ の Q$\gamma$ は、敵対者の観点からはランダムに均一に分布します。指数関数的に小さい確率で、22 はラウンド r −k で H に対してクエリされませんでした。それぞれなのでＱ$\gamma$＋１、Ｑ$\gamma$＋２、．。。、Ｑｒ−１はそれぞれ、Ｑ$\gamma$、Ｑ$\gamma$＋１、．。。、Qr−2 を入力の 1 つとして、敵対者にとってそれらはすべてランダムに見えるため、敵対者は次の時点で Qr-1 を H に問い合わせることはできません。 r −k を丸めます。したがって、敵対者がラウンド時に高い確率で Qr−1 を予測できる唯一のケース r−k は、すべてのリーダー $\ell$r−k, . 。。、$\ell$r−1 は悪意があります。もう一度丸め $\gamma$ $\in${r−k を考えます。。。、r−1} および対応する hash 値によって引き起こされる PK$\gamma$-k にわたるランダムな置換。一部の人にとっては x $\geq$2 の場合、順列内の最初の x −1 人のユーザーはすべて悪意があり、x 番目のユーザーは正直です。敵対者には、Q$\gamma$ について x 個の可能な選択肢があります。H(SIGi(Q$\gamma$−1, $\gamma$)) の形式のいずれかです。ここで、i は次のいずれかです。 21 k が小さな整数であるため、一般性を失うことなく、プロトコルの最初の k ラウンドが実行されると仮定できます。安全な環境下で行われ、これらのラウンドでは帰納的仮説が当てはまります。 22つまり、H の出力の長さは指数関数的になります。この確率は F よりもはるかに小さいことに注意してください。プレイヤー i をラウンド $\gamma$ の実際のリーダーにすることで、最初の x-1 人の悪意のあるユーザー。または H(Q$\gamma$−1, $\gamma$)、 B$\gamma$ = B$\gamma$ を強制するァ。それ以外の場合、ラウンド $\gamma$ のリーダーが順列で最初の正直なユーザーになります。そして、Qr-1 は敵対者にとって予測不可能になります。 Q$\gamma$ の上記 x 個のオプションのうち、敵対者はどれを追求すべきですか?敵を助けるためにこの質問に答えてください。心理ゲームでは、実際に彼を実際よりも強力にします。は以下の通りです。まず第一に、実際には、敵対者は正直なユーザーの hash を計算することはできません。したがって、署名では、各 Q$\gamma$ について、最初の悪意のあるユーザーの数 x(Q$\gamma$) を決定できません。 Q$\gamma$ によって誘発されるラウンド $\gamma$ + 1 のランダム順列の。心理的なゲームで、私たちは彼に次のことを与えます。ナンバーズx(Q$\gamma$)を無料で。次に、実際には、順列内の最初の x 人のユーザーがすべて悪意があるからといって、必ずしも全員がリーダーになれるわけではありません。それらの署名の値も p1 未満でなければなりません。私たちはこの精神的な制約を無視してきました。ゲームでは、敵対者にさらに有利な点が与えられます。精神的なゲームにおいて、敵対者にとっての最適な選択肢は ^Q$\gamma$ で示されることが容易にわかります。ランダムな開始時に悪意のあるユーザーの最長のシーケンスを生成するものです。実際、特定の Q$\gamma$ が与えられると、プロトコルは Q$\gamma$−1 に依存しません。もはや、敵対者はラウンド $\gamma$ + 1 の新しい順列のみに集中できます。最初の悪意のあるユーザーの数の分布は同じです。したがって、各ラウンドで $\gamma$、上記の＾Q$\gamma$ は、Q$\gamma$+1 の最大数のオプションを与え、したがって、連続するリーダーがすべて悪意がある確率。したがって、心理ゲームでは、敵対者はラウンド r −k からマルコフ連鎖に従います。状態空間を {0} $\cup${x : x $\geq$2} として r −1 を丸めます。状態 0 は、現在のラウンドのランダム順列の最初のユーザー $\gamma$ は正直であるため、敵対者は失敗します。 Qr−1 を予測するゲーム。そして、各状態 x $\geq$2 は、その状態の最初の x −1 人のユーザーが、順列は悪意があり、x 番目は正直であるため、敵対者には Q$\gamma$ に対して x 個のオプションがあります。の遷移確率 P(x, y) は次のとおりです。 • y $\geq$2 の場合、P(0, 0) = 1 および P(0, y) = 0。つまり、敵対者は最初にゲームに失敗します。順列内のユーザーは正直になります。 • x $\geq$2 の場合、P(x, 0) = hx。つまり、確率 hx では、すべての x 個のランダムな置換は次のようになります。最初のユーザーは正直であるため、敵対者は次のラウンドでゲームに失敗します。 • 任意の x $\geq$2 および y $\geq$2 について、P(x, y) は、x 個のランダムな順列のうち、 Q$\gamma$ の x オプションによって引き起こされます。Q$\gamma$ は、最初の悪意のあるユーザーの最長のシーケンスです。それらの一部は y −1 であるため、敵対者は次のラウンドで Q$\gamma$+1 に対して y 個のオプションを持ちます。つまり、 P(x, y) = y−1 $\times$ i=0 (1 −h)ih !x − y−2 $\times$ i=0 (1 −h)ih !x = (1 −(1 −h)y)x −(1 −(1 −h)y−1)x。状態 0 は遷移行列 P 内の固有の吸収状態であり、他のすべての状態であることに注意してください。 x は 0 になる正の確率を持っています。私たちは、次の数 k の上限に興味があります。マルコフ連鎖が圧倒的な確率で 0 に収束するのに必要なラウンド数、つまり、チェーンがどの状態で開始されるかに関係なく、圧倒的な確率で敵対者がゲームに負けます。そしてラウンド r −k で Qr−1 を予測できません。 2 ラウンド後の遷移行列 P (2) $\triangleq$ P $\cdot$ P を考えます。 P (2)(0, 0) = 1 であることが簡単に分かります。 x $\geq$ 2 の場合、P (2)(0, x) = 0 となります。任意の x $\geq$2 および y $\geq$2 について、P(0, y) = 0 であるため、次のようになります。 P (2)(x, y) = P(x, 0)P(0, y) + $\times$ z≧2 P(x, z)P(z, y) = $\times$ z≧2 P(x, z)P(z, y)。￣h $\triangleq$1 −h とすると、次のようになります。 P(x, y) = (1 −￣hy)x −(1 −￣hy−1)x そして P (2)(x, y) = $\times$ z≧2 [(1 −￣hz)x −(1 −￣hz−1)x][(1 −￣hy)z −(1 −￣hy−1)z]。以下では、P (2)(x,y) の限界を計算します。 P (x,y) h が 1 になると、つまり、￣h は 0 になります。 P(x, y) の￣h の次数は￣hy−1 であり、係数は x です。したがって、リム h $\to$ 1 P(2)(x,y) P(x, y) =リム￣h $\to$ 0 P(2)(x,y) P(x, y) =リム￣h $\to$ 0 P(2)(x,y) x￣hy−1 + O(￣hy) = リム￣h $\to$ 0 P z$\geq$2[x￣hz−1 + O(￣hz)][z￣hy−1 + O(￣hy)] x￣hy−1 + O(￣hy) =リム￣h $\to$ 0 2x￣hy + O(￣hy+1) x￣hy−1 + O(￣hy) = リム￣h $\to$ 0 2xhy x￣hy−1 = lim ￣h $\to$ 0 2￣h = 0。 h が 1,23 に十分近い場合、次のようになります。 P(2)(x,y) P(x, y) $\leq$1 2 任意の x $\geq$2 および y $\geq$2 に対して。帰納法により、任意の k > 2 について、P (k) $\triangleq$ P k は次のようになります。 • x $\geq$2 の場合、P (k)(0, 0) = 1、P (k)(0, x) = 0、および • x $\geq$2 および y $\geq$2 の場合、 P (k)(x, y) = P (k−1)(x, 0)P(0, y) + $\times$ z≧2 P (k−1)(x, z)P(z, y) = $\times$ z≧2 P (k−1)(x, z)P(z, y) $\leq$ $\times$ z≧2 P(x, z) 2k−2 ・P(z,y)=P(2)(x,y) 2k−2 $\leq$P(x, y) 2k−1 。 P(x, y) $\leq$1 であるため、1−log2 F 丸め後、y $\geq$2 の状態への遷移確率は無視できます。任意の状態 x $\geq$2 から開始します。このような状態 y はたくさんありますが、次のことは簡単にわかります。リム y→+∞ P(x, y) P(x, y + 1) = リム y→+∞ (1 −￣hy)x −(1 −￣hy−1)x (1 −￣hy+1)x −(1 −￣hy)x = リム y→+∞ ￣hy−1 −￣hy ￣hy −￣hy+1 = 1 ￣h = 1 1 −時間。したがって、遷移行列 P の各行 x は、比率を伴う等比数列として減少します。 1 1−h > 2 y が十分に大きい場合、同じことが P (k) にも当てはまります。したがって、k が十分に大きいにもかかわらず、 log1/2 F、P程度任意の x $\geq$2 について、y$\geq$2 P (k)(x, y) < F。つまり、圧倒的な確率で敵対者はゲームに負け、ラウンド r −k で Qr−1 を予測できません。 h $\in$(2/3, 1] の場合、さらに複素解析により、1/2 よりわずかに大きい定数 C が存在することがわかり、 k = O(logC F) を取得します。したがって、補題 5.6 が成り立ちます。 ■ 補題 5.4. (再掲) r の前の各ラウンドでプロパティ 1 ～ 3 が与えられると、Lr に対して ph = h2(1 + h −h2)、そしてリーダー$\ell$r は少なくとも ph の確率で正直です。 23たとえば、パラメータの特定の選択によって示唆されるように、h = 80% です。

証拠。補助定理 5.6 に従って、敵対者は次の場合を除いてラウンド r −k で Qr−1 を予測することはできません。無視できる確率。これは、正直なリーダーの確率が h であることを意味するものではないことに注意してください。各ラウンド。確かに、Qr-1 が与えられると、最初に悪意のあるユーザーが何人いるかによって異なります。 PKr-k のランダムな置換により、敵対者は Qr およびしたがって、ラウンド r + 1 で悪意のあるリーダーの確率が増加する可能性があります。ここでも、彼に与えます。分析を簡素化するために、補助定理 5.6 のようないくつかの非現実的な利点を考慮します。ただし、ラウンド r −k で敵対者によって H に対してクエリされなかった各 Qr−1 について、任意の x $\geq$1、確率 (1 −h)x−1h で、最初の正直なユーザーが結果の位置 x に出現します。 PKr-k のランダムな並べ替え。 x = 1 の場合、ラウンド r + 1 の正直なリーダーの確率は次のようになります。確かに、h;一方、x = 2 の場合、敵対者には Qr に対して 2 つの選択肢があり、その結果の確率は次のようになります。 h2.これら 2 つのケースを考慮するだけで、ラウンドで正直なリーダーが現れる確率がわかります。 r + 1 は、必要に応じて、少なくとも h $\cdot$ h + (1 −h)h $\cdot$ h2 = h2(1 + h −h2) です。上記の確率はラウンド r −k からのプロトコルのランダム性のみを考慮していることに注意してください。 rを丸めます。ラウンド 0 からラウンド r までのすべてのランダム性を考慮すると、Qr−1 は次のようになります。敵対者にとってはさらに予測可能ではなく、ラウンド r + 1 で正直なリーダーが現れる確率は次のとおりです。最小 h2(1 + h −h2)。 r + 1 を r に置き換え、すべてを 1 ラウンド戻すと、リーダー $\ell$r は、希望通り、少なくとも h2(1 + h −h2) の確率で正直です。同様に、本物のコインを投げた各ステップ s では、そのステップの「リーダー」、つまり検証者が決まります。 SV r では、クレデンシャルの値が最小の hash を持つ s は、少なくとも h2(1 + h −h2)。したがって、Lr については ph = h2(1 + h −h2) となり、補題 5.4 が成り立ちます。 ■

Algorand 」

2 このセクションでは、次の仮定の下で動作する Algorand ' のバージョンを構築します。ユーザーの正直な大多数の仮定: 各 PKr のユーザーの 2/3 以上が正直です。セクション 8 では、上記の仮定を望ましい正直多数派に置き換える方法を示します。お金の仮定。 6.1 Algorand の追加の表記とパラメータ 2 表記法 • μ $\in$Z+: 圧倒的な確率で、実際には1ラウンドでかかります。 (後で説明するように、パラメータ $\mu$ は一時的なメッセージの数を制御します。ユーザーがラウンドごとに事前に準備するキー） • Lr: 1 を確認するために必要なベルヌーイ試行の回数を表す確率変数。試行は確率 ph で 1 です２． Lr は、生成に必要な時間の上限を設定するために使用されます。ブロックBr. • tH: ラウンド r のステップ s > 1 における誠実な検証者の数の下限。圧倒的な確率で (n と p が与えられると)、SV r,s には正直な検証者が > 人います。パラメータ • さまざまなパラメータ間の関係。 — ラウンド r の各ステップ s > 1 に対して、圧倒的な確率で次のように n が選択されます。

|HSV r,s| > thH そして |HSV r,s| + 2|MSV r,s| < 2thH。上記の 2 つの不等式は一緒になって |HSV r,s| を意味することに注意してください。 > 2|MSV r,s|: つまり、そこにあります選ばれた検証者の中で 2/3 の正直な多数派です。 h の値が 1 に近づくほど、n を小さくする必要があります。特に、(バリアントを使用します) of) チェルノフは、圧倒的な確率で望ましい条件が確実に成立するように努めます。 • 重要なパラメータの選択例。 — F = 10−18。 — n $\approx$4000、tH $\approx$0.69n、k = 70。 6.2 Algorand での一時キーの実装 2 検証者 i $\in$SV r,s が自分のメッセージ mr,s にデジタル署名することを思い出してください。私はラウンド r のステップ s の相対値一時的な公開鍵 pkr,s i 、一時秘密鍵 skr,s を使用私は彼がすぐに破壊することを使用後。ラウンドで実行できるステップ数が指定されたステップ数に制限されている場合整数 $\mu$ については、一時的なキーを実際に処理する方法をすでに見てきました。たとえば、私たちとしては、 Algorand で説明しました。 1 (μ = m + 3)、考えられるすべての一時キーを処理するには、ラウンド r' からラウンド r' + 106、i はペア (PMK、SMK) を生成します。ここで、PMK パブリックマスター ID ベースの署名スキームのキー、および SMK に対応する秘密マスターキー。ユーザーi PMK を公開し、SMK を使用して、考えられる各一時公開キーの秘密キーを生成します。 (そして、SMK を実行した後に SMK を破棄します)。関連する i の一時的な公開鍵のセットラウンドは S = {i} $\times$ {r', . 。。 , r' + 106} $\times$ {1, . 。。、μ}。 (前述したように、ラウンド r' + 106 が近づくと、私は彼のペア（PMK、SMK）を「リフレッシュ」します。）実際には、μ が十分に大きい場合、ラウンド Algorand ' 2 では、$\mu$ ステップを超えることはありません。でただし、原則として、あるラウンドではステップ数が変更される可能性がわずかにあります。実際に撮影される量はμを超えます。こうなったら、彼のメッセージに署名できなくなるよ私はのためにすべてのステップ s > $\mu$ です。これは、ラウンド r に対して $\mu$ 個の秘密鍵だけを事前に準備しているためです。さらに、彼は、前述のように、一時的な鍵の新しい隠し場所を準備して公開することはできませんでした。実際にやることは、したがって、新しい公開マスターキー PMK' を新しいブロックに挿入する必要があります。ただし、r を丸める必要がありますステップが増えても、新しいブロックは生成されなくなります。ただし、解決策は存在します。たとえば、ラウンド r、pkr、μ の最後の一時的なキーを使用できます。私は、以下の通り。彼は、ラウンド r の鍵ペアの別の隠し場所を生成します。たとえば、(1) 別の鍵ペアを生成します。マスターキーペア (PMK、SMK)。 (2) このペアを使用して別の、たとえば 106 個の一時キーを生成します。スク r,μ+1 私は、。。。、sk r,μ+106 私は、ラウンド r のステップ $\mu$+1、...、$\mu$+106 に対応します。 (3)skr,μを使用する私はデジタルに pkr,$\mu$ を基準とした符号 PMK (および i $\in$SV r,$\mu$ の場合は任意の (r, $\mu$)-メッセージ) 私は ; (4) SMK と skr,μ の消去私は。ステップ $\mu$ + s (s $\in${1, . 。。 , 106}、その後、私は彼の (r, $\mu$ + s)- にデジタル署名します。メッセージミスター、μ+s 私は彼の新しいキーPKと比較して r、μ+s 私は = (i、r、μ + s)。もちろん、この署名を検証するために i の場合、他の人は、この公開鍵が i の新しい公開マスター鍵 PMK に対応していることを確認する必要があります。したがって、この署名に加えて、i は pkr,$\mu$ に関連する PMK のデジタル署名を送信します。私は。もちろん、このアプローチは必要に応じて何度でも繰り返すことができます。どんどんステップアップしていきましょう！最後の一時的な秘密鍵は、新しいマスター公開鍵を認証するために使用されます。キー、つまりラウンド r の一時的なキーの別の隠し場所。等々。6.3 実際のプロトコル Algorand ' 2 ラウンド r の各ステップ s で、検証者 i $\in$SV r,s が長期公開秘密を使用することをもう一度思い出してください。彼の資格情報 $\sigma$r,s を生成するためのキーペア私は $\triangleq$SIGi(r, s, Qr−1)、および SIGi Qr−1 s = 1の場合。検証者 i は一時的な鍵ペア (pkr,s) を使用します。私、クロース i )、他のメッセージ m に署名します。必須です。簡単にするために、sigpkr,s ではなく esigi(m) と書きます。 i (m)、i の適切な一時性を示しますこのステップでは m の署名を使用し、SIGpkr,s の代わりに ESIGi(m) を書き込みます。 i (m) $\triangleq$ (i, m, esigi(m))。ステップ 1: 提案をブロックするすべてのユーザー i $\in$PKr−k への指示: ユーザー i はラウンド r のステップ 1 を開始するとすぐに開始します。 CERT r−1。これにより、i は H(Br−1) と Qr−1 を明確に計算できます。 • ユーザー i は Qr−1 を使用して i $\in$SV r,1 かどうかを確認します。 i /$\in$SV r,1 の場合、ステップ 1 では何も行いません。 • i $\in$SV r,1 の場合、つまり i が潜在的なリーダーの場合、彼は次のことを行います。 (a) B0 を見た場合、. 。。 , Br−1 自身 (任意の Bj = Bj í は、hash 値から簡単に導出できます。 CERT j にあるため、「見た」とみなされます)、その後、彼はラウンド R の支払いを回収します。これまでに彼に伝播され、最大の給与セット PAY r を計算します。私は彼らから。 (b) B0 をすべて見ていない場合は、. 。。 , Br−1 まだ、その後彼は PAY r を設定します i = $\emptyset$。 (c) 次に、彼の「候補ブロック」Br を計算します。 i = (r, PAY r i 、SIGi(Qr−1)、H(Br−1))。 (c) 最後に、メッセージ mr,1 を計算します。私は = (Br i , エシギ(H(Br i))、$\sigma$r,1 i )、彼の一時的なものを破壊します秘密鍵 SKR,1 i 、そして 2 つのメッセージ mr,1 を伝播します。私はおよび (SIGi(Qr−1), $\sigma$r,1 私）、別々に、しかし同時に。 a i がリーダーの場合、SIGi(Qr−1) により、他の人が Qr = H(SIGi(Qr−1), r) を計算できるようになります。

選択的伝播ステップ 1 とラウンド全体のグローバルな実行を短縮するには、(r, 1)- メッセージは選択的に伝播されます。つまり、システム内のすべてのユーザー j について、 • 彼が受信して検証に成功した最初の (r, 1)-メッセージについて、そのメッセージに次のものが含まれているかどうかブロックであるか、単なる資格情報と Qr-1 の署名である場合、プレーヤー j は通常どおりそれを伝播します。 • プレイヤー j が受信して検証に成功した他のすべての (r, 1)-メッセージについては、次のように伝播します。含まれる資格情報の hash 値が hash 値の中で最小である場合にのみ適用されます。彼が受信し、検証に成功したすべての (r, 1)-メッセージに含まれる資格情報のうち、遠い。 • ただし、j が mr,1 という形式の 2 つの異なるメッセージを受信した場合、私は同じプレイヤーから、私、彼は i の資格情報の hash 値が何であるかに関係なく、2 番目の資格情報を破棄します。選択的伝播の下では、各潜在的なリーダー i が自分の伝播を伝播することが有益であることに注意してください。資格情報 $\sigma$r,1 私はミスター1とは別に i :c これらの小さなメッセージはブロックよりも速く送信されます。 mr,1 のタイムリーな伝播 i には、含まれている資格情報に小さな hash 値が含まれていますが、 hash 値が大きいものはすぐに消えます。 aつまり、すべての署名が正しく、形式が mr の場合、1 i 、ブロックとその hash の両方が有効です —ただし、j は、含まれるペイセットが i にとって最大であるかどうかをチェックしません。 bつまり、私は悪意があるということです。 cこれを提案してくれた Georgios Vlachos に感謝します。ステップ 2: 段階的コンセンサスプロトコル GC の最初のステップすべてのユーザー i $\in$PKr−k への指示: ユーザー i はラウンド r のステップ 2 をすぐに開始します。 CERT r-1。 • ユーザー i は、最大時間 t2 $\triangleq$ $\lambda$ + Λ だけ待機します。待っている間、私は次のように行動します。 1. 時間 2$\lambda$ 待った後、次のようなユーザー $\ell$ を見つけます。 $\ell$) $\leq$H($\sigma$r,1 j ) すべてのために資格情報 $\sigma$r,1 j これらは、彼が受信した検証に成功した (r, 1)-メッセージの一部ですこれまでのところ。 2. もし彼は持っています受け取ったあるブロック Br−1、どのマッチの hash 値 H(Br−1) CERT r−1,b に含まれており、彼が $\ell$a から有効なメッセージを受信した場合 mr,1 $\ell$ = (Br $\ell$、esig$\ell$(H(Br $\ell$))、$\sigma$r,1 $\ell$),c その後、待機を停止し、v' を設定します i $\triangleq$(H(Br $\ell$）、$\ell$）。 3. それ以外の場合、時間 t2 がなくなると、i は v' を設定します。私は$\triangleq$ $\bot$です。 4. v'の値が i が設定されている場合、i は CERT r-1 から Qr-1 を計算し、 i $\in$SV r,2 かどうか。 5. i $\in$SV r,2 の場合、i はメッセージ mr,2 を計算します。私は $\triangleq$(ESIG(v' i)、$\sigma$r,2 i ),d は彼の一時的なものを破壊します秘密鍵 SKR,2 i 、そして mr,2 を伝播します私は。それ以外の場合は、伝播せずに停止します何でも。 a基本的に、ユーザー i は、ラウンド r のリーダーがユーザー $\ell$ であることを非公開で決定します。 bもちろん、CERT r−1 が Br−1 = Br−1 を示している場合は、ああとすると、彼が受け取った瞬間に私はすでに Br−1 を「受け取った」ことになります。 CERT r-1。 c 繰り返しになりますが、プレイヤー $\ell$ の署名と hash はすべて正常に検証され、支払いが完了しました。 $\ell$in Br $\ell$は有効な給与セットですラウンド r — ただし、PAY r かどうかはチェックしません $\ell$が$\ell$の最大値かどうか。 Brの場合 $\ell$ には空の給与セットが含まれており、実際には、Br かどうかを確認する前に i が Br−1 を見る必要はありません。 $\ell$が有効かどうか。 dメッセージmr,2 私はプレイヤー i が v' の最初の要素を考慮しているという信号 i が次のブロックの hash になる、または次のブロックは空であると見なされます。

ステップ 3: GC の 2 番目のステップすべてのユーザー i $\in$PKr−k への指示: ユーザー i はラウンド r のステップ 3 をすぐに開始します。 CERT r-1。 • ユーザー i は、最大時間 t3 $\triangleq$ t2 + 2$\lambda$ = 3$\lambda$ + Λ だけ待機します。待っている間、私は次のように行動しますが続きます。 1. 少なくとも tH 回の有効なメッセージを受信したような値 v が存在する場合、mr,2 j の形式 (ESIGj(v), $\sigma$r,2 j ) 何の矛盾もなく、a それから彼は待つのをやめて設定します v' = v。 2. それ以外の場合、時間 t3 がなくなると、v' = $\bot$ を設定します。 3. v' の値が設定されたら、i は CERT r-1 から Qr-1 を計算し、 i $\in$SV r,3 かどうか。 4. i $\in$SV r,3 の場合、i はメッセージ mr,3 を計算します。私は $\triangleq$(ESIGi(v'), $\sigma$r,3 i )、彼のものを破壊します一時的な秘密鍵 skr,3 i 、そして mr,3 を伝播します私は。それ以外の場合は、せずに停止します何でも広める。 aつまり、彼はそれぞれ ESIGj(v) と異なる ESIGj(^v) を含む 2 つの有効なメッセージを受信していません。選手Jよりこことここから、後で定義される終了条件を除いて、正直なプレイヤーはいつでも特定の形式のメッセージが必要ですが、互いに矛盾するメッセージは決してカウントされず、有効とは見なされません。

ステップ 4: GC の出力と BBA の最初のステップ⋆ すべてのユーザー i $\in$PKr−k への指示: ユーザー i は、ラウンド r の自分のステップ 4 をすぐに開始します。自分のステップ 3 を完了します。 • ユーザー i は最大時間 2$\lambda$.a 待機します。待機中、i は次のように動作します。 1. 次のように、GC の出力である vi と gi を計算します。 (a) 少なくとも tH 回の有効なメッセージを受信したような値 v' ̸= $\bot$が存在する場合さん、3 j = (ESIGj(v'), $\sigma$r,3 j )、その後、待機を停止し、 vi $\triangleq$ v ' および gi $\triangleq$ 2 を設定します。 (b) 彼が少なくとも tH 回の有効なメッセージを受信した場合 mr,3 j = (ESIGj($\bot$), $\sigma$r,3 j ）そして彼は立ち止まる待機し、vi $\triangleq$ $\bot$および gi $\triangleq$0.b を設定します。 (c) それ以外の場合、時間 2$\lambda$ がなくなったときに、次のような値 v′ ̸= $\bot$が存在する場合少なくとも⌈thHを受け取りました 2 ⌉有効なメッセージ mr,j j = (ESIGj(v'), $\sigma$r,3 j )、次に vi $\triangleq$ v' を設定しますそして gi $\triangleq$ 1.c (d) そうでない場合、時間 2$\lambda$ がなくなると、vi $\triangleq$ $\bot$および gi $\triangleq$ 0 を設定します。 2. 値 vi と gi が設定されている場合、i は次のように BBA⋆ の入力である bi を計算します。 gi = 2 の場合は bi $\triangleq$ 0、それ以外の場合は bi $\triangleq$ 1。 3. i は CERT r−1 から Qr−1 を計算し、i $\in$SV r,4 かどうかをチェックします。 4. i $\in$SV r,4 の場合、メッセージ mr,4 を計算します。私は $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,4 i )、彼のものを破壊します一時的な秘密鍵 skr,4 i 、そして mr,4 を伝播します私は。それ以外の場合は、伝播せずに停止します何でも。したがって、i がラウンド r のステップ 1 を開始してからの最大合計時間は、t4 $\triangleq$ t3 + 2$\lambda$ = 5$\lambda$ + Λ となります。 bステップ (b) がプロトコルに含まれるかどうかは、その正確さに影響しません。ただし、ステップ (b) の存在十分に多くのステップ 3 検証者が「$\bot$に署名」した場合、ステップ 4 は 2$\lambda$ 時間未満で終了できます。 cこの場合の v' が存在する場合、それは一意でなければならないことが証明できます。ステップ s, 5 $\leq$ s $\leq$ m + 2, s −2 ≡0 mod 3: BBA⋆ のコイン固定の 0 ステップすべてのユーザー i $\in$PKr−k への命令: ユーザー i は、ラウンド r の自分のステップ s をすぐに開始します。自分のステップ -1 を終了します。 • ユーザー i は最大時間 2$\lambda$.a 待機します。待機中、i は次のように動作します。 – 終了条件 0: 任意の時点で、次のような文字列 v ̸= $\bot$およびステップ s' が存在する場合、 (a) 5 $\leq$ s' $\leq$ s, s' −2 ≡0 mod 3 —つまり、ステップ s' は Coin-Fixed-To-0 ステップです。 (b) i は少なくとも tH 個の有効なメッセージ mr,s'−1 を受信しました j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ）、b そして (c) i は有効なメッセージを受信しました (SIGj(Qr−1), $\sigma$r,1 j ) (j は 2 番目) v の成分、その後、私は待機を停止し、ステップ s (実際にはラウンド r) の実行を終了します。 (r, s)-verifier として何も伝播せずにすぐに。 H(Br) を最初に設定します v の成分。そして、自分自身の CERT r をメッセージのセット mr,s'−1 に設定します。 j ステップ(b)の (SIGj(Qr−1), $\sigma$r,1 とともに j).c – 終了条件 1: いずれかの時点で、次のようなステップ s' が存在する場合 (a’) 6 $\leq$s’ $\leq$ s, s’ −2 ≡1 mod 3 —つまり、ステップ s’ は Coin-Fixed-To-1 ステップであり、 (b’) i は少なくとも tH 個の有効なメッセージ mr,s’−1 を受信しました j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j )、d 次に、私は待つのをやめて、自分自身のステップ s (実際にはラウンド r) の実行を終了します。 (r, s)-verifier として何も伝播せずに離れます。 Br = Br を設定します￣ ;そして自分自身を設定します CERT r はメッセージ mr,s'−1 のセットになります j サブステップ（b’）の。 – もしでどれでもポイント彼は持っています受け取ったで少なくとも thH 有効なさん、s−1 j のののフォーム (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j )、その後、待機を停止し、bi $\triangleq$ 1 を設定します。 – もしでどれでもポイント彼は持っています受け取ったで少なくとも thH 有効なさん、s−1 j のののフォーム (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ）しかし、彼らは同じvに同意しないので、彼は立ち止まります待機し、bi $\triangleq$ 0 を設定します。 – それ以外の場合、時間 2$\lambda$ がなくなると、i は bi $\triangleq$ 0 に設定されます。 – 値 bi が設定されている場合、i は CERT r−1 から Qr−1 を計算し、 i $\in$SV r,s. – i $\in$SV r,s の場合、i はメッセージ mr,s を計算します私は $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ) vi はステップ 4 で計算した値は、一時的な秘密鍵 skr,s を破壊します。私、そしてそれから氏を伝播します私は。それ以外の場合は、何も伝播せずに停止します。 aしたがって、i がラウンド r のステップ 1 を開始してからの最大合計時間は、ts $\triangleq$ ts−1 + 2$\lambda$ = となります。 (2s −3)$\lambda$ + Λ。 bプレーヤー j からのそのようなメッセージは、プレーヤー i が 1 に署名する j からメッセージを受信した場合でもカウントされます。終了条件 1 についても同様です。分析で示されているように、これはすべての正直なユーザーが確実に知っているようにするためです。 CERT r は互いに時間 $\lambda$ 以内にあります。 c ユーザー i は、H(Br) と自分のラウンド終了を知りました。彼は実際にBrがブロックされるまで待つ必要があるだけですが彼に伝播されるため、さらに時間がかかる可能性があります。彼は今でも一般ユーザーとしてメッセージの伝達に貢献しています。ただし、(r, s)-verifier として伝播を開始することはありません。特に、彼はすべてのメッセージを広めるのに貢献しました。彼の CERT r は、私たちのプロトコルには十分です。バイナリ BA プロトコルに対しても bi $\triangleq$ 0 を設定する必要があることに注意してください。いずれにしても、この場合、bi は必要ありません。今後のすべての指示についても同様のことが起こります。この場合、vj が何であるかは関係ありません。 65ステップ s, 6 $\leq$ s $\leq$ m + 2, s −2 ≡1 mod 3: BBA のコイン固定 To-1 ステップ⋆ すべてのユーザー i $\in$PKr−k への命令: ユーザー i は、ラウンド r の自分のステップ s をすぐに開始します。自分のステップ -1 を終了します。 • ユーザー i は最大時間 2$\lambda$ 待機します。待っている間、私は次のように行動します。 – 終了条件 0: Coin-Fixed-To-0 ステップと同じ命令。 – 終了条件 1: Coin-Fixed-To-0 ステップと同じ命令。 – もしでどれでもポイント彼は持っています受け取ったで少なくとも thH 有効なさん、s−1 j のののフォーム (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j )、その後、待機を停止し、bi $\triangleq$ 0.a を設定します。 – それ以外の場合、時間 2$\lambda$ がなくなると、i は bi $\triangleq$ 1 に設定されます。 – 値 bi が設定されている場合、i は CERT r−1 から Qr−1 を計算し、 i $\in$SV r,s. – i $\in$SV r,s の場合、i はメッセージ mr,s を計算します私は $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ) vi はステップ 4 で計算した値は、一時的な秘密鍵 skr,s を破壊します。私、そしてそれから氏を伝播します私は。それ以外の場合は、何も伝播せずに停止します。 a 1 に署名する tH 個の有効な (r, s −1)-メッセージを受信すると、終了条件 1 が意味されることに注意してください。ステップ s, 7 $\leq$ s $\leq$ m + 2, s −2 ≡2 mod 3: BBA の本物のコイン投げステップ⋆ すべてのユーザー i $\in$PKr−k への命令: ユーザー i は、ラウンド r の自分のステップ s をすぐに開始します。自分自身のステップ s -1 を終了します。 • ユーザー i は最大時間 2$\lambda$ 待機します。待っている間、私は次のように行動します。 – 終了条件 0: Coin-Fixed-To-0 ステップと同じ命令。 – 終了条件 1: Coin-Fixed-To-0 ステップと同じ命令。 – もしでどれでもポイント彼は持っています受け取ったで少なくとも thH 有効なさん、s−1 j のののフォーム (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j )、その後、待機を停止し、bi $\triangleq$ 0 を設定します。 – もしでどれでもポイント彼は持っています受け取ったで少なくとも thH 有効なさん、s−1 j のののフォーム (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j )、その後、待機を停止し、bi $\triangleq$ 1 を設定します。 – それ以外の場合、時間 2$\lambda$ がなくなると、SV r,s−1 とします。私はからの (r, s −1)-検証者の集合とする彼は有効なメッセージを受け取りました、mr,s−1 j 、i は bi $\triangleq$lsb(minj$\in$SV r,s−1 を設定します) 私は H($\sigma$r,s−1 j ））。 – 値 bi が設定されている場合、i は CERT r−1 から Qr−1 を計算し、 i $\in$SV r,s. – i $\in$SV r,s の場合、i はメッセージ mr,s を計算します私は $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ) vi はステップ 4 で計算した値は、一時的な秘密鍵 skr,s を破壊します。私、そしてそれから氏を伝播します私は。それ以外の場合は、何も伝播せずに停止します。述べる。原則として、セクション 6.2 で検討したように、プロトコルは任意に多くのセクションを使用できます。あるラウンドのステップ。これが起こった場合、前述したように、s > $\mu$ のユーザー i $\in$SV r,s は疲れ果てています。

彼の事前に生成された一時キーの隠し場所と、彼の (r, s)-メッセージを認証する必要があります。私はによって一時的なキーの「カスケード」。したがって、i のメッセージは少し長くなり、送信時間が長くなりますメッセージにはもう少し時間がかかります。したがって、特定のラウンドで非常に多くのステップを行った後、パラメータ $\lambda$ は自動的にわずかに増加します。 (ただし、新しいものを作成すると元の $\lambda$ に戻ります) ブロックが生成され、新しいラウンドが始まります。) 非検証者による Round-r ブロックの再構築システム内のすべてのユーザー i に対する指示: ユーザー i は、ラウンド r を開始するとすぐに自分のラウンドを開始します。 CERT r-1。 • 私はプロトコルの各ステップの指示に従い、すべてのステップの伝播に参加します。ただし、ステップ内の検証者ではない場合、ステップ内の伝播は開始されません。 • i は、終了条件 0 または終了条件 1 を入力して自分のラウンド r を終了します。ステップ、対応する CERT r を使用します。 • そこから、実際のブロック Br を受け取るのを待ちながらラウンド r + 1 を開始します (ただし、彼はすでにそれを受け取っています)、そのhash H(Br) は CERT r によって固定されています。もう一度言いますが、 CERT r は Br = Br を示します iq は、Br が CERT r を取得した瞬間にわかります。 6.4 Algorand の分析 2 Algorand の分析 2 は Algorand の値から簡単に導出されます。 1. 基本的に、Algorand で 2、付き圧倒的な確率で、(a) すべての正直なユーザーが同じブロック Br に同意します。新しいリーダーブロックは少なくとも ph = h2(1 + h −h2) の確率で正直です。

オフラインの正直なユーザーの扱い

先ほども述べたように、誠実なユーザーは、オンラインでの使用も含め、定められたすべての指示に従います。そしてプロトコルを実行します。 Algorand では、計算と正直なユーザーに必要な帯域幅は非常に控えめです。ただし、Algorand は次のことができることを指摘しておきます。 2 つのモデルで動作するように簡単に変更できます。正直なユーザーはオフラインにできます。すごい数字。これら 2 つのモデルについて説明する前に、正直なプレイヤーの割合がが 95% であった場合でも、h = 80% と仮定してすべてのパラメータを設定して Algorand を実行できます。したがって、Algorand は、たとえ正直なプレイヤーの最大半分であっても、適切に動作し続けます。オフラインになることを選択しました（実際、「欠勤」の重大なケースです）。実際、どの時点でも少なくとも、オンラインプレイヤーの 80% は正直だと思います。継続的な参加から怠惰な正直さへご覧のとおり、Algorand 」 1 と Algorand 」 2 選択しますルックバックパラメータ k。ここで、適切な大きさの k を選択すると、次のことが可能になることを示しましょう。継続的参加要件。この要件により、次の重要な特性が保証されます。基礎となる BA プロトコル BBA⋆ が正当な多数派を持っていること。では、どれだけ怠惰かを説明しましょう正直さは、この特性を満たす代替の魅力的な方法を提供します。

ユーザー i は、(1) 規定の指示をすべて遵守する場合、怠け者だが正直であることを思い出してください。 (2) プロトコールのみに参加するよう求められる非常にまれに (例: 週に 1 回)、適切な事前通知があり、重大な通知が届く可能性があります。参加すると報酬がもらえる。 Algorand がそのようなプレイヤーと連携できるようにするには、「検証者を選択する」だけで十分です。現在のラウンドでは、はるか以前のラウンドで既にシステムに参加していたユーザーが含まれます。」確かに、それを思い出してくださいラウンド r の検証者はラウンド r −k のユーザーから選択され、選択は以下に基づいて行われます。数量 Qr−1 について。 1 週間はおよそ 10,000 分で構成されていることに注意してください。ラウンドにはおよそ (平均して) 5 分かかるため、1 週間にはおよそ 2,000 ラウンドがかかります。仮定するある時点で、ユーザーが自分の時間を計画し、予定があるかどうかを知りたいと考えています。来週には検証者が出る。プロトコルはラウンドの検証者をユーザーから選択するようになりました。 r −k −2,000 を丸め、選択は Qr−2,001 に基づきます。ラウンド R で、私はすでに知っているプレーヤー値 Qr−2,000、... 。。、Qr−1。これらは実際には blockchain の一部であるためです。すると、M ごとに、 1 から 2,000 の間で、次の場合に限り、i はラウンド r + M のステップ s の検証者です。 .H シギ r+M、s、Qr+M−2,001 $\leq$p 。したがって、彼が次の 2,000 ラウンドで検証者として呼ばれるかどうかを確認するには、次のようにする必要があります。 $\sigma$M,s を計算する私は = シギ r+M、s、Qr+M−2,001 M = 1 ～ 2,000 および各ステップ s について、チェックします。 .H($\sigma$M,s 私は ) $\leq$p の場合もあります。デジタル署名の計算にミリ秒かかる場合、この操作全体の計算には約 1 分かかります。検証者に選ばれなかった場合これらのラウンドのいずれにおいても、そうすれば彼は「正直な良心」をもってオフラインになれる。彼が継続していたら参加したとしても、いずれにせよ、彼は次の 2,000 ラウンドで基本的に 0 歩しか歩まなかったでしょう。代わりに、彼はこれらのラウンドのいずれかで検証者に選ばれ、その後準備を整えます（たとえば、すべての適切なラウンドで誠実な検証者として機能するために必要な情報）。そのように行動することによって、怠け者だが誠実な潜在的検証者は、伝播への参加を逃すだけです。のメッセージ。ただし、メッセージの伝播は通常、堅牢です。また、支払者と受取人は、最近伝播された支払いはオンラインで支払いがどうなるかを監視することが期待されています。したがって、彼らは正直であれば、メッセージの伝播に参加するでしょう。

プロトコル Algorand 、正直な過半数の資金を使用

ここで、ついに、ユーザーの正直な多数派の仮定を、さらに多くの仮定に置き換える方法を示します。意味のあるオネスト・マジョリティ・オブ・マネーの仮定。基本的なアイデアは (proof-of-stake フレーバーで) 「SV r,s に属するユーザー i $\in$PKr−k を、次の値に比例する重み (つまり、決定力) で選択します。「i が所有する金銭の量」24 HMM の仮定により、その金額をラウンド r −k で所有すべきかどうかを選択できます。またはラウンド r (の開始時) に。継続的に参加しても構わないと仮定すると、後者の選択。 (継続的な参加を排除するには、前者の選択を選択することになります。より良く言えば、ラウンド r −k −2,000 で所有されている金額の場合です。) このアイデアを実現するにはさまざまな方法があります。最も簡単な方法は、各キーを保持することです最大 1 単位の通貨を使用し、a(r) となるように PKr−k からランダムに n 人のユーザー i を選択します。私は = 1。 24継続参加の代わりに PKr-k-2,000 と言うべきです。簡単にするために、次のようにする必要があるかもしれないので、とにかく継続的に参加するため、運ぶパラメータが 1 つ少なくなるように、以前と同様に PKr-k を使用します。

次に簡単な実装次に簡単な実装は、各公開鍵が最大量を所有することを要求することです。ある一定の M に対して、お金 M の値。M の値は、お金の総額に比べて十分に小さいです。システム内のお金。キーが複数の検証セットに属する確率が高くなります。 —たとえば — k ラウンドのステップは無視できます。次に、鍵 i $\in$PKr−k、金額 a(r) を所有私はラウンド r では、次の場合に SV r,s に属することが選択されます。 .H シギ r、s、Qr−1 $\leq$p・a(r) 私は M 。そしてすべてが以前と同じように進みます。より複雑な実装最後の実装では、「システムの裕福な参加者に多くのキーの所有を強制」しました。以下で説明する代替実装では、ステータスの概念を一般化し、次のことを考慮します。各ユーザー i は K + 1 個のコピー (i, v) で構成され、それぞれが検証者として独立して選択されます。そして自分自身の一時的な鍵 (pkr,s) を所有することになります。 i、v、skr、s i,v) ラウンド r のステップ s で。 K の値は依存します a(r)の金額について私はラウンドrのiが所有。このようなシステムがどのように機能するかをさらに詳しく見てみましょう。部数 n を各検証セットの対象となる期待カーディナリティとし、a(r) とします。私はラウンド r でユーザー i が所有する金額になります。所有するお金の総額をArとしますラウンド r の PKr-k のユーザーによる、つまり Ar = $\times$ i$\in$P Kr−k a(r) 私は。 i が PKr-k のユーザーの場合、i のコピーは (i, 1), . 。。 , (i, K + 1)、ここで K = $ n・a(r) 私はアル % 。例。 n = 1,000、Ar = 109、および a(r) とします。私は = 370 万。それから、 K = 103・(3.7・106) 109 = ⌊3.7⌋= 3 。検証者と資格情報 i を K + 1 コピーを持つ PKr−k のユーザーとしましょう。各 v = 1、. 。。、Ｋ、コピー（ｉ、ｖ）は自動的にＳＶｒ、ｓに属する。つまり、i の資格情報は $\sigma$r,s i,v $\triangleq$SIGi((i, v), r, s, Qr−1) ですが、対応する条件は .H($\sigma$r,s i,v) $\leq$ 1、つまり常に真実です。コピー (i, K + 1) の場合、ラウンド r の各ステップ s について、i は次のことをチェックします。 .H シギ (i, K + 1)、r、s、Qr−1 $\leq$a(r) 私は n Ar −K 。

そうであれば、コピー (i, K + 1) は SV r,s に属します。それを証明するために、資格情報を伝播します $\sigma$r,1 i,K+1 = SIGi (i, K + 1)、r、s、Qr−1 。例。前の例と同様に、n = 1K、a(r) とします。私は = 3.7M、Ar = 1B、i は 4 コピー: (i, 1), . 。。、(i、4)。その後、最初の 3 つのコピーは自動的に SV r,s に属します。 4番目については、概念的には、 Algorand ' は、表の確率が 0.7 であるバイアスされたコインを独立してロールします。コピー (i, 4) は、コイントスが表の場合にのみ選択されます。 (もちろん、この偏ったコイン投げは、hash の作成、署名、比較によって実装されます。私が彼の結果を証明できるようにするために、この論文ではずっとそうしてきました。) 通常通りの営業検証者の選択方法とその資格情報の仕組みについて説明しました。ラウンド r の各ステップで計算されるため、ラウンドの実行はすでに説明したものと同様です。

フォークの処理

フォークの確率が 10−12 または 10−18 に減少したため、実際には処理は不要です。それらが起こる可能性は非常に低いです。ただし、Algorand ではさまざまなフォークを使用することもできます作業証明の有無にかかわらず、解決手順。ユーザーにフォークを解決するように指示する考えられる方法の 1 つは次のとおりです。 • ユーザーに複数のチェーンが表示された場合は、最も長いチェーンをたどります。 • 最も長いチェーンが複数ある場合は、最後に空ではないブロックを持つチェーンの後に続けます。もしそれらのすべての最後には空のブロックがあります。最後から 2 番目のブロックを考慮してください。 • 最後に空ではないブロックを持つ最も長いチェーンが複数ある場合、そのチェーンは長さ r のブロック r のリーダーの資格情報が最も小さいものに従います。絆があれば、ブロック r 自体が最小の hash 値を持つものに従います。まだ関係がある場合は、次に従ってください。ブロック r が辞書順に最初に順序付けされているもの。

ネットワークパーティションの処理

前述したように、ネットワーク内のすべてのユーザー間のメッセージの伝播時間は $\lambda$ と Λ によって上限があると仮定します。今日のインターネットは高速かつ堅牢であるため、これは強い仮定ではありません。これらのパラメータの実際の値は非常に妥当です。ここで、Algorand を指摘しましょう。 2 インターネットが時折 2 つの部分に分割されても動作し続けます。場合インターネットが 3 つ以上の部分に分割されている場合も同様です。 10.1 物理パーティションまず第一に、パーティションは物理的な理由によって引き起こされる可能性があります。例えば、巨大地震が起こると、最終的にはヨーロッパとアメリカの間のつながりを完全に破壊することになります。この場合、悪意のあるユーザーも分割されており、2 つの部分間で通信は行われません。したがって、

2 つの敵対者が存在し、1 つはパート 1 に、もう 1 つはパート 2 に対応します。各敵対者は引き続き攻撃を試みます。プロトコル自体の部分を壊します。分割がラウンド r の途中で発生すると仮定します。その後も各ユーザーは次のユーザーとして選択されます。検証者は PKr-k に基づいて、以前と同じ確率で検証します。 HSV r,s とする私はおよびMSV r、s 私はそれぞれは、パート i $\in${1, 2} のステップ s における正直な検証者と悪意のある検証者のセットになります。私たちは持っています |HSV r、s 1 | + |MSV r,s 1 | + |HSV r,s 2 | + |MSV r,s 2 | = |HSV r,s| + |MSV r,s|。 |HSV r,s| に注意してください。 + |MSV r,s| < |HSV r,s| + 2|MSV r,s|圧倒的な確率で2thH未満。ある部分 i に |HSV r,s がある場合私は | + |MSV r,s 私は |無視できない確率、たとえば 1% で $\geq$tH の場合、 |HSV r,s の確率 3−i| + |MSV r,s 3−i| $\geq$tH は非常に低く、たとえば F = 10−18 の場合は 10−16 です。この場合、十分な検証者が存在しないため、より小さい部分をオフラインとして扱うこともできます。この部分は、ブロックを証明するための署名を生成します。一般性を失わずに、より大きな部分、たとえばパート 1 を考えてみましょう。 |HSV r,s| ですが< ネットワークが分割されている場合、各ステップ s の確率は無視できる tH |HSV r,s 1 |かもしれない無視できない確率で tH 未満になります。この場合、敵対者は、何らかの手段で、その他の無視できない確率では、空ではないブロック Br と空のブロック Br を使用して、バイナリ BA プロトコルをラウンド r でフォークに強制します。両方とも有効な署名を持っています。25 たとえば、 Coin-Fixed-To-0 ステップ、HSV r,s のすべての検証者 1 ビット 0 と H(Br) に署名され、それらを伝播します。メッセージ。 MSV r,s のすべての検証者 1 0 と H(Br) にも署名しましたが、メッセージは差し控えられました。なぜなら |HSV r、s 1 | + |MSV r,s 1 | $\geq$tH、システムには Br を認証するのに十分な署名があります。ただし、以来、悪意のある検証者が署名を保留した場合、ユーザーはステップ s + 1 (Coin-Fixed-To1 ステップ) を入力します。なぜなら |HSV r,s 1 | < tH 分割によるもの、HSV r,s+1 の検証者 1 見なかったビット 0 の署名とビット 1 の署名すべて。MSV r,s+1 のすべての検証者 1 同じことをしました。なぜなら |HSV r,s+1 1 | + |MSV r,s+1 1 | $\geq$tH、システムには Br を証明するのに十分な署名があります。ああ。敵対者次に、MSV r,s の署名を解放してフォークを作成します。 1 0 および H(Br) の場合。したがって、ラウンド r の対応するブロックによって定義される 2 つの Qr が存在します。ただし、フォークは続行されず、ラウンド r + 1 では 2 つの分岐のうち 1 つだけが成長する可能性があります。 Algorand の追加手順 2. 空ではないブロック Br と空のブロックを見たときブロックBr ϫ 、空ではないもの (およびそれによって定義された Qr) をたどります。実際、プロトコル内の空でないブロックを使用するようにユーザーに指示することで、大規模な場合は PKr+1−k の正直なユーザーの数が、ラウンド r +1 の開始時にフォークがあることに気づき、その後、空のブロックには十分なフォロワーがいないため、成長しません。敵対者がなんとかして正直なユーザーを分割して、一部の正直なユーザーに Br (おそらく Br) が表示されるようにします。 iq) だけを見る人もいます。 Br ああ。なぜなら、敵対者は、そのうちのどれが Br に続く検証者になるのか、そしてどれが検証者になるのかを知ることができないからです。 Brに続く検証者になります iq、正直なユーザーはランダムに分割され、それぞれのユーザーは依然として (Br に関して、または Br に関して) 検証者になります。 ϫ) ステップ s > 1 の確率で p.悪意のあるユーザーの場合、それぞれが検証者になるチャンスが 2 回あります。 Br ともう 1 つは Br ϫ、それぞれ独立に確率 p を持ちます。 HSV r+1,s とする 1;Br は、Br に続くラウンド r+1 のステップ s における正直な検証者のセットになります。その他の表記 HSV r+1,s など 1;BR 、MSV r+1,s 1;Br およびMSV r+1,s 1;ブリーも同様に定義されます。 Chernoﬀboundなら簡単です 25 2 つの空でないブロックを含むフォークを持つことは、パーティションの有無にかかわらず、ごくわずかなブロックを除いて不可能です。確率。圧倒的な確率でそれを見ると、 |HSV r+1,s 1;Br | + |HSV r+1,s 1;ブリー | + |MSV r+1,s 1;Br | + |MSV r+1,s 1;ブリー | < 2thH。したがって、2 つのブランチの両方がラウンド用のブロックを証明する適切な署名を持つことはできません。同じステップ s で r + 1。さらに、2 つのステップ s と s' の選択確率は同様であり、選択は独立しており、これも圧倒的な確率で行われます |HSV r+1,s 1;Br | + |MSV r+1,s 1;Br | + |HSV r+1,s' 1;ブリー | + |MSV r+1,s' 1;ブリー | < 2thH、任意の 2 つのステップ s と s' について。 F = 10−18 の場合、敵対者ができない限り、和集合による正直なユーザーを長時間 (たとえば 104 ステップ、$\lambda$ = 10 の場合 55 時間以上) に分割します。秒26)、高い確率 (たとえば 1-10-10) で、適切な署名を持つブランチは最大でも 1 つだけです。ラウンド r + 1 でブロックを認定します。最後に、物理パーティションがほぼ同じサイズの 2 つの部分を作成した場合、 |HSV r,s の確率私は | + |MSV r,s 私は | $\geq$tH は各部分 i で小さい。同様の分析を行った結果、たとえ敵対者が各部分で無視できない確率でフォークを作成できたとしてもラウンド r では、4 つのブランチのうち最大 1 つがラウンド r + 1 で成長します。 10.2 敵対的パーティション次に、分割は敵対者によって引き起こされる可能性があるため、メッセージが伝播されます。ある部分の正直なユーザーによる情報は、他の部分の正直なユーザーには直接届きませんが、敵対者は 2 つの部分間でメッセージを転送できます。それでも、ある方からのメッセージがあれば、一部が他の部分で正直なユーザーに到達すると、通常どおり後者で伝播されます。もし敵対者は多額の資金を費やすつもりであり、システムをハッキングできる可能性があると考えられます。インターネットに接続し、しばらくこのようにパーティション化します。分析は、上記の物理パーティションの大部分 (小さい部分) の分析と同様です。部分は人口 0 を持つと見なすことができます): 敵対者はフォークを作成できる可能性があり、正直なユーザーはそれぞれブランチの 1 つしか表示しませんが、成長できるブランチは最大でも 1 つだけです。 10.3 ネットワークパーティションの合計数ネットワーク分割が発生する可能性があり、パーティションの下で 1 ラウンドのフォークが発生する可能性がありますが、フォークの存続期間は非常に短く、実際には長くても 1 ラウンドしか存続しません。で最大 1 つを除くパーティションのすべての部分では、ユーザーは新しいブロックを生成できないため、 (a) ネットワークに分割があることを認識し、(b) 「消える」ブロックに決して依存しないでください。謝辞まず最初に、引用した Democoin システムの共著者である Sergey Gorbunov に感謝したいと思います。多くの啓発的な議論をしていただき、指摘してくださった Maurice Herlihy に心からの感謝を申し上げます。パイプライン化により Algorand のスループットパフォーマンスが向上し、 26 ユーザーが 2$\lambda$ 時間待たずにステップ s を終了できるのは、少なくとも tH 個の署名を見た場合のみであることに注意してください。同じメッセージです。十分な署名がない場合、各ステップは 2$\lambda$ 時間続きます。

この論文の以前のバージョンの説明。 Sergio Rajsbaum 氏、コメントありがとうございます。この文書の以前のバージョン。いくつかの深い議論をしてくれた Vinod Vaikuntanathan に感謝します。そして洞察。 Yossi Gilad、Rotem Hamo、Georgios Vlachos、Niccolai Zeldovich に感謝します。これらのアイデアのテストを開始したこと、そして多くの有益なコメントやディスカッションに感謝します。シルヴィオ・ミカリは、数え切れないほどの議論と指導をしてくれたロン・リベストに個人的に感謝したいと思います。 30 年以上にわたる暗号研究で、引用されたマイクロペイメントシステムの共著者として貢献これは、Algorand の検証者選択メカニズムの 1 つに影響を与えました。私たちはこのテクノロジーを次のレベルに引き上げたいと考えています。その間、旅行と交友関係とても楽しいです、とても感謝しています。

アルゴランド: 暗号通貨のビザンチン協定の拡張

概要

導入

準備事項

従来の設定における BA プロトコル BA⋆

s

Algorand の 2 つの実施形態

Algorand 」

Algorand 」

オフラインの正直なユーザーの扱い

プロトコル Algorand 、正直な過半数の資金を使用

フォークの処理

ネットワークパーティションの処理

Related Stories

Algorand: Pure Proof of Stake and Cryptographic Sortition

よくある質問