초록

공개 원장은 누구나 읽고 확장할 수 있는 변조 방지된 데이터 시퀀스입니다. 공개 원장은 셀 수 없이 많고 강력한 용도로 사용됩니다. 그들은 모든 종류의 것을 눈에 띄게 확보할 수 있습니다. 소유권, 판매, 지불 등의 거래를 발생한 순서대로 정확하게 기록합니다. 공공 원장은 부패를 억제할 뿐만 아니라 다음과 같은 매우 정교한 애플리케이션을 가능하게 합니다. 암호화폐 및 smart contracts. 그들은 민주사회의 방식에 혁명을 일으키기 위해 서 있습니다. 운영합니다. 그러나 현재 구현된 대로 확장성이 부족하고 잠재력을 달성할 수 없습니다. Algorand은 공개 원장을 구현하는 진정으로 민주적이고 효율적인 방법입니다. 이전과 달리 작업 증명을 기반으로 한 구현에는 무시할 만한 양의 계산이 필요합니다. 압도적으로 높은 확률로 "포크"되지 않는 거래 내역을 생성합니다. Algorand은 (신선하고 매우 빠른) 메시지 전달 비잔틴 계약을 기반으로 합니다. 구체적으로 Algorand은 머니 플랫폼으로만 설명하겠습니다.

소개

돈은 점점 더 가상화되고 있습니다. 미국의 약 80%가 차지하는 것으로 추산된다. 현재 달러는 원장 항목 [5]로만 존재합니다. 다른 금융수단도 이를 따르고 있다. 우리가 보편적으로 신뢰할 수 있는 중앙 실체에 의지할 수 있는 이상적인 세계에서는 가능한 모든 사이버 공격에 대비해 돈과 기타 금융 거래는 전적으로 전자적일 수 있습니다. 불행하게도 우리는 그런 세상에 살고 있지 않습니다. 따라서, 분산형 암호화폐와 같은 Bitcoin [29] 및 "smart contract" 시스템(예: Ethereum)이 [4]로 제안되었습니다. 에 이러한 시스템의 핵심은 일련의 거래를 안정적으로 기록하는 공유 원장입니다. ✽이것은 두 번째 저자인 [24]의 ArXiv 논문의 보다 공식적인(비동기적) 버전입니다. Gorbunov와 Micali [18]의 것을 기반으로 합니다. Algorand의 기술은 다음의 대상입니다 특허 출원: US62/117,138 US62/120,916 US62/142,318 US62/218,817 US62/314,601 PCT/US2016/018300 US62/326,865 62/331,654 US62/333,340 US62/343,369 US62/344,667 US62/346,775 US62/351,011 US62/653,482 US62/352,195 US62/363,970 US62/369,447 US62/378,753 US62/383,299 US62/394,091 US62/400,361 US62/403,403 US62/410,721 US62/416,959 US62/422,883 US62/455,444 US62/458,746 US62/459,652 US62/460,928 US62/465,931변조 방지 방식으로 지불 및 계약만큼 다양합니다. 선택하는 기술 그러한 변조 방지를 보장하는 것은 blockchain입니다. 블록체인은 다음과 같은 애플리케이션 뒤에 있습니다. 암호화폐 [29], 금융 애플리케이션 [4], 사물 인터넷 [3]. 여러 가지 기술 blockchain 기반 원장을 관리하기 위해 제안되었습니다: 작업 증명 [29], 지분 증명 [2], 실용적인 비잔틴 결함 허용 [8] 또는 일부 조합. 그러나 현재 원장은 관리하기가 비효율적일 수 있습니다. 예를 들어 Bitcoin의 proof-of-work [14]의 원래 개념을 기반으로 한 접근 방식은 엄청난 양의 계산이 필요하고 낭비적입니다. 확장성이 좋지 않습니다 [1]. 게다가 사실상 극소수의 손에 권력을 집중시킨다. 따라서 우리는 다음을 제공하는 공개 원장을 구현하는 새로운 방법을 제시하고자 합니다. 신뢰할 수 있고 침해할 수 없는 기관에 의해 운영되는 중앙 집중식 시스템의 편리성과 효율성 현재 분산 구현의 비효율성과 약점. 우리는 접근 방식을 이렇게 부릅니다. Algorand, 지금까지 구성된 원장을 기반으로 알고리즘 무작위성을 사용하여 선택하기 때문에 유효한 거래의 다음 블록을 구성하는 역할을 담당하는 검증자 집합입니다. 당연히, 우리는 그러한 선택이 조작으로부터 면제되고 예측할 수 없는 것으로 증명되도록 보장합니다. 마지막 순간에 있지만 궁극적으로는 보편적으로 분명합니다. Algorand의 접근 방식은 원칙적으로도 사실상으로도 그렇지 않다는 점에서 매우 민주적입니다. 다양한 종류의 사용자를 생성합니다(Bitcoin의 "광부" 및 "일반 사용자"). Algorand에서 "모두 권력은 모든 사용자 집합에 있습니다.” Algorand의 주목할만한 속성 중 하나는 거래 내역이 매우 작은 경우에만 분기될 수 있다는 것입니다. 확률(예: 1조분의 1, 즉 10-18). Algorand은 일부 법적 문제도 해결할 수 있습니다. 그리고 정치적 우려. Algorand 접근 방식은 blockchain에 적용되며 더 일반적으로는 모든 생성 방법에 적용됩니다. 변조 방지된 블록 시퀀스. 우리는 실제로 새로운 방법을 제시했습니다. blockchains보다 더 효율적입니다. 이는 독립적인 관심사일 수 있습니다. 1.1 Bitcoin의 가정과 기술적인 문제 Bitcoin은 매우 독창적인 시스템이며 많은 후속 연구에 영감을 주었습니다. 그래도, 그것은 도 문제가 된다. 기본 가정과 기술적 문제를 요약해 보겠습니다. 실제로 Bitcoin와 같이 proof-of-work을 기반으로 하는 모든 암호화폐에서 공유됩니다. 이 요약에서는 Bitcoin에서 사용자가 여러 공개 키를 소유할 수 있다는 점을 기억하면 됩니다. 디지털 서명 방식에 따르면 돈은 공개 키와 연결되어 있으며 지불은 하나의 공개 키에서 다른 공개 키로 일정 금액을 전송하는 디지털 서명입니다. 본질적으로, Bitcoin은 처리된 모든 결제를 B1, B2, 블록 체인으로 구성합니다. . ., 각각은 여러 개로 구성됩니다. 순서에 관계없이 B1의 모든 지불이 이루어지고 이어서 B2의 지불이 순서에 관계없이 수행됩니다. 등은 유효한 지불의 순서를 구성합니다. 각 블록은 평균 10분마다 생성됩니다. 이 일련의 블록은 어떤 변경이라도 보장하도록 구조화되어 있기 때문에 체인입니다. 단일 블록에서 모든 후속 블록에 침투하여 변경 사항을 더 쉽게 발견할 수 있습니다. 지불 내역. (앞으로 살펴보겠지만 이는 각 블록에 암호화된 이전 것의 hash.) 이러한 블록 구조를 blockchain이라고 합니다. 가정: 계산 능력의 정직한 다수 Bitcoin은 악의적인 행위가 없다고 가정합니다. 엔터티(또는 조직된 악의적 엔터티의 연합)가 계산의 대부분을 제어합니다. 블록 생성에 전력을 할당합니다. 실제로 그러한 개체는 blockchain을 수정할 수 있습니다.원하는 대로 결제 내역을 다시 작성하세요. 특히, 결제가 가능합니다 \(\wp\), 지불한 혜택을 얻은 다음 \(\wp\)의 흔적을 "삭제"합니다. 기술적인 문제 1: 전산 폐기물 Bitcoin의 proof-of-work 차단 접근 방식 생성에는 엄청난 양의 계산이 필요합니다. 현재는 몇백개만 가지고 수천 개의 공개 키가 시스템에 존재하므로 가장 강력한 상위 500대 슈퍼컴퓨터만 소집할 수 있습니다. Bitcoin 플레이어에게 필요한 총 계산 능력의 12.8%에 불과합니다. 이 훨씬 더 많은 사용자가 시스템에 참여하면 계산량이 크게 증가합니다. 기술적 문제 2: 권력의 집중 오늘은 엄청난 물량으로 인해 일반 데스크톱을 사용하여 새 블록을 생성하려는 사용자(컴퓨터는 물론이고 계산이 필요함) 휴대폰), 돈을 잃을 것으로 예상됩니다. 실제로 일반 컴퓨터로 새로운 블록을 계산하기 위해서는, 계산에 전력을 공급하는 데 필요한 전기의 예상 비용이 예상 보상을 초과합니다. 특별히 제작된 컴퓨터 풀("새 블록 채굴" 외에는 아무 작업도 수행하지 않음)만 사용하여 새로운 블록을 생성하여 수익을 창출할 수 있을 것으로 기대할 수 있습니다. 따라서 오늘날에는 사실상 두 가지가 있습니다. 분리된 사용자 클래스: 결제만 하는 일반 사용자와 전문 채굴 풀, 새로운 블록만 검색합니다. 따라서 최근 블록의 전체 컴퓨팅 성능이 세대는 단 5개의 풀 내에 있습니다. 그러한 조건에서, 대부분의 사람들이 계산 능력이 정직하다는 것은 신뢰도가 떨어집니다. 기술적 문제 3: 모호함 Bitcoin에서 blockchain은 반드시 고유할 필요는 없습니다. 과연 최신 부분은 종종 분기됩니다. blockchain은 -예를 들어- B1, . . . , Bk, B′ k+1, B' k+2에 따르면 한 명의 사용자와 B1, . . . , Bk, B′′ k+1, B′′ k+2, B′′ 다른 사용자에 따르면 k+3입니다. 여러 블록이 완료된 후에만 체인에 추가되면 처음 k + 3개 블록이 동일할 것이라고 합리적으로 확신할 수 있습니까? 모든 사용자에게. 따라서 마지막 블록에 포함된 지불금에 즉시 의존할 수는 없습니다. 체인. 블록이 충분히 깊어지는지 기다려 보는 것이 더 현명합니다. blockchain 따라서 충분히 안정적입니다. 이와 별도로 Bitcoin.1에 대해 법 집행 및 통화 정책에 대한 우려도 제기되었습니다. 1.2 Algorand, 간단히 말해서 설정 Algorand은 매우 어려운 환경에서 작동합니다. 간략하게, (a) 허가 없는 환경과 허가된 환경. Algorand은(는) 효율적이고 안전하게 작동합니다. 완전히 허가가 없는 환경에서 임의로 많은 사용자가 가입할 수 있습니다. 어떤 종류의 심사나 허가 없이 언제든지 시스템에 접근할 수 있습니다. 물론 Algorand는 작동합니다. 허가된 환경에서는 더욱 좋습니다. 1Bitcoin 결제가 제공하는 (유사) 익명성은 자금 세탁 및/또는 자금 조달에 악용될 수 있습니다. 범죄인이나 테러리스트 조직의 원칙적으로 완벽한 기능을 제공하는 전통적인 지폐 또는 금괴 익명성은 동일한 문제를 제기해야 하지만 이러한 통화의 물리적 특성으로 인해 통화 속도가 크게 느려집니다. 법 집행 기관의 어느 정도 모니터링을 허용하기 위한 전송입니다. “돈을 인쇄하는” 능력은 국민국가의 가장 기본적인 권력 중 하나입니다. 따라서 원칙적으로 대규모 독립적으로 변동하는 통화를 채택하면 이러한 힘이 줄어들 수 있습니다. 그러나 현재 Bitcoin은(는) 존재하지 않습니다. 정부 통화 정책에 대한 위협이며, 확장성 문제로 인해 결코 위협이 되지 않을 수도 있습니다.(b) 매우 적대적인 환경. Algorand은 매우 강력한 적을 견딜 수 있습니다. (1) 원하는 사용자를 원하는 시간에 즉시 부패시킵니다. 무허가 환경에서는 시스템 자금의 2/3가 정직한 사용자에게 귀속됩니다. (한 허가된 환경에서는 돈에 관계없이 사용자의 2/3가 정직하면 충분합니다.) (2) 모든 부패한 사용자를 완전히 통제하고 완벽하게 조정합니다. 그리고 (3) 각 메시지가 정직한 사용자에 의해 전송된 경우 모든 메시지 전달을 예약합니다. m의 크기에만 의존하는 \(\lambda\)m 시간 내에 정직한 사용자의 95%에 도달합니다. 주요 속성 Algorand에 우리의 강력한 적의 존재에도 불구하고 • 필요한 계산량이 최소화됩니다. 기본적으로 사용자 수에 관계없이 시스템에 존재하는 경우, 1,500명의 사용자 각각은 최대 몇 초의 작업을 수행해야 합니다. 계산. • 새 블록은 10분 이내에 생성되며 사실상 blockchain을 떠나지 않습니다. 예를 들어, 첫 번째 실시예에서는 블록을 생성하는 데 걸리는 시간이 더 짧을 것으로 예상됩니다. 여기서 Λ는 P2P 가십에서 블록을 전파하는 데 필요한 시간입니다. 어떤 블록 크기를 선택하든 관계없이 \(\lambda\)는 1,500개의 200Blong 메시지를 전파하는 데 걸리는 시간입니다. (진정한 분산형 시스템에서 Λ는 본질적으로 본질적인 대기 시간이므로 Algorand 블록 생성의 제한 요소는 네트워크 속도입니다.) 두 번째 실시예는 실제로 실험적으로 ( ? 에 의해) 테스트되었는데, 이는 40분 이내에 블록이 생성됨을 나타냅니다. 초. 또한 Algorand의 blockchain은 무시할 수 있는 확률(예: 1 미만)로만 포크할 수 있습니다. 1조 단위), 따라서 사용자는 새 블록에 포함된 지불금을 다음과 같이 중계할 수 있습니다. 블록이 나타납니다. • 모든 권한은 사용자 자신에게 있습니다. Algorand은 진정한 분산 시스템입니다. 특히, 어떤 거래를 통제할 수 있는 외생적 실체(Bitcoin의 "채굴자")가 없습니다. 인식됩니다. Algorand의 기술. 1. 새롭고 빠른 비잔틴 합의 프로토콜. Algorand은 다음을 통해 새 블록을 생성합니다. 새로운 암호화, 메시지 전달, 바이너리 비잔틴 계약(BA) 프로토콜 BA⋆. 프로토콜 BA⋆(곧 논의할) 몇 가지 추가 속성을 충족할 뿐만 아니라 속도도 매우 빠릅니다. 대략적으로 말하면 이진 입력 버전은 3단계 루프로 구성됩니다. 여기서 플레이어 i는 단일 다른 모든 플레이어에게 mi 메시지를 보내세요. 더 많은 기능을 갖춘 완전하고 동기식 네트워크에서 실행됩니다. 플레이어의 2/3 이상이 정직하고 확률이 1/3보다 크면 각 루프 후에 프로토콜이 끝납니다. 합의. (우리는 프로토콜 BA⋆가 비잔틴 합의의 원래 정의를 충족한다는 점을 강조합니다. Pease, Shostak 및 Lamport [31]의 약화 없이.) Algorand은 이 바이너리 BA 프로토콜을 활용하여 다양한 통신에서 합의에 도달합니다. 각각의 새로운 블록에 모델을 추가합니다. 그런 다음 합의된 블록은 미리 정해진 수의 블록을 통해 인증됩니다. 적절한 검증자의 디지털 서명이 네트워크를 통해 전파됩니다. 2. 암호화 정렬. 매우 빠르지만 프로토콜 BA⋆는 더 많은 이점을 얻을 수 있습니다. 수백만 명의 사용자가 플레이할 때의 속도. 따라서 Algorand는 BA⋆의 플레이어를 선택합니다.모든 사용자 집합 중 훨씬 작은 하위 집합입니다. 다양한 종류의 권력 집중을 피하기 위해 문제가 발생하면 BA⋆의 새로운 실행을 통해 각각의 새로운 블록 Br이 구성되고 합의됩니다. 별도의 선택된 검증자 세트인 SV r에 의해. 원칙적으로 그러한 세트를 선택하는 것은 다음과 같이 어려울 수 있습니다. Br을 직접 선택합니다. 우리는 포용이라는 접근 방식을 통해 이러한 잠재적인 문제를 해결합니다. Maurice Herlihy의 통찰력 있는 제안, 암호화 분류. 정렬은 다음과 같은 관행입니다. 대규모의 적격 개인 중에서 무작위로 공무원을 선택합니다 [6]. (분류가 실행되었습니다. 수 세기에 걸쳐, 예를 들어 아테네, 피렌체, 베네치아 공화국이 그랬습니다. 현대 사법에서는 시스템에서는 배심원을 선택하는 데 종종 무작위 선택이 사용됩니다. 최근에는 무작위 샘플링도 이루어지고 있습니다. David Chaum [9]이 선거를 옹호했습니다.) 물론 분산형 시스템에서는 각 검증자 세트 SV r의 구성원을 무작위로 선택하는 데 필요한 무작위 코인은 문제가 있습니다. 따라서 우리는 모든 사용자 집단에서 각 검증자 세트를 선택하기 위해 암호화에 의존합니다. 자동(즉, 메시지 교환이 필요하지 않음)과 무작위가 보장되는 방식입니다. 본질적으로 우리는 이전 블록에서 자동으로 결정하기 위해 암호화 기능을 사용합니다. 새로운 블록 Br을 제안하는 리더인 사용자 Br-1과 검증자 세트 SV r이 존재한다. 리더가 제안한 블록에 대한 합의에 도달하는 책임. 악의적인 사용자가 영향을 미칠 수 있으므로 Br−1의 구성(예: 지불금 중 일부를 선택하여)을 특별히 구성하고 사용합니다. r번째 블록의 리더와 검증자 세트 SV r이 실제로 무작위로 선택되었습니다. 3. 수량(종자) Qr. 우리는 blockchain의 마지막 블록 Br−1을 사용하여 다음을 수행합니다. 새로운 블록 구축을 담당할 다음 검증자 세트와 리더를 자동으로 결정합니다. 브르. 이 접근 방식의 문제점은 단지 약간 다른 지불 방법을 선택함으로써 이전 라운드에서는 우리의 강력한 적이 다음 리더에 대해 엄청난 통제권을 얻습니다. 그 사람이 시스템에서 플레이어/돈의 1/1000만 통제하면 모든 리더가 악의적이다. (직관 섹션 4.1을 참조하십시오.) 이 과제는 모든 proof-of-stake 접근 방식의 핵심입니다. 그리고 우리가 아는 한, 지금까지 만족스럽게 해결되지 않았습니다. 이러한 과제를 해결하기 위해 우리는 의도적으로 별도의 신중한 솔루션을 구축하고 지속적으로 업데이트합니다. 정의된 양 Qr은 예측할 수 없을 뿐만 아니라, 우리의 방식으로 영향을 미칠 수도 없습니다. 강력한 적. Algorand이 선택한 Qr에서 나온 것이므로 Qr을 r번째 시드로 참조할 수 있습니다. 비밀 암호화 분류를 통해 생성에 특별한 역할을 할 모든 사용자 번째 블록. 4. 비밀 암호화 분류 및 비밀 자격 증명. 검증자 세트와 담당 리더를 선택하기 위해 현재 마지막 블록인 Br−1을 무작위로 명확하게 사용 새로운 블록인 Br을 만드는 것만으로는 충분하지 않습니다. Br을 생성하기 전에 Br−1을 알아야 하므로, Br−1에 포함된 마지막 비유동량 Qr−1도 알아야 합니다. 따라서 블록 Br을 계산하는 검증자이자 리더입니다. 그러므로 우리의 강력한 대적 Br에 대한 논의에 참여하기 전에 즉시 그들 모두를 부패시킬 수 있습니다. 그들이 인증하는 블록에 대한 모든 권한을 갖습니다. 이 문제를 방지하기 위해 리더(실제로 검증자도 포함)는 자신의 역할을 비밀리에 학습하지만 실제로 해당 역할을 맡은 모든 사람에게 증명할 수 있는 적절한 자격 증명을 계산합니다. 언제 사용자는 자신이 다음 블록의 리더라는 것을 개인적으로 깨닫고 먼저 비밀리에 자신의 블록을 조립합니다. 자신이 제안한 새 블록을 자신의 블록과 함께 (인증할 수 있도록) 전파합니다. 자격 증명. 이렇게 하면 대적은 다음 공격의 리더가 누구인지 즉시 깨닫게 될 것입니다. 블록은 즉시 그를 부패시킬 수 있지만 적이 그렇게 하기에는 너무 늦을 것입니다. 새로운 블록 선택에 영향을 미칩니다. 실제로 그는 지도자의 메시지를 더 이상 “회신”할 수 없습니다.강력한 정부가 WikiLeaks에 의해 바이러스로 퍼진 메시지를 다시 병에 담을 수는 없습니다. 앞으로 살펴보겠지만 리더의 고유성을 보장할 수 없으며 모든 사람이 리더가 누구인지 확신할 수도 없습니다. 리더 자신도 포함되어 있습니다! 그러나 Algorand에서는 명확한 진행이 보장됩니다. 5. 플레이어 교체 가능성. 새로운 블록을 제안한 후 리더는 "죽는" 것이 나을 수도 있습니다. 대적에 의해 부패됨) 그의 임무가 끝났기 때문입니다. 그러나 SV r의 검증자에게는 상황이 덜합니다. 간단하다. 실제로 충분히 많은 서명을 받은 새로운 블록 Br의 인증을 담당하게 되면서, 그들은 먼저 리더가 제안한 블록에 대해 비잔틴 합의를 실행해야 합니다. 문제는, 아무리 효율적이더라도 BA⋆에는 여러 단계와 2/3 이상의 플레이어의 정직성이 필요합니다. 이는 효율성상의 이유로 BA⋆의 플레이어 세트가 작은 세트 SV r로 구성되기 때문에 문제가 됩니다. 전체 사용자 집합 중에서 무작위로 선택됩니다. 그러므로 우리의 강력한 대적은 비록 할 수는 없지만 전체 사용자의 1/3을 부패시키면 SV r의 모든 구성원을 확실히 부패시킬 수 있습니다! 다행스럽게도 우리는 P2P 방식으로 메시지를 전파하여 실행되는 프로토콜 BA⋆가 플레이어 대체 가능하다는 것을 증명할 것입니다. 이 새로운 요구 사항은 프로토콜이 정확하고 각 단계가 완전히 새롭고 무작위로 실행되더라도 효율적으로 합의에 도달합니다. 독립적으로 선택된 플레이어 세트입니다. 따라서 수백만 명의 사용자가 있는 각각의 소규모 플레이어 세트는 BA⋆ 단계와 연관된 것은 아마도 다음 세트와 빈 교차점을 가질 것입니다. 게다가 BA⋆의 서로 다른 단계에 있는 플레이어 세트는 아마도 완전히 다른 단계를 가질 것입니다. 카디널리티. 게다가 각 세트의 멤버들은 다음 세트의 플레이어가 누구인지 알 수 없습니다. 내부 상태를 비밀리에 전달하지 마십시오. 교체 가능한 플레이어 속성은 실제로 역동적이고 매우 강력한 적을 물리치는 데 중요합니다. 우리가 상상하는 적. 우리는 교체 가능한 플레이어 프로토콜이 많은 분야에서 결정적인 역할을 할 것이라고 믿습니다. 컨텍스트와 애플리케이션. 특히 소규모 하위 프로토콜을 안전하게 실행하는 데 중요합니다. 역동적인 적과 함께 더 넓은 플레이어 세계에 포함되어 있습니다. 전체 플레이어의 작은 부분은 더 작은 규모의 모든 플레이어를 손상시키는 데 어려움이 없습니다. 하위 프로토콜. 추가 속성/기술: 게으른 정직함 정직한 사용자는 자신이 처방한 것을 따릅니다. 여기에는 온라인 상태 및 프로토콜 실행이 포함됩니다. 이후 Algorand에는 적당한 수준만 있습니다. 계산 및 통신 요구 사항, 온라인 상태 및 프로토콜 실행 배경”은 큰 희생이 아닙니다. 물론, 정직한 플레이어들 사이에는 몇 가지 "부재"가 있습니다. 갑작스러운 연결 끊김 또는 재부팅 필요로 인해 자동으로 허용됩니다(왜냐하면 우리는 항상 그러한 소수의 플레이어를 일시적으로 악의적인 것으로 간주할 수 있습니다. 그러나 지적하자면, Algorand은 정직한 사용자가 사용할 수 있는 새로운 모델에서 작동하도록 간단하게 조정할 수 있습니다. 대부분의 경우 오프라인 상태입니다. 우리의 새로운 모델은 다음과 같이 비공식적으로 소개될 수 있습니다. 게으른 정직. 대략적으로 말해서, 사용자 i는 (1) 자신이 규정한 모든 사항을 따르는 경우 게으르지만 정직합니다. 지침, 프로토콜에 참여하도록 요청받은 경우, 그리고 (2) 참여하도록 요청받은 경우 프로토콜에 적용하는 경우는 드물며 적절한 사전 통지가 있어야 합니다. 정직함에 대해 그렇게 여유로운 개념을 갖고 있으면, 우리는 정직한 사람들이 정직할 것이라고 더욱 확신할 수 있습니다. 필요할 때 바로 사용할 수 있으며, Algorand는 이러한 경우에 특정 시점에 시스템이 안전하게 작동하는 경우 참여하는 플레이어의 대다수는 악의적입니다.1.3 밀접하게 관련된 작품 작업 증명 접근 방식(인용된 [29] 및 [4]과 같은)은 우리의 접근 방식과 상당히 직교합니다. 그래서 메시지 전달 비잔틴 합의 또는 실제적인 비잔틴 내결함성을 기반으로 한 접근 방식 (인용된 [8]과 유사). 실제로 이러한 프로토콜은 모든 사용자 집합에서 실행될 수 없으며, 우리 모델에서는 적절하게 작은 사용자 집합으로 제한됩니다. 사실 우리의 강력한 적 실제로 BA 프로토콜을 실행하는 데 사용되는 소규모 세트에 관련된 모든 사용자를 즉시 손상시킵니다. 우리의 접근 방식은 사용자의 "권한"이 있다는 의미에서 지분 증명 [2]과 관련된 것으로 간주될 수 있습니다. 블록 구축에서 그들이 시스템에서 소유한 돈에 비례합니다. 그들이 "에스크로"에 넣은 돈). 우리 논문에 가장 가까운 논문은 Pass and Shi [30]의 Sleepy Consensus Model입니다. 피하기 위해 proof-of-work 접근 방식에는 많은 계산이 필요하기 때문에 그들의 논문은 (그리고 친절하게도) 크레딧) Algorand의 비밀 암호화 분류입니다. 이 중요한 측면의 공통점을 가지고 여러 우리 논문들 사이에는 상당한 차이가 존재합니다. 특히, (1) 해당 설정은 허가된 것뿐입니다. 이와 대조적으로 Algorand도 무허가 시스템입니다. (2) Nakamoto 스타일 프로토콜을 사용하므로 blockchain 포크가 자주 발생합니다. 비록 proof-of-work을 생략하고 프로토콜에서 비밀리에 선택된 리더에게 기간을 연장하도록 요청합니다. 가장 긴 유효 기간(더 풍부한 의미에서) blockchain. 따라서 포크는 불가피하며 이를 기다려야 합니다. 블록은 체인에서 충분히 "깊습니다". 실제로, 적과 함께 목표를 달성하기 위해 적응형 손상이 가능하려면 블록이 폴리(N) 깊이여야 합니다. 여기서 N은 시스템의 총 사용자 수입니다. 블록이 생성될 수 있다고 가정하더라도 1분 안에 N = 100만 명의 사용자가 있다면 약 200만 년을 기다려야 합니다. 블록은 N 2-deep이 되고, 블록은 N-deep이 되기까지 약 2년이 걸립니다. 대조적으로, Algorand의 blockchain은 적의 부패에도 불구하고 무시할 수 있는 확률로만 포크됩니다. 사용자는 즉시 적응할 수 있으며 새로운 블록은 즉시 신뢰할 수 있습니다. (3) 개별 비잔틴 계약을 처리하지 않습니다. 어떤 의미에서 그들은 단지 보장합니다. “가치의 증가하는 순서에 대한 최종 합의”. 그들의 프로토콜은 상태 복제 프로토콜입니다. BA보다 중요하며 개별 관심 가치에 대한 비잔틴 합의에 도달하는 데 사용할 수 없습니다. 이와 대조적으로 Algorand은 원하는 경우 한 번만 사용하여 수백만 명의 사용자가 신속하게 특정 관심 가치에 대한 비잔틴 합의에 도달합니다. (4) 약하게 동기화된 시계가 필요합니다. 즉, 모든 사용자의 시계는 약간의 시간만큼 오프셋됩니다. δ. 대조적으로, Algorand에서 시계는 (본질적으로) 동일한 "속도"만 있으면 됩니다. (5) 그들의 프로토콜은 게으르지만 정직한 사용자 또는 정직한 대다수의 온라인 사용자에게 작동합니다. 그들은 정직한 사용자가 한꺼번에 오프라인이 되는 문제를 제기한 데 대해 Algorand의 공로를 인정합니다. 이에 대응하여 게으른 정직 모델을 제시합니다. 그들의 프로토콜은 게으른 환경에서만 작동하는 것이 아닙니다. 정직 모델뿐만 아니라 적이 어떤 사용자를 선택하는지를 선택하는 적의 졸린 모델에서도 마찬가지입니다. 항상 대부분의 온라인 사용자가 정직하다면 온라인이고 오프라인입니다.2 2원본 버전의 논문에서는 실제로 적대적 졸음 모델의 보안만 고려했습니다. 는 그들의 버전보다 앞선 Algorand의 원래 버전은 또한 주어진 대다수의 온라인 플레이어는 항상 정직하지만 게으른 정직 모델을 선호하여 이를 고려 대상에서 명시적으로 제외했습니다. (예를 들어, 어느 시점에서 정직한 사용자의 절반이 오프라인으로 전환하기로 선택하면 대다수의 사용자는 온라인은 매우 악의적일 수 있습니다. 따라서 이러한 일이 발생하는 것을 방지하기 위해 대적은 자신의 대부분의 힘을 동원해야 합니다. 타락한 플레이어도 오프라인 상태가 되도록 유도합니다. 이는 명백히 그 자신의 이익에 반하는 것입니다.) 게으르지만 정직한 플레이어의 경우 온라인 사용자의 대다수가 항상 악의적인 경우에는 제대로 작동합니다. 그렇기 때문에 그렇습니다. 어느 시점에 자신이 결정적인 역할을 하게 될 것이라는 점을 알고 있는 충분한 수의 정직한 플레이어가 그 순간에 오프라인 상태가 되어서는 안 되며, 대적에 의해 강제로 오프라인 상태가 될 수도 없습니다. 왜냐하면 대적은 누가 공격을 하는지 모르기 때문입니다. 중요한 정직한 플레이어가 될 수 있습니다.(6) 단순하고 정직한 다수가 필요합니다. 대조적으로, Algorand의 현재 버전에는 다음이 필요합니다. 2/3의 정직한 다수. 우리와 가까운 또 다른 논문은 Ouroboros: 입증 가능한 보안 지분 증명 블록체인 프로토콜입니다. Kiayias, Russell, David 및 Oliynykov [20] 작성. 또한 그들의 시스템은 우리 시스템 이후에 나타났습니다. 그것은 또한 증명 가능한 방식으로 작업 증명을 생략하기 위해 암호화 분류를 사용합니다. 그러나 그들의 시스템은 다시 말해 포크가 불가피하고 빈번한 나카모토 스타일 프로토콜입니다. (그러나 그들의 모델에서는 블록이 졸린 합의 모델만큼 깊어질 필요는 없습니다.) 더욱이, 그들의 시스템은 다음과 같은 가정에 의존합니다: 저자 자신의 말에 따르면, “(1) 네트워크는 고도로 동기식입니다. (2) 선택된 이해관계자의 대부분을 필요에 따라 사용할 수 있습니다. 각 시대에 참여하기 위해, (3) 이해관계자가 오랫동안 오프라인 상태를 유지하지 않고, (4) 부패의 적응성은 선형 라운드로 측정되는 작은 지연의 영향을 받습니다. 보안 매개변수입니다.” 대조적으로 Algorand은(는) 압도적인 확률로 포크가 없으며 이 4가지 가정 중 어느 것에도 의존하지 않습니다. 특히 Algorand에서 공격자는 다음을 수행할 수 있습니다. 그가 제어하려는 사용자를 즉시 부패시킵니다.

기본 사항

2.1 암호화 프리미티브 이상적인 해싱. 우리는 효율적으로 계산 가능한 암호화 hash 함수 H에 의존할 것입니다. 임의로 긴 문자열을 고정 길이의 이진 문자열로 매핑합니다. 오랜 전통을 이어가며 모델로 활동하고 있습니다. H는 무작위 oracle로서 본질적으로 가능한 각 문자열 s를 무작위로 매핑하는 함수입니다. 선택한 길이의 이진 문자열 H(s)를 독립적으로 선택한(그리고 고정된) 본 논문에서 H는 256비트의 긴 출력을 갖는다. 실제로 그러한 길이는 충분히 짧습니다. 시스템을 안전하게 만들 수 있을 만큼 충분히 길고 효율적입니다. 예를 들어, 우리는 H가 충돌 복원력을 갖기를 원합니다. 즉, H(x) = H(y)가 되는 두 개의 서로 다른 문자열 x와 y를 찾는 것이 어려워야 합니다. H가 256비트 길이의 출력을 갖는 임의의 oracle인 경우 이러한 문자열 쌍을 찾는 것은 실제로 어렵다. (무작위로 시도하고 생일 역설에 의존하면 2256/2 = 2128이 필요합니다. 재판.) 디지털 서명. 디지털 서명을 통해 사용자는 서로 정보를 인증할 수 있습니다. 비밀 키를 공유하지 않고 공유합니다. 디지털 서명 체계는 세 가지 빠른 서명으로 구성됩니다. 알고리즘: 확률적 키 생성기 G, 서명 알고리즘 S, 검증 알고리즘 V. 충분히 높은 정수인 보안 매개변수 k가 주어지면 사용자 i는 G를 사용하여 다음 쌍을 생성합니다. k-비트 키(즉, 문자열): "공개" 키 pki 및 일치하는 "비밀" 서명 키 스키. 결정적으로, 공개 키는 해당 비밀 키를 "배신"하지 않습니다. 즉, pki에 대한 지식이 있어도 나 말고 다른 사람은 천문학적 시간보다 짧은 시간에 스키를 계산할 수 있습니다. 사용자 i는 스키를 사용하여 메시지에 디지털 서명을 합니다. 가능한 각 메시지(이진 문자열) m에 대해 i가 먼저 hashes m 그런 다음 입력 H(m)에 대해 알고리즘 S를 실행하고 k비트 문자열을 생성하기 위해 스키를 실행합니다. sigpki(m) \(\triangleq\)S(H(m), 스키) .3 3H는 충돌 복원력이 있기 때문에 하나에 서명함으로써 다른 서명에 "우연히 서명"하는 것은 사실상 불가능합니다. 메시지 m'.이진 문자열 sigpki(m)은 i의 m 디지털 서명(pki에 상대적)이라고 하며 다음과 같이 될 수 있습니다. 공개 키 pki가 문맥에서 명확할 때 sigi(m)로 더 간단하게 표시됩니다. pki를 아는 사람은 누구나 이를 사용하여 i가 생성한 디지털 서명을 확인할 수 있습니다. 구체적으로, 에 (a) 플레이어 i의 공개 키 pki, (b) 메시지 m, (c) 문자열 s, 즉 i가 주장하는 문자열을 입력합니다. 메시지 m의 디지털 서명에 대해 검증 알고리즘 V는 YES 또는 NO를 출력합니다. 디지털 서명 체계에 필요한 속성은 다음과 같습니다. 1. 적법한 서명은 항상 확인됩니다. s = sigi(m)이면 V(pki, m, s) = Y ES입니다. 그리고 2. 디지털 서명은 위조하기 어렵습니다. 스키에 대한 지식이 없으면 그러한 문자열을 찾는 데 시간이 걸립니다. i가 서명하지 않은 메시지 m의 경우 V(pki, m, s) = Y ES는 천문학적으로 길다. (Goldwasser, Micali 및 Rivest [17]의 강력한 보안 요구 사항에 따라 이는 사실입니다. 다른 메시지의 서명을 얻을 수 있는 경우에도 마찬가지입니다.) 따라서 다른 사람이 자신을 대신하여 메시지에 서명하는 것을 방지하려면 플레이어가 자신의 메시지를 보관해야 합니다. 키 스키 비밀(따라서 "비밀 키"라는 용어)에 서명하고 누구나 메시지를 확인할 수 있도록 합니다. 그가 서명하면 나는 그의 키 pki(따라서 "공개 키"라는 용어)를 공개하는 데 관심이 있습니다. 일반적으로 메시지 m은 서명 sigi(m)에서 검색할 수 없습니다. 사실상 거래를 하려면 개념적으로 편리한 "검색 가능성" 속성을 충족하는 디지털 서명을 사용합니다(즉, 서명자와 메시지가 서명에서 쉽게 계산될 수 있도록 보장합니다. SIGpki(m) = (i, m, sigpki(m)) 그리고 SIGi(m) = (i, m, sigi(m)), pki가 명확한 경우. 고유한 디지털 서명. 우리는 또한 다음을 만족하는 디지털 서명 체계(G, S, V)를 고려합니다. 추가 속성을 따릅니다. 3. 독창성. 다음과 같은 문자열 pk′, m, s 및 s′를 찾는 것은 어렵습니다. s̸= s′ 그리고 V(pk′, m, s) = V(pk′, m, s′) = 1입니다. (고유성 속성은 합법적으로 생성되지 않은 문자열 pk'에도 적용됩니다. 공개 키. 그러나 특히 고유성 속성은 다음을 사용하는 경우 다음을 의미합니다. 일치하는 비밀 키 sk와 함께 공개 키 pk를 계산하기 위해 지정된 키 생성기 G, 따라서 sk를 알았더라면 그가 두 가지 다른 디지털 장치를 찾는 것도 본질적으로 불가능했을 것입니다. pk와 관련된 동일한 메시지의 서명.) 비고 • 고유 서명부터 검증 가능한 무작위 함수까지. 디지털에 비해 고유성 속성이 있는 서명 체계에서 m \(\to\) H(sigi(m)) 매핑은 다음과 연관됩니다. 가능한 각 문자열 m, 무작위로 선택된 고유한 256비트 문자열, 그리고 이 문자열의 정확성 서명 sigi(m)이 주어지면 매핑이 증명될 수 있습니다. 즉 고유성 속성을 본질적으로 만족시키는 이상적인 hashing 및 전자서명 방식이다. 소개된 바와 같이 검증 가능한 무작위 함수의 기본 구현을 제공합니다. Micali, Rabin 및 Vadhan [27]. (원래 구현은 필연적으로 더 복잡했습니다. 이상적인 hashing에 의존하지 않았기 때문입니다.)• 디지털 서명에 대한 세 가지 요구 사항. Algorand에서 내가 디지털에 의존하는 사용자는 서명 (1) 본인의 결제를 인증합니다. 이 애플리케이션에서 키는 "장기적"일 수 있습니다(예: 장기간에 걸쳐 많은 메시지에 서명) 일반적인 서명 체계에서 비롯됩니다. (2) i가 라운드 r의 일부 단계 s에서 행동할 자격이 있음을 증명하는 자격 증명을 생성합니다. 여기, 키는 장기적일 수 있지만 고유성 속성을 충족하는 체계에서 나와야 합니다. (3) 그가 행동하는 각 단계에서 내가 보내는 메시지를 인증합니다. 여기서 키는 다음과 같아야 합니다. 임시적(즉, 처음 사용 후 폐기됨)이지만 일반 서명 체계에서 나올 수 있습니다. • 적은 비용의 단순화. 단순화를 위해 각 사용자 i가 단일 장기 키를 갖는 것을 상상합니다. 따라서 이러한 키는 고유성을 지닌 서명 체계에서 나와야 합니다. 재산. 이러한 단순성은 계산 비용이 적습니다. 일반적으로 실제로 고유한 디지털 서명은 일반 서명보다 생성 및 확인 비용이 약간 더 비쌉니다. 2.2 이상적인 공공 원장 Algorand은 이상적인 공개 원장을 기반으로 다음 결제 시스템을 모방하려고 합니다. 1. 초기 상태. 돈은 개별 공개 키(개인적으로 생성되고 사용자 소유). pk1, . . . , pkj는 초기 공개 키이고 a1, . . . , j 각각의 초기 금액 단위의 경우 초기 상태는 다음과 같습니다. S0 = (pk1, a1), . . . , (pkj, aj) , 이는 시스템 내에서 상식으로 간주됩니다. 2. 지불. pk를 현재 0개 이상의 화폐 단위를 갖는 공개 키로 두고, pk′는 또 다른 공개 키로 둡니다. 키, 그리고 a′는 a보다 크지 않은 음수가 아닌 숫자입니다. 그렇다면 (유효한) 결제는 디지털 결제입니다. pk를 기준으로 a' 화폐 단위를 pk에서 pk'로 함께 전송하는 것을 지정하는 서명 몇 가지 추가 정보와 함께. 기호에서는, \(\wp\)= SIGpk(pk, pk′, a′, I, H(I)), 유용하지만 민감하지 않은 추가 정보(예: 시간 정보 및 결제 식별자) 및 민감한 것으로 간주되는 추가 정보(예: 지불 이유, pk 및 pk′ 소유자의 신원 등). 우리는 pk(또는 그 소유자)를 지불인으로, 각 pk'(또는 그 소유자)를 수취인으로, a'를 다음과 같이 지칭합니다. 결제 금액 \(\wp\). 결제를 통한 무료 가입. 사용자는 원할 때마다 시스템에 참여할 수 있습니다. 자신의 공개/비밀 키 쌍을 생성합니다. 따라서, 에 나타나는 공개키 pk'는 위의 지불은 돈을 "소유"한 적이 없는 새로 생성된 공개 키일 수 있습니다. 전에. 3. 매직 레저. 이상화된 시스템에서는 모든 결제가 유효하며 변조 방지 기능으로 표시됩니다. 모든 사람이 볼 수 있도록 "하늘에 게시된" 지불 세트 목록 L: L = 1페이, 2페이, . . . ,각 블록 PAY r+1은 블록 출현 이후 이루어진 모든 지불 세트로 구성됩니다. 지불 r. 이상적인 시스템에서는 고정된(또는 유한한) 시간이 지나면 새로운 블록이 나타납니다. 논의. • 더 많은 일반 지불 및 미사용 거래 출력. 보다 일반적으로 공개 키 pk가 a 금액을 소유한 경우 pk의 유효한 지불 \(\wp\)을 통해 금액 a′을 이체할 수 있습니다. 1, 아' 2, . . ., 각각 키 pk'에 1, PK′ 2, . . ., P가 있는 한 자아′ j \(\leq\)a. Bitcoin 및 유사한 시스템에서는 공개 키 pk가 소유한 자금이 별도의 자산으로 분리됩니다. 금액, pk가 지급한 금액은 해당 분리된 금액 전체를 이체해야 합니다. pk가 a의 a' < a 부분만 다른 키로 전송하려면 다음 키도 전송해야 합니다. 잔액, 사용되지 않은 트랜잭션 출력을 다른 키(아마도 pk 자체)로 보냅니다. Algorand은 금액이 분리된 키와도 작동합니다. 하지만, 그 부분에 집중하기 위해 Algorand의 새로운 측면으로 인해 더 단순한 결제 방식을 고수하는 것이 개념적으로 더 간단합니다. 그리고 그와 관련된 단일 금액을 갖는 키. • 현재 상태. 이상화된 계획은 현재에 대한 정보를 직접 제공하지 않습니다. 시스템 상태(즉, 각 공개 키에 얼마나 많은 화폐 단위가 있는지). 이 정보 Magic Ledger에서 추론할 수 있습니다. 이상적인 시스템에서는 활성 사용자가 최신 상태 정보를 지속적으로 저장하고 업데이트하며, 그렇지 않으면 처음부터 다시 작성해야 하거나 지난 번에 다시 작성해야 했을 것입니다. 그것을 계산했다. (이 백서의 다음 버전에서는 Algorand을 확장하여 사용자는 현재 상태를 효율적인 방식으로 재구성할 수 있습니다.) • 보안 및 "개인정보 보호". 디지털 서명은 누구도 결제를 위조할 수 없음을 보장합니다. 다른 사용자. 결제\(\wp\)에서는 공개키와 금액이 숨겨지지 않지만 민감한 정보는 정보는 나야. 실제로 \(\wp\)에는 H(I)만 나타나고 H는 이상적인 hash 함수이므로 H(I) 는 임의의 256비트 값이므로 내가 무엇을 더 잘했는지 알아낼 수 있는 방법이 없습니다. 단순히 추측하면 됩니다. 하지만 내가 어떤 사람인지 증명하기 위해(예: 지불 이유를 증명하기 위해) 지불자는 I를 공개할 수도 있습니다. 공개된 I의 정확성은 H(I)를 계산하여 확인할 수 있습니다. 그리고 그 결과 값을 \(\wp\)의 마지막 항목과 비교합니다. 실제로 H는 충돌 복원력이 있으므로 H(I) = H(I′)와 같은 두 번째 값 I′을 찾는 것은 어렵습니다. 2.3 기본 개념 및 표기법 키, 사용자 및 소유자 별도로 지정하지 않는 한, 각 공개 키(줄여서 "키")는 고유성을 지닌 디지털 서명 체계에 상대적이며 장기적입니다. 내가 조인하는 공개 키 이미 시스템에 있는 다른 공개 키 j가 i에 지불할 때 시스템이 작동합니다. 색상의 경우 키를 의인화합니다. 우리는 키 i를 "그"라고 부르며, 내가 정직하다고 말하고, 내가 보낸다고 말합니다. 메시지 등을 수신합니다. 사용자는 키의 동의어입니다. 키를 구별하고 싶을 때 해당 키가 속한 사람에 대해서는 각각 "디지털 키" 및 "소유자"라는 용어를 사용합니다. 무허가 및 허가 시스템. 디지털 키가 무료인 경우 시스템은 허가가 없습니다. 언제든지 가입할 수 있으며 소유자는 여러 개의 디지털 키를 소유할 수 있습니다. 그렇지 않으면 허가됩니다.고유한 표현 Algorand의 각 개체에는 고유한 표현이 있습니다. 특히, 각각은 {(x, y, z, . . . .) : x \(\in\)X, y \(\in\)Y, z \(\in\)Z, . . .}는 미리 지정된 방식으로 정렬됩니다. 예: 첫 번째 x에서 사전식으로, 그다음 y로, 등등. 동일 속도 클록 전역 시계는 없습니다. 오히려 각 사용자는 자신만의 시계를 갖습니다. 사용자 시계 어떤 방식으로든 동기화할 필요는 없습니다. 그러나 우리는 그것들이 모두 같은 속도를 가지고 있다고 가정합니다. 예를 들어, 사용자 i의 시계 기준으로 오후 12시라면, 기준으로는 오후 2시 30분일 수 있다. 다른 사용자 j의 시계는 i의 시계 기준으로 12시 1분, j의 시계 기준으로는 2시 31분입니다. j의 시계에. 즉, “모든 사용자에게 1분은 동일합니다(충분히, 본질적으로 동일함).” 라운드 Algorand은 논리 단위 r = 0, 1, 로 구성됩니다. . ., 라운드라고 합니다. 우리는 라운드를 표시하기 위해 지속적으로 위 첨자를 사용합니다. 숫자가 아닌 수량 Q를 나타냅니다. (예: 문자열, 공개 키, 집합, 디지털 서명 등)은 라운드 r을 참조하므로 간단히 Qr이라고 씁니다. Q가 실수인 경우에만(숫자로 해석할 수 있는 이진 문자열과 반대) 다음을 수행하십시오. 기호 r이 Q의 지수로 해석될 수 없도록 Q(r)을 씁니다. (a의 시작) 라운드 r > 0에서 모든 공개 키 세트는 PKr이고 시스템 상태는 다음과 같습니다. 선생님 = 엔 나, a(r) 나 , . . .  : 나는 \(\in\)PKro , 여기서 a(r) 나 공개 키 i에 사용할 수 있는 금액입니다. PKr은 다음에서 추론할 수 있습니다. Sr, Sr은 각 공개 키에 대해 다른 구성 요소를 지정할 수도 있습니다. i. 0 라운드의 경우 PK0은 초기 공개 키 집합이고 S0은 초기 상태입니다. PK0과 S0는 시스템에서 상식으로 간주됩니다. 단순화를 위해 라운드 r의 시작 부분에서 PK1, . . . , PKr 및 S1, . . . , 선생님 라운드 r에서 시스템 상태는 Sr에서 Sr+1로 전환됩니다. 라운드 r: Sr −→Sr+1. 결제 Algorand에서는 사용자가 지속적으로 결제를 합니다. 하위 섹션 2.7에 설명되어 있습니다. 사용자 i \(\in\)PKr의 결제 \(\wp\)는 동일한 형식과 의미를 갖습니다. 이상적인 시스템에서와 마찬가지로. 즉, \(\wp\)= SIGi(i, i′, a, I, H(I)) . 지불 \(\wp\)은 (1) 금액인 경우 r 라운드에서 개별적으로 유효합니다(간략히 r 라운드 지불). a는 a(r)보다 작거나 같습니다. i, 그리고 (2) r′ < r에 대해 공식 페이세트 PAY r′에는 나타나지 않습니다. (아래 설명과 같이 두 번째 조건은 \(\wp\)이 아직 유효하지 않음을 의미합니다. i의 라운드 r 지불 세트는 해당 금액의 합계가 최대 a(r)인 경우 집합적으로 유효합니다. 나. 지불 세트 라운드 R 지불 세트 P는 각 사용자 i에 대해 지불이 이루어지는 라운드 R 지불 세트입니다. P의 i(아마도 없음)는 집합적으로 유효합니다. 모든 round-r 페이세트의 집합은 PAY(r)입니다. 라운드 R P의 상위 집합이 라운드 R 지불 집합이 아닌 경우 지불 집합 P는 최대입니다. 우리는 실제로 지불 \(\wp\)이 라운드 \(\rho\), \(\wp\)= SIGi(\(\rho\), i, i′, a, I, H(I))를 지정하는 것을 제안합니다. 일부 고정된 음수가 아닌 정수 k에 대해 [\(\rho\), \(\rho\) + k] 외부의 모든 라운드에서는 유효할 수 없습니다. 4이것은 \(\wp\)가 "효과적"인지 확인하는 것을 단순화합니다(즉, 일부 급여 세트가 유효한지 여부를 결정하는 것을 단순화합니다) PAY r에는 \(\wp\)가 포함되어 있습니다. k = 0일 때 \(\wp\)= SIGi(r, i, i′, a, I, H(I)) 및 \(\wp\)/\(\in\)PAY r인 경우 \(\wp\)를 다시 제출해야 합니다.ffi공용지불세트 모든 라운드 r에 대해 Algorand은 (나중에 설명하는 방식으로) 공개적으로 선택합니다. 단일(비어 있을 수도 있음) 페이세트, PAY r, 라운드의 공식 페이세트. (본질적으로 PAY r은 "실제로" 발생한 라운드 R 지불.) 이상적인 시스템(및 Bitcoin)에서와 마찬가지로 (1) 새로운 사용자 j가 시스템에 들어갈 수 있는 유일한 방법입니다. 주어진 라운드 r의 공식 지불 세트 PAY r에 속하는 지불의 수령인입니다. 그리고 (2) PAY r은 현재 라운드 Sr에서 다음 라운드 Sr+1의 상태를 결정합니다. 상징적으로, PAY r : Sr −→Sr+1. 구체적으로, 1. 라운드 r + 1의 공개 키 세트인 PKr+1은 PKr의 합집합과 모든 키 세트로 구성됩니다. PAY r의 지불에 처음으로 나타나는 수취인 키; 그리고 2. 금액 a(r+1) 나 라운드 r + 1에서 사용자 i가 소유한 것은 ai(r)의 합입니다. 즉, 이전 라운드에서 내가 소유한 금액(i ̸\(\in\)PKr인 경우 0) — 및 금액의 합계 PAY r의 지불에 따라 i에게 지불됩니다. 요약하자면, 이상적인 시스템에서와 같이 각 상태 Sr+1은 이전 지불 내역에서 공제 가능합니다. 지불 0, . . . , 지불 r. 2.4 블록과 검증된 블록 Algorand0에서 라운드 r에 해당하는 블록 Br은 r 자체를 지정합니다. 지불 세트 r 라운드, PAY r; 설명할 수량 Qr과 이전 블록의 hash인 H(Br−1)입니다. 따라서 고정된 블록 B0부터 시작하여 전통적인 blockchain을 갖게 됩니다. B1 = (1, 페이 1, Q0, H(B0)), B2 = (2, 지불 2, Q1, H(B1)), B3 = (3, 지불 3, Q2, H(B2)), . . . Algorand에서는 블록의 신뢰성이 실제로 별도의 정보로 보증됩니다. Br을 입증된 블록인 Br로 바꾸는 "블록 인증서" CERT r. 따라서 매직 레저는 검증된 블록의 순서로 구현되며, B1, B2, . . . 토론 앞으로 살펴보겠지만 CERT r은 H(Br)에 대한 디지털 서명 세트로 구성됩니다. SV r 회원의 대다수와 각 회원이 실제로 속해 있다는 증거 SV r에. 물론 블록 자체에 CERT r 인증서를 포함할 수도 있지만 찾을 수는 없습니다. 개념적으로는 별도로 유지하는 것이 더 깔끔합니다.) Bitcoin에서 각 블록은 특별한 속성을 충족해야 합니다. 즉, "다음의 해를 포함해야 합니다. 암호화 퍼즐”, 이는 블록 생성을 계산 집약적으로 만들고 포크를 모두 불가피하게 만듭니다. 그리고 드물지 않습니다. 대조적으로, Algorand의 blockchain에는 두 가지 주요 장점이 있습니다. 최소한의 계산으로, 압도적으로 높은 확률로 포크되지 않습니다. 각 블록 Bi는 blockchain에 들어가자마자 안전하게 최종 처리됩니다.2.5 허용 가능한 실패 확률 Algorand의 보안을 분석하기 위해 우리는 확률 F를 지정합니다. 무언가 잘못되었다는 사실을 받아들입니다(예: 검증자 세트 SV r이 정직한 다수를 갖지 않는다는 사실). 암호화 hash 함수 H의 출력 길이의 경우와 마찬가지로 F도 매개변수입니다. 그러나 이 경우와 마찬가지로 보다 직관적인 결과를 얻기 위해 F를 구체적인 값으로 설정하는 것이 유용하다는 것을 알았습니다. Algorand에서는 동시에 충분한 보안을 누리는 것이 실제로 가능하다는 사실을 이해합니다. 그리고 충분한 효율성. F는 원하는 대로 설정할 수 있는 매개변수임을 강조하기 위해 처음에는 두 번째 실시예는 각각 설정했습니다. F = 10−12 그리고 F = 10−18 . 토론 10-12는 실제로 1조분의 1보다 적다는 점에 유의하세요. 우리의 응용 프로그램에서는 F를 선택하는 것이 적절합니다. 10-12는 확률이 아니라는 점을 강조하겠습니다. 이를 통해 공격자는 정직한 사용자의 지불금을 위조할 수 있습니다. 모든 결제는 디지털 방식으로 이루어집니다. 서명되므로 적절한 디지털 서명을 사용하면 결제가 위조될 확률은 다음과 같습니다. 10-12보다 훨씬 낮으며 실제로 본질적으로 0입니다. 우리가 기꺼이 용납할 수 있는 나쁜 사건 확률 F는 Algorand의 blockchain 포크입니다. F로 설정하면 1분 길이의 라운드에서는 Algorand의 blockchain에서 포크가 드물게 발생할 것으로 예상됩니다. (대략) 190만 년에 한 번. 대조적으로, Bitcoin에서는 포크가 꽤 자주 발생합니다. 더 까다로운 사람은 F를 더 낮은 값으로 설정할 수 있습니다. 이를 위해 두 번째 실시예에서는 F를 10−18로 설정하는 것을 고려합니다. 참고로 1초마다 블록이 생성된다고 가정하면 1018입니다. 빅뱅부터 현재까지 우주가 우주에 걸린 추정 시간(초)입니다. 시간. 따라서 F = 10−18인 경우 블록이 1초 안에 생성되면 다음과 같은 기간을 예상해야 합니다. 포크를 볼 수 있는 우주. 2.6 적대적 모델 Algorand은 매우 적대적인 모델에서 보안을 유지하도록 설계되었습니다. 설명해 보겠습니다. 정직하고 악의적인 사용자 사용자가 자신의 모든 프로토콜 지침을 따르면 정직합니다. 메시지를 완벽하게 보내고 받을 수 있습니다. 사용자가 악의적입니다(즉, 비잔틴, 분산 컴퓨팅의 용어) 규정된 지침에서 임의로 벗어날 수 있는 경우. 대적 대적자는 색상을 의인화한 효율적인(기술적으로 다항식 시간) 알고리즘으로, 원하는 사용자를 언제라도 즉시 악의적으로 만들 수 있습니다(주제 그가 손상시킬 수 있는 사용자 수의 상한선까지만). 대적은 모든 악의적인 사용자를 완전히 통제하고 완벽하게 조정합니다. 그는 모든 조치를 취한다 모든 메시지를 받고 보내는 것을 포함하여 그들을 대신하여 그들이 다음에서 벗어나도록 할 수 있습니다. 임의의 방식으로 규정된 지침을 제공합니다. 아니면 단순히 전송을 보내는 손상된 사용자를 격리할 수도 있습니다. 그리고 메시지 수신. 사용자 i가 악의적이라는 사실을 자동으로 아는 사람은 아무도 없다는 점을 분명히 합시다. 대적이 그에게 취하는 행동으로 인해 나의 악의가 나타날 수도 있습니다. 그러나 이 강력한 적수는 • 무한한 계산 능력이 없으며 디지털 데이터를 성공적으로 위조할 수 없습니다. 가능성이 거의 없는 경우를 제외하고는 정직한 사용자의 서명입니다. 그리고• 정직한 사용자 간의 메시지 교환을 어떤 식으로든 방해할 수 없습니다. 게다가 정직한 사용자를 공격하는 그의 능력은 다음 가정 중 하나에 의해 제한됩니다. 정직이 대부분의 돈 우리는 HMM(Honest Majority of Money)의 연속체를 고려합니다. 가정: 즉, 음이 아닌 정수 k와 실수 h > 1/2에 대해, HHMk > h: 모든 라운드 r의 정직한 사용자는 전체 돈의 h보다 더 큰 부분을 소유했습니다. 라운드 r −k에서의 시스템. 논의. 모든 악의적인 사용자가 자신의 행동을 완벽하게 조정한다고 가정합니다(마치 통제된 것처럼). 단일 실체, 즉 적에 의한)는 다소 비관적인 가설입니다. 너무 완벽한 조화 많은 개인이 달성하기 어렵습니다. 아마도 조정은 별도의 그룹 내에서만 발생할 수 있습니다. 악의적인 플레이어. 하지만 악의적인 사용자의 조정 수준을 확신할 수 없기 때문에 즐길 수도 있고, 후회하는 것보다 안전한 것이 낫습니다. 공격자가 은밀하게, 동적으로, 즉각적으로 사용자를 손상시킬 수 있다고 가정하는 것도 비관적이다. 결국 현실적으로 사용자 작업을 완전히 제어하려면 시간이 좀 걸립니다. 예를 들어, HMMk > h라는 가정은 라운드(평균)가 구현되면 다음을 의미합니다. 그러면 1분 안에 해당 라운드의 돈 대부분이 정직한 손에 남게 됩니다. k = 120인 경우 최소 2시간, k = 10,000인 경우 최소 1주일. HMM 가정과 이전의 정직한 컴퓨팅 파워(Honest Majority of Computing Power) 가정은 컴퓨팅 능력을 돈으로 살 수 있다는 점에서 관련이 있습니다. 악의적인 사용자가 대부분의 돈을 소유하고 있다면 대부분의 컴퓨팅 능력을 얻을 수 있습니다. 2.7 커뮤니케이션 모델 우리는 메시지 전파, 즉 "P2P 가십"5을 유일한 수단으로 생각합니다. 의사소통. 임시 가정: 전체 네트워크에서 메시지가 적시에 전달됩니다. 에 대한 이 백서의 대부분에서는 전파된 모든 메시지가 거의 모든 정직한 사용자에게 전달된다고 가정합니다. 적시에. 우리는 네트워크를 다루는 섹션 10에서 이 가정을 제거할 것입니다. 자연적으로 발생하거나 적대적으로 유도된 파티션. (앞으로 살펴보겠지만, 우리는 단지 가정만 할 뿐입니다. 네트워크의 연결된 각 구성 요소 내에서 메시지를 적시에 전달합니다.) (전체 네트워크에서) 전파된 메시지의 적시 전달을 캡처하는 구체적인 방법 중 하나는 다음과 같습니다. 다음: 모든 도달 가능성 \(\rho\) > 95% 및 메시지 크기 \(\mu\) \(\in\)Z+에 대해 다음과 같은 \(\lambda\) \(\rho\),μ가 존재합니다. 정직한 사용자가 시간 t에 \(\mu\)바이트 메시지 m을 전파하면, 그런 다음 m은 t + \(\lambda\) \(\rho\),μ 시간까지 정직한 사용자의 적어도 일부 \(\rho\)에 도달합니다. 5기본적으로 Bitcoin에서와 같이 사용자가 메시지 m을 전파하면 모든 활성 사용자는 처음으로 m을 수신하고 무작위로 그리고 독립적으로 적절하게 적은 수의 활성 사용자인 "이웃"을 선택하여 m을 전달합니다. 아마도 그가 그들로부터 승인을 받을 때까지 말이죠. m의 전파는 사용자가 수신하지 않으면 종료됩니다. m 처음으로요.그러나 위의 속성은 다른 사용자/저장소/등에 의해 최신 blockchain을 얻기 위한 메커니즘을 명시적이고 별도로 구상하지 않고서는 우리의 Algorand 프로토콜을 지원할 수 없습니다. 실제로, 새로운 블록 Br을 생성하려면 적절한 검증자 세트가 적시에 라운드 r을 수신해야 할 뿐만 아니라 메시지뿐만 아니라 이전 라운드의 메시지도 포함하여 Br−1 및 기타 이전 라운드의 모든 메시지를 파악합니다. Br로 지불한 금액이 유효한지 확인하는 데 필요한 블록입니다. 다음 대신 가정이 성공합니다. MP(메시지 전파) 가정: 모든 \(\rho\) > 95% 및 μ \(\in\)Z+에 대해 \(\lambda\) \(\rho\),μ가 존재합니다. 따라서 모든 시간 t와 모든 \(\mu\)바이트 메시지 m은 t −\(\lambda\) \(\rho\),μ 이전에 정직한 사용자에 의해 전파되었습니다. m은 정직한 사용자의 적어도 일부 \(\rho\)에 의해 시간 t까지 수신됩니다. 프로토콜 Algorand '은 실제로 소수의 사용자(즉, 검증자)에게 각각 지시합니다. Algorand '의 라운드 단계에서 (작은) 규정된 크기의 별도 메시지를 전파하기 위해, 그리고 우리는 이러한 지침을 이행하는 데 필요한 시간을 제한해야 합니다. 우리는 국회의원을 풍부하게 함으로써 그렇게 합니다. 다음과 같이 가정합니다. 모든 n, \(\rho\) > 95% 및 \(\mu\) \(\in\)Z+에 대해 모든 시간 t 및 모든 \(\mu\) 바이트에 대해 다음과 같은 \(\lambda\)n,\(\rho\),μ가 존재합니다. 메시지 m1, . . . , mn, 각각은 t −\(\lambda\)n,\(\rho\),μ, m1, . . . , 백만 개가 수신되었습니다. 시간 t까지, 정직한 사용자의 적어도 일부 \(\rho\)만큼. 참고 • 위의 가정은 의도적으로 단순하지만 우리 논문에서 필요한 것보다 더 강력합니다.6 • 단순화를 위해 \(\rho\) = 1이라고 가정하므로 \(\rho\)에 대한 언급은 생략합니다. • 우리는 그가 MP의 가정을 위반하지 않는 한, 적대자가 모든 메시지의 전달을 완전히 제어합니다. 특히 솔직한 사람의 눈에 띄지 않게 사용자는 어느 정직한 플레이어가 어떤 메시지를 받을지 임의로 결정할 수 있습니다. 그가 원하는 메시지의 전달 속도를 임의로 가속화합니다.7

BA 프로토콜은 전통적인 환경에서 BA⋆

이미 강조했듯이 비잔틴 합의는 Algorand의 핵심 요소입니다. 실제로는 그것을 통해 Algorand이 포크의 영향을 받지 않는 BA 프로토콜을 사용합니다. 그러나 우리의 보안을 위해 강력한 적, Algorand은 새로운 플레이어 교체 가능성을 충족하는 BA 프로토콜에 의존해야 합니다. 제약. 또한 Algorand이 효율적이려면 이러한 BA 프로토콜이 매우 효율적이어야 합니다. BA 프로토콜은 이상적인 통신 모델, 동기식 완료를 위해 처음 정의되었습니다. 네트워크(SC 네트워크). 이러한 모델을 사용하면 BA 프로토콜을 더 간단하게 설계하고 분석할 수 있습니다. 6정직한 백분율 h와 허용 가능한 실패 확률 F가 주어지면 Algorand은 상한 N을 계산합니다. 한 단계의 최대 검증자 수까지. 따라서 MP 가정은 n \(\leq\)N에 대해서만 유지되면 됩니다. 또한, 언급한 바와 같이 MP 가정은 얼마나 많은 다른 메시지가 함께 전파될 수 있는지에 관계없이 유지됩니다. 엠제이. 그러나 앞으로 보게 되겠지만 Algorand 메시지는 본질적으로 겹치지 않는 시간에 전파됩니다. 단일 블록이 전파되거나 최대 N명의 검증자가 작은 블록(예: 200B)을 전파하는 간격입니다. 메시지. 따라서 우리는 MP 가정을 더 약하지만 더 복잡한 방식으로 다시 기술할 수 있습니다. 7예를 들어, 그는 정직한 플레이어가 보낸 메시지를 즉시 배울 수 있습니다. 따라서 악의적인 사용자 i'는 정직한 사용자 i와 동시에 메시지를 전파하도록 요청받은 경우 항상 자신의 메시지 m'을 선택할 수 있습니다. m이 실제로 i에 의해 전파된 메시지. 이 능력은 분산 컴퓨팅 용어로 돌진과 관련이 있습니다. 문학.따라서 이 섹션에서는 SC 네트워크를 위한 새로운 BA 프로토콜인 BA⋆를 소개하고 이를 무시합니다. 선수 교체 가능성 문제. 프로토콜 BA⋆는 별도의 가치에 대한 기여입니다. 실제로 이는 지금까지 알려진 SC 네트워크에 대한 가장 효율적인 암호화 BA 프로토콜입니다. Algorand 프로토콜 내에서 이를 사용하기 위해 BA⋆를 약간 수정하여 다른 사항을 설명합니다. 통신 모델 및 컨텍스트를 확인하세요. 단, 섹션 X에서 BA⋆가 어떻게 사용되는지 강조하세요. 실제 프로토콜 내에서 Algorand '. BA⋆가 운영되는 모델과 비잔틴 계약의 개념을 상기하는 것부터 시작합니다. 3.1 동기식 완전한 네트워크 및 일치하는 적 SC 네트워크에는 각 적분 시간 r = 1, 2, ...에서 똑딱거리는 공통 시계가 있습니다. . . 짝수 시간에 r을 클릭할 때마다 각 플레이어 i는 즉각적으로 동시에 단일 메시지를 보냅니다. 메시지 미스터 i,j(아마도 빈 메시지)를 자신을 포함한 각 플레이어 j에게 보냅니다. 각 씨 i,j가 수신됨 이때 플레이어 j가 보낸 사람 i의 신원과 함께 r + 1을 클릭합니다. 다시 말하지만, 통신 프로토콜에서 플레이어는 자신이 규정한 모든 사항을 따르면 정직합니다. 지시, 그리고 그렇지 않으면 악의적입니다. 모든 악의적인 플레이어는 완전히 통제되고 완벽하게 제어됩니다. 특히 다음 주소로 전달된 모든 메시지를 즉시 수신하는 대적에 의해 조정됩니다. 악의적인 플레이어가 보내는 메시지를 선택합니다. 대적은 이상한 순간에 클릭을 하면 원하는 정직한 사용자를 즉시 악의적인 사용자로 만들 수 있습니다. 그는 악의적인 플레이어의 수에 따라 가능한 상한선만 적용되기를 원합니다. 즉, 공격자는 "정직한 사용자 i가 이미 보낸 메시지를 방해할 수 없습니다". 평소대로 배달되었습니다. 대적은 또한 각 짝수 라운드에서 즉시 볼 수 있는 추가 능력을 가지고 있습니다. 현재 정직한 플레이어가 보내는 메시지와 이 정보를 즉시 사용하여 선택합니다. 악의적인 플레이어가 동시에 보내는 메시지는 틱입니다. 비고 • 적의 힘. 위의 설정은 매우 적대적입니다. 실제로 비잔틴 조약에서 문학에서는 많은 설정이 덜 적대적입니다. 그러나 좀 더 적대적인 설정이 있습니다. 또한 정직한 플레이어가 보낸 메시지를 본 후 적이 있는 것으로 간주되었습니다. 주어진 시간에 r을 클릭하면 네트워크에서 이러한 모든 메시지를 즉시 지울 수 있습니다. i가 손상되었습니다. 지금 악의적인 i가 보내는 메시지를 선택하고 r을 클릭하여 가져오세요. 평소대로 배달되었습니다. 대적의 예상되는 힘은 우리 환경에서 그가 가지고 있는 것과 일치합니다. • 물리적 추상화. 구상된 통신 모델은 보다 물리적인 모델을 추상화합니다. 여기서 각 플레이어 쌍(i,j)은 별도의 개인 통신 회선 li,j에 의해 연결됩니다. 즉, 누구도 전송된 메시지에 대한 정보를 주입하거나 방해하거나 얻을 수 없습니다. 리,제이. 적이 li,j에 접근할 수 있는 유일한 방법은 i 또는 j를 손상시키는 것입니다. • 개인정보 보호 및 인증. SC 네트워크에서는 메시지 개인 정보 보호 및 인증이 보장됩니다. 가정으로. 대조적으로, 메시지가 전파되는 우리의 통신 네트워크에서는 P2P에서는 디지털 서명으로 인증이 보장되며 개인 정보 보호는 존재하지 않습니다. 따라서 BA⋆프로토콜을 우리 설정에 채택하려면 교환된 각 메시지가 디지털 서명되어야 합니다. (보낸 상태를 추가로 식별합니다). 다행스럽게도 우리가 사용하는 BA 프로토콜은 Algorand에서 사용을 고려하세요. 메시지 개인 정보 보호가 필요하지 않습니다.3.2 비잔틴 계약의 개념 비잔틴 조약의 개념은 Pease Shostak과 Lamport [31]에 의해 도입되었습니다. 즉, 모든 초기값이 비트로 구성되는 경우입니다. 그래도 빨리 연장되서 임의의 초기값으로. (Fischer [16] 및 Chor and Dwork [10]의 설문조사를 참조하세요.) 프로토콜은 임의의 값을 의미합니다. 정의 3.1. 동기식 네트워크에서 P를 플레이어 세트가 공통인 n-플레이어 프로토콜이라고 가정합니다. 플레이어 간의 지식, t는 n \(\geq\)2t + 1인 양의 정수입니다. 우리는 P가 임의 값(각각 이진)(n, t)-건전성 \(\sigma\) \(\in\)(0, 1)을 갖는 비잔틴 합의 프로토콜 만약, 특수 기호 \(\bot\)(각각 V = {0, 1}에 대해)를 포함하지 않는 모든 값 세트 V에 대해 최대 t명의 플레이어가 악의적이고 모든 플레이어가 초기 값 vi \(\in\)V , 모든 정직한 플레이어 j는 확률 1로 정지하고 outi \(\in\)V \(\cup\){\(\bot\)} 값을 출력합니다. 적어도 \(\sigma\) 확률로 다음 두 조건을 만족시키려면: 1. 동의: 모든 정직한 플레이어 i에 대해 outi = out이 되는 \(\in\)V \(\cup\){\(\bot\)}가 존재합니다. 2. 일관성: 어떤 값 v \(\in\)V에 대해 모든 정직한 플레이어에 대해 vi = v이면 out = v입니다. out을 P의 출력이라고 하고, 각 outi를 플레이어 i의 출력이라고 합니다. 3.3 BA 표기법 # BA 프로토콜에서 플레이어는 주어진 메시지를 자신에게 보낸 플레이어 수를 계산해야 합니다. 주어진 단계. 따라서 전송될 수 있는 각 가능한 값 v에 대해

초

나(v) (또는 s가 지워진 경우 #i(v))는 단계 s에서 i가 v를 받은 플레이어 j의 수입니다. 플레이어 i가 각 플레이어 j로부터 정확히 하나의 메시지를 받는다는 것을 기억해 보세요. 플레이어는 n이고 모든 i와 s에 대해 P입니다. v #s i(v) = n. 3.4 바이너리 BA 프로토콜 BBA⋆ 이 섹션에서는 더 많은 것의 정직성에 의존하는 새로운 바이너리 BA 프로토콜인 BBA⋆를 제시합니다. 플레이어의 2/3보다 많고 매우 빠릅니다. 악의적인 플레이어가 무엇을 하든 상관없이 메인 루프를 실행할 때마다 플레이어는 확률 1/3로 동의하게 됩니다. 각 플레이어는 고유 서명을 충족하는 디지털 서명 체계의 공개 키를 가지고 있습니다. 재산. 이 프로토콜은 동기식 완전 네트워크에서 실행되도록 고안되었으므로 플레이어 i가 각 메시지에 서명해야 합니다. 디지털 서명은 3단계에서 충분히 공통된 임의 비트를 생성하는 데 사용됩니다. (Algorand에서, 디지털 서명은 다른 모든 메시지를 인증하는 데에도 사용됩니다.) 프로토콜에는 최소한의 설정이 필요합니다. 즉, 플레이어의 독립적인 공통 무작위 문자열 r입니다. 열쇠. (Algorand에서 r은 실제로 수량 Qr로 대체됩니다.) 프로토콜 BBA⋆는 플레이어가 부울 값을 반복적으로 교환하는 3단계 루프입니다. 다른 플레이어는 다른 시간에 이 루프를 종료할 수 있습니다. 플레이어 i가 전파를 통해 이 루프를 종료합니다. 어떤 단계에서는 특별한 값 0 또는 특별한 값 1을 지정하여 모든 플레이어에게 다음을 지시합니다. 이후의 모든 단계에서 그들은 각각 i로부터 0과 1을 받는 척합니다. (또는 다음과 같이 가정합니다.플레이어 j가 다른 플레이어 i로부터 받은 마지막 메시지는 비트 b였습니다. 그러면 어떤 단계에서든 그는 i로부터 어떤 메시지도 받지 못하고, j는 마치 내가 그에게 비트 b를 보낸 것처럼 행동합니다.) 프로토콜은 3단계 루프가 실행된 횟수를 나타내는 카운터 \(\gamma\)를 사용합니다. BBA⋆의 시작 부분에서는 \(\gamma\) = 0입니다. (\(\gamma\)를 전역 카운터라고 생각할 수도 있지만 실제로는 증가합니다. 루프가 실행될 때마다 각 개별 플레이어가 실행합니다.) n \(\geq\)3t + 1이 있으며, 여기서 t는 가능한 최대 악의적인 플레이어 수입니다. 바이너리 문자열 x는 이진 표현(앞에 0이 올 수 있음)이 x인 정수로 식별됩니다. lsb(x)는 x의 최하위 비트를 나타냅니다. 프로토콜 BBA⋆ (통신) Step 1. [Coin-Fixed-To-0 단계] 각 플레이어 i는 bi를 보냅니다. 1.1 #1의 경우 i (0) \(\geq\)2t + 1, 그러면 i는 bi = 0으로 설정하고 0을 보내고 outi = 0을 출력합니다. 그리고 정지. 1.2 #1의 경우 i (1) \(\geq\)2t + 1이면 i는 bi = 1로 설정됩니다. 1.3 그렇지 않으면 i는 bi = 0으로 설정합니다. (통신) Step 2. [Coin-Fixed-To-1 Step] 각 플레이어 i는 bi를 보냅니다. 2.1 #2의 경우 i (1) \(\geq\)2t + 1이면 i는 bi = 1로 설정됩니다. 1을 보냅니다. 출력 outi = 1, 그리고 정지. 2.2 #2의 경우 i (0) \(\geq\)2t + 1이면 bi = 0으로 설정합니다. 2.3 그렇지 않으면 i는 bi = 1로 설정합니다. (통신) Step 3. [코인 진짜 뒤집기 단계] 각 플레이어 i는 bi와 SIGi(r, \(\gamma\))를 보냅니다. 3.1 #3의 경우 i (0) \(\geq\)2t + 1이면 i는 bi = 0으로 설정됩니다. 3.2 #3의 경우 i (1) \(\geq\)2t + 1이면 i는 bi = 1로 설정됩니다. 3.3 그렇지 않으면 Si = {j \(\in\)N(이 단계 3에서 나에게 적절한 메시지를 보낸 사람) }이라고 하면, 나는 bi = c \(\triangleq\)lsb(minj\(\in\)Si H(SIGi(r, \(\gamma\))))를 설정합니다. \(\gamma\)i를 1만큼 증가시킵니다. 그리고 1단계로 돌아갑니다. 정리 3.1. n \(\geq\)3t + 1일 때마다 BBA⋆는 건전성 1의 이진 (n, t)-BA 프로토콜입니다. 정리 3.1의 증명은 [26]에 나와 있습니다. 우리 설정에 대한 적응 및 플레이어 교체 가능성 재산은 참신하다. 역사적 비고 확률적 이진 BA 프로토콜은 Ben-Or가 처음 제안했습니다. 비동기 설정 [7]. 프로토콜 BBA⋆는 공개 키 설정에 대한 새로운 적응입니다. Feldman 및 Micali의 바이너리 BA 프로토콜 [15]. 그들의 프로토콜은 예상대로 작동한 최초의 프로토콜이었습니다. 일정한 단계 수. 플레이어들이 직접 공통 코인을 구현하게 함으로써 작동했고, 외부의 신뢰할 수 있는 당사자 [32]를 통해 이를 구현한 Rabin이 제안한 개념입니다.3.5 단계적 합의와 프로토콜 GC 임의의 가치에 대해 비잔틴 합의보다 훨씬 약한 합의 개념을 떠올려 보겠습니다. 정의 3.2. P를 모든 플레이어 세트가 상식인 프로토콜로 설정하고 각 플레이어는 플레이어 나는 임의의 초기값 v'를 개인적으로 알고 있습니다. 나. n명의 플레이어가 실행될 때마다 P가 (n, t) 등급 합의 프로토콜이라고 말합니다. 그 중 대부분은 악의적이며 모든 정직한 플레이어는 가치 등급 쌍(vi, gi) 출력을 중단합니다. 여기서 gi \(\in\){0, 1, 2}는 다음 세 가지 조건을 충족합니다. 1. 모든 정직한 플레이어 i와 j에 대해 |gi −gj| \(\leq\)1. 2. 모든 정직한 플레이어 i와 j에 대해, gi, gj > 0 ⇒vi = vj. 3. 만약 v' 1 = \(\cdots\) = v' 어떤 값 v에 대해 n = v, 모든 정직한 플레이어 i에 대해 vi = v 및 gi = 2입니다. 역사적 기록 등급별 합의라는 개념은 단순히 등급별 합의 개념에서 파생된 것입니다. [15]에서 Feldman과 Micali가 십자군의 개념을 강화하여 제시한 방송 Dolev [12]에 의해 도입되고 Turpin and Coan [33].8에 의해 개선된 계약 [15]에서 저자는 3단계(n, t) 등급 방송 프로토콜인 gradecast도 제공했습니다. n \(\geq\)3t+1. n > 2t+1에 대한 보다 복잡한 (n, t) 등급 방송 프로토콜이 나중에 발견되었습니다. 작성자: Katz 및 Koo [19]. 다음 2단계 프로토콜 GC는 등급 분류의 마지막 두 단계로 구성됩니다. 표기법. 이 사실을 강조하고 섹션 4.1의 프로토콜 Algorand '의 단계를 일치시키기 위해 우리는 GC의 단계를 각각 2번과 3번으로 지정하세요. 프로토콜 GC 2단계. 내가 보내는 각 플레이어는 v'를 보냅니다. 나는 모든 플레이어에게. 3단계. 각 플레이어 i는 #2인 경우에만 문자열 x를 모든 플레이어에게 보냅니다. 나는 (x) \(\geq\)2t + 1입니다. 출력 결정. 각 플레이어 i는 다음과 같이 계산된 쌍 (vi, gi)을 출력합니다. • 일부 x에 대해 #3인 경우 i (x) \(\geq\)2t + 1이면 vi = x이고 gi = 2입니다. • 일부 x에 대해 #3인 경우 i (x) \(\geq\)t + 1이면 vi = x이고 gi = 1입니다. • 그렇지 않으면 vi = \(\bot\)이고 gi = 0입니다. 정리 3.2. n \(\geq\)3t + 1이면 GC는 (n, t) 등급 브로드캐스트 프로토콜입니다. 증명은 [15]의 프로토콜 등급 결정의 증명에서 바로 따르므로 생략됩니다.9 8 본질적으로 등급별 방송 프로토콜에서 (a) 모든 플레이어의 입력은 고유한 플레이어의 신원입니다. 추가적인 개인 입력으로 임의의 값 v를 갖는 플레이어, 송신자, 그리고 (b) 출력은 다음을 충족해야 합니다. 등급화된 합의의 동일한 속성 1과 2에 다음 속성 3'을 추가합니다. 보낸 사람이 정직하다면 vi = v이고 모든 정직한 플레이어에 대해 gi = 2 i. 9실제로 프로토콜의 1단계에서 발신자는 자신의 개인 값 v를 모든 플레이어에게 보내고 각 플레이어는 v′ i는 그가 1단계에서 보낸 사람으로부터 실제로 받은 값으로 구성됩니다.3.6 더 프로토콜 BA⋆ 이제 바이너리 BA 프로토콜 BBA⋆를 통해 임의 값 BA 프로토콜 BA⋆을 설명합니다. 등급 합의 프로토콜 GC. 아래에서 각 플레이어 i의 초기값은 v′입니다. 나. 프로토콜 BA⋆ 1단계와 2단계. 각 플레이어 i는 입력 v'에 대해 GC를 실행합니다. i, (vi, gi) 쌍을 계산합니다. 3단계, . . . 각 플레이어 i는 gi = 2이면 초기 입력 0, 그렇지 않으면 1로 BBA⋆를 실행합니다. 비트 outi를 계산하는 방법. 출력 결정. outi = 0이면 각 플레이어 i는 vi를 출력하고, 그렇지 않으면 \(\bot\)입니다. 정리 3.3. n \(\geq\)3t + 1일 때마다 BA⋆는 건전성 1의 (n, t)-BA 프로토콜입니다. 증거. 먼저 일관성을 증명한 다음 합의를 증명합니다. 일관성 증명. 어떤 값 v \(\in\)V , v′에 대해 가정합니다. i = v. 그러면 다음의 속성 3에 의해 등급 합의, GC 실행 후 모든 정직한 플레이어가 출력합니다(v, 2). 따라서 0은 BBA⋆ 실행이 끝나면 모든 정직한 플레이어의 초기 비트입니다. 따라서 계약에 따라 BA⋆ 실행이 끝나면 바이너리 비잔틴 계약의 속성, 모든 정직한 경우 outi = 0 플레이어. 이는 BA⋆에서 각 정직한 플레이어 i의 출력이 vi = v라는 것을 의미합니다. ✷ 계약 증명. BBA⋆는 바이너리 BA 프로토콜이므로 다음 중 하나를 수행합니다. (A) 모든 정직한 플레이어 i에 대해 outi = 1, 또는 (B) 모든 정직한 플레이어 i에 대해 outi = 0입니다. A의 경우 모든 정직한 플레이어는 BA⋆에서 \(\bot\)을 출력하므로 계약이 유지됩니다. 이제 사례 B를 살펴보겠습니다. 이 경우 BBA⋆ 실행 시 적어도 한 명의 정직한 플레이어 i의 초기 비트는 0입니다. (실제로 만약 모든 정직한 플레이어의 초기 비트는 1이었습니다. 그러면 BBA⋆의 일관성 속성에 따라 우리는 outj = 1 모든 정직한 j에 대해.) 따라서 GC 실행 후 i는 일부 정직한 j에 대해 쌍 (v, 2)를 출력합니다. 가치 v. 따라서 등급화된 합의의 속성 1에 따라 모든 정직한 플레이어 j에 대해 gj > 0입니다. 이에 따라 단계적 합의의 속성 2, vj = 모든 정직한 플레이어에 대한 v j. 이는 말미에 다음을 의미한다. BA⋆, 모든 정직한 플레이어 j는 v를 출력합니다. 따라서 B의 경우에도 일치가 유지됩니다. ✷ 일관성과 합의가 모두 유지되므로 BA⋆는 임의 값 BA 프로토콜입니다. 역사적 기록 Turpin과 Coan은 n \(\geq\)3t+1에 대해 모든 이진 (n, t)-BA가 프로토콜은 임의 값 (n, t)-BA 프로토콜로 변환될 수 있습니다. 임의 값 감소 등급별 합의를 통한 이진 비잔틴 합의에 대한 비잔틴 합의는 더욱 모듈화되고 더 깨끗하고 Algorand 프로토콜 Algorand '의 분석을 단순화합니다. Algorand에서 사용하기 위해 BA⋆ 일반화 Algorand은 모든 통신이 통신을 통해 이루어지는 경우에도 작동합니다. 험담. 그러나 전통적이고 친숙한 통신 네트워크에서 제시되지만, 선행 기술과 더 잘 비교하고 더 쉽게 이해할 수 있도록 프로토콜 BA⋆works 험담 네트워크에서도요. 실제로 Algorand의 상세한 실시예에서 우리는 그것을 제시할 것입니다. 험담 네트워크를 위해 직접. 또한 선수교체성을 만족시킨다는 점을 지적할 것이다. Algorand이 예상되는 매우 적대적인 모델에서 보안을 유지하는 데 중요한 속성입니다.

가십 통신 네트워크에서 작동하는 모든 BA 플레이어 교체 가능 프로토콜은 다음과 같습니다. 독창적인 Algorand 시스템 내에서 안전하게 사용됩니다. 특히 Micali와 Vaikunthanatan은 BA⋆를 확장하여 다수의 정직한 플레이어들과도 매우 효율적으로 작업할 수 있게 되었습니다. 그 프로토콜도 Algorand에서 사용될 수 있습니다.

Algorand의 두 가지 구현

논의된 바와 같이, 매우 높은 수준에서 Algorand 라운드는 이상적으로 다음과 같이 진행됩니다. 먼저 무작위로 선택된 사용자인 리더는 새로운 블록을 제안하고 유통시킵니다. (이 과정에는 처음에 다음이 포함됩니다. 몇 명의 잠재적인 리더를 선택한 다음 적어도 상당한 시간 동안 단일 공통 리더가 등장합니다.) 둘째, 무작위로 선택된 사용자 위원회가 선택됩니다. 리더가 제안한 블록에 대해 비잔틴 합의에 도달합니다. (이 과정에는 다음이 포함됩니다. BA 프로토콜의 각 단계는 별도로 선택된 위원회에 의해 운영됩니다.) 합의된 블록 그런 다음 위원회 구성원의 지정된 임계값(TH)에 따라 디지털 서명됩니다. 이러한 디지털 서명 모든 사람이 어느 블록이 새로운 블록인지 확신할 수 있도록 순환됩니다. (여기에는 서명자의 자격 증명을 사용하고 새 블록의 hash만 인증하여 모든 사람이 hash이 명확해지면 블록을 학습하는 것이 보장됩니다.) 다음 두 섹션에서는 Algorand, Algorand'의 두 가지 구현예를 제시합니다. 1 및 Algorand ' 2, 대부분의 정직한 사용자 가정 하에서 작동합니다. 섹션 8에서는 이러한 사항을 채택하는 방법을 보여줍니다. 정직한 다수의 돈 가정 하에서 작동하는 실시 예입니다. Algorand ' 1은 위원회 구성원의 2/3 이상이 정직하다고 가정합니다. 또한, Algorand ' 1, 비잔틴 합의에 도달하기 위한 단계 수는 적절하게 높은 수준으로 제한됩니다. 따라서 일정 시간 안에 압도적인 확률로 합의에 도달할 수 있도록 보장됩니다. 고정된 단계 수(그러나 잠재적으로 Algorand '의 단계보다 더 긴 시간이 필요할 수 있음) 2). 에서 마지막 단계에서 아직 합의에 이르지 못한 원격의 경우, 위원회는 다음 사항에 동의합니다. 항상 유효한 빈 블록입니다. Algorand ′ 2는 위원회의 정직한 구성원 수가 항상 그 수보다 많다고 생각합니다. 또는 고정된 임계값 tH와 동일합니다(압도적인 확률로 최소한 위원의 2/3가 정직합니다.) 게다가 Algorand ′ 2는 비잔틴 합의를 허용합니다. 임의의 단계 수로 도달할 수 있습니다(그러나 잠재적으로 Algorand '보다 짧은 시간 내에 가능). 1). 이러한 기본 실시예의 다양한 변형을 유도하는 것은 쉽습니다. 특히, 쉽기 때문에 Algorand ' 2, Algorand ' 수정 1 임의적으로 비잔틴 합의에 도달할 수 있도록 하기 위해 단계 수. 두 실시예 모두 다음과 같은 공통 핵심, 표기법, 개념 및 매개변수를 공유합니다. 4.1 공통 핵심 목표 이상적으로 각 라운드 r에 대해 Algorand은 다음 속성을 충족합니다. 1. 완벽한 정확성. 모든 정직한 사용자는 동일한 블록 Br에 동의합니다. 2. 완전성 1. 확률 1일 때 Br의 페이세트 PAY r은 최대이다.10 10지불 세트는 유효한 지불을 포함하도록 정의되고 정직한 사용자는 유효한 지불만 수행하도록 정의되므로 최대 PAY r에는 모든 정직한 사용자의 "현재 미결제" 지불이 포함되어 있습니다.물론 완벽한 정확성을 보장하는 것만으로는 쉽지 않습니다. 모든 사람은 항상 공식을 선택합니다. Payset PAY r이 비어 있어야 합니다. 하지만 이 경우 시스템의 완전성은 0이 됩니다. 불행하게도, 완벽한 정확성과 완전성을 모두 보장하는 것은 1 악의적인 존재 앞에서는 쉽지 않습니다. 사용자. Algorand에서는 보다 현실적인 목표를 채택합니다. 비공식적으로 h를 백분율로 나타내면 정직한 사용자의 h > 2/3, Algorand의 목표는 다음과 같습니다. 압도적인 확률로 h에 가까운 완벽한 정확성과 완전성을 보장합니다. 완전성보다 정확성에 우선권을 두는 것이 합리적인 선택인 것 같습니다. 한 라운드는 다음 라운드에서 처리될 수 있지만 가능하면 포크를 피해야 합니다. 비잔틴 협정 주도 완벽한 정확성은 다음과 같이 보장될 수 있습니다. 처음에는 라운드 r에서 각 사용자 i는 자신의 후보 블록 Br을 구성합니다. i , 그러면 모든 사용자가 비잔틴에 도달합니다. 하나의 후보 블록에 대한 합의. 소개에 따라 사용된 BA 프로토콜에는 다음이 필요합니다. 2/3의 정직한 다수이며 플레이어를 교체할 수 있습니다. 각 단계는 소규모로 실행될 수 있습니다. 내부 변수를 공유하지 않는 무작위로 선택된 검증자 세트입니다. 불행하게도 이 접근 방식은 완전성을 보장하지 않습니다. 그 후보가 그렇거든요. 정직한 사용자의 블록은 서로 완전히 다를 가능성이 높습니다. 따라서 궁극적으로 합의된 블록은 항상 최대 지불 세트가 아닌 블록일 수 있습니다. 사실, 항상 그럴 수도 있습니다. 빈 블록 B\(\varepsilon\), 즉 페이세트가 비어 있는 블록입니다. 기본적으로 비어 있는 것이 좋습니다. Algorand '는 다음과 같이 이러한 완전성 문제를 피합니다. 먼저 라운드 r의 리더인 \(\ell\)r이 선택됩니다. 그런 다음 \(\ell\)r은 자신의 후보 블록인 Br을 전파합니다. \(\ell\)r. 마지막으로 사용자는 블록에 대한 합의에 도달합니다. 그들은 실제로 \(\ell\)r로부터 받습니다. 왜냐하면 \(\ell\)r이 정직할 때마다 완벽한 정확성과 완전성이 있기 때문입니다. 1 둘 다 보유, Algorand '는 \(\ell\)r이 h에 가까운 확률로 정직하다는 것을 보장합니다. (리더가 되면 악의적인 경우, 합의된 블록이 빈 페이세트를 갖는 블록인지 여부는 신경 쓰지 않습니다. 결국, 악의적인 리더 \(\ell\)r은 항상 악의적으로 Br을 선택할 수 있습니다. \(\ell\)r은 빈 블록이 되고 솔직히 말해서 이를 전파하여 정직한 사용자가 빈 블록에 동의하도록 강요합니다.) 리더 선정 Algorand에서 r번째 블록은 Br = (r, PAY r, Qr, H(Br−1)) 형식입니다. 서론에서 이미 언급한 바와 같이, 수량 Qr−1은 다음과 같이 조심스럽게 구성됩니다. 본질적으로 우리의 매우 강력한 적에 의해 조작될 수 없습니다. (이 섹션의 뒷부분에서 우리는 이것이 왜 그런지에 대한 직관을 제공하십시오.) 라운드 r이 시작될 때 모든 사용자는 blockchain 지금까지 B0, . . . , Br−1로부터 그들은 모든 이전 라운드의 사용자 집합을 추론합니다. 는 PK1, . . . , PKr-1. 라운드 r의 잠재적 리더는 다음과 같은 사용자 i입니다. .H SIGi r, 1, Qr−1 \(\leq\)p . 설명해 보겠습니다. 수량 Qr−1은 블록 Br−1의 일부이므로 기본 서명 방식은 고유성 속성인 SIGi를 만족합니다. r, 1, Qr−1 고유한 이진 문자열입니다. i와 r에 연관되어 있습니다. 따라서 H는 임의의 oracle이므로 H SIGi r, 1, Qr−1 랜덤 256비트입니다 i와 r에 고유하게 연결된 긴 문자열입니다. 기호 “.” H 앞에 SIGi r, 1, Qr−1 은 소수점(우리의 경우 이진수)이므로 ri \(\triangleq\).H가 됩니다. SIGi r, 1, Qr−1 의 이진 확장입니다. i와 r에 고유하게 연결된 0과 1 사이의 임의의 256비트 숫자입니다. 따라서 확률은 ri는 p보다 작거나 같음은 본질적으로 p입니다. (우리의 잠재적 리더 선택 메커니즘은 다음과 같습니다. Micali와 Rivest [28]의 소액 결제 방식에서 영감을 받았습니다.) 확률 p는 압도적인(즉, 1 −F) 확률로 적어도 하나가 되도록 선택됩니다. 잠재적 검증자는 정직합니다. (사실이라면 p는 가장 작은 확률로 선택됩니다.)내가 자신의 서명을 계산할 수 있는 유일한 사람이기 때문에 그 사람만이 할 수 있다는 점에 유의하십시오. 그가 1차 잠재적 검증자인지 여부를 판단합니다. 그러나 자신의 자격 증명을 공개함으로써, \(\sigma\)r 나는 \(\triangleq\)SIGi r, 1, Qr−1 , 나는 누구에게나 라운드 r의 잠재적인 검증자임을 증명할 수 있습니다. 리더 \(\ell\)r은 hashed 자격 증명이 다음보다 작은 잠재적 리더로 정의됩니다. hashed 다른 모든 잠재적 리더 j의 자격 증명: 즉, H(\(\sigma\)r,s \(\ell\)r ) \(\leq\)H(\(\sigma\)r,s j). 악의적인 \(\ell\)r은 자신의 자격 증명을 공개하지 않을 수 있으므로 라운드 r의 올바른 리더는 결코 알려지지 않았으며, 가능성이 없는 관계를 제외하고 \(\ell\)r은 실제로 라운드 r의 유일한 리더입니다. 마지막으로 중요한 세부 사항을 살펴보겠습니다. 사용자 i는 잠재적인 리더가 될 수 있습니다. 리더) 라운드 r은 그가 최소한 k 라운드 동안 시스템에 속한 경우에만 해당됩니다. 이는 다음을 보장합니다. Qr 및 모든 미래 Q-양의 조작 불가능성. 실제로 잠재적인 리더 중 한 명은 실제로 Qr을 결정합니다. 검증인 선택 라운드 r의 각 단계 s > 1은 소규모 검증자 집합 SV r,s에 의해 실행됩니다. 다시 말하면, 각 검증자 i \(\in\)SV r,s는 이미 시스템 k 라운드에 참여한 사용자 중에서 무작위로 선택됩니다. r 앞에, 그리고 다시 특수 수량 Qr−1을 통해. 구체적으로, i \(\in\)PKr−k는 SV r,s의 검증자입니다. .H SIGi r, s, Qr−1 \(\leq\)p′ . 다시 한 번 말씀드리지만, 그가 SV r,s에 속해 있는지는 오직 저만이 알고 있습니다. 하지만 만약 그렇다면, 그는 다음과 같이 증명할 수 있습니다. 자신의 자격 증명 \(\sigma\)r,s를 표시함 나 \(\triangleq\)H(SIGi r, s, Qr−1 ). 검증자 i \(\in\)SV r,s는 mr,s라는 메시지를 보냅니다. 나, 에서 라운드 r의 단계 s, 이 메시지에는 그의 자격 증명 \(\sigma\)r,s가 포함됩니다. i, 검증자를 활성화하기 위해 Mr,s를 인식하는 중첩 단계 나 합법적인 단계 메시지입니다. 확률 p'는 SV r,s에서 #good이 다음의 수임을 보장하도록 선택됩니다. 정직한 사용자와 #bad 악의적인 사용자의 수가 압도적인 확률로 다음과 같습니다 두 가지 조건이 성립합니다. 실시예 Algorand '의 경우 1: (1) #좋음 > 2 \(\cdot\) #나쁨 그리고 (2) #good + 4 \(\cdot\) #bad < 2n, 여기서 n은 SV r,s의 예상 카디널리티입니다. 실시예 Algorand '의 경우 2: (1) #좋음 > tH 및 (2) #good + 2#bad < 2tH, 여기서 tH는 지정된 임계값입니다. 이러한 조건은 충분히 높은 확률로 (a) BA의 마지막 단계에서 프로토콜에 따르면, 새로운 블록 Br에 디지털 서명을 할 수 있는 정직한 플레이어가 적어도 일정 수만큼 있을 것입니다. (b) 라운드당 하나의 블록만이 필요한 수의 서명을 가질 수 있으며, (c) 사용된 BA 프로토콜은 (각 단계에서) 필요한 2/3의 정직한 다수를 갖습니다. 블록 생성 명확화 라운드 R 리더 \(\ell\)r이 정직하다면 해당 블록은 형태이다 브르 = r, PAY r, SIG\(\ell\)r Qr−1 , H Br−1 , 여기서 페이세트 PAY r은 최대입니다. (모든 지불 세트는 정의상 집합적으로 유효하다는 점을 기억하십시오.) 그렇지 않은 경우(즉, \(\ell\)r이 악의적인 경우) Br은 다음 두 가지 가능한 형식 중 하나를 갖습니다. 브르 = r, PAY r, SIGi Qr−1 , H Br−1 그리고 브롬 = 브롬 \(\varepsilon\) \(\triangleq\) r, \(\emptyset\), Qr−1, H Br−1 .첫 번째 형식에서 PAY r은 (필수적으로 최대가 아닌) 지불 세트이고 PAY r = \(\emptyset\)일 수 있습니다. 그리고 나는 라운드 r의 잠재적 리더. (단, 제가 리더는 아닐 수도 있습니다. 만약에 이런 일이 실제로 일어날 수도 있습니다. \(\ell\)r은 자신의 자격을 비밀로 유지하고 자신을 드러내지 않습니다.) 두 번째 형태는 BA 프로토콜의 라운드-R 실행에서 모든 정직한 플레이어가 빈 블록 Br인 기본값을 출력합니다. 우리 응용 프로그램에서는 \(\varepsilon\)입니다. (정의에 따르면 가능한 BA 프로토콜의 출력에는 일반적으로 \(\bot\)로 표시되는 기본값이 포함됩니다. 섹션 3.2를 참조하세요.) 두 경우 모두 페이세트가 비어 있지만 Br = r, \(\emptyset\), SIGi Qr−1 , H Br−1 그리고 브롬 \(\varepsilon\)은 구문적으로 다른 블록이며 두 가지 다른 상황에서 발생합니다. BA 프로토콜 실행이 원활하게 진행되었습니다.”, “프로그램에서 문제가 발생했습니다. BA 프로토콜이며 기본값이 출력되었습니다.” 이제 Algorand'의 라운드 r에서 블록 Br의 생성이 어떻게 진행되는지 직관적으로 설명해보자. 첫 번째 단계에서 각 적격 플레이어, 즉 각 플레이어 i \(\in\)PKr−k는 그가 잠재적인 선수인지 확인합니다. 리더. 만약 그렇다면, 그가 지금까지 본 모든 지불금을 사용하여 나에게 질문을 합니다. 현재 blockchain, B0, . . . , Br−1, 최대 지불 세트 PAY r을 비밀리에 준비하기 위해 나 , 그리고 비밀리에 후보 블록 Br =을 조립합니다. r, 지불 r 나, SIGi Qr−1 , H Br−1 . 즉, 그는 뿐만 아니라 Br에 포함 i는 두 번째 구성 요소로서 방금 준비된 지불 세트일 뿐만 아니라 세 번째 구성 요소로서 마지막 블록 Br−1의 세 번째 구성 요소인 Qr−1의 자신의 서명입니다. 마침내 그는 자신의 것을 전파했다. round-r-step-1 메시지, Mr,1 (a) 그의 후보 블록 Br을 포함하는 i i, (b) 그의 적절한 서명 그의 후보 블록(즉, Br의 hash 서명) i, 그리고 (c) 그 자신의 자격증명 \(\sigma\)r,1 나, 증명해 그는 실제로 라운드 r의 잠재적인 검증자입니다. (정직한 사람이 메시지를 전달할 때까지, Mr,1 나는, 적들은 내가 어떤 사람인지 전혀 모른다. 잠재적 검증자. 그가 정직하고 잠재적인 지도자를 타락시키고자 한다면 대적도 그렇게 할 수 있습니다. 무작위로 정직한 플레이어를 부패시킵니다. 하지만 일단 그가 Mr를 만나면,1 i , i의 자격 증명이 포함되어 있으므로 적은 나를 부패시킬 수 있다는 것을 알고 있고 부패시킬 수 있지만 Mr,1을 막을 수는 없습니다. i 에서 바이러스로 전파됩니다. 시스템의 모든 사용자에게 도달합니다.) 두 번째 단계에서 선택된 각 검증자 j \(\in\)SV r,2는 라운드의 리더를 식별하려고 시도합니다. 구체적으로 j는 1단계 자격 증명 \(\sigma\)r,1을 사용합니다. 나는1, . . . , \(\sigma\)r,1 in , 적절한 1단계 메시지 mr,1에 포함되어 있음 나 그는 받았다; hashes 모두, 즉 H를 계산합니다.  \(\sigma\)r,1 i1  , . . . , H  \(\sigma\)r,1 안으로  ; 자격증을 찾고, \(\sigma\)r,1 \(\ell\)j , hash은 사전순으로 최소값입니다. \(\ell\)r을 고려한다. j가 라운드 r의 리더가 됩니다. 고려되는 각 크리덴셜은 Qr-1의 디지털 서명이며 SIGi라는 점을 기억하세요. r, 1, Qr−1 이다 i와 Qr−1에 의해 고유하게 결정되며, H는 무작위 oracle이므로 각 H(SIGi r, 1, Qr−1 라운드 r의 각 잠재적 리더 i에 고유한 임의의 256비트 긴 문자열입니다. 이것으로부터 우리는 256비트 문자열 Qr−1 자체가 무작위적이고 독립적이라면 다음과 같이 결론을 내릴 수 있습니다. 그러면 라운드 r의 모든 잠재적 리더의 hashed 자격 증명이 선택됩니다. 사실, 모두 잠재적인 리더는 잘 정의되어 있으며 그들의 자격 증명도 마찬가지입니다(실제로 계산되었거나 아닙니다). 또한, 라운드 r의 잠재적 리더 집합은 라운드 사용자의 무작위 하위 집합입니다. r −k, 그리고 정직한 잠재적 리더인 나는 항상 그의 메시지를 적절하게 구성하고 전파합니다. 나 , 여기에는 i의 자격 증명이 포함되어 있습니다. 따라서 정직한 사용자의 비율은 h이므로, 어떤 경우에도 악의적인 잠재적 리더가 할 수 있는 최소한의 조치(예: 자신의 자격 증명을 공개하거나 숨기는 것) hashed 잠재적 리더 자격 증명은 모든 사람이 반드시 식별하는 정직한 사용자에게 속합니다. 라운드 r의 리더 \(\ell\)r이 되는 것입니다. 따라서 256비트 문자열 Qr−1 자체가 무작위이고 독립적으로 선택됨, 확률이 정확히 h (a) 리더 \(\ell\)r이 정직하고 (b) 모두에 대해 \(\ell\)j = \(\ell\)r 정직한 2단계 검증자 j. 실제로 hashed 자격 증명은 무작위로 선택되지만 Qr−1에 따라 달라집니다.무작위로 독립적으로 선택되지 않습니다. 그러나 우리는 분석을 통해 Qr−1이 라운드의 리더가 확률적으로 정직하다는 것을 보장할 만큼 충분히 조작 불가능합니다. h′는 h에 충분히 가깝습니다. 즉, h′ > h2(1 + h −h2)입니다. 예를 들어, h = 80%이면 h′ > .7424입니다. 라운드의 리더를 식별한 후(리더가 정직할 때 올바르게 수행), 2단계 검증자의 임무는 자신이 믿는 바를 초기값으로 사용하여 BA 실행을 시작하는 것입니다. 리더의 블록이 될 것입니다. 실제로 필요한 의사소통의 양을 최소화하기 위해, 검증자 j \(\in\)SV r,2는 입력 값 v′을 사용하지 않습니다. j를 비잔틴 프로토콜로 변경하고, 해당 블록 Bj를 그는 실제로 \(\ell\)j(사용자 j가 리더라고 믿는)로부터 받았지만 리더이지만 해당 블록의 hash, 즉 v′ j = H(Bi). 따라서 BA 프로토콜이 종료되면 검증자는 마지막 단계에서는 원하는 round-r 블록 Br을 계산하지 않고 계산합니다(인증 및 전파) H(Br). 따라서 H(Br)는 충분히 많은 검증자들에 의해 디지털 서명되기 때문에 BA 프로토콜의 마지막 단계에서 시스템의 사용자는 H(Br)가 새로운 프로토콜의 hash임을 깨닫게 됩니다. 블록. 그러나 실행이 상당히 비동기적이므로 검색(또는 대기)해야 합니다. Br 자체를 차단합니다. 프로토콜은 적의 공격에 관계없이 실제로 사용할 수 있도록 보장합니다. 할 수도 있습니다. 비동기성과 타이밍 Algorand ' 1 및 Algorand ' 2는 상당한 정도의 비동기성을 가지고 있습니다. 이는 공격자가 메시지 전달 일정을 정하는 데 큰 권한을 갖고 있기 때문입니다. 전파. 또한, 라운드의 총 단계 수에 제한이 있는지 여부가 있습니다. 실제로 수행된 단계 수에 따라 차이가 발생합니다. 그는 B0의 인증서를 알게 되자마자 . . . , Br−1, 사용자 i가 Qr−1을 계산하고 작업을 시작합니다. r 라운드에서는 그가 잠재적인 리더인지, 아니면 r 라운드의 일부 단계에서 검증자인지 확인합니다. 논의된 비동기성에 비추어 단계에서 행동해야 한다고 가정하면 나는 다양한 방법에 의존합니다. 행동하기 전에 충분한 정보를 갖고 있는지 확인하는 전략입니다. 예를 들어, 그는 검증자로부터 최소한 주어진 수의 메시지를 받기를 기다릴 수 있습니다. 이전 단계로 진행하거나, 그가 메시지를 충분히 받을 수 있도록 충분한 시간을 기다리세요. 이전 단계의 많은 검증자가 있습니다. Seed Qr과 Look-Back 매개변수 k 이상적으로 Qr의 양은 다음과 같아야 합니다. 무작위적이고 독립적이지만, 인간이 충분히 조작할 수 없는 것으로도 충분합니다. 대적. 얼핏 보면 H와 일치하는 Qr−1을 선택할 수 있습니다. 지불 r−1 , 따라서 다음을 피하십시오 Br−1에 Qr−1을 명시적으로 지정합니다. 그러나 기본 분석에 따르면 악의적인 사용자는 이 선택 메커니즘을 활용하십시오.11 몇 가지 추가 노력을 통해 수많은 다른 방법이 있음을 알 수 있습니다. 11우리는 r-1 라운드의 시작점에 있습니다. 따라서 Qr−2 = PAY r−2는 공개적으로 알려지며, 공격자는 비공개로 진행됩니다. 자신이 통제하는 잠재적인 리더가 누구인지 알고 있습니다. 공격자가 사용자의 10%를 통제한다고 가정하고, 매우 높은 확률로 악의적인 사용자 w가 라운드 r -1의 잠재적 리더가 됩니다. 즉, H SIGw r−2, 1, Qr−2 규모가 너무 작아서 정직하고 잠재적인 리더가 실제로 리더가 될 가능성은 거의 없습니다. 라운드 r −1의 리더. (우리는 비밀 암호화 분류 메커니즘을 통해 잠재적인 리더를 선택하므로 대적은 정직한 잠재적 지도자가 누구인지 모릅니다.) 따라서 대적은 부러워할 만한 입장에 있습니다. PAY'를 원하는 페이셋을 선택하는 위치로 설정하고, 이를 라운드 r-1의 공식 페이셋으로 설정합니다. 그러나, 그는 더 많은 일을 할 수 있습니다. 그는 또한 높은 확률로 () 그의 악의적인 사용자 중 한 명이 리더가 되도록 보장할 수 있습니다. PAY r이 무엇인지 자유롭게 선택할 수 있도록 라운드 r에도 적용됩니다. (등등. 적어도 한동안은, 즉, 이러한 확률이 높은 사건이 실제로 발생하는 한.) ()를 보장하기 위해 공격자는 다음과 같이 행동합니다. 지불하자' 라운드 r -1에 대해 적이 선호하는 페이세트가 됩니다. 그런 다음 그는 H(PAY ′)를 계산하고 일부에 대해 다음을 확인합니다. 이미 악의적인 플레이어 z, SIGz(r, 1, H(PAY'))는 특히 작습니다. 확률 z는 라운드 r의 리더가 될 것입니다. 만약 그렇다면, 그는 w에게 자신의 후보 블록을 선택하라고 지시합니다.전통적인 블록 수량을 기반으로 한 대안은 공격자가 쉽게 악용하여 다음을 보장할 수 있습니다. 악의적인 리더가 매우 빈번하다는 것입니다. 대신에 우리는 우리 브랜드를 구체적이고 귀납적으로 정의합니다. 새로운 수량 Qr은 적에 의해 조작 불가능하다는 것을 증명할 수 있습니다. 즉, Br이 빈 블록이 아닌 경우 Qr \(\triangleq\)H(SIG\(\ell\)r(Qr−1), r)이고, 그렇지 않은 경우 Qr \(\triangleq\)H(Qr−1, r)입니다. 이러한 Qr 구성이 작동하는 이유에 대한 직관은 다음과 같습니다. 잠시 동안 다음과 같이 가정하십시오. Qr−1은 실제로 무작위로 독립적으로 선택됩니다. 그렇다면 Qr도 그럴까요? \(\ell\)r이 정직할 때 대답은 (대략적으로) 그렇습니다. 그렇기 때문에 그렇습니다 H(SIG\(\ell\)r( \(\cdot\) ), r) : {0, 1}256 −→{0, 1}256 무작위 함수입니다. 그러나 \(\ell\)r이 악의적인 경우 Qr은 더 이상 Qr−1에서 일관적으로 정의되지 않습니다. 그리고 \(\ell\)r. Qr에는 최소한 두 개의 별도 값이 있습니다. 하나는 계속해서 Qr \(\triangleq\)H(SIG\(\ell\)r(Qr−1), r)이고, 다른 하나는 H(Qr−1,r)입니다. 먼저 두 번째 선택은 다소 임의적이지만, 두 번째 선택은 절대적으로 필수입니다. 그 이유는 악의적인 \(\ell\)r이 항상 다음과 같은 원인이 될 수 있기 때문입니다. 두 번째 단계의 정직한 검증자는 전혀 다른 후보 블록을 받게 됩니다.12 일단 이 경우 BA 프로토콜을 통해 블록이 최종적으로 합의되었는지 확인하는 것은 쉽습니다. 라운드 r은 기본 라운드가 될 것이므로 누구의 디지털 서명인 Qr−1도 포함하지 않습니다. 하지만 시스템은 계속되어야 하며 이를 위해서는 r 라운드의 리더가 필요합니다. 이 리더가 자동으로 공개적으로 선택되면 대적은 그를 사소하게 타락시킬 것입니다. 이전에 선택한 경우 동일한 프로세스를 통해 Qr−1은 \(\ell\)r보다 다시 r+1 라운드의 리더가 됩니다. 우리는 특별히 제안합니다 동일한 비밀 암호화 정렬 메커니즘을 사용하지만 새로운 Q-수량에 적용됩니다. H(Qr−1,r). 이 수량을 H의 출력으로 함으로써 출력이 무작위임을 보장합니다. H의 두 번째 입력으로 r을 포함하고 H의 다른 모든 사용에는 하나 또는 3개 이상의 입력이 있습니다. 그러한 Qr이 독립적으로 선택됨을 "보장"합니다. 다시 말하지만, 대체 Qr의 특정 선택 중요하지 않습니다. \(\ell\)r이 Qr에 대해 두 가지 선택권을 갖고 있으므로 확률을 두 배로 늘릴 수 있다는 것이 중요합니다. 또 다른 악의적인 사용자를 다음 리더로 삼는 것입니다. 악의적인 \(\ell\)r을 제어하는 ​​적에게는 Qr에 대한 옵션이 훨씬 더 많을 수 있습니다. 예를 들어, x, y, z가 라운드 r의 세 명의 악의적인 잠재적 리더라고 가정해 보겠습니다. H \(\sigma\)r,1 엑스
< H \(\sigma\)r,1 와이
< H \(\sigma\)r,1 z
그리고 H  \(\sigma\)r,1 z  특히 작습니다. 즉, 너무 작아서 H가 발생할 가능성이 높습니다.  \(\sigma\)r,1 z  이다 모든 정직한 잠재적 리더의 hashed 자격 증명 중 더 작은 것입니다. 그런 다음 x에게 자신을 숨기라고 요청하여 자격 증명을 사용하면 적군은 y가 라운드 r -1의 리더가 될 가능성이 높습니다. 이 이는 그가 Qr에 대한 또 다른 옵션, 즉 SIGy를 가지고 있음을 의미합니다. Qr−1 . 마찬가지로, 적도 z가 라운드 r −1의 리더가 되도록 x와 y 모두에게 자격 증명을 보류하도록 요청하세요. Qr에 대한 또 다른 옵션인 SIGz를 얻습니다. Qr−1 . 물론, 이러한 옵션과 기타 옵션 각각은 실패할 확률이 0이 아닙니다. 공격자는 정직한 잠재적 사용자의 디지털 서명의 hash을 예측할 수 없습니다. Br−1 나 = (r −1, PAY ′, H(Br−2). 그렇지 않으면 그는 계속해서 새로운 지불을 생성할 두 명의 다른 악의적인 사용자 x와 y를 갖게 됩니다. \(\wp\)′, 일부 악의적인 사용자 z(또는 일부 고정 사용자 z)에 대해 H(SIGz (PAY ′ \(\cup\){\(\wp\)}))가 될 때까지 하나에서 다른 것으로 특히 작습니다. 이 실험은 매우 빨리 중단됩니다. 그리고 그럴 때 상대방은 w에게 프로포즈를 요청합니다. 후보 블록 Br−1 나 = (r −1, PAY ′ \(\cup\){\(\wp\)}, H(Br−2). 12예를 들어, 단순하게(그러나 극단적으로) 표현하자면, “두 번째 단계의 시간이 거의 만료될 때”, \(\ell\)r은 각 사용자에게 다른 후보 블록 Bi를 직접 이메일로 보냅니다. i. 이렇게 하면 2단계 검증자가 누구든지 완전히 다른 블록을 받게 될 것입니다.조심스러운 마르코프 체인과 같은 분석은 공격자가 어떤 옵션을 선택하든 상관없다는 것을 보여줍니다. 라운드 r -1에서 만들기 위해 시스템에 새로운 사용자를 주입할 수 없는 한 그는 사용자를 줄일 수 없습니다. 정직한 사용자가 h보다 훨씬 낮은 r + 40 라운드의 리더가 될 확률입니다. 이것이 이유이다 우리는 라운드 r의 잠재적 리더가 이미 라운드 r -k에 존재하는 사용자여야 한다고 요구합니다. 이는 r −k 라운드에서 적이 다음과 같은 확률을 크게 변경할 수 없도록 보장하는 방법입니다. 정직한 사용자가 라운드 r의 리더가 됩니다. 실제로 어떤 사용자를 추가하더라도 시스템에서 r -k부터 r까지의 라운드에서 그들은 잠재적인 리더가 될 자격이 없습니다. 리더) 라운드 r. 따라서 되돌아보기 매개변수 k는 궁극적으로 보안 매개변수입니다. (하지만, 섹션 7에서 살펴보겠지만 이는 일종의 "편의 매개변수"일 수도 있습니다.) 임시 열쇠 우리 프로토콜의 실행은 다음을 제외하고는 포크를 생성할 수 없지만 무시할 수 있는 확률로, 공격자는 합법적인 블록 이후에 r번째 블록에서 포크를 생성할 수 있습니다. 블록 r이 생성되었습니다. 대략적으로 Br이 생성되면 공격자는 각 단계의 검증자가 누구인지 알게 됩니다. 라운드 r은 입니다. 따라서 그는 그들 모두를 부패시키고 새로운 블록을 인증하도록 강요할 수 있습니다. 에프 브르. 이 가짜 블록은 합법적인 블록 이후에만 전파될 수 있으므로, 주의를 기울이는 것은 속지 않을 것입니다.13 그럼에도 불구하고, f Br은 구문론적으로 정확할 것이며 우리는 제조되는 것을 방지하고 싶습니다. 우리는 새로운 규칙을 통해 그렇게 합니다. 본질적으로 검증자의 구성원은 단계 s의 SV r,s를 설정합니다. 라운드 r에서는 임시 공개 키 pkr,s를 사용합니다. 나 메시지에 디지털 서명을 합니다. 이러한 키는 일회용이며 해당 비밀 키는 skr,s입니다. 나 한번 사용되면 폐기됩니다. 이렇게 하면 검증인이 나중에 부패한 경우, 적대자는 그가 원래 서명하지 않은 다른 항목에 서명하도록 강요할 수 없습니다. 당연히 우리는 공격자가 새로운 키 g를 계산하는 것이 불가능하다는 것을 보장해야 합니다. 홍보, 초 나 그리고 단계 s에서 사용하는 것이 검증자 i \(\in\)SV r,s의 올바른 임시 키임을 정직한 사용자에게 설득합니다. 4.2 표기법, 개념 및 매개변수의 공통 요약 표기법 • r \(\geq\)0: 현재 라운드 수. • s \(\geq\)1: 라운드 r의 현재 단계 번호. • Br: r 라운드에서 생성된 블록입니다. • PKr: r 라운드가 끝날 때와 r 라운드가 시작될 때의 공개 키 집합입니다. • Sr: 라운드 r -1 종료 시 및 라운드 r.14 시작 시 시스템 상태 • PAY r: Br에 포함된 페이세트입니다. • \(\ell\)r: 라운드 R 리더. \(\ell\)r은 라운드 r의 페이세트 PAY r을 선택합니다(그리고 다음 Qr을 결정합니다). • Qr: 라운드 r의 시드, 라운드 r의 끝에서 생성되는 수량(즉, 이진 문자열) 라운드 r + 1에 대한 검증자를 선택하는 데 사용됩니다. Qr은 블록의 페이세트와 독립적입니다. \(\ell\)r로 조작할 수 없습니다. 13주요 TV 네트워크의 뉴스 앵커를 부패시키고 오늘 뉴스 영화를 제작 및 방송하는 것을 고려하십시오. 클린턴 장관이 지난 대선에서 승리한 모습을 보여줍니다. 우리 대부분은 그것을 사기로 인식할 것입니다. 하지만 혼수상태에서 벗어나는 사람은 속을 수도 있습니다. 14동기적이지 않은 시스템에서는 "라운드 r의 끝 -1"과 "라운드 r의 시작"이라는 개념이 주의 깊게 정의할 필요가 있다. 수학적으로 PKr과 Sr은 초기 상태 S0과 블록에서 계산됩니다. B1, . . . , Br-1.• SV r,s: 라운드 r의 단계 s에 대해 선택된 검증자 세트입니다. • SV r: 라운드 r을 위해 선택된 검증자 세트, SV r = \(\cup\)s\(\geq\)1SV r,s. • MSV r,s 및 HSV r,s: 각각 악의적인 검증자 집합과 정직한 검증자 집합 SV r,s에서. MSV r,s \(\cup\)HSV r,s = SV r,s 및 MSV r,s ∩HSV r,s = \(\emptyset\). • n1 \(\in\)Z+ 및 n \(\in\)Z+: 각각 각 SV에서 예상되는 잠재적 리더 수 r,1, s > 1인 경우 각 SV r,s에서 예상되는 검증자 수입니다. n1 << n에 주목하세요. SV r,1에는 최소한 한 명의 정직하고 정직한 구성원이 필요하기 때문입니다. s > 1인 경우 각 SV r,s의 정직한 구성원 대다수. • h \(\in\)(0, 1): 2/3보다 큰 상수. h는 시스템의 정직성 비율입니다. 즉, 사용된 가정에 따라 각 PKr에서 정직한 사용자 또는 정직한 돈의 비율은 다음과 같습니다. 적어도 h. • H: 무작위 oracle로 모델링된 암호화 hash 함수입니다. • \(\bot\): H의 출력과 동일한 길이의 특수 문자열입니다. • F \(\in\)(0, 1): 허용되는 오류 확률을 지정하는 매개변수입니다. 확률 \(\leq\)F는 다음과 같습니다. "무시할 수 있는" 것으로 간주되고 확률 \(\geq\)1 −F는 "압도적인" 것으로 간주됩니다. • ph \(\in\)(0, 1): 라운드 r의 리더인 \(\ell\)r이 정직할 확률입니다. 이상적으로는 ph = h입니다. 와 공격자의 존재 여부에 따라 ph 값이 분석에서 결정됩니다. • k \(\in\)Z+: 되돌아보기 매개변수. 즉, 라운드 r −k는 라운드 r에 대한 검증자가 다음과 같은 위치에 있습니다. 즉, SV r \(\subseteq\)PKr−k.15에서 선택됨 • p1 \(\in\)(0, 1): 라운드 r의 첫 번째 단계에서 라운드 r −k의 사용자는 SV r,1에 속하도록 선택됩니다. 확률 p1 \(\triangleq\) n1 |P Kr−k|. • p \(\in\)(0, 1): 라운드 r의 각 단계 s > 1에 대해 라운드 r −k의 사용자는 SV r,s에 속하도록 선택됩니다. 확률 p \(\triangleq\) 엔 |P Kr−k|. • CERT r: Br에 대한 인증서입니다. 이는 적절한 검증자로부터 나온 H(Br)의 tH 서명 세트입니다. 라운드 r. • Br \(\triangleq\)(Br, CERT r)은 검증된 블록입니다. 내가 Br을 아는 사용자는 그가 입증된 블록의 두 부분을 모두 소유하고 성공적으로 검증한 경우입니다. 다른 사용자에게 표시되는 CERT r은 다를 수 있습니다. • τr i : 사용자 i가 Br을 알고 있는 (현지) 시간입니다. Algorand 프로토콜에서 각 사용자는 자신의 나만의 시계. 서로 다른 사용자의 시계를 동기화할 필요는 없지만 속도는 동일해야 합니다. 분석 목적으로만 기준 시계를 고려하고 플레이어의 그와 관련된 시간. • \(\alpha\)r,s 나 그리고 \(\beta\)r,s i : 각각 사용자 i가 단계 s의 실행을 시작하고 종료하는 (로컬) 시간입니다. 라운드 r. • Λ 및 \(\lambda\): 본질적으로 각각 1단계 및 \(\lambda\)를 실행하는 데 필요한 시간의 상한입니다. Algorand 프로토콜의 다른 단계에 필요한 시간. 매개변수 Λ는 단일 1MB 블록을 전파하는 데 걸리는 시간의 상한입니다. (우리 표기법에서는 Λ = \(\lambda\) \(\rho\),1MB. 단순화를 위해 \(\rho\) = 1로 설정하고 블록은 최대 1MB 길이로 선택하면 Λ = \(\lambda\)1,1,1MB가 됩니다.) 15엄밀히 말하면 “r −k”는 “max{0, r −k}”이어야 합니다.매개변수 \(\lambda\)는 단계 s > 1에서 검증자당 하나의 작은 메시지를 전파하는 데 걸리는 시간의 상한입니다. (Bitcoin에서와 같이 32B 키가 있는 타원 곡선 서명을 사용하면 검증자 메시지의 길이는 200B입니다. 따라서 표기법에서는 \(\lambda\) = \(\lambda\)n,\(\rho\),200B입니다.) Λ = O(\(\lambda\))라고 가정합니다. 개념 • 검증인 선택. 각 라운드 r 및 단계 s > 1에 대해 SV r,s \(\triangleq\){i \(\in\)PKr−k: .H(SIGi(r, s, Qr−1)) \(\leq\)p}. 각각 사용자 i \(\in\)PKr−k는 자신의 장기 키를 사용하여 자신의 서명을 개인적으로 계산하고 i \(\in\)SV r,s인지 아닌지. i \(\in\)SV r,s이면 SIGi(r, s, Qr−1)은 i의 (r, s) 자격 증명이며 간략하게 표시됩니다. \(\sigma\)r,s에 의해 나. 라운드 r의 첫 번째 단계에서는 SV r,1 및 \(\sigma\)r,1 나 p는 p1으로 대체되어 유사하게 정의됩니다. 는 SV r,1의 검증자는 잠재적인 리더입니다. • 리더 선택. 사용자 i \(\in\)SV r,1은 H(\(\sigma\)r,1인 경우) \(\ell\)r로 표시되는 라운드 r의 리더입니다. i ) \(\leq\)H(\(\sigma\)r,1 j) 모든 잠재력에 대해 리더 j \(\in\)SV r,1. 두 플레이어의 자격 증명의 hashes를 비교할 때마다 가능성은 희박합니다. 동점인 경우 프로토콜은 항상 사전순으로 동점을 끊습니다(장기 공개). ) 잠재적 지도자의 열쇠. 정의에 따르면 플레이어 \(\ell\)r의 크리덴셜 값 hash도 전체 사용자 중 가장 작습니다. PKr-k. 잠재적인 리더는 자신이 리더인지 아닌지 개인적으로 결정할 수 없습니다. 다른 잠재적 리더의 자격 증명을 보지 않고. hash 값은 무작위로 균일하므로 SV r,1이 비어 있지 않으면 \(\ell\)r은 항상 존재하며 적어도 h의 확률로 정직합니다. 매개변수 n1은 다음을 보장할 만큼 충분히 큽니다. SV r,1은 압도적인 확률로 비어 있지 않습니다. • 블록 구조. 비어 있지 않은 블록은 Br = (r, PAY r, SIG\(\ell\)r(Qr−1), H(Br−1)) 형식이며, 빈 블록은 Br 형태이다 Ϋ = (r, \(\emptyset\), Qr−1, H(Br−1)). 비어 있지 않은 블록에는 지불이 발생하지 않는 경우에도 여전히 빈 페이세트 PAY r이 포함될 수 있습니다. 이번 라운드 또는 리더가 악의적인 경우. 그러나 비어 있지 않은 블록은 \(\ell\)r, 그의 자격 증명 \(\sigma\)r,1 \(\ell\)r과 SIG\(\ell\)r(Qr−1)은 모두 적시에 공개되었습니다. 프로토콜은 다음을 보장합니다. 즉, 리더가 정직하다면 블록은 압도적인 확률로 비어 있지 않을 것입니다. • 시드 Qr. Br이 비어 있지 않으면 Qr \(\triangleq\)H(SIG\(\ell\)r(Qr−1), r)이고, 그렇지 않으면 Qr \(\triangleq\)H(Qr−1, r)입니다. 매개변수 • 다양한 매개변수 간의 관계. — 라운드 r의 검증자와 잠재적 리더는 PKr-k의 사용자 중에서 선택됩니다. 여기서 k는 상대가 r −k −1 라운드에서 다시 Qr−1을 예측할 수 없도록 선택됩니다. F보다 확률이 더 높습니다. 그렇지 않으면 악의적인 사용자를 유입시킬 수 있습니다. 라운드 r -k에 대해, 이들 모두는 라운드 r에서 잠재적인 리더/검증자가 될 것입니다.

원하는 일부 단계에 대해 SV r에 악의적인 리더 또는 악의적인 다수가 있는 경우 그. — 각 라운드 r의 1단계에서는 압도적인 확률로 SV r,1̸= \(\emptyset\)이 되도록 n1이 선택됩니다. • 중요한 매개변수의 예시 선택. — H의 출력 길이는 256비트입니다. — h = 80%, n1 = 35. — Λ = 1분, \(\lambda\) = 10초. • 프로토콜 초기화. 프로토콜은 r = 0으로 시간 0에서 시작합니다. "B-1" 또는 "CERT-1"이 존재하지 않으므로, 구문론적으로 B−1은 Q−1을 지정하는 세 번째 구성 요소가 있는 공개 매개변수이며 모든 사용자는 시간 0에서 B−1을 알고 있습니다.

Algorand '

1 이 섹션에서는 다음 가정 하에 작동하는 Algorand ' 버전을 구성합니다. 정직한 다수의 사용자 가정: 각 PKr의 사용자 중 2/3 이상이 정직합니다. 섹션 8에서는 위의 가정을 원하는 정직한 다수로 대체하는 방법을 보여줍니다. 돈 가정. 5.1 추가 표기법 및 매개변수 표기법 • m \(\in\)Z+: 바이너리 BA 프로토콜의 최대 단계 수, 3의 배수. • Lr \(\leq\)m/3: 1을 확인하는 데 필요한 베르누이 시행 횟수를 나타내는 무작위 변수, 각 시행이 확률 ph로 1일 때 2이며 최대 m/3 시도가 있습니다. 모든 시도가 실패하면 Lr \(\triangleq\)m/3. Lr은 블록 Br을 생성하는 데 필요한 시간의 상한을 설정하는 데 사용됩니다. • tH = 2n 3 + 1: 프로토콜 종료 조건에 필요한 서명 수입니다. • CERT r: Br에 대한 인증서입니다. 이는 적절한 검증자로부터 나온 H(Br)의 tH 서명 세트입니다. 라운드 r. 매개변수 • 다양한 매개변수 간의 관계. — 라운드 r의 각 단계 s > 1에 대해 압도적인 확률로 n이 선택됩니다. |HSV r,s| > 2|MSV r,s| 그리고 |HSV r,s| + 4|MSV r,s| <2n. h 값이 1에 가까울수록 n은 더 작아야 합니다. 특히, 우리는 (변종 of) 원하는 조건이 압도적인 확률로 유지되도록 Chernoffbounds. — m은 압도적인 확률로 Lr < m/3이 되도록 선택됩니다. • 중요한 매개변수의 예시 선택. — F = 10−12. — n \(\approx\)1500, k = 40 및 m = 180.5.2 Algorand '에서 임시 키 구현 1 이미 언급했듯이 검증자 i \(\in\)SV r,s가 자신의 메시지 mr,s에 디지털 서명을 하기를 바랍니다. 나 단계의 임시 공개 키 pkr,s에 상대적인 라운드 r의 s i , 임시 비밀 키 skr을 사용하여 나 그 그는 사용 후 즉시 파괴합니다. 따라서 우리는 모든 사용자가 다음을 수행할 수 있도록 하는 효율적인 방법이 필요합니다. pkr,s를 확인하세요. 나 은 실제로 mr,s의 i 서명을 확인하는 데 사용되는 열쇠입니다. 나. 우리는 (최선을 다해) 그렇게 합니다. 우리가 아는 한) 신원 기반 서명 체계의 새로운 사용. 높은 수준에서 이러한 체계에서 중앙 기관 A는 공개 마스터 키 PMK를 생성합니다. 그리고 해당 비밀 마스터 키인 SMK. 플레이어 U의 신원 U가 주어지면 A는 다음을 계산합니다. 공개 키 U와 관련된 비밀 서명 키 skU인 SMK를 통해 개인적으로 skU를 다음 사용자에게 제공합니다. U. (실제로 신원 기반 디지털 서명 체계에서 사용자 U의 공개 키는 U 자체입니다!) 이런 식으로 A가 활성화하려는 사용자의 비밀 키를 계산한 후 SMK를 파괴하면 디지털 서명을 생성하고 계산된 비밀 키를 보관하지 않는 경우 U는 유일한 사람입니다. 공개 키 U를 기준으로 메시지에 디지털 방식으로 서명할 수 있습니다. 따라서 "U의 이름"을 아는 사람은 누구나 자동으로 U의 공개 키를 알고 있으므로 U의 서명을 확인할 수 있습니다(아마도 공개 마스터 키 PMK). 우리의 응용 프로그램에서 권한 A는 사용자 i이고 가능한 모든 사용자 집합 U는 다음과 일치합니다. 예를 들어 S = {i}\(\times\){r′,… . . , r′ +106}\(\times\){1, . . . , m+3}, 여기서 r′은 주어진 것입니다. 라운드, m + 3은 라운드 내에서 발생할 수 있는 단계 수의 상한입니다. 이 방법, pkr, s 나 \(\triangleq\)(i, r, s), 모든 사람이 i의 서명 SIGr,s를 볼 수 있도록 pkr,s 나 (미스터, s 나) 할 수 있어, 압도적으로 확률, r'에 이어 처음 백만 라운드 r에 대해 즉시 검증합니다. 즉, i는 먼저 PMK와 SMK를 생성합니다. 그리고 그는 PMK가 나의 주인임을 공개한다 모든 라운드 r \(\in\)[r′, r′ + 106]에 대한 공개 키이며 SMK를 사용하여 비밀을 개인적으로 생성하고 저장합니다. 키 skr,s 나 각 트리플(i, r, s) \(\in\)S에 대해. 이 작업이 완료되면 그는 SMK를 파괴합니다. 만약 그가 그렇지 않다고 판단한다면 SV r,s의 일부라면 skr,s를 떠나도 됩니다. 나 혼자 (프로토콜에서는 그가 인증을 요구하지 않기 때문에 라운드 r의 단계 s에 있는 모든 메시지) 그렇지 않으면 먼저 skr,s를 사용합니다. 나 그의 메시지에 디지털 서명을 하려고 나 , 그리고 그런 다음 skr,s를 파괴합니다. 나. 그가 처음 시스템에 들어갈 때 그의 첫 번째 공개 마스터 키를 공개할 수 있다는 점에 유의하세요. 즉, i를 시스템으로 가져오는 동일한 지불(라운드 r' 또는 r'에 가까운 라운드)은 또한 i의 요청에 따라 모든 라운드 r \(\in\)[r′, r′ + 106]에 대한 i의 공개 마스터 키가 PMK임을 지정합니다. 예를 들어 다음과 같습니다. (PMK, [r', r' + 106]) 형식의 쌍을 포함합니다. 또한 m + 3은 라운드의 최대 단계 수이므로 라운드가 다음과 같이 가정됩니다. 1분이면 생성된 임시 키는 거의 2년 동안 보관됩니다. 동시에 시간이 지나면 이 임시 비밀 키를 생성하는 데 너무 오래 걸리지 않을 것입니다. 타원 곡선 기반 사용 32B 키가 있는 시스템에서는 각 비밀 키가 몇 마이크로초 안에 계산됩니다. 따라서 m + 3 = 180이면, 그러면 1억 8천만 개의 비밀 키를 모두 1시간 이내에 계산할 수 있습니다. 현재 라운드가 r' + 106에 가까워지면 다음 백만 라운드를 처리하기 위해 i 새로운 (PMK', SMK') 쌍을 생성하고 다음 임시 키 보관이 무엇인지 알려줍니다. —예를 들어 — SIGi(PMK′, [r′ + 106 + 1, r′ + 2 \(\cdot\) 106 + 1])를 사용하면 새 블록을 입력하거나 별도의 "거래" 또는 결제의 일부인 추가 정보로 표시됩니다. 그렇게 함으로써, 다음에는 PMK'를 사용하여 나의 임시 서명을 확인해야 한다고 모든 사람에게 알립니다. 백만 라운드. 등. (이 기본 접근 방식에 따라 임시 키를 구현하지 않고 임시 키를 구현하는 다른 방법도 있습니다. 신원 기반 서명을 사용하는 것은 확실히 가능합니다. 예를 들어 Merkle trees를 통해.16) 16이 방법에서는 공개-비밀 키 쌍(pkr,s)을 생성합니다. 나, skr, s 나 )의 각 라운드 단계 쌍(r, s)에 대해임시 키를 구현하는 다른 방법(예: Merkle trees)도 가능합니다. 5.3 Algorand '의 단계 일치 BA⋆의 것과 1 우리가 말했듯이 Algorand ′의 라운드 1에는 최대 m + 3개의 단계가 있습니다. 1단계. 이 단계에서 각 잠재적 리더 i는 자신의 후보 블록 Br을 계산하고 전파합니다. 나 , 자신의 자격증명 \(\sigma\)r,1과 함께 나. 이 자격 증명은 i를 명시적으로 식별한다는 점을 기억하세요. 이는 \(\sigma\)r,1이기 때문에 그렇습니다. 나 \(\triangleq\)SIGi(r, 1, Qr−1). 잠재적 검증자 i는 또한 메시지의 일부로 H(Br)라는 적절한 디지털 서명을 전파합니다. 나). 지불이나 자격 증명을 다루지 않는 i의 이 서명은 그의 임시 공개와 관련이 있습니다. 키 pkr,1 i : 즉, 그는 sigpkr을 전파합니다.1 나는 (H(Br 나)). Br을 전파하는 대신 우리의 규칙을 고려하여 나 및 sigpkr,1 나는 (H(Br i)), 그는 그럴 수도 있었어 전파된 SIGpkr,1 나는 (H(Br 나)). 그러나 우리의 분석에서는 다음에 대한 명시적인 접근 권한이 필요합니다. sigpkr,1 나는 (H(Br 나)). Steps 2. 이 단계에서 각 검증자 i는 \(\ell\)r을 설정합니다. 나는 hashed 자격을 갖춘 잠재적인 리더가 되고 싶습니다 는 가장 작고, Br 나는 \(\ell\)r이 제안한 블록이 될 것입니다 나. 효율성을 위해 우리는 Br에 직접적으로 동의하기보다는 H(Br)에 동의하고 싶다는 메시지를 전파합니다. BA⋆의 첫 번째 단계에서 초기 값 v'로 전파됨 나는 = H(Br 나). 즉, 그는 v'를 전파한다 나, 물론 일시적으로 서명한 후에요. (즉, 오른쪽 임시 항목을 기준으로 서명한 후 공개 키(이 경우 pkr,2) i .) 물론 나도 자신의 자격 증명을 전송합니다. BA⋆의 첫 번째 단계는 등급 합의 프로토콜 GC의 첫 번째 단계로 구성되므로, Step Algorand '의 2는 GC의 첫 번째 단계에 해당합니다. 단계 3. 이 단계에서 각 검증자 i \(\in\)SV r,2는 BA⋆의 두 번째 단계를 실행합니다. 즉, 그는 다음을 보낸다. 그가 GC의 두 번째 단계에서 보냈을 것과 동일한 메시지입니다. 다시 말하지만, 내 메시지는 임시적입니다. 서명하고 본인의 증명서를 첨부합니다. (이제부터 검증인이라는 말은 생략하겠습니다. 그의 메시지에 일시적으로 서명하고 그의 자격 증명도 전파합니다.) 4단계. 이 단계에서 모든 검증자 i \(\in\)SV r,4는 GC의 출력(vi, gi)을 계산하고 일시적으로 BA⋆의 세 번째 단계, 즉 BBA⋆의 첫 번째 단계, gi = 2이면 초기 비트가 0이고 그렇지 않으면 1입니다. 단계 s = 5, . . . , m + 2. 이러한 단계에 도달한 경우 BA⋆의 단계 s-1에 해당하므로 다음과 같습니다. BBA⋆의 s-3단계. 우리의 전파 모델은 충분히 비동기적이므로 가능성을 고려해야 합니다. 그러한 단계 s의 중간에 검증자 i \(\in\)SV r,s는 그를 증명하는 정보에 의해 도달됩니다. 해당 블록 Br은 이미 선택되었습니다. 이 경우, i는 자신의 라운드 r 실행을 중지합니다. Algorand ', 라운드(r + 1) 명령어 실행을 시작합니다. {r′, . . . , r' + 106} \(\times\) {1, . . . , m + 3}. 그런 다음 그는 이러한 공개 키를 정식 방식으로 주문하고 j번째 공개 키를 저장합니다. Merkle tree의 j번째 리프에 키를 입력하고 그가 공개한 루트 값 Ri를 계산합니다. 그가 서명하고 싶을 때 키 pkr,s와 관련된 메시지 나 , 저는 실제 서명뿐만 아니라 pkr,s에 대한 인증 경로도 제공합니다. 나 리에 비해 이 인증 경로는 pkr,s도 증명합니다. 나 j번째 리프에 저장된다. 나머지 세부사항을 쉽게 채울 수 있습니다.따라서 검증자의 명령 i \(\in\)SV r,s에 해당하는 명령 외에 BBA⋆의 s-3단계에는 BBA⋆의 실행이 이전에 중단되었는지 확인하는 것이 포함됩니다. 단계 S′. BBA⋆ 정지는 Coin-Fixed-to-0 단계 또는 Coin-Fixed-1 단계에서만 정지할 수 있으므로, 지침은 다음을 구별합니다. A (종료 조건 0): s′ −2 ‚0 mod 3, 또는 B (엔딩 조건 1): s′ −2 ‚1 mod 3. 실제로 A의 경우 블록 Br은 비어 있지 않으므로 추가 명령이 필요합니다. 적절한 인증서 CERT r과 함께 Br을 제대로 재구성하는지 확인하세요. B의 경우, 블록 Br은 비어 있으므로 i는 Br = Br로 설정하라는 지시를 받습니다. \(\varepsilon\) = (r, \(\emptyset\), H(Qr−1, r), H(Br−1)), CERT r을 계산합니다. 단계 s를 실행하는 동안 블록 Br이 이미 가지고 있다는 증거를 볼 수 없다면 생성된 다음 BBA⋆의 s-3 단계에서 보낸 것과 동일한 메시지를 보냅니다. 단계 m + 3. 단계 m + 3 동안 i \(\in\)SV r,m+3에서 블록 Br이 이미 생성된 것으로 확인되면 이전 단계 s'를 수행한 다음 위에서 설명한 대로 진행합니다. 그렇지 않으면 BBA⋆의 m단계에서 보냈을 것과 동일한 메시지를 보내는 대신, 나는 자신이 보유한 정보를 기반으로 Br과 그에 상응하는 값을 계산하도록 지시했습니다. CERT r을 인증합니다. 실제로 라운드의 총 단계 수에 대해 m + 3만큼 상한이 적용된다는 점을 기억하세요. 5.4 실제 프로토콜 라운드 r의 각 단계 s에서 검증자 i \(\in\)SV r,s는 장기 공개-비밀 키 쌍을 사용한다는 점을 기억하세요. 그의 자격 증명 \(\sigma\)r,s를 생성하기 위해 나 \(\triangleq\)SIGi(r, s, Qr−1) 및 SIGi Qr−1 s = 1인 경우. 검증자 i 그의 임시 비밀 키 skr,s를 사용합니다. 나 그의 (r, s) 메시지에 서명하려면 mr,s 나. 단순화를 위해 r과 s가 다음과 같을 때 확실히, sigpkr,s 대신 esigi(x)를 씁니다. i (x)는 i의 값에 대한 적절한 임시 서명을 나타냅니다. 라운드 r의 단계 s에서 x를 입력하고 SIGpkr,s 대신 ESIGi(x)를 작성합니다. i(x)는 (i, x, esigi(x))를 나타냅니다. 1단계: 블록 제안 모든 사용자 i \(\in\)PKr−k에 대한 지침: 사용자 i는 다음과 같이 라운드 r의 1단계를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i \(\in\)SV r,1 또는 아닙니다. • i /\(\in\)SV r,1이면 i는 1단계 실행을 즉시 중지합니다. • i \(\in\)SV r,1, 즉 i가 잠재적 리더라면 그는 라운드 R 지불액을 수집합니다. 지금까지 그에게 전파되어 최대 지불 세트 PAY r을 계산합니다. 나는 그들에게서. 다음으로 그는 그의 "후보 블록"Br을 계산합니다. 나는 = (r, 지불 r i , SIGi(Qr−1), H(Br−1)). 마침내 그는 계산한다. 메시지 씨,1 나 = (Br i , Esigi(H(Br i )), \(\sigma\)r,1 i), 그의 임시 비밀 키 skr을 파괴합니다.1 나 , 그리고 나서 Mr,1을 전파합니다. 나.주목. 실제로 1단계의 전역 실행을 단축하려면 (r, 1)- 메시지는 선택적으로 전파됩니다. 즉, 시스템의 모든 사용자 i에 대해 첫 번째 (r, 1)에 대해 그가 받은 메시지를 성공적으로 확인하면17 플레이어 i는 평소대로 이를 전파합니다. 모든 기타 (r, 1) - 플레이어 i가 수신하고 성공적으로 확인한 메시지는 hash인 경우에만 전파합니다. 포함된 자격 증명의 값은 포함된 자격 증명의 hash 값 중에서 가장 작습니다. 모든 (r, 1) 메시지에서 그는 지금까지 수신하고 성공적으로 검증했습니다. 게다가 제안한 대로 Georgios Vlachos에 따르면 각 잠재적 리더 i도 자신의 자격 증명 \(\sigma\)r,1을 전파하는 것이 유용합니다. 나 별도로: 이러한 작은 메시지는 블록보다 빠르게 이동하여 mr,1의 적시 전파를 보장합니다. j's 포함된 자격 증명은 작은 hash 값을 갖고, 큰 hash 값을 갖는 자격 증명을 만듭니다. 빨리 사라져라. 2단계: 단계적 합의 프로토콜 GC의 첫 번째 단계 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 2단계를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i \(\in\)SV r,2 또는 아닙니다. • i /\(\in\)SV r,2이면 i는 2단계 실행을 즉시 중지합니다. • i \(\in\)SV r,2이면 t2 \(\triangleq\) \(\lambda\) + Λ 시간을 기다린 후 i는 다음과 같이 작동합니다. 1. 그는 H(\(\sigma\)r,1)를 만족하는 사용자 \(\ell\)를 찾았습니다. \(\ell\)) \(\leq\)H(\(\sigma\)r,1 j ) 모든 자격 증명에 대해 \(\sigma\)r,1 j 그 일부는 그가 지금까지 수신한 성공적으로 검증된 (r, 1) 메시지입니다. 2. 그가 \(\ell\)a로부터 유효한 메시지 mr,1을 받았다면 \(\ell\) = (Br \(\ell\), 대략\(\ell\)(H(Br \(\ell\))), \(\sigma\)r,1 \(\ell\)),b 그런 다음 i가 설정합니다. v′ 나는 \(\triangleq\)H(Br \(\ell\)); 그렇지 않으면 나는 v'를 설정한다 나는 \(\triangleq\) \(\bot\). 3. 나는 mr,2라는 메시지를 계산합니다. 나 \(\triangleq\)(ESIGi(v′ 나), \(\sigma\)r,2 i ),c는 자신의 임시 비밀 키를 파기합니다. skr,2 i , 그런 다음 mr,2를 전파합니다. 나. a본질적으로 사용자 i는 라운드 r의 리더가 사용자 \(\ell\)임을 개인적으로 결정합니다. b다시 말하지만, 플레이어 \(\ell\)의 서명과 hashes는 모두 성공적으로 검증되었으며 PAY r \(\ell\)in Br \(\ell\)는 다음에 대한 유효한 지불 세트입니다. 라운드 r — PAY r인지 확인하지는 않지만 \(\ell\)는 \(\ell\)또는 \(\ell\)에 대해 최대값입니다. c메시지 Mr,2 나 플레이어 i가 v'를 고려한다는 신호 나는 다음 블록의 hash이 되거나 다음 블록을 고려합니다. 블록이 비어 있습니다. 17즉, 모든 서명이 정확하고 블록과 해당 hash이 모두 유효합니다. 비록 제가 확인하지는 않았지만 포함된 페이세트가 제안자에게 최대인지 여부.

3단계: GC의 두 번째 단계 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 3단계를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i \(\in\)SV r,3 또는 아닙니다. • i /\(\in\)SV r,3이면 i는 3단계 실행을 즉시 중지합니다. • i \(\in\)SV r,3이면 t3 \(\triangleq\)t2 + 2\(\lambda\) = 3\(\lambda\) + Λ 시간만큼 기다린 후 i는 다음과 같이 작동합니다. 1. 모든 유효한 메시지 중에서 mr,2를 만족하는 v′ ̸= \(\bot\)값이 존재하는 경우 j 그가 받았고, 그 중 2/3 이상이 (ESIGj(v′), \(\sigma\)r,2 j), 모순 없이,a 그런 다음 그는 mr,3이라는 메시지를 계산합니다. 나 \(\triangleq\)(ESIGi(v′), \(\sigma\)r,3 나). 그렇지 않으면 그는 mr,3을 계산합니다. 나 \(\triangleq\) (ESIGi(\(\bot\)), \(\sigma\)r,3 나). 2. 나는 그의 임시 비밀 키 skr을 파괴합니다.3 i, 그런 다음 mr,3을 전파합니다. 나. a즉, 그는 각각 ESIGj(v′)와 다른 ESIGj(v′′)를 포함하는 두 개의 유효한 메시지를 수신하지 못했습니다. j 선수로부터. 나중에 정의되는 종료 조건을 제외하고 여기서부터, 정직한 플레이어가 특정 형식의 메시지를 원할 경우 서로 모순되는 메시지는 계산되지 않거나 유효한 것으로 간주되지 않습니다.4단계: GC의 출력과 BBA의 첫 번째 단계⋆ 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 4단계를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i \(\in\)SV r,4 또는 아닙니다. • i /\(\in\)SV r,4이면 i는 4단계 실행을 즉시 중지합니다. • i \(\in\)SV r,4이면 t4 \(\triangleq\)t3 + 2\(\lambda\) = 5\(\lambda\) + Λ 시간을 기다린 후 i는 다음과 같이 작동합니다. 1. 그는 GC의 출력인 vi와 gi를 다음과 같이 계산합니다. (a) 모든 유효한 메시지 중에서 mr,3을 만족하는 v′ ̸= \(\bot\)값이 존재한다면, j 그는 가지고 있다 수신된 결과 중 2/3 이상이 (ESIGj(v′), \(\sigma\)r,3 형식입니다. j ) 그런 다음 그는 설정합니다. vi \(\triangleq\)v′ 및 gi \(\triangleq\)2. (b) 그렇지 않은 경우, 모든 유효한 메시지 중에서 v′ ̸= \(\bot\) 값이 존재하는 경우 씨,3 j 그는 그 중 1/3 이상이 다음 형식을 받았습니다. (ESIGj(v′), \(\sigma\)r,3 j), 그런 다음 그는 vi \(\triangleq\)v′ 및 gi \(\triangleq\)1.a를 설정합니다. (c) 그렇지 않으면 그는 vi \(\triangleq\)H(Br τ ) 및 gi \(\triangleq\)0. 2. 그는 BBA⋆의 입력인 bi를 다음과 같이 계산합니다. gi = 2이면 bi \(\triangleq\)0이고, 그렇지 않으면 bi \(\triangleq\)1입니다. 3. 그는 mr,4라는 메시지를 계산합니다. 나 \(\triangleq\)(ESIGi(bi), ESIGi(vi), \(\sigma\)r,4 i), 그의 일시적인 것을 파괴한다 비밀키 skr,4 i , 그런 다음 mr,4를 전파합니다. 나. a경우 (b)의 v′가 존재한다면 고유해야 함을 증명할 수 있습니다.

단계 s, 5 \(\leq\)s \(\leq\)m + 2, s −2 ‚0 mod 3: BBA⋆의 코인 고정-0 단계 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i \(\in\)SV r,s인지 확인합니다. • i /\(\in\)SV r,s이면 i는 자신의 Step s 실행을 즉시 중지합니다. • i \(\in\)SV r,s이면 그는 다음과 같이 행동합니다. – 그는 ts \(\triangleq\)ts−1 + 2\(\lambda\) = (2s −3)\(\lambda\) + Λ 시간이 지날 때까지 기다립니다. – 종료 조건 0: 대기 중 어느 시점에나 다음과 같은 경우가 발생합니다. 문자열 v ̸= \(\bot\) 그리고 다음과 같은 단계 s′ (a) 5 \(\leq\)s′ \(\leq\)s, s′ −2 pho mod 3 — 즉, s′ 단계는 Coin-Fixed-To-0 단계입니다. (b) 나는 적어도 tH를 받았다 = 2n 3 + 1 유효한 메시지 mr,s′−1 j = (ESIGj(0), ESIGj(v), \(\sigma\)r,s′−1 j ), 및 (c) 나는 유효한 메시지를 받았습니다. Mr,1 j = (Br j,esigj(H(Br j )), \(\sigma\)r,1 j ) v = H(Br) j ), 그런 다음 나는 자신의 Step s 실행(실제로는 r 라운드 실행)을 즉시 중지합니다. 무엇이든 전파하는 것; Br = Br로 설정 j ; 자신의 CERT r을 메시지 세트로 설정합니다. 씨,s′−1 j 하위 단계 (b).b – 종료 조건 1: 그러한 대기 중 어느 시점에라도 다음이 존재하는 경우 단계 s' 그렇게 (a') 6 \(\leq\)s' \(\leq\)s, s' −2 pho1 mod 3 — 즉, 단계 s'는 Coin-Fixed-To-1 단계이고, (b') 나는 적어도 tH개의 유효한 메시지 mr,s'-1을 수신했습니다. j = (ESIGj(1), ESIGj(vj), \(\sigma\)r,s′−1 j ),c 그런 다음 나는 자신의 Step s 실행(실제로는 r 라운드 실행)을 즉시 중지합니다. 무엇이든 전파하는 것; Br = Br로 설정 ? ; 자신의 CERT r을 메시지 세트로 설정합니다. 씨,s′−1 j 하위 단계 (b'). – 그렇지 않으면 대기가 끝나면 사용자 i는 다음을 수행합니다. 그는 vi를 모든 유효한 구성 요소의 두 번째 구성 요소에서 vj의 과반수 투표로 설정합니다. 씨,s−1 j ’ 그는 받았습니다. 그는 다음과 같이 bi를 계산합니다. 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(0), ESIGj(vj), \(\sigma\)r,s−1 j ), 그런 다음 bi \(\triangleq\)0을 설정합니다. 그렇지 않고 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(1), ESIGj(vj), \(\sigma\)r,s−1 j ), 그런 다음 bi \(\triangleq\)1을 설정합니다. 그렇지 않으면 bi \(\triangleq\)0을 설정합니다. 그는 mr,s라는 메시지를 계산합니다. 나 \(\triangleq\)(ESIGi(bi), ESIGi(vi), \(\sigma\)r,s i), 그의 일시적인 것을 파괴한다 비밀 키 skr,s i , 그런 다음 mr,s를 전파합니다. 나. a 플레이어 i가 1에 서명한 j로부터 메시지를 받은 경우에도 플레이어 j로부터의 메시지는 계산됩니다. 종료 조건 1과 유사합니다. 분석에서 볼 수 있듯이 이는 모든 정직한 사용자가 알 수 있도록 수행됩니다. Br은 서로 시간 \(\lambda\) 내에 있습니다. b사용자 i는 이제 Br과 자신의 라운드 r 완료를 알고 있습니다. 그는 여전히 일반 사용자로서 메시지 전파를 돕고 있지만 (r, s) 검증자로서 전파를 시작하지 않습니다. 특히 그는 자신의 모든 메시지를 전파하는 데 도움을 주었습니다. CERT r은 우리 프로토콜에 충분합니다. 또한 바이너리 BA 프로토콜에 대해 bi \(\triangleq\)0을 설정해야 하지만 bi 어쨌든 이 경우에는 필요하지 않습니다. 향후 모든 지침에 대해서도 유사합니다. c이 경우 vj가 무엇인지는 중요하지 않습니다.단계 s, 6 \(\leq\)s \(\leq\)m + 2, s −2 ל1 mod 3: BBA⋆의 동전 고정 1 단계 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i \(\in\)SV r,s 또는 아닙니다. • i /\(\in\)SV r,s이면 i는 자신의 Step s 실행을 즉시 중지합니다. • i \(\in\)SV r,s이면 그는 다음을 수행합니다. – 그는 ts \(\triangleq\)(2s −3)\(\lambda\) + Λ 시간이 지날 때까지 기다립니다. – 종료 조건 0: Coin-Fixed-To-0 단계와 동일한 지침입니다. - 종료 조건 1 : Coin-Fixed-To-0 단계와 동일한 지침입니다. – 그렇지 않으면 대기가 끝나면 사용자 i는 다음을 수행합니다. 그는 vi를 모든 유효한 구성 요소의 두 번째 구성 요소에서 vj의 과반수 투표로 설정합니다. 씨,s−1 j ’ 그는 받았습니다. 그는 다음과 같이 bi를 계산합니다. 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(0), ESIGj(vj), \(\sigma\)r,s−1 j ), 그런 다음 bi \(\triangleq\)0을 설정합니다. 그렇지 않고 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(1), ESIGj(vj), \(\sigma\)r,s−1 j ), 그런 다음 bi \(\triangleq\)1을 설정합니다. 그렇지 않으면 bi \(\triangleq\)1을 설정합니다. 그는 mr,s라는 메시지를 계산합니다. 나 \(\triangleq\)(ESIGi(bi), ESIGi(vi), \(\sigma\)r,s i), 그의 일시적인 것을 파괴한다 비밀 키 skr,s i , 그런 다음 mr,s를 전파합니다. 나.

단계 s, 7 \(\leq\)s \(\leq\)m + 2, s −2 ל2 mod 3: BBA⋆의 동전 뒤집기 단계 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i \(\in\)SV r,s 또는 아닙니다. • i /\(\in\)SV r,s이면 i는 자신의 Step s 실행을 즉시 중지합니다. • i \(\in\)SV r,s이면 그는 다음을 수행합니다. – 그는 ts \(\triangleq\)(2s −3)\(\lambda\) + Λ 시간이 지날 때까지 기다립니다. – 종료 조건 0: Coin-Fixed-To-0 단계와 동일한 지침입니다. - 종료 조건 1 : Coin-Fixed-To-0 단계와 동일한 지침입니다. – 그렇지 않으면 대기가 끝나면 사용자 i는 다음을 수행합니다. 그는 vi를 모든 유효한 구성 요소의 두 번째 구성 요소에서 vj의 과반수 투표로 설정합니다. 씨,s−1 j ’ 그는 받았습니다. 그는 다음과 같이 bi를 계산합니다. 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(0), ESIGj(vj), \(\sigma\)r,s−1 j ), 그런 다음 bi \(\triangleq\)0을 설정합니다. 그렇지 않고 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(1), ESIGj(vj), \(\sigma\)r,s−1 j ), 그런 다음 bi \(\triangleq\)1을 설정합니다. 그렇지 않으면, SV r,s−1 나 그가 유효한 정보를 받은 (r, s -1)-검증자의 집합이 됩니다. 메시지 Mr,s−1 j . 그는 bi \(\triangleq\)lsb(minj\(\in\)SV r,s−1 나 H(\(\sigma\)r,s−1 j )). 그는 mr,s라는 메시지를 계산합니다. 나 \(\triangleq\)(ESIGi(bi), ESIGi(vi), \(\sigma\)r,s i), 그의 일시적인 것을 파괴한다 비밀 키 skr,s i , 그런 다음 mr,s를 전파합니다. 나.

m + 3단계: BBA⋆a의 마지막 단계 모든 사용자 i \(\in\)PKr−k에 대한 지침: 사용자 i는 다음과 같이 자신의 라운드 r 단계 m + 3을 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i \(\in\)SV r,m+3 또는 아닙니다. • i /\(\in\)SV r,m+3이면 i는 자신의 단계 m + 3 실행을 즉시 중지합니다. • i \(\in\)SV r,m+3이면 그는 다음을 수행합니다. – 그는 tm+3 \(\triangleq\)tm+2 + 2\(\lambda\) = (2m + 3)\(\lambda\) + Λ 시간이 지날 때까지 기다립니다. – 종료 조건 0: Coin-Fixed-To-0 단계와 동일한 지침입니다. - 종료 조건 1 : Coin-Fixed-To-0 단계와 동일한 지침입니다. – 그렇지 않으면 대기가 끝나면 사용자 i는 다음을 수행합니다. 그는 아웃i \(\triangleq\)1 및 Br \(\triangleq\)Br을 설정합니다. ? 그는 mr,m+3이라는 메시지를 계산합니다. 나 = (ESIGi(outi), ESIGi(H(Br)), \(\sigma\)r,m+3 나 ), 그의 것을 파괴한다 임시 비밀 키 skr,m+3 나 , 그런 다음 mr,m+3을 전파합니다. 나 Br.b를 인증하기 위해 a압도적인 확률로 BBA⋆이 단계 전에 종료되었으며 완전성을 위해 이 단계를 지정합니다. m + 3단계의 bA 인증서에는 ESIGi(outi)가 포함될 필요가 없습니다. 통일성을 위해서만 포함합니다. 이제 인증서는 생성된 단계에 상관없이 동일한 형식을 갖습니다.비검증자에 의한 Round-r 블록 재구성 시스템의 모든 사용자 i를 위한 지침: 사용자 i는 자신이 아는 즉시 자신의 라운드 r을 시작합니다. Br−1이며, 다음과 같이 블록 정보를 기다립니다. – 그러한 대기 중 어느 시점에서나 문자열 v와 단계 s'가 존재하는 경우 그 (a) 5 \(\leq\)s′ \(\leq\)m + 3, s′ −2 ‚0 mod 3, (b) 나는 적어도 tH개의 유효한 메시지 mr,s'-1을 수신했습니다. j = (ESIGj(0), ESIGj(v), \(\sigma\)r,s′−1 j ) 및 (c) 나는 유효한 메시지를 받았습니다. Mr,1 j = (Br j,esigj(H(Br j )), \(\sigma\)r,1 j ) v = H(Br) j ), 그러면 나는 그 자신의 라운드 r 실행을 즉시 중단합니다. Br = Br로 설정 j; 자신의 CERT r을 설정합니다. 메시지 집합 mr,s′−1 j 하위 단계 (b). – 그러한 대기 중 어느 시점에서든 다음과 같은 단계가 존재하는 경우 (a') 6 \(\leq\)s' \(\leq\)m + 3, s' −2 ‚1 mod 3, 그리고 (b') 나는 적어도 tH개의 유효한 메시지 mr,s'-1을 수신했습니다. j = (ESIGj(1), ESIGj(vj), \(\sigma\)r,s′−1 j ), 그러면 나는 그 자신의 라운드 r 실행을 즉시 중단합니다. Br = Br로 설정 ?; 자신의 CERT r을 설정합니다. 메시지 집합 mr,s′−1 j 하위 단계 (b'). – 그러한 대기 중에 어느 시점에서든 내가 적어도 tH개의 유효한 메시지를 받은 경우 미스터,엠+3 j = (ESIGj(1), ESIGj(H(Br Ϋ )), \(\sigma\)r,m+3 j ) 그런 다음 나는 그 자신의 라운드 r 실행을 중지합니다. 즉시 Br = Br로 설정됩니다. ϫ , 자신의 CERT r을 메시지 세트 mr,m+3으로 설정합니다. j 1인용 및 H(Br ? ). 5.5 Algorand 분석 1 분석에 사용된 각 라운드 r \(\geq\)0에 대해 다음 표기법을 소개합니다. • T r을 첫 번째 정직한 사용자가 Br-1을 아는 시간으로 설정합니다. • Ir+1을 간격 [T r+1, T r+1 + \(\lambda\)]로 설정합니다. 프로토콜 초기화에 의해 T 0 = 0이라는 점에 유의하십시오. 각 s \(\geq\)1 및 i \(\in\)SV r,s에 대해 다음을 기억하세요. \(\alpha\)r,s 나 그리고 \(\beta\)r,s 나 는 각각 플레이어 i의 단계 s의 시작 시간과 종료 시간입니다. 더욱이, 각 2 \(\leq\)s \(\leq\)m + 3에 대해 ts = (2s −3)\(\lambda\) + Λ임을 기억하세요. 또한 I0 \(\triangleq\){0} 및 t1 \(\triangleq\)0이라고 둡니다. 마지막으로, Lr \(\leq\)m/3은 베르누이 시행 횟수를 나타내는 확률변수라는 점을 기억하세요. 각 시도가 확률 ph로 1일 때 1을 확인하는 데 필요합니다. 2이며 최대 m/3 시도가 있습니다. 만약 모두 Lr \(\triangleq\)m/3이면 시도가 실패합니다. 분석에서 계산 시간은 실제로 필요한 시간에 비해 무시할 수 있으므로 무시합니다. 메시지를 전파하기 위해. 어쨌든 약간 더 큰 \(\lambda\)와 Λ를 사용하면 계산 시간이 분석에 직접 포함됩니다. 아래 진술의 대부분은 “압도적이다. 확률'을 의미하며, 분석에서 이 사실을 반복적으로 강조하지 않을 수도 있습니다.5.6 주요 정리 정리 5.1. 다음 속성은 각 라운드 r \(\geq\)0에 대해 압도적인 확률로 유지됩니다. 1. 모든 정직한 사용자는 동일한 블록에 동의합니다. 2. 리더 \(\ell\)r이 정직할 때 블록 Br은 \(\ell\)r에 의해 생성되고 Br에는 최대 페이세트가 포함됩니다. 시간 \(\alpha\)r,1까지 \(\ell\)r이 수신함 \(\ell\)r , T r+1 \(\leq\)T r + 8\(\lambda\) + Λ 그리고 모든 정직한 사용자는 그 당시에 Br을 알고 있습니다. 간격 Ir+1. 3. 리더 \(\ell\)r이 악의적일 때, T r+1 \(\leq\)T r + (6Lr + 10)\(\lambda\) + Λ이고 모든 정직한 사용자는 Br을 알고 있습니다. Ir+1 시간 간격에서. 4. Lr에 대한 ph = h2(1 + h −h2)이고 리더 \(\ell\)r은 적어도 ph 확률로 정직합니다. 우리의 주요 정리를 증명하기 전에 두 가지 사항을 언급하겠습니다. 비고. • 블록 생성 및 실제 지연 시간. 블록 Br을 생성하는 시간은 T r+1 −T r로 정의됩니다. 즉, 일부 정직한 사용자가 Br을 처음 배우는 시점과 Br을 처음으로 학습한 시점 간의 차이로 정의됩니다. 정직한 사용자가 처음으로 Br−1을 배웠을 때입니다. 라운드 R 리더가 정직할 때, 재산 2는 우리의 주요 정리는 Br을 생성하는 정확한 시간이 무슨 일이 있어도 8\(\lambda\) + Λ 시간임을 보장합니다. h > 2/3의 정확한 값은 다음과 같습니다. 리더가 악의적인 경우 속성 3은 다음을 의미합니다. Br을 생성하는 데 예상되는 시간의 상한은 ( 12 ph + 10)\(\lambda\) + Λ, 다시 한 번 정확함에 관계없이 그러나 Br이 생성되는 데 예상되는 시간은 h의 정확한 값에 따라 달라집니다. 실제로 속성 4에 따르면 ph = h2(1 + h −h2)이고 리더는 적어도 확률적으로 정직합니다. ph, 따라서 E[T r+1 −T r] \(\leq\)h2(1 + h −h2) \(\cdot\) (8\(\lambda\) + Λ) + (1 −h2(1 + h −h2))(( 12 h2(1 + h −h2) + 10)\(\lambda\) + Λ). 예를 들어, h = 80%이면 E[T r+1 −T r] \(\leq\)12.7\(\lambda\) + Λ입니다. • \(\lambda\) 대 Λ. Algorand ' 단계에서 검증자가 보낸 메시지의 크기가 지배적이라는 점에 유의하세요. 디지털 서명 키의 길이는 고정되어 있을 수 있습니다. 사용자가 엄청납니다. 또한 s > 1인 모든 단계에서 동일한 예상 검증자 수 n이 있다는 점에 유의하세요. 사용자 수가 100K, 100M, 100M이든 상관없이 사용할 수 있습니다. 이는 n이 단독으로 있기 때문에 그렇습니다. h와 F에 따라 달라집니다. 따라서 비밀 키 길이를 갑자기 늘려야 하는 경우를 제외하고, \(\lambda\) 값은 사용자 수가 얼마나 많든 상관없이 동일하게 유지되어야 합니다. 예측 가능한 미래. 대조적으로, 모든 거래율의 경우 거래 수는 거래 수에 따라 증가합니다. 사용자. 따라서 모든 새로운 거래를 적시에 처리하려면 블록의 크기가 같아야 합니다. 또한 사용자 수에 따라 성장하여 Λ도 성장합니다. 따라서 장기적으로 우리는 \(\lambda\) << Λ. 따라서 \(\lambda\)에 대해서는 더 큰 계수를 갖는 것이 적절하며, 실제로 계수는 Λ의 경우 1입니다. 정리 증명 5.1. 귀납법으로 속성 1-3을 증명합니다. 라운드 r −1 동안 유지된다고 가정합니다. (일반성을 잃지 않고 r = 0일 때 "round -1" 동안 자동으로 유지됩니다), 우리는 이를 다음과 같이 증명합니다. 라운드 r. 18실제로, E[T r+1 −T r] \(\leq\)(6E[Lr] + 10)\(\lambda\) + Λ = (6 \(\cdot\) 2 ph + 10) \(\lambda\) + Λ = ( 12 ph + 10) \(\lambda\) + Λ.Br−1은 귀납적 가설에 의해 고유하게 정의되므로 집합 SV r,s는 고유하게 정의됩니다. 라운드 r의 각 단계 s에 대해. n1을 선택하면 SV r,1̸= \(\emptyset\)가 압도적인 확률로 발생합니다. 우리는 지금 섹션 5.7과 5.8에서 증명된 다음 두 가지 기본정리를 기술하십시오. 도입 과정 전반에 걸쳐 두 보조정리의 증명에서 0라운드에 대한 분석은 귀납적 단계와 거의 동일합니다. 그리고 차이점이 발생할 때 이를 강조하겠습니다. 보조정리 5.2. [완전성 정리] 속성 1~3을 가정하면 라운드 r−1에 대해 유지됩니다. \(\ell\)r은 솔직하고 압도적인 확률로, • 모든 정직한 사용자는 \(\ell\)r에 의해 생성되고 최대값을 포함하는 동일한 블록 Br에 동의합니다. 시간 \(\alpha\)r까지 \(\ell\)r만큼 수신된 페이세트,1 \(\ell\)r \(\in\)Ir; 그리고 • T r+1 \(\leq\)T r + 8\(\lambda\) + Λ이고 모든 정직한 사용자는 Ir+1 시간 간격에서 Br을 알고 있습니다. 보조정리 5.3. [건전성 정리] 속성 1~3을 가정하면 라운드 r −1에 대해 유지됩니다. \(\ell\)r은 악의적이며, 압도적인 확률로 모든 정직한 사용자가 동일한 블록 Br, T r+1 \(\leq\)에 동의합니다. T r + (6Lr + 10)\(\lambda\) + Λ이고 모든 정직한 사용자는 Ir+1 시간 간격에서 Br을 알고 있습니다. 속성 1-3은 Lemmas 5.2와 5.3을 r = 0과 유도 단계에 적용하여 유지됩니다. 마지막으로, 우리는 속성 4를 섹션 5.9에서 증명된 다음 보조정리로 다시 기술합니다. 보조정리 5.4. r 이전의 각 라운드에 대해 속성 1-3이 주어지면 Lr에 대한 ph = h2(1 + h −h2)이고 리더 \(\ell\)r은 적어도 ph 확률로 정직합니다. 위의 세 가지 정리를 결합하면 정리 5.1이 성립됩니다. ■ 아래의 보조 정리는 귀납법을 고려할 때 라운드 r에 대한 몇 가지 중요한 속성을 나타냅니다. 가설이며, 위의 세 가지 보조정리의 증명에 사용될 것입니다. 보조정리 5.5. 속성 1-3이 라운드 r −1에 대해 유지된다고 가정합니다. 라운드 r의 각 단계 s \(\geq\)1에 대해 각 정직한 검증자 i \(\in\)HSV r,s, 우리는 다음을 얻습니다. (a) \(\alpha\)r,s 나 \(\in\)Ir; (b) 플레이어 i가 ts만큼 기다린 경우, \(\beta\)r,s 나 r > 0인 경우 \(\in\)[T r + ts, T r + \(\lambda\) + ts] \(\beta\)r,s 나 = ts(r = 0); 그리고 (c) 플레이어 i가 ts 시간 동안 기다린 경우 \(\beta\)r,s 시간만큼 기다렸습니다. 나, 그 사람은 모든 메시지를 받았어요 모든 단계 s′ < s에 대해 모든 정직한 검증자 j \(\in\)HSV r,s′에 의해 전송됩니다. 게다가, 각 단계 s \(\geq\)3에 대해 우리는 다음을 얻습니다. (d) 두 개의 서로 다른 플레이어 i, i′ \(\in\)SV r,s와 동일한 두 개의 서로 다른 값 v, v′가 존재하지 않습니다. 두 플레이어 모두 전체 시간의 2/3가 넘는 시간 ts를 기다렸습니다. 유효한 메시지 mr,s−1 j 내가 받은 선수는 v와 계약했고, 유효한 모든 선수의 2/3 이상이 메시지 mr,s−1 j i' 선수가 v'와 계약했습니다. 증거. 속성 (a)는 플레이어 i가 Br−1을 알고 있기 때문에 귀납적 가설로부터 직접적으로 따릅니다. Ir 시간 간격을 두고 즉시 자신의 발걸음을 시작합니다. 속성 (b)는 (a)에서 직접 따릅니다. 플레이어 나는 행동하기 전에 ts의 시간을 기다렸습니다. \(\beta\)r,s 나 = \(\alpha\)r,s 나 + TS. \(\alpha\)r,s에 주목하세요. 나 = 0 r = 0. 이제 속성 (c)를 증명합니다. s = 2이면 속성 (b)에 따라 모든 검증자 j \(\in\)HSV r,1에 대해 다음을 얻습니다. \(\beta\)r,s 나 = \(\alpha\)r,s 나 + ts \(\geq\)T r + ts = T r + \(\lambda\) + Λ \(\geq\) \(\beta\)r,1 j + Λ.각 검증자 j \(\in\)HSV r,1은 시간 \(\beta\)r,1에 메시지를 보내기 때문에 j 그 메시지는 모두에게 정직하게 전해졌어 최대 Λ 시간, 시간별 \(\beta\)r,s의 사용자 나 플레이어 i는 모든 검증자가 보낸 메시지를 받았습니다. 원하는 대로 HSV r,1을 선택합니다. s > 2이면 ts = ts−1 + 2\(\lambda\)입니다. 속성(b)에 따라 모든 단계 s′ < s 및 모든 검증자 j \(\in\)HSV r,s′에 대해, \(\beta\)r,s 나 = \(\alpha\)r,s 나 + ts \(\geq\)T r + ts = T r + ts−1 + 2\(\lambda\) \(\geq\)T r + ts′ + 2\(\lambda\) = T r + \(\lambda\) + ts′ + \(\lambda\) \(\geq\) \(\beta\)r,s′ j + \(\lambda\). 각 검증자 j \(\in\)HSV r,s′는 시간 \(\beta\)r,s′에 메시지를 보내기 때문에 j 그 메시지는 모두에게 정직하게 전해졌어 최대 \(\lambda\) 시간, 시간 \(\beta\)r,s의 사용자 나 플레이어 i는 모든 정직한 검증자가 보낸 모든 메시지를 받았습니다. 모든 s' < s에 대해 HSV r,s'에서. 따라서 속성 (c)가 성립합니다. 마지막으로 속성 (d)를 증명합니다. 검증자 j \(\in\)SV r,s−1은 최대 두 가지에 서명합니다. 임시 비밀 키를 사용하는 s -1 단계: 출력과 동일한 길이의 값 vj hash 함수 및 s −1 \(\geq\)4인 경우 비트 bj \(\in\){0, 1}. 그렇기 때문에 보조정리의 진술에서 우리는 v와 v′의 길이가 동일해야 합니다. 많은 검증자가 hash 값에 모두 서명했을 수 있습니다. v 및 비트 b, 따라서 둘 다 2/3 임계값을 통과합니다. 모순을 위해 원하는 검증자 i, i'와 값 v, v'가 존재한다고 가정합니다. MSV r,s−1의 일부 악의적인 검증자는 v와 v'에 모두 서명했을 수 있지만 각각은 정직합니다. HSV r,s−1의 검증자는 최대 하나에 서명했습니다. 속성 (c)에 따라 i와 i'는 모두 수신되었습니다. HSV r,s−1의 모든 정직한 검증자가 보낸 모든 메시지. HSV r,s−1(v)를 v, MSV r,s−1에 서명한 정직한 (r, s −1) 검증자의 집합이라고 가정합니다. 나 세트 i가 유효한 메시지를 수신한 악의적인 (r,s-1)-검증자 및 MSV r,s-1 나 (v) MSV r,s−1의 하위 집합 나 나는 누구로부터 유효한 메시지 서명을 받았습니까? v. 요구 사항에 따라 나와 v, 우리는 비율 \(\triangleq\)|HSV r,s−1(v)| + |MSV r,s−1 나 (v)| |HSV r,s−1| + |MSV r,s−1 나 |

2 3. (1) 우리는 처음으로 보여줍니다 |MSV r,s−1 나 (v)| \(\leq\)|HSV r,s−1(v)|. (2) 다르게 가정하면, 매개변수 간의 관계로 인해 압도적인 확률로 |HSV r,s−1| > 2|MSV r,s−1| \(\geq\)2|MSV r,s−1 나 |따라서 비율 < |HSV r,s−1(v)| + |MSV r,s−1 나 (v)| 3|MSV r,s−1 나 | < 2|MSV r,s−1 나 (v)| 3|MSV r,s−1 나 | \(\leq\)2 3, 모순되는 불평등 1. 다음으로, 불평등 1에 의해 우리는 2|HSV r,s−1| + 2|MSV r,s−1 나 | < 3|HSV r,s−1(v)| + 3|MSV r,s−1 나 (v)| \(\leq\) 3|HSV r,s−1(v)| + 2|MSV r,s−1 나 | + |MSV r,s−1 나 (v)|. 불평등 2와 결합하면, 2|HSV r,s−1| < 3|HSV r,s−1(v)| + |MSV r,s−1 나 (v)| \(\leq\)4|HSV r,s−1(v)|, 이는 다음을 의미한다 |HSV r,s−1(v)| > 1 2|HSV r,s−1|.마찬가지로, i'와 v'에 대한 요구 사항에 따라 다음과 같습니다. |HSV r,s−1(v′)| > 1 2|HSV r,s−1|. 정직한 검증자 j \(\in\)HSV r,s−1은 그의 임시 비밀 키 skr,s−1을 파괴하므로 j 전파하기 전에 그의 메시지에 따르면, 공격자는 j가 서명하지 않은 값에 대해 j의 서명을 위조할 수 없습니다. j가 검증자임을 학습합니다. 따라서 위의 두 부등식은 |HSV r,s−1| \(\geq\)|HSV r,s−1(v)| + |HSV r,s−1(v′)| > |HSV r,s−1|, 모순입니다. 따라서 원하는 i, i', v, v'는 존재하지 않으며, 재산 (d)가 보유됩니다. ■ 5.7 완전성 정리 보조정리 5.2. [완전성 정리, 다시 설명] 속성 1-3을 가정하면 라운드 r−1에 대해 유지됩니다. 리더 \(\ell\)r은 정직하고, 압도적인 확률로, • 모든 정직한 사용자는 \(\ell\)r에 의해 생성되고 최대값을 포함하는 동일한 블록 Br에 동의합니다. 시간 \(\alpha\)r까지 \(\ell\)r만큼 수신된 페이세트,1 \(\ell\)r \(\in\)Ir; 그리고 • T r+1 \(\leq\)T r + 8\(\lambda\) + Λ이고 모든 정직한 사용자는 Ir+1 시간 간격에서 Br을 알고 있습니다. 증거. 귀납적 가설과 Lemma 5.5에 의해 각 단계 s와 검증자 i \(\in\)HSV r,s에 대해, \(\alpha\)r,s 나 \(\in\)이르. 아래에서는 프로토콜을 단계별로 분석합니다. 1단계. 정의에 따르면 모든 정직한 검증자 i \(\in\)HSV r,1은 원하는 메시지 mr,1을 전파합니다. 나 ~에 시간 \(\beta\)r,1 나 =\(\alpha\)r,1 나, 어디 있어?1 나 = (Br i , Esigi(H(Br i )), \(\sigma\)r,1 나), 브르 나는 = (r, 지불 r i , SIGi(Qr−1), H(Br−1)), 그리고 돈을 지불하세요 나는 \(\alpha\)r,1까지 내가 본 모든 지불 중에서 최대 지불 세트입니다. 나. 2단계. 정직한 검증자 i \(\in\)HSV r,2를 임의로 수정합니다. Lemma 5.5에 따르면 플레이어 i가 완료되면 시간 \(\beta\)r,2에서 대기 중 나 =\(\alpha\)r,2 나 + t2, 그는 HSV r,1의 검증자가 보낸 모든 메시지를 받았습니다. 씨,1 \(\ell\)r . \(\ell\)r의 정의에 따르면, PKr−k에는 자격 증명이 hash인 다른 플레이어가 존재하지 않습니다. 값이 H(\(\sigma\)r,1보다 작음) \(\ell\)r). 물론, 대적은 H(\(\sigma\)r,1 \(\ell\)r ) 매우 작지만 그 때쯤에는 플레이어 \(\ell\)r이 자신의 임시 키와 mr,1 메시지를 파기했습니다. \(\ell\)r 전파되었습니다. 따라서 검증자 i는 자신의 리더를 플레이어 \(\ell\)r로 설정합니다. 따라서 시간 \(\beta\)r,2에서 나 , 검증자 i가 Mr,2를 전파합니다. 나 = (ESIGi(v′ 나), \(\sigma\)r,2 i ), 여기서 v' 나는 = H(Br \(\ell\)r). r = 0일 때 유일한 차이점은 그게 \(\beta\)r,2인가요? 나 = t2가 아닌 범위에 속합니다. 향후 단계에 대해서도 비슷한 말을 할 수 있으며 우리는 다시는 강조하지 않겠습니다. 3단계. 정직한 검증자 i \(\in\)HSV r,3을 임의로 수정합니다. Lemma 5.5에 따르면 플레이어 i가 완료되면 시간 \(\beta\)r,3에서 대기 중 나 =\(\alpha\)r,3 나 + t3, 그는 HSV r,2의 검증자가 보낸 모든 메시지를 받았습니다. 매개변수 간의 관계로 보면 압도적인 확률 |HSV r,2| > 2|MSVr,2|. 더욱이 정직한 검증자는 모순되는 메시지에 서명하지 않을 것이며, 대적은 정직한 검증자가 해당 내용을 파기한 후에는 정직한 검증자의 서명을 위조할 수 없습니다. 임시 비밀 키. 따라서 내가 받은 모든 유효한 (r, 2) 메시지 중 2/3 이상이 다음에서 온 것입니다. 정직한 검증자이며 mr,2 형식입니다. j = (ESIGj(H(Br \(\ell\)r)), \(\sigma\)r,2 j), 모순이 없습니다. 따라서 시간 \(\beta\)r,3에 나 플레이어 i가 Mr,3을 전파합니다. 나 = (ESIGi(v′), \(\sigma\)r,3 i ), 여기서 v' = H(Br \(\ell\)r).4단계. 정직한 검증자 i \(\in\)HSV r,4를 임의로 수정합니다. Lemma 5.5에 의해 플레이어 i는 모든 것을 받았습니다. HSV r,3의 검증자가 시간 \(\beta\)r,4에서 대기를 마쳤을 때 보낸 메시지 나 =\(\alpha\)r,4 나 + t4. 유사하다 3단계, 내가 받은 모든 유효한 (r, 3) 메시지의 2/3 이상이 정직한 검증자로부터 온 것이며 Mr,3 형식의 j = (ESIGj(H(Br \(\ell\)r)), \(\sigma\)r,3 j). 따라서 플레이어 i는 vi = H(Br)로 설정합니다. \(\ell\)r), gi = 2, bi = 0. 시간 \(\beta\)r,4 나 =\(\alpha\)r,4 나 +t4 그는 전파한다 씨,4 나 = (ESIGi(0), ESIGi(H(Br \(\ell\)r)), \(\sigma\)r,4 나). 5단계. 정직한 검증자 i \(\in\)HSV r,5를 임의로 수정합니다. Lemma 5.5에 따르면 플레이어는 다음과 같습니다. \(\alpha\)r,5 시간까지 기다렸다면 검증자가 보낸 모든 메시지를 HSV r,4에서 수신했습니다. 나 +t5. 참고하세요 |HSV r,4| \(\geq\)tH.19 또한 HSV r,4의 모든 검증자는 H(Br에 서명했습니다. \(\ell\)r). |MSV r,4| < tH, v′ ̸= H(Br은 존재하지 않습니다. \(\ell\)r) tH가 서명했을 수도 있음 SV r,4의 검증자(반드시 악의적일 수 있음)이므로 플레이어 i는 그가 완료하기 전에 멈추지 않습니다. 유효한 메시지를 받았습니다. Mr,4 j = (ESIGj(0), ESIGj(H(Br \(\ell\)r)), \(\sigma\)r,4 j). T를 다음과 같은 시간으로 설정합니다. 후자의 사건이 발생합니다. 이러한 메시지 중 일부는 악의적인 플레이어가 보낸 것일 수도 있지만 |MSV r,4| < thH, 그 중 적어도 하나는 HSV r,4의 정직한 검증자로부터 왔으며 시간이 지난 후에 전송됩니다. T r +t4. 따라서 T \(\geq\)T r +t4 > T r +\(\lambda\)+Λ \(\geq\) \(\beta\)r,1 \(\ell\)r +Λ, 그리고 시간이 지나면 T 플레이어 i도 수신합니다. 메시지 씨,1 \(\ell\)r . 프로토콜의 구성에 따라 플레이어 i는 시간 \(\beta\)r,5에서 중지됩니다. 나 = T 없이 무엇이든 전파하는 것; Br = Br로 설정 \(\ell\)r; 그리고 자신의 CERT r을 (r, 4)-메시지 세트로 설정합니다. 0과 H(Br \(\ell\)r) 받은 것입니다. 단계 s > 5. 마찬가지로, 모든 단계 s > 5와 검증자 i \(\in\)HSV r,s에 대해 플레이어 i는 \(\alpha\)r,s 시간까지 기다렸다면 검증자가 보낸 모든 메시지를 HSV r,4에서 수신했습니다. 나 + TS. 의해 동일한 분석으로, 플레이어 i는 아무것도 전파하지 않고 정지하며 Br = Br로 설정됩니다. \(\ell\)r (그리고 자신의 설정 CERT r이 적절합니다). 물론 악성 검증자는 멈추지 않고 임의적으로 전파할 수도 있습니다. 메시지가 있지만 |MSV r,s| < tH, 유도에 의해 다른 v'는 tH 검증자에 의해 서명될 수 없습니다. 모든 4단계 \(\leq\)s' < s에서 정직한 검증자는 유효한 tH를 받았기 때문에 중지합니다. (r, 4)-0 및 H(Br에 대한 메시지 \(\ell\)r). Round-r 블록의 재구성. 5단계의 분석은 일반적인 정직성에 적용됩니다. 사용자 i는 거의 변화가 없습니다. 실제로, 플레이어 i는 Ir 간격에서 자신의 라운드 r을 시작하고 H(Br에 대한 tH 유효한 (r, 4) 메시지를 수신한 경우에만 시간 T에서 중지합니다. \(\ell\)r). 또 왜냐하면 그 메시지 중 적어도 하나는 정직한 검증자로부터 온 것이며 T r + t4 시간 후에 전송됩니다. 플레이어 i는 Mr,1도 받았습니다. \(\ell\)r은 시간 T만큼입니다. 따라서 그는 Br = Br로 설정합니다. 적절한 CERT r을 사용하여 \(\ell\)r. 모든 정직한 사용자가 Ir+1 시간 간격 내에 라운드 r을 완료한다는 것을 보여주는 것만 남았습니다. 5단계의 분석에 따르면 모든 정직한 검증자 i \(\in\)HSV r,5는 \(\alpha\)r,5 이전에 Br을 알고 있습니다. 나 + t5 \(\leq\) T r + \(\lambda\) + t5 = T r + 8\(\lambda\) + Λ. T r+1은 최초의 정직한 사용자 ir이 Br을 아는 시간이므로 다음과 같습니다. T r+1 \(\leq\)T r + 8\(\lambda\) + Λ 원하는대로. 더욱이 ir 플레이어가 Br을 알고 있다면 그는 이미 메시지를 전파하는 데 도움을 준 것입니다. 그의 CERT r. 이러한 모든 메시지는 \(\lambda\) 시간 내에 모든 정직한 사용자에게 수신됩니다. 19 엄밀히 말하면 이러한 일은 매우 높은 확률로 발생하지만 반드시 압도적인 것은 아닙니다. 그러나 이 확률은 프로토콜의 실행 시간에 약간 영향을 미치지만 정확성에는 영향을 미치지 않습니다. h = 80%일 때, |HSV r,4| 확률이 1 −10−8인 \(\geq\)tH. 이 이벤트가 발생하지 않으면 프로토콜은 다른 이벤트로 계속됩니다. 3단계. 두 단계에서 이것이 발생하지 않을 확률은 무시할 수 있으므로 프로토콜은 8단계에서 완료됩니다. 그렇다면 필요한 단계 수는 거의 5개입니다.ir 플레이어는 이를 전파한 최초의 플레이어였습니다. 게다가 위의 분석에 따르면 T r+1 \(\geq\)T r + t4 \(\geq\) \(\beta\)r,1 \(\ell\)r + Λ, 따라서 모든 정직한 사용자는 mr,1을 받았습니다. \(\ell\)r 시간 T r+1 + \(\lambda\). 따라서, 모든 정직한 사용자는 Ir+1 = [T r+1, T r+1 + \(\lambda\)] 시간 간격에서 Br을 알고 있습니다. 마지막으로, r = 0인 경우 실제로 T 1 \(\leq\)t4 + \(\lambda\) = 6\(\lambda\) + Λ가 됩니다. 모든 것을 하나로 결합하여, Lemma 5.2가 유지됩니다. ■ 5.8 건전성 정리 보조정리 5.3. [건전성 정리, 다시 설명] 속성 1-3을 가정하면 라운드 r −1에 대해 유지됩니다. 리더 \(\ell\)r은 악의적이며 압도적인 확률로 모든 정직한 사용자가 동일한 블록에 동의합니다. Br, T r+1 \(\leq\)T r + (6Lr + 10)\(\lambda\) + Λ 그리고 모든 정직한 사용자는 Ir+1 시간 간격에서 Br을 알고 있습니다. 증거. 우리는 프로토콜의 두 부분인 GC와 BBA⋆를 별도로 고려합니다. GC. 귀납적 가설과 Lemma 5.5에 따라 모든 단계 s \(\in\){2, 3, 4} 및 모든 정직한 단계에 대해 검증자 i \(\in\)HSV r,s, 플레이어 i가 시간 \(\beta\)r,s에 행동할 때 나 = \(\alpha\)r,s 나 + ts, 그는 보낸 모든 메시지를 받았습니다 s' < s 단계의 모든 정직한 검증자에 의해 수행됩니다. 4단계에서는 두 가지 가능한 경우를 구별합니다. 사례 1. 검증자가 없음 i \(\in\)HSV r,4는 gi = 2로 설정합니다. 이 경우 정의에 따르면 모든 검증자 i \(\in\)HSV r,4에 대해 bi = 1입니다. 즉, 그들은 다음으로 시작합니다. 바이너리 BA 프로토콜에서 1에 대한 합의. 그들은 vi에 대해 합의하지 않았을 수도 있습니다. 그러나 바이너리 BA에서 볼 수 있듯이 이것은 중요하지 않습니다. 사례 2. gˆi = 2인 검증자 ˆi \(\in\)HSV r,4가 존재합니다. 이 경우에 우리는 다음을 보여줍니다. (1) 모든 i \(\in\)HSV r,4에 대해 gi \(\geq\)1, (2) 모든 i \(\in\)HSV r,4에 대해 vi = v'를 만족하는 값 v'가 존재하고, (3) 유효한 메시지가 존재합니다. mr,1 \(\ell\) v' = H(Br을 만족하는 일부 검증기 \(\ell\) \(\in\)SV r,1로부터 \(\ell\)). 실제로 플레이어 ˆi는 정직하고 gˆi = 2로 설정했기 때문에 모든 유효한 메시지의 2/3 이상이 mr,3입니다. j 그는 동일한 값 v′ ̸= \(\bot\)에 대해 수신했으며 vˆi = v′로 설정했습니다. Lemma 5.5의 속성 (d)에 따르면 다른 정직한 (r, 4) 검증자 i에 대해서는 그 이상일 수 없습니다. 모든 유효한 메시지의 2/3보다 mr,3 j i′가 받은 값은 v′′̸=v′와 같습니다. 따라서 i가 gi = 2로 설정하면 i도 v'에 대해 > 2/3 다수를 보았고 설정되어야 합니다. vi = v′, 원하는 대로. 이제 gi < 2인 임의의 검증기 i \(\in\)HSV r,4를 고려해 보겠습니다. 속성 분석과 유사합니다. (d) Lemma 5.5에서 플레이어 ˆi는 v'에 대해 > 2/3 다수를 보았기 때문에 1보다 더 많습니다. 2|HSV r,3| 정직한 (r, 3)-검증자는 v'에 서명했습니다. 왜냐하면 나는 정직한 (r, 3) 검증자로부터 모든 메시지를 받았기 때문입니다. 시간 \(\beta\)r,4 나 =\(\alpha\)r,4 나 + t4, 그는 특히 1개 이상을 받았습니다. 2|HSV r,3| 그들로부터의 메시지 v'에 대해. 왜냐하면 |HSV r,3| > 2|MSV r,3|, 나는 v′에 대해 > 1/3 다수를 보았습니다. 이에 따라 플레이어 i는 gi = 1로 설정하고 속성 (1)이 유지됩니다. 플레이어 i는 반드시 vi = v′로 설정해야 합니까? 다음과 같은 다른 값 v′′ ̸= \(\bot\)이 존재한다고 가정합니다. 플레이어 i는 또한 v′′에 대해 > 1/3 다수를 보았습니다. 해당 메시지 중 일부는 악의적인 메시지일 수 있습니다. 그러나 그들 중 적어도 한 명은 정직한 검증자 j \(\in\)HSV r,3에게서 왔습니다: 실제로, 왜냐하면 |HSV r,3| > 2|MSV r,3| 그리고 나는 악성 그룹인 HSV r,3으로부터 모든 메시지를 받았습니다. 내가 유효한 (r, 3) 메시지를 받은 검증자는 모든 유효한 메시지의 < 1/3에 해당합니다. 그 사람이 받은 메시지.정의에 따르면 플레이어 j는 모든 유효한 (r, 2) 메시지 중에서 v''에 대해 > 2/3 다수를 보았어야 합니다. 그는 받았습니다. 그러나 우리는 이미 다른 정직한 (r, 3) 검증자들이 본 것을 가지고 있습니다. v'에 대한 2/3 다수(v'에 서명했기 때문). Lemma 5.5의 속성 (d)에 따르면 이는 불가능합니다. 발생하며 그러한 값 v''는 존재하지 않습니다. 따라서 플레이어 i는 vi = v′를 원하는 대로 설정해야 합니다. 재산(2)이 보유됩니다. 마지막으로, 일부 정직한 (r, 3) 검증자는 v'에 대해 > 2/3 다수를 보았으며 일부(실제로는 절반 이상의 정직한 (r, 2) 검증자들이 v'에 서명하고 그들의 메시지를 전파했습니다. 프로토콜을 구성함으로써 정직한 (r, 2) 검증자는 유효한 메시지 미스터, 1 \(\ell\) 일부 플레이어의 \(\ell\) \(\in\)SV r,1 v' = H(Br \(\ell\))이므로 성질 (3)이 성립한다. BBA⋆. 우리는 다시 두 가지 경우를 구별합니다. 사례 1. 모든 검증자 i \(\in\)HSV r,4는 bi = 1입니다. 이는 GC의 사례 1 이후에 발생합니다. |MSV r,4| < tH, 이 경우 SV r,5에는 검증자가 없습니다. 비트 0에 대한 유효한 (r,4) 메시지를 수집하거나 생성할 수 있습니다. 따라서 HSV r,5에는 정직한 검증자가 없습니다. 비어 있지 않은 블록을 알고 있기 때문에 멈출 것입니다. 더욱이, 비트 1에 대해 적어도 tH개의 유효한 (r, 4)-메시지가 있지만, s' = 5는 다음을 만족하지 않습니다. s′ −2 ė1 mod 3, 따라서 HSV r,5의 정직한 검증자는 Br = Br을 알고 있기 때문에 중지하지 않을 것입니다. ? 대신 모든 검증자 i \(\in\)HSV r,5는 시간 \(\beta\)r,5에 작동합니다. 나 =\(\alpha\)r,5 나 + t5, 그가 모든 것을 받았을 때까지 Lemma 5.5에 따라 HSV r,4에서 보낸 메시지입니다. 따라서 플레이어 i는 1에 대해 > 2/3 다수를 보았습니다. bi = 1로 설정합니다. Coin-Fixed-To-1 단계인 6단계에서는 s' = 5가 s' −2 pho mod 3을 만족하지만, 비트 0에 대한 유효한 (r, 4) 메시지가 존재하지 않으므로 HSV r,6의 검증자는 중지되지 않습니다. 그는 비어 있지 않은 블록을 알고 있습니다. 그러나 s' = 6인 경우 s' −2 =1 mod 3이 존재합니다. |HSV r,5| \(\geq\)tH 유효(r, 5) - HSV r,5의 비트 1에 대한 메시지. 모든 검증자 i \(\in\)HSV r,6에 대해 Lemma 5.5를 따르고 시간 \(\alpha\)r,6 이전에 나 + t6 플레이어 i HSV r,5로부터 모든 메시지를 수신했으므로 아무 것도 전파하지 않고 중지하고 설정합니다. 브롬 = 브롬 ? 그의 CERT r은 tH 유효한 (r, 5) 메시지 mr,5의 집합입니다. j = (ESIGj(1), ESIGj(vj), \(\sigma\)r,5 j) 그가 멈출 때 그에게 받았습니다. 다음으로, 플레이어 i가 s > 6 단계의 정직한 검증자이거나 일반적이고 정직한 사용자(즉, 비검증자). Lemma 5.2의 증명과 유사하게 플레이어 i는 Br = Br을 설정합니다. ث 그리고 자신의 것을 설정합니다 CERT r은 tH 유효한 (r, 5)-메시지 mr,5의 집합입니다. j = (ESIGj(1), ESIGj(vj), \(\sigma\)r,5 j) 그는 받았습니다. 마지막으로 Lemma 5.2와 유사합니다. Tr+1 \(\leq\) 분 i\(\in\)HSV r,6 \(\alpha\)r,6 나 + t6 \(\leq\)T r + \(\lambda\) + t6 = T r + 10\(\lambda\) + Λ, 그리고 모든 정직한 사용자는 Ir+1 시간 간격에서 Br을 알고 있습니다. 왜냐하면 첫 번째 정직한 사용자 i는 Br이 자신의 CERT r에서 (r, 5) 메시지를 전파하는 데 도움을 주었다는 것을 알고 있습니다. 사례 2. bˆi = 0인 검증자 ˆi \(\in\)HSV r,4가 존재합니다. 이는 GC의 사례 2 다음에 발생하며 더 복잡한 경우입니다. GC 분석에 따르면, 이 경우에는 유효한 메시지 mr,1이 존재합니다. \(\ell\) vi = H(Br \(\ell\)) 모든 i \(\in\)HSV r,4에 대해. 참고 HSV r,4의 검증자는 Bi에 대해 합의하지 않을 수 있습니다. 임의의 단계 s \(\in\){5, . . . , m + 3} 및 검증자 i \(\in\)HSV r,s, Lemma 5.5 플레이어에 의해 i는 HSV r,4 \(\cup\) \(\cdots\) \(\cup\)HSV r,s−1에서 모든 정직한 검증자가 보낸 모든 메시지를 받았습니다. 시간 동안.이제 다음 사건 E를 고려합니다. 첫 번째로 다음과 같은 단계 s\(\geq\)5가 존재합니다. 바이너리 BA의 시간, 일부 플레이어 i\(\in\)SV r,s(악의적이든 정직하든)는 중지되어야 합니다. 아무것도 전파하지 않고. 우리는 "멈춰야 한다"라는 표현을 사용하여 플레이어가 i 악의적인 경우 프로토콜에 따라 중지해서는 안 되는 척할 수 있으며 적이 선택한 메시지를 전파합니다. 또한 프로토콜을 구성함으로써 다음 중 하나를 수행할 수 있습니다. (E.a) i는 최소한 tH개의 유효한 메시지 mr,s′-1을 수집하거나 생성할 수 있습니다. j = (ESIGj(0), ESIGj(v), \(\sigma\)r,s′−1 j ) 동일한 v 및 s′에 대해, 5 \(\leq\)s′ \(\leq\)s및 s′ −2 ל0 mod 3; 또는 (E.b) i는 적어도 tH개의 유효한 메시지 mr,s′-1을 수집하거나 생성할 수 있습니다. j = (ESIGj(1), ESIGj(vj), \(\sigma\)r,s′−1 j ) 동일한 s′에 대해 6 \(\leq\)s′ \(\leq\)s및 s′ −2 ‚1 mod 3입니다. 정직한 (r, s′ −1) 메시지는 모든 정직한 (r, s′) 검증자가 수신하기 전에 수신되기 때문입니다. 단계 s'에서 대기가 완료되고, 적대자는 늦어도 단계 s'에서 모든 것을 수신하기 때문에 정직한 사용자라면 일반성을 잃지 않고 s′ = s이고 플레이어 i는 악의적입니다. 참고하세요 우리는 유효한 블록의 hash이 되기 위해 E.a의 v 값을 요구하지 않았습니다. 분석에서 v = H(Br \(\ell\)) 이 하위 이벤트에서. 아래에서는 먼저 사건 E에 따른 사례 2를 분석한 다음 s의 값이 본질적으로 다음과 같다는 것을 보여줍니다. Lr에 따라 분배됨(따라서 이벤트 E는 단계 m + 3 이전에 압도적으로 발생함) 매개변수의 관계가 주어진 확률). 우선, 임의의 단계 5 \(\leq\)s < s에 대해, 모든 정직한 검증자 i \(\in\)HSV r,s는 ts 시간을 기다렸다가 vi를 투표의 과반수 투표로 설정했습니다. 유효한 (r, s−1)-그가 받은 메시지. 플레이어 i는 모든 정직한 (r, s−1) 메시지를 수신했기 때문에 HSV r,4의 모든 정직한 검증자는 Lemma 5.5에 따라 H(Br)에 서명했습니다. \(\ell\)) 다음의 경우 GC의 2, 이후 |HSV r,s−1| > 2|MSV r,s−1| 각 s에 대해 유도에 의해 우리는 그 플레이어 i를 갖게 됩니다. 설정했습니다 vi = H(Br \(\ell\)). 전파하지 않고 멈추지 않는 모든 정직한 검증자 i \(\in\)HSV r,s에 대해서도 마찬가지입니다. 무엇이든. 이제 우리는 단계 s를 고려하고 4개의 하위 사례를 구별합니다. 사례 2.1.a. 사건 E.a가 발생하고 i′ \(\in\)HSV r,s를 수행해야 하는 정직한 검증자가 존재합니다. 또한 아무것도 전파하지 않고 중지합니다. 이 경우 s−2 pho 0 mod 3이 있고 단계 s는 Coin-Fixed-To-0 단계입니다. 작성자: 정의에 따르면, 플레이어 i'는 최소한 다음 형식의 tH개의 유효한 (r, s−1) 메시지를 수신했습니다. (ESIGj(0), ESIGj(v), \(\sigma\)r,s−1 j ). HSV r,s−1의 모든 검증자는 H(Br)에 서명했기 때문에 \(\ell\)) 그리고 |MSV r,s−1| < tH, v = H(Br \(\ell\)). 적어도 tH −|MSV r,s−1| 0과 v에 대해 i'가 수신한 (r, s−1)-메시지 중 \(\geq\)1개 T r +ts−1 \(\geq\)T r +t4 \(\geq\)T r +\(\lambda\)+Λ \(\geq\) \(\beta\)r,1 이후 HSV r,s−1의 검증자에 의해 전송됩니다. \(\ell\) +Λ, i' 플레이어가 Mr,1을 받았습니다. \(\ell\) 그가 (r, s−1)-메시지를 수신할 때까지. 따라서 플레이어 i'는 아무것도 전파하지 않고 중지됩니다. Br = Br로 설정 \(\ell\); 자신의 CERT r을 그가 수신한 0과 v에 대한 유효한 (r, s−1) 메시지 세트. 다음으로 우리는 다른 검증자 i \(\in\)HSV r,s가 Br = Br로 중지되었음을 보여줍니다. \(\ell\) 또는 bi = 0으로 설정하고 (ESIGi(0), ESIGi(H(Br)을 전파했습니다. \(\ell\))), \(\sigma\)r,s 나). 실제로 Step s 때문에 일부 검증자가 아무것도 전파하지 않고 중지해야 하는 첫 번째 경우입니다. tH (r, s' −1)-검증자가 1에 서명하도록 s' −2 pho1 mod 3인 단계 s' < s가 존재합니다. 따라서 HSV r,s의 검증자는 Br = Br에서 중지되지 않습니다. ?더욱이, 모든 정직한 검증자들은 {4, 5, . . . , s−1}은 H(Br에 서명했습니다. \(\ell\)) 그렇죠 tH (r, s' −1)-검증자가 서명한 단계 s' \(\leq\)s with s' −2 ל0 mod 3이 존재하지 않습니다. 일부 v′′ ̸= H(Br \(\ell\)) —실제로, |MSV r,s′−1| < tH. 따라서 HSV r,s의 검증자는 중지되지 않습니다. Br ̸= Br Ϋ 및 Br ̸= Br \(\ell\). 즉, 플레이어 i \(\in\)HSV r,s가 무엇이든 전파하려면 Br = Br을 설정해야 합니다. \(\ell\). 플레이어 i \(\in\)HSV r,s가 시간 ts를 기다리고 시간에 메시지를 전파한 경우 \(\beta\)r,s 나 = \(\alpha\)r,s 나 + ts, 그는 HSV r,s−1로부터 모든 메시지를 받았습니다. tH −|MSV r,s−1| 그 중 0과 v에 대한 것입니다. 내가 1에 대해 2/3 이상의 다수를 본 경우, 그는 1개에 대해 2(tH −|MSV r,s−1|) 이상의 유효한 (r, s−1) 메시지를 확인했습니다. 2tH −3|MSV r,s−1|보다 그 중 정직한 (r, s−1) 검증자로부터 나온 것입니다. 그러나 이는 다음을 의미합니다. |HSV r,s−1| \(\geq\)tH−|MSV r,s−1|+2tH−3|MSV r,s−1| > 2n−4|MSV r,s−1|, 모순됨 그 사실 |HSV r,s−1| + 4|MSV r,s−1| <2n, 이는 매개변수의 관계에서 비롯됩니다. 따라서 > 2/3이 표시되지 않습니다. 1이 다수이고 Step s가 Coin-Fixed-To-0 단계이기 때문에 bi = 0으로 설정합니다. 우리가 가지고 있는 것처럼 본, vi = H(Br \(\ell\)). 따라서 i는 (ESIGi(0), ESIGi(H(Br)을 전파합니다. \(\ell\))), \(\sigma\)r,s i) 우리가 원했던 대로 쇼. 단계 s+ 1의 경우, 플레이어 i'가 자신의 CERT r에서 메시지를 전파하는 데 도움을 주었기 때문입니다. 시간 또는 그 이전 \(\alpha\)r,s 나' + ts, HSV r,s+1의 모든 정직한 검증자는 최소한 tH 유효(r, s−1) - 비트 0 및 값 H(Br에 대한 메시지 \(\ell\)) 작업이 완료되거나 완료되기 전 기다리고 있습니다. 게다가 HSV r,s+1의 검증자는 (r, s−1)-을 수신하기 전에는 멈추지 않을 것입니다. 메시지, 왜냐하면 비트 1에 대한 다른 tH 유효한 (r, s′ -1) 메시지가 존재하지 않기 때문입니다. s′ −2 ל1 mod 3 및 6 \(\leq\)s′ \(\leq\)s+ 1, 단계 s의 정의에 따라. 특히, 스텝 s+ 1 자체는 Coin-Fixed-To-1 단계이지만 HSV r,s의 정직한 검증자는 전파되지 않았습니다. 1에 대한 메시지 및 |MSV r,s| < tH. 따라서 HSV r,s+1의 모든 정직한 검증자는 아무 것도 전파하지 않고 중지하고 Br = 브르 \(\ell\): 이전과 마찬가지로 mr,1을 받았습니다. \(\ell\) 그들이 원하는 (r, s−1)-메시지를 받기 전에.20 향후 단계의 모든 정직한 검증자와 일반적으로 모든 정직한 사용자에 대해서도 마찬가지입니다. 특히 다들 Br = Br인거 아시죠? Ir+1 시간 간격 내에서 \(\ell\)이고 T r+1 \(\leq\) \(\alpha\)r,s 나' + ts\(\leq\)T r + \(\lambda\) + ts. 사례 2.1.b. 이벤트 E.b가 발생하고 i′ \(\in\)HSV r,s를 수행해야 하는 정직한 검증자가 존재합니다. 또한 아무것도 전파하지 않고 중지합니다. 이 경우 s−2 pho1 mod 3이 있고 단계 s는 Coin-Fixed-To-1 단계입니다. 분석 Case 2.1.a와 유사하며 많은 세부 사항이 생략되었습니다. 20만약 \(\ell\)이 악의적이라면 그는 Mr,1을 보낼 수도 있습니다. \(\ell\) 일부 정직한 사용자/검증자는 Mr,1을 받지 못했기를 바랍니다. \(\ell\) 아직 그들이 원하는 인증서를 받았을 때. 그러나 검증자 ˆi \(\in\)HSV r,4는 bˆi = 0 및 vˆi = H(Br)로 설정했기 때문에 \(\ell\))와 같이 정직한 검증자의 절반 이상이 i \(\in\)HSV r,3이 되기 전에 vi = H(Br \(\ell\)). 이는 더 많은 것을 의미합니다. 정직한 검증자의 절반 이상이 i \(\in\)HSV r,2 vi = H(Br로 설정했습니다. \(\ell\)), 그리고 그 (r, 2)-검증자는 모두 mr,1을 받았습니다. \(\ell\). 다음과 같이 공격자는 검증자와 비검증자를 구별할 수 없으며, mr,1의 전파를 목표로 삼을 수 없습니다. \(\ell\) (r, 2)-검증자에게 비검증자가 볼 수 없도록 말이죠. 실제로 높은 확률로 절반 이상 (또는 좋은 상수 분수) 모든 정직한 사용자가 Mr,1을 본 경우 \(\ell\) 자신의 라운드 r이 시작될 때부터 t2를 기다린 후. 이제부터, mr,1에 필요한 시간 \(\lambda\)' \(\ell\) 나머지 정직한 사용자에게 도달하는 것은 Λ보다 훨씬 작으며 단순화를 위해 우리는 그렇게 하지 않습니다. 분석에 적어보세요. 4\(\lambda\) \(\geq\) \(\lambda\)'이면 분석은 아무런 변화 없이 진행됩니다. 4단계가 끝날 때까지 모든 정직한 사용자라면 Mr,1을 받았을 것입니다. \(\ell\). 블록의 크기가 거대해지고 4\(\lambda\) < \(\lambda\)'이면 3단계와 4단계에서, 프로토콜은 각 검증자에게 2\(\lambda\)가 아닌 \(\lambda\)'/2를 기다리도록 요청할 수 있으며 분석은 계속 유지됩니다.이전과 마찬가지로 플레이어 i'는 최소한 다음 형식의 tH 유효한 (r, s−1) 메시지를 수신해야 합니다. (ESIGj(1), ESIGj(vj), \(\sigma\)r,s−1 j ). 다시 s의 정의에 따르면 단계가 존재하지 않습니다. 5 \(\leq\)s′ < swith s′ −2 ל0 mod 3, 여기서 적어도 tH (r, s′ −1) 검증자는 0과 0을 서명했습니다. 동일한 v. 따라서 플레이어 i'는 아무것도 전파하지 않고 중지됩니다. Br = Br로 설정 ?; 그리고 세트 자신의 CERT r은 그가 수신한 비트 1에 대한 유효한 (r, s−1) 메시지 세트가 됩니다. 더욱이, 다른 검증자 i \(\in\)HSV r,s는 Br = Br로 중지되었습니다. ϫ , 또는 bi =로 설정됨 1이고 전파됨(ESIGi(1), ESIGi(vi), \(\sigma\)r,s 나 ). 플레이어 i'가 전파하는 데 도움을 주었기 때문에 시간 \(\alpha\)r,s에 따른 CERT r의 (r, s−1)-메시지 나' + ts, 다시 한번 모든 정직한 검증자들 HSV r,s+1 아무것도 전파하지 않고 정지하고 Br = Br로 설정 ? . 마찬가지로 모두 정직하다. 사용자는 Br = Br을 알고 있습니다. τ 시간 간격 Ir+1 내에서 그리고 T r+1 \(\leq\) \(\alpha\)r,s 나' + ts\(\leq\)T r + \(\lambda\) + ts. 사례 2.2.a. 사건 E.a가 발생하고 정직한 검증자가 존재하지 않습니다. i' \(\in\)HSV r,swho 또한 아무것도 전파하지 않고 중지해야 합니다. 이 경우 플레이어 i는 유효한 CERT r을 가질 수 있습니다. i원하는 tH로 구성됨 (r, s−1)-공격자가 수집하거나 생성할 수 있는 메시지입니다. 그러나 악의적인 검증자는 해당 메시지를 전파하는 데 도움을 주지 않을 수 있으므로 정직한 메시지가 있다고 결론을 내릴 수 없습니다. 사용자는 \(\lambda\) 시간 내에 이를 받게 됩니다. 실제로 |MSV r,s−1| 그 중 메시지의 출처는 다음과 같습니다. 메시지를 전혀 전파하지 않고 전송만 하는 악의적인 (r, s−1) 검증자 s단계에서 악의적인 검증자에게 전달됩니다. 사례 2.1.a와 유사하게 여기에는 s−2 =0 mod 3이 있고 단계 s는 Coin-Fixed-To-0 단계입니다. 그리고 CERT r의 (r, s−1)-메시지 i는 비트 0이고 v = H(Br \(\ell\)). 사실 다 정직해요 (r, s−1)-검증자는 v에 서명하므로 공격자는 유효한 (r, s−1)-메시지를 생성할 수 없습니다. 다른 v′에 대해. 더욱이, 모든 정직한 (r, s) 검증자는 ts 시간을 기다렸으며 > 2/3 다수를 보지 못했습니다. 비트 1의 경우 |HSV r,s−1| 때문에 다시 발생합니다. + 4|MSV r,s−1| <2n. 따라서 모든 정직한 검증자는 i \(\in\)HSV r,s는 bi = 0, vi = H(Br로 설정됩니다. \(\ell\)) 다수결로 mr,s를 전파합니다. 나 = (ESIGi(0), ESIGi(H(Br \(\ell\))), \(\sigma\)r,s 나 ) 시간 \(\alpha\)r,s에 나 + ts. 이제 s+ 1 단계(Coin-Fixed-To-1 단계)의 정직한 검증자를 고려해보세요. 만약 공격자는 실제로 CERT r에서 메시지를 보냅니다. i그들 중 일부에게 중지하고 사례 2.1.a와 유사하게 모든 정직한 사용자는 Br = Br을 알고 있습니다. \(\ell\)시간 간격 내 Ir+1 및 T r+1 \(\leq\)T r + \(\lambda\) + ts+1. 그렇지 않으면 s+1 단계의 모든 정직한 검증자는 0과 s에 대한 모든 (r, s) 메시지를 수신했습니다. H(Br \(\ell\)) 대기 시간 ts+1 이후 HSV r,s에서, 이는 > 2/3 다수로 이어집니다. 왜냐하면 |HSV r,s| > 2|MSV r,s|. 따라서 HSV r,s+1의 모든 검증자는 메시지를 다음과 같이 전파합니다. 0과 H(Br \(\ell\)) 이에 따라. HSV r,s+1의 검증자는 Br = Br로 끝나지 않습니다. \(\ell\), 단계 s+ 1은 Coin-Fixed-To-0 단계가 아니기 때문입니다. 이제 Step s+2(Coin-Genuinely-Flipped 단계)의 정직한 검증자를 고려해보세요. 적이 CERT r로 메시지를 보내는 경우 나는 그 중 일부에게 말을 걸고 멈추게 만듭니다. 다시 한번 모든 정직한 사용자는 Br = Br을 알고 있습니다. Ir+1 시간 간격 내에서 \(\ell\)이고 T r+1 \(\leq\)T r + \(\lambda\) + ts+2.그렇지 않으면 s+ 2단계의 모든 정직한 검증자는 다음에 대한 모든 (r, s+ 1)-메시지를 수신했습니다. 0과 H(Br \(\ell\)) 대기 시간 ts+2 이후 HSV r,s+1에서 발생하며 이는 > 2/3 다수로 이어집니다. 따라서 그들 모두는 0과 H(Br에 대한 메시지를 전파합니다. \(\ell\)) 따라서: 그들은 그렇습니다 이 경우에는 "동전 뒤집기"가 아닙니다. 다시 말하지만 전파 없이는 멈추지 않습니다. 단계 s+ 2는 Coin-Fixed-To-0 단계가 아니기 때문입니다. 마지막으로, s+3 단계(또 다른 Coin-Fixed-To-0 단계)의 정직한 검증자의 경우, 그 중 0과 H(Br에 대해 최소한 tH개의 유효한 메시지를 수신했을 것입니다. \(\ell\)) HSV s+2에서, 그들이 정말로 기다리는 시간이 있다면 ts+3. 따라서 적이 메시지를 보내든 안 보내든 CERT r에서 i 그들 중 누구에게나, HSV r,s+3의 모든 검증자는 Br = Br로 중지됩니다. \(\ell\), 없음 무엇이든 전파합니다. 적이 어떻게 행동하는지에 따라 그들 중 일부는 CERT r의 (r, s−1) 메시지로 구성된 자체 CERT r i, 그리고 다른 사람들은 (r, s+ 2) 메시지로 구성된 자체 CERT r입니다. 어쨌든 모든 정직한 사용자는 Br = Br 알아요 Ir+1 시간 간격 내에서 \(\ell\)이고 T r+1 \(\leq\)T r + \(\lambda\) + ts+3. 사례 2.2.b. 사건 E.b가 발생하고 정직한 검증자가 존재하지 않습니다. i′ \(\in\)HSV r,swho 또한 아무것도 전파하지 않고 중지해야 합니다. 이 사례의 분석은 사례 2.1.b 및 사례 2.2.a의 분석과 유사하므로 세부 사항이 많습니다. 생략되었습니다. 특히 CERT r i는 원하는 tH (r, s−1) 메시지로 구성됩니다. 공격자가 수집하거나 생성할 수 있는 비트 1의 경우 s−2 =1 mod 3, 단계 s는 Coin-Fixed-To-1 단계 및 정직한 (r, s) 검증자는 0에 대해 > 2/3 다수를 볼 수 없었습니다. 따라서 모든 검증자 i \(\in\)HSV r,s는 bi = 1로 설정하고 mr,s를 전파합니다. 나 = (ESIGi(1), ESIGi(vi), \(\sigma\)r,s 나 ) 시간 \(\alpha\)r,s에 나 + ts. 사례 2.2.a와 유사하게 최대 3단계가 더 추가됩니다(즉, 프로토콜 또 다른 Coin-Fixed-To-1 단계인 s+3 단계에 도달합니다. 모든 정직한 사용자는 Br = Br임을 알고 있습니다. ? Ir+1 시간 간격 내에서. 더욱이, T r+1은 \(\leq\)T r+\(\lambda\)+ts+1 또는 \(\leq\)T r+\(\lambda\)+ts+2일 수 있습니다. 또는 \(\leq\)T r + \(\lambda\) + ts+3, 정직한 검증자가 처음으로 중지할 수 있는 시간에 따라 다름 전파하지 않고. 네 가지 하위 사례를 결합하면 모든 정직한 사용자가 시간 간격 내에 Br을 알 수 있습니다. Ir+1, 와 사례 2.1.a 및 2.1.b에서 T r+1 \(\leq\)T r + \(\lambda\) + ts, 및 사례 2.2.a 및 2.2.b에서는 T r+1 \(\leq\)T r + \(\lambda\) + ts+3입니다. 상한 s에 남아 있으므로 케이스 2의 경우 T r+1이 됩니다. Coin-Genuinely-Flipped 단계가 실제로 프로토콜에서 실행되는 경우가 많습니다. 즉, 일부 정직한 검증자는 실제로 동전을 던졌습니다. 특히, Coin-Genuinely-Flipped step s′(즉, 7 \(\leq\)s′ \(\leq\)m + 2 및 s′ −2 ל2 mod 3), \(\ell\)′ \(\triangleq\)arg minj\(\in\)SV r,s′−1 H(\(\sigma\)r,s′−1 j ). 지금은 s′ < s라고 가정하겠습니다. 그렇지 않으면 이전에 따르면 정직한 검증자는 실제로 단계 s'에서 동전을 던지지 않기 때문입니다. 토론. SV r,s′−1의 정의에 따르면 \(\ell\)′의 크리덴셜의 hash 값도 다음 중 가장 작습니다. PKr-k의 모든 사용자. hash 함수는 임의의 oracle이므로 이상적으로 플레이어 \(\ell\)'는 정직합니다. 확률은 적어도 h입니다. 나중에 보여주겠지만, 적이 최선을 다해 예측하려고 해도 무작위 oracle을 출력하고 확률을 기울이면 플레이어 \(\ell\)'는 여전히 확률에 정직합니다.적어도 ph = h2(1 + h −h2)입니다. 아래에서는 실제로 그런 일이 일어나는 경우를 고려합니다. \(\ell\)' \(\in\)HSV r,s'−1. 모든 정직한 검증자 i \(\in\)HSV r,s′는 HSV r,s′−1로부터 모든 메시지를 다음과 같이 수신했습니다. 시간 \(\alpha\)r,s′ 나 + t'. 플레이어 i가 동전을 던져야 하는 경우(즉, 그는 2/3 이상의 과반수를 보지 못했습니다) 동일한 비트 b \(\in\){0, 1}), 그런 다음 그는 bi = lsb(H(\(\sigma\)r,s′−1)을 설정합니다. \(\ell\)′ )). 또 다른 정직한 사람이 있다면 검증자 i′ \(\in\)HSV r,s′ 비트 b \(\in\){0, 1}에 대해 > 2/3 다수를 확인한 다음 Property에 의해 (d) Lemma 5.5의 경우, HSV r,s'의 정직한 검증자는 잠시 동안 > 2/3 다수를 차지했을 것입니다. b'̸=b. lsb(H(\(\sigma\)r,s′−1 \(\ell\)′ )) = b 확률 1/2, HSV r,s'의 모든 정직한 검증자는 도달 확률이 1/2인 b에 대한 합의입니다. 물론, 그러한 검증자 i'가 존재하지 않는다면, 모든 HSV r,s′의 정직한 검증자는 lsb(H(\(\sigma\)r,s′−1) 비트에 동의합니다. \(\ell\)′ )) 확률은 1입니다. \(\ell\)' \(\in\)HSV r,s'−1에 대한 확률을 결합하면 HSV r,s'의 정직한 검증자는 최소 ph 확률로 비트 b \(\in\){0, 1}에 대해 합의에 도달 2 = h2(1+h−h2) 2 . 더욱이, 이전과 같이 다수결 투표를 통해 HSV r,s'의 모든 정직한 검증자는 vi 세트를 갖습니다. H(Br \(\ell\)). 따라서 단계 s'에서 b에 대한 합의가 이루어지면 T r+1은 다음과 같습니다. \(\leq\)T r + \(\lambda\) + ts′+1 또는 \(\leq\)T r + \(\lambda\) + ts′+2 중 하나, 사례 2.1.a 및 2.1.b의 분석에 따라 b = 0인지 b = 1인지에 따라 달라집니다. 에서 특히, 더 이상 코인 정품 뒤집기 단계가 실행되지 않습니다. 이러한 단계는 여전히 자신이 검증자인지 확인하고 기다리지만 확인하지 못한 채 모두 중지됩니다. 무엇이든 전파합니다. 따라서 Step s 이전에 Coin-GenuinelyFlipped 단계가 실행되는 횟수는 랜덤변수 Lr에 따라 분포됩니다. 스텝을 놔두는 것' 프로토콜 구성에 따라 Lr에 따라 코인이 진짜로 뒤집힌 마지막 단계가 됩니다. 우리는 s' = 4 + 3Lr. 적이 T r+1을 지연시키려는 경우 언제 단계 s가 발생해야 합니까? 가능? 우리는 대적이 Lr의 실현을 미리 알고 있다고 가정할 수도 있습니다. 만약에 s> s′ 그렇다면 그것은 쓸모가 없습니다. 왜냐하면 정직한 검증자들은 이미 합의에 도달했기 때문입니다. 단계 S′. 확실히 이 경우 s는 b = 0인지 여부에 따라 s′ +1 또는 s′ +2가 될 것입니다. 또는 b = 1입니다. 그러나 이것은 실제로 Cases 2.1.a 및 2.1.b이고 결과 T r+1은 정확히 다음과 같습니다. 그 경우와 마찬가지다. 더 정확하게는, T r+1 \(\leq\)T r + \(\lambda\) + ts\(\leq\)T r + \(\lambda\) + ts′+2. s< s′ −3 즉, s가 마지막 두 번째 동전 진짜 뒤집기 단계 이전에 있는 경우 다음과 같이 됩니다. 사례 2.2.a 및 2.2.b 분석, T r+1 \(\leq\)T r + \(\lambda\) + ts+3 < T r + \(\lambda\) + ts′. 즉, 적대자는 실제로 Br에 대한 합의가 더 빠르게 이루어지도록 만들고 있습니다. s= s′ −2 또는 s′ −1인 경우 - 즉, Coin-Fixed-To-0 단계 또는 Coin-Fixed-To-1 단계입니다. 단계 s' 직전 - 네 가지 하위 사례를 분석하여 정직한 검증자가 단계 s'는 더 이상 동전을 뒤집을 수 없습니다. 왜냐하면 동전이 전파되지 않고 멈추었기 때문입니다. 또는 동일한 비트에 대해 > 2/3 다수를 보였습니다. b. 그러므로 우리는 T r+1 \(\leq\)T r + \(\lambda\) + ts+3 \(\leq\)T r + \(\lambda\) + ts′+2.요약하면, s가 무엇이든 관계없이 우리는 T r+1 \(\leq\)T r + \(\lambda\) + ts′+2 = T r + \(\lambda\) + t3Lr+6 = T r + \(\lambda\) + (2(3Lr + 6) −3) \(\lambda\) + Λ = T r + (6Lr + 10) \(\lambda\) + Λ, 우리가 보여주고 싶었던 것처럼. 최악의 경우는 s= s′ −1이고 사례 2.2.b가 발생하는 경우입니다. 바이너리 BA 프로토콜의 사례 1과 2를 결합하면 Lemma 5.3이 유지됩니다. ■ 5.9 씨앗Qr의 안전성과 정직한 리더의 확률 이제 Lemma 5.4를 증명해야 합니다. 라운드 r의 검증자는 PKr-k에서 가져오고 수량 Qr−1에 따라 선택됩니다. 룩백 매개변수 k를 도입한 이유 r -k 라운드에서 공격자가 새로운 악의적인 사용자를 추가할 수 있는지 확인하는 것입니다. PKr−k에 대해서는 무시할 수 있는 확률을 제외하고 Qr−1의 양을 예측할 수 없습니다. 참고 hash 함수는 무작위 oracle이며 Qr−1은 라운드 r에 대한 검증자를 선택할 때 입력 중 하나입니다. 따라서 아무리 악의적인 사용자가 PKr-k에 추가되더라도 공격자의 입장에서는 각각 그들 중 하나는 필요한 확률 p(또는 1단계의 경우 p1). 보다 정확하게는 다음과 같은 정리가 있습니다. 보조정리 5.6. k = O(log1/2 F)로 각 라운드 r에 대해 압도적인 확률로 적 라운드 r −k에서 Qr−1을 무작위 oracle에 쿼리하지 않았습니다. 증거. 인덕션으로 진행합니다. 각 라운드 \(\gamma\) < r에 대해 공격자가 쿼리하지 않았다고 가정합니다. Q\(\gamma\)−1에서 무작위 oracle 라운드 \(\gamma\) −k로 돌아갑니다.21 다음과 같은 정신적 게임을 생각해 보세요. 적군은 r −k 라운드에서 Qr−1을 예측하려고 합니다. 각 라운드의 1단계에서 \(\gamma\) = r −k, . . . , r −1, 무작위로 쿼리되지 않은 특정 Q\(\gamma\)−1이 주어지면 oracle, hash 값 H(SIGi(\(\gamma\), 1, Q\(\gamma\)−1))에 따라 플레이어 i \(\in\)PK\(\gamma\)−k를 정렬하여 점점 더 PK\(\gamma\)−k에 대한 무작위 순열을 얻습니다. 정의에 따르면 리더 \(\ell\) \(\gamma\)는 순열의 첫 번째 사용자이고 확률 h가 정직합니다. 또한, PK\(\gamma\)−k가 큰 경우 임의의 정수 x \(\geq\)1에 대해 순열의 첫 번째 x 사용자가 모두 악의적이지만 (x + 1)st가 정직한 것은 (1 −h)xh입니다. \(\ell\) \(\gamma\)가 정직하다면 Q\(\gamma\) = H(SIG\(\ell\) \(\gamma\)(Q\(\gamma\)−1), \(\gamma\))입니다. 상대방은 서명을 위조할 수 없기 때문에 \(\ell\) \(\gamma\)의 Q\(\gamma\)는 적의 관점에서 무작위로 균일하게 분포되며, 기하급수적으로 작은 확률로 22는 r -k 라운드에서 H에 쿼리되지 않았습니다. 이후 각각 Q\(\gamma\)+1, Q\(\gamma\)+2, . . . , Qr−1은 각각 Q\(\gamma\), Q\(\gamma\)+1, ...을 사용한 H의 출력입니다. . . , Qr−2를 입력 중 하나로, 그들은 모두 적에게 무작위로 보이며 적수는 Qr-1을 H에 쿼리할 수 없었을 것입니다. 라운드 r - k. 따라서, 상대방이 라운드에서 좋은 확률로 Qr−1을 예측할 수 있는 유일한 경우입니다. r−k는 모든 리더 \(\ell\)r−k, . . . , \(\ell\)r−1은 악성입니다. 다시 라운드 \(\gamma\) \(\in\){r−k 를 고려해보세요. . . , r−1} 그리고 해당 hash 값에 의해 유도된 PK\(\gamma\)−k에 대한 무작위 순열. 어떤 사람들에게는 x \(\geq\)2, 순열의 첫 번째 x −1 사용자는 모두 악의적이고 x번째 사용자는 정직합니다. 적대자는 Q\(\gamma\)에 대해 x개의 가능한 선택을 갖습니다. H(SIGi(Q\(\gamma\)−1, \(\gamma\))) 형식 중 하나입니다. 여기서 i는 다음 중 하나입니다. 21 k는 작은 정수이므로 일반성을 잃지 않고 프로토콜의 처음 k 라운드가 실행된다고 가정할 수 있습니다. 안전한 환경에서 귀납적 가설은 해당 라운드 동안 유지됩니다. 22즉, H의 출력 길이는 지수적입니다. 이 확률은 F보다 훨씬 작습니다.플레이어 i를 실제로 라운드 \(\gamma\)의 리더로 만들어 최초의 x−1 악의적 사용자; 또는 H(Q\(\gamma\)−1, \(\gamma\)) B\(\gamma\) = B\(\gamma\) 강제 ? . 그렇지 않으면 라운드 \(\gamma\)의 리더가 순열의 첫 번째 정직한 사용자가 됩니다. 그리고 Qr−1은 적에게 예측할 수 없게 됩니다. 위 Q\(\gamma\)의 x 옵션 중 적이 추구해야 하는 것은 무엇입니까? 적을 돕기 위해 이 질문에 대답하세요. 멘탈 게임에서 우리는 실제로 그를 실제보다 더 강력하게 만듭니다. 는 다음과 같습니다. 우선, 실제로 공격자는 정직한 사용자의 hash을 계산할 수 없습니다. 따라서 서명은 각 Q\(\gamma\)에 대해 처음에 악의적인 사용자의 수 x(Q\(\gamma\))를 결정할 수 없습니다. Q\(\gamma\)에 의해 유도된 라운드 \(\gamma\) + 1의 무작위 순열. 정신 게임에서 우리는 그에게 숫자 x(Q\(\gamma\))는 무료입니다. 두 번째로, 실제로는 순열에 첫 번째 x 사용자가 있습니다. 악의적이라고 해서 반드시 모두가 리더가 될 수 있다는 의미는 아닙니다. 왜냐하면 hash 서명 값도 p1보다 작아야 합니다. 우리는 정신적인 제약을 무시했습니다. 게임을 통해 적에게 더 많은 이점을 제공합니다. 멘탈 게임에서 ˆQ\(\gamma\)로 표시되는 적에 대한 최적의 옵션은 다음과 같다는 것을 쉽게 알 수 있습니다. 무작위 시작 시 가장 긴 일련의 악의적인 사용자를 생성하는 것입니다. 라운드 \(\gamma\) + 1의 순열. 실제로 특정 Q\(\gamma\)가 주어지면 프로토콜은 Q\(\gamma\)−1에 의존하지 않습니다. 더 이상 공격자는 라운드 \(\gamma\) + 1의 새로운 순열에만 집중할 수 있습니다. 처음에는 악의적인 사용자 수에 대해 동일한 분포를 나타냅니다. 이에 따라 각 라운드마다 \(\gamma\), 위에서 언급한 ˆQ\(\gamma\)는 그에게 Q\(\gamma\)+1에 대한 가장 많은 수의 옵션을 제공하므로 다음을 최대화합니다. 연속된 리더가 모두 악의적일 확률. 따라서 멘탈 게임에서 적군은 r −k 라운드의 마르코프 체인을 따릅니다. 상태 공간이 {0} \(\cup\){x : x \(\geq\)2}인 상태에서 r −1을 반올림합니다. 상태 0은 현재 라운드 \(\gamma\)에서 무작위 순열의 첫 번째 사용자는 정직하므로 공격자는 실패합니다. Qr-1을 예측하는 게임; 그리고 각 상태 x \(\geq\)2는 첫 번째 x −1 사용자가 순열은 악의적이고 x번째는 정직하므로 공격자는 Q\(\gamma\)에 대해 x개의 옵션을 갖습니다. 는 전이 확률 P(x, y)는 다음과 같습니다. • y \(\geq\)2인 경우 P(0, 0) = 1이고 P(0, y) = 0입니다. 즉, 대적은 첫 번째 게임에서 실패합니다. 순열의 사용자는 정직해집니다. • P(x, 0) = hx(x \(\geq\)2인 경우). 즉, 확률 hx를 사용하면 모든 x개의 무작위 순열은 다음과 같습니다. 첫 번째 사용자는 정직하므로 대적자는 다음 라운드에서 게임에 실패합니다. • 임의의 x \(\geq\)2 및 y \(\geq\)2에 대해 P(x, y)는 x 임의 순열 중에서 다음과 같은 확률입니다. 초기에 악의적인 사용자의 가장 긴 시퀀스인 Q\(\gamma\)의 x 옵션에 의해 유도됩니다. 그 중 일부는 y −1이므로, 적대자는 다음 라운드에서 Q\(\gamma\)+1에 대해 y개의 옵션을 갖습니다. 즉, 피(x, y) = y−1 X 나는=0 (1 -h)ih !x - y−2 X 나는=0 (1 -h)ih !x = (1 −(1 −h)y)x −(1 −(1 −h)y−1)x. 상태 0은 전이 행렬 P의 고유한 흡수 상태이고 다른 모든 상태는 x는 0이 될 양의 확률을 갖습니다. 우리는 숫자 k의 상한을 정하는 데 관심이 있습니다. Markov Chain이 압도적인 확률로 0으로 수렴하는 데 필요한 라운드: 즉, 아니요 체인이 어떤 상태에서 시작되는지가 중요하며, 적이 게임에서 패배할 확률이 압도적입니다. r −k 라운드에서 Qr−1을 예측하는 데 실패합니다. 두 라운드 후에 전이 행렬 P(2) \(\triangleq\)P \(\cdot\) P를 고려하십시오. P(2)(0, 0) = 1임을 쉽게 알 수 있습니다. 그리고 임의의 x \(\geq\)2에 대해 P(2)(0, x) = 0입니다. 임의의 x \(\geq\)2 및 y \(\geq\)2에 대해 P(0, y) = 0이므로 다음과 같습니다. P(2)(x, y) = P(x, 0)P(0, y) + X z\(\geq\)2 P(x, z)P(z, y) = X z\(\geq\)2 P(x, z)P(z, y).̅h \(\triangleq\)1 −h라고 하면 다음과 같습니다. P(x, y) = (1 −̅hy)x −(1 −̅hy−1)x 그리고 P(2)(x,y) = X z\(\geq\)2 [(1 −̅hz)x −(1 −̅hz−1)x][(1 −̅hy)z −(1 −̅hy−1)z]. 아래에서는 P(2)(x,y)의 극한을 계산합니다. P(x,y) h가 1이 되면, 즉 ̅h는 0이 됩니다. P(x, y)에서 ̅h의 차수는 ̅hy−1이고 계수 x가 있습니다. 따라서, 임 h \(\to\) 1 P(2)(x,y) 피(x, y) = 임 ̅h \(\to\) 0 P(2)(x,y) 피(x, y) = 임 ̅h \(\to\) 0 P(2)(x,y) x̅hy−1 + O(̅hy) = 임 ̅h \(\to\) 0 피 z\(\geq\)2[x̅hz−1 + O(̅hz)][z̅hy−1 + O(̅hy)] x̅hy−1 + O(̅hy) = 임 ̅h \(\to\) 0 2x̅ + O(́hy+1) x̅hy−1 + O(̅hy) = 임 ̅h \(\to\) 0 2xy x̅hy−1 = lim ̅h \(\to\) 0 2́h = 0. h가 1,23에 충분히 가까울 때 우리는 P(2)(x,y) 피(x, y) \(\leq\)1 2 x \(\geq\)2 및 y \(\geq\)2에 대해. 유도에 의해 k > 2인 경우 P(k) \(\triangleq\)P k는 다음과 같습니다. • P(k)(0, 0) = 1, P(k)(0, x) = 0(x \(\geq\)2인 경우), 그리고 • x \(\geq\)2 및 y \(\geq\)2에 대해, P(k)(x, y) = P(k−1)(x, 0)P(0, y) + X z\(\geq\)2 P(k−1)(x, z)P(z, y) = X z\(\geq\)2 P(k−1)(x, z)P(z, y) \(\leq\) X z\(\geq\)2 P(x, z) 2k−2 \(\cdot\) P(z, y) = P(2)(x, y) 2k−2 \(\leq\)P(x,y) 2k−1 . P(x, y) \(\leq\)1이므로 1−log2 F 라운드 후에 임의의 상태 y \(\geq\)2로의 전환 확률은 무시할 수 있습니다. 임의의 상태 x \(\geq\)2로 시작합니다. 그러한 상태가 많이 있지만, 다음을 쉽게 알 수 있습니다. 임 y→+무한대 피(x, y) P(x, y + 1) = 임 y→+무한대 (1 −̅hy)x −(1 −̅hy−1)x (1 −̅hy+1)x −(1 −̅hy)x = 임 y→+무한대 ̅hy−1 −̅hy ̅hy −̅hy+1 = 1 ̅h = 1 1 - 시간. 따라서 전이 행렬 P의 각 행 x는 비율에 따라 기하학적 수열로 감소합니다. 1 1−h > 2 y가 충분히 크면 P(k)에도 동일하게 적용됩니다. 따라서 k가 충분히 크지만 여전히 log1/2 F, P 순서로 y\(\geq\)2 P (k)(x, y) < F(x \(\geq\)2인 경우). 즉, 압도적인 확률로 적군은 게임에서 패하고 r −k 라운드에서 Qr−1을 예측하지 못합니다. h \(\in\)(2/3, 1]의 경우, 더 많은 복잡한 분석을 통해 1/2보다 약간 큰 상수 C가 존재한다는 것을 알 수 있습니다. k = O(logC \(\cdot\) F)를 취합니다. 따라서 Lemma 5.6이 성립합니다. ■ 보조정리 5.4. (다시 설명) r 이전의 각 라운드에 대해 속성 1–3이 주어지면 Lr에 대한 ph = h2(1 + h −h2), 그리고 리더 \(\ell\)r은 적어도 ph 확률로 정직합니다. 23예를 들어, 특정 매개변수 선택에 의해 제안된 대로 h = 80%입니다.

증거. Lemma 5.6에 따르면, 공격자는 다음을 제외하고 r −k 라운드에서 Qr−1을 다시 예측할 수 없습니다. 무시할 수 있는 확률. 이는 정직한 리더가 나올 확률이 h라는 것을 의미하지 않습니다. 각 라운드. 실제로 Qr−1이 주어지면 초기에 얼마나 많은 악의적인 사용자가 있는지에 따라 달라집니다. PKr-k의 무작위 순열에서, 공격자는 Qr에 대해 둘 이상의 옵션을 가질 수 있습니다. 따라서 라운드 r + 1에서 악의적인 리더의 확률을 높일 수 있습니다. 다시 우리는 그에게 분석을 단순화하기 위해 Lemma 5.6에서와 같이 몇 가지 비현실적인 이점이 있습니다. 그러나 라운드 r -k에서 적대자가 H에게 쿼리하지 않은 각 Qr-1에 대해 다음과 같습니다. 임의의 x \(\geq\)1, 확률 (1 −h)x−1h로 첫 번째 정직한 사용자가 결과 x 위치에 나타납니다. PKr−k의 무작위 순열. x = 1일 때 r + 1 라운드에서 정직한 리더가 나올 확률은 다음과 같습니다. 과연 ㅎ; x = 2일 때, 적대자는 Qr에 대해 두 가지 옵션을 가지며 결과 확률은 다음과 같습니다. h2. 이 두 가지 경우를 고려해야만 라운드에서 정직한 리더가 나올 가능성이 있습니다. r + 1은 원하는 대로 적어도 h \(\cdot\) h + (1 −h)h \(\cdot\) h2 = h2(1 + h −h2)입니다. 위의 확률은 라운드 r −k에서 프로토콜의 무작위성만 고려한다는 점에 유의하세요. r을 반올림합니다. 0라운드부터 r라운드까지 모든 무작위성을 고려하면 Qr−1은 다음과 같습니다. 적에게 예측하기가 더욱 어렵고 라운드 r + 1에서 정직한 리더가 나올 확률은 다음과 같습니다. 최소 h2(1 + h −h2). r + 1을 r로 대체하고 모든 것을 한 라운드 뒤로 이동시킵니다. 리더 \(\ell\)r 원하는 대로 적어도 h2(1 + h −h2)의 확률로 정직합니다. 마찬가지로, 각 코인 진짜 뒤집기 단계에서 해당 단계의 "리더", 즉 검증자 SV r에서 크리덴셜의 hash 값이 가장 작은 확률은 적어도 h2(1 + h-h2). 따라서 Lr 및 Lemma 5.4에 대한 ph = h2(1 + h −h2)가 유지됩니다. ■

Algorand '

2 이 섹션에서는 다음 가정 하에 작동하는 Algorand ' 버전을 구성합니다. 정직한 다수의 사용자 가정: 각 PKr의 사용자 중 2/3 이상이 정직합니다. 섹션 8에서는 위의 가정을 원하는 정직한 다수로 대체하는 방법을 보여줍니다. 돈 가정. 6.1 Algorand ′에 대한 추가 표기법 및 매개변수 2 표기법 • \(\mu\) \(\in\)Z+: 압도적인 확률로, 단계 수에 대한 실용적인 상한 실제로는 한 라운드에 완료됩니다. (앞으로 살펴보겠지만 매개변수 μ는 임시 변수의 수를 제어합니다. 각 라운드마다 사용자가 미리 준비하는 키입니다.) • Lr: 1을 확인하는 데 필요한 베르누이 시행 횟수를 나타내는 무작위 변수입니다. 시행은 확률이 ph인 경우 1입니다. 2 . Lr은 생성에 필요한 시간의 상한을 지정하는 데 사용됩니다. 블록 브롬 • tH: 라운드 r의 s > 1 단계에서 정직한 검증자 수에 대한 하한입니다. 압도적인 확률(n과 p가 주어지면) SV r,s에는 > tH개의 정직한 검증자가 있습니다. 매개변수 • 다양한 매개변수 간의 관계. — 라운드 r의 각 단계 s > 1에 대해 압도적인 확률로 n이 선택됩니다.

|HSV r,s| > 일 그리고 |HSV r,s| + 2|MSV r,s| < 2tH. 위의 두 부등식은 |HSV r,s|를 의미합니다. > 2|MSV r,s|: 즉, 선택된 검증자 중 2/3가 정직한 다수입니다. h 값이 1에 가까울수록 n은 더 작아야 합니다. 특히, 우리는 (변종 of) 원하는 조건이 압도적인 확률로 유지되도록 Chernoffbounds. • 중요한 매개변수의 예시 선택. — F = 10−18. — n \(\approx\)4000, tH \(\approx\)0.69n, k = 70. 6.2 Algorand '에서 임시 키 구현 2 검증자 i \(\in\)SV r,s가 자신의 메시지 mr,s에 디지털 방식으로 서명한다는 점을 기억하세요. 나 라운드 r의 단계 s에 대해 임시 공개 키 pkr,s i , 임시 비밀 키 skr을 사용하여 나 그는 즉시 파괴한다 사용 후. 라운드에서 취할 수 있는 가능한 단계 수가 주어진 단계로 제한되는 경우 정수 \(\mu\), 우리는 임시 키를 실제로 처리하는 방법을 이미 살펴보았습니다. 예를 들어, 우리는 Algorand '에서 설명했습니다. 1(여기서 \(\mu\) = m + 3), 가능한 모든 임시 키를 처리하려면 라운드 r'에서 라운드 r' + 106으로, i는 PMK 공개 마스터인 쌍(PMK, SMK)을 생성합니다. 신원 기반 서명 체계의 키 및 SMK에 해당하는 비밀 마스터 키. 사용자 i PMK를 공개하고 SMK를 사용하여 가능한 각 임시 공개 키의 비밀 키를 생성합니다. (그리고 그렇게 한 후 SMK를 파괴합니다). 관련에 대한 i의 임시 공개 키 세트 라운드는 S = {i} \(\times\) {r′, . . . , r' + 106} \(\times\) {1, . . . , \(\mu\)}. (논의된 바와 같이, 라운드 r' + 106이 접근함에 따라, 나는 그의 쌍(PMK, SMK)을 "새로 고침"합니다.) 실제로 \(\mu\)가 충분히 크면 Algorand '의 라운드가 됩니다. 2는 \(\mu\) 단계 이상 걸리지 않습니다. 에서 그러나 원칙적으로는 어떤 라운드에서는 단계 수가 줄어들 가능성이 희박합니다. 실제로 복용하면 μ를 초과합니다. 이런 일이 발생하면 저는 그의 메시지에 서명할 수 없습니다. 나 에 대한 모든 단계 s > \(\mu\), 왜냐하면 그는 라운드 r에 대해 \(\mu\) 비밀 키만 미리 준비했기 때문입니다. 게다가 그는 앞서 논의한 것처럼 임시 키의 새로운 보관을 준비하고 공개할 수 없었습니다. 사실 할 일은 따라서 그는 새 블록에 새로운 공개 마스터 키 PMK'를 삽입해야 합니다. 하지만 r을 반올림해야 합니다. 점점 더 많은 단계를 수행하면 새 블록이 생성되지 않습니다. 그러나 해결책이 존재합니다. 예를 들어, i는 라운드 r, pkr,μ의 마지막 임시 키를 사용할 수 있습니다. 나 , 다음과 같이. 그는 라운드 r에 대한 또 다른 키 쌍 숨김을 생성합니다. 예를 들어 (1) 다른 키 쌍을 생성합니다. 마스터 키 쌍(PMK, SMK) (2) 이 쌍을 사용하여 또 다른 106개의 임시 키를 생성합니다. sk r,μ+1 나 , . . . , SK r,μ+106 나 , 라운드 r의 단계 \(\mu\)+1, ..., \(\mu\)+106에 해당합니다. (3) skr,μ 사용 나 디지털 방식으로 pkr,μ를 기준으로 PMK(및 i \(\in\)SV r,μ인 경우 모든 (r,μ)-메시지)에 서명합니다. 나 ; (4) SMK 및 skr 삭제,μ 나 . 나는 s \(\in\){1, . . . , 106}, 그런 다음 나는 그의 (r, \(\mu\) + s)에 디지털 서명을 합니다. 메시지 Mr,μ+s 나 그의 새 키 pk와 관련하여 r,μ+s 나 = (i, r, \(\mu\) + s). 물론 이 서명을 확인하려면 i의 경우, 다른 사람들은 이 공개 키가 i의 새로운 공개 마스터 키 PMK와 일치하는지 확인해야 합니다. 따라서 이 서명에 추가로 i는 pkr,μ를 기준으로 PMK의 디지털 서명을 전송합니다. 나 . 물론, 이 접근법은 필요한 만큼 반복될 수 있습니다. 라운드 r이 계속되어야 합니다. 점점 더 많은 단계를 위해! 마지막 임시 비밀 키는 새로운 마스터 퍼블릭을 인증하는 데 사용됩니다. 키, 즉 라운드 r에 대한 또 다른 임시 키가 숨겨져 있습니다. 등.6.3 실제 프로토콜 Algorand ' 2 라운드 r의 각 단계 s에서 검증자 i \(\in\)SV r,s가 자신의 장기 공개 비밀을 사용한다는 점을 다시 상기하세요. 그의 자격 증명 \(\sigma\)r,s를 생성하기 위한 키 쌍 나 \(\triangleq\)SIGi(r, s, Qr−1) 및 SIGi Qr−1 s = 1인 경우. 검증자 i는 자신의 임시 키 쌍(pkr,s)을 사용합니다. 나, skr, s i ), 다른 메시지 m에 서명하려면 필수. 단순화를 위해 sigpkr,s 대신 esigi(m)을 씁니다. i(m), i의 적절한 임시를 나타냅니다. 이 단계에서 m의 서명을 입력하고 SIGpkr,s 대신 ESIGi(m)을 작성합니다. i(m) \(\triangleq\)(i, m, esigi(m)). 1단계: 블록 제안 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 라운드 r의 1단계를 시작하자마자 자신의 라운드 r을 시작합니다. CERT r−1, 이를 통해 i는 H(Br−1) 및 Qr−1을 명확하게 계산할 수 있습니다. • 사용자 i는 Qr−1을 사용하여 i \(\in\)SV r,1인지 여부를 확인합니다. i /\(\in\)SV r,1이면 그는 1단계에서 아무것도 하지 않습니다. • i \(\in\)SV r,1, 즉 i가 잠재적 리더라면 그는 다음을 수행합니다. (a) 내가 B0을 본 적이 있다면, . . . , Br−1 자신(모든 Bj = Bj 는 hash 값에서 쉽게 파생될 수 있습니다. CERT j에서 "본" 것으로 간주됨) 그런 다음 그는 라운드 R 지불금을 수집합니다. 지금까지 그에게 전파되어 최대 지불 세트 PAY r을 계산합니다. 나는 그들에게서. (b) B0을 모두 보지 못했다면, . . . , Br-1이지만 PAY r을 설정합니다. 나는 = \(\emptyset\). (c) 다음으로, 나는 그의 "후보 블록" Br을 계산합니다. 나는 = (r, 지불 r i , SIGi(Qr−1), H(Br−1)). (c) 마지막으로, i는 메시지 mr,1을 계산합니다. 나 = (Br i , Esigi(H(Br i )), \(\sigma\)r,1 i), 그의 일시적인 것을 파괴한다 비밀키 skr,1 i , 그런 다음 mr,1이라는 두 개의 메시지를 전파합니다. 나 그리고 (SIGi(Qr−1), \(\sigma\)r,1 나), 별도로 그러나 동시에.a ai가 리더일 때 SIGi(Qr−1)은 다른 사람들이 Qr = H(SIGi(Qr−1), r)을 계산하도록 허용합니다.

선택적 전파 1단계와 전체 라운드의 전역 실행을 단축하려면 (r, 1)- 메시지는 선택적으로 전파됩니다. 즉, 시스템의 모든 사용자 j에 대해 • 그가 수신하고 성공적으로 확인한 첫 번째 (r, 1) 메시지에 대해 a가 포함되어 있는지 여부 블록이거나 Qr−1의 자격 증명 및 서명인 경우 플레이어 j는 이를 평소대로 전파합니다. • 플레이어 j가 수신하고 성공적으로 확인한 다른 모든 (r, 1) 메시지에 대해 그는 전파합니다. 포함된 자격 증명의 hash 값이 hash 값 중에서 가장 작은 경우에만 해당됩니다. 그가 수신하고 성공적으로 확인한 모든 (r, 1) 메시지에 포함된 자격 증명 중 멀리. • 그러나 j가 mr,1 형식의 서로 다른 두 개의 메시지를 받으면 나 같은 플레이어 i,b 그에게서 i 자격 증명의 hash 값에 관계없이 두 번째 자격 증명을 삭제합니다. 선택적 전파에서는 각 잠재적 리더가 자신의 리더를 전파하는 것이 유용합니다. 자격 증명 \(\sigma\)r,1 나 Mr,1과는 별도로 i :c 작은 메시지는 블록보다 빠르게 전달됩니다. Mr,1의 적시 전파 i 는 포함된 자격 증명에 작은 hash 값이 있는 반면 hash 값이 큰 항목을 빠르게 사라지게 만듭니다. a즉, 모든 서명이 정확하며, mr,1 형식인 경우 i, 블록과 해당 hash이 모두 유효합니다. - j는 포함된 페이세트가 i에 대해 최대인지 여부를 확인하지 않습니다. b그 말은 내가 악의적이라는 뜻이다. c이를 제안한 Georgios Vlachos에게 감사드립니다.2단계: 단계적 합의 프로토콜 GC의 첫 번째 단계 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 라운드 r의 2단계를 시작하자마자 시작합니다. CERT r-1. • 사용자 i는 최대 시간 t2 \(\triangleq\) \(\lambda\) + Λ 동안 기다립니다. 기다리는 동안 나는 다음과 같이 행동합니다. 1. 2\(\lambda\) 시간을 기다린 후 그는 H(\(\sigma\)r,1)과 같은 사용자 \(\ell\)를 찾습니다. \(\ell\)) \(\leq\)H(\(\sigma\)r,1 j) 모두를 위해 자격 증명 \(\sigma\)r,1 j 이는 그가 수신한 성공적으로 검증된 (r, 1) 메시지의 일부입니다. 지금까지.a 2. 만일 그 있다 받은 에 블록 Br-1, 어느 성냥 는 hash 가치 H(Br−1) CERT r−1,b에 포함되어 있고 그가 \(\ell\)a로부터 유효한 메시지를 받았다면 mr,1 \(\ell\) = (Br \(\ell\), 대략\(\ell\)(H(Br \(\ell\))), \(\sigma\)r,1 \(\ell\)),c 그러면 나는 기다리기를 멈추고 v′를 설정한다. 나는 \(\triangleq\)(H(Br \(\ell\)), \(\ell\)). 3. 그렇지 않고, 시간 t2가 다 되면 v'를 설정합니다. 나는 \(\triangleq\) \(\bot\). 4. v′의 값이 i가 설정되면 i는 CERT r−1에서 Qr−1을 계산하고 다음을 확인합니다. i \(\in\)SV r,2인지 아닌지. 5. i \(\in\)SV r,2이면 i는 메시지 mr,2를 계산합니다. 나 \(\triangleq\)(ESIGi(v′ 나), \(\sigma\)r,2 i ),d는 그의 일시적인 것을 파괴한다 비밀키 skr,2 i , 그런 다음 mr,2를 전파합니다. 나. 그렇지 않으면 전파하지 않고 중지됩니다. 무엇이든. a본질적으로 사용자 i는 라운드 r의 리더가 사용자 \(\ell\)임을 개인적으로 결정합니다. b물론 CERT r−1이 Br−1 = Br−1임을 나타내는 경우 ? , 그렇다면 그가 Br−1을 받은 순간 나는 이미 Br−1을 “받았습니다”. CERT r-1. c다시 말하지만, 플레이어 \(\ell\)의 서명과 hashes가 모두 성공적으로 검증되었으며 PAY r \(\ell\)in Br \(\ell\)는 다음에 대한 유효한 지불 세트입니다. 라운드 r — PAY r인지 확인하지는 않지만 \(\ell\)는 \(\ell\)또는 \(\ell\)에 대해 최대값입니다. 만약 Br \(\ell\)에 빈 페이세트가 포함되어 있는 경우 실제로 Br인지 확인하기 전에 Br−1을 볼 필요가 없습니다. \(\ell\)는 유효한지 아닌지입니다. d메시지 Mr,2 나 플레이어 i가 v'의 첫 번째 구성 요소를 고려한다는 신호 나는 다음 블록의 hash이 됩니다. 또는 다음 블록이 비어 있는 것으로 간주합니다.

3단계: GC의 두 번째 단계 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 라운드 r의 3단계를 시작하자마자 시작합니다. CERT r-1. • 사용자 i는 최대 시간 t3 \(\triangleq\)t2 + 2\(\lambda\) = 3\(\lambda\) + Λ 동안 기다립니다. 기다리는 동안 나는 다음과 같은 역할을 한다. 다음과 같습니다. 1. 적어도 tH개의 유효한 메시지를 수신한 값 v가 존재하는 경우 mr,2 j 의 형식 (ESIGj(v), \(\sigma\)r,2 j) 아무런 모순 없이 a 그런 다음 그는 기다리기를 멈추고 설정합니다. v' = v. 2. 그렇지 않고, 시간 t3이 다 되면 v' = \(\bot\)로 설정합니다. 3. v'의 값이 설정되면 i는 CERT r−1에서 Qr−1을 계산하고 다음을 확인합니다. i \(\in\)SV r,3인지 아닌지. 4. i \(\in\)SV r,3이면 i는 mr,3 메시지를 계산합니다. 나 \(\triangleq\)(ESIGi(v′), \(\sigma\)r,3 i), 그의 것을 파괴한다 임시 비밀 키 skr,3 i, 그런 다음 mr,3을 전파합니다. 나. 그렇지 않으면 나는 없이 멈춘다 무엇이든 전파합니다. a즉, 그는 각각 ESIGj(v)와 다른 ESIGj(ˆv)를 포함하는 두 개의 유효한 메시지를 수신하지 못했습니다. j 선수로부터. 나중에 정의되는 종료 조건을 제외하고 여기서부터, 정직한 플레이어가 특정 형식의 메시지를 원할 경우 서로 모순되는 메시지는 계산되지 않거나 유효한 것으로 간주되지 않습니다.

4단계: GC의 출력과 BBA의 첫 번째 단계⋆ 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 4단계를 시작합니다. 스스로 3단계를 마친다. • 사용자 i는 최대 2\(\lambda\).a 동안 대기합니다. 대기하는 동안 i는 다음과 같이 행동합니다. 1. 그는 GC의 출력인 vi와 gi를 다음과 같이 계산합니다. (a) v′ ̸= \(\bot\) 적어도 tH개의 유효한 메시지를 수신한 값이 존재하는 경우 씨,3 j = (ESIGj(v′), \(\sigma\)r,3 j ), 그 다음 그는 기다리기를 멈추고 vi \(\triangleq\)v′ 및 gi \(\triangleq\)2를 설정합니다. (b) 만약 그가 적어도 tH개의 유효한 메시지를 받았다면 mr,3 j = (ESIGj(\(\bot\)), \(\sigma\)r,3 j ) 그런 다음 그는 멈춥니다. 기다리고 vi \(\triangleq\) \(\bot\) 및 gi \(\triangleq\)0.b를 설정합니다. (c) 그렇지 않고, 시간 2\(\lambda\)가 다 되었을 때, v′ ̸= \(\bot\)라는 값이 존재한다면 그는 다음과 같습니다. 최소 ⌈tH를 받았습니다 2 ⌉유효한 메시지 mr,j j = (ESIGj(v′), \(\sigma\)r,3 j ), 그런 다음 vi \(\triangleq\)v′를 설정합니다. 그리고 gi \(\triangleq\)1.c (d) 그렇지 않고, 2\(\lambda\)의 시간이 지나면 vi \(\triangleq\) \(\bot\)과 gi \(\triangleq\)0을 설정합니다. 2. vi와 gi 값이 설정되면 i는 BBA⋆의 입력인 bi를 다음과 같이 계산합니다. gi = 2이면 bi \(\triangleq\)0이고, 그렇지 않으면 bi \(\triangleq\)1입니다. 3. i는 CERT r−1에서 Qr−1을 계산하고 i \(\in\)SV r,4인지 여부를 확인합니다. 4. i \(\in\)SV r,4이면 그는 메시지 mr,4를 계산합니다. 나 \(\triangleq\)(ESIGi(bi), ESIGi(vi), \(\sigma\)r,4 i), 그의 것을 파괴한다 임시 비밀 키 skr,4 i , 그리고 mr,4를 전파합니다. 나. 그렇지 않으면 전파하지 않고 중지됩니다. 무엇이든. a따라서 i가 라운드 r의 1단계를 시작한 이후 최대 총 시간은 t4 \(\triangleq\)t3 + 2\(\lambda\) = 5\(\lambda\) + Λ가 될 수 있습니다. b단계 (b)가 프로토콜에 있는지 여부는 정확성에 영향을 미치지 않습니다. 그러나 단계 (b)의 존재 충분히 많은 3단계 검증자가 "\(\bot\)에 서명"한 경우 4단계가 2\(\lambda\) 미만의 시간 내에 끝날 수 있습니다. c이 경우 v′가 존재한다면 고유해야 함을 증명할 수 있습니다.단계 s, 5 \(\leq\)s \(\leq\)m + 2, s −2 ‚0 mod 3: BBA⋆의 코인 고정-0 단계 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. 자신의 단계 s-1을 완료합니다. • 사용자 i는 최대 2\(\lambda\).a 동안 대기합니다. 대기하는 동안 i는 다음과 같이 행동합니다. – 종료 조건 0: 임의의 지점에 문자열 v ̸= \(\bot\)과 단계 s′가 존재하는 경우 (a) 5 \(\leq\)s′ \(\leq\)s, s′ −2 pho mod 3 — 즉, s′ 단계는 Coin-Fixed-To-0 단계입니다. (b) 나는 적어도 tH개의 유효한 메시지 mr,s'-1을 수신했습니다. j = (ESIGj(0), ESIGj(v), \(\sigma\)r,s′−1 j ),b 그리고 (c) 나는 유효한 메시지(SIGj(Qr−1), \(\sigma\)r,1)를 수신했습니다. j ) j가 두 번째임 v의 구성 요소, 그런 다음 나는 기다리는 것을 멈추고 자신의 Step s 실행을 종료합니다(실제로는 r 라운드에서도). (r, s) 검증자로서 아무것도 전파하지 않고 즉시; H(Br)을 첫 번째로 설정합니다. v의 구성요소; 그리고 자신의 CERT r을 메시지 mr,s′-1의 집합으로 설정합니다. j (b) 단계 (SIGj(Qr−1), \(\sigma\)r,1과 함께 j).c – 종료 조건 1: 어느 시점에 다음과 같은 단계 s'가 존재하는 경우 (a') 6 \(\leq\)s' \(\leq\)s, s' −2 pho1 mod 3 — 즉, 단계 s'는 Coin-Fixed-To-1 단계이고, (b') 나는 적어도 tH개의 유효한 메시지 mr,s'-1을 수신했습니다. j = (ESIGj(1), ESIGj(vj), \(\sigma\)r,s′−1 j ),디 그러면 나는 기다리는 것을 멈추고 그 자신의 Step s(그리고 실제로는 r 라운드)의 실행을 종료합니다. (r, s)-검증자로서 아무것도 전파하지 않고 멀리 갑니다. Br = Br로 설정 ? ; 그리고 자신이 설정한 CERT r은 메시지 mr,s′−1의 집합입니다. j 하위 단계 (b'). – 만약에 ~에 어떤 포인트 그 있다 받은 ~에 최소한 tH 유효한 씨,s−1 j 의 의 는 형태 (ESIGj(1), ESIGj(vj), \(\sigma\)r,s−1 j ), 그런 다음 그는 기다리기를 멈추고 bi \(\triangleq\)1을 설정합니다. – 만약에 ~에 어떤 포인트 그 있다 받은 ~에 최소한 tH 유효한 씨,s−1 j 의 의 는 형태 (ESIGj(0), ESIGj(vj), \(\sigma\)r,s−1 j ), 하지만 동일한 v에 동의하지 않으면 그는 중지합니다. 기다리고 bi \(\triangleq\)0을 설정합니다. – 그렇지 않고, 시간 2\(\lambda\)가 다 되면 bi \(\triangleq\)0을 설정합니다. – bi 값이 설정되면 i는 CERT r−1에서 Qr−1을 계산하고 다음을 확인합니다. i \(\in\)SV r,s. – i \(\in\)SV r,s이면 i는 메시지 mr,s를 계산합니다. 나 \(\triangleq\)(ESIGi(bi), ESIGi(vi), \(\sigma\)r,s i) vi가 있는 경우 4단계에서 그가 계산한 값은 그의 임시 비밀 키 skr을 파괴합니다. 나 , 그리고 나서 Mr,s를 전파합니다 나. 그렇지 않으면 아무것도 전파하지 않고 중지됩니다. a따라서 i가 라운드 r의 1단계를 시작한 이후 최대 총 시간은 ts \(\triangleq\)ts−1 + 2\(\lambda\) = (2s −3) \(\lambda\) + Λ. b플레이어 j로부터의 이러한 메시지는 플레이어 i가 1에 서명한 j로부터 메시지를 받은 경우에도 계산됩니다. 엔딩 조건 1도 비슷한 내용입니다. 분석에서 보듯이 이는 모든 정직한 사용자가 알 수 있도록 하기 위한 것입니다. CERT r은 서로 시간 \(\lambda\) 내에 있습니다. c사용자 i는 이제 H(Br)와 자신의 라운드 r 완료를 알고 있습니다. 그는 실제로 블록 Br이 나올 때까지 기다려야 합니다. 그 사람에게 전파되므로 추가 시간이 걸릴 수 있습니다. 그는 여전히 일반 사용자로서 메시지 전파를 돕고 있습니다. 그러나 (r, s) 검증자로서 전파를 시작하지는 않습니다. 특히 그는 모든 메시지를 전파하는 데 도움을 주었습니다. 그의 CERT r은 우리 프로토콜에 충분합니다. 바이너리 BA 프로토콜에 대해서도 bi \(\triangleq\)0을 설정해야 한다는 점에 유의하세요. 어쨌든 이 경우에는 bi가 필요하지 않습니다. 향후 모든 지침에 대해서도 유사합니다. d이 경우 vj가 무엇인지는 중요하지 않습니다. 65단계 s, 6 \(\leq\)s \(\leq\)m + 2, s −2 ל1 mod 3: BBA⋆의 동전 고정 1 단계 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. 자신의 단계 s-1을 완료합니다. • 사용자 i는 최대 2\(\lambda\)의 시간을 기다립니다. 기다리는 동안 나는 다음과 같이 행동합니다. – 종료 조건 0: Coin-Fixed-To-0 단계와 동일한 지침입니다. – 종료 조건 1: Coin-Fixed-To-0 단계와 동일한 지침입니다. – 만약에 ~에 어떤 포인트 그 있다 받은 ~에 최소한 tH 유효한 씨,s−1 j 의 의 는 형태 (ESIGj(0), ESIGj(vj), \(\sigma\)r,s−1 j ), 그런 다음 그는 기다리기를 멈추고 bi \(\triangleq\)0.a를 설정합니다. – 그렇지 않고, 시간 2\(\lambda\)가 다 되면 bi \(\triangleq\)1을 설정합니다. – bi 값이 설정되면 i는 CERT r−1에서 Qr−1을 계산하고 다음을 확인합니다. i \(\in\)SV r,s. – i \(\in\)SV r,s이면 i는 메시지 mr,s를 계산합니다. 나 \(\triangleq\)(ESIGi(bi), ESIGi(vi), \(\sigma\)r,s i) vi가 있는 경우 4단계에서 그가 계산한 값은 그의 임시 비밀 키 skr을 파괴합니다. 나 , 그리고 나서 Mr,s를 전파합니다 나. 그렇지 않으면 아무것도 전파하지 않고 중지됩니다. a1에 대한 유효한 (r, s -1) 메시지 서명을 수신하면 종료 조건 1을 의미합니다. 단계 s, 7 \(\leq\)s \(\leq\)m + 2, s −2 ל2 mod 3: BBA⋆의 동전 뒤집기 단계 모든 사용자 i \(\in\)PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. 자신의 단계 s-1을 마칩니다. • 사용자 i는 최대 2\(\lambda\)의 시간을 기다립니다. 기다리는 동안 나는 다음과 같이 행동합니다. – 종료 조건 0: Coin-Fixed-To-0 단계와 동일한 지침입니다. – 종료 조건 1: Coin-Fixed-To-0 단계와 동일한 지침입니다. – 만약에 ~에 어떤 포인트 그 있다 받은 ~에 최소한 tH 유효한 씨,s−1 j 의 의 는 형태 (ESIGj(0), ESIGj(vj), \(\sigma\)r,s−1 j ), 그런 다음 그는 기다리기를 멈추고 bi \(\triangleq\)0을 설정합니다. – 만약에 ~에 어떤 포인트 그 있다 받은 ~에 최소한 tH 유효한 씨,s−1 j 의 의 는 형태 (ESIGj(1), ESIGj(vj), \(\sigma\)r,s−1 j ), 그런 다음 그는 기다리기를 멈추고 bi \(\triangleq\)1을 설정합니다. – 그렇지 않은 경우, 시간 2\(\lambda\)가 종료되면 SV r,s−1을 허용합니다. 나 (r, s −1)-검증자의 집합이 됩니다. 그는 유효한 메시지를 받았습니다. mr,s−1 j , 나는 bi \(\triangleq\)lsb(minj\(\in\)SV r,s−1을 설정합니다. 나 H(\(\sigma\)r,s−1 j )). – bi 값이 설정되면 i는 CERT r−1에서 Qr−1을 계산하고 다음을 확인합니다. i \(\in\)SV r,s. – i \(\in\)SV r,s이면 i는 메시지 mr,s를 계산합니다. 나 \(\triangleq\)(ESIGi(bi), ESIGi(vi), \(\sigma\)r,s i) vi가 있는 경우 4단계에서 그가 계산한 값은 그의 임시 비밀 키 skr을 파괴합니다. 나 , 그리고 나서 Mr,s를 전파합니다 나. 그렇지 않으면 아무것도 전파하지 않고 중지됩니다. 주목. 원칙적으로 하위 섹션 6.2에서 고려한 바와 같이 프로토콜은 임의로 많은 수를 취할 수 있습니다. 어떤 라운드의 단계. 이런 일이 발생하면 논의한 대로 s > \(\mu\)인 사용자 i \(\in\)SV r,s가 지쳤습니다.

미리 생성된 임시 키를 보관하고 그의 (r, s) 메시지 mr,s를 인증해야 합니다. 나 에 의해 임시 키의 "계단식". 그래서 내 메시지가 좀 길어지고, 이 메시지를 더 길게 전송하게 되니 메시지를 보내는 데 시간이 조금 더 걸립니다. 따라서 주어진 라운드의 여러 단계를 거친 후에는 매개변수 \(\lambda\)는 자동으로 약간 증가합니다. (단, 새로운 값이 나오면 원래의 \(\lambda\)로 되돌아갑니다. 블록이 생성되고 새로운 라운드가 시작됩니다.) 비검증자에 의한 Round-r 블록 재구성 시스템의 모든 사용자 i를 위한 지침: 사용자 i는 라운드 r을 시작하자마자 자신의 라운드 r을 시작합니다. CERT r-1. • 나는 프로토콜의 각 단계의 지침을 따르고 모든 프로토콜의 전파에 참여합니다. 메시지를 전송하지만, 검증자가 아닌 경우 단계에서 전파를 시작하지 않습니다. • 나는 일부 항목에 종료 조건 0 또는 종료 조건 1을 입력하여 자신의 라운드 r을 종료합니다. 해당 CERT r을 사용하여 단계를 수행합니다. • 이후부터 그는 실제 블록 Br을 받기를 기다리는 동안 r + 1 라운드를 시작합니다. 그는 이미 그것을 받았습니다), 그의 hash H(Br)는 CERT r에 의해 고정되었습니다. 또 만약에 CERT r은 Br = Br임을 나타냅니다. ?, 나는 그가 CERT r을 취득하는 순간 Br을 압니다. 6.4 Algorand ' 분석 2 Algorand '의 분석 2는 Algorand ′의 그것으로부터 쉽게 파생됩니다. 1. 기본적으로 Algorand ' 2, 와 압도적인 확률, (a) 모든 정직한 사용자가 동일한 블록 Br에 동의합니다. 새로운 시대의 리더 블록은 적어도 ph = h2(1 + h −h2)의 확률로 정직합니다.

오프라인 정직한 사용자 처리

우리가 말했듯이, 정직한 사용자는 온라인 접속을 포함하여 자신이 규정한 모든 지침을 따릅니다. 그리고 프로토콜을 실행합니다. 이는 Algorand에서 큰 부담이 되지 않습니다. 정직한 사용자에게 필요한 대역폭은 매우 적당합니다. 하지만 Algorand은(는) 정직한 사용자가 오프라인 상태가 허용되는 두 가지 모델에서 작동하도록 쉽게 수정될 수 있습니다. 큰 숫자. 이 두 가지 모델을 논의하기 전에, 정직한 플레이어의 비율이 95%인 경우에도 Algorand은 h = 80%라고 가정하고 모든 매개변수를 설정하여 계속 실행할 수 있습니다. 따라서 Algorand은 정직한 플레이어의 최대 절반이더라도 계속해서 제대로 작동합니다. 오프라인을 선택했습니다(실제로 '결근'의 주요 사례). 사실, 어느 시점에서든 적어도 온라인 플레이어 중 80%는 정직합니다. 지속적인 참여에서 나태한 정직함으로 보시다시피 Algorand ′ 1 및 Algorand ' 2 선택 되돌아보기 매개변수 k. 이제 k를 적절하게 크게 선택하면 다음을 제거할 수 있음을 보여드리겠습니다. 지속적인 참여 요구 사항. 이 요구 사항은 다음과 같은 중요한 속성을 보장합니다. 기본 BA 프로토콜 BBA⋆는 적절하고 정직한 다수를 가지고 있습니다. 이제 게으른 방법을 설명하겠습니다. 정직함은 이러한 특성을 만족시킬 수 있는 대안적이고 매력적인 방법을 제공합니다.

(1) 사용자 i가 자신이 규정한 모든 지침을 따른다면 게으르지만 정직하다는 점을 기억하세요. 그는 프로토콜에 참여하라는 요청을 받고 (2) 프로토콜에만 참여하도록 요청받습니다. 매우 드물게(예: 일주일에 한 번) 적절한 사전 통지가 있고 잠재적으로 상당한 금액을 받을 수 있습니다. 그가 참여하면 보상을 받습니다. Algorand이 그러한 플레이어와 함께 작업할 수 있도록 하려면 "검증자를 선택하는 것"으로 충분합니다. 훨씬 이전 라운드에 이미 시스템에 있었던 사용자들 사이에서 현재 라운드.” 실제로, 그것을 기억하십시오 라운드 r에 대한 검증자는 라운드 r -k의 사용자 중에서 선택되며 선택은 다음을 기반으로 이루어집니다. 수량 Qr−1에 대해. 일주일은 대략 10,000분으로 구성되며, 라운드는 대략(예: 평균) 5분 정도 걸리므로 일주일에 대략 2,000라운드가 진행됩니다. 가정하다 어떤 시점에서 사용자는 자신의 시간을 계획하고 자신이 시간을 보낼지 여부를 알고 싶습니다. 다음 주에 검증인이 올 것입니다. 이제 프로토콜은 라운드 r에 대한 검증자를 다음 사용자 중에서 선택합니다. r −k −2,000을 라운드하고 선택은 Qr−2,001을 기반으로 합니다. r 라운드에서 나는 이미 알고 있는 선수 값 Qr−2,000, . . . , Qr−1, 실제로는 blockchain의 일부이기 때문입니다. 그런 다음 각 M에 대해 1과 2,000 사이에서 i는 라운드 r + M의 단계 s에서 검증자입니다. .H SIGi r + M, s, Qr+M−2,001 \(\leq\)p . 따라서 그가 다음 2,000 라운드 동안 검증자로 활동하도록 호출될 것인지 확인하려면 다음을 수행해야 합니다. \(\sigma\)M,s를 계산하다 나 = SIGi r + M, s, Qr+M−2,001 M = 1 ~ 2,000이고 각 단계 s에 대해 확인합니다. .H(\(\sigma\)M,s 나 ) 그 중 일부는 \(\leq\)p입니다. 디지털 서명을 계산하는 데 밀리초가 걸린다면 이 전체 작업을 계산하는 데 약 1분이 소요됩니다. 검증인으로 선정되지 않은 경우 이 라운드 중 어느 라운드에서든 그는 "정직한 양심"을 가지고 오프라인으로 갈 수 있습니다. 만약 그가 지속적으로 참여했다면 그는 어쨌든 다음 2,000 라운드 동안 본질적으로 0보를 걸었을 것입니다! 대신에 그는 이 라운드 중 하나에서 검증자로 선택됩니다. 그런 다음 그는 자신을 준비합니다(예: 모든 것을 얻음으로써) 필요한 정보) 적절한 라운드에서 정직한 검증자 역할을 합니다. 그렇게 행동함으로써, 게으르지만 정직한 잠재적 검증자는 전파에 참여하는 것을 놓칠 뿐입니다. 메시지의. 그러나 메시지 전파는 일반적으로 강력합니다. 또한, 지급인과 수취인은 최근 전파된 결제는 온라인에서 결제가 어떻게 진행되는지 확인할 수 있을 것으로 예상됩니다. 따라서 그들은 정직하다면 메시지 전파에 참여할 것입니다.

프로토콜 Algorand ' 정직한 다수의 돈으로

이제 마지막으로 정직한 다수의 사용자 가정을 훨씬 더 많은 가정으로 대체하는 방법을 보여줍니다. 의미 있는 정직한 다수의 돈 가정. 기본 아이디어는 (proof-of-stake 맛)입니다. “다음에 비례하는 가중치(즉, 결정력)를 사용하여 SV r,s에 속하는 사용자 i \(\in\)PKr−k를 선택합니다. i가 소유한 돈의 양.”24 HMM 가정에 따라 해당 금액을 r −k 라운드에 보유해야 하는지 여부를 선택할 수 있습니다. 또는 라운드 r(시작)에. 지속적인 참여를 꺼리지 않는다는 가정 하에 우리는 다음을 선택합니다. 후자의 선택. (지속적인 참여를 없애기 위해 우리는 전자의 선택을 선택했을 것입니다. r −k −2,000 라운드에 소유한 화폐의 양에 대해 말하는 것이 더 좋습니다.) 이 아이디어를 구현하는 방법에는 여러 가지가 있습니다. 가장 간단한 방법은 각 키를 홀드하는 것입니다. 최대 1 단위의 돈을 선택하고 a(r)이 되도록 PKr−k에서 무작위로 n명의 사용자 i를 선택합니다. 나 = 1. 24지속적인 참여를 대체하려면 PKr−k−2,000이라고 말해야 합니다. 단순화를 위해 요구할 수 있으므로 어쨌든 지속적인 참여를 위해 우리는 이전과 같이 PKr-k를 사용하여 하나의 매개변수를 덜 전달합니다.

다음으로 가장 간단한 구현 다음으로 간단한 구현은 각 공개 키가 최대 금액을 소유하도록 요구하는 것입니다. 어떤 고정된 M에 대한 화폐 M입니다. 가치 M은 총 화폐 금액에 비해 충분히 작습니다. 키가 둘 이상의 검증자 세트에 속할 확률이 k 라운드를 진행하는 것은 무시할 수 있습니다. 그런 다음, 금액 a(r)을 소유한 키 i \(\in\)PKr−k 나 라운드 r에서 다음과 같은 경우 SV r,s에 속하도록 선택됩니다. .H SIGi r, s, Qr−1 \(\leq\)p \(\cdot\) a(r) 나 엠 . 그리고 모든 수익은 이전과 동일합니다. 더욱 복잡한 구현 마지막 구현에서는 "시스템의 부유한 참가자가 많은 키를 소유하도록 강요했습니다". 아래에 설명된 대체 구현은 상태 개념을 일반화하고 다음을 고려합니다. 각 사용자 i는 K + 1개의 복사본(i, v)으로 구성되며, 각 복사본은 독립적으로 검증자로 선택됩니다. 자신의 임시 키를 소유하게 됩니다(pkr,s 나,v,skr,s i,v) 라운드 r의 단계 s에서. K 값은 다음과 같습니다. 금액에 따라 a(r) 나 라운드 r에서 i가 소유하고 있습니다. 이제 그러한 시스템이 어떻게 작동하는지 더 자세히 살펴보겠습니다. 사본 수 n을 각 검증자 세트의 목표 예상 카디널리티로 설정하고 a(r)을 다음과 같이 설정합니다. 나 라운드 r에서 사용자 i가 소유한 금액이 됩니다. Ar을 소유한 총 화폐량이라고 하자. 라운드 r에서 PKr-k의 사용자에 의해, 즉, 아르 = X i\(\in\)P Kr−k a(r) 나. i가 PKr-k의 사용자라면 i의 복사본은 (i, 1), . . . , (i, K + 1), 여기서 케이 = $ n \(\cdot\) a(r) 나 아칸소 % . 예. n = 1,000, Ar = 109, a(r)이라고 가정합니다. 나 = 370만. 그런 다음, 케이 = 103 \(\cdot\) (3.7 \(\cdot\) 106) 109  = ⌊3.7⌋= 3 . 검증자 및 자격 증명 나는 K + 1 복사본을 가진 PKr-k의 사용자라고 가정합니다. 각 v = 1에 대해 . . . , K, 복사본(i, v)은 자동으로 SV r,s에 속합니다. 즉, 나의 자격 증명은 \(\sigma\)r,s i,v \(\triangleq\)SIGi((i, v), r, s, Qr−1)이지만 해당 조건은 .H(\(\sigma\)r,s)가 됩니다. i,v) \(\leq\)1, 즉 항상 사실입니다. 복사(i, K + 1)의 경우 라운드 r의 각 단계 s에 대해 i는 다음을 확인합니다. .H SIGi (i, K + 1), r, s, Qr−1 \(\leq\)a(r) 나 엔 Ar-K.

그렇다면 사본 (i, K + 1)은 SV r,s에 속합니다. 그것을 증명하기 위해 자격 증명을 전파합니다. \(\sigma\)r,1 i,K+1 = SIGi (i, K + 1), r, s, Qr−1 . 예. 이전 예에서와 같이 n = 1K, a(r) 나 = 3.7M, Ar = 1B, i는 4입니다. 복사본: (i, 1), . . . , (i, 4). 그런 다음 처음 3개의 복사본은 자동으로 SV r,s에 속합니다. 4번째의 경우, 개념적으로 Algorand '은 앞면이 나올 확률이 0.7인 편향된 동전을 독립적으로 굴립니다. 복사 (i, 4)는 동전 던지기가 앞면인 경우에만 선택됩니다. (물론 이 편향된 동전 던지기는 hashing, 서명 및 비교를 통해 구현됩니다. 나는 그의 결과를 증명할 수 있도록 이 논문에서 모든 작업을 수행했습니다.) 평소대로 사업 검증자를 선택하는 방법과 자격 증명을 어떻게 지정하는지 설명했습니다. 라운드 r의 각 단계에서 계산되므로 라운드 실행은 이미 설명한 것과 유사합니다.

Fork 처리

포크가 발생할 확률을 10-12 또는 10-18로 줄임으로써 실질적으로 처리할 필요가 없습니다. 그런 일이 일어날 가능성은 희박합니다. 그러나 Algorand은 다양한 포크를 사용할 수도 있습니다. 작업 증명 유무에 관계없이 해결 절차. 사용자에게 포크를 해결하도록 지시하는 한 가지 가능한 방법은 다음과 같습니다. • 사용자에게 여러 체인이 표시되는 경우 가장 긴 체인을 따릅니다. • 가장 긴 체인이 두 개 이상인 경우 끝에 비어 있지 않은 블록이 있는 체인을 따릅니다. 만약에 모두 끝에 빈 블록이 있습니다. 마지막 두 번째 블록을 고려하세요. • 끝에 비어 있지 않은 블록이 있는 가장 긴 체인이 두 개 이상 있는 경우 체인은 다음과 같습니다. 길이가 r인 블록 r의 리더가 가장 작은 자격 증명을 가진 블록을 따릅니다. 인연이 있다면, 블록 r 자체가 가장 작은 hash 값을 갖는 블록을 따르십시오. 여전히 동점이 있는 경우 다음을 따르세요. 블록 r이 사전순으로 첫 번째로 정렬된 블록입니다.

네트워크 파티션 처리

앞서 말했듯이, 우리는 네트워크의 모든 사용자 사이의 메시지 전파 시간이 \(\lambda\)와 Λ에 의해 상한된다고 가정합니다. 오늘날의 인터넷은 빠르고 강력하며, 이러한 매개변수의 실제 값은 상당히 합리적입니다. 여기서는 Algorand `` 2 인터넷이 때때로 두 부분으로 분할되어도 계속 작동합니다. 경우는 인터넷은 두 개 이상의 부분으로 나누어져 있습니다. 10.1 물리적 파티션 우선, 물리적인 이유로 파티션이 발생할 수 있습니다. 예를 들어, 대규모 지진이 발생할 수 있습니다. 결국 유럽과 미국의 연결이 완전히 무너졌습니다. 이 경우, 악의적인 사용자도 분할되어 있으며 두 부분 사이에는 통신이 없습니다. 따라서

두 명의 적이 있는데, 하나는 파트 1에, 다른 하나는 파트 2에 사용됩니다. 각 대적은 여전히 다음을 시도합니다. 프로토콜 자체를 위반합니다. 분할이 라운드 r의 중간에 발생한다고 가정합니다. 그런 다음 각 사용자는 여전히 이전과 동일한 확률로 PKr-k를 기반으로 하는 검증자입니다. HSV r,s를 보자 나 및 MSV r,s 나 각각 파트 i \(\in\){1, 2}의 단계 s에서 정직하고 악의적인 검증자의 집합이 됩니다. 우리는 |HSV r,s 1 | + |MSV r,s 1 | + |HSV r,s 2 | + |MSV r,s 2 | = |HSV r,s| + |MSV r,s|. |HSV r,s| + |MSV r,s| < |HSV r,s| + 2|MSV r,s| 압도적인 확률로 2tH 미만. 어떤 부분에 |HSV r,s가 있는 경우 나 | + |MSV r,s 나 | 무시할 수 없는 확률(예: 1%)의 \(\geq\)tH인 경우 |HSV r,s의 확률 3−i| + |MSV r,s 3−i| \(\geq\)tH는 매우 낮습니다(예: F = 10−18인 경우 10−16). 이 경우, 검증자가 충분하지 않기 때문에 더 작은 부분을 오프라인으로 처리하는 것이 좋습니다. 블록을 인증하기 위한 서명을 생성하는 부분입니다. 일반성을 잃지 않고 더 큰 부분, 즉 파트 1을 고려해 보겠습니다. 비록 |HSV r,s| < 각 단계 s에서 무시할 수 있는 확률을 갖는 tH, 네트워크가 분할되면 |HSV r,s 1 | 어쩌면 무시할 수 없는 확률로 tH보다 작습니다. 이 경우 상대방은 다음과 같은 조치를 취할 수 있습니다. 다른 무시할 수 없는 확률, 비어 있지 않은 블록 Br과 빈 블록 Br을 사용하여 바이너리 BA 프로토콜을 r 라운드의 포크로 강제 실행합니다. ? 둘 다 유효한 서명을 가지고 있습니다.25 예를 들어, Coin-Fixed-To-0 단계, HSV r,s의 모든 검증자 1 비트 0과 H(Br)에 서명하고 이를 전파했습니다. 메시지. MSV r,s의 모든 검증자 1 또한 0과 H(Br)에 서명했지만 메시지를 보류했습니다. 왜냐하면 |HSV r,s 1 | + |MSV r,s 1 | \(\geq\)tH, 시스템에는 Br을 인증할 만큼 충분한 서명이 있습니다. 그러나 이후 악의적인 검증자가 서명을 보류하면 사용자는 Coin-Fixed-To1 단계인 s + 1 단계에 들어갑니다. 왜냐하면 |HSV r,s 1 | < tH 파티션으로 인해 HSV r,s+1의 검증자 1 못 봤어 비트 0에 대한 서명이 있고 모두 비트 1에 대해 서명되었습니다. MSV r,s+1의 모든 검증자 1 똑같이했습니다. 왜냐하면 |HSV r,s+1 1 | + |MSV r,s+1 1 | \(\geq\)tH, 시스템에는 Br을 인증하기에 충분한 서명이 있습니다. ? 대적 그런 다음 MSV r,s의 서명을 릴리스하여 포크를 생성합니다. 1 0과 H(Br)의 경우. 따라서 라운드 r의 해당 블록에 의해 정의되는 두 개의 Qr이 있습니다. 그러나, 포크는 계속되지 않으며 두 가지 중 하나만 r + 1 라운드에서 자랄 수 있습니다. Algorand '에 대한 추가 지침 2. 비어 있지 않은 블록 Br과 비어 있는 블록을 볼 때 블록 브롬 ϫ , 비어 있지 않은 것(및 이에 의해 정의된 Qr)을 따릅니다. 실제로 사용자에게 프로토콜의 비어 있지 않은 블록을 사용하도록 지시함으로써 PKr+1−k의 정직한 사용자 중 상당수는 라운드 r +1의 시작 부분에 포크가 있다는 것을 깨닫습니다. 빈 블록에는 추종자가 충분하지 않아 성장하지 않습니다. 적이 다음과 같이 관리한다고 가정합니다. 일부 정직한 사용자가 Br(및 아마도 Br)을 볼 수 있도록 정직한 사용자를 분할합니다. ?), 일부는 단지 브르 ? 왜냐하면 대적은 그들 중 어느 것이 Br을 따르는 검증자가 될 것인지, 그리고 어느 것이 검증자가 될 것인지 알 수 없기 때문입니다. Br을 따르는 검증자가 될 것입니다. ? , 정직한 사용자는 무작위로 분할되어 있으며 각 사용자는 여전히 검증자가 됩니다(Br에 대해 또는 Br에 대해). Ϋ) 확률이 s > 1인 단계에서 p. 악의적인 사용자의 경우 각 사용자는 검증자가 될 수 있는 두 번의 기회를 가질 수 있습니다. Br과 다른 하나는 Br ϫ, 각각 독립적으로 확률 p를 갖습니다. HSV r+1,s를 보자 1;Br Br에 이어 라운드 r+1의 단계 s에서 정직한 검증자 집합이 됩니다. 기타 표기법 HSV r+1,s와 같은 1;브 , MSV r+1,s 1;Br 및 MSV r+1,s 1;브뤼 유사하게 정의되어 있습니다. Chernoffbound를 이용하면 쉽습니다. 25두 개의 비어 있지 않은 블록이 있는 포크를 갖는 것은 무시할 수 있는 경우를 제외하고는 파티션이 있든 없든 불가능합니다. 확률.압도적인 확률로 그걸 보게 된다면, |HSV r+1,s 1;Br | + |HSV r+1,s 1;브뤼 | + |MSV r+1,s 1;Br | + |MSV r+1,s 1;브뤼 | < 2tH. 따라서 두 가지 모두 라운드 블록을 인증하는 적절한 서명을 가질 수 없습니다. 동일한 단계 s에서 r + 1. 더욱이 두 단계 s와 s′에 대한 선택 확률은 동일하며 선택은 독립적이며 압도적인 확률을 갖습니다. |HSV r+1,s 1;Br | + |MSV r+1,s 1;Br | + |HSV r+1,s′ 1;브뤼 | + |MSV r+1,s′ 1;브뤼 | < 2tH, 임의의 두 단계 s와 s′에 대해. F = 10−18일 때, 결합 결합에 의해, 적이 할 수 없는 한 정직한 사용자를 오랫동안 분할합니다(예: 104단계, 이는 \(\lambda\) = 10인 경우 55시간 이상). 초26), 높은 확률(예: 1−10−10)로 최대 하나의 분기가 tH개의 적절한 서명을 갖게 됩니다. 라운드 r + 1에서 블록을 인증합니다. 마지막으로, 물리적 파티션이 대략 동일한 크기의 두 부분을 생성한 경우 |HSV r,s의 확률 나 | + |MSV r,s 나 | \(\geq\)tH는 각 부분 i에 대해 작습니다. 비슷한 분석에 따르면, 비록 적이 각 부분에서 무시할 수 없는 확률로 포크를 생성하더라도 라운드 r의 경우, 네 개의 가지 중 많아야 하나가 라운드 r + 1에서 자랄 수 있습니다. 10.2 적대적 파티션 둘째, 적대자에 의해 파티션이 발생하여 메시지가 전파될 수 있습니다. 한 부분의 정직한 사용자는 다른 부분의 정직한 사용자에게 직접 도달하지 않지만 공격자는 두 부분 간에 메시지를 전달할 수 있습니다. 그래도 한 번은 누군가의 메시지를 부분이 다른 부분에서 정직한 사용자에게 도달하면 평소와 같이 후자에 전파됩니다. 만약 상대방은 많은 돈을 쓸 의향이 있으며, 해킹을 할 수도 있다고 생각됩니다. 인터넷을 하고 잠시 이렇게 파티션을 나누세요. 분석은 위의 물리적 파티션의 더 큰 부분(더 작은 부분)에 대한 분석과 유사합니다. 부분의 인구는 0인 것으로 간주될 수 있습니다. 공격자는 포크를 생성하고 각 정직한 사용자는 가지 중 하나만 볼 수 있지만 최대 하나의 가지가 성장할 수 있습니다. 10.3 네트워크 파티션 합계 네트워크 파티션이 발생할 수 있고 파티션 아래에서 한 라운드의 포크가 발생할 수도 있지만 이는 오래 지속되는 모호함이 아닙니다. 포크는 수명이 매우 짧으며 실제로는 최대 한 라운드 동안 지속됩니다. 에서 최대 하나를 제외한 파티션의 모든 부분에서 사용자는 새로운 블록을 생성할 수 없으므로 (a) 네트워크에 분할이 있다는 것을 인식하고 (b) "사라지는" 블록에 절대 의존하지 마십시오. 감사의 말 먼저 인용된 Democoin 시스템의 공동 저자인 Sergey Gorbunov에게 감사 인사를 전하고 싶습니다. 많은 계몽적인 토론과 지적을 해주신 Maurice Herlihy에게 진심으로 감사드립니다. 파이프라이닝이 Algorand의 처리량 성능을 향상시키고 26 사용자는 해당 항목에 대해 최소한 tH개의 서명을 본 경우에만 2\(\lambda\) 시간을 기다리지 않고 단계 s를 완료한다는 점에 유의하십시오. 같은 메시지. 서명이 충분하지 않으면 각 단계는 2\(\lambda\) 시간 동안 지속됩니다.

이 문서의 이전 버전을 설명합니다. 의견을 주신 Sergio Rajsbaum에게 깊은 감사를 드립니다. 이 문서의 이전 버전. 몇 가지 심도 있는 토론을 해주신 Vinod Vaikuntanathan에게 많은 감사를 드립니다. 그리고 통찰력. Yossi Gilad, Rotem Hamo, Georgios Vlachos 및 Nickolai Zeldovich에게 많은 감사를 드립니다. 이러한 아이디어를 테스트하기 시작하고 많은 유용한 의견과 토론을 해주셔서 감사합니다. Silvio Micali는 수많은 토론과 지도를 해주신 Ron Rivest에게 개인적으로 감사의 말씀을 전하고 싶습니다. 30년 이상 암호화폐 연구에 종사했으며, 인용된 소액 결제 시스템을 공동 집필했습니다. 이는 Algorand의 검증자 선택 메커니즘 중 하나에 영감을 주었습니다. 우리는 이 기술을 다음 단계로 끌어올리기를 희망합니다. 그동안 여행과 교제 정말 재미있어요. 정말 감사해요.