Algorand: การปรับขนาดข้อตกลง Byzantine สำหรับ Cryptocurrencies

저자 Jing Chen and Silvio Micali · 2017

🇺🇸 English (원문)

🇹🇭 ไทย (번역)

초록

공개 원장은 누구나 읽고 확장할 수 있는 변조 방지된 데이터 시퀀스입니다. 공개 원장은 셀 수 없이 많고 강력한 용도로 사용됩니다. 그들은 모든 종류의 것을 눈에 띄게 확보할 수 있습니다. 소유권, 판매, 지불 등의 거래를 발생한 순서대로 정확하게 기록합니다. 공공 원장은 부패를 억제할 뿐만 아니라 다음과 같은 매우 정교한 애플리케이션을 가능하게 합니다. 암호화폐 및 smart contracts. 그들은 민주사회의 방식에 혁명을 일으키기 위해 서 있습니다. 운영합니다. 그러나 현재 구현된 대로 확장성이 부족하고 잠재력을 달성할 수 없습니다. Algorand은 공개 원장을 구현하는 진정으로 민주적이고 효율적인 방법입니다. 이전과 달리 작업 증명을 기반으로 한 구현에는 무시할 만한 양의 계산이 필요합니다. 압도적으로 높은 확률로 "포크"되지 않는 거래 내역을 생성합니다. Algorand은 (신선하고 매우 빠른) 메시지 전달 비잔틴 계약을 기반으로 합니다. 구체적으로 Algorand은 머니 플랫폼으로만 설명하겠습니다.

บทคัดย่อ

บัญชีแยกประเภทสาธารณะเป็นลำดับข้อมูลที่ป้องกันการปลอมแปลงที่ทุกคนสามารถอ่านและเพิ่มได้ บัญชีแยกประเภทสาธารณะมีประโยชน์มากมายและน่าสนใจ พวกเขาสามารถรักษาความปลอดภัยได้ทุกชนิด ของธุรกรรม เช่น ชื่อ การขาย และการชำระเงิน ในลำดับที่แน่นอนที่เกิดขึ้น บัญชีแยกประเภทสาธารณะไม่เพียงแต่ควบคุมการทุจริตเท่านั้น แต่ยังเปิดใช้งานแอปพลิเคชันที่ซับซ้อนมาก เช่น สกุลเงินดิจิตอลและ smart contracts พวกเขายืนหยัดที่จะปฏิวัติวิถีสังคมประชาธิปไตย ดำเนินการ อย่างไรก็ตาม ตามที่ดำเนินการอยู่ในปัจจุบัน สิ่งเหล่านี้มีขนาดได้ไม่ดีและไม่สามารถบรรลุศักยภาพได้ Algorand เป็นวิธีการที่เป็นประชาธิปไตยและมีประสิทธิภาพอย่างแท้จริงในการดำเนินการบัญชีแยกประเภทสาธารณะ ไม่เหมือนเมื่อก่อน การใช้งานโดยอิงตามหลักฐานการทำงานนั้น ต้องใช้การคำนวณจำนวนเล็กน้อย และ สร้างประวัติการทำธุรกรรมที่จะไม่ "แยก" ด้วยความน่าจะเป็นสูงอย่างท่วมท้น Algorand อิงตามข้อตกลงไบเซนไทน์ในการส่งข้อความ (แบบใหม่และเร็วเป็นพิเศษ) เพื่อความเป็นรูปธรรม เราจะอธิบาย Algorand ว่าเป็นแพลตฟอร์มเงินเท่านั้น

소개

돈은 점점 더 가상화되고 있습니다. 미국의 약 80%가 차지하는 것으로 추산된다. 현재 달러는 원장 항목 [5]로만 존재합니다. 다른 금융수단도 이를 따르고 있다. 우리가 보편적으로 신뢰할 수 있는 중앙 실체에 의지할 수 있는 이상적인 세계에서는 가능한 모든 사이버 공격에 대비해 돈과 기타 금융 거래는 전적으로 전자적일 수 있습니다. 불행하게도 우리는 그런 세상에 살고 있지 않습니다. 따라서, 분산형 암호화폐와 같은 Bitcoin [29] 및 "smart contract" 시스템(예: Ethereum)이 [4]로 제안되었습니다. 에 이러한 시스템의 핵심은 일련의 거래를 안정적으로 기록하는 공유 원장입니다. ✽이것은 두 번째 저자인 [24]의 ArXiv 논문의 보다 공식적인(비동기적) 버전입니다. Gorbunov와 Micali [18]의 것을 기반으로 합니다. Algorand의 기술은 다음의 대상입니다 특허 출원: US62/117,138 US62/120,916 US62/142,318 US62/218,817 US62/314,601 PCT/US2016/018300 US62/326,865 62/331,654 US62/333,340 US62/343,369 US62/344,667 US62/346,775 US62/351,011 US62/653,482 US62/352,195 US62/363,970 US62/369,447 US62/378,753 US62/383,299 US62/394,091 US62/400,361 US62/403,403 US62/410,721 US62/416,959 US62/422,883 US62/455,444 US62/458,746 US62/459,652 US62/460,928 US62/465,931변조 방지 방식으로 지불 및 계약만큼 다양합니다. 선택하는 기술 그러한 변조 방지를 보장하는 것은 blockchain입니다. 블록체인은 다음과 같은 애플리케이션 뒤에 있습니다. 암호화폐 [29], 금융 애플리케이션 [4], 사물 인터넷 [3]. 여러 가지 기술 blockchain 기반 원장을 관리하기 위해 제안되었습니다: 작업 증명 [29], 지분 증명 [2], 실용적인 비잔틴 결함 허용 [8] 또는 일부 조합. 그러나 현재 원장은 관리하기가 비효율적일 수 있습니다. 예를 들어 Bitcoin의 proof-of-work [14]의 원래 개념을 기반으로 한 접근 방식은 엄청난 양의 계산이 필요하고 낭비적입니다. 확장성이 좋지 않습니다 [1]. 게다가 사실상 극소수의 손에 권력을 집중시킨다. 따라서 우리는 다음을 제공하는 공개 원장을 구현하는 새로운 방법을 제시하고자 합니다. 신뢰할 수 있고 침해할 수 없는 기관에 의해 운영되는 중앙 집중식 시스템의 편리성과 효율성 현재 분산 구현의 비효율성과 약점. 우리는 접근 방식을 이렇게 부릅니다. Algorand, 지금까지 구성된 원장을 기반으로 알고리즘 무작위성을 사용하여 선택하기 때문에 유효한 거래의 다음 블록을 구성하는 역할을 담당하는 검증자 집합입니다. 당연히, 우리는 그러한 선택이 조작으로부터 면제되고 예측할 수 없는 것으로 증명되도록 보장합니다. 마지막 순간에 있지만 궁극적으로는 보편적으로 분명합니다. Algorand의 접근 방식은 원칙적으로도 사실상으로도 그렇지 않다는 점에서 매우 민주적입니다. 다양한 종류의 사용자를 생성합니다(Bitcoin의 "광부" 및 "일반 사용자"). Algorand에서 "모두 권력은 모든 사용자 집합에 있습니다.” Algorand의 주목할만한 속성 중 하나는 거래 내역이 매우 작은 경우에만 분기될 수 있다는 것입니다. 확률(예: 1조분의 1, 즉 10-18). Algorand은 일부 법적 문제도 해결할 수 있습니다. 그리고 정치적 우려. Algorand 접근 방식은 blockchain에 적용되며 더 일반적으로는 모든 생성 방법에 적용됩니다. 변조 방지된 블록 시퀀스. 우리는 실제로 새로운 방법을 제시했습니다. blockchains보다 더 효율적입니다. 이는 독립적인 관심사일 수 있습니다. 1.1 Bitcoin의 가정과 기술적인 문제 Bitcoin은 매우 독창적인 시스템이며 많은 후속 연구에 영감을 주었습니다. 그래도, 그것은 도 문제가 된다. 기본 가정과 기술적 문제를 요약해 보겠습니다. 실제로 Bitcoin와 같이 proof-of-work을 기반으로 하는 모든 암호화폐에서 공유됩니다. 이 요약에서는 Bitcoin에서 사용자가 여러 공개 키를 소유할 수 있다는 점을 기억하면 됩니다. 디지털 서명 방식에 따르면 돈은 공개 키와 연결되어 있으며 지불은 하나의 공개 키에서 다른 공개 키로 일정 금액을 전송하는 디지털 서명입니다. 본질적으로, Bitcoin은 처리된 모든 결제를 B1, B2, 블록 체인으로 구성합니다. . ., 각각은 여러 개로 구성됩니다. 순서에 관계없이 B1의 모든 지불이 이루어지고 이어서 B2의 지불이 순서에 관계없이 수행됩니다. 등은 유효한 지불의 순서를 구성합니다. 각 블록은 평균 10분마다 생성됩니다. 이 일련의 블록은 어떤 변경이라도 보장하도록 구조화되어 있기 때문에 체인입니다. 단일 블록에서 모든 후속 블록에 침투하여 변경 사항을 더 쉽게 발견할 수 있습니다. 지불 내역. (앞으로 살펴보겠지만 이는 각 블록에 암호화된 이전 것의 hash.) 이러한 블록 구조를 blockchain이라고 합니다. 가정: 계산 능력의 정직한 다수 Bitcoin은 악의적인 행위가 없다고 가정합니다. 엔터티(또는 조직된 악의적 엔터티의 연합)가 계산의 대부분을 제어합니다. 블록 생성에 전력을 할당합니다. 실제로 그러한 개체는 blockchain을 수정할 수 있습니다.원하는 대로 결제 내역을 다시 작성하세요. 특히, 결제가 가능합니다 $\wp$, 지불한 혜택을 얻은 다음 $\wp$의 흔적을 "삭제"합니다. 기술적인 문제 1: 전산 폐기물 Bitcoin의 proof-of-work 차단 접근 방식 생성에는 엄청난 양의 계산이 필요합니다. 현재는 몇백개만 가지고 수천 개의 공개 키가 시스템에 존재하므로 가장 강력한 상위 500대 슈퍼컴퓨터만 소집할 수 있습니다. Bitcoin 플레이어에게 필요한 총 계산 능력의 12.8%에 불과합니다. 이 훨씬 더 많은 사용자가 시스템에 참여하면 계산량이 크게 증가합니다. 기술적 문제 2: 권력의 집중 오늘은 엄청난 물량으로 인해 일반 데스크톱을 사용하여 새 블록을 생성하려는 사용자(컴퓨터는 물론이고 계산이 필요함) 휴대폰), 돈을 잃을 것으로 예상됩니다. 실제로 일반 컴퓨터로 새로운 블록을 계산하기 위해서는, 계산에 전력을 공급하는 데 필요한 전기의 예상 비용이 예상 보상을 초과합니다. 특별히 제작된 컴퓨터 풀("새 블록 채굴" 외에는 아무 작업도 수행하지 않음)만 사용하여 새로운 블록을 생성하여 수익을 창출할 수 있을 것으로 기대할 수 있습니다. 따라서 오늘날에는 사실상 두 가지가 있습니다. 분리된 사용자 클래스: 결제만 하는 일반 사용자와 전문 채굴 풀, 새로운 블록만 검색합니다. 따라서 최근 블록의 전체 컴퓨팅 성능이 세대는 단 5개의 풀 내에 있습니다. 그러한 조건에서, 대부분의 사람들이 계산 능력이 정직하다는 것은 신뢰도가 떨어집니다. 기술적 문제 3: 모호함 Bitcoin에서 blockchain은 반드시 고유할 필요는 없습니다. 과연 최신 부분은 종종 분기됩니다. blockchain은 -예를 들어- B1, . . . , Bk, B′ k+1, B' k+2에 따르면 한 명의 사용자와 B1, . . . , Bk, B′′ k+1, B′′ k+2, B′′ 다른 사용자에 따르면 k+3입니다. 여러 블록이 완료된 후에만 체인에 추가되면 처음 k + 3개 블록이 동일할 것이라고 합리적으로 확신할 수 있습니까? 모든 사용자에게. 따라서 마지막 블록에 포함된 지불금에 즉시 의존할 수는 없습니다. 체인. 블록이 충분히 깊어지는지 기다려 보는 것이 더 현명합니다. blockchain 따라서 충분히 안정적입니다. 이와 별도로 Bitcoin.1에 대해 법 집행 및 통화 정책에 대한 우려도 제기되었습니다. 1.2 Algorand, 간단히 말해서 설정 Algorand은 매우 어려운 환경에서 작동합니다. 간략하게, (a) 허가 없는 환경과 허가된 환경. Algorand은(는) 효율적이고 안전하게 작동합니다. 완전히 허가가 없는 환경에서 임의로 많은 사용자가 가입할 수 있습니다. 어떤 종류의 심사나 허가 없이 언제든지 시스템에 접근할 수 있습니다. 물론 Algorand는 작동합니다. 허가된 환경에서는 더욱 좋습니다. 1Bitcoin 결제가 제공하는 (유사) 익명성은 자금 세탁 및/또는 자금 조달에 악용될 수 있습니다. 범죄인이나 테러리스트 조직의 원칙적으로 완벽한 기능을 제공하는 전통적인 지폐 또는 금괴 익명성은 동일한 문제를 제기해야 하지만 이러한 통화의 물리적 특성으로 인해 통화 속도가 크게 느려집니다. 법 집행 기관의 어느 정도 모니터링을 허용하기 위한 전송입니다. “돈을 인쇄하는” 능력은 국민국가의 가장 기본적인 권력 중 하나입니다. 따라서 원칙적으로 대규모 독립적으로 변동하는 통화를 채택하면 이러한 힘이 줄어들 수 있습니다. 그러나 현재 Bitcoin은(는) 존재하지 않습니다. 정부 통화 정책에 대한 위협이며, 확장성 문제로 인해 결코 위협이 되지 않을 수도 있습니다.(b) 매우 적대적인 환경. Algorand은 매우 강력한 적을 견딜 수 있습니다. (1) 원하는 사용자를 원하는 시간에 즉시 부패시킵니다. 무허가 환경에서는 시스템 자금의 2/3가 정직한 사용자에게 귀속됩니다. (한 허가된 환경에서는 돈에 관계없이 사용자의 2/3가 정직하면 충분합니다.) (2) 모든 부패한 사용자를 완전히 통제하고 완벽하게 조정합니다. 그리고 (3) 각 메시지가 정직한 사용자에 의해 전송된 경우 모든 메시지 전달을 예약합니다. m의 크기에만 의존하는 $\lambda$m 시간 내에 정직한 사용자의 95%에 도달합니다. 주요 속성 Algorand에 우리의 강력한 적의 존재에도 불구하고 • 필요한 계산량이 최소화됩니다. 기본적으로 사용자 수에 관계없이 시스템에 존재하는 경우, 1,500명의 사용자 각각은 최대 몇 초의 작업을 수행해야 합니다. 계산. • 새 블록은 10분 이내에 생성되며 사실상 blockchain을 떠나지 않습니다. 예를 들어, 첫 번째 실시예에서는 블록을 생성하는 데 걸리는 시간이 더 짧을 것으로 예상됩니다. 여기서 Λ는 P2P 가십에서 블록을 전파하는 데 필요한 시간입니다. 어떤 블록 크기를 선택하든 관계없이 $\lambda$는 1,500개의 200Blong 메시지를 전파하는 데 걸리는 시간입니다. (진정한 분산형 시스템에서 Λ는 본질적으로 본질적인 대기 시간이므로 Algorand 블록 생성의 제한 요소는 네트워크 속도입니다.) 두 번째 실시예는 실제로 실험적으로 ( ? 에 의해) 테스트되었는데, 이는 40분 이내에 블록이 생성됨을 나타냅니다. 초. 또한 Algorand의 blockchain은 무시할 수 있는 확률(예: 1 미만)로만 포크할 수 있습니다. 1조 단위), 따라서 사용자는 새 블록에 포함된 지불금을 다음과 같이 중계할 수 있습니다. 블록이 나타납니다. • 모든 권한은 사용자 자신에게 있습니다. Algorand은 진정한 분산 시스템입니다. 특히, 어떤 거래를 통제할 수 있는 외생적 실체(Bitcoin의 "채굴자")가 없습니다. 인식됩니다. Algorand의 기술. 1. 새롭고 빠른 비잔틴 합의 프로토콜. Algorand은 다음을 통해 새 블록을 생성합니다. 새로운 암호화, 메시지 전달, 바이너리 비잔틴 계약(BA) 프로토콜 BA⋆. 프로토콜 BA⋆(곧 논의할) 몇 가지 추가 속성을 충족할 뿐만 아니라 속도도 매우 빠릅니다. 대략적으로 말하면 이진 입력 버전은 3단계 루프로 구성됩니다. 여기서 플레이어 i는 단일 다른 모든 플레이어에게 mi 메시지를 보내세요. 더 많은 기능을 갖춘 완전하고 동기식 네트워크에서 실행됩니다. 플레이어의 2/3 이상이 정직하고 확률이 1/3보다 크면 각 루프 후에 프로토콜이 끝납니다. 합의. (우리는 프로토콜 BA⋆가 비잔틴 합의의 원래 정의를 충족한다는 점을 강조합니다. Pease, Shostak 및 Lamport [31]의 약화 없이.) Algorand은 이 바이너리 BA 프로토콜을 활용하여 다양한 통신에서 합의에 도달합니다. 각각의 새로운 블록에 모델을 추가합니다. 그런 다음 합의된 블록은 미리 정해진 수의 블록을 통해 인증됩니다. 적절한 검증자의 디지털 서명이 네트워크를 통해 전파됩니다. 2. 암호화 정렬. 매우 빠르지만 프로토콜 BA⋆는 더 많은 이점을 얻을 수 있습니다. 수백만 명의 사용자가 플레이할 때의 속도. 따라서 Algorand는 BA⋆의 플레이어를 선택합니다.모든 사용자 집합 중 훨씬 작은 하위 집합입니다. 다양한 종류의 권력 집중을 피하기 위해 문제가 발생하면 BA⋆의 새로운 실행을 통해 각각의 새로운 블록 Br이 구성되고 합의됩니다. 별도의 선택된 검증자 세트인 SV r에 의해. 원칙적으로 그러한 세트를 선택하는 것은 다음과 같이 어려울 수 있습니다. Br을 직접 선택합니다. 우리는 포용이라는 접근 방식을 통해 이러한 잠재적인 문제를 해결합니다. Maurice Herlihy의 통찰력 있는 제안, 암호화 분류. 정렬은 다음과 같은 관행입니다. 대규모의 적격 개인 중에서 무작위로 공무원을 선택합니다 [6]. (분류가 실행되었습니다. 수 세기에 걸쳐, 예를 들어 아테네, 피렌체, 베네치아 공화국이 그랬습니다. 현대 사법에서는 시스템에서는 배심원을 선택하는 데 종종 무작위 선택이 사용됩니다. 최근에는 무작위 샘플링도 이루어지고 있습니다. David Chaum [9]이 선거를 옹호했습니다.) 물론 분산형 시스템에서는 각 검증자 세트 SV r의 구성원을 무작위로 선택하는 데 필요한 무작위 코인은 문제가 있습니다. 따라서 우리는 모든 사용자 집단에서 각 검증자 세트를 선택하기 위해 암호화에 의존합니다. 자동(즉, 메시지 교환이 필요하지 않음)과 무작위가 보장되는 방식입니다. 본질적으로 우리는 이전 블록에서 자동으로 결정하기 위해 암호화 기능을 사용합니다. 새로운 블록 Br을 제안하는 리더인 사용자 Br-1과 검증자 세트 SV r이 존재한다. 리더가 제안한 블록에 대한 합의에 도달하는 책임. 악의적인 사용자가 영향을 미칠 수 있으므로 Br−1의 구성(예: 지불금 중 일부를 선택하여)을 특별히 구성하고 사용합니다. r번째 블록의 리더와 검증자 세트 SV r이 실제로 무작위로 선택되었습니다. 3. 수량(종자) Qr. 우리는 blockchain의 마지막 블록 Br−1을 사용하여 다음을 수행합니다. 새로운 블록 구축을 담당할 다음 검증자 세트와 리더를 자동으로 결정합니다. 브르. 이 접근 방식의 문제점은 단지 약간 다른 지불 방법을 선택함으로써 이전 라운드에서는 우리의 강력한 적이 다음 리더에 대해 엄청난 통제권을 얻습니다. 그 사람이 시스템에서 플레이어/돈의 1/1000만 통제하면 모든 리더가 악의적이다. (직관 섹션 4.1을 참조하십시오.) 이 과제는 모든 proof-of-stake 접근 방식의 핵심입니다. 그리고 우리가 아는 한, 지금까지 만족스럽게 해결되지 않았습니다. 이러한 과제를 해결하기 위해 우리는 의도적으로 별도의 신중한 솔루션을 구축하고 지속적으로 업데이트합니다. 정의된 양 Qr은 예측할 수 없을 뿐만 아니라, 우리의 방식으로 영향을 미칠 수도 없습니다. 강력한 적. Algorand이 선택한 Qr에서 나온 것이므로 Qr을 r번째 시드로 참조할 수 있습니다. 비밀 암호화 분류를 통해 생성에 특별한 역할을 할 모든 사용자 번째 블록. 4. 비밀 암호화 분류 및 비밀 자격 증명. 검증자 세트와 담당 리더를 선택하기 위해 현재 마지막 블록인 Br−1을 무작위로 명확하게 사용 새로운 블록인 Br을 만드는 것만으로는 충분하지 않습니다. Br을 생성하기 전에 Br−1을 알아야 하므로, Br−1에 포함된 마지막 비유동량 Qr−1도 알아야 합니다. 따라서 블록 Br을 계산하는 검증자이자 리더입니다. 그러므로 우리의 강력한 대적 Br에 대한 논의에 참여하기 전에 즉시 그들 모두를 부패시킬 수 있습니다. 그들이 인증하는 블록에 대한 모든 권한을 갖습니다. 이 문제를 방지하기 위해 리더(실제로 검증자도 포함)는 자신의 역할을 비밀리에 학습하지만 실제로 해당 역할을 맡은 모든 사람에게 증명할 수 있는 적절한 자격 증명을 계산합니다. 언제 사용자는 자신이 다음 블록의 리더라는 것을 개인적으로 깨닫고 먼저 비밀리에 자신의 블록을 조립합니다. 자신이 제안한 새 블록을 자신의 블록과 함께 (인증할 수 있도록) 전파합니다. 자격 증명. 이렇게 하면 대적은 다음 공격의 리더가 누구인지 즉시 깨닫게 될 것입니다. 블록은 즉시 그를 부패시킬 수 있지만 적이 그렇게 하기에는 너무 늦을 것입니다. 새로운 블록 선택에 영향을 미칩니다. 실제로 그는 지도자의 메시지를 더 이상 “회신”할 수 없습니다.강력한 정부가 WikiLeaks에 의해 바이러스로 퍼진 메시지를 다시 병에 담을 수는 없습니다. 앞으로 살펴보겠지만 리더의 고유성을 보장할 수 없으며 모든 사람이 리더가 누구인지 확신할 수도 없습니다. 리더 자신도 포함되어 있습니다! 그러나 Algorand에서는 명확한 진행이 보장됩니다. 5. 플레이어 교체 가능성. 새로운 블록을 제안한 후 리더는 "죽는" 것이 나을 수도 있습니다. 대적에 의해 부패됨) 그의 임무가 끝났기 때문입니다. 그러나 SV r의 검증자에게는 상황이 덜합니다. 간단하다. 실제로 충분히 많은 서명을 받은 새로운 블록 Br의 인증을 담당하게 되면서, 그들은 먼저 리더가 제안한 블록에 대해 비잔틴 합의를 실행해야 합니다. 문제는, 아무리 효율적이더라도 BA⋆에는 여러 단계와 2/3 이상의 플레이어의 정직성이 필요합니다. 이는 효율성상의 이유로 BA⋆의 플레이어 세트가 작은 세트 SV r로 구성되기 때문에 문제가 됩니다. 전체 사용자 집합 중에서 무작위로 선택됩니다. 그러므로 우리의 강력한 대적은 비록 할 수는 없지만 전체 사용자의 1/3을 부패시키면 SV r의 모든 구성원을 확실히 부패시킬 수 있습니다! 다행스럽게도 우리는 P2P 방식으로 메시지를 전파하여 실행되는 프로토콜 BA⋆가 플레이어 대체 가능하다는 것을 증명할 것입니다. 이 새로운 요구 사항은 프로토콜이 정확하고 각 단계가 완전히 새롭고 무작위로 실행되더라도 효율적으로 합의에 도달합니다. 독립적으로 선택된 플레이어 세트입니다. 따라서 수백만 명의 사용자가 있는 각각의 소규모 플레이어 세트는 BA⋆ 단계와 연관된 것은 아마도 다음 세트와 빈 교차점을 가질 것입니다. 게다가 BA⋆의 서로 다른 단계에 있는 플레이어 세트는 아마도 완전히 다른 단계를 가질 것입니다. 카디널리티. 게다가 각 세트의 멤버들은 다음 세트의 플레이어가 누구인지 알 수 없습니다. 내부 상태를 비밀리에 전달하지 마십시오. 교체 가능한 플레이어 속성은 실제로 역동적이고 매우 강력한 적을 물리치는 데 중요합니다. 우리가 상상하는 적. 우리는 교체 가능한 플레이어 프로토콜이 많은 분야에서 결정적인 역할을 할 것이라고 믿습니다. 컨텍스트와 애플리케이션. 특히 소규모 하위 프로토콜을 안전하게 실행하는 데 중요합니다. 역동적인 적과 함께 더 넓은 플레이어 세계에 포함되어 있습니다. 전체 플레이어의 작은 부분은 더 작은 규모의 모든 플레이어를 손상시키는 데 어려움이 없습니다. 하위 프로토콜. 추가 속성/기술: 게으른 정직함 정직한 사용자는 자신이 처방한 것을 따릅니다. 여기에는 온라인 상태 및 프로토콜 실행이 포함됩니다. 이후 Algorand에는 적당한 수준만 있습니다. 계산 및 통신 요구 사항, 온라인 상태 및 프로토콜 실행 배경”은 큰 희생이 아닙니다. 물론, 정직한 플레이어들 사이에는 몇 가지 "부재"가 있습니다. 갑작스러운 연결 끊김 또는 재부팅 필요로 인해 자동으로 허용됩니다(왜냐하면 우리는 항상 그러한 소수의 플레이어를 일시적으로 악의적인 것으로 간주할 수 있습니다. 그러나 지적하자면, Algorand은 정직한 사용자가 사용할 수 있는 새로운 모델에서 작동하도록 간단하게 조정할 수 있습니다. 대부분의 경우 오프라인 상태입니다. 우리의 새로운 모델은 다음과 같이 비공식적으로 소개될 수 있습니다. 게으른 정직. 대략적으로 말해서, 사용자 i는 (1) 자신이 규정한 모든 사항을 따르는 경우 게으르지만 정직합니다. 지침, 프로토콜에 참여하도록 요청받은 경우, 그리고 (2) 참여하도록 요청받은 경우 프로토콜에 적용하는 경우는 드물며 적절한 사전 통지가 있어야 합니다. 정직함에 대해 그렇게 여유로운 개념을 갖고 있으면, 우리는 정직한 사람들이 정직할 것이라고 더욱 확신할 수 있습니다. 필요할 때 바로 사용할 수 있으며, Algorand는 이러한 경우에 특정 시점에 시스템이 안전하게 작동하는 경우 참여하는 플레이어의 대다수는 악의적입니다.1.3 밀접하게 관련된 작품 작업 증명 접근 방식(인용된 [29] 및 [4]과 같은)은 우리의 접근 방식과 상당히 직교합니다. 그래서 메시지 전달 비잔틴 합의 또는 실제적인 비잔틴 내결함성을 기반으로 한 접근 방식 (인용된 [8]과 유사). 실제로 이러한 프로토콜은 모든 사용자 집합에서 실행될 수 없으며, 우리 모델에서는 적절하게 작은 사용자 집합으로 제한됩니다. 사실 우리의 강력한 적 실제로 BA 프로토콜을 실행하는 데 사용되는 소규모 세트에 관련된 모든 사용자를 즉시 손상시킵니다. 우리의 접근 방식은 사용자의 "권한"이 있다는 의미에서 지분 증명 [2]과 관련된 것으로 간주될 수 있습니다. 블록 구축에서 그들이 시스템에서 소유한 돈에 비례합니다. 그들이 "에스크로"에 넣은 돈). 우리 논문에 가장 가까운 논문은 Pass and Shi [30]의 Sleepy Consensus Model입니다. 피하기 위해 proof-of-work 접근 방식에는 많은 계산이 필요하기 때문에 그들의 논문은 (그리고 친절하게도) 크레딧) Algorand의 비밀 암호화 분류입니다. 이 중요한 측면의 공통점을 가지고 여러 우리 논문들 사이에는 상당한 차이가 존재합니다. 특히, (1) 해당 설정은 허가된 것뿐입니다. 이와 대조적으로 Algorand도 무허가 시스템입니다. (2) Nakamoto 스타일 프로토콜을 사용하므로 blockchain 포크가 자주 발생합니다. 비록 proof-of-work을 생략하고 프로토콜에서 비밀리에 선택된 리더에게 기간을 연장하도록 요청합니다. 가장 긴 유효 기간(더 풍부한 의미에서) blockchain. 따라서 포크는 불가피하며 이를 기다려야 합니다. 블록은 체인에서 충분히 "깊습니다". 실제로, 적과 함께 목표를 달성하기 위해 적응형 손상이 가능하려면 블록이 폴리(N) 깊이여야 합니다. 여기서 N은 시스템의 총 사용자 수입니다. 블록이 생성될 수 있다고 가정하더라도 1분 안에 N = 100만 명의 사용자가 있다면 약 200만 년을 기다려야 합니다. 블록은 N 2-deep이 되고, 블록은 N-deep이 되기까지 약 2년이 걸립니다. 대조적으로, Algorand의 blockchain은 적의 부패에도 불구하고 무시할 수 있는 확률로만 포크됩니다. 사용자는 즉시 적응할 수 있으며 새로운 블록은 즉시 신뢰할 수 있습니다. (3) 개별 비잔틴 계약을 처리하지 않습니다. 어떤 의미에서 그들은 단지 보장합니다. “가치의 증가하는 순서에 대한 최종 합의”. 그들의 프로토콜은 상태 복제 프로토콜입니다. BA보다 중요하며 개별 관심 가치에 대한 비잔틴 합의에 도달하는 데 사용할 수 없습니다. 이와 대조적으로 Algorand은 원하는 경우 한 번만 사용하여 수백만 명의 사용자가 신속하게 특정 관심 가치에 대한 비잔틴 합의에 도달합니다. (4) 약하게 동기화된 시계가 필요합니다. 즉, 모든 사용자의 시계는 약간의 시간만큼 오프셋됩니다. δ. 대조적으로, Algorand에서 시계는 (본질적으로) 동일한 "속도"만 있으면 됩니다. (5) 그들의 프로토콜은 게으르지만 정직한 사용자 또는 정직한 대다수의 온라인 사용자에게 작동합니다. 그들은 정직한 사용자가 한꺼번에 오프라인이 되는 문제를 제기한 데 대해 Algorand의 공로를 인정합니다. 이에 대응하여 게으른 정직 모델을 제시합니다. 그들의 프로토콜은 게으른 환경에서만 작동하는 것이 아닙니다. 정직 모델뿐만 아니라 적이 어떤 사용자를 선택하는지를 선택하는 적의 졸린 모델에서도 마찬가지입니다. 항상 대부분의 온라인 사용자가 정직하다면 온라인이고 오프라인입니다.2 2원본 버전의 논문에서는 실제로 적대적 졸음 모델의 보안만 고려했습니다. 는 그들의 버전보다 앞선 Algorand의 원래 버전은 또한 주어진 대다수의 온라인 플레이어는 항상 정직하지만 게으른 정직 모델을 선호하여 이를 고려 대상에서 명시적으로 제외했습니다. (예를 들어, 어느 시점에서 정직한 사용자의 절반이 오프라인으로 전환하기로 선택하면 대다수의 사용자는 온라인은 매우 악의적일 수 있습니다. 따라서 이러한 일이 발생하는 것을 방지하기 위해 대적은 자신의 대부분의 힘을 동원해야 합니다. 타락한 플레이어도 오프라인 상태가 되도록 유도합니다. 이는 명백히 그 자신의 이익에 반하는 것입니다.) 게으르지만 정직한 플레이어의 경우 온라인 사용자의 대다수가 항상 악의적인 경우에는 제대로 작동합니다. 그렇기 때문에 그렇습니다. 어느 시점에 자신이 결정적인 역할을 하게 될 것이라는 점을 알고 있는 충분한 수의 정직한 플레이어가 그 순간에 오프라인 상태가 되어서는 안 되며, 대적에 의해 강제로 오프라인 상태가 될 수도 없습니다. 왜냐하면 대적은 누가 공격을 하는지 모르기 때문입니다. 중요한 정직한 플레이어가 될 수 있습니다.(6) 단순하고 정직한 다수가 필요합니다. 대조적으로, Algorand의 현재 버전에는 다음이 필요합니다. 2/3의 정직한 다수. 우리와 가까운 또 다른 논문은 Ouroboros: 입증 가능한 보안 지분 증명 블록체인 프로토콜입니다. Kiayias, Russell, David 및 Oliynykov [20] 작성. 또한 그들의 시스템은 우리 시스템 이후에 나타났습니다. 그것은 또한 증명 가능한 방식으로 작업 증명을 생략하기 위해 암호화 분류를 사용합니다. 그러나 그들의 시스템은 다시 말해 포크가 불가피하고 빈번한 나카모토 스타일 프로토콜입니다. (그러나 그들의 모델에서는 블록이 졸린 합의 모델만큼 깊어질 필요는 없습니다.) 더욱이, 그들의 시스템은 다음과 같은 가정에 의존합니다: 저자 자신의 말에 따르면, “(1) 네트워크는 고도로 동기식입니다. (2) 선택된 이해관계자의 대부분을 필요에 따라 사용할 수 있습니다. 각 시대에 참여하기 위해, (3) 이해관계자가 오랫동안 오프라인 상태를 유지하지 않고, (4) 부패의 적응성은 선형 라운드로 측정되는 작은 지연의 영향을 받습니다. 보안 매개변수입니다.” 대조적으로 Algorand은(는) 압도적인 확률로 포크가 없으며 이 4가지 가정 중 어느 것에도 의존하지 않습니다. 특히 Algorand에서 공격자는 다음을 수행할 수 있습니다. 그가 제어하려는 사용자를 즉시 부패시킵니다.

การแนะนำ

เงินกลายเป็นเสมือนจริงมากขึ้น มีการประเมินว่าประมาณ 80% ของประเทศสหรัฐอเมริกา ดอลลาร์ในวันนี้มีอยู่เป็นรายการบัญชีแยกประเภทเท่านั้น [5] เครื่องมือทางการเงินอื่นๆ เป็นไปตามนั้น ในโลกอุดมคติ ซึ่งเราสามารถพึ่งพาเอนทิตีศูนย์กลางที่เชื่อถือได้ในระดับสากล นั่นคือภูมิคุ้มกัน สำหรับการโจมตีทางไซเบอร์ที่เป็นไปได้ทั้งหมด เงินและธุรกรรมทางการเงินอื่น ๆ อาจเป็นแบบอิเล็กทรอนิกส์เท่านั้น น่าเสียดายที่เราไม่ได้อยู่ในโลกเช่นนี้ ดังนั้น cryptocurrencies แบบกระจายอำนาจเช่นนี้ เนื่องจาก Bitcoin [29] และระบบ “smart contract” เช่น Ethereum ได้รับการเสนอ [4] ณ หัวใจสำคัญของระบบเหล่านี้คือบัญชีแยกประเภทที่ใช้ร่วมกันซึ่งบันทึกลำดับธุรกรรมได้อย่างน่าเชื่อถือ ∗นี่เป็นรายงาน ArXiv เวอร์ชันที่เป็นทางการมากกว่า (และอะซิงโครนัส) โดยผู้เขียนคนที่สอง [24] บทความ อิงตามของ Gorbunov และ Micali [18] เทคโนโลยีของ Algorand มีวัตถุประสงค์ดังต่อไปนี้ การยื่นขอรับสิทธิบัตร: US62/117,138 US62/120,916 US62/142,318 US62/218,817 US62/314,601 PCT/US2016/018300 US62/326,865 62/331,654 US62/333,340 US62/343,369 US62/344,667 US62/346,775 US62/351,011 US62/653,482 US62/352,195 US62/363,970 US62/369,447 US62/378,753 US62/383,299 US62/394,091 US62/400,361 US62/403,403 US62/410,721 US62/416,959 US62/422,883 US62/455,444 US62/458,746 US62/459,652 US62/460,928 US62/465,931แตกต่างกันไปตามการชำระเงินและสัญญา ในลักษณะป้องกันการปลอมแปลง เทคโนโลยีทางเลือกในการ รับประกันการงัดแงะดังกล่าวคือ blockchain Blockchains อยู่เบื้องหลังแอปพลิเคชันเช่น สกุลเงินดิจิตอล [29] แอปพลิเคชันทางการเงิน [4] และอินเทอร์เน็ตของสรรพสิ่ง [3] เทคนิคหลายประการ เพื่อจัดการบัญชีแยกประเภทตาม blockchain ได้รับการเสนอ: หลักฐานการทำงาน [29], หลักฐานการมีส่วนร่วม [2], ความทนทานต่อความผิดพลาดของไบแซนไทน์ในทางปฏิบัติ [8] หรือการรวมกันบางอย่าง อย่างไรก็ตาม ในปัจจุบัน บัญชีแยกประเภทอาจไม่มีประสิทธิภาพในการจัดการ ตัวอย่างเช่น Bitcoin ของ proof-of-work วิธีการ (ตามแนวคิดดั้งเดิมของ [14]) ต้องใช้การคำนวณจำนวนมาก สิ้นเปลือง และปรับขนาดได้ไม่ดี [1] นอกจากนี้โดยพฤตินัยแล้ว มันยังรวมพลังไว้ในมือเพียงไม่กี่คนเท่านั้น ดังนั้นเราจึงต้องการที่จะนำเสนอวิธีการใหม่ในการดำเนินการบัญชีแยกประเภทสาธารณะที่นำเสนอ ความสะดวกและประสิทธิภาพของระบบรวมศูนย์ที่ดำเนินการโดยหน่วยงานที่เชื่อถือได้และไม่อาจขัดขืนได้ โดยไม่มี ความไร้เหตุผลและจุดอ่อนของการใช้งานแบบกระจายอำนาจในปัจจุบัน เราเรียกแนวทางของเรา Algorand เนื่องจากเราใช้การสุ่มอัลกอริทึมในการเลือก โดยอิงจากบัญชีแยกประเภทที่สร้างขึ้นจนถึงตอนนี้ ชุดของผู้ตรวจสอบที่รับผิดชอบในการสร้างบล็อกถัดไปของธุรกรรมที่ถูกต้อง โดยธรรมชาติแล้ว เรารับรองว่าการเลือกดังกล่าวได้รับการยกเว้นจากการบิดเบือนและคาดเดาไม่ได้จนกว่าจะพิสูจน์ได้ นาทีสุดท้ายแต่ท้ายที่สุดแล้วพวกเขาก็ชัดเจนในระดับสากลด้วย แนวทางของ Algorand ค่อนข้างเป็นประชาธิปไตย ในแง่ที่ว่าไม่ว่าจะในหลักการหรือโดยพฤตินัยก็ตาม สร้างคลาสที่แตกต่างกันของผู้ใช้ (เป็น “คนงานเหมือง” และ “ผู้ใช้ทั่วไป” ใน Bitcoin) ใน Algorand “ทั้งหมด อำนาจย่อมอยู่กับกลุ่มผู้ใช้ทุกคน” คุณสมบัติที่โดดเด่นอย่างหนึ่งของ Algorand คือประวัติการทำธุรกรรมอาจแยกได้เพียงเล็กน้อยเท่านั้น ความน่าจะเป็น (เช่น หนึ่งในล้านล้าน นั่นคือ หรือแม้กระทั่ง 10−18) Algorand สามารถแก้ไขปัญหาทางกฎหมายบางประการได้เช่นกัน และความกังวลทางการเมือง วิธีการ Algorand นำไปใช้กับ blockchains และโดยทั่วไปกับวิธีการใด ๆ ของการสร้าง ลำดับของบล็อกป้องกันการงัดแงะ จริงๆ แล้วเราได้เสนอวิธีการใหม่ —ทางเลือกของ และ มีประสิทธิภาพมากกว่า blockchains— ที่อาจเป็นที่สนใจโดยอิสระ 1.1 Bitcoin ข้อสันนิษฐานและปัญหาทางเทคนิค Bitcoin เป็นระบบที่ชาญฉลาดมากและเป็นแรงบันดาลใจให้กับการวิจัยในภายหลังจำนวนมาก ยังไงก็ตาม ก็เป็นปัญหาเช่นกัน ให้เราสรุปสมมติฐานพื้นฐานและปัญหาทางเทคนิค—ซึ่ง จริงๆ แล้วมีการแชร์โดยสกุลเงินดิจิทัลทั้งหมดซึ่งเหมือนกับ Bitcoin อิงตาม proof-of-work สำหรับการสรุปนี้ ควรจำไว้ว่าใน Bitcoin ผู้ใช้อาจเป็นเจ้าของกุญแจสาธารณะหลายอัน ของรูปแบบลายเซ็นดิจิทัล เงินนั้นเชื่อมโยงกับกุญแจสาธารณะ และการชำระเงินคือ ลายเซ็นดิจิทัลที่โอนเงินจำนวนหนึ่งจากคีย์สาธารณะหนึ่งไปยังอีกคีย์หนึ่ง โดยพื้นฐานแล้ว Bitcoin จัดระเบียบการชำระเงินที่ประมวลผลแล้วทั้งหมดในบล็อก B1, B2, . . แต่ละอันประกอบด้วยหลายรายการ การชำระเงิน โดยที่การชำระเงินทั้งหมดของ B1 ดำเนินการในลำดับใดๆ ตามด้วยการชำระเงินของ B2 ในลำดับใดๆ ฯลฯ ถือเป็นลำดับการชำระเงินที่ถูกต้อง แต่ละบล็อกจะถูกสร้างขึ้นโดยเฉลี่ยทุกๆ 10 นาที ลำดับของบล็อกนี้เป็นลูกโซ่ เนื่องจากมีโครงสร้างเพื่อให้แน่ใจว่ามีการเปลี่ยนแปลงใดๆ ก็ตาม ในบล็อกเดียว จะแทรกซึมเข้าไปในบล็อกต่อๆ ไปทั้งหมด ทำให้ง่ายต่อการมองเห็นการเปลี่ยนแปลงใดๆ ประวัติการชำระเงิน (ดังที่เราจะได้เห็น สิ่งนี้สามารถทำได้โดยการรวมการเข้ารหัสไว้ในแต่ละบล็อก hash จากอันก่อนหน้า) โครงสร้างบล็อกดังกล่าวเรียกว่า blockchain ข้อสันนิษฐาน: พลังการคำนวณส่วนใหญ่ที่ซื่อสัตย์ Bitcoin ถือว่าไม่มีอันตราย เอนทิตี (หรือแนวร่วมของเอนทิตีที่เป็นอันตรายที่ประสานงานกัน) ควบคุมการประมวลผลส่วนใหญ่ พลังที่อุทิศให้กับการสร้างบล็อก ที่จริงแล้ว เอนทิตีดังกล่าวจะสามารถแก้ไข blockchain,และเขียนประวัติการชำระเงินใหม่ตามต้องการ โดยเฉพาะอย่างยิ่งมันสามารถชำระเงินได้ $\wp$ รับผลประโยชน์ที่จ่ายไป จากนั้น "ลบ" ร่องรอยใดๆ ของ $\wp$ ปัญหาทางเทคนิค 1: ขยะทางคอมพิวเตอร์ Bitcoin proof-of-work วิธีการบล็อก การสร้างต้องใช้การคำนวณจำนวนมากเป็นพิเศษ ปัจจุบันมีเพียงไม่กี่ร้อยเท่านั้น พับลิกคีย์นับพันในระบบ ซูเปอร์คอมพิวเตอร์ที่ทรงพลังที่สุด 500 อันดับแรกทำได้เพียงรวบรวมเท่านั้น เพียงร้อยละ 12.8% ของพลังการคำนวณทั้งหมดที่ต้องการจากผู้เล่น Bitcoin นี้ ปริมาณการคำนวณจะเพิ่มขึ้นอย่างมาก หากมีผู้ใช้เข้าร่วมระบบมากขึ้นอย่างมีนัยสำคัญ ปัญหาทางเทคนิค 2: ความเข้มข้นของพลัง วันนี้เนื่องจากมีปริมาณมากเกินไป ต้องใช้การคำนวณ ผู้ใช้พยายามสร้างบล็อกใหม่โดยใช้เดสก์ท็อปธรรมดา (ไม่ต้องพูดถึง a โทรศัพท์มือถือ) คาดว่าจะสูญเสียเงิน แท้จริงแล้ว สำหรับการคำนวณบล็อกใหม่ด้วยคอมพิวเตอร์ธรรมดา ค่าใช้จ่ายที่คาดหวังของไฟฟ้าที่จำเป็นในการคำนวณเกินกว่ารางวัลที่คาดหวัง ใช้เฉพาะกลุ่มคอมพิวเตอร์ที่สร้างขึ้นเป็นพิเศษ (ซึ่งไม่ทำอะไรเลยนอกจาก "ขุดบล็อกใหม่") หนึ่งเครื่อง อาจคาดหวังการทำกำไรจากการสร้างบล็อกใหม่ ดังนั้น วันนี้จึงมีสองโดยพฤตินัย คลาสของผู้ใช้ที่แยกจากกัน: ผู้ใช้ทั่วไปที่ชำระเงินเท่านั้น และกลุ่มการขุดเฉพาะ ที่ค้นหาเฉพาะบล็อกใหม่เท่านั้น ดังนั้นจึงไม่น่าแปลกใจเลยที่เมื่อเร็ว ๆ นี้ พลังการประมวลผลทั้งหมดสำหรับบล็อก รุ่นอยู่ในกลุ่มเพียงห้ากลุ่ม ในสภาวะดังกล่าวให้สันนิษฐานว่าส่วนใหญ่ พลังการคำนวณที่ซื่อสัตย์จะน่าเชื่อถือน้อยลง ปัญหาทางเทคนิค 3: ความคลุมเครือ ใน Bitcoin blockchain ไม่จำเป็นต้องซ้ำกัน แน่นอน ส่วนล่าสุดมักจะแยก: blockchain อาจเป็น —say— B1, . . . , บีเค, บี′ k+1, บี′ k+2 ตาม ผู้ใช้หนึ่งรายและ B1, . . . , บีเค, บี'' k+1, บี'' k+2, บี'' k+3 ตามผู้ใช้รายอื่น หลังจากผ่านไปหลายบล็อคแล้ว เมื่อเพิ่มเข้าไปในลูกโซ่แล้ว จะแน่ใจได้อย่างไรว่าบล็อก k + 3 แรกจะเหมือนกัน สำหรับผู้ใช้ทุกคน ดังนั้นจึงไม่มีใครสามารถพึ่งพาการชำระเงินที่อยู่ในบล็อกสุดท้ายของได้ทันที ห่วงโซ่ ควรระมัดระวังมากกว่าที่จะรอดูว่าบล็อกนั้นลึกลงไปในนั้นหรือไม่ blockchain และมีเสถียรภาพเพียงพอ นอกจากนี้ ยังมีการหยิบยกข้อกังวลเกี่ยวกับการบังคับใช้กฎหมายและนโยบายการเงินเกี่ยวกับ Bitcoin.1 อีกด้วย 1.2 Algorand โดยสรุป การตั้งค่า Algorand ทำงานในสภาวะที่ยากลำบากมาก สั้นๆ, (a) สภาพแวดล้อมที่ไม่ได้รับอนุญาตและได้รับอนุญาต Algorand ทำงานได้อย่างมีประสิทธิภาพและปลอดภัย ในสภาพแวดล้อมที่ไม่ได้รับอนุญาตโดยสิ้นเชิง ซึ่งผู้ใช้จำนวนมากได้รับอนุญาตให้เข้าร่วมโดยพลการ ได้ตลอดเวลา โดยไม่ต้องมีการตรวจสอบหรืออนุญาตใดๆ แน่นอนว่า Algorand ได้ผล ดียิ่งขึ้นในสภาพแวดล้อมที่ได้รับอนุญาต 1การไม่เปิดเผยตัวตน (หลอก) ที่นำเสนอโดย Bitcoin การชำระเงินอาจถูกนำไปใช้ในทางที่ผิดเพื่อการฟอกเงินและ/หรือการจัดหาเงินทุน ของอาชญากรหรือองค์กรก่อการร้าย ธนบัตรหรือทองคำแท่งแบบดั้งเดิมซึ่งโดยหลักการแล้วสมบูรณ์แบบ การไม่เปิดเผยตัวตนควรก่อให้เกิดความท้าทายเช่นเดียวกัน แต่ลักษณะทางกายภาพของสกุลเงินเหล่านี้ทำให้เงินช้าลงอย่างมาก การโอนเพื่อให้สามารถติดตามตรวจสอบโดยหน่วยงานบังคับใช้กฎหมายได้ในระดับหนึ่ง ความสามารถในการ “พิมพ์เงิน” เป็นหนึ่งในอำนาจขั้นพื้นฐานของรัฐชาติ โดยหลักการแล้วจึงยิ่งใหญ่ การยอมรับสกุลเงินที่หมุนเวียนอย่างอิสระอาจบั่นทอนอำนาจนี้ อย่างไรก็ตาม ในปัจจุบัน Bitcoin ยังห่างไกลจากความเป็นอยู่ ภัยคุกคามต่อนโยบายการเงินของรัฐบาล และเนื่องจากปัญหาด้านความสามารถในการขยายขนาด อาจไม่เป็นเช่นนั้นเลย(b) สภาพแวดล้อมที่ขัดแย้งกันอย่างมาก Algorand ต้านทานศัตรูที่ทรงพลังมากที่สามารถต้านทานได้ (1) สร้างความเสื่อมเสียแก่ผู้ใช้ใด ๆ ที่เขาต้องการทันทีในเวลาใดก็ได้ที่เขาต้องการ โดยมีเงื่อนไขว่าใน สภาพแวดล้อมที่ไม่ได้รับอนุญาต เงิน 2/3 ในระบบเป็นของผู้ใช้ที่ซื่อสัตย์ (ในก สภาพแวดล้อมที่ได้รับอนุญาต โดยไม่คำนึงถึงเงิน ถือว่า 2/3 ของผู้ใช้มีความซื่อสัตย์) (2) ควบคุมและประสานงานผู้ใช้ที่เสียหายทั้งหมดอย่างสมบูรณ์แบบ; และ (3) กำหนดเวลาการส่งข้อความทั้งหมด โดยมีเงื่อนไขว่าแต่ละข้อความ m ส่งโดยผู้ใช้ที่ซื่อสัตย์ เข้าถึงผู้ใช้ที่ซื่อสัตย์ถึง 95% ภายในระยะเวลา แลม ซึ่งขึ้นอยู่กับขนาดของ ม. เท่านั้น คุณสมบัติหลัก แม้จะมีศัตรูที่ทรงพลังของเราปรากฏตัวใน Algorand • จำนวนการคำนวณที่ต้องการมีเพียงเล็กน้อย โดยพื้นฐานแล้วไม่ว่าผู้ใช้จะมีจำนวนเท่าใดก็ตาม ที่มีอยู่ในระบบ ผู้ใช้แต่ละรายจาก 1500 คนจะต้องดำเนินการในเวลาไม่เกินไม่กี่วินาที การคำนวณ • บล็อกใหม่จะถูกสร้างขึ้นในเวลาน้อยกว่า 10 นาที และโดยพฤตินัยจะไม่มีวันออกจาก blockchain ตัวอย่างเช่น ตามความคาดหวัง เวลาในการสร้างบล็อกในรูปลักษณ์แรกจะน้อยกว่า มากกว่า Λ + 12.4แล โดยที่ Λ คือเวลาที่จำเป็นในการเผยแพร่บล็อกในการซุบซิบแบบ peer-to-peer แฟชั่น ไม่ว่าใครจะเลือกบล็อกขนาดใดก็ตาม และ $\lambda$ คือเวลาที่จะเผยแพร่ข้อความขนาดยาว 1,500,200 ข้อความ (เนื่องจากในระบบการกระจายอำนาจอย่างแท้จริง Λ โดยพื้นฐานแล้วคือเวลาแฝงที่แท้จริงใน Algorand ปัจจัยจำกัดในการสร้างบล็อกคือความเร็วเครือข่าย) รูปลักษณ์ที่สองมี จริง ๆ แล้วได้รับการทดสอบทดลอง (โดย ?) ซึ่งบ่งชี้ว่าบล็อกถูกสร้างขึ้นในเวลาน้อยกว่า 40 วินาที นอกจากนี้ Algorand ของ blockchain อาจแยกได้ด้วยความน่าจะเป็นเพียงเล็กน้อยเท่านั้น (เช่น น้อยกว่าหนึ่ง ในล้านล้าน) และผู้ใช้สามารถส่งต่อการชำระเงินที่มีอยู่ในบล็อกใหม่ได้ทันทีที่ บล็อกปรากฏขึ้น • อำนาจทั้งหมดอยู่ที่ตัวผู้ใช้เอง Algorand เป็นระบบกระจายที่แท้จริง โดยเฉพาะอย่างยิ่ง ไม่มีหน่วยงานภายนอก (ในฐานะ "นักขุด" ใน Bitcoin) ที่สามารถควบคุมธุรกรรมใดได้ ได้รับการยอมรับ เทคนิคของ Algorand 1. โปรโตคอลข้อตกลงไบเซนไทน์ใหม่และรวดเร็ว Algorand สร้างบล็อกใหม่ผ่าน โปรโตคอลการเข้ารหัสลับแบบใหม่ การส่งข้อความ ข้อตกลงไบเซนไทน์แบบไบนารี (BA) BA⋆ พิธีสาร BA⋆ไม่เพียงแต่ตอบสนองคุณสมบัติเพิ่มเติมบางอย่างเท่านั้น (ซึ่งเราจะพูดถึงเร็วๆ นี้) แต่ยังรวดเร็วมากอีกด้วย กล่าวโดยคร่าวๆ เวอร์ชันอินพุตไบนารี่ประกอบด้วยการวนซ้ำ 3 ขั้นตอน ซึ่งผู้เล่นที่ฉันส่งเพียงครั้งเดียว ส่งข้อความ mi ถึงผู้เล่นคนอื่นๆ ทั้งหมด ดำเนินการในเครือข่ายที่สมบูรณ์และซิงโครนัสและอีกมากมาย ผู้เล่นมากกว่า 2/3 ที่มีความซื่อสัตย์ โดยมีความน่าจะเป็น > 1/3 หลังจากแต่ละวงสิ้นสุดโปรโตคอล ข้อตกลง (เราเน้นย้ำว่าระเบียบการ BA⋆ เป็นไปตามคำจำกัดความดั้งเดิมของข้อตกลงไบแซนไทน์ ของ Pease, Shostak และ Lamport [31] โดยไม่มีจุดอ่อนใดๆ) Algorand ใช้ประโยชน์จากโปรโตคอล BA ไบนารีนี้เพื่อบรรลุข้อตกลงในการสื่อสารที่แตกต่างของเรา โมเดลในแต่ละบล็อกใหม่ บล็อกที่ตกลงกันไว้จะได้รับการรับรองตามจำนวนที่กำหนด ลายเซ็นดิจิทัลของผู้ตรวจสอบที่เหมาะสม และเผยแพร่ผ่านเครือข่าย 2. การเรียงลำดับการเข้ารหัส แม้ว่าจะรวดเร็วมาก แต่โปรโตคอล BA⋆ ก็จะได้รับประโยชน์เพิ่มเติม ความเร็วเมื่อเล่นโดยผู้ใช้หลายล้านคน ดังนั้น Algorand จึงเลือกผู้เล่นของ BA⋆ ให้เป็นชุดย่อยที่เล็กกว่ามากของกลุ่มผู้ใช้ทั้งหมด เพื่อหลีกเลี่ยงการรวมตัวของอำนาจที่แตกต่างกัน ปัญหา แต่ละบล็อกใหม่ Br จะถูกสร้างขึ้นและตกลงกัน ผ่านการดำเนินการใหม่ของ BA⋆ โดยชุดผู้ตรวจสอบที่เลือกแยกกัน SV r. โดยหลักการแล้วการเลือกชุดดังกล่าวอาจจะยากพอๆ กัน การเลือก Br โดยตรง เราแก้ไขปัญหาที่อาจเกิดขึ้นนี้ด้วยแนวทางที่เรายึดถือ คำแนะนำอันชาญฉลาดของ Maurice Herlihy การเรียงลำดับการเข้ารหัส การเรียงลำดับคือการปฏิบัติของ สุ่มเลือกเจ้าหน้าที่จากบุคคลที่มีสิทธิ์จำนวนมาก [6] (มีการฝึกฝนการเรียงลำดับ ตลอดหลายศตวรรษ เช่น โดยสาธารณรัฐเอเธนส์ ฟลอเรนซ์ และเวนิส ในการพิจารณาคดีสมัยใหม่ ระบบการสุ่มเลือกมักใช้ในการเลือกคณะลูกขุน การสุ่มตัวอย่างก็เพิ่งเกิดขึ้นเช่นกัน สนับสนุนการเลือกตั้งโดย David Chaum [9].) แน่นอนว่าในระบบกระจายอำนาจ การเลือก เหรียญสุ่มที่จำเป็นในการสุ่มเลือกสมาชิกของชุดผู้ตรวจสอบแต่ละชุด SV r เป็นปัญหา ดังนั้นเราจึงใช้การเข้ารหัสเพื่อเลือกชุดผู้ตรวจสอบแต่ละชุดจากประชากรของผู้ใช้ทั้งหมด ในลักษณะที่รับประกันว่าเป็นไปโดยอัตโนมัติ (เช่น ไม่ต้องมีการแลกเปลี่ยนข้อความ) และสุ่ม โดยพื้นฐานแล้ว เราใช้ฟังก์ชันการเข้ารหัสเพื่อกำหนดโดยอัตโนมัติจากบล็อกก่อนหน้า Br−1 ผู้ใช้ ผู้นำ รับผิดชอบในการเสนอบล็อกใหม่ Br และผู้ตรวจสอบตั้งค่า SV r ใน เรียกเก็บเงินเพื่อบรรลุข้อตกลงในบล็อกที่เสนอโดยผู้นำ เนื่องจากผู้ใช้ที่เป็นอันตรายสามารถส่งผลกระทบได้ องค์ประกอบของ Br−1 (เช่น โดยการเลือกการชำระเงินบางส่วน) เราสร้างและใช้งานเป็นพิเศษ อินพุตเพิ่มเติมเพื่อพิสูจน์ว่าตัวนำสำหรับบล็อก rth และชุดตัวตรวจสอบ SV r เป็นจริง สุ่มเลือก 3. ปริมาณ (เมล็ด) Qr. เราใช้บล็อกสุดท้าย Br−1 ใน blockchain เพื่อที่จะ กำหนดชุดตรวจสอบถัดไปและผู้นำที่รับผิดชอบในการสร้างบล็อกใหม่โดยอัตโนมัติ บ. ความท้าทายของแนวทางนี้คือ โดยเพียงแค่เลือกการชำระเงินที่แตกต่างกันเล็กน้อยใน รอบที่แล้ว ศัตรูที่ทรงพลังของเราจะควบคุมผู้นำคนต่อไปได้อย่างมหาศาล แม้ว่าเขา ควบคุมผู้เล่น/เงินในระบบได้เพียง 1/1000 เท่านั้น เขาสามารถมั่นใจได้ว่าผู้นำทั้งหมดจะเป็นเช่นนั้น เป็นอันตราย (ดูสัญชาตญาณมาตรา 4.1) ความท้าทายนี้เป็นศูนย์กลางของแนวทาง proof-of-stake ทั้งหมด และเท่าที่ทราบมาจนถึงตอนนี้ก็ยังไม่ได้รับการแก้ไขอย่างน่าพอใจ เพื่อตอบสนองความท้าทายนี้ เราตั้งใจสร้างและปรับปรุงอย่างต่อเนื่อง แยกต่างหากและระมัดระวัง ปริมาณที่กำหนด (Qr) ซึ่งพิสูจน์ได้ว่าไม่เพียงแต่คาดเดาไม่ได้ แต่ยังวัดไม่ได้ด้วย ศัตรูที่ทรงพลัง เราอาจเรียก Qr ว่าเป็นเมล็ดที่ r เนื่องจากมาจาก Qr ที่ Algorand เลือก ผ่านการเรียงลำดับการเข้ารหัสลับ ผู้ใช้ทั้งหมดที่จะมีบทบาทพิเศษในยุคของ บล็อกที่ 1 4. การเรียงลำดับด้วยการเข้ารหัสลับและข้อมูลประจำตัวที่เป็นความลับ สุ่มและไม่คลุมเครือโดยใช้บล็อกสุดท้ายปัจจุบัน Br−1 เพื่อเลือกชุดผู้ตรวจสอบและผู้นำที่รับผิดชอบ การสร้างบล็อกใหม่ Br นั้นยังไม่เพียงพอ เนื่องจากต้องรู้จัก Br−1 ก่อนสร้าง Br ปริมาณ Qr−1 ที่ไม่สามารถประเมินได้สุดท้ายที่มีอยู่ใน Br−1 จะต้องทราบด้วย ตามนั้นครับ เป็นผู้ตรวจสอบและเป็นผู้นำที่รับผิดชอบในการคำนวณบล็อก Br. ดังนั้นศัตรูผู้ทรงพลังของเรา อาจทำให้ทุกคนเสียหายทันที ก่อนที่พวกเขาจะพูดคุยเรื่อง Br เพื่อให้ได้มา ควบคุมบล็อกที่พวกเขารับรองได้อย่างสมบูรณ์ เพื่อป้องกันปัญหานี้ ผู้นำ (และผู้ตรวจสอบด้วย) แอบเรียนรู้เกี่ยวกับบทบาทของตน แต่ก็สามารถทำได้ คำนวณข้อมูลประจำตัวที่เหมาะสม สามารถพิสูจน์ให้ทุกคนที่มีบทบาทนั้นได้อย่างแท้จริง เมื่อ ผู้ใช้ตระหนักเป็นการส่วนตัวว่าเขาเป็นผู้นำในบล็อกถัดไป อันดับแรกเขาแอบรวบรวมบล็อกของเขา เสนอบล็อกใหม่ของตนเองแล้วเผยแพร่ (เพื่อให้ได้รับการรับรอง) ร่วมกับบล็อกของตนเอง หนังสือรับรอง ด้วยวิธีนี้แม้ว่าฝ่ายตรงข้ามจะรู้ได้ทันทีว่าใครคือผู้นำคนต่อไป ถูกบล็อก และถึงแม้ว่าเขาจะทำให้เขาเสียหายได้ในทันที แต่ก็สายเกินไปที่ฝ่ายตรงข้ามจะทำได้ มีอิทธิพลต่อการเลือกบล็อกใหม่ แท้จริงแล้วเขาไม่สามารถ "โทรกลับ" ข้อความของผู้นำได้อีกต่อไปเกินกว่าที่รัฐบาลที่มีอำนาจจะสามารถนำข้อความที่ WikiLeaks แพร่กระจายแบบไวรัลกลับเข้าไปในขวดได้ ดังที่เราจะได้เห็น เราไม่สามารถรับประกันเอกลักษณ์ของผู้นำได้ และทุกคนก็ไม่แน่ใจว่าใครเป็นผู้นำ รวมถึงตัวผู้นำเองด้วย! แต่ใน Algorand รับประกันความก้าวหน้าที่ชัดเจน 5. ความสามารถในการเปลี่ยนผู้เล่น หลังจากที่เขาเสนอบล็อกใหม่ ผู้นำอาจจะ "ตาย" เช่นกัน (หรือเป็น) ถูกปรปักษ์เสียหาย) เพราะงานของเขาเสร็จแล้ว แต่สำหรับผู้ตรวจสอบใน SV r สิ่งต่างๆ ยังน้อยอยู่ เรียบง่าย โดยแท้จริงแล้ว มีหน้าที่รับรองบล็อกใหม่ Br พร้อมด้วยลายเซ็นมากมายเพียงพอ พวกเขาจะต้องดำเนินการตามข้อตกลงไบแซนไทน์ในบล็อกที่ผู้นำเสนอก่อน ปัญหาก็คือว่า ไม่ว่าจะมีประสิทธิภาพเพียงใด BA⋆ต้องการหลายขั้นตอนและความซื่อสัตย์ของผู้เล่น> 2/3 นี่เป็นปัญหา เพราะด้วยเหตุผลด้านประสิทธิภาพ ชุดผู้เล่นของ BA⋆ ประกอบด้วยชุดเล็ก SV r สุ่มเลือกจากชุดผู้ใช้ทั้งหมด ดังนั้นศัตรูผู้ทรงพลังของเราถึงแม้จะทำไม่ได้ก็ตาม เสียหาย 1/3 ของผู้ใช้ทั้งหมด สามารถทำให้สมาชิก SV r ทุกคนเสียหายได้อย่างแน่นอน! โชคดีที่เราจะพิสูจน์ได้ว่าโปรโตคอล BA⋆ ซึ่งดำเนินการโดยการเผยแพร่ข้อความในลักษณะเพียร์โทเพียร์นั้นเป็นสิ่งที่ผู้เล่นสามารถแทนที่ได้ ข้อกำหนดใหม่นี้หมายความว่าโปรโตคอลถูกต้องและ บรรลุฉันทามติอย่างมีประสิทธิภาพแม้ว่าแต่ละขั้นตอนจะดำเนินการโดยขั้นตอนใหม่ทั้งหมดและแบบสุ่ม และเลือกชุดผู้เล่นอย่างอิสระ ดังนั้นด้วยจำนวนผู้ใช้หลายล้านคน แต่ละกลุ่มผู้เล่นเล็กๆ ที่เกี่ยวข้องกับขั้นตอนของ BA ⋆ส่วนใหญ่น่าจะมีจุดตัดว่างกับเซตถัดไป นอกจากนี้ ชุดของผู้เล่นที่มีขั้นตอนต่างกันของ BA⋆ อาจจะมีความแตกต่างกันโดยสิ้นเชิง ภาวะคาร์ดินัล นอกจากนี้สมาชิกของแต่ละชุดยังไม่รู้ว่าผู้เล่นชุดต่อไปจะเป็นใคร เป็นและไม่แอบผ่านสภาพภายในใด ๆ คุณสมบัติของผู้เล่นที่ทดแทนได้นั้นมีความสำคัญอย่างยิ่งในการเอาชนะความไดนามิกและทรงพลังมาก ศัตรูที่เราจินตนาการ เราเชื่อว่าโปรโตคอลของผู้เล่นที่ทดแทนได้จะพิสูจน์ได้ว่ามีความสำคัญในหลายๆ อย่าง บริบทและการประยุกต์ โดยเฉพาะอย่างยิ่ง สิ่งเหล่านี้จะมีความสำคัญอย่างยิ่งในการรันโปรโตคอลย่อยขนาดเล็กอย่างปลอดภัย ฝังอยู่ในจักรวาลที่ใหญ่ขึ้นของผู้เล่นพร้อมกับศัตรูที่มีพลังซึ่งสามารถทำลายล้างได้ เป็นส่วนเล็กๆ ของผู้เล่นทั้งหมด ไม่มีความยุ่งยากในการทำให้ผู้เล่นในกลุ่มเล็กๆ เสียหายทั้งหมด โปรโตคอลย่อย คุณสมบัติ/เทคนิคเพิ่มเติม: Lazy Honesty ผู้ใช้ที่ซื่อสัตย์ปฏิบัติตามคำสั่งของเขา คำแนะนำซึ่งรวมถึงการออนไลน์และเรียกใช้โปรโตคอล เนื่องจาก Algorand มีเพียงความเรียบง่ายเท่านั้น ข้อกำหนดด้านการคำนวณและการสื่อสาร ออนไลน์และใช้งานโปรโตคอล “ใน พื้นหลัง” ไม่ใช่การเสียสละครั้งใหญ่ แน่นอนว่ามี "การขาดหายไป" บ้างในหมู่ผู้เล่นที่ซื่อสัตย์เช่นเดียวกับพวกเขา เนื่องจากการสูญเสียการเชื่อมต่ออย่างกะทันหันหรือจำเป็นต้องรีบูตเครื่อง จะต้องได้รับการยอมรับโดยอัตโนมัติ (เพราะ เราถือว่าผู้เล่นไม่กี่คนดังกล่าวเป็นอันตรายชั่วคราวได้เสมอ) ให้เราชี้ให้เห็นว่าอย่างไรก็ตาม Algorand นั้นสามารถปรับเปลี่ยนได้อย่างง่ายดายเพื่อให้ทำงานในรูปแบบใหม่ซึ่งผู้ใช้ที่ซื่อสัตย์จะเป็น มักจะไม่เป็นเช่นนั้น รุ่นใหม่ของเราสามารถแนะนำอย่างไม่เป็นทางการได้ดังนี้ ขี้เกียจซื่อสัตย์. พูดโดยคร่าวๆ ผู้ใช้ที่ฉันขี้เกียจแต่ซื่อสัตย์ถ้า (1) เขาปฏิบัติตามที่เขากำหนดไว้ทั้งหมด คำแนะนำ เมื่อเขาถูกขอให้เข้าร่วมในระเบียบการ และ (2) เขาถูกขอให้เข้าร่วม ถึงโปรโตคอลเพียงเล็กน้อยเท่านั้น และมีการแจ้งล่วงหน้าที่เหมาะสม ด้วยแนวคิดที่ผ่อนคลายในเรื่องความซื่อสัตย์ เราอาจมั่นใจมากขึ้นว่าคนที่ซื่อสัตย์จะเป็นเช่นไร พร้อมเสมอเมื่อเราต้องการ และ Algorand รับประกันว่า เมื่อเป็นกรณีนี้ ระบบทำงานอย่างปลอดภัย แม้ว่า ณ เวลาที่กำหนด ผู้เล่นที่เข้าร่วมส่วนใหญ่เป็นคนที่เป็นอันตราย1.3 งานที่เกี่ยวข้องอย่างใกล้ชิด วิธีการพิสูจน์การทำงาน (เช่น [29] และ [4] ที่อ้างถึง) ค่อนข้างตั้งฉากกับแนวทางของเรา ก็เช่นกัน วิธีการตามข้อตกลงไบเซนไทน์ในการส่งข้อความหรือการยอมรับข้อบกพร่องของไบแซนไทน์ในทางปฏิบัติ (เช่นที่อ้างถึง [8]) แท้จริงแล้ว โปรโตคอลเหล่านี้ไม่สามารถทำงานในกลุ่มผู้ใช้ทั้งหมดได้ และไม่สามารถ ในโมเดลของเรา ให้จำกัดเฉพาะผู้ใช้กลุ่มเล็กๆ ที่เหมาะสม อันที่จริงศัตรูที่ทรงพลังของเราของฉัน สร้างความเสียหายให้กับผู้ใช้ทั้งหมดที่เกี่ยวข้องกับชุดเล็ก ๆ ที่ถูกกล่าวหาว่าใช้งานโปรโตคอล BA จริง ๆ ทันที แนวทางของเราถือได้ว่าเกี่ยวข้องกับหลักฐานการมีส่วนได้ส่วนเสีย [2] ในแง่ที่ว่า "อำนาจ" ของผู้ใช้ ในการสร้างบล็อกจะเป็นสัดส่วนกับเงินที่พวกเขาเป็นเจ้าของในระบบ (ตรงข้ามกับ —พูด— ถึง เงินที่พวกเขาใส่ไว้ใน “เอสโครว์”) บทความที่ใกล้เคียงที่สุดของเราคือ Sleepy Consensus Model ของ Pass และ Shi [30] เพื่อหลีกเลี่ยง การคำนวณจำนวนมากที่จำเป็นในแนวทาง proof-of-work เอกสารของพวกเขาอาศัย (และกรุณา เครดิต) Algorand การเรียงลำดับการเข้ารหัสลับ โดยมีประเด็นสำคัญหลายประการที่เหมือนกันหลายประการ มีความแตกต่างที่สำคัญระหว่างเอกสารของเรา โดยเฉพาะอย่างยิ่ง (1) การตั้งค่าของพวกเขาได้รับอนุญาตเท่านั้น ในทางตรงกันข้าม Algorand ก็เป็นระบบที่ไม่ได้รับอนุญาตเช่นกัน (2) พวกเขาใช้โปรโตคอลสไตล์ Nakamoto และทำให้ blockchain ของพวกเขาแยกบ่อยครั้ง แม้ว่า แจกจ่าย proof-of-work ในระเบียบการของพวกเขา ผู้นำที่ได้รับการคัดเลือกอย่างลับๆ จะถูกขอให้ยืดเวลา ใช้ได้ยาวนานที่สุด (ในแง่ที่สมบูรณ์ยิ่งขึ้น) blockchain ดังนั้นจึงหลีกเลี่ยงไม่ได้ที่จะต้องใช้ส้อมและต้องรอ บล็อกนั้นมี "ความลึก" เพียงพอในห่วงโซ่ แท้จริงแล้วการบรรลุเป้าหมายร่วมกับศัตรู ความสามารถในการเสียหายแบบปรับตัวได้ พวกเขาต้องการบล็อกที่มีความลึกแบบโพลี (N) โดยที่ N แสดงถึง จำนวนผู้ใช้ทั้งหมดในระบบ โปรดสังเกตว่า แม้จะสมมติว่าสามารถสร้างบล็อกได้ ในหนึ่งนาที หากมีผู้ใช้ N = 1 ล้านคน ก็จะต้องรอประมาณ 2 ล้านปี บล็อกจะกลายเป็น N ลึก และใช้เวลาประมาณ 2 ปีกว่าบล็อกจะกลายเป็น N ลึก ในทางตรงกันข้าม blockchain ของ Algorand ส้อมด้วยความน่าจะเป็นเพียงเล็กน้อยเท่านั้น แม้ว่าฝ่ายตรงข้ามจะเสียหาย ผู้ใช้ทันทีและปรับเปลี่ยนได้ และสามารถพึ่งพาบล็อกใหม่ได้ทันที (3) พวกเขาไม่ได้จัดการข้อตกลงไบเซนไทน์แต่ละรายการ ในแง่หนึ่งพวกเขารับประกันเท่านั้น “ฉันทามติในที่สุดเกี่ยวกับลำดับค่านิยมที่เพิ่มขึ้น” พวกเขาเป็นโปรโตคอลการจำลองแบบของรัฐ กว่า BA one และไม่สามารถใช้เพื่อบรรลุข้อตกลง Byzantine เกี่ยวกับมูลค่าดอกเบี้ยส่วนบุคคลได้ ในทางตรงกันข้าม Algorand สามารถใช้เพียงครั้งเดียว หากต้องการ เพื่อให้ผู้ใช้หลายล้านคนสามารถใช้งานได้อย่างรวดเร็ว บรรลุข้อตกลงไบเซนไทน์เกี่ยวกับมูลค่าดอกเบี้ยเฉพาะ (4) พวกเขาต้องการนาฬิกาที่ซิงโครไนซ์อย่างอ่อน นั่นคือนาฬิกาของผู้ใช้ทุกคนจะถูกตั้งเวลาเพียงเล็กน้อย δ. ในทางตรงกันข้าม ใน Algorand นาฬิกาจำเป็นต้องมี "ความเร็ว" ที่เท่ากัน (โดยพื้นฐานแล้ว) เท่านั้น (5) โปรโตคอลของพวกเขาใช้งานได้กับผู้ใช้ที่ขี้เกียจแต่ซื่อสัตย์หรือกับผู้ใช้ออนไลน์ส่วนใหญ่ที่ซื่อสัตย์ พวกเขากรุณาให้เครดิต Algorand สำหรับการหยิบยกปัญหาของผู้ใช้ที่ซื่อสัตย์ออกไปเป็นจำนวนมาก และสำหรับ หยิบยกโมเดลความซื่อสัตย์ที่เกียจคร้านมาตอบสนอง โปรโตคอลของพวกเขาไม่เพียงแต่ใช้งานได้กับคนขี้เกียจเท่านั้น รูปแบบความซื่อสัตย์ แต่ยังอยู่ในรูปแบบง่วงนอนของฝ่ายตรงข้ามด้วย โดยที่ฝ่ายตรงข้ามเลือกว่าผู้ใช้รายใด ออนไลน์และเป็นของออฟไลน์ โดยมีเงื่อนไขว่าผู้ใช้ออนไลน์ส่วนใหญ่มีความซื่อสัตย์ตลอดเวลา2 2รายงานฉบับดั้งเดิมถือว่าเป็นเพียงการรักษาความปลอดภัยในรูปแบบง่วงนอนของฝ่ายตรงข้ามเท่านั้น ที่ เวอร์ชันดั้งเดิมของ Algorand ซึ่งอยู่ก่อนหน้าเวอร์ชันของพวกเขา ยังมองเห็นอย่างชัดเจนโดยสมมติว่าส่วนใหญ่ที่กำหนด ผู้เล่นออนไลน์มีความซื่อสัตย์อยู่เสมอ แต่ได้แยกออกจากการพิจารณาอย่างชัดเจน เพื่อสนับสนุนโมเดลความซื่อสัตย์ที่ขี้เกียจ (ตัวอย่างเช่น หาก ณ จุดใดจุดหนึ่งของผู้ใช้ที่ซื่อสัตย์เลือกที่จะออฟไลน์ ผู้ใช้ส่วนใหญ่ ออนไลน์อาจเป็นอันตรายได้ ดังนั้น เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น ปฏิปักษ์ควรบังคับส่วนใหญ่ของเขา ผู้เล่นที่เสียหายให้ไปออฟไลน์ด้วย ซึ่งเห็นได้ชัดว่าขัดต่อผลประโยชน์ของตนเอง) โปรดสังเกตว่าโปรโตคอลที่มีเสียงข้างมาก ของผู้เล่นที่เกียจคร้านแต่ซื่อสัตย์จะทำงานได้ดีหากผู้ใช้ออนไลน์ส่วนใหญ่มักเป็นอันตราย ที่เป็นเช่นนี้ก็เพราะว่า ผู้เล่นที่ซื่อสัตย์จำนวนเพียงพอ โดยรู้ว่าพวกเขาจะมีความสำคัญในช่วงเวลาที่หายาก จะเลือก ย่อมไม่หลุดพ้นไปในขณะนั้น และมิให้ปรปักษ์บังคับให้หลุดพ้นได้ เพราะไม่รู้ว่าใครเป็นผู้ ผู้เล่นที่ซื่อสัตย์ที่สำคัญอาจเป็นได้(6) พวกเขาต้องการเสียงส่วนใหญ่ที่ซื่อสัตย์ ในทางตรงกันข้าม Algorand ต้องใช้เวอร์ชันปัจจุบัน 2/3 ส่วนใหญ่ที่ซื่อสัตย์ เอกสารอีกฉบับที่อยู่ใกล้เราคือ Ouroboros: โปรโตคอล Blockchain ที่พิสูจน์ได้ว่ามีความปลอดภัยที่พิสูจน์ได้ โดย Kiayias, Russell, David และ Oliynykov [20] ระบบของพวกเขาก็ปรากฏตามหลังเราด้วย มันยัง ใช้การเรียงลำดับด้วยความเย็นเพื่อแจกจ่ายหลักฐานการทำงานในลักษณะที่พิสูจน์ได้ อย่างไรก็ตามของพวกเขา ระบบเป็นโปรโตคอลสไตล์ Nakamoto อีกครั้งซึ่งทางแยกเป็นสิ่งที่หลีกเลี่ยงไม่ได้และบ่อยครั้ง (อย่างไรก็ตาม ในโมเดลของพวกเขา บล็อกไม่จำเป็นต้องลึกเท่ากับโมเดลฉันทามติที่ง่วงนอน) นอกจากนี้ ระบบของพวกเขาขึ้นอยู่กับสมมติฐานดังต่อไปนี้: ตามคำพูดของผู้เขียนเอง "(1) เครือข่ายมีการซิงโครไนซ์สูง (2) ผู้มีส่วนได้ส่วนเสียส่วนใหญ่ที่ได้รับการคัดเลือกพร้อมให้บริการตามความจำเป็น ที่จะเข้าร่วมในแต่ละยุค (3) ผู้มีส่วนได้ส่วนเสียจะไม่ถูกเปิดเผยเป็นเวลานาน (4) การปรับตัวของการทุจริตอาจมีความล่าช้าเล็กน้อยซึ่งวัดเป็นเส้นตรง พารามิเตอร์ความปลอดภัย” ในทางตรงกันข้าม Algorand มีความน่าจะเป็นอย่างล้นหลาม ไม่มีการฟอร์ค และ ไม่ได้ขึ้นอยู่กับสมมติฐานทั้ง 4 ข้อนี้ โดยเฉพาะอย่างยิ่งใน Algorand ฝ่ายตรงข้ามสามารถทำได้ สร้างความเสียหายให้กับผู้ใช้ที่เขาต้องการควบคุมทันที

기본 사항

2.1 암호화 프리미티브 이상적인 해싱. 우리는 효율적으로 계산 가능한 암호화 hash 함수 H에 의존할 것입니다. 임의로 긴 문자열을 고정 길이의 이진 문자열로 매핑합니다. 오랜 전통을 이어가며 모델로 활동하고 있습니다. H는 무작위 oracle로서 본질적으로 가능한 각 문자열 s를 무작위로 매핑하는 함수입니다. 선택한 길이의 이진 문자열 H(s)를 독립적으로 선택한(그리고 고정된) 본 논문에서 H는 256비트의 긴 출력을 갖는다. 실제로 그러한 길이는 충분히 짧습니다. 시스템을 안전하게 만들 수 있을 만큼 충분히 길고 효율적입니다. 예를 들어, 우리는 H가 충돌 복원력을 갖기를 원합니다. 즉, H(x) = H(y)가 되는 두 개의 서로 다른 문자열 x와 y를 찾는 것이 어려워야 합니다. H가 256비트 길이의 출력을 갖는 임의의 oracle인 경우 이러한 문자열 쌍을 찾는 것은 실제로 어렵다. (무작위로 시도하고 생일 역설에 의존하면 2256/2 = 2128이 필요합니다. 재판.) 디지털 서명. 디지털 서명을 통해 사용자는 서로 정보를 인증할 수 있습니다. 비밀 키를 공유하지 않고 공유합니다. 디지털 서명 체계는 세 가지 빠른 서명으로 구성됩니다. 알고리즘: 확률적 키 생성기 G, 서명 알고리즘 S, 검증 알고리즘 V. 충분히 높은 정수인 보안 매개변수 k가 주어지면 사용자 i는 G를 사용하여 다음 쌍을 생성합니다. k-비트 키(즉, 문자열): "공개" 키 pki 및 일치하는 "비밀" 서명 키 스키. 결정적으로, 공개 키는 해당 비밀 키를 "배신"하지 않습니다. 즉, pki에 대한 지식이 있어도 나 말고 다른 사람은 천문학적 시간보다 짧은 시간에 스키를 계산할 수 있습니다. 사용자 i는 스키를 사용하여 메시지에 디지털 서명을 합니다. 가능한 각 메시지(이진 문자열) m에 대해 i가 먼저 hashes m 그런 다음 입력 H(m)에 대해 알고리즘 S를 실행하고 k비트 문자열을 생성하기 위해 스키를 실행합니다. sigpki(m) $\triangleq$S(H(m), 스키) .3 3H는 충돌 복원력이 있기 때문에 하나에 서명함으로써 다른 서명에 "우연히 서명"하는 것은 사실상 불가능합니다. 메시지 m'.이진 문자열 sigpki(m)은 i의 m 디지털 서명(pki에 상대적)이라고 하며 다음과 같이 될 수 있습니다. 공개 키 pki가 문맥에서 명확할 때 sigi(m)로 더 간단하게 표시됩니다. pki를 아는 사람은 누구나 이를 사용하여 i가 생성한 디지털 서명을 확인할 수 있습니다. 구체적으로, 에 (a) 플레이어 i의 공개 키 pki, (b) 메시지 m, (c) 문자열 s, 즉 i가 주장하는 문자열을 입력합니다. 메시지 m의 디지털 서명에 대해 검증 알고리즘 V는 YES 또는 NO를 출력합니다. 디지털 서명 체계에 필요한 속성은 다음과 같습니다. 1. 적법한 서명은 항상 확인됩니다. s = sigi(m)이면 V(pki, m, s) = Y ES입니다. 그리고 2. 디지털 서명은 위조하기 어렵습니다. 스키에 대한 지식이 없으면 그러한 문자열을 찾는 데 시간이 걸립니다. i가 서명하지 않은 메시지 m의 경우 V(pki, m, s) = Y ES는 천문학적으로 길다. (Goldwasser, Micali 및 Rivest [17]의 강력한 보안 요구 사항에 따라 이는 사실입니다. 다른 메시지의 서명을 얻을 수 있는 경우에도 마찬가지입니다.) 따라서 다른 사람이 자신을 대신하여 메시지에 서명하는 것을 방지하려면 플레이어가 자신의 메시지를 보관해야 합니다. 키 스키 비밀(따라서 "비밀 키"라는 용어)에 서명하고 누구나 메시지를 확인할 수 있도록 합니다. 그가 서명하면 나는 그의 키 pki(따라서 "공개 키"라는 용어)를 공개하는 데 관심이 있습니다. 일반적으로 메시지 m은 서명 sigi(m)에서 검색할 수 없습니다. 사실상 거래를 하려면 개념적으로 편리한 "검색 가능성" 속성을 충족하는 디지털 서명을 사용합니다(즉, 서명자와 메시지가 서명에서 쉽게 계산될 수 있도록 보장합니다. SIGpki(m) = (i, m, sigpki(m)) 그리고 SIGi(m) = (i, m, sigi(m)), pki가 명확한 경우. 고유한 디지털 서명. 우리는 또한 다음을 만족하는 디지털 서명 체계(G, S, V)를 고려합니다. 추가 속성을 따릅니다. 3. 독창성. 다음과 같은 문자열 pk′, m, s 및 s′를 찾는 것은 어렵습니다. s̸= s′ 그리고 V(pk′, m, s) = V(pk′, m, s′) = 1입니다. (고유성 속성은 합법적으로 생성되지 않은 문자열 pk'에도 적용됩니다. 공개 키. 그러나 특히 고유성 속성은 다음을 사용하는 경우 다음을 의미합니다. 일치하는 비밀 키 sk와 함께 공개 키 pk를 계산하기 위해 지정된 키 생성기 G, 따라서 sk를 알았더라면 그가 두 가지 다른 디지털 장치를 찾는 것도 본질적으로 불가능했을 것입니다. pk와 관련된 동일한 메시지의 서명.) 비고 • 고유 서명부터 검증 가능한 무작위 함수까지. 디지털에 비해 고유성 속성이 있는 서명 체계에서 m $\to$ H(sigi(m)) 매핑은 다음과 연관됩니다. 가능한 각 문자열 m, 무작위로 선택된 고유한 256비트 문자열, 그리고 이 문자열의 정확성 서명 sigi(m)이 주어지면 매핑이 증명될 수 있습니다. 즉 고유성 속성을 본질적으로 만족시키는 이상적인 hashing 및 전자서명 방식이다. 소개된 바와 같이 검증 가능한 무작위 함수의 기본 구현을 제공합니다. Micali, Rabin 및 Vadhan [27]. (원래 구현은 필연적으로 더 복잡했습니다. 이상적인 hashing에 의존하지 않았기 때문입니다.)• 디지털 서명에 대한 세 가지 요구 사항. Algorand에서 내가 디지털에 의존하는 사용자는 서명 (1) 본인의 결제를 인증합니다. 이 애플리케이션에서 키는 "장기적"일 수 있습니다(예: 장기간에 걸쳐 많은 메시지에 서명) 일반적인 서명 체계에서 비롯됩니다. (2) i가 라운드 r의 일부 단계 s에서 행동할 자격이 있음을 증명하는 자격 증명을 생성합니다. 여기, 키는 장기적일 수 있지만 고유성 속성을 충족하는 체계에서 나와야 합니다. (3) 그가 행동하는 각 단계에서 내가 보내는 메시지를 인증합니다. 여기서 키는 다음과 같아야 합니다. 임시적(즉, 처음 사용 후 폐기됨)이지만 일반 서명 체계에서 나올 수 있습니다. • 적은 비용의 단순화. 단순화를 위해 각 사용자 i가 단일 장기 키를 갖는 것을 상상합니다. 따라서 이러한 키는 고유성을 지닌 서명 체계에서 나와야 합니다. 재산. 이러한 단순성은 계산 비용이 적습니다. 일반적으로 실제로 고유한 디지털 서명은 일반 서명보다 생성 및 확인 비용이 약간 더 비쌉니다. 2.2 이상적인 공공 원장 Algorand은 이상적인 공개 원장을 기반으로 다음 결제 시스템을 모방하려고 합니다. 1. 초기 상태. 돈은 개별 공개 키(개인적으로 생성되고 사용자 소유). pk1, . . . , pkj는 초기 공개 키이고 a1, . . . , j 각각의 초기 금액 단위의 경우 초기 상태는 다음과 같습니다. S0 = (pk1, a1), . . . , (pkj, aj) , 이는 시스템 내에서 상식으로 간주됩니다. 2. 지불. pk를 현재 0개 이상의 화폐 단위를 갖는 공개 키로 두고, pk′는 또 다른 공개 키로 둡니다. 키, 그리고 a′는 a보다 크지 않은 음수가 아닌 숫자입니다. 그렇다면 (유효한) 결제는 디지털 결제입니다. pk를 기준으로 a' 화폐 단위를 pk에서 pk'로 함께 전송하는 것을 지정하는 서명 몇 가지 추가 정보와 함께. 기호에서는, $\wp$= SIGpk(pk, pk′, a′, I, H(I)), 유용하지만 민감하지 않은 추가 정보(예: 시간 정보 및 결제 식별자) 및 민감한 것으로 간주되는 추가 정보(예: 지불 이유, pk 및 pk′ 소유자의 신원 등). 우리는 pk(또는 그 소유자)를 지불인으로, 각 pk'(또는 그 소유자)를 수취인으로, a'를 다음과 같이 지칭합니다. 결제 금액 $\wp$. 결제를 통한 무료 가입. 사용자는 원할 때마다 시스템에 참여할 수 있습니다. 자신의 공개/비밀 키 쌍을 생성합니다. 따라서, 에 나타나는 공개키 pk'는 위의 지불은 돈을 "소유"한 적이 없는 새로 생성된 공개 키일 수 있습니다. 전에. 3. 매직 레저. 이상화된 시스템에서는 모든 결제가 유효하며 변조 방지 기능으로 표시됩니다. 모든 사람이 볼 수 있도록 "하늘에 게시된" 지불 세트 목록 L: L = 1페이, 2페이, . . . ,각 블록 PAY r+1은 블록 출현 이후 이루어진 모든 지불 세트로 구성됩니다. 지불 r. 이상적인 시스템에서는 고정된(또는 유한한) 시간이 지나면 새로운 블록이 나타납니다. 논의. • 더 많은 일반 지불 및 미사용 거래 출력. 보다 일반적으로 공개 키 pk가 a 금액을 소유한 경우 pk의 유효한 지불 $\wp$을 통해 금액 a′을 이체할 수 있습니다. 1, 아' 2, . . ., 각각 키 pk'에 1, PK′ 2, . . ., P가 있는 한 자아′ j $\leq$a. Bitcoin 및 유사한 시스템에서는 공개 키 pk가 소유한 자금이 별도의 자산으로 분리됩니다. 금액, pk가 지급한 금액은 해당 분리된 금액 전체를 이체해야 합니다. pk가 a의 a' < a 부분만 다른 키로 전송하려면 다음 키도 전송해야 합니다. 잔액, 사용되지 않은 트랜잭션 출력을 다른 키(아마도 pk 자체)로 보냅니다. Algorand은 금액이 분리된 키와도 작동합니다. 하지만, 그 부분에 집중하기 위해 Algorand의 새로운 측면으로 인해 더 단순한 결제 방식을 고수하는 것이 개념적으로 더 간단합니다. 그리고 그와 관련된 단일 금액을 갖는 키. • 현재 상태. 이상화된 계획은 현재에 대한 정보를 직접 제공하지 않습니다. 시스템 상태(즉, 각 공개 키에 얼마나 많은 화폐 단위가 있는지). 이 정보 Magic Ledger에서 추론할 수 있습니다. 이상적인 시스템에서는 활성 사용자가 최신 상태 정보를 지속적으로 저장하고 업데이트하며, 그렇지 않으면 처음부터 다시 작성해야 하거나 지난 번에 다시 작성해야 했을 것입니다. 그것을 계산했다. (이 백서의 다음 버전에서는 Algorand을 확장하여 사용자는 현재 상태를 효율적인 방식으로 재구성할 수 있습니다.) • 보안 및 "개인정보 보호". 디지털 서명은 누구도 결제를 위조할 수 없음을 보장합니다. 다른 사용자. 결제$\wp$에서는 공개키와 금액이 숨겨지지 않지만 민감한 정보는 정보는 나야. 실제로 $\wp$에는 H(I)만 나타나고 H는 이상적인 hash 함수이므로 H(I) 는 임의의 256비트 값이므로 내가 무엇을 더 잘했는지 알아낼 수 있는 방법이 없습니다. 단순히 추측하면 됩니다. 하지만 내가 어떤 사람인지 증명하기 위해(예: 지불 이유를 증명하기 위해) 지불자는 I를 공개할 수도 있습니다. 공개된 I의 정확성은 H(I)를 계산하여 확인할 수 있습니다. 그리고 그 결과 값을 $\wp$의 마지막 항목과 비교합니다. 실제로 H는 충돌 복원력이 있으므로 H(I) = H(I′)와 같은 두 번째 값 I′을 찾는 것은 어렵습니다. 2.3 기본 개념 및 표기법 키, 사용자 및 소유자 별도로 지정하지 않는 한, 각 공개 키(줄여서 "키")는 고유성을 지닌 디지털 서명 체계에 상대적이며 장기적입니다. 내가 조인하는 공개 키 이미 시스템에 있는 다른 공개 키 j가 i에 지불할 때 시스템이 작동합니다. 색상의 경우 키를 의인화합니다. 우리는 키 i를 "그"라고 부르며, 내가 정직하다고 말하고, 내가 보낸다고 말합니다. 메시지 등을 수신합니다. 사용자는 키의 동의어입니다. 키를 구별하고 싶을 때 해당 키가 속한 사람에 대해서는 각각 "디지털 키" 및 "소유자"라는 용어를 사용합니다. 무허가 및 허가 시스템. 디지털 키가 무료인 경우 시스템은 허가가 없습니다. 언제든지 가입할 수 있으며 소유자는 여러 개의 디지털 키를 소유할 수 있습니다. 그렇지 않으면 허가됩니다.고유한 표현 Algorand의 각 개체에는 고유한 표현이 있습니다. 특히, 각각은 {(x, y, z, . . . .) : x $\in$X, y $\in$Y, z $\in$Z, . . .}는 미리 지정된 방식으로 정렬됩니다. 예: 첫 번째 x에서 사전식으로, 그다음 y로, 등등. 동일 속도 클록 전역 시계는 없습니다. 오히려 각 사용자는 자신만의 시계를 갖습니다. 사용자 시계 어떤 방식으로든 동기화할 필요는 없습니다. 그러나 우리는 그것들이 모두 같은 속도를 가지고 있다고 가정합니다. 예를 들어, 사용자 i의 시계 기준으로 오후 12시라면, 기준으로는 오후 2시 30분일 수 있다. 다른 사용자 j의 시계는 i의 시계 기준으로 12시 1분, j의 시계 기준으로는 2시 31분입니다. j의 시계에. 즉, “모든 사용자에게 1분은 동일합니다(충분히, 본질적으로 동일함).” 라운드 Algorand은 논리 단위 r = 0, 1, 로 구성됩니다. . ., 라운드라고 합니다. 우리는 라운드를 표시하기 위해 지속적으로 위 첨자를 사용합니다. 숫자가 아닌 수량 Q를 나타냅니다. (예: 문자열, 공개 키, 집합, 디지털 서명 등)은 라운드 r을 참조하므로 간단히 Qr이라고 씁니다. Q가 실수인 경우에만(숫자로 해석할 수 있는 이진 문자열과 반대) 다음을 수행하십시오. 기호 r이 Q의 지수로 해석될 수 없도록 Q(r)을 씁니다. (a의 시작) 라운드 r > 0에서 모든 공개 키 세트는 PKr이고 시스템 상태는 다음과 같습니다. 선생님 = 엔 나, a(r) 나 , . . . : 나는 $\in$PKro , 여기서 a(r) 나 공개 키 i에 사용할 수 있는 금액입니다. PKr은 다음에서 추론할 수 있습니다. Sr, Sr은 각 공개 키에 대해 다른 구성 요소를 지정할 수도 있습니다. i. 0 라운드의 경우 PK0은 초기 공개 키 집합이고 S0은 초기 상태입니다. PK0과 S0는 시스템에서 상식으로 간주됩니다. 단순화를 위해 라운드 r의 시작 부분에서 PK1, . . . , PKr 및 S1, . . . , 선생님 라운드 r에서 시스템 상태는 Sr에서 Sr+1로 전환됩니다. 라운드 r: Sr −→Sr+1. 결제 Algorand에서는 사용자가 지속적으로 결제를 합니다. 하위 섹션 2.7에 설명되어 있습니다. 사용자 i $\in$PKr의 결제 $\wp$는 동일한 형식과 의미를 갖습니다. 이상적인 시스템에서와 마찬가지로. 즉, $\wp$= SIGi(i, i′, a, I, H(I)) . 지불 $\wp$은 (1) 금액인 경우 r 라운드에서 개별적으로 유효합니다(간략히 r 라운드 지불). a는 a(r)보다 작거나 같습니다. i, 그리고 (2) r′ < r에 대해 공식 페이세트 PAY r′에는 나타나지 않습니다. (아래 설명과 같이 두 번째 조건은 $\wp$이 아직 유효하지 않음을 의미합니다. i의 라운드 r 지불 세트는 해당 금액의 합계가 최대 a(r)인 경우 집합적으로 유효합니다. 나. 지불 세트 라운드 R 지불 세트 P는 각 사용자 i에 대해 지불이 이루어지는 라운드 R 지불 세트입니다. P의 i(아마도 없음)는 집합적으로 유효합니다. 모든 round-r 페이세트의 집합은 PAY(r)입니다. 라운드 R P의 상위 집합이 라운드 R 지불 집합이 아닌 경우 지불 집합 P는 최대입니다. 우리는 실제로 지불 $\wp$이 라운드 $\rho$, $\wp$= SIGi($\rho$, i, i′, a, I, H(I))를 지정하는 것을 제안합니다. 일부 고정된 음수가 아닌 정수 k에 대해 [$\rho$, $\rho$ + k] 외부의 모든 라운드에서는 유효할 수 없습니다. 4이것은 $\wp$가 "효과적"인지 확인하는 것을 단순화합니다(즉, 일부 급여 세트가 유효한지 여부를 결정하는 것을 단순화합니다) PAY r에는 $\wp$가 포함되어 있습니다. k = 0일 때 $\wp$= SIGi(r, i, i′, a, I, H(I)) 및 $\wp$/$\in$PAY r인 경우 $\wp$를 다시 제출해야 합니다.ﬃ공용지불세트 모든 라운드 r에 대해 Algorand은 (나중에 설명하는 방식으로) 공개적으로 선택합니다. 단일(비어 있을 수도 있음) 페이세트, PAY r, 라운드의 공식 페이세트. (본질적으로 PAY r은 "실제로" 발생한 라운드 R 지불.) 이상적인 시스템(및 Bitcoin)에서와 마찬가지로 (1) 새로운 사용자 j가 시스템에 들어갈 수 있는 유일한 방법입니다. 주어진 라운드 r의 공식 지불 세트 PAY r에 속하는 지불의 수령인입니다. 그리고 (2) PAY r은 현재 라운드 Sr에서 다음 라운드 Sr+1의 상태를 결정합니다. 상징적으로, PAY r : Sr −→Sr+1. 구체적으로, 1. 라운드 r + 1의 공개 키 세트인 PKr+1은 PKr의 합집합과 모든 키 세트로 구성됩니다. PAY r의 지불에 처음으로 나타나는 수취인 키; 그리고 2. 금액 a(r+1) 나 라운드 r + 1에서 사용자 i가 소유한 것은 ai(r)의 합입니다. 즉, 이전 라운드에서 내가 소유한 금액(i ̸$\in$PKr인 경우 0) — 및 금액의 합계 PAY r의 지불에 따라 i에게 지불됩니다. 요약하자면, 이상적인 시스템에서와 같이 각 상태 Sr+1은 이전 지불 내역에서 공제 가능합니다. 지불 0, . . . , 지불 r. 2.4 블록과 검증된 블록 Algorand0에서 라운드 r에 해당하는 블록 Br은 r 자체를 지정합니다. 지불 세트 r 라운드, PAY r; 설명할 수량 Qr과 이전 블록의 hash인 H(Br−1)입니다. 따라서 고정된 블록 B0부터 시작하여 전통적인 blockchain을 갖게 됩니다. B1 = (1, 페이 1, Q0, H(B0)), B2 = (2, 지불 2, Q1, H(B1)), B3 = (3, 지불 3, Q2, H(B2)), . . . Algorand에서는 블록의 신뢰성이 실제로 별도의 정보로 보증됩니다. Br을 입증된 블록인 Br로 바꾸는 "블록 인증서" CERT r. 따라서 매직 레저는 검증된 블록의 순서로 구현되며, B1, B2, . . . 토론 앞으로 살펴보겠지만 CERT r은 H(Br)에 대한 디지털 서명 세트로 구성됩니다. SV r 회원의 대다수와 각 회원이 실제로 속해 있다는 증거 SV r에. 물론 블록 자체에 CERT r 인증서를 포함할 수도 있지만 찾을 수는 없습니다. 개념적으로는 별도로 유지하는 것이 더 깔끔합니다.) Bitcoin에서 각 블록은 특별한 속성을 충족해야 합니다. 즉, "다음의 해를 포함해야 합니다. 암호화 퍼즐”, 이는 블록 생성을 계산 집약적으로 만들고 포크를 모두 불가피하게 만듭니다. 그리고 드물지 않습니다. 대조적으로, Algorand의 blockchain에는 두 가지 주요 장점이 있습니다. 최소한의 계산으로, 압도적으로 높은 확률로 포크되지 않습니다. 각 블록 Bi는 blockchain에 들어가자마자 안전하게 최종 처리됩니다.2.5 허용 가능한 실패 확률 Algorand의 보안을 분석하기 위해 우리는 확률 F를 지정합니다. 무언가 잘못되었다는 사실을 받아들입니다(예: 검증자 세트 SV r이 정직한 다수를 갖지 않는다는 사실). 암호화 hash 함수 H의 출력 길이의 경우와 마찬가지로 F도 매개변수입니다. 그러나 이 경우와 마찬가지로 보다 직관적인 결과를 얻기 위해 F를 구체적인 값으로 설정하는 것이 유용하다는 것을 알았습니다. Algorand에서는 동시에 충분한 보안을 누리는 것이 실제로 가능하다는 사실을 이해합니다. 그리고 충분한 효율성. F는 원하는 대로 설정할 수 있는 매개변수임을 강조하기 위해 처음에는 두 번째 실시예는 각각 설정했습니다. F = 10−12 그리고 F = 10−18 . 토론 10-12는 실제로 1조분의 1보다 적다는 점에 유의하세요. 우리의 응용 프로그램에서는 F를 선택하는 것이 적절합니다. 10-12는 확률이 아니라는 점을 강조하겠습니다. 이를 통해 공격자는 정직한 사용자의 지불금을 위조할 수 있습니다. 모든 결제는 디지털 방식으로 이루어집니다. 서명되므로 적절한 디지털 서명을 사용하면 결제가 위조될 확률은 다음과 같습니다. 10-12보다 훨씬 낮으며 실제로 본질적으로 0입니다. 우리가 기꺼이 용납할 수 있는 나쁜 사건 확률 F는 Algorand의 blockchain 포크입니다. F로 설정하면 1분 길이의 라운드에서는 Algorand의 blockchain에서 포크가 드물게 발생할 것으로 예상됩니다. (대략) 190만 년에 한 번. 대조적으로, Bitcoin에서는 포크가 꽤 자주 발생합니다. 더 까다로운 사람은 F를 더 낮은 값으로 설정할 수 있습니다. 이를 위해 두 번째 실시예에서는 F를 10−18로 설정하는 것을 고려합니다. 참고로 1초마다 블록이 생성된다고 가정하면 1018입니다. 빅뱅부터 현재까지 우주가 우주에 걸린 추정 시간(초)입니다. 시간. 따라서 F = 10−18인 경우 블록이 1초 안에 생성되면 다음과 같은 기간을 예상해야 합니다. 포크를 볼 수 있는 우주. 2.6 적대적 모델 Algorand은 매우 적대적인 모델에서 보안을 유지하도록 설계되었습니다. 설명해 보겠습니다. 정직하고 악의적인 사용자 사용자가 자신의 모든 프로토콜 지침을 따르면 정직합니다. 메시지를 완벽하게 보내고 받을 수 있습니다. 사용자가 악의적입니다(즉, 비잔틴, 분산 컴퓨팅의 용어) 규정된 지침에서 임의로 벗어날 수 있는 경우. 대적 대적자는 색상을 의인화한 효율적인(기술적으로 다항식 시간) 알고리즘으로, 원하는 사용자를 언제라도 즉시 악의적으로 만들 수 있습니다(주제 그가 손상시킬 수 있는 사용자 수의 상한선까지만). 대적은 모든 악의적인 사용자를 완전히 통제하고 완벽하게 조정합니다. 그는 모든 조치를 취한다 모든 메시지를 받고 보내는 것을 포함하여 그들을 대신하여 그들이 다음에서 벗어나도록 할 수 있습니다. 임의의 방식으로 규정된 지침을 제공합니다. 아니면 단순히 전송을 보내는 손상된 사용자를 격리할 수도 있습니다. 그리고 메시지 수신. 사용자 i가 악의적이라는 사실을 자동으로 아는 사람은 아무도 없다는 점을 분명히 합시다. 대적이 그에게 취하는 행동으로 인해 나의 악의가 나타날 수도 있습니다. 그러나 이 강력한 적수는 • 무한한 계산 능력이 없으며 디지털 데이터를 성공적으로 위조할 수 없습니다. 가능성이 거의 없는 경우를 제외하고는 정직한 사용자의 서명입니다. 그리고• 정직한 사용자 간의 메시지 교환을 어떤 식으로든 방해할 수 없습니다. 게다가 정직한 사용자를 공격하는 그의 능력은 다음 가정 중 하나에 의해 제한됩니다. 정직이 대부분의 돈 우리는 HMM(Honest Majority of Money)의 연속체를 고려합니다. 가정: 즉, 음이 아닌 정수 k와 실수 h > 1/2에 대해, HHMk > h: 모든 라운드 r의 정직한 사용자는 전체 돈의 h보다 더 큰 부분을 소유했습니다. 라운드 r −k에서의 시스템. 논의. 모든 악의적인 사용자가 자신의 행동을 완벽하게 조정한다고 가정합니다(마치 통제된 것처럼). 단일 실체, 즉 적에 의한)는 다소 비관적인 가설입니다. 너무 완벽한 조화 많은 개인이 달성하기 어렵습니다. 아마도 조정은 별도의 그룹 내에서만 발생할 수 있습니다. 악의적인 플레이어. 하지만 악의적인 사용자의 조정 수준을 확신할 수 없기 때문에 즐길 수도 있고, 후회하는 것보다 안전한 것이 낫습니다. 공격자가 은밀하게, 동적으로, 즉각적으로 사용자를 손상시킬 수 있다고 가정하는 것도 비관적이다. 결국 현실적으로 사용자 작업을 완전히 제어하려면 시간이 좀 걸립니다. 예를 들어, HMMk > h라는 가정은 라운드(평균)가 구현되면 다음을 의미합니다. 그러면 1분 안에 해당 라운드의 돈 대부분이 정직한 손에 남게 됩니다. k = 120인 경우 최소 2시간, k = 10,000인 경우 최소 1주일. HMM 가정과 이전의 정직한 컴퓨팅 파워(Honest Majority of Computing Power) 가정은 컴퓨팅 능력을 돈으로 살 수 있다는 점에서 관련이 있습니다. 악의적인 사용자가 대부분의 돈을 소유하고 있다면 대부분의 컴퓨팅 능력을 얻을 수 있습니다. 2.7 커뮤니케이션 모델 우리는 메시지 전파, 즉 "P2P 가십"5을 유일한 수단으로 생각합니다. 의사소통. 임시 가정: 전체 네트워크에서 메시지가 적시에 전달됩니다. 에 대한 이 백서의 대부분에서는 전파된 모든 메시지가 거의 모든 정직한 사용자에게 전달된다고 가정합니다. 적시에. 우리는 네트워크를 다루는 섹션 10에서 이 가정을 제거할 것입니다. 자연적으로 발생하거나 적대적으로 유도된 파티션. (앞으로 살펴보겠지만, 우리는 단지 가정만 할 뿐입니다. 네트워크의 연결된 각 구성 요소 내에서 메시지를 적시에 전달합니다.) (전체 네트워크에서) 전파된 메시지의 적시 전달을 캡처하는 구체적인 방법 중 하나는 다음과 같습니다. 다음: 모든 도달 가능성 $\rho$ > 95% 및 메시지 크기 $\mu$ $\in$Z+에 대해 다음과 같은 $\lambda$ $\rho$,μ가 존재합니다. 정직한 사용자가 시간 t에 $\mu$바이트 메시지 m을 전파하면, 그런 다음 m은 t + $\lambda$ $\rho$,μ 시간까지 정직한 사용자의 적어도 일부 $\rho$에 도달합니다. 5기본적으로 Bitcoin에서와 같이 사용자가 메시지 m을 전파하면 모든 활성 사용자는 처음으로 m을 수신하고 무작위로 그리고 독립적으로 적절하게 적은 수의 활성 사용자인 "이웃"을 선택하여 m을 전달합니다. 아마도 그가 그들로부터 승인을 받을 때까지 말이죠. m의 전파는 사용자가 수신하지 않으면 종료됩니다. m 처음으로요.그러나 위의 속성은 다른 사용자/저장소/등에 의해 최신 blockchain을 얻기 위한 메커니즘을 명시적이고 별도로 구상하지 않고서는 우리의 Algorand 프로토콜을 지원할 수 없습니다. 실제로, 새로운 블록 Br을 생성하려면 적절한 검증자 세트가 적시에 라운드 r을 수신해야 할 뿐만 아니라 메시지뿐만 아니라 이전 라운드의 메시지도 포함하여 Br−1 및 기타 이전 라운드의 모든 메시지를 파악합니다. Br로 지불한 금액이 유효한지 확인하는 데 필요한 블록입니다. 다음 대신 가정이 성공합니다. MP(메시지 전파) 가정: 모든 $\rho$ > 95% 및 μ $\in$Z+에 대해 $\lambda$ $\rho$,μ가 존재합니다. 따라서 모든 시간 t와 모든 $\mu$바이트 메시지 m은 t −$\lambda$ $\rho$,μ 이전에 정직한 사용자에 의해 전파되었습니다. m은 정직한 사용자의 적어도 일부 $\rho$에 의해 시간 t까지 수신됩니다. 프로토콜 Algorand '은 실제로 소수의 사용자(즉, 검증자)에게 각각 지시합니다. Algorand '의 라운드 단계에서 (작은) 규정된 크기의 별도 메시지를 전파하기 위해, 그리고 우리는 이러한 지침을 이행하는 데 필요한 시간을 제한해야 합니다. 우리는 국회의원을 풍부하게 함으로써 그렇게 합니다. 다음과 같이 가정합니다. 모든 n, $\rho$ > 95% 및 $\mu$ $\in$Z+에 대해 모든 시간 t 및 모든 $\mu$ 바이트에 대해 다음과 같은 $\lambda$n,$\rho$,μ가 존재합니다. 메시지 m1, . . . , mn, 각각은 t −$\lambda$n,$\rho$,μ, m1, . . . , 백만 개가 수신되었습니다. 시간 t까지, 정직한 사용자의 적어도 일부 $\rho$만큼. 참고 • 위의 가정은 의도적으로 단순하지만 우리 논문에서 필요한 것보다 더 강력합니다.6 • 단순화를 위해 $\rho$ = 1이라고 가정하므로 $\rho$에 대한 언급은 생략합니다. • 우리는 그가 MP의 가정을 위반하지 않는 한, 적대자가 모든 메시지의 전달을 완전히 제어합니다. 특히 솔직한 사람의 눈에 띄지 않게 사용자는 어느 정직한 플레이어가 어떤 메시지를 받을지 임의로 결정할 수 있습니다. 그가 원하는 메시지의 전달 속도를 임의로 가속화합니다.7

เบื้องต้น

2.1 การเข้ารหัสลับเบื้องต้น การแฮชในอุดมคติ เราจะพึ่งพาฟังก์ชัน hash การเข้ารหัสลับที่สามารถคำนวณได้อย่างมีประสิทธิภาพ H ซึ่ง จับคู่สตริงที่ยาวตามอำเภอใจกับสตริงไบนารีที่มีความยาวคงที่ ตามประเพณีอันยาวนาน เราสร้างแบบจำลอง H เป็นแบบสุ่ม oracle โดยพื้นฐานแล้วฟังก์ชันที่แมปแต่ละสตริงที่เป็นไปได้ s กับการสุ่มและ สตริงไบนารีที่เลือกอย่างอิสระ (และแก้ไขแล้ว) H(s) ของความยาวที่เลือก ในบทความนี้ H มีเอาต์พุตยาว 256 บิต แท้จริงแล้วความยาวดังกล่าวสั้นพอที่จะทำให้ ระบบมีประสิทธิภาพและยาวนานเพียงพอที่จะทำให้ระบบมีความปลอดภัย ตัวอย่างเช่น เราต้องการให้ H มีความยืดหยุ่นในการชนกัน กล่าวคือ มันควรจะเป็นเรื่องยากที่จะหาสตริง x และ y สองสตริงที่แตกต่างกันเพื่อให้ H(x) = H(y) เมื่อ H เป็น oracle แบบสุ่มที่มีเอาต์พุตยาว 256 บิต การค้นหาคู่ของสตริงดังกล่าวย่อมเป็นเช่นนั้น ความยากลำบาก (ลองสุ่มแล้วอาศัยความขัดแย้งวันเกิดจะได้ 2256/2 = 2128 การทดลอง) การลงนามแบบดิจิทัล ลายเซ็นดิจิทัลช่วยให้ผู้ใช้สามารถตรวจสอบข้อมูลระหว่างกันได้ โดยไม่ต้องแชร์คีย์ลับใดๆ ร่วมกัน รูปแบบลายเซ็นดิจิทัลประกอบด้วยสามอย่างรวดเร็ว อัลกอริธึม: ตัวสร้างคีย์ความน่าจะเป็น G อัลกอริธึมการลงนาม S และอัลกอริธึมการตรวจสอบ V เมื่อกำหนดพารามิเตอร์ความปลอดภัย k ซึ่งเป็นจำนวนเต็มที่สูงพอสมควร ผู้ใช้ i ใช้ G เพื่อสร้างคู่ของ คีย์ k-bit (เช่น สตริง): pki คีย์ "สาธารณะ" และสกีคีย์เซ็นชื่อ "ลับ" ที่ตรงกัน สิ่งสำคัญที่สุดคือ รหัสสาธารณะไม่ได้ "ทรยศ" รหัสลับที่เกี่ยวข้อง นั่นคือแม้จะได้รับความรู้เกี่ยวกับ pki แล้วก็ตาม อีกอย่างหนึ่งคือฉันสามารถคำนวณสกีได้ในเวลาน้อยกว่าทางดาราศาสตร์ ผู้ใช้ฉันใช้สกีเพื่อเซ็นข้อความแบบดิจิทัล สำหรับแต่ละข้อความที่เป็นไปได้ (สตริงไบนารี่) m อันดับแรก hashes m จากนั้นรันอัลกอริทึม S บนอินพุต H(m) และ ski เพื่อสร้างสตริง k-bit sigpki(m) $\triangleq$S(H(m), สกี) .3 3เนื่องจาก H ทนทานต่อการชน จึงเป็นไปไม่ได้ในทางปฏิบัติที่การลงนาม m จะเป็นการ "ส่งสัญญาณ" ที่แตกต่างโดยไม่ได้ตั้งใจ ข้อความม'สตริงไบนารี่ sigpki(m) เรียกว่าลายเซ็นดิจิทัลของ i ของ m (สัมพันธ์กับ pki) และสามารถเป็น แสดงได้ง่ายยิ่งขึ้นด้วย sigi(m) เมื่อกุญแจสาธารณะ pki นั้นชัดเจนจากบริบท ทุกคนที่รู้จัก pki สามารถใช้มันเพื่อตรวจสอบลายเซ็นดิจิทัลที่สร้างโดย i โดยเฉพาะเปิด อินพุต (a) คีย์สาธารณะ pki ของผู้เล่น i, (b) ข้อความ m และ (c) สตริง s นั่นคือฉันถูกกล่าวหาว่า ลายเซ็นดิจิทัลของข้อความ m อัลกอริธึมการยืนยัน V จะส่งเอาต์พุต YES หรือ NO คุณสมบัติที่เราต้องการจากแผนลายเซ็นดิจิทัลคือ: 1. ลายเซ็นที่ถูกต้องตามกฎหมายจะได้รับการตรวจสอบเสมอ: ถ้า s = sigi(m) ดังนั้น V (pki, m, s) = Y ES; และ 2. ลายเซ็นดิจิทัลนั้นปลอมแปลงได้ยาก: หากปราศจากความรู้เรื่องการเล่นสกีก็ถึงเวลาที่จะค้นหาสตริงเช่นนั้น V (pki, m, s) = Y ES สำหรับข้อความที่ m ไม่เคยลงนามโดย i นั้นยาวมาก (ตามข้อกำหนดด้านความปลอดภัยที่เข้มงวดของ Goldwasser, Micali และ Rivest [17] นี่เป็นเรื่องจริง แม้ว่าจะสามารถรับลายเซ็นของข้อความอื่นก็ตาม) ด้วยเหตุนี้ เพื่อป้องกันไม่ให้ใครก็ตามเซ็นข้อความในนามของเขา ผู้เล่นคนหนึ่งจะต้องรักษาเขาไว้ การลงนามความลับของสกีที่สำคัญ (ดังนั้นคำว่า "รหัสลับ") และเพื่อให้ทุกคนสามารถตรวจสอบข้อความได้ เขาลงนาม ฉันมีความสนใจในการเผยแพร่ pki คีย์ของเขา (เพราะฉะนั้นคำว่า "คีย์สาธารณะ") โดยทั่วไป ข้อความ m ไม่สามารถเรียกได้จากลายเซ็น sigi(m) เพื่อที่จะจัดการได้อย่างแท้จริง ด้วยลายเซ็นดิจิทัลที่ตอบสนองคุณสมบัติ "ความสามารถในการเรียกคืน" ที่สะดวกตามแนวคิด (เช่น ถึง รับประกันว่าผู้ลงนามและข้อความสามารถคำนวณได้อย่างง่ายดายจากลายเซ็น เรากำหนดไว้ SIGpki(ม.) = (i, m, sigpki(ม.)) และ SIGi(m) = (i, m, sigi(m)) ถ้า pki ชัดเจน การลงนามดิจิทัลที่ไม่ซ้ำใคร นอกจากนี้เรายังพิจารณารูปแบบลายเซ็นดิจิทัล (G, S, V ) ที่เป็นไปตามข้อกำหนด ดังต่อไปนี้ทรัพย์สินเพิ่มเติม 3. เอกลักษณ์ เป็นการยากที่จะหาสตริง pk′, m, s และ s′ เช่นนั้น ส ̸= ส′ และ V (pk′, m, s) = V (pk′, m, s′) = 1 (โปรดทราบว่าคุณสมบัติเฉพาะนั้นมีไว้สำหรับสตริง pk′ ที่ไม่ได้สร้างขึ้นอย่างถูกกฎหมายด้วย กุญแจสาธารณะ อย่างไรก็ตาม โดยเฉพาะอย่างยิ่ง คุณสมบัติเอกลักษณ์บ่งบอกว่า ถ้าใครใช้ ตัวสร้างคีย์ที่ระบุ G เพื่อคำนวณคีย์สาธารณะ pk พร้อมกับคีย์ลับที่ตรงกัน sk และด้วยเหตุนี้ เมื่อรู้จัก sk มันคงเป็นไปไม่ได้เลยที่เขาจะค้นพบดิจิทัลสองแบบที่แตกต่างกัน ลายเซ็นของข้อความเดียวกันที่เกี่ยวข้องกับ pk) หมายเหตุ • จากลายเซ็นเฉพาะไปจนถึงฟังก์ชันสุ่มที่ตรวจสอบได้ สัมพันธ์กับดิจิทัล รูปแบบลายเซ็นที่มีคุณสมบัติเฉพาะตัว การแมป m $\to$ H(sigi(m)) เชื่อมโยงถึง แต่ละสตริง m ที่เป็นไปได้ สตริง 256 บิตที่ไม่ซ้ำใคร สุ่มเลือก และความถูกต้องของสิ่งนี้ การทำแผนที่สามารถพิสูจน์ได้ด้วยลายเซ็น sigi(m) นั่นคือ hashing ในอุดมคติและโครงร่างลายเซ็นดิจิทัลที่ตอบสนองคุณสมบัติที่เป็นเอกลักษณ์โดยพื้นฐานแล้ว จัดให้มีการใช้งานเบื้องต้นของฟังก์ชันสุ่มที่ตรวจสอบได้ ตามที่แนะนำและโดย มิกาลี ราบิน และวาดาน [27]. (การนำไปปฏิบัติดั้งเดิมนั้นจำเป็นต้องซับซ้อนกว่านี้ เนื่องจากพวกเขาไม่ได้พึ่งพาอุดมคติ hashing)• ความต้องการที่แตกต่างกันสามประการสำหรับลายเซ็นดิจิทัล ใน Algorand ผู้ใช้ที่ฉันพึ่งพาดิจิทัล ลายเซ็นสำหรับ (1) ตรวจสอบการชำระเงินของตัวเอง ในแอปพลิเคชันนี้ คีย์อาจเป็น "ระยะยาว" (เช่น ใช้เพื่อ ลงนามข้อความจำนวนมากในช่วงเวลานาน) และมาจากรูปแบบลายเซ็นทั่วไป (2) การสร้างข้อมูลรับรองเพื่อพิสูจน์ว่าฉันมีสิทธิ์ดำเนินการในบางขั้นตอนของรอบ r ที่นี่ คีย์อาจเป็นระยะยาวได้ แต่ต้องมาจากรูปแบบที่ตอบสนองคุณสมบัติที่เป็นเอกลักษณ์ (3) ตรวจสอบข้อความที่ฉันส่งในแต่ละขั้นตอนที่เขาดำเนินการ ที่นี่ต้องมีกุญแจ ชั่วคราว (เช่น ถูกทำลายหลังจากการใช้งานครั้งแรก) แต่อาจมาจากรูปแบบลายเซ็นธรรมดา • ลดความซับซ้อนด้วยต้นทุนเพียงเล็กน้อย เพื่อความเรียบง่าย เราจินตนาการว่าผู้ใช้แต่ละคน i จะมีคีย์ระยะยาวเพียงคีย์เดียว ดังนั้นคีย์ดังกล่าวจะต้องมาจากรูปแบบลายเซ็นที่มีเอกลักษณ์เฉพาะตัว ทรัพย์สิน ความเรียบง่ายดังกล่าวมีต้นทุนการคำนวณเพียงเล็กน้อย โดยทั่วไปแล้ว ในความเป็นจริงแล้ว ดิจิทัลที่มีเอกลักษณ์เฉพาะตัว ลายเซ็นมีราคาแพงกว่าเล็กน้อยในการผลิตและตรวจสอบมากกว่าลายเซ็นทั่วไป 2.2 บัญชีแยกประเภทสาธารณะในอุดมคติ Algorand พยายามเลียนแบบระบบการชำระเงินต่อไปนี้ โดยอิงตามบัญชีแยกประเภทสาธารณะในอุดมคติ 1. สถานะเริ่มต้น เงินมีความเกี่ยวข้องกับกุญแจสาธารณะส่วนบุคคล (สร้างขึ้นโดยส่วนตัวและ เป็นเจ้าของโดยผู้ใช้) ให้ pk1, . . . , pkj เป็นกุญแจสาธารณะเริ่มต้นและ a1, . . , aj ตามลำดับ จำนวนเงินเริ่มต้นของหน่วยเงิน จากนั้นสถานะเริ่มต้นคือ S0 = (พีเค 1, เอ 1), . . . , (pkj, aj) , ซึ่งถือเป็นความรู้ทั่วไปในระบบ 2. การชำระเงิน ให้ pk เป็นกุญแจสาธารณะในปัจจุบันที่มีหน่วยเงิน $\geq$0 และ pk′ สาธารณะอีกอันหนึ่ง คีย์ และ a′ เป็นจำนวนที่ไม่เป็นลบซึ่งไม่มากกว่า a จากนั้น การชำระเงิน (ถูกต้อง) $\wp$ จะเป็นดิจิทัล ลายเซ็นสัมพันธ์กับ pk โดยระบุการโอน a′ หน่วยการเงินจาก pk ไปยัง pk′ พร้อมกัน พร้อมข้อมูลเพิ่มเติมบางอย่าง ในสัญลักษณ์ $\wp$= SIGpk(pk, pk′, a′, I, H(I)), โดยที่ฉันแสดงข้อมูลเพิ่มเติมใด ๆ ที่ถือว่ามีประโยชน์แต่ไม่ละเอียดอ่อน (เช่น เวลา ข้อมูลและตัวระบุการชำระเงิน) และฉันข้อมูลเพิ่มเติมใด ๆ ที่ถือว่าละเอียดอ่อน (เช่น เหตุผลในการชำระเงิน อาจเป็นข้อมูลประจำตัวของเจ้าของ pk และ pk′ เป็นต้น) เราเรียก pk (หรือเจ้าของ) ว่าเป็นผู้ชำระเงิน โดยเรียก pk′ (หรือเจ้าของ) แต่ละรายว่าเป็นผู้รับเงิน และ a′ เป็น จำนวนเงินที่ชำระ $\wp$ เข้าร่วมฟรีผ่านการชำระเงิน โปรดทราบว่าผู้ใช้สามารถเข้าร่วมระบบได้ทุกเมื่อที่ต้องการ สร้างคู่คีย์สาธารณะ/คีย์ลับของตนเอง ดังนั้นรหัสสาธารณะ pk′ ที่ปรากฏใน การชำระเงิน$\wp$ด้านบนอาจเป็นรหัสสาธารณะที่สร้างขึ้นใหม่ซึ่งไม่เคย "เป็นเจ้าของ" เงินใดๆ ก่อน 3. บัญชีแยกประเภทเวทย์มนตร์ ในระบบอุดมคติ การชำระเงินทั้งหมดถูกต้องและปรากฏอยู่ในหลักฐานการงัดแงะ รายการ L ชุดการชำระเงิน “โพสต์บนท้องฟ้า” ให้ทุกคนเห็น: L = จ่าย 1, จ่าย 2, . . . ,แต่ละบล็อก PAY r+1 ประกอบด้วยชุดการชำระเงินทั้งหมดที่ทำตั้งแต่การปรากฏตัวของบล็อก จ่ายอาร์ ในระบบอุดมคติ บล็อกใหม่จะปรากฏขึ้นหลังจากระยะเวลาที่กำหนด (หรือจำกัด) การอภิปราย. • การชำระเงินทั่วไปเพิ่มเติมและธุรกรรมที่ยังไม่ได้ใช้ โดยทั่วไปถ้าเป็นกุญแจสาธารณะ pk เป็นเจ้าของจำนวนเงิน a ดังนั้นการชำระเงินที่ถูกต้อง $\wp$ของ pk อาจโอนจำนวนเงิน a′ 1, อ' 2, . . ., ตามลำดับกับคีย์ pk′ 1, พีเค' 2, . . . ตราบใดที่ P เจ' เจ $\leq$a ใน Bitcoin และระบบที่คล้ายกัน เงินที่เป็นของกุญแจสาธารณะ pk จะถูกแยกออกเป็นสองส่วน จำนวนเงินและการชำระเงิน$\wp$ที่ทำโดย pk จะต้องโอนจำนวนเงินที่แยกออกมาดังกล่าว a ทั้งหมด หาก pk ต้องการถ่ายโอนเพียงเศษส่วน a′ < a ของ a ไปยังคีย์อื่น ก็จะต้องถ่ายโอน the ด้วย ยอดคงเหลือ, เอาต์พุตธุรกรรมที่ยังไม่ได้ใช้, ไปยังคีย์อื่น, อาจเป็น pk เอง Algorand ยังใช้งานได้กับคีย์ที่มีจำนวนแยกกัน อย่างไรก็ตามเพื่อที่จะให้ความสำคัญกับการ แง่มุมใหม่ๆ ของ Algorand ตามแนวคิดแล้ว ง่ายกว่าที่จะยึดติดกับรูปแบบการชำระเงินที่ง่ายกว่าของเรา และกุญแจที่มีจำนวนเดียวที่เกี่ยวข้องกัน • สถานะปัจจุบัน โครงการอุดมคติไม่ได้ให้ข้อมูลเกี่ยวกับปัจจุบันโดยตรง สถานะของระบบ (เช่น เกี่ยวกับจำนวนหน่วยเงินที่คีย์สาธารณะแต่ละคีย์มี) ข้อมูลนี้ สามารถสรุปได้จาก Magic Ledger ในระบบอุดมคติ ผู้ใช้ที่ใช้งานอยู่จะจัดเก็บและอัปเดตข้อมูลสถานะล่าสุดอย่างต่อเนื่อง หรือมิฉะนั้นเขาจะต้องสร้างมันขึ้นมาใหม่ ไม่ว่าจะตั้งแต่เริ่มต้นหรือจากครั้งสุดท้ายที่เขา คำนวณมัน (ในเวอร์ชันถัดไปของบทความนี้ เราจะเพิ่ม Algorand เพื่อเปิดใช้งาน ผู้ใช้เพื่อสร้างสถานะปัจจุบันใหม่อย่างมีประสิทธิภาพ) • ความปลอดภัยและ “ความเป็นส่วนตัว” ลายเซ็นดิจิทัลรับประกันว่าจะไม่มีใครสามารถปลอมแปลงการชำระเงินได้ ผู้ใช้รายอื่น ในการชำระเงิน $\wp$ กุญแจสาธารณะและจำนวนเงินจะไม่ถูกซ่อน แต่เป็นความลับ ข้อมูลฉันเป็น อันที่จริง มีเพียง H(I) เท่านั้นที่ปรากฏใน $\wp$ และเนื่องจาก H เป็นฟังก์ชัน hash ในอุดมคติ ดังนั้น H(I) เป็นค่าสุ่ม 256 บิต ดังนั้นจึงไม่มีทางที่จะรู้ว่าอะไรดีกว่าฉัน แค่เดาเท่านั้น แต่เพื่อพิสูจน์ว่าฉันเป็นใคร (เช่น เพื่อพิสูจน์เหตุผลในการชำระเงิน) ผู้ชำระเงินอาจเพียงเปิดเผย I ความถูกต้องของข้อมูลที่เปิดเผยสามารถตรวจสอบได้โดยการคำนวณ H(I) และเปรียบเทียบค่าผลลัพธ์กับรายการสุดท้ายของ $\wp$ อันที่จริง เนื่องจาก H มีความยืดหยุ่นในการชนกัน เป็นการยากที่จะหาค่าที่สอง I′ โดยที่ H(I) = H(I′) 2.3 แนวคิดพื้นฐานและสัญลักษณ์ คีย์ ผู้ใช้ และเจ้าของ คีย์สาธารณะแต่ละคีย์ ("คีย์" เรียกสั้น ๆ ) คีย์สาธารณะแต่ละคีย์จะมีระยะยาวและสัมพันธ์กับรูปแบบลายเซ็นดิจิทัลที่มีคุณสมบัติเฉพาะตัว เว้นแต่จะระบุไว้เป็นอย่างอื่น รหัสสาธารณะที่ฉันเข้าร่วม ระบบเมื่อมีคีย์สาธารณะ j อื่นอยู่แล้วในระบบชำระเงินให้กับ i สำหรับสี เรากำหนดลักษณะเฉพาะของกุญแจ เราเรียกคีย์ i ว่า "เขา" บอกว่าฉันซื่อสัตย์ที่ฉันส่งไป และรับข้อความ ฯลฯ User เป็นคำพ้องความหมายสำหรับคีย์ เมื่อเราต้องการแยกแยะคีย์จาก บุคคลที่เป็นเจ้าของ เราใช้คำว่า "กุญแจดิจิทัล" และ "เจ้าของ" ตามลำดับ ระบบที่ไม่ได้รับอนุญาตและได้รับอนุญาต ระบบไม่ได้รับอนุญาตหากกุญแจดิจิทัลว่าง เพื่อเข้าร่วมได้ตลอดเวลาและเจ้าของสามารถเป็นเจ้าของกุญแจดิจิทัลได้หลายอัน และได้รับอนุญาตเป็นอย่างอื่นการนำเสนอที่ไม่ซ้ำใคร แต่ละอ็อบเจ็กต์ใน Algorand มีการแสดงที่เป็นเอกลักษณ์ โดยเฉพาะอย่างยิ่ง แต่ละเซต {(x, y, z, . . .) : x $\in$X, y $\in$Y, z $\in$Z, . . .} ถูกเรียงลำดับในลักษณะที่กำหนดไว้ล่วงหน้า: เช่น อันดับแรก พจนานุกรมใน x จากนั้นใน y เป็นต้น นาฬิกาความเร็วเดียวกัน ไม่มีนาฬิกาทั่วโลก แต่ผู้ใช้แต่ละคนมีนาฬิกาของตัวเอง นาฬิกาของผู้ใช้ ไม่จำเป็นต้องซิงโครไนซ์แต่อย่างใด อย่างไรก็ตาม เราถือว่าพวกมันทั้งหมดมีความเร็วเท่ากัน ตัวอย่างเช่น เมื่อเป็นเวลา 12.00 น. ตามนาฬิกาของผู้ใช้ i อาจเป็น 14.30 น. ตามเวลา นาฬิกาของผู้ใช้อื่น j แต่เมื่อเป็น 12:01 ตามนาฬิกาของฉันจะเป็น 2:31 ตาม ไปที่นาฬิกาของเจ นั่นคือ “หนึ่งนาทีจะเท่ากัน (โดยพื้นฐานแล้วเหมือนกัน) สำหรับผู้ใช้ทุกคน” รอบ Algorand ถูกจัดเรียงเป็นหน่วยทางลอจิคัล r = 0, 1, . ., เรียกว่ารอบ. เราใช้ตัวยกเพื่อระบุรอบอย่างสม่ำเสมอ เพื่อระบุว่าปริมาณที่ไม่ใช่ตัวเลข Q (เช่น สตริง คีย์สาธารณะ ชุด ลายเซ็นดิจิทัล ฯลฯ) หมายถึงรอบ r เราเพียงแค่เขียน Qr เฉพาะเมื่อ Q เป็นตัวเลขแท้ (ตรงข้ามกับสตริงไบนารี่ที่สามารถตีความได้ว่าเป็นตัวเลข) ให้ทำ เราเขียน Q(r) ดังนั้นสัญลักษณ์ r จึงไม่สามารถตีความได้ว่าเป็นเลขชี้กำลังของ Q ที่ (จุดเริ่มต้นของ a) รอบ r > 0 ชุดของกุญแจสาธารณะทั้งหมดคือ PKr และสถานะของระบบคือ ซีเนียร์ = n ฉัน เป็น(r) ฉัน , . . . : ฉัน $\in$PKro , ที่ไหน (r) ฉัน คือจำนวนเงินที่มีให้กับกุญแจสาธารณะ i โปรดทราบว่า PKr สามารถอนุมานได้จาก Sr และ Sr นั้นอาจระบุส่วนประกอบอื่น ๆ สำหรับกุญแจสาธารณะแต่ละตัว i สำหรับรอบ 0 PK0 คือชุดของคีย์สาธารณะเริ่มต้น และ S0 คือสถานะเริ่มต้น ทั้ง PK0 และ S0 ถือเป็นความรู้ทั่วไปในระบบ เพื่อความง่าย เมื่อเริ่มรอบ r ดังนั้น คือ PK1, . . . , PKr และ S1, . . . , ซีเนียร์ ในรอบ r สถานะของระบบจะเปลี่ยนจาก Sr เป็น Sr+1: ในเชิงสัญลักษณ์ รอบ r: Sr −→Sr+1 การชำระเงิน ใน Algorand ผู้ใช้ชำระเงินอย่างต่อเนื่อง (และเผยแพร่ในลักษณะดังกล่าว) อธิบายไว้ในหัวข้อย่อย 2.7) การชำระเงิน $\wp$ ของผู้ใช้ i $\in$PKr มีรูปแบบและความหมายเหมือนกัน เช่นเดียวกับในระบบอุดมคติ กล่าวคือ $\wp$= SIGi(i, i′, a, I, H(I)) . การชำระเงิน $\wp$ ใช้ได้เป็นรายบุคคลในรอบ r (เป็นการชำระแบบรอบ r หรือเรียกสั้น ๆ ) หาก (1) จำนวนเงิน a น้อยกว่าหรือเท่ากับ a(r) i และ (2) ไม่ปรากฏในชุดการจ่ายเงินอย่างเป็นทางการใดๆ PAY r′ สำหรับ r′ < r (ตามที่อธิบายไว้ด้านล่าง เงื่อนไขที่สองหมายความว่า $\wp$ ยังไม่มีผลบังคับใช้ ชุดการจ่ายแบบปัดเศษของ i จะมีผลรวมหากผลรวมของจำนวนเงินนั้นไม่เกิน a(r) ฉัน ชุดจ่ายเงิน ชุดการจ่ายเงินแบบ Round-r P คือชุดของการชำระเงินแบบ Round-r โดยที่การชำระเงินสำหรับผู้ใช้แต่ละราย i ของ i ใน P (อาจไม่มีเลย) ใช้ได้โดยรวม ชุดของการจ่ายเงินทุกรอบคือ PAY(r) รอบ-r payset P จะเป็นค่าสูงสุด หากไม่มี superset ของ P เป็น payset แบบปัดเศษ จริงๆ แล้ว เราแนะนำว่าการชำระเงิน $\wp$ยังระบุรอบ $\rho$, $\wp$= SIGi($\rho$, i, i′, a, I, H(I)) , และไม่สามารถใช้ในรอบใดๆ ภายนอก [$\rho$, $\rho$ + k] สำหรับจำนวนเต็มคงที่ที่ไม่ใช่ลบ k.4 4วิธีนี้ทำให้การตรวจสอบง่ายขึ้นว่า $\wp$ กลายเป็น "มีประสิทธิภาพ" หรือไม่ (เช่น ทำให้การพิจารณาว่าชุดจ่ายเงินบางชุดง่ายขึ้นหรือไม่ PAY r มี $\wp$ เมื่อ k = 0 ถ้า $\wp$= SIGi(r, i, i′, a, I, H(I)) และ $\wp$/$\in$PAY r แล้วฉันต้องส่ง $\wp$ ใหม่การจ่ายเงินอย่างเป็นทางการ สำหรับทุกรอบ r Algorand จะเลือกแบบสาธารณะ (ในลักษณะที่อธิบายไว้ในภายหลัง) ชุดจ่ายเงินเดียว (อาจว่างเปล่า), PAY r, ชุดจ่ายเงินอย่างเป็นทางการของรอบ (โดยพื้นฐานแล้ว PAY r แสดงถึง การชำระรอบที่ "เกิดขึ้นจริง" ) เช่นเดียวกับในระบบอุดมคติ (และ Bitcoin) (1) วิธีเดียวที่ผู้ใช้ใหม่ j จะเข้าสู่ระบบได้ คือการเป็นผู้รับการชำระเงินที่อยู่ในชุดการชำระเงินอย่างเป็นทางการ PAY r ของรอบที่กำหนด r; และ (2) PAY r กำหนดสถานะของรอบต่อไป Sr+1 จากรอบปัจจุบัน Sr ในเชิงสัญลักษณ์ จ่าย r : Sr −→Sr+1 โดยเฉพาะ 1. ชุดกุญแจสาธารณะของรอบ r + 1, PKr+1 ประกอบด้วยการรวมกันของ PKr และชุดของทั้งหมด รหัสผู้รับเงินที่ปรากฏเป็นครั้งแรกในการชำระเงิน PAY r; และ 2. จำนวนเงิน a(r+1) ฉัน ที่ผู้ใช้ที่ฉันเป็นเจ้าของในรอบ r + 1 คือผลรวมของ ai(r) —i.e. จำนวนเงินที่ฉันเป็นเจ้าของในรอบที่แล้ว (0 ถ้า i ̸$\in$PKr)— และผลรวมของจำนวนเงิน จ่ายให้กับฉันตามการชำระเงินของ PAY r โดยสรุป เช่นเดียวกับในระบบอุดมคติ แต่ละสถานะ Sr+1 สามารถหักจากประวัติการชำระเงินครั้งก่อนได้: จ่าย 0, . . . , จ่าย r. 2.4 บล็อกและบล็อกที่พิสูจน์แล้ว ใน Algorand0 บล็อก Br สอดคล้องกับรอบ r ระบุ: r ตัวมันเอง; ชุดการชำระเงินของ รอบ r, จ่าย r; ปริมาณ Qr ที่จะอธิบาย และ hash ของบล็อกก่อนหน้า H(Br−1) ดังนั้น เริ่มต้นจากบล็อกคงที่ B0 เรามี blockchain แบบเดิม: B1 = (1, จ่าย 1, Q0, H(B0)), B2 = (2, จ่าย 2, Q1, H(B1)), B3 = (3, จ่าย 3, Q2, H(B2)), . . . ใน Algorand ความถูกต้องของบล็อกนั้นได้รับการรับรองโดยข้อมูลที่แยกต่างหาก “ใบรับรองบล็อก” CERT r ซึ่งเปลี่ยน Br ให้เป็นบล็อกที่ได้รับการพิสูจน์แล้ว Br. ดังนั้นบัญชีแยกประเภทเวทย์มนตร์ ถูกนำมาใช้ตามลำดับของบล็อกที่พิสูจน์แล้ว บี1 บี2 . . . การอภิปราย ดังที่เราจะได้เห็น CERT r ประกอบด้วยชุดลายเซ็นดิจิทัลสำหรับ H(Br) ของ a สมาชิกส่วนใหญ่ของ SV r พร้อมด้วยหลักฐานว่าสมาชิกแต่ละคนเป็นสมาชิกจริงๆ ถึง SV อาร์ แน่นอนว่าเราสามารถรวมใบรับรอง CERT r ไว้ในบล็อกได้ แต่ก็พบว่า สะอาดยิ่งขึ้นเพื่อแยกมันออกจากกัน) ใน Bitcoin แต่ละบล็อกจะต้องเป็นไปตามคุณสมบัติพิเศษ กล่าวคือ ต้อง "ประกอบด้วยวิธีแก้ปัญหาของ crypto puzzle” ซึ่งทำให้การสร้างบล็อกมีความเข้มข้นในการคำนวณและทางแยกเป็นสิ่งที่หลีกเลี่ยงไม่ได้ และไม่หายาก ในทางตรงกันข้าม blockchain ของ Algorand มีข้อดีหลักสองประการ: มันถูกสร้างขึ้นด้วย การคำนวณขั้นต่ำ และจะไม่แยกความเป็นไปได้สูงอย่างท่วมท้น แต่ละบล็อกบินั้น สิ้นสุดอย่างปลอดภัยทันทีที่เข้าสู่ blockchain2.5 ความน่าจะเป็นของความล้มเหลวที่ยอมรับได้ เพื่อวิเคราะห์ความปลอดภัยของ Algorand เราระบุความน่าจะเป็น F ที่เรายินดี ยอมรับว่ามีบางอย่างผิดพลาด (เช่น ชุดผู้ตรวจสอบ SV r ไม่มีเสียงส่วนใหญ่ที่ซื่อสัตย์) เช่นเดียวกับในกรณีของความยาวเอาต์พุตของฟังก์ชันการเข้ารหัส hash H F ก็เป็นพารามิเตอร์เช่นกัน แต่ในกรณีนั้น เราพบว่าการตั้งค่า F ให้เป็นค่าที่เป็นรูปธรรมนั้นมีประโยชน์ เพื่อให้ได้สัญชาตญาณมากขึ้น เข้าใจถึงความจริงที่ว่าเป็นไปได้จริงใน Algorand ที่จะเพลิดเพลินกับการรักษาความปลอดภัยที่เพียงพอไปพร้อมๆ กัน และประสิทธิภาพที่เพียงพอ เพื่อเน้นย้ำว่า F เป็นพารามิเตอร์ที่สามารถตั้งค่าได้ตามต้องการในตอนแรก และรูปลักษณ์ที่สองที่เรากำหนดไว้ตามลำดับ ฉ = 10−12 และ ฉ = 10−18 . การอภิปราย โปรดทราบว่าจริงๆ แล้ว 10−12 นั้นน้อยกว่าหนึ่งในล้านล้าน และเราเชื่อว่า a การเลือก F นั้นเพียงพอในใบสมัครของเรา ให้เราเน้นว่า 10−12 ไม่ใช่ความน่าจะเป็น ซึ่งฝ่ายตรงข้ามสามารถปลอมแปลงการชำระเงินของผู้ใช้ที่ซื่อสัตย์ได้ การชำระเงินทั้งหมดเป็นแบบดิจิทัล ลงนาม ดังนั้น หากใช้ลายเซ็นดิจิทัลที่เหมาะสม ความน่าจะเป็นในการปลอมการชำระเงินก็คือ ต่ำกว่า 10−12 มาก และแท้จริงแล้วคือ 0 เหตุการณ์เลวร้ายที่เรายินดีจะยอมรับ ด้วยความน่าจะเป็น F คือทางแยกของ Algorand blockchain โปรดสังเกตว่า ด้วยการตั้งค่าของเราเป็น F และ รอบยาวหนึ่งนาที คาดว่าทางแยกจะเกิดขึ้นใน Algorand's blockchain ไม่บ่อยนัก (ประมาณ) หนึ่งครั้งใน 1.9 ล้านปี ในทางตรงกันข้าม ใน Bitcoin การ fork เกิดขึ้นค่อนข้างบ่อย คนที่มีความต้องการมากกว่าอาจตั้งค่า F ให้เป็นค่าที่ต่ำกว่า ด้วยเหตุนี้ ในรูปลักษณ์ที่สองของเรา เราพิจารณาตั้งค่า F เป็น 10−18 โปรดทราบว่า สมมติว่ามีการสร้างบล็อกทุกวินาที 1,018 คือจำนวนวินาทีโดยประมาณที่เอกภพทำได้ตั้งแต่บิกแบงจนถึงปัจจุบัน เวลา. ดังนั้น เมื่อ F = 10−18 ถ้าบล็อกถูกสร้างขึ้นในหนึ่งวินาที เราควรจะคาดหวังได้ว่าจะมีอายุเท่ากับ จักรวาลจะเห็นทางแยก 2.6 โมเดลปฏิปักษ์ Algorand ได้รับการออกแบบให้มีความปลอดภัยในรูปแบบที่ไม่เป็นมิตร ให้เราอธิบาย ผู้ใช้ที่ซื่อสัตย์และเป็นอันตราย ผู้ใช้จะซื่อสัตย์หากเขาปฏิบัติตามคำแนะนำโปรโตคอลทั้งหมดของเขาและ สามารถส่งและรับข้อความได้อย่างสมบูรณ์แบบ ผู้ใช้เป็นอันตราย (เช่น Byzantine ในไฟล์ คำพูดของการคำนวณแบบกระจาย) หากเขาสามารถเบี่ยงเบนไปจากคำสั่งที่เขากำหนดโดยพลการ ศัตรู ฝ่ายตรงข้ามเป็นอัลกอริธึมที่มีประสิทธิภาพ (ในทางเทคนิคพหุนาม-เวลา) ซึ่งสร้างขึ้นตามสี ซึ่งสามารถสร้างอันตรายให้กับผู้ใช้คนใดก็ตามที่เขาต้องการได้ทันที ในเวลาใดก็ได้ที่เขาต้องการ (หัวเรื่อง เฉพาะขอบเขตบนของจำนวนผู้ใช้ที่เขาสามารถคอร์รัปชั่นได้) Adversary ควบคุมและประสานงานผู้ใช้ที่เป็นอันตรายทั้งหมดได้อย่างสมบูรณ์แบบ เขาดำเนินการทั้งหมด ในนามของตนรวมทั้งรับและส่งข้อความของตนทั้งหมดและสามารถปล่อยให้เบี่ยงเบนไปจากได้ คำแนะนำที่กำหนดไว้โดยพลการ หรือเขาสามารถแยกการส่งผู้ใช้ที่เสียหายออกไปได้ และรับข้อความ ให้เราชี้แจงว่าไม่มีใครเรียนรู้โดยอัตโนมัติว่าผู้ใช้ที่ฉันเป็นอันตราย แม้ว่าความมุ่งร้ายของฉันอาจเกิดขึ้นได้จากการกระทำของปฏิปักษ์ที่ทำให้เขาทำ ศัตรูที่ทรงพลังนี้อย่างไรก็ตาม • ไม่มีพลังในการคำนวณที่ไม่จำกัด และไม่สามารถปลอมแปลงดิจิทัลได้สำเร็จ ลายเซ็นของผู้ใช้ที่ซื่อสัตย์ ยกเว้นความน่าจะเป็นเล็กน้อย และ• ไม่สามารถแทรกแซงการแลกเปลี่ยนข้อความระหว่างผู้ใช้ที่ซื่อสัตย์ในทางใดทางหนึ่ง นอกจากนี้ ความสามารถของเขาในการโจมตีผู้ใช้ที่ซื่อสัตย์นั้นถูกผูกไว้ด้วยสมมติฐานข้อใดข้อหนึ่งต่อไปนี้ เงินส่วนใหญ่ที่ซื่อสัตย์ เราพิจารณาความต่อเนื่องของ Honest Majority of Money (HMM) สมมติฐาน: กล่าวคือ สำหรับจำนวนเต็มที่ไม่ใช่ลบแต่ละตัว k และจำนวนจริง h > 1/2 HHMk > h: ผู้ใช้ที่ซื่อสัตย์ในทุกรอบ r เป็นเจ้าของเศษส่วนที่มากกว่า h ของเงินทั้งหมด ระบบที่รอบ r −k การอภิปราย. สมมติว่าผู้ใช้ที่เป็นอันตรายทั้งหมดประสานการกระทำของตนได้อย่างสมบูรณ์แบบ (ราวกับถูกควบคุม โดยเอนทิตีเดียวคือปฏิปักษ์) เป็นสมมติฐานที่ค่อนข้างมองโลกในแง่ร้าย การประสานงานที่สมบูรณ์แบบระหว่างกันด้วย บุคคลจำนวนมากเป็นเรื่องยากที่จะบรรลุเป้าหมาย บางทีการประสานงานอาจเกิดขึ้นเฉพาะภายในกลุ่มที่แยกจากกันเท่านั้น ของผู้เล่นตัวร้าย แต่เนื่องจากไม่มีใครแน่ใจเกี่ยวกับระดับการประสานงานของผู้ใช้ที่เป็นอันตราย อาจจะสนุกได้ เราควรปลอดภัยดีกว่าเสียใจ สมมติว่าฝ่ายตรงข้ามสามารถโจมตีผู้ใช้อย่างลับๆ ไดนามิก และเสียหายได้ทันทีเช่นกัน ในแง่ร้าย ท้ายที่สุดแล้ว ตามความเป็นจริงแล้ว การควบคุมการดำเนินงานของผู้ใช้อย่างสมบูรณ์ควรใช้เวลาสักระยะหนึ่ง สมมติฐาน HMMk > h บ่งบอกเป็นนัย เช่น หากมีการใช้รอบ (โดยเฉลี่ย) ภายในหนึ่งนาที เงินส่วนใหญ่ในรอบที่กำหนดจะยังคงอยู่ในมือของผู้ที่ซื่อสัตย์ อย่างน้อยสองชั่วโมง ถ้า k = 120 และอย่างน้อยหนึ่งสัปดาห์ ถ้า k = 10, 000 โปรดทราบว่าสมมติฐาน HMM และพลังการประมวลผลส่วนใหญ่ที่ซื่อสัตย์ก่อนหน้านี้ สมมติฐานมีความเกี่ยวข้องในแง่ที่ว่า เนื่องจากพลังการประมวลผลสามารถซื้อได้ด้วยเงิน หากผู้ใช้ที่เป็นอันตรายเป็นเจ้าของเงินส่วนใหญ่ พวกเขาก็จะสามารถรับพลังการประมวลผลส่วนใหญ่ได้ 2.7 รูปแบบการสื่อสาร เรามองเห็นการเผยแพร่ข้อความ —เช่น “การนินทาแบบเพื่อนต่อเพื่อน”5— เป็นเพียงวิธีเดียวในการ การสื่อสาร ข้อสันนิษฐานชั่วคราว: การส่งข้อความในเครือข่ายทั้งหมดอย่างทันท่วงที สำหรับ ส่วนใหญ่ของบทความนี้เราถือว่าข้อความที่เผยแพร่ทุกข้อความเข้าถึงผู้ใช้ที่ซื่อสัตย์เกือบทั้งหมด ในเวลาที่เหมาะสม เราจะลบสมมติฐานนี้ในมาตรา 10 ที่เราจัดการกับเครือข่าย พาร์ทิชันทั้งที่เกิดขึ้นตามธรรมชาติหรือถูกชักนำให้เกิดปฏิปักษ์ (ดังที่เราจะได้เห็นเราเพียงสันนิษฐานเท่านั้น การส่งข้อความภายในแต่ละองค์ประกอบที่เชื่อมต่อของเครือข่ายอย่างทันท่วงที) วิธีหนึ่งที่เป็นรูปธรรมในการจับภาพการส่งข้อความที่เผยแพร่อย่างทันท่วงที (ในเครือข่ายทั้งหมด) คือ ต่อไปนี้: สำหรับความสามารถในการเข้าถึงทั้งหมด $\rho$ > 95% และขนาดข้อความ $\mu$ $\in$Z+ จะมี $\gamma$ $\rho$,$\mu$ อยู่เช่นนั้น ถ้าผู้ใช้จริงเผยแพร่ข้อความ $\mu$-ไบต์ m ณ เวลา t จากนั้น m ถึง ตามเวลา t + $\gamma$ $\rho$,$\mu$ อย่างน้อยก็เศษส่วน $\rho$ ของผู้ใช้ที่ซื่อสัตย์ 5โดยพื้นฐานแล้ว เช่นเดียวกับใน Bitcoin เมื่อผู้ใช้เผยแพร่ข้อความ m ผู้ใช้ที่ใช้งานอยู่ทุกคนที่ฉันได้รับ m เป็นครั้งแรก สุ่มและสุ่มเลือกผู้ใช้งานจำนวนน้อยที่เหมาะสมซึ่งเป็น "เพื่อนบ้าน" ของเขาซึ่งเขาส่งต่อให้ m อาจจะจนกว่าเขาจะได้รับการยอมรับจากพวกเขา การแพร่กระจายของ m สิ้นสุดลงเมื่อไม่มีผู้ใช้ได้รับ ม. เป็นครั้งแรกอย่างไรก็ตาม คุณสมบัติข้างต้นไม่สามารถรองรับโปรโตคอล Algorand ของเราได้ หากไม่มีการมองเห็นกลไกในการรับ blockchain ล่าสุดอย่างชัดเจนและแยกจากกัน — โดยผู้ใช้/คลังข้อมูล/อื่นๆ อื่น ในความเป็นจริง การสร้างบล็อกใหม่ Br ไม่เพียงแต่ชุดผู้ตรวจสอบที่เหมาะสมจะได้รับ Round-r ในเวลาที่เหมาะสมเท่านั้น ข้อความ แต่ยังรวมถึงข้อความของรอบที่แล้วด้วย เพื่อจะได้ทราบ Br−1 และข้อความอื่นๆ ทั้งหมดก่อนหน้านี้ บล็อกซึ่งจำเป็นในการพิจารณาว่าการชำระเงินใน Br นั้นถูกต้องหรือไม่ ต่อไปนี้ สมมติฐานกลับประสบผลสำเร็จ สมมติฐานการเผยแพร่ข้อความ (MP): สำหรับ $\rho$ ทั้งหมด > 95% และ $\mu$ $\in$Z+ จะมี $\gamma$ $\rho$,$\mu$ อยู่ เช่นนั้นตลอดเวลา t และข้อความ $\mu$-byte ทั้งหมด m เผยแพร่โดยผู้ใช้ที่ซื่อสัตย์ก่อน t −$\gamma$ $\rho$,$\mu$, m ได้รับตามเวลา t อย่างน้อยก็เศษส่วน $\rho$ ของผู้ใช้ที่ซื่อสัตย์ โปรโตคอล Algorand ′ จริงๆ แล้วแนะนำผู้ใช้แต่ละรายในจำนวนเล็กน้อย (เช่น ผู้ตรวจสอบของ กำหนดขั้นตอนของรอบใน Algorand ′ เพื่อเผยแพร่ข้อความแยกต่างหากในขนาดที่กำหนด (เล็ก) และเราต้องจำกัดเวลาที่จำเป็นเพื่อปฏิบัติตามคำแนะนำเหล่านี้ เราทำเช่นนั้นโดยการเพิ่มคุณค่าให้กับ MP สมมติฐานดังต่อไปนี้ สำหรับทั้งหมด n, $\rho$ > 95% และ $\mu$ $\in$Z+ จะมี $\lambda$n,$\rho$,$\mu$ ในลักษณะที่ว่า สำหรับทุกเวลา t และ $\mu$-ไบต์ทั้งหมด ข้อความ m1, . . . , mn แต่ละรายการเผยแพร่โดยผู้ใช้ที่ซื่อสัตย์ก่อน t −$\gamma$n,$\rho$,$\mu$, m1, . . , ล้านที่ได้รับ ตามเวลา t อย่างน้อยก็เศษ $\rho$ ของผู้ใช้ที่ซื่อสัตย์ หมายเหตุ • สมมติฐานข้างต้นจงใจเรียบง่าย แต่ยังแข็งแกร่งเกินความจำเป็นในรายงานของเรา6 • เพื่อความง่าย เราถือว่า $\rho$ = 1 และเลิกกล่าวถึง $\rho$ • เราสันนิษฐานในแง่ร้ายว่า หากเขาไม่ละเมิดสมมติฐานของ MP นั่นก็คือปฏิปักษ์ ควบคุมการส่งข้อความทั้งหมดโดยสิ้นเชิง โดยเฉพาะโดยไม่ถูกสังเกตจากคนซื่อสัตย์ ผู้ใช้ ฝ่ายตรงข้าม เขาสามารถตัดสินใจได้โดยพลการว่าผู้เล่นที่ซื่อสัตย์คนใดจะได้รับข้อความใดเมื่อใด และเร่งส่งข้อความใด ๆ ที่เขาต้องการโดยพลการ7

BA 프로토콜은 전통적인 환경에서 BA⋆

이미 강조했듯이 비잔틴 합의는 Algorand의 핵심 요소입니다. 실제로는 그것을 통해 Algorand이 포크의 영향을 받지 않는 BA 프로토콜을 사용합니다. 그러나 우리의 보안을 위해 강력한 적, Algorand은 새로운 플레이어 교체 가능성을 충족하는 BA 프로토콜에 의존해야 합니다. 제약. 또한 Algorand이 효율적이려면 이러한 BA 프로토콜이 매우 효율적이어야 합니다. BA 프로토콜은 이상적인 통신 모델, 동기식 완료를 위해 처음 정의되었습니다. 네트워크(SC 네트워크). 이러한 모델을 사용하면 BA 프로토콜을 더 간단하게 설계하고 분석할 수 있습니다. 6정직한 백분율 h와 허용 가능한 실패 확률 F가 주어지면 Algorand은 상한 N을 계산합니다. 한 단계의 최대 검증자 수까지. 따라서 MP 가정은 n $\leq$N에 대해서만 유지되면 됩니다. 또한, 언급한 바와 같이 MP 가정은 얼마나 많은 다른 메시지가 함께 전파될 수 있는지에 관계없이 유지됩니다. 엠제이. 그러나 앞으로 보게 되겠지만 Algorand 메시지는 본질적으로 겹치지 않는 시간에 전파됩니다. 단일 블록이 전파되거나 최대 N명의 검증자가 작은 블록(예: 200B)을 전파하는 간격입니다. 메시지. 따라서 우리는 MP 가정을 더 약하지만 더 복잡한 방식으로 다시 기술할 수 있습니다. 7예를 들어, 그는 정직한 플레이어가 보낸 메시지를 즉시 배울 수 있습니다. 따라서 악의적인 사용자 i'는 정직한 사용자 i와 동시에 메시지를 전파하도록 요청받은 경우 항상 자신의 메시지 m'을 선택할 수 있습니다. m이 실제로 i에 의해 전파된 메시지. 이 능력은 분산 컴퓨팅 용어로 돌진과 관련이 있습니다. 문학.따라서 이 섹션에서는 SC 네트워크를 위한 새로운 BA 프로토콜인 BA⋆를 소개하고 이를 무시합니다. 선수 교체 가능성 문제. 프로토콜 BA⋆는 별도의 가치에 대한 기여입니다. 실제로 이는 지금까지 알려진 SC 네트워크에 대한 가장 효율적인 암호화 BA 프로토콜입니다. Algorand 프로토콜 내에서 이를 사용하기 위해 BA⋆를 약간 수정하여 다른 사항을 설명합니다. 통신 모델 및 컨텍스트를 확인하세요. 단, 섹션 X에서 BA⋆가 어떻게 사용되는지 강조하세요. 실제 프로토콜 내에서 Algorand '. BA⋆가 운영되는 모델과 비잔틴 계약의 개념을 상기하는 것부터 시작합니다. 3.1 동기식 완전한 네트워크 및 일치하는 적 SC 네트워크에는 각 적분 시간 r = 1, 2, ...에서 똑딱거리는 공통 시계가 있습니다. . . 짝수 시간에 r을 클릭할 때마다 각 플레이어 i는 즉각적으로 동시에 단일 메시지를 보냅니다. 메시지 미스터 i,j(아마도 빈 메시지)를 자신을 포함한 각 플레이어 j에게 보냅니다. 각 씨 i,j가 수신됨 이때 플레이어 j가 보낸 사람 i의 신원과 함께 r + 1을 클릭합니다. 다시 말하지만, 통신 프로토콜에서 플레이어는 자신이 규정한 모든 사항을 따르면 정직합니다. 지시, 그리고 그렇지 않으면 악의적입니다. 모든 악의적인 플레이어는 완전히 통제되고 완벽하게 제어됩니다. 특히 다음 주소로 전달된 모든 메시지를 즉시 수신하는 대적에 의해 조정됩니다. 악의적인 플레이어가 보내는 메시지를 선택합니다. 대적은 이상한 순간에 클릭을 하면 원하는 정직한 사용자를 즉시 악의적인 사용자로 만들 수 있습니다. 그는 악의적인 플레이어의 수에 따라 가능한 상한선만 적용되기를 원합니다. 즉, 공격자는 "정직한 사용자 i가 이미 보낸 메시지를 방해할 수 없습니다". 평소대로 배달되었습니다. 대적은 또한 각 짝수 라운드에서 즉시 볼 수 있는 추가 능력을 가지고 있습니다. 현재 정직한 플레이어가 보내는 메시지와 이 정보를 즉시 사용하여 선택합니다. 악의적인 플레이어가 동시에 보내는 메시지는 틱입니다. 비고 • 적의 힘. 위의 설정은 매우 적대적입니다. 실제로 비잔틴 조약에서 문학에서는 많은 설정이 덜 적대적입니다. 그러나 좀 더 적대적인 설정이 있습니다. 또한 정직한 플레이어가 보낸 메시지를 본 후 적이 있는 것으로 간주되었습니다. 주어진 시간에 r을 클릭하면 네트워크에서 이러한 모든 메시지를 즉시 지울 수 있습니다. i가 손상되었습니다. 지금 악의적인 i가 보내는 메시지를 선택하고 r을 클릭하여 가져오세요. 평소대로 배달되었습니다. 대적의 예상되는 힘은 우리 환경에서 그가 가지고 있는 것과 일치합니다. • 물리적 추상화. 구상된 통신 모델은 보다 물리적인 모델을 추상화합니다. 여기서 각 플레이어 쌍(i,j)은 별도의 개인 통신 회선 li,j에 의해 연결됩니다. 즉, 누구도 전송된 메시지에 대한 정보를 주입하거나 방해하거나 얻을 수 없습니다. 리,제이. 적이 li,j에 접근할 수 있는 유일한 방법은 i 또는 j를 손상시키는 것입니다. • 개인정보 보호 및 인증. SC 네트워크에서는 메시지 개인 정보 보호 및 인증이 보장됩니다. 가정으로. 대조적으로, 메시지가 전파되는 우리의 통신 네트워크에서는 P2P에서는 디지털 서명으로 인증이 보장되며 개인 정보 보호는 존재하지 않습니다. 따라서 BA⋆프로토콜을 우리 설정에 채택하려면 교환된 각 메시지가 디지털 서명되어야 합니다. (보낸 상태를 추가로 식별합니다). 다행스럽게도 우리가 사용하는 BA 프로토콜은 Algorand에서 사용을 고려하세요. 메시지 개인 정보 보호가 필요하지 않습니다.3.2 비잔틴 계약의 개념 비잔틴 조약의 개념은 Pease Shostak과 Lamport [31]에 의해 도입되었습니다. 즉, 모든 초기값이 비트로 구성되는 경우입니다. 그래도 빨리 연장되서 임의의 초기값으로. (Fischer [16] 및 Chor and Dwork [10]의 설문조사를 참조하세요.) 프로토콜은 임의의 값을 의미합니다. 정의 3.1. 동기식 네트워크에서 P를 플레이어 세트가 공통인 n-플레이어 프로토콜이라고 가정합니다. 플레이어 간의 지식, t는 n $\geq$2t + 1인 양의 정수입니다. 우리는 P가 임의 값(각각 이진)(n, t)-건전성 $\sigma$ $\in$(0, 1)을 갖는 비잔틴 합의 프로토콜 만약, 특수 기호 $\bot$(각각 V = {0, 1}에 대해)를 포함하지 않는 모든 값 세트 V에 대해 최대 t명의 플레이어가 악의적이고 모든 플레이어가 초기 값 vi $\in$V , 모든 정직한 플레이어 j는 확률 1로 정지하고 outi $\in$V $\cup${$\bot$} 값을 출력합니다. 적어도 $\sigma$ 확률로 다음 두 조건을 만족시키려면: 1. 동의: 모든 정직한 플레이어 i에 대해 outi = out이 되는 $\in$V $\cup${$\bot$}가 존재합니다. 2. 일관성: 어떤 값 v $\in$V에 대해 모든 정직한 플레이어에 대해 vi = v이면 out = v입니다. out을 P의 출력이라고 하고, 각 outi를 플레이어 i의 출력이라고 합니다. 3.3 BA 표기법 # BA 프로토콜에서 플레이어는 주어진 메시지를 자신에게 보낸 플레이어 수를 계산해야 합니다. 주어진 단계. 따라서 전송될 수 있는 각 가능한 값 v에 대해

초

나(v) (또는 s가 지워진 경우 #i(v))는 단계 s에서 i가 v를 받은 플레이어 j의 수입니다. 플레이어 i가 각 플레이어 j로부터 정확히 하나의 메시지를 받는다는 것을 기억해 보세요. 플레이어는 n이고 모든 i와 s에 대해 P입니다. v #s i(v) = n. 3.4 바이너리 BA 프로토콜 BBA⋆ 이 섹션에서는 더 많은 것의 정직성에 의존하는 새로운 바이너리 BA 프로토콜인 BBA⋆를 제시합니다. 플레이어의 2/3보다 많고 매우 빠릅니다. 악의적인 플레이어가 무엇을 하든 상관없이 메인 루프를 실행할 때마다 플레이어는 확률 1/3로 동의하게 됩니다. 각 플레이어는 고유 서명을 충족하는 디지털 서명 체계의 공개 키를 가지고 있습니다. 재산. 이 프로토콜은 동기식 완전 네트워크에서 실행되도록 고안되었으므로 플레이어 i가 각 메시지에 서명해야 합니다. 디지털 서명은 3단계에서 충분히 공통된 임의 비트를 생성하는 데 사용됩니다. (Algorand에서, 디지털 서명은 다른 모든 메시지를 인증하는 데에도 사용됩니다.) 프로토콜에는 최소한의 설정이 필요합니다. 즉, 플레이어의 독립적인 공통 무작위 문자열 r입니다. 열쇠. (Algorand에서 r은 실제로 수량 Qr로 대체됩니다.) 프로토콜 BBA⋆는 플레이어가 부울 값을 반복적으로 교환하는 3단계 루프입니다. 다른 플레이어는 다른 시간에 이 루프를 종료할 수 있습니다. 플레이어 i가 전파를 통해 이 루프를 종료합니다. 어떤 단계에서는 특별한 값 0 또는 특별한 값 1을 지정하여 모든 플레이어에게 다음을 지시합니다. 이후의 모든 단계에서 그들은 각각 i로부터 0과 1을 받는 척합니다. (또는 다음과 같이 가정합니다.플레이어 j가 다른 플레이어 i로부터 받은 마지막 메시지는 비트 b였습니다. 그러면 어떤 단계에서든 그는 i로부터 어떤 메시지도 받지 못하고, j는 마치 내가 그에게 비트 b를 보낸 것처럼 행동합니다.) 프로토콜은 3단계 루프가 실행된 횟수를 나타내는 카운터 $\gamma$를 사용합니다. BBA⋆의 시작 부분에서는 $\gamma$ = 0입니다. ($\gamma$를 전역 카운터라고 생각할 수도 있지만 실제로는 증가합니다. 루프가 실행될 때마다 각 개별 플레이어가 실행합니다.) n $\geq$3t + 1이 있으며, 여기서 t는 가능한 최대 악의적인 플레이어 수입니다. 바이너리 문자열 x는 이진 표현(앞에 0이 올 수 있음)이 x인 정수로 식별됩니다. lsb(x)는 x의 최하위 비트를 나타냅니다. 프로토콜 BBA⋆ (통신) Step 1. [Coin-Fixed-To-0 단계] 각 플레이어 i는 bi를 보냅니다. 1.1 #1의 경우 i (0) $\geq$2t + 1, 그러면 i는 bi = 0으로 설정하고 0을 보내고 outi = 0을 출력합니다. 그리고 정지. 1.2 #1의 경우 i (1) $\geq$2t + 1이면 i는 bi = 1로 설정됩니다. 1.3 그렇지 않으면 i는 bi = 0으로 설정합니다. (통신) Step 2. [Coin-Fixed-To-1 Step] 각 플레이어 i는 bi를 보냅니다. 2.1 #2의 경우 i (1) $\geq$2t + 1이면 i는 bi = 1로 설정됩니다. 1을 보냅니다. 출력 outi = 1, 그리고 정지. 2.2 #2의 경우 i (0) $\geq$2t + 1이면 bi = 0으로 설정합니다. 2.3 그렇지 않으면 i는 bi = 1로 설정합니다. (통신) Step 3. [코인 진짜 뒤집기 단계] 각 플레이어 i는 bi와 SIGi(r, $\gamma$)를 보냅니다. 3.1 #3의 경우 i (0) $\geq$2t + 1이면 i는 bi = 0으로 설정됩니다. 3.2 #3의 경우 i (1) $\geq$2t + 1이면 i는 bi = 1로 설정됩니다. 3.3 그렇지 않으면 Si = {j $\in$N(이 단계 3에서 나에게 적절한 메시지를 보낸 사람) }이라고 하면, 나는 bi = c $\triangleq$lsb(minj$\in$Si H(SIGi(r, $\gamma$)))를 설정합니다. $\gamma$i를 1만큼 증가시킵니다. 그리고 1단계로 돌아갑니다. 정리 3.1. n $\geq$3t + 1일 때마다 BBA⋆는 건전성 1의 이진 (n, t)-BA 프로토콜입니다. 정리 3.1의 증명은 [26]에 나와 있습니다. 우리 설정에 대한 적응 및 플레이어 교체 가능성 재산은 참신하다. 역사적 비고 확률적 이진 BA 프로토콜은 Ben-Or가 처음 제안했습니다. 비동기 설정 [7]. 프로토콜 BBA⋆는 공개 키 설정에 대한 새로운 적응입니다. Feldman 및 Micali의 바이너리 BA 프로토콜 [15]. 그들의 프로토콜은 예상대로 작동한 최초의 프로토콜이었습니다. 일정한 단계 수. 플레이어들이 직접 공통 코인을 구현하게 함으로써 작동했고, 외부의 신뢰할 수 있는 당사자 [32]를 통해 이를 구현한 Rabin이 제안한 개념입니다.3.5 단계적 합의와 프로토콜 GC 임의의 가치에 대해 비잔틴 합의보다 훨씬 약한 합의 개념을 떠올려 보겠습니다. 정의 3.2. P를 모든 플레이어 세트가 상식인 프로토콜로 설정하고 각 플레이어는 플레이어 나는 임의의 초기값 v'를 개인적으로 알고 있습니다. 나. n명의 플레이어가 실행될 때마다 P가 (n, t) 등급 합의 프로토콜이라고 말합니다. 그 중 대부분은 악의적이며 모든 정직한 플레이어는 가치 등급 쌍(vi, gi) 출력을 중단합니다. 여기서 gi $\in${0, 1, 2}는 다음 세 가지 조건을 충족합니다. 1. 모든 정직한 플레이어 i와 j에 대해 |gi −gj| $\leq$1. 2. 모든 정직한 플레이어 i와 j에 대해, gi, gj > 0 ⇒vi = vj. 3. 만약 v' 1 = $\cdots$ = v' 어떤 값 v에 대해 n = v, 모든 정직한 플레이어 i에 대해 vi = v 및 gi = 2입니다. 역사적 기록 등급별 합의라는 개념은 단순히 등급별 합의 개념에서 파생된 것입니다. [15]에서 Feldman과 Micali가 십자군의 개념을 강화하여 제시한 방송 Dolev [12]에 의해 도입되고 Turpin and Coan [33].8에 의해 개선된 계약 [15]에서 저자는 3단계(n, t) 등급 방송 프로토콜인 gradecast도 제공했습니다. n $\geq$3t+1. n > 2t+1에 대한 보다 복잡한 (n, t) 등급 방송 프로토콜이 나중에 발견되었습니다. 작성자: Katz 및 Koo [19]. 다음 2단계 프로토콜 GC는 등급 분류의 마지막 두 단계로 구성됩니다. 표기법. 이 사실을 강조하고 섹션 4.1의 프로토콜 Algorand '의 단계를 일치시키기 위해 우리는 GC의 단계를 각각 2번과 3번으로 지정하세요. 프로토콜 GC 2단계. 내가 보내는 각 플레이어는 v'를 보냅니다. 나는 모든 플레이어에게. 3단계. 각 플레이어 i는 #2인 경우에만 문자열 x를 모든 플레이어에게 보냅니다. 나는 (x) $\geq$2t + 1입니다. 출력 결정. 각 플레이어 i는 다음과 같이 계산된 쌍 (vi, gi)을 출력합니다. • 일부 x에 대해 #3인 경우 i (x) $\geq$2t + 1이면 vi = x이고 gi = 2입니다. • 일부 x에 대해 #3인 경우 i (x) $\geq$t + 1이면 vi = x이고 gi = 1입니다. • 그렇지 않으면 vi = $\bot$이고 gi = 0입니다. 정리 3.2. n $\geq$3t + 1이면 GC는 (n, t) 등급 브로드캐스트 프로토콜입니다. 증명은 [15]의 프로토콜 등급 결정의 증명에서 바로 따르므로 생략됩니다.9 8 본질적으로 등급별 방송 프로토콜에서 (a) 모든 플레이어의 입력은 고유한 플레이어의 신원입니다. 추가적인 개인 입력으로 임의의 값 v를 갖는 플레이어, 송신자, 그리고 (b) 출력은 다음을 충족해야 합니다. 등급화된 합의의 동일한 속성 1과 2에 다음 속성 3'을 추가합니다. 보낸 사람이 정직하다면 vi = v이고 모든 정직한 플레이어에 대해 gi = 2 i. 9실제로 프로토콜의 1단계에서 발신자는 자신의 개인 값 v를 모든 플레이어에게 보내고 각 플레이어는 v′ i는 그가 1단계에서 보낸 사람으로부터 실제로 받은 값으로 구성됩니다.3.6 더 프로토콜 BA⋆ 이제 바이너리 BA 프로토콜 BBA⋆를 통해 임의 값 BA 프로토콜 BA⋆을 설명합니다. 등급 합의 프로토콜 GC. 아래에서 각 플레이어 i의 초기값은 v′입니다. 나. 프로토콜 BA⋆ 1단계와 2단계. 각 플레이어 i는 입력 v'에 대해 GC를 실행합니다. i, (vi, gi) 쌍을 계산합니다. 3단계, . . . 각 플레이어 i는 gi = 2이면 초기 입력 0, 그렇지 않으면 1로 BBA⋆를 실행합니다. 비트 outi를 계산하는 방법. 출력 결정. outi = 0이면 각 플레이어 i는 vi를 출력하고, 그렇지 않으면 $\bot$입니다. 정리 3.3. n $\geq$3t + 1일 때마다 BA⋆는 건전성 1의 (n, t)-BA 프로토콜입니다. 증거. 먼저 일관성을 증명한 다음 합의를 증명합니다. 일관성 증명. 어떤 값 v $\in$V , v′에 대해 가정합니다. i = v. 그러면 다음의 속성 3에 의해 등급 합의, GC 실행 후 모든 정직한 플레이어가 출력합니다(v, 2). 따라서 0은 BBA⋆ 실행이 끝나면 모든 정직한 플레이어의 초기 비트입니다. 따라서 계약에 따라 BA⋆ 실행이 끝나면 바이너리 비잔틴 계약의 속성, 모든 정직한 경우 outi = 0 플레이어. 이는 BA⋆에서 각 정직한 플레이어 i의 출력이 vi = v라는 것을 의미합니다. ✷ 계약 증명. BBA⋆는 바이너리 BA 프로토콜이므로 다음 중 하나를 수행합니다. (A) 모든 정직한 플레이어 i에 대해 outi = 1, 또는 (B) 모든 정직한 플레이어 i에 대해 outi = 0입니다. A의 경우 모든 정직한 플레이어는 BA⋆에서 $\bot$을 출력하므로 계약이 유지됩니다. 이제 사례 B를 살펴보겠습니다. 이 경우 BBA⋆ 실행 시 적어도 한 명의 정직한 플레이어 i의 초기 비트는 0입니다. (실제로 만약 모든 정직한 플레이어의 초기 비트는 1이었습니다. 그러면 BBA⋆의 일관성 속성에 따라 우리는 outj = 1 모든 정직한 j에 대해.) 따라서 GC 실행 후 i는 일부 정직한 j에 대해 쌍 (v, 2)를 출력합니다. 가치 v. 따라서 등급화된 합의의 속성 1에 따라 모든 정직한 플레이어 j에 대해 gj > 0입니다. 이에 따라 단계적 합의의 속성 2, vj = 모든 정직한 플레이어에 대한 v j. 이는 말미에 다음을 의미한다. BA⋆, 모든 정직한 플레이어 j는 v를 출력합니다. 따라서 B의 경우에도 일치가 유지됩니다. ✷ 일관성과 합의가 모두 유지되므로 BA⋆는 임의 값 BA 프로토콜입니다. 역사적 기록 Turpin과 Coan은 n $\geq$3t+1에 대해 모든 이진 (n, t)-BA가 프로토콜은 임의 값 (n, t)-BA 프로토콜로 변환될 수 있습니다. 임의 값 감소 등급별 합의를 통한 이진 비잔틴 합의에 대한 비잔틴 합의는 더욱 모듈화되고 더 깨끗하고 Algorand 프로토콜 Algorand '의 분석을 단순화합니다. Algorand에서 사용하기 위해 BA⋆ 일반화 Algorand은 모든 통신이 통신을 통해 이루어지는 경우에도 작동합니다. 험담. 그러나 전통적이고 친숙한 통신 네트워크에서 제시되지만, 선행 기술과 더 잘 비교하고 더 쉽게 이해할 수 있도록 프로토콜 BA⋆works 험담 네트워크에서도요. 실제로 Algorand의 상세한 실시예에서 우리는 그것을 제시할 것입니다. 험담 네트워크를 위해 직접. 또한 선수교체성을 만족시킨다는 점을 지적할 것이다. Algorand이 예상되는 매우 적대적인 모델에서 보안을 유지하는 데 중요한 속성입니다.

가십 통신 네트워크에서 작동하는 모든 BA 플레이어 교체 가능 프로토콜은 다음과 같습니다. 독창적인 Algorand 시스템 내에서 안전하게 사용됩니다. 특히 Micali와 Vaikunthanatan은 BA⋆를 확장하여 다수의 정직한 플레이어들과도 매우 효율적으로 작업할 수 있게 되었습니다. 그 프로토콜도 Algorand에서 사용될 수 있습니다.

พิธีสาร BA ⋆ในการตั้งค่าแบบดั้งเดิม

ตามที่ได้เน้นย้ำไปแล้ว ข้อตกลงไบเซนไทน์เป็นองค์ประกอบสำคัญของ Algorand จริงอยู่ว่ามันผ่านไปแล้ว การใช้โปรโตคอล BA ที่ Algorand ไม่ได้รับอิทธิพลจากส้อม อย่างไรก็ตามเพื่อความปลอดภัยของเรา ฝ่ายตรงข้ามที่ทรงพลัง Algorand ต้องพึ่งพาโปรโตคอล BA ที่ตอบสนองความสามารถในการเปลี่ยนผู้เล่นใหม่ ข้อ จำกัด นอกจากนี้ เพื่อให้ Algorand มีประสิทธิภาพ โปรโตคอล BA ดังกล่าวจะต้องมีประสิทธิภาพอย่างมาก โปรโตคอล BA ถูกกำหนดครั้งแรกสำหรับรูปแบบการสื่อสารในอุดมคติ ซิงโครนัสสมบูรณ์ เครือข่าย (เครือข่าย SC) โมเดลดังกล่าวช่วยให้การออกแบบและการวิเคราะห์โปรโตคอล BA ง่ายขึ้น 6เมื่อพิจารณาจากเปอร์เซ็นต์ h ที่แท้จริงและความน่าจะเป็นความล้มเหลวที่ยอมรับได้ F, Algorand คำนวณขอบเขตบน, N, จนถึงจำนวนสมาชิกของผู้ตรวจสอบสูงสุดในขั้นตอนเดียว ดังนั้นสมมติฐานของ MP จำเป็นต้องคงไว้เพียง n $\leq$N เท่านั้น นอกจากนี้ตามที่ระบุไว้ ข้อสันนิษฐานของ MP ยังคงอยู่ไม่ว่าจะมีข้อความอื่น ๆ อีกกี่ข้อความที่สามารถเผยแพร่ควบคู่ไปกับก็ตาม เอ็มเจ ดังที่เราจะได้เห็นใน Algorand ข้อความที่ ได้รับการเผยแพร่ในเวลาที่ไม่ทับซ้อนกัน ช่วงเวลา ในระหว่างที่มีการแพร่กระจายบล็อกเดียวหรือผู้ตรวจสอบ N ส่วนใหญ่เผยแพร่ขนาดเล็ก (เช่น 200B) ข้อความ ดังนั้นเราจึงสามารถย้ำสมมติฐานของ MP ด้วยวิธีที่อ่อนแอกว่า แต่ก็ซับซ้อนกว่าเช่นกัน 7ตัวอย่างเช่น เขาสามารถเรียนรู้ข้อความที่ผู้เล่นซื่อสัตย์ส่งมาได้ทันที ดังนั้นผู้ใช้ที่เป็นอันตราย i′ ซึ่งเป็น ขอให้เผยแพร่ข้อความพร้อมกันกับผู้ใช้ที่ซื่อสัตย์ i สามารถเลือกข้อความของตัวเองได้ตลอดเวลา m′ ตาม ข้อความ m เผยแพร่จริงโดย i ความสามารถนี้เกี่ยวข้องกับการวิ่ง ในสำนวนของการคำนวณแบบกระจาย วรรณกรรมดังนั้น ในส่วนนี้ เราจึงแนะนำโปรโตคอล BA ใหม่ BA⋆ สำหรับเครือข่าย SC และไม่สนใจ ปัญหาเรื่องการเปลี่ยนตัวผู้เล่นโดยสิ้นเชิง โปรโตคอล BA⋆เป็นการมีส่วนร่วมของค่าที่แยกจากกัน แท้จริงแล้ว มันเป็นโปรโตคอล BA เข้ารหัสที่มีประสิทธิภาพมากที่สุดสำหรับเครือข่าย SC ที่รู้จักกันจนถึงตอนนี้ หากต้องการใช้ภายในโปรโตคอล Algorand ของเรา เราจะแก้ไข BA⋆ เล็กน้อย เพื่อที่จะคำนึงถึงความแตกต่างของเรา รูปแบบการสื่อสารและบริบท แต่ต้องแน่ใจว่าในส่วน X เพื่อเน้นวิธีการใช้ BA⋆ ภายในโปรโตคอลจริงของเรา Algorand ′ เราเริ่มต้นด้วยการนึกถึงแบบจำลองที่BA⋆ดำเนินการและแนวคิดของข้อตกลงไบแซนไทน์ 3.1 เครือข่ายที่สมบูรณ์แบบซิงโครนัสและการจับคู่ฝ่ายตรงข้าม ในเครือข่าย SC มีนาฬิกาทั่วไป โดยทำเครื่องหมายที่แต่ละเวลารวม r = 1, 2, . . ในแต่ละช่วงเวลาให้คลิก r ผู้เล่นแต่ละคนที่ฉันจะส่งหนึ่งรายการพร้อมกันทันที ส่งข้อความถึงคุณ i,j (อาจเป็นข้อความว่างเปล่า) ถึงผู้เล่นแต่ละคน j รวมถึงตัวเขาเองด้วย นายแต่ละคน i,j ได้รับแล้ว ในเวลาคลิก r + 1 โดยผู้เล่น j พร้อมด้วยตัวตนของผู้ส่ง i อีกครั้งในโปรโตคอลการสื่อสาร ผู้เล่นจะต้องซื่อสัตย์หากเขาปฏิบัติตามคำสั่งทั้งหมดของเขา คำแนะนำและเป็นอันตรายอย่างอื่น ผู้เล่นที่เป็นอันตรายทั้งหมดได้รับการควบคุมอย่างสมบูรณ์และสมบูรณ์แบบ ประสานงานโดยฝ่ายตรงข้ามซึ่งโดยเฉพาะจะได้รับข้อความทั้งหมดที่จ่าหน้าถึงทันที ผู้เล่นที่เป็นอันตราย และเลือกข้อความที่พวกเขาส่ง ฝ่ายตรงข้ามสามารถสร้างอันตรายให้กับผู้ใช้ที่ซื่อสัตย์ที่เขาต้องการได้ทันทีเมื่อคลิกในเวลาคี่ เขาต้องการ ขึ้นอยู่กับขอบเขตบนที่เป็นไปได้เท่านั้นกับจำนวนผู้เล่นที่เป็นอันตราย นั่นคือ ฝ่ายตรงข้าม "ไม่สามารถรบกวนข้อความที่ส่งโดยผู้ใช้ที่ซื่อสัตย์ i" ซึ่งจะเป็นได้ จัดส่งตามปกติ ฝ่ายตรงข้ามมีความสามารถเพิ่มเติมในการมองเห็นได้ทันทีในแต่ละรอบคู่ ข้อความที่ผู้เล่นที่ซื่อสัตย์ในปัจจุบันส่งและใช้ข้อมูลนี้เพื่อเลือกทันที ข้อความที่ผู้เล่นที่เป็นอันตรายส่งพร้อมกันถูกทำเครื่องหมาย หมายเหตุ • อำนาจของฝ่ายตรงข้าม การตั้งค่าข้างต้นเป็นปฏิปักษ์อย่างมาก แท้จริงแล้วในข้อตกลงไบแซนไทน์ วรรณกรรม การตั้งค่าหลายอย่างมีความขัดแย้งน้อยกว่า อย่างไรก็ตาม มีการตั้งค่าฝ่ายตรงข้ามเพิ่มเติมบางประการ ยังได้รับการพิจารณาว่าฝ่ายตรงข้ามหลังจากเห็นข้อความที่ส่งมาจากผู้เล่นที่ซื่อสัตย์แล้ว ในเวลาที่กำหนดให้คลิก r มีความสามารถในการลบข้อความเหล่านี้ทั้งหมดออกจากเครือข่ายได้ทันที เสียหายฉันเลือกข้อความที่ฉันส่งที่เป็นอันตรายตอนนี้คลิก r และให้พวกเขา จัดส่งตามปกติ พลังที่จินตนาการไว้ของฝ่ายตรงข้ามตรงกับที่เขามีในสภาพแวดล้อมของเรา • สิ่งที่เป็นนามธรรมทางกายภาพ รูปแบบการสื่อสารที่จินตนาการไว้จะเป็นนามธรรมของแบบจำลองทางกายภาพมากขึ้น โดยที่ผู้เล่นแต่ละคู่ (i, j) เชื่อมโยงกันด้วยสายสื่อสารส่วนตัวที่แยกจากกัน li,j นั่นคือไม่มีใครสามารถแทรกแซงหรือรับข้อมูลเกี่ยวกับข้อความที่ส่งไปได้ ลี เจ วิธีเดียวที่ฝ่ายตรงข้ามจะสามารถเข้าถึง li,j ได้คือการทำให้ i หรือ j เสียหาย • ความเป็นส่วนตัวและการรับรองความถูกต้อง ในเครือข่าย SC รับประกันความเป็นส่วนตัวและการรับรองความถูกต้องของข้อความ โดยสมมติฐาน ในทางตรงกันข้าม ในเครือข่ายการสื่อสารของเราซึ่งมีการเผยแพร่ข้อความ จากเพียร์ทูเพียร์ การรับรองความถูกต้องรับประกันด้วยลายเซ็นดิจิทัล และไม่มีความเป็นส่วนตัว ดังนั้น เพื่อนำโปรโตคอล BA⋆ มาใช้กับการตั้งค่าของเรา แต่ละข้อความที่แลกเปลี่ยนควรมีการเซ็นชื่อแบบดิจิทัล (ระบุสถานะที่ถูกส่งต่อไป) โชคดีที่ระเบียบการบริติชแอร์เวย์ที่เรา พิจารณาใช้ใน Algorand ไม่ต้องการความเป็นส่วนตัวของข้อความ3.2 แนวคิดของข้อตกลงไบเซนไทน์ แนวคิดเรื่องข้อตกลงไบแซนไทน์ได้รับการเสนอโดย Pease Shostak และ Lamport [31] สำหรับ กรณีไบนารี นั่นคือเมื่อทุกค่าเริ่มต้นประกอบด้วยบิต อย่างไรก็ตาม ได้มีการขยายออกไปอย่างรวดเร็ว เป็นค่าเริ่มต้นตามอำเภอใจ (ดูการสำรวจของ Fischer [16] และ Chor และ Dwork [10].) โดย BA โปรโตคอล เราหมายถึงหนึ่งค่าที่กำหนดเอง คำจำกัดความ 3.1 ในเครือข่ายซิงโครนัส ให้ P เป็นโปรโตคอล n-player ซึ่งชุดผู้เล่นเป็นเรื่องธรรมดา ความรู้ในหมู่ผู้เล่น t จำนวนเต็มบวก โดยที่ n $\geq$2t + 1 เราบอกว่า P คือ an ค่าตามอำเภอใจ (ตามลำดับไบนารี่) (n, t) - โปรโตคอลข้อตกลงไบแซนไทน์ที่มีความสมบูรณ์ $\sigma$ $\in$ (0, 1) ถ้าสำหรับทุกชุดของค่า V ที่ไม่มีสัญลักษณ์พิเศษ $\bot$ (ตามลำดับ สำหรับ V = {0, 1}) ใน การดำเนินการที่ผู้เล่นส่วนใหญ่เป็นอันตรายและผู้เล่นทุกคนที่ฉันเริ่มต้นด้วย ค่าเริ่มต้น vi $\in$V ผู้เล่นที่ซื่อสัตย์ทุกคน j หยุดด้วยความน่าจะเป็น 1 โดยส่งออกค่า outi $\in$V $\cup${$\bot$} เพื่อให้เป็นไปตามเงื่อนไขสองประการต่อไปนี้ด้วยความน่าจะเป็นอย่างน้อย $\sigma$: 1. ข้อตกลง: มี $\in$V $\cup${$\bot$} อยู่ ซึ่ง outi = out สำหรับผู้เล่นที่ซื่อสัตย์ทุกคน i 2. ความสม่ำเสมอ: ถ้าสำหรับค่าบางค่า v $\in$V , vi = v สำหรับผู้เล่นที่ซื่อสัตย์ทุกคน แล้ว out = v เราเรียก out ว่าเป็นเอาต์พุตของ P และเรียก outi แต่ละรายการว่าเป็นเอาต์พุตของผู้เล่น 3.3 สัญกรณ์ BA # ในระเบียบการ BA ของเรา ผู้เล่นจะต้องนับจำนวนผู้เล่นที่ส่งข้อความถึงเขา ขั้นตอนที่กำหนด ดังนั้น สำหรับแต่ละค่าที่เป็นไปได้ v ที่อาจถูกส่งไป

ส

ฉัน(วี) (หรือเพียงแค่ #i(v) เมื่อ s ชัดเจน) คือจำนวนผู้เล่น j ที่ฉันได้รับ v ในขั้นตอน s จำได้ว่าผู้เล่นคนหนึ่งฉันได้รับข้อความหนึ่งข้อความจากผู้เล่นแต่ละคน j ถ้าเป็นจำนวน ผู้เล่นคือ n ดังนั้นสำหรับทุก i และ s, P วี #ส ผม(วี) = n. 3.4 ไบนารี BA Protocol BBA⋆ ในส่วนนี้เราจะนำเสนอโปรโตคอล BA ไบนารีใหม่ BBA⋆ ซึ่งอาศัยความซื่อสัตย์มากกว่า มากกว่าสองในสามของผู้เล่นและเร็วมาก ไม่ว่าผู้เล่นที่เป็นอันตรายจะทำอะไรก็ตาม การดำเนินการของลูปหลักแต่ละครั้งจะทำให้ผู้เล่นตกลงกับความน่าจะเป็น 1/3 ผู้เล่นแต่ละคนมีกุญแจสาธารณะของตนเองสำหรับรูปแบบลายเซ็นดิจิทัลที่สอดคล้องกับลายเซ็นที่เป็นเอกลักษณ์ ทรัพย์สิน เนื่องจากโปรโตคอลนี้มีวัตถุประสงค์เพื่อให้ทำงานบนเครือข่ายแบบซิงโครนัสที่สมบูรณ์ จึงไม่มี ต้องการผู้เล่นที่จะลงนามในข้อความของเขาแต่ละข้อความ ลายเซ็นดิจิทัลใช้เพื่อสร้างบิตสุ่มทั่วไปเพียงพอในขั้นตอนที่ 3 (ใน Algorand ลายเซ็นดิจิทัลจะใช้ในการตรวจสอบข้อความอื่นๆ ทั้งหมดเช่นกัน) โปรโตคอลต้องการการตั้งค่าขั้นต่ำ: สตริงสุ่มทั่วไป r โดยไม่ขึ้นกับผู้เล่น กุญแจ (ใน Algorand จริงๆ แล้ว r จะถูกแทนที่ด้วยปริมาณ Qr) Protocol BBA⋆เป็นการวนซ้ำ 3 ขั้นตอนที่ผู้เล่นแลกเปลี่ยนค่าบูลีนซ้ำ ๆ และ ผู้เล่นที่แตกต่างกันอาจออกจากวงนี้ในเวลาที่แตกต่างกัน ผู้เล่นที่ฉันออกจากวงนี้โดยการแพร่กระจาย ในบางขั้นตอน ไม่ว่าจะเป็นค่าพิเศษ 0∗ หรือค่าพิเศษ 1∗ ดังนั้นจึงแนะนำให้ผู้เล่นทุกคน “แกล้งทำเป็น” พวกเขาได้รับ 0 และ 1 จาก i ตามลำดับในขั้นตอนต่อๆ ไป (อีกนัยหนึ่งกล่าวว่า: สมมติว่าข้อความสุดท้ายที่ผู้เล่น j ได้รับจากผู้เล่นคนอื่น ฉันค่อนข้างจะ b แล้วในขั้นตอนใดก็ตาม โดยที่เขาไม่ได้รับข้อความใด ๆ จาก i, j ทำท่าเหมือนกับว่าฉันส่งบิตไปให้เขา b.) โปรโตคอลใช้ตัวนับ $\gamma$ ซึ่งแสดงถึงจำนวนครั้งที่ดำเนินการวนซ้ำ 3 ขั้นตอน ที่จุดเริ่มต้นของ BBA⋆ $\gamma$ = 0 (บางคนอาจคิดว่า $\gamma$ เป็นตัวนับทั่วโลก แต่จริงๆ แล้วเพิ่มขึ้น โดยผู้เล่นแต่ละคนทุกครั้งที่มีการวนซ้ำ) มี n $\geq$3t + 1 โดยที่ t คือจำนวนผู้เล่นที่เป็นอันตรายสูงสุดที่เป็นไปได้ ไบนารี สตริง x ถูกระบุด้วยจำนวนเต็มที่มีการแทนค่าไบนารี่ (โดยมี 0 นำหน้าที่เป็นไปได้) คือ x; และ lsb(x) หมายถึงบิตที่มีนัยสำคัญน้อยที่สุดของ x พิธีสาร BBA⋆ (การสื่อสาร) ขั้นตอนที่ 1. [ขั้นตอน Coin-Fixed-To-0] ผู้เล่นแต่ละคนที่ฉันส่งไป 1.1 ถ้า #1 i (0) $\geq$2t + 1 จากนั้นฉันตั้งค่า bi = 0 ส่ง 0∗ เอาต์พุต outi = 0 และหยุด 1.2 ถ้า #1 i (1) $\geq$2t + 1 จากนั้น i ตั้งค่า bi = 1 1.3 อย่างอื่น ผมตั้งค่า bi = 0 (การสื่อสาร) ขั้นตอนที่ 2 [ขั้นตอน Coin-Fixed-To-1] ผู้เล่นแต่ละคนที่ฉันส่ง Bi 2.1 ถ้า #2 i (1) $\geq$2t + 1 จากนั้นฉันตั้งค่า bi = 1 ส่ง 1∗, เอาต์พุตออก = 1, และหยุด 2.2 ถ้า #2 i (0) $\geq$2t + 1 จากนั้นฉันตั้งค่า bi = 0 2.3 อย่างอื่น ผมกำหนด bi = 1 (การสื่อสาร) ขั้นตอนที่ 3 [ขั้นตอนการพลิกเหรียญอย่างแท้จริง] ผู้เล่นแต่ละคนที่ฉันส่ง bi และ SIGi(r, $\gamma$) 3.1 ถ้า #3 i (0) $\geq$2t + 1 จากนั้น i กำหนดให้ bi = 0 3.2 ถ้า #3 i (1) $\geq$2t + 1 จากนั้น i กำหนดให้ bi = 1 3.3 มิฉะนั้น ให้ Si = {j $\in$N ที่ส่งข้อความที่ถูกต้องให้ฉันในขั้นตอนที่ 3 } ฉันตั้งค่า bi = c $\triangleq$lsb(minj$\in$Si H(SIGi(r, $\gamma$))); เพิ่ม$\gamma$i 1; และกลับสู่ขั้นตอนที่ 1 ทฤษฎีบท 3.1 เมื่อใดก็ตามที่ n $\geq$3t + 1 BBA⋆เป็นโปรโตคอลไบนารี (n, t)-BA ที่มีความสมบูรณ์ 1 การพิสูจน์ทฤษฎีบท 3.1 ให้ไว้ใน [26] การปรับให้เข้ากับการตั้งค่าของเรา และความสามารถในการเปลี่ยนผู้เล่นได้ ทรัพย์สินเป็นเรื่องแปลกใหม่ หมายเหตุทางประวัติศาสตร์ โปรโตคอล BA ไบนารีที่น่าจะเป็นถูกเสนอครั้งแรกโดย Ben-Or ใน การตั้งค่าแบบอะซิงโครนัส [7] Protocol BBA⋆เป็นการดัดแปลงแบบใหม่ให้เข้ากับการตั้งค่าคีย์สาธารณะของเรา โปรโตคอล BA ไบนารีของ Feldman และ Micali [15] ระเบียบวิธีของพวกเขาเป็นสิ่งแรกที่ทำงานตามที่คาดหวัง จำนวนขั้นตอนคงที่ มันทำงานโดยให้ผู้เล่นใช้เหรียญทั่วไป แนวคิดที่เสนอโดย Rabin ซึ่งนำไปใช้ผ่านฝ่ายที่เชื่อถือได้ภายนอก [32]3.5 ฉันทามติแบบให้คะแนนและพิธีสาร GC ให้เราระลึกถึงคุณค่าตามอำเภอใจ แนวคิดฉันทามติที่อ่อนแอกว่าข้อตกลงไบเซนไทน์มาก คำจำกัดความ 3.2 ให้ P เป็นโปรโตคอลที่ชุดของผู้เล่นทุกคนเป็นความรู้ทั่วไปและแต่ละชุด ผู้เล่น โดยส่วนตัวแล้วฉันรู้ค่าเริ่มต้นโดยพลการ v′ ฉัน เราบอกว่า P เป็นโปรโตคอลฉันทามติแบบให้คะแนน (n, t) หากในทุกการดำเนินการที่มีผู้เล่น n คน ที่ ซึ่งส่วนใหญ่เป็นอันตราย ผู้เล่นที่ซื่อสัตย์ทุกคนฉันหยุดส่งออกคู่ระดับมูลค่า (vi, gi) โดยที่ gi $\in${0, 1, 2} เพื่อให้เป็นไปตามเงื่อนไขสามประการต่อไปนี้: 1. สำหรับผู้เล่นตัวจริงทุกคน i และ j |gi −gj| $\leq$1 2. สำหรับผู้เล่นที่ซื่อสัตย์ทุกคน i และ j, gi, gj > 0 ⇒vi = vj 3. ถ้า v′ 1 = $\cdots$ = วี′ n = v สำหรับค่า v บางส่วน จากนั้น vi = v และ gi = 2 สำหรับผู้เล่นที่ซื่อสัตย์ทุกคน i หมายเหตุทางประวัติศาสตร์ แนวคิดของการให้คะแนนอย่างเป็นเอกฉันท์นั้นได้มาจากแนวคิดของการให้คะแนนอย่างเป็นเอกฉันท์ ออกอากาศ นำเสนอโดย Feldman และ Micali ใน [15] โดยการเสริมสร้างแนวคิดของสงครามครูเสด ตามที่แนะนำโดย Dolev [12] และปรับปรุงโดย Turpin และ Coan [33].8 ใน [15] ผู้เขียนยังได้จัดเตรียมโปรโตคอลการออกอากาศแบบให้คะแนน 3 ขั้นตอน (n, t) เกรดแคสต์ สำหรับ n $\geq$3t+1 พบโปรโตคอลการออกอากาศแบบให้คะแนนที่ซับซ้อนมากขึ้น (n, t) สำหรับ n > 2t+1 ในภายหลัง โดย แคทซ์ และคู [19]. GC โปรโตคอลสองขั้นตอนต่อไปนี้ประกอบด้วยสองขั้นตอนสุดท้ายของ gradecast ดังที่แสดงในของเรา สัญกรณ์ เพื่อเน้นย้ำข้อเท็จจริงนี้ และเพื่อให้ตรงกับขั้นตอนของโปรโตคอล Algorand ′ ของหัวข้อ 4.1 เรา ตั้งชื่อขั้นตอนที่ 2 และ 3 ของ GC ตามลำดับ พิธีสาร GC ขั้นตอนที่ 2 ผู้เล่นแต่ละคนที่ฉันส่ง v′ ฉันถึงผู้เล่นทุกคน ขั้นตอนที่ 3 ผู้เล่นแต่ละคนที่ฉันส่งสตริง x ให้กับผู้เล่นทุกคนถ้าหาก #2 ผม (x) $\geq$2t + 1 การกำหนดเอาท์พุท ผู้เล่นแต่ละคน i ส่งออกคู่ (vi, gi) ที่คำนวณดังนี้: • ถ้าสำหรับ x บางอัน #3 i (x) $\geq$2t + 1 จากนั้น vi = x และ gi = 2 • ถ้าสำหรับ x บางอัน #3 i (x) $\geq$t + 1 จากนั้น vi = x และ gi = 1 • อย่างอื่น vi = $\bot$ และ gi = 0 ทฤษฎีบท 3.2 ถ้า n $\geq$3t + 1 ดังนั้น GC จะเป็นโปรโตคอลการออกอากาศแบบให้คะแนน (n, t) การพิสูจน์จะตามมาจากโปรโตคอล gradecast ใน [15] ทันที และละเว้นไว้ 9 8โดยพื้นฐานแล้ว ในโปรโตคอลการออกอากาศแบบแบ่งระดับ (ก) ข้อมูลของผู้เล่นทุกคนคืออัตลักษณ์ของผู้มีความโดดเด่น ผู้เล่น ผู้ส่ง ซึ่งมีค่า v เป็นอินพุตส่วนตัวเพิ่มเติม และ (b) เอาต์พุตต้องเป็นไปตามข้อกำหนด คุณสมบัติเดียวกัน 1 และ 2 ของคะแนนฉันทามติ บวกคุณสมบัติต่อไปนี้ 3′: หากผู้ส่งซื่อสัตย์ ดังนั้น vi = v และ gi = 2 สำหรับผู้เล่นที่ซื่อสัตย์ทุกคน i 9แท้จริงแล้ว ในโปรโตคอลของพวกเขา ในขั้นตอนที่ 1 ผู้ส่งส่งมูลค่าส่วนตัวของเขาเอง v ไปยังผู้เล่นทุกคน และผู้เล่นแต่ละคนที่ฉันอนุญาต วี' ฉันประกอบด้วยมูลค่าที่เขาได้รับจริงจากผู้ส่งในขั้นตอนที่ 13.6 พิธีสาร BA⋆ ตอนนี้เราอธิบายโปรโตคอล BA มูลค่าตามอำเภอใจผ่านโปรโตคอล BA ไบนารี BBA⋆และ โปรโตคอลฉันทามติแบบให้คะแนน GC ด้านล่างนี้คือค่าเริ่มต้นของผู้เล่นแต่ละคน i คือ v′ ฉัน พิธีสารBA⋆ ขั้นตอนที่ 1 และ 2 ผู้เล่นแต่ละคนที่ฉันเรียกใช้งาน GC บนอินพุต v′ ฉัน เพื่อคำนวณคู่ (vi, gi) ขั้นตอนที่ 3, . . . ผู้เล่นแต่ละคนที่ฉันรัน BBA⋆—ด้วยอินพุตเริ่มต้น 0 ถ้า gi = 2 และ 1 มิฉะนั้น— ดังนั้น ในการคำนวณบิต outi การกำหนดเอาท์พุท ผู้เล่นแต่ละคน i ส่งออก vi ถ้า outi = 0 และ $\bot$ มิฉะนั้น ทฤษฎีบท 3.3 เมื่อใดก็ตามที่ n $\geq$3t + 1 BA⋆เป็นโปรโตคอล (n, t)-BA ที่มีความสมบูรณ์ 1 หลักฐาน ก่อนอื่นเราพิสูจน์ความสม่ำเสมอ จากนั้นจึงตกลง หลักฐานความสม่ำเสมอ สมมติว่าสำหรับค่าบางค่า v $\in$V , v′ i = v จากนั้นตามคุณสมบัติ 3 ของ ฉันทามติอย่างให้คะแนน หลังจากการดำเนินการของ GC ผู้เล่นที่ซื่อสัตย์ทุกคนก็เอาท์พุต (v, 2) ดังนั้น 0 คือ บิตเริ่มต้นของผู้เล่นที่ซื่อสัตย์ทุกคนในตอนท้ายของการดำเนินการ BBA⋆ ดังนั้นตามข้อตกลง คุณสมบัติของข้อตกลงไบเซนไทน์ไบนารี เมื่อสิ้นสุดการดำเนินการของ BA⋆, outi = 0 สำหรับทุกความซื่อสัตย์ ผู้เล่น นี่หมายความว่าผลลัพธ์ของผู้เล่นที่ซื่อสัตย์แต่ละคน i ใน BA⋆is vi = v ✷ หลักฐานข้อตกลง เนื่องจาก BBA⋆เป็นโปรโตคอล BA แบบไบนารีเช่นกัน (A) outi = 1 สำหรับผู้เล่นที่ซื่อสัตย์ทุกคน i หรือ (B) outi = 0 สำหรับผู้เล่นที่ซื่อสัตย์ทุกคน i. ในกรณี A ผู้เล่นที่ซื่อสัตย์ทุกคนจะส่งออก $\bot$ ใน BA⋆ และด้วยเหตุนี้ ข้อตกลงจึงถืออยู่ พิจารณากรณี B. In ในกรณีนี้ ในการดำเนินการ BBA⋆ บิตเริ่มต้นของผู้เล่นที่ซื่อสัตย์อย่างน้อยหนึ่งคน i จะเป็น 0 (อันที่จริง ถ้า บิตเริ่มต้นของผู้เล่นที่ซื่อสัตย์ทั้งหมดคือ 1 จากนั้นด้วยคุณสมบัติความสม่ำเสมอของ BBA⋆ เราจะได้ outj = 1 สำหรับทุก j.) ดังนั้น หลังจากดำเนินการ GC แล้ว i จะเอาท์พุตคู่ (v, 2) สำหรับบางค่า ค่า v ดังนั้น ตามคุณสมบัติ 1 ของคะแนนฉันทามติ gj > 0 สำหรับผู้เล่นที่ซื่อสัตย์ทุกคน j ตามนั้น โดย คุณสมบัติ 2 ของคะแนนฉันทามติ vj = v สำหรับผู้เล่นที่ซื่อสัตย์ทุกคน j นี่ก็หมายความว่าในตอนท้ายของ BA⋆ ผู้เล่นที่ซื่อสัตย์ทุกคน j เอาท์พุต v ดังนั้นข้อตกลงจึงถือเป็นกรณี B ✷ เนื่องจากทั้งความสอดคล้องและข้อตกลงถือ BA⋆เป็นโปรโตคอล BA ที่มีมูลค่าตามอำเภอใจ หมายเหตุทางประวัติศาสตร์ เทอร์ปินและโคอันเป็นคนแรกที่แสดงให้เห็นว่า สำหรับ n $\geq$3t+1 ไบนารีใดๆ (n, t)-BA โปรโตคอลสามารถแปลงเป็นโปรโตคอลค่าใดก็ได้ (n, t) -BA การลดค่าตามอำเภอใจ ข้อตกลงไบเซนไทน์กับข้อตกลงไบเซนไทน์แบบไบนารีผ่านฉันทามติแบบให้คะแนนเป็นแบบแยกส่วนมากกว่าและ สะอาดยิ่งขึ้น และลดความยุ่งยากในการวิเคราะห์โปรโตคอล Algorand ของเรา Algorand ′ การสรุปBA⋆สำหรับใช้ใน Algorand Algorand ทำงานได้แม้ว่าการสื่อสารทั้งหมดจะผ่านก็ตาม นินทา อย่างไรก็ตามแม้จะนำเสนอในรูปแบบเครือข่ายการสื่อสารแบบดั้งเดิมและคุ้นเคยก็ตาม เพื่อให้การเปรียบเทียบที่ดีขึ้นกับงานศิลปะก่อนหน้าและความเข้าใจที่ง่ายขึ้น โปรโตคอล BA⋆works ในเครือข่ายซุบซิบด้วย ในความเป็นจริง ในรูปลักษณ์โดยละเอียดของเราของ Algorand เราจะนำเสนอมัน โดยตรงสำหรับเครือข่ายซุบซิบ นอกจากนี้เรายังจะชี้ให้เห็นว่าสิ่งนี้ทำให้สามารถเปลี่ยนผู้เล่นได้ คุณสมบัติที่มีความสำคัญสำหรับ Algorand ให้มีความปลอดภัยในรูปแบบที่เป็นปฏิปักษ์ที่คิดไว้

โปรโตคอลที่เปลี่ยนผู้เล่น BA ใด ๆ ที่ทำงานอยู่ในเครือข่ายการสื่อสารซุบซิบสามารถทำได้ ทำงานอย่างปลอดภัยภายในระบบ Algorand ที่สร้างสรรค์ โดยเฉพาะมิคาลีและไวกุนธนาธาน ได้ขยายขอบเขต BA⋆ ให้ทำงานอย่างมีประสิทธิภาพอย่างมากกับผู้เล่นที่ซื่อสัตย์ส่วนใหญ่ นั่น โปรโตคอลก็สามารถใช้ใน Algorand ได้เช่นกัน

Algorand의 두 가지 구현

논의된 바와 같이, 매우 높은 수준에서 Algorand 라운드는 이상적으로 다음과 같이 진행됩니다. 먼저 무작위로 선택된 사용자인 리더는 새로운 블록을 제안하고 유통시킵니다. (이 과정에는 처음에 다음이 포함됩니다. 몇 명의 잠재적인 리더를 선택한 다음 적어도 상당한 시간 동안 단일 공통 리더가 등장합니다.) 둘째, 무작위로 선택된 사용자 위원회가 선택됩니다. 리더가 제안한 블록에 대해 비잔틴 합의에 도달합니다. (이 과정에는 다음이 포함됩니다. BA 프로토콜의 각 단계는 별도로 선택된 위원회에 의해 운영됩니다.) 합의된 블록 그런 다음 위원회 구성원의 지정된 임계값(TH)에 따라 디지털 서명됩니다. 이러한 디지털 서명 모든 사람이 어느 블록이 새로운 블록인지 확신할 수 있도록 순환됩니다. (여기에는 서명자의 자격 증명을 사용하고 새 블록의 hash만 인증하여 모든 사람이 hash이 명확해지면 블록을 학습하는 것이 보장됩니다.) 다음 두 섹션에서는 Algorand, Algorand'의 두 가지 구현예를 제시합니다. 1 및 Algorand ' 2, 대부분의 정직한 사용자 가정 하에서 작동합니다. 섹션 8에서는 이러한 사항을 채택하는 방법을 보여줍니다. 정직한 다수의 돈 가정 하에서 작동하는 실시 예입니다. Algorand ' 1은 위원회 구성원의 2/3 이상이 정직하다고 가정합니다. 또한, Algorand ' 1, 비잔틴 합의에 도달하기 위한 단계 수는 적절하게 높은 수준으로 제한됩니다. 따라서 일정 시간 안에 압도적인 확률로 합의에 도달할 수 있도록 보장됩니다. 고정된 단계 수(그러나 잠재적으로 Algorand '의 단계보다 더 긴 시간이 필요할 수 있음) 2). 에서 마지막 단계에서 아직 합의에 이르지 못한 원격의 경우, 위원회는 다음 사항에 동의합니다. 항상 유효한 빈 블록입니다. Algorand ′ 2는 위원회의 정직한 구성원 수가 항상 그 수보다 많다고 생각합니다. 또는 고정된 임계값 tH와 동일합니다(압도적인 확률로 최소한 위원의 2/3가 정직합니다.) 게다가 Algorand ′ 2는 비잔틴 합의를 허용합니다. 임의의 단계 수로 도달할 수 있습니다(그러나 잠재적으로 Algorand '보다 짧은 시간 내에 가능). 1). 이러한 기본 실시예의 다양한 변형을 유도하는 것은 쉽습니다. 특히, 쉽기 때문에 Algorand ' 2, Algorand ' 수정 1 임의적으로 비잔틴 합의에 도달할 수 있도록 하기 위해 단계 수. 두 실시예 모두 다음과 같은 공통 핵심, 표기법, 개념 및 매개변수를 공유합니다. 4.1 공통 핵심 목표 이상적으로 각 라운드 r에 대해 Algorand은 다음 속성을 충족합니다. 1. 완벽한 정확성. 모든 정직한 사용자는 동일한 블록 Br에 동의합니다. 2. 완전성 1. 확률 1일 때 Br의 페이세트 PAY r은 최대이다.10 10지불 세트는 유효한 지불을 포함하도록 정의되고 정직한 사용자는 유효한 지불만 수행하도록 정의되므로 최대 PAY r에는 모든 정직한 사용자의 "현재 미결제" 지불이 포함되어 있습니다.물론 완벽한 정확성을 보장하는 것만으로는 쉽지 않습니다. 모든 사람은 항상 공식을 선택합니다. Payset PAY r이 비어 있어야 합니다. 하지만 이 경우 시스템의 완전성은 0이 됩니다. 불행하게도, 완벽한 정확성과 완전성을 모두 보장하는 것은 1 악의적인 존재 앞에서는 쉽지 않습니다. 사용자. Algorand에서는 보다 현실적인 목표를 채택합니다. 비공식적으로 h를 백분율로 나타내면 정직한 사용자의 h > 2/3, Algorand의 목표는 다음과 같습니다. 압도적인 확률로 h에 가까운 완벽한 정확성과 완전성을 보장합니다. 완전성보다 정확성에 우선권을 두는 것이 합리적인 선택인 것 같습니다. 한 라운드는 다음 라운드에서 처리될 수 있지만 가능하면 포크를 피해야 합니다. 비잔틴 협정 주도 완벽한 정확성은 다음과 같이 보장될 수 있습니다. 처음에는 라운드 r에서 각 사용자 i는 자신의 후보 블록 Br을 구성합니다. i , 그러면 모든 사용자가 비잔틴에 도달합니다. 하나의 후보 블록에 대한 합의. 소개에 따라 사용된 BA 프로토콜에는 다음이 필요합니다. 2/3의 정직한 다수이며 플레이어를 교체할 수 있습니다. 각 단계는 소규모로 실행될 수 있습니다. 내부 변수를 공유하지 않는 무작위로 선택된 검증자 세트입니다. 불행하게도 이 접근 방식은 완전성을 보장하지 않습니다. 그 후보가 그렇거든요. 정직한 사용자의 블록은 서로 완전히 다를 가능성이 높습니다. 따라서 궁극적으로 합의된 블록은 항상 최대 지불 세트가 아닌 블록일 수 있습니다. 사실, 항상 그럴 수도 있습니다. 빈 블록 B$\varepsilon$, 즉 페이세트가 비어 있는 블록입니다. 기본적으로 비어 있는 것이 좋습니다. Algorand '는 다음과 같이 이러한 완전성 문제를 피합니다. 먼저 라운드 r의 리더인 $\ell$r이 선택됩니다. 그런 다음 $\ell$r은 자신의 후보 블록인 Br을 전파합니다. $\ell$r. 마지막으로 사용자는 블록에 대한 합의에 도달합니다. 그들은 실제로 $\ell$r로부터 받습니다. 왜냐하면 $\ell$r이 정직할 때마다 완벽한 정확성과 완전성이 있기 때문입니다. 1 둘 다 보유, Algorand '는 $\ell$r이 h에 가까운 확률로 정직하다는 것을 보장합니다. (리더가 되면 악의적인 경우, 합의된 블록이 빈 페이세트를 갖는 블록인지 여부는 신경 쓰지 않습니다. 결국, 악의적인 리더 $\ell$r은 항상 악의적으로 Br을 선택할 수 있습니다. $\ell$r은 빈 블록이 되고 솔직히 말해서 이를 전파하여 정직한 사용자가 빈 블록에 동의하도록 강요합니다.) 리더 선정 Algorand에서 r번째 블록은 Br = (r, PAY r, Qr, H(Br−1)) 형식입니다. 서론에서 이미 언급한 바와 같이, 수량 Qr−1은 다음과 같이 조심스럽게 구성됩니다. 본질적으로 우리의 매우 강력한 적에 의해 조작될 수 없습니다. (이 섹션의 뒷부분에서 우리는 이것이 왜 그런지에 대한 직관을 제공하십시오.) 라운드 r이 시작될 때 모든 사용자는 blockchain 지금까지 B0, . . . , Br−1로부터 그들은 모든 이전 라운드의 사용자 집합을 추론합니다. 는 PK1, . . . , PKr-1. 라운드 r의 잠재적 리더는 다음과 같은 사용자 i입니다. .H SIGi r, 1, Qr−1 $\leq$p . 설명해 보겠습니다. 수량 Qr−1은 블록 Br−1의 일부이므로 기본 서명 방식은 고유성 속성인 SIGi를 만족합니다. r, 1, Qr−1 고유한 이진 문자열입니다. i와 r에 연관되어 있습니다. 따라서 H는 임의의 oracle이므로 H SIGi r, 1, Qr−1 랜덤 256비트입니다 i와 r에 고유하게 연결된 긴 문자열입니다. 기호 “.” H 앞에 SIGi r, 1, Qr−1 은 소수점(우리의 경우 이진수)이므로 ri $\triangleq$.H가 됩니다. SIGi r, 1, Qr−1 의 이진 확장입니다. i와 r에 고유하게 연결된 0과 1 사이의 임의의 256비트 숫자입니다. 따라서 확률은 ri는 p보다 작거나 같음은 본질적으로 p입니다. (우리의 잠재적 리더 선택 메커니즘은 다음과 같습니다. Micali와 Rivest [28]의 소액 결제 방식에서 영감을 받았습니다.) 확률 p는 압도적인(즉, 1 −F) 확률로 적어도 하나가 되도록 선택됩니다. 잠재적 검증자는 정직합니다. (사실이라면 p는 가장 작은 확률로 선택됩니다.)내가 자신의 서명을 계산할 수 있는 유일한 사람이기 때문에 그 사람만이 할 수 있다는 점에 유의하십시오. 그가 1차 잠재적 검증자인지 여부를 판단합니다. 그러나 자신의 자격 증명을 공개함으로써, $\sigma$r 나는 $\triangleq$SIGi r, 1, Qr−1 , 나는 누구에게나 라운드 r의 잠재적인 검증자임을 증명할 수 있습니다. 리더 $\ell$r은 hashed 자격 증명이 다음보다 작은 잠재적 리더로 정의됩니다. hashed 다른 모든 잠재적 리더 j의 자격 증명: 즉, H($\sigma$r,s $\ell$r ) $\leq$H($\sigma$r,s j). 악의적인 $\ell$r은 자신의 자격 증명을 공개하지 않을 수 있으므로 라운드 r의 올바른 리더는 결코 알려지지 않았으며, 가능성이 없는 관계를 제외하고 $\ell$r은 실제로 라운드 r의 유일한 리더입니다. 마지막으로 중요한 세부 사항을 살펴보겠습니다. 사용자 i는 잠재적인 리더가 될 수 있습니다. 리더) 라운드 r은 그가 최소한 k 라운드 동안 시스템에 속한 경우에만 해당됩니다. 이는 다음을 보장합니다. Qr 및 모든 미래 Q-양의 조작 불가능성. 실제로 잠재적인 리더 중 한 명은 실제로 Qr을 결정합니다. 검증인 선택 라운드 r의 각 단계 s > 1은 소규모 검증자 집합 SV r,s에 의해 실행됩니다. 다시 말하면, 각 검증자 i $\in$SV r,s는 이미 시스템 k 라운드에 참여한 사용자 중에서 무작위로 선택됩니다. r 앞에, 그리고 다시 특수 수량 Qr−1을 통해. 구체적으로, i $\in$PKr−k는 SV r,s의 검증자입니다. .H SIGi r, s, Qr−1 $\leq$p′ . 다시 한 번 말씀드리지만, 그가 SV r,s에 속해 있는지는 오직 저만이 알고 있습니다. 하지만 만약 그렇다면, 그는 다음과 같이 증명할 수 있습니다. 자신의 자격 증명 $\sigma$r,s를 표시함 나 $\triangleq$H(SIGi r, s, Qr−1 ). 검증자 i $\in$SV r,s는 mr,s라는 메시지를 보냅니다. 나, 에서 라운드 r의 단계 s, 이 메시지에는 그의 자격 증명 $\sigma$r,s가 포함됩니다. i, 검증자를 활성화하기 위해 Mr,s를 인식하는 중첩 단계 나 합법적인 단계 메시지입니다. 확률 p'는 SV r,s에서 #good이 다음의 수임을 보장하도록 선택됩니다. 정직한 사용자와 #bad 악의적인 사용자의 수가 압도적인 확률로 다음과 같습니다 두 가지 조건이 성립합니다. 실시예 Algorand '의 경우 1: (1) #좋음 > 2 $\cdot$ #나쁨 그리고 (2) #good + 4 $\cdot$ #bad < 2n, 여기서 n은 SV r,s의 예상 카디널리티입니다. 실시예 Algorand '의 경우 2: (1) #좋음 > tH 및 (2) #good + 2#bad < 2tH, 여기서 tH는 지정된 임계값입니다. 이러한 조건은 충분히 높은 확률로 (a) BA의 마지막 단계에서 프로토콜에 따르면, 새로운 블록 Br에 디지털 서명을 할 수 있는 정직한 플레이어가 적어도 일정 수만큼 있을 것입니다. (b) 라운드당 하나의 블록만이 필요한 수의 서명을 가질 수 있으며, (c) 사용된 BA 프로토콜은 (각 단계에서) 필요한 2/3의 정직한 다수를 갖습니다. 블록 생성 명확화 라운드 R 리더 $\ell$r이 정직하다면 해당 블록은 형태이다 브르 = r, PAY r, SIG$\ell$r Qr−1 , H Br−1 , 여기서 페이세트 PAY r은 최대입니다. (모든 지불 세트는 정의상 집합적으로 유효하다는 점을 기억하십시오.) 그렇지 않은 경우(즉, $\ell$r이 악의적인 경우) Br은 다음 두 가지 가능한 형식 중 하나를 갖습니다. 브르 = r, PAY r, SIGi Qr−1 , H Br−1 그리고 브롬 = 브롬 $\varepsilon$ $\triangleq$ r, $\emptyset$, Qr−1, H Br−1 .첫 번째 형식에서 PAY r은 (필수적으로 최대가 아닌) 지불 세트이고 PAY r = $\emptyset$일 수 있습니다. 그리고 나는 라운드 r의 잠재적 리더. (단, 제가 리더는 아닐 수도 있습니다. 만약에 이런 일이 실제로 일어날 수도 있습니다. $\ell$r은 자신의 자격을 비밀로 유지하고 자신을 드러내지 않습니다.) 두 번째 형태는 BA 프로토콜의 라운드-R 실행에서 모든 정직한 플레이어가 빈 블록 Br인 기본값을 출력합니다. 우리 응용 프로그램에서는 $\varepsilon$입니다. (정의에 따르면 가능한 BA 프로토콜의 출력에는 일반적으로 $\bot$로 표시되는 기본값이 포함됩니다. 섹션 3.2를 참조하세요.) 두 경우 모두 페이세트가 비어 있지만 Br = r, $\emptyset$, SIGi Qr−1 , H Br−1 그리고 브롬 $\varepsilon$은 구문적으로 다른 블록이며 두 가지 다른 상황에서 발생합니다. BA 프로토콜 실행이 원활하게 진행되었습니다.”, “프로그램에서 문제가 발생했습니다. BA 프로토콜이며 기본값이 출력되었습니다.” 이제 Algorand'의 라운드 r에서 블록 Br의 생성이 어떻게 진행되는지 직관적으로 설명해보자. 첫 번째 단계에서 각 적격 플레이어, 즉 각 플레이어 i $\in$PKr−k는 그가 잠재적인 선수인지 확인합니다. 리더. 만약 그렇다면, 그가 지금까지 본 모든 지불금을 사용하여 나에게 질문을 합니다. 현재 blockchain, B0, . . . , Br−1, 최대 지불 세트 PAY r을 비밀리에 준비하기 위해 나 , 그리고 비밀리에 후보 블록 Br =을 조립합니다. r, 지불 r 나, SIGi Qr−1 , H Br−1 . 즉, 그는 뿐만 아니라 Br에 포함 i는 두 번째 구성 요소로서 방금 준비된 지불 세트일 뿐만 아니라 세 번째 구성 요소로서 마지막 블록 Br−1의 세 번째 구성 요소인 Qr−1의 자신의 서명입니다. 마침내 그는 자신의 것을 전파했다. round-r-step-1 메시지, Mr,1 (a) 그의 후보 블록 Br을 포함하는 i i, (b) 그의 적절한 서명 그의 후보 블록(즉, Br의 hash 서명) i, 그리고 (c) 그 자신의 자격증명 $\sigma$r,1 나, 증명해 그는 실제로 라운드 r의 잠재적인 검증자입니다. (정직한 사람이 메시지를 전달할 때까지, Mr,1 나는, 적들은 내가 어떤 사람인지 전혀 모른다. 잠재적 검증자. 그가 정직하고 잠재적인 지도자를 타락시키고자 한다면 대적도 그렇게 할 수 있습니다. 무작위로 정직한 플레이어를 부패시킵니다. 하지만 일단 그가 Mr를 만나면,1 i , i의 자격 증명이 포함되어 있으므로 적은 나를 부패시킬 수 있다는 것을 알고 있고 부패시킬 수 있지만 Mr,1을 막을 수는 없습니다. i 에서 바이러스로 전파됩니다. 시스템의 모든 사용자에게 도달합니다.) 두 번째 단계에서 선택된 각 검증자 j $\in$SV r,2는 라운드의 리더를 식별하려고 시도합니다. 구체적으로 j는 1단계 자격 증명 $\sigma$r,1을 사용합니다. 나는1, . . . , $\sigma$r,1 in , 적절한 1단계 메시지 mr,1에 포함되어 있음 나 그는 받았다; hashes 모두, 즉 H를 계산합니다. $\sigma$r,1 i1 , . . . , H $\sigma$r,1 안으로 ; 자격증을 찾고, $\sigma$r,1 $\ell$j , hash은 사전순으로 최소값입니다. $\ell$r을 고려한다. j가 라운드 r의 리더가 됩니다. 고려되는 각 크리덴셜은 Qr-1의 디지털 서명이며 SIGi라는 점을 기억하세요. r, 1, Qr−1 이다 i와 Qr−1에 의해 고유하게 결정되며, H는 무작위 oracle이므로 각 H(SIGi r, 1, Qr−1 라운드 r의 각 잠재적 리더 i에 고유한 임의의 256비트 긴 문자열입니다. 이것으로부터 우리는 256비트 문자열 Qr−1 자체가 무작위적이고 독립적이라면 다음과 같이 결론을 내릴 수 있습니다. 그러면 라운드 r의 모든 잠재적 리더의 hashed 자격 증명이 선택됩니다. 사실, 모두 잠재적인 리더는 잘 정의되어 있으며 그들의 자격 증명도 마찬가지입니다(실제로 계산되었거나 아닙니다). 또한, 라운드 r의 잠재적 리더 집합은 라운드 사용자의 무작위 하위 집합입니다. r −k, 그리고 정직한 잠재적 리더인 나는 항상 그의 메시지를 적절하게 구성하고 전파합니다. 나 , 여기에는 i의 자격 증명이 포함되어 있습니다. 따라서 정직한 사용자의 비율은 h이므로, 어떤 경우에도 악의적인 잠재적 리더가 할 수 있는 최소한의 조치(예: 자신의 자격 증명을 공개하거나 숨기는 것) hashed 잠재적 리더 자격 증명은 모든 사람이 반드시 식별하는 정직한 사용자에게 속합니다. 라운드 r의 리더 $\ell$r이 되는 것입니다. 따라서 256비트 문자열 Qr−1 자체가 무작위이고 독립적으로 선택됨, 확률이 정확히 h (a) 리더 $\ell$r이 정직하고 (b) 모두에 대해 $\ell$j = $\ell$r 정직한 2단계 검증자 j. 실제로 hashed 자격 증명은 무작위로 선택되지만 Qr−1에 따라 달라집니다.무작위로 독립적으로 선택되지 않습니다. 그러나 우리는 분석을 통해 Qr−1이 라운드의 리더가 확률적으로 정직하다는 것을 보장할 만큼 충분히 조작 불가능합니다. h′는 h에 충분히 가깝습니다. 즉, h′ > h2(1 + h −h2)입니다. 예를 들어, h = 80%이면 h′ > .7424입니다. 라운드의 리더를 식별한 후(리더가 정직할 때 올바르게 수행), 2단계 검증자의 임무는 자신이 믿는 바를 초기값으로 사용하여 BA 실행을 시작하는 것입니다. 리더의 블록이 될 것입니다. 실제로 필요한 의사소통의 양을 최소화하기 위해, 검증자 j $\in$SV r,2는 입력 값 v′을 사용하지 않습니다. j를 비잔틴 프로토콜로 변경하고, 해당 블록 Bj를 그는 실제로 $\ell$j(사용자 j가 리더라고 믿는)로부터 받았지만 리더이지만 해당 블록의 hash, 즉 v′ j = H(Bi). 따라서 BA 프로토콜이 종료되면 검증자는 마지막 단계에서는 원하는 round-r 블록 Br을 계산하지 않고 계산합니다(인증 및 전파) H(Br). 따라서 H(Br)는 충분히 많은 검증자들에 의해 디지털 서명되기 때문에 BA 프로토콜의 마지막 단계에서 시스템의 사용자는 H(Br)가 새로운 프로토콜의 hash임을 깨닫게 됩니다. 블록. 그러나 실행이 상당히 비동기적이므로 검색(또는 대기)해야 합니다. Br 자체를 차단합니다. 프로토콜은 적의 공격에 관계없이 실제로 사용할 수 있도록 보장합니다. 할 수도 있습니다. 비동기성과 타이밍 Algorand ' 1 및 Algorand ' 2는 상당한 정도의 비동기성을 가지고 있습니다. 이는 공격자가 메시지 전달 일정을 정하는 데 큰 권한을 갖고 있기 때문입니다. 전파. 또한, 라운드의 총 단계 수에 제한이 있는지 여부가 있습니다. 실제로 수행된 단계 수에 따라 차이가 발생합니다. 그는 B0의 인증서를 알게 되자마자 . . . , Br−1, 사용자 i가 Qr−1을 계산하고 작업을 시작합니다. r 라운드에서는 그가 잠재적인 리더인지, 아니면 r 라운드의 일부 단계에서 검증자인지 확인합니다. 논의된 비동기성에 비추어 단계에서 행동해야 한다고 가정하면 나는 다양한 방법에 의존합니다. 행동하기 전에 충분한 정보를 갖고 있는지 확인하는 전략입니다. 예를 들어, 그는 검증자로부터 최소한 주어진 수의 메시지를 받기를 기다릴 수 있습니다. 이전 단계로 진행하거나, 그가 메시지를 충분히 받을 수 있도록 충분한 시간을 기다리세요. 이전 단계의 많은 검증자가 있습니다. Seed Qr과 Look-Back 매개변수 k 이상적으로 Qr의 양은 다음과 같아야 합니다. 무작위적이고 독립적이지만, 인간이 충분히 조작할 수 없는 것으로도 충분합니다. 대적. 얼핏 보면 H와 일치하는 Qr−1을 선택할 수 있습니다. 지불 r−1 , 따라서 다음을 피하십시오 Br−1에 Qr−1을 명시적으로 지정합니다. 그러나 기본 분석에 따르면 악의적인 사용자는 이 선택 메커니즘을 활용하십시오.11 몇 가지 추가 노력을 통해 수많은 다른 방법이 있음을 알 수 있습니다. 11우리는 r-1 라운드의 시작점에 있습니다. 따라서 Qr−2 = PAY r−2는 공개적으로 알려지며, 공격자는 비공개로 진행됩니다. 자신이 통제하는 잠재적인 리더가 누구인지 알고 있습니다. 공격자가 사용자의 10%를 통제한다고 가정하고, 매우 높은 확률로 악의적인 사용자 w가 라운드 r -1의 잠재적 리더가 됩니다. 즉, H SIGw r−2, 1, Qr−2 규모가 너무 작아서 정직하고 잠재적인 리더가 실제로 리더가 될 가능성은 거의 없습니다. 라운드 r −1의 리더. (우리는 비밀 암호화 분류 메커니즘을 통해 잠재적인 리더를 선택하므로 대적은 정직한 잠재적 지도자가 누구인지 모릅니다.) 따라서 대적은 부러워할 만한 입장에 있습니다. PAY'를 원하는 페이셋을 선택하는 위치로 설정하고, 이를 라운드 r-1의 공식 페이셋으로 설정합니다. 그러나, 그는 더 많은 일을 할 수 있습니다. 그는 또한 높은 확률로 () 그의 악의적인 사용자 중 한 명이 리더가 되도록 보장할 수 있습니다. PAY r이 무엇인지 자유롭게 선택할 수 있도록 라운드 r에도 적용됩니다. (등등. 적어도 한동안은, 즉, 이러한 확률이 높은 사건이 실제로 발생하는 한.) ()를 보장하기 위해 공격자는 다음과 같이 행동합니다. 지불하자' 라운드 r -1에 대해 적이 선호하는 페이세트가 됩니다. 그런 다음 그는 H(PAY ′)를 계산하고 일부에 대해 다음을 확인합니다. 이미 악의적인 플레이어 z, SIGz(r, 1, H(PAY'))는 특히 작습니다. 확률 z는 라운드 r의 리더가 될 것입니다. 만약 그렇다면, 그는 w에게 자신의 후보 블록을 선택하라고 지시합니다.전통적인 블록 수량을 기반으로 한 대안은 공격자가 쉽게 악용하여 다음을 보장할 수 있습니다. 악의적인 리더가 매우 빈번하다는 것입니다. 대신에 우리는 우리 브랜드를 구체적이고 귀납적으로 정의합니다. 새로운 수량 Qr은 적에 의해 조작 불가능하다는 것을 증명할 수 있습니다. 즉, Br이 빈 블록이 아닌 경우 Qr $\triangleq$H(SIG$\ell$r(Qr−1), r)이고, 그렇지 않은 경우 Qr $\triangleq$H(Qr−1, r)입니다. 이러한 Qr 구성이 작동하는 이유에 대한 직관은 다음과 같습니다. 잠시 동안 다음과 같이 가정하십시오. Qr−1은 실제로 무작위로 독립적으로 선택됩니다. 그렇다면 Qr도 그럴까요? $\ell$r이 정직할 때 대답은 (대략적으로) 그렇습니다. 그렇기 때문에 그렇습니다 H(SIG$\ell$r( $\cdot$ ), r) : {0, 1}256 −→{0, 1}256 무작위 함수입니다. 그러나 $\ell$r이 악의적인 경우 Qr은 더 이상 Qr−1에서 일관적으로 정의되지 않습니다. 그리고 $\ell$r. Qr에는 최소한 두 개의 별도 값이 있습니다. 하나는 계속해서 Qr $\triangleq$H(SIG$\ell$r(Qr−1), r)이고, 다른 하나는 H(Qr−1,r)입니다. 먼저 두 번째 선택은 다소 임의적이지만, 두 번째 선택은 절대적으로 필수입니다. 그 이유는 악의적인 $\ell$r이 항상 다음과 같은 원인이 될 수 있기 때문입니다. 두 번째 단계의 정직한 검증자는 전혀 다른 후보 블록을 받게 됩니다.12 일단 이 경우 BA 프로토콜을 통해 블록이 최종적으로 합의되었는지 확인하는 것은 쉽습니다. 라운드 r은 기본 라운드가 될 것이므로 누구의 디지털 서명인 Qr−1도 포함하지 않습니다. 하지만 시스템은 계속되어야 하며 이를 위해서는 r 라운드의 리더가 필요합니다. 이 리더가 자동으로 공개적으로 선택되면 대적은 그를 사소하게 타락시킬 것입니다. 이전에 선택한 경우 동일한 프로세스를 통해 Qr−1은 $\ell$r보다 다시 r+1 라운드의 리더가 됩니다. 우리는 특별히 제안합니다 동일한 비밀 암호화 정렬 메커니즘을 사용하지만 새로운 Q-수량에 적용됩니다. H(Qr−1,r). 이 수량을 H의 출력으로 함으로써 출력이 무작위임을 보장합니다. H의 두 번째 입력으로 r을 포함하고 H의 다른 모든 사용에는 하나 또는 3개 이상의 입력이 있습니다. 그러한 Qr이 독립적으로 선택됨을 "보장"합니다. 다시 말하지만, 대체 Qr의 특정 선택 중요하지 않습니다. $\ell$r이 Qr에 대해 두 가지 선택권을 갖고 있으므로 확률을 두 배로 늘릴 수 있다는 것이 중요합니다. 또 다른 악의적인 사용자를 다음 리더로 삼는 것입니다. 악의적인 $\ell$r을 제어하는 적에게는 Qr에 대한 옵션이 훨씬 더 많을 수 있습니다. 예를 들어, x, y, z가 라운드 r의 세 명의 악의적인 잠재적 리더라고 가정해 보겠습니다. H $\sigma$r,1 엑스 < H $\sigma$r,1 와이 < H $\sigma$r,1 z 그리고 H $\sigma$r,1 z 특히 작습니다. 즉, 너무 작아서 H가 발생할 가능성이 높습니다. $\sigma$r,1 z 이다 모든 정직한 잠재적 리더의 hashed 자격 증명 중 더 작은 것입니다. 그런 다음 x에게 자신을 숨기라고 요청하여 자격 증명을 사용하면 적군은 y가 라운드 r -1의 리더가 될 가능성이 높습니다. 이 이는 그가 Qr에 대한 또 다른 옵션, 즉 SIGy를 가지고 있음을 의미합니다. Qr−1 . 마찬가지로, 적도 z가 라운드 r −1의 리더가 되도록 x와 y 모두에게 자격 증명을 보류하도록 요청하세요. Qr에 대한 또 다른 옵션인 SIGz를 얻습니다. Qr−1 . 물론, 이러한 옵션과 기타 옵션 각각은 실패할 확률이 0이 아닙니다. 공격자는 정직한 잠재적 사용자의 디지털 서명의 hash을 예측할 수 없습니다. Br−1 나 = (r −1, PAY ′, H(Br−2). 그렇지 않으면 그는 계속해서 새로운 지불을 생성할 두 명의 다른 악의적인 사용자 x와 y를 갖게 됩니다. $\wp$′, 일부 악의적인 사용자 z(또는 일부 고정 사용자 z)에 대해 H(SIGz (PAY ′ $\cup${$\wp$}))가 될 때까지 하나에서 다른 것으로 특히 작습니다. 이 실험은 매우 빨리 중단됩니다. 그리고 그럴 때 상대방은 w에게 프로포즈를 요청합니다. 후보 블록 Br−1 나 = (r −1, PAY ′ $\cup${$\wp$}, H(Br−2). 12예를 들어, 단순하게(그러나 극단적으로) 표현하자면, “두 번째 단계의 시간이 거의 만료될 때”, $\ell$r은 각 사용자에게 다른 후보 블록 Bi를 직접 이메일로 보냅니다. i. 이렇게 하면 2단계 검증자가 누구든지 완전히 다른 블록을 받게 될 것입니다.조심스러운 마르코프 체인과 같은 분석은 공격자가 어떤 옵션을 선택하든 상관없다는 것을 보여줍니다. 라운드 r -1에서 만들기 위해 시스템에 새로운 사용자를 주입할 수 없는 한 그는 사용자를 줄일 수 없습니다. 정직한 사용자가 h보다 훨씬 낮은 r + 40 라운드의 리더가 될 확률입니다. 이것이 이유이다 우리는 라운드 r의 잠재적 리더가 이미 라운드 r -k에 존재하는 사용자여야 한다고 요구합니다. 이는 r −k 라운드에서 적이 다음과 같은 확률을 크게 변경할 수 없도록 보장하는 방법입니다. 정직한 사용자가 라운드 r의 리더가 됩니다. 실제로 어떤 사용자를 추가하더라도 시스템에서 r -k부터 r까지의 라운드에서 그들은 잠재적인 리더가 될 자격이 없습니다. 리더) 라운드 r. 따라서 되돌아보기 매개변수 k는 궁극적으로 보안 매개변수입니다. (하지만, 섹션 7에서 살펴보겠지만 이는 일종의 "편의 매개변수"일 수도 있습니다.) 임시 열쇠 우리 프로토콜의 실행은 다음을 제외하고는 포크를 생성할 수 없지만 무시할 수 있는 확률로, 공격자는 합법적인 블록 이후에 r번째 블록에서 포크를 생성할 수 있습니다. 블록 r이 생성되었습니다. 대략적으로 Br이 생성되면 공격자는 각 단계의 검증자가 누구인지 알게 됩니다. 라운드 r은 입니다. 따라서 그는 그들 모두를 부패시키고 새로운 블록을 인증하도록 강요할 수 있습니다. 에프 브르. 이 가짜 블록은 합법적인 블록 이후에만 전파될 수 있으므로, 주의를 기울이는 것은 속지 않을 것입니다.13 그럼에도 불구하고, f Br은 구문론적으로 정확할 것이며 우리는 제조되는 것을 방지하고 싶습니다. 우리는 새로운 규칙을 통해 그렇게 합니다. 본질적으로 검증자의 구성원은 단계 s의 SV r,s를 설정합니다. 라운드 r에서는 임시 공개 키 pkr,s를 사용합니다. 나 메시지에 디지털 서명을 합니다. 이러한 키는 일회용이며 해당 비밀 키는 skr,s입니다. 나 한번 사용되면 폐기됩니다. 이렇게 하면 검증인이 나중에 부패한 경우, 적대자는 그가 원래 서명하지 않은 다른 항목에 서명하도록 강요할 수 없습니다. 당연히 우리는 공격자가 새로운 키 g를 계산하는 것이 불가능하다는 것을 보장해야 합니다. 홍보, 초 나 그리고 단계 s에서 사용하는 것이 검증자 i $\in$SV r,s의 올바른 임시 키임을 정직한 사용자에게 설득합니다. 4.2 표기법, 개념 및 매개변수의 공통 요약 표기법 • r $\geq$0: 현재 라운드 수. • s $\geq$1: 라운드 r의 현재 단계 번호. • Br: r 라운드에서 생성된 블록입니다. • PKr: r 라운드가 끝날 때와 r 라운드가 시작될 때의 공개 키 집합입니다. • Sr: 라운드 r -1 종료 시 및 라운드 r.14 시작 시 시스템 상태 • PAY r: Br에 포함된 페이세트입니다. • $\ell$r: 라운드 R 리더. $\ell$r은 라운드 r의 페이세트 PAY r을 선택합니다(그리고 다음 Qr을 결정합니다). • Qr: 라운드 r의 시드, 라운드 r의 끝에서 생성되는 수량(즉, 이진 문자열) 라운드 r + 1에 대한 검증자를 선택하는 데 사용됩니다. Qr은 블록의 페이세트와 독립적입니다. $\ell$r로 조작할 수 없습니다. 13주요 TV 네트워크의 뉴스 앵커를 부패시키고 오늘 뉴스 영화를 제작 및 방송하는 것을 고려하십시오. 클린턴 장관이 지난 대선에서 승리한 모습을 보여줍니다. 우리 대부분은 그것을 사기로 인식할 것입니다. 하지만 혼수상태에서 벗어나는 사람은 속을 수도 있습니다. 14동기적이지 않은 시스템에서는 "라운드 r의 끝 -1"과 "라운드 r의 시작"이라는 개념이 주의 깊게 정의할 필요가 있다. 수학적으로 PKr과 Sr은 초기 상태 S0과 블록에서 계산됩니다. B1, . . . , Br-1.• SV r,s: 라운드 r의 단계 s에 대해 선택된 검증자 세트입니다. • SV r: 라운드 r을 위해 선택된 검증자 세트, SV r = $\cup$s$\geq$1SV r,s. • MSV r,s 및 HSV r,s: 각각 악의적인 검증자 집합과 정직한 검증자 집합 SV r,s에서. MSV r,s $\cup$HSV r,s = SV r,s 및 MSV r,s ∩HSV r,s = $\emptyset$. • n1 $\in$Z+ 및 n $\in$Z+: 각각 각 SV에서 예상되는 잠재적 리더 수 r,1, s > 1인 경우 각 SV r,s에서 예상되는 검증자 수입니다. n1 << n에 주목하세요. SV r,1에는 최소한 한 명의 정직하고 정직한 구성원이 필요하기 때문입니다. s > 1인 경우 각 SV r,s의 정직한 구성원 대다수. • h $\in$(0, 1): 2/3보다 큰 상수. h는 시스템의 정직성 비율입니다. 즉, 사용된 가정에 따라 각 PKr에서 정직한 사용자 또는 정직한 돈의 비율은 다음과 같습니다. 적어도 h. • H: 무작위 oracle로 모델링된 암호화 hash 함수입니다. • $\bot$: H의 출력과 동일한 길이의 특수 문자열입니다. • F $\in$(0, 1): 허용되는 오류 확률을 지정하는 매개변수입니다. 확률 $\leq$F는 다음과 같습니다. "무시할 수 있는" 것으로 간주되고 확률 $\geq$1 −F는 "압도적인" 것으로 간주됩니다. • ph $\in$(0, 1): 라운드 r의 리더인 $\ell$r이 정직할 확률입니다. 이상적으로는 ph = h입니다. 와 공격자의 존재 여부에 따라 ph 값이 분석에서 결정됩니다. • k $\in$Z+: 되돌아보기 매개변수. 즉, 라운드 r −k는 라운드 r에 대한 검증자가 다음과 같은 위치에 있습니다. 즉, SV r $\subseteq$PKr−k.15에서 선택됨 • p1 $\in$(0, 1): 라운드 r의 첫 번째 단계에서 라운드 r −k의 사용자는 SV r,1에 속하도록 선택됩니다. 확률 p1 $\triangleq$ n1 |P Kr−k|. • p $\in$(0, 1): 라운드 r의 각 단계 s > 1에 대해 라운드 r −k의 사용자는 SV r,s에 속하도록 선택됩니다. 확률 p $\triangleq$ 엔 |P Kr−k|. • CERT r: Br에 대한 인증서입니다. 이는 적절한 검증자로부터 나온 H(Br)의 tH 서명 세트입니다. 라운드 r. • Br $\triangleq$(Br, CERT r)은 검증된 블록입니다. 내가 Br을 아는 사용자는 그가 입증된 블록의 두 부분을 모두 소유하고 성공적으로 검증한 경우입니다. 다른 사용자에게 표시되는 CERT r은 다를 수 있습니다. • τr i : 사용자 i가 Br을 알고 있는 (현지) 시간입니다. Algorand 프로토콜에서 각 사용자는 자신의 나만의 시계. 서로 다른 사용자의 시계를 동기화할 필요는 없지만 속도는 동일해야 합니다. 분석 목적으로만 기준 시계를 고려하고 플레이어의 그와 관련된 시간. • $\alpha$r,s 나 그리고 $\beta$r,s i : 각각 사용자 i가 단계 s의 실행을 시작하고 종료하는 (로컬) 시간입니다. 라운드 r. • Λ 및 $\lambda$: 본질적으로 각각 1단계 및 $\lambda$를 실행하는 데 필요한 시간의 상한입니다. Algorand 프로토콜의 다른 단계에 필요한 시간. 매개변수 Λ는 단일 1MB 블록을 전파하는 데 걸리는 시간의 상한입니다. (우리 표기법에서는 Λ = $\lambda$ $\rho$,1MB. 단순화를 위해 $\rho$ = 1로 설정하고 블록은 최대 1MB 길이로 선택하면 Λ = $\lambda$1,1,1MB가 됩니다.) 15엄밀히 말하면 “r −k”는 “max{0, r −k}”이어야 합니다.매개변수 $\lambda$는 단계 s > 1에서 검증자당 하나의 작은 메시지를 전파하는 데 걸리는 시간의 상한입니다. (Bitcoin에서와 같이 32B 키가 있는 타원 곡선 서명을 사용하면 검증자 메시지의 길이는 200B입니다. 따라서 표기법에서는 $\lambda$ = $\lambda$n,$\rho$,200B입니다.) Λ = O($\lambda$)라고 가정합니다. 개념 • 검증인 선택. 각 라운드 r 및 단계 s > 1에 대해 SV r,s $\triangleq${i $\in$PKr−k: .H(SIGi(r, s, Qr−1)) $\leq$p}. 각각 사용자 i $\in$PKr−k는 자신의 장기 키를 사용하여 자신의 서명을 개인적으로 계산하고 i $\in$SV r,s인지 아닌지. i $\in$SV r,s이면 SIGi(r, s, Qr−1)은 i의 (r, s) 자격 증명이며 간략하게 표시됩니다. $\sigma$r,s에 의해 나. 라운드 r의 첫 번째 단계에서는 SV r,1 및 $\sigma$r,1 나 p는 p1으로 대체되어 유사하게 정의됩니다. 는 SV r,1의 검증자는 잠재적인 리더입니다. • 리더 선택. 사용자 i $\in$SV r,1은 H($\sigma$r,1인 경우) $\ell$r로 표시되는 라운드 r의 리더입니다. i ) $\leq$H($\sigma$r,1 j) 모든 잠재력에 대해 리더 j $\in$SV r,1. 두 플레이어의 자격 증명의 hashes를 비교할 때마다 가능성은 희박합니다. 동점인 경우 프로토콜은 항상 사전순으로 동점을 끊습니다(장기 공개). ) 잠재적 지도자의 열쇠. 정의에 따르면 플레이어 $\ell$r의 크리덴셜 값 hash도 전체 사용자 중 가장 작습니다. PKr-k. 잠재적인 리더는 자신이 리더인지 아닌지 개인적으로 결정할 수 없습니다. 다른 잠재적 리더의 자격 증명을 보지 않고. hash 값은 무작위로 균일하므로 SV r,1이 비어 있지 않으면 $\ell$r은 항상 존재하며 적어도 h의 확률로 정직합니다. 매개변수 n1은 다음을 보장할 만큼 충분히 큽니다. SV r,1은 압도적인 확률로 비어 있지 않습니다. • 블록 구조. 비어 있지 않은 블록은 Br = (r, PAY r, SIG$\ell$r(Qr−1), H(Br−1)) 형식이며, 빈 블록은 Br 형태이다 Ϋ = (r, $\emptyset$, Qr−1, H(Br−1)). 비어 있지 않은 블록에는 지불이 발생하지 않는 경우에도 여전히 빈 페이세트 PAY r이 포함될 수 있습니다. 이번 라운드 또는 리더가 악의적인 경우. 그러나 비어 있지 않은 블록은 $\ell$r, 그의 자격 증명 $\sigma$r,1 $\ell$r과 SIG$\ell$r(Qr−1)은 모두 적시에 공개되었습니다. 프로토콜은 다음을 보장합니다. 즉, 리더가 정직하다면 블록은 압도적인 확률로 비어 있지 않을 것입니다. • 시드 Qr. Br이 비어 있지 않으면 Qr $\triangleq$H(SIG$\ell$r(Qr−1), r)이고, 그렇지 않으면 Qr $\triangleq$H(Qr−1, r)입니다. 매개변수 • 다양한 매개변수 간의 관계. — 라운드 r의 검증자와 잠재적 리더는 PKr-k의 사용자 중에서 선택됩니다. 여기서 k는 상대가 r −k −1 라운드에서 다시 Qr−1을 예측할 수 없도록 선택됩니다. F보다 확률이 더 높습니다. 그렇지 않으면 악의적인 사용자를 유입시킬 수 있습니다. 라운드 r -k에 대해, 이들 모두는 라운드 r에서 잠재적인 리더/검증자가 될 것입니다.

원하는 일부 단계에 대해 SV r에 악의적인 리더 또는 악의적인 다수가 있는 경우 그. — 각 라운드 r의 1단계에서는 압도적인 확률로 SV r,1̸= $\emptyset$이 되도록 n1이 선택됩니다. • 중요한 매개변수의 예시 선택. — H의 출력 길이는 256비트입니다. — h = 80%, n1 = 35. — Λ = 1분, $\lambda$ = 10초. • 프로토콜 초기화. 프로토콜은 r = 0으로 시간 0에서 시작합니다. "B-1" 또는 "CERT-1"이 존재하지 않으므로, 구문론적으로 B−1은 Q−1을 지정하는 세 번째 구성 요소가 있는 공개 매개변수이며 모든 사용자는 시간 0에서 B−1을 알고 있습니다.

สองรูปลักษณ์ของ Algorand

ตามที่กล่าวไว้แล้ว ในระดับที่สูงมาก รอบที่ Algorand จะดำเนินไปอย่างเหมาะสมดังนี้ ขั้นแรกให้สุ่ม ผู้ใช้ที่เลือกซึ่งเป็นผู้นำเสนอและหมุนเวียนบล็อกใหม่ (กระบวนการนี้รวมถึงในขั้นต้นด้วย เลือกผู้นำที่มีศักยภาพสักสองสามคน จากนั้นตรวจสอบให้แน่ใจว่าอย่างน้อยก็มีส่วนที่ดีของเวลา ก ผู้นำร่วมคนเดียวปรากฏตัวออกมา) ประการที่สอง คณะกรรมการผู้ใช้ที่ได้รับการสุ่มเลือกจะถูกเลือก และ บรรลุข้อตกลงไบแซนไทน์ในบล็อกที่ผู้นำเสนอ (กระบวนการนี้รวมถึงสิ่งนั้นด้วย แต่ละขั้นตอนของโปรโตคอล BA ดำเนินการโดยคณะกรรมการที่ได้รับการคัดเลือกแยกต่างหาก) บล็อกที่ตกลงกันไว้ จากนั้นจะมีการลงนามแบบดิจิทัลโดยเกณฑ์ที่กำหนด (TH) ของสมาชิกคณะกรรมการ ลายเซ็นดิจิทัลเหล่านี้ มีการหมุนเวียนเพื่อให้ทุกคนมั่นใจได้ว่าเป็นบล็อกใหม่ (ซึ่งรวมถึงการหมุนเวียนของ ข้อมูลรับรองของผู้ลงนาม และรับรองความถูกต้องเพียง hash ของบล็อกใหม่ เพื่อให้มั่นใจว่าทุกคน รับประกันว่าจะเรียนรู้บล็อก เมื่อ hash ถูกทำให้ชัดเจน) ในสองส่วนถัดไป เราจะนำเสนอสองรูปลักษณ์ของ Algorand, Algorand ′ 1 และ Algorand ′ 2, ที่ทำงานภายใต้สมมติฐานของผู้ใช้ส่วนใหญ่ที่ซื่อสัตย์ ในส่วนที่ 8 เราจะแสดงวิธีนำสิ่งเหล่านี้ไปใช้ รูปลักษณ์ที่จะทำงานภายใต้สมมติฐานที่ซื่อสัตย์โดยส่วนใหญ่ของเงิน Algorand ′ 1 เพียงจินตนาการว่า > 2/3 ของสมาชิกคณะกรรมการมีความซื่อสัตย์ นอกจากนี้ใน Algorand ′ 1 จำนวนขั้นตอนในการบรรลุข้อตกลงไบเซนไทน์ถูกจำกัดไว้ที่ระดับสูงพอสมควร จำนวน ดังนั้นข้อตกลงดังกล่าวจึงรับประกันว่าจะบรรลุข้อตกลงด้วยความน่าจะเป็นอย่างล้นหลามภายใน จำนวนขั้นตอนคงที่ (แต่อาจต้องใช้เวลานานกว่าขั้นตอนของ Algorand ′ 2). ใน กรณีระยะไกลที่ยังไม่บรรลุข้อตกลงในขั้นตอนสุดท้าย คณะกรรมการเห็นชอบด้วย บล็อกว่างซึ่งใช้ได้เสมอ Algorand ′ 2 คิดว่าจำนวนสมาชิกที่ซื่อสัตย์ในคณะกรรมการจะมีมากกว่าเสมอ หรือเท่ากับเกณฑ์คงที่ (ซึ่งรับประกันว่า อย่างน้อยก็มีความน่าจะเป็นอย่างท่วมท้น) 2/3 ของกรรมการมีความซื่อสัตย์) นอกจากนี้ Algorand ′ 2 อนุญาตให้มีข้อตกลงไบแซนไทน์ สามารถเข้าถึงได้ในจำนวนขั้นตอนที่กำหนดเอง (แต่อาจใช้เวลาน้อยกว่า Algorand ′ 1). เป็นเรื่องง่ายที่จะได้มาซึ่งแวเรียนต์จำนวนมากของรูปลักษณ์พื้นฐานเหล่านี้ โดยเฉพาะอย่างยิ่งมันเป็นเรื่องง่าย Algorand ′ 2 เพื่อแก้ไข Algorand ′ 1 เพื่อให้สามารถบรรลุข้อตกลงไบเซนไทน์ได้ตามอำเภอใจ จำนวนขั้นตอน ทั้งสองรูปลักษณ์มีแกนกลาง สัญลักษณ์ แนวคิด และพารามิเตอร์ร่วมกันดังต่อไปนี้ 4.1 แกนกลางทั่วไป วัตถุประสงค์ ตามหลักการแล้ว สำหรับแต่ละรอบ r Algorand จะเป็นไปตามคุณสมบัติต่อไปนี้: 1. ความถูกต้องสมบูรณ์แบบ ผู้ใช้ที่ซื่อสัตย์ทุกคนเห็นด้วยกับบล็อกเดียวกัน Br. 2. ความสมบูรณ์ 1. ด้วยความน่าจะเป็น 1 ชุดการจ่ายเงินของ Br, PAY r มีค่าสูงสุด 10 10เนื่องจากชุดการจ่ายเงินถูกกำหนดให้มีการชำระเงินที่ถูกต้อง และผู้ใช้ที่ซื่อสัตย์จะชำระเงินที่ถูกต้องเท่านั้น PAY r ประกอบด้วยการชำระเงิน "ค้างชำระในปัจจุบัน" ของผู้ใช้ที่ซื่อสัตย์ทั้งหมดแน่นอนว่าการรับประกันความถูกต้องสมบูรณ์แบบเพียงอย่างเดียวนั้นเป็นเรื่องเล็กน้อย ทุกคนมักจะเลือกสิ่งที่เป็นทางการเสมอ payset PAY r ให้ว่างเปล่า แต่ในกรณีนี้ระบบก็จะมีความสมบูรณ์เป็น 0 น่าเสียดาย การรับประกันทั้งความถูกต้องและครบถ้วนสมบูรณ์ 1 ไม่ใช่เรื่องง่ายเมื่อมีผู้ประสงค์ร้าย ผู้ใช้ Algorand จึงใช้วัตถุประสงค์ที่สมจริงยิ่งขึ้น อย่างไม่เป็นทางการ ให้ h แทนเปอร์เซ็นต์ ของผู้ใช้ที่มีความซื่อสัตย์ h > 2/3 เป้าหมายของ Algorand คือ รับประกันความน่าจะเป็นอย่างล้นหลาม ความถูกต้องสมบูรณ์แบบและครบถ้วนใกล้เคียงกับ h สิทธิพิเศษความถูกต้องเหนือความครบถ้วนดูเหมือนเป็นทางเลือกที่สมเหตุสมผล: การชำระเงินไม่ได้รับการประมวลผล รอบหนึ่งสามารถดำเนินการได้ในรอบถัดไป แต่ควรหลีกเลี่ยงทางแยกหากเป็นไปได้ ข้อตกลงนำไบแซนไทน์ สามารถรับประกันความถูกต้องสมบูรณ์แบบได้ดังนี้ ในช่วงเริ่มต้น ของรอบ r ผู้ใช้แต่ละคนที่ฉันสร้างบล็อกผู้สมัครของตัวเอง Br ฉัน จากนั้นผู้ใช้ทั้งหมดจะเข้าถึง Byzantine ข้อตกลงในหนึ่งกลุ่มผู้สมัคร ตามการแนะนำของเรา ต้องใช้ระเบียบวิธี BA ที่ใช้ ส่วนใหญ่ซื่อสัตย์ 2/3 และสามารถเปลี่ยนผู้เล่นได้ แต่ละขั้นตอนสามารถดำเนินการได้โดยกลุ่มเล็กๆ และ ชุดผู้ตรวจสอบที่เลือกแบบสุ่ม ซึ่งไม่มีตัวแปรภายในใด ๆ ร่วมกัน น่าเสียดายที่แนวทางนี้ไม่รับประกันความสมบูรณ์ ที่เป็นเช่นนี้เพราะว่าผู้สมัคร การบล็อกของผู้ใช้ที่ซื่อสัตย์มักจะมีความแตกต่างกันโดยสิ้นเชิง ดังนั้นในที่สุด การบล็อกที่ตกลงไว้อาจเป็นหนึ่งเดียวกับการจ่ายเงินที่ไม่สูงสุดเสมอ จริงๆแล้วมันอาจจะเป็นเสมอไป บล็อกว่าง B$\varepsilon$ นั่นคือบล็อกที่ชุดการจ่ายเงินว่างเปล่า เป็นค่าเริ่มต้นอันว่างเปล่า Algorand ′ หลีกเลี่ยงปัญหาความสมบูรณ์นี้ดังนี้ ขั้นแรก มีการเลือกผู้นำสำหรับรอบ r, ër จากนั้น ër เผยแพร่บล็อกผู้สมัครของเขาเอง Br lr. ในที่สุดผู้ใช้ก็บรรลุข้อตกลงในบล็อก พวกเขาได้รับจาก ër จริงๆ เพราะทุกครั้งที่มีความซื่อสัตย์ความถูกต้องสมบูรณ์และความสมบูรณ์ 1 ถือทั้งคู่ Algorand ′ ทำให้แน่ใจได้ว่า ër ซื่อสัตย์กับความน่าจะเป็นที่ใกล้กับ h (เมื่อผู้นำเป็น เป็นอันตราย เราไม่สนใจว่าบล็อกที่ตกลงกันไว้นั้นเป็นบล็อคที่มีการจ่ายเงินว่างเปล่าหรือไม่ ท้ายที่สุดแล้ว ผู้นำที่ประสงค์ร้าย ër อาจเลือก Br ในทางที่มุ่งร้ายเสมอ ërเป็นบล็อกว่างแล้วบอกตามตรง เผยแพร่จึงบังคับให้ผู้ใช้ที่ซื่อสัตย์เห็นด้วยกับบล็อกว่าง) การคัดเลือกผู้นำ ใน Algorand บล็อก r อยู่ในรูปแบบ Br = (r, PAY r, Qr, H(Br−1) ดังที่ได้กล่าวไปแล้วในบทนำ ปริมาณ Qr−1 ได้รับการสร้างขึ้นอย่างระมัดระวังเพื่อที่จะเป็น โดยพื้นฐานแล้วไม่สามารถจัดการได้โดยศัตรูที่ทรงพลังมากของเรา (ต่อไปในส่วนนี้เราจะ ให้สัญชาตญาณว่าทำไมถึงเป็นเช่นนี้) เมื่อเริ่มต้นรอบ r ผู้ใช้ทุกคนจะทราบดี blockchain จนถึงตอนนี้ B0, . . . , Br−1 ซึ่งพวกเขาอนุมานชุดผู้ใช้ของทุกรอบก่อนหน้า: นั่น คือ PK1, . . . , PKr−1 ผู้นำที่มีศักยภาพของ Round r คือผู้ใช้ i เช่นนั้น .H ซิจี r, 1, Qr−1 $\leq$p ให้เราอธิบาย โปรดสังเกตว่า เนื่องจากปริมาณ Qr−1 เป็นส่วนหนึ่งของบล็อก Br−1 และปริมาณที่อยู่ข้างใต้ รูปแบบลายเซ็นเป็นไปตามคุณสมบัติที่เป็นเอกลักษณ์ SIGi r, 1, Qr−1 เป็นสตริงไบนารี่ที่ไม่ซ้ำใคร เกี่ยวข้องกับฉันและอาร์ ดังนั้น เนื่องจาก H เป็นการสุ่ม oracle, H ซิจี r, 1, Qr−1 เป็นการสุ่ม 256 บิต สตริงยาวที่เกี่ยวข้องกับ i และ r โดยเฉพาะ สัญลักษณ์ “” ด้านหน้าของ H ซิจี r, 1, Qr−1 คือ จุดทศนิยม (ในกรณีของเราคือไบนารี่) ดังนั้น ri $\triangleq$.H ซิจี r, 1, Qr−1 คือการขยายตัวแบบไบนารีของ a ตัวเลขสุ่ม 256 บิตระหว่าง 0 ถึง 1 ที่เกี่ยวข้องกับ i และ r โดยเฉพาะ ดังนั้นความน่าจะเป็นนั้น ri น้อยกว่าหรือเท่ากับ p โดยพื้นฐานแล้วคือ p (กลไกการคัดเลือกผู้นำที่มีศักยภาพของเราคือ แรงบันดาลใจจากรูปแบบการชำระเงินแบบไมโครของ Micali และ Rivest [28].) ความน่าจะเป็น p ถูกเลือกเพื่อให้มีความน่าจะเป็นอย่างท่วมท้น (เช่น 1 −F) อย่างน้อยหนึ่งค่า ผู้ตรวจสอบที่มีศักยภาพมีความซื่อสัตย์ (หากข้อเท็จจริง เลือก p ให้เป็นความน่าจะเป็นที่น้อยที่สุด)โปรดทราบว่าเนื่องจากฉันเป็นเพียงคนเดียวที่สามารถคำนวณลายเซ็นของเขาเองได้ เขาคนเดียวจึงสามารถทำได้ ตรวจสอบว่าเขาเป็นผู้ตรวจสอบที่มีศักยภาพของรอบที่ 1 หรือไม่ อย่างไรก็ตาม ด้วยการเปิดเผยข้อมูลประจำตัวของเขาเอง ซิร ฉัน $\triangleq$SIGi r, 1, Qr−1 ฉันสามารถพิสูจน์ให้ทุกคนเห็นว่าเป็นผู้ตรวจสอบที่มีศักยภาพของรอบ r ผู้นำ ër ถูกกำหนดให้เป็นผู้นำที่มีศักยภาพซึ่งข้อมูลประจำตัว hashed น้อยกว่าที่ hashed หนังสือรับรองของผู้ที่มีศักยภาพเป็นผู้นำคนอื่นๆ ทั้งหมด j: นั่นคือ H($\sigma$r,s มอร์ ) $\leq$H($\sigma$r,s เจ) โปรดทราบว่า เนื่องจากผู้ประสงค์ร้าย ër อาจไม่เปิดเผยข้อมูลประจำตัวของเขา ผู้นำที่ถูกต้องของรอบ r อาจ ไม่เคยมีใครรู้ และนั่น ยกเว้นความสัมพันธ์ที่ไม่น่าจะเป็นไปได้ ër เป็นผู้นำเพียงคนเดียวของรอบ r ในที่สุดเราจะนำเสนอรายละเอียดสุดท้ายแต่สำคัญ: ผู้ใช้ที่ฉันสามารถเป็นผู้นำที่มีศักยภาพได้ (และด้วยเหตุนี้ ผู้นำ) ของรอบ r เฉพาะในกรณีที่เขาอยู่ในระบบอย่างน้อย k รอบ นี้รับประกัน การไม่สามารถจัดการได้ของ Qr และปริมาณ Q ในอนาคตทั้งหมด อันที่จริงแล้วหนึ่งในผู้นำที่มีศักยภาพ จะกำหนดคิวอาร์จริงๆ การเลือกผู้ตรวจสอบ แต่ละขั้นตอน s > 1 ของรอบ r จะถูกดำเนินการโดยชุดตรวจสอบขนาดเล็ก SV r,s อีกครั้ง แต่ละ veriifier i $\in$SV r,s จะถูกสุ่มเลือกจากผู้ใช้ที่อยู่ในระบบ k รอบ ก่อน r และอีกครั้งผ่านปริมาณพิเศษ Qr−1 โดยเฉพาะอย่างยิ่ง i $\in$PKr−k เป็นตัวยืนยันใน SV r,s ถ้า .H ซิจี r, s, Qr−1 $\leq$p′ . อีกครั้งหนึ่ง มีเพียงฉันเท่านั้นที่รู้ว่าเขาเป็นของ SV r,s หรือไม่ แต่ถ้าเป็นกรณีนี้ เขาพิสูจน์ได้โดย แสดงหนังสือรับรองของเขา $\sigma$r, s ฉัน $\triangleq$H(SIGi r, s, Qr−1 ). ผู้ตรวจสอบ i $\in$SV r,s ส่งข้อความ mr,s ฉัน ใน ขั้นตอนที่ s ของรอบ r และข้อความนี้รวมข้อมูลรับรอง $\sigma$r,s ของเขาด้วย ฉัน เพื่อที่จะเปิดใช้งานผู้ตรวจสอบ f ขั้นทำรังให้รู้ว่าคุณนาย ฉัน เป็นข้อความขั้นตอนที่ถูกต้องตามกฎหมาย ความน่าจะเป็น p′ ถูกเลือกเพื่อให้แน่ใจว่า ใน SV r,s ให้ #good เป็นจำนวนของ ผู้ใช้ที่ซื่อสัตย์และ #bad จำนวนผู้ใช้ที่เป็นอันตราย โดยมีความน่าจะเป็นอย่างล้นหลามดังต่อไปนี้ ถือสองเงื่อนไข สำหรับศูนย์รวม Algorand ′ 1: (1) #ดี > 2 $\cdot$ #ไม่ดี และ (2) #ดี + 4 $\cdot$ #ไม่ดี < 2n โดยที่ n คือจำนวนเชิงการนับที่คาดหวังของ SV r,s สำหรับศูนย์รวม Algorand ′ 2: (1) #ดี > ทและ (2) #ดี + 2#ไม่ดี < 2tH โดยที่ th เป็นเกณฑ์ที่กำหนด เงื่อนไขเหล่านี้บอกเป็นนัยว่า ด้วยความเป็นไปได้สูงพอสมควร (a) ในขั้นตอนสุดท้ายของ BA โปรโตคอล อย่างน้อยก็จะมีผู้เล่นที่ซื่อสัตย์จำนวนหนึ่งให้ลงนามแบบดิจิทัลในบล็อกใหม่ Br (b) เพียงหนึ่งบล็อกต่อรอบอาจมีจำนวนลายเซ็นที่จำเป็น และ (c) BA ที่ใช้ โปรโตคอลมี (ในแต่ละขั้นตอน) เสียงข้างมากที่ซื่อสัตย์ 2/3 ที่จำเป็น ชี้แจงการสร้างบล็อก ถ้าผู้นำ Round-r ër ซื่อสัตย์ บล็อกที่เกี่ยวข้อง อยู่ในรูปแบบ บร = r, จ่าย r, SIGLRr Qr−1 , เอช เบอร์−1 , โดยที่ payset PAY r มีค่าสูงสุด (โปรดจำไว้ว่าชุดการจ่ายเงินทั้งหมดมีผลใช้ได้โดยรวม) อย่างอื่น (เช่น ถ้า ër เป็นอันตราย) Br จะมีรูปแบบใดรูปแบบหนึ่งจากสองรูปแบบต่อไปนี้: บร = r, จ่าย r, SIgi คิวอาร์−1 , เอช เบอร์−1 และ บร = บร $\varepsilon$ $\triangleq$ r, $\emptyset$, Qr−1, H เบอร์−1 .ในรูปแบบแรก PAY r คือชุดการจ่ายเงิน (สูงสุดที่ไม่จำเป็น) และอาจเป็น PAY r = $\emptyset$; และฉันคือ ผู้นำที่มีศักยภาพของรอบ r (แต่ผมอาจไม่ใช่หัวหน้านะ เรื่องนี้อาจจะเกิดขึ้นได้ถ้าถ้า (หมอเก็บความลับข้อมูลประจำตัวของเขาไว้และไม่เปิดเผยตัวเอง) รูปแบบที่สองเกิดขึ้นเมื่อในการดำเนินการตามระเบียบการของ BA ผู้เล่นที่ซื่อสัตย์ทุกคน ส่งออกค่าเริ่มต้นซึ่งเป็นบล็อกว่าง Br $\varepsilon$ในใบสมัครของเรา (โดยนิยามแล้วเป็นไปได้. เอาต์พุตของโปรโตคอล BA จะมีค่าเริ่มต้น ซึ่งแสดงโดยทั่วไปด้วย $\bot$ ดูหัวข้อ 3.2.) โปรดทราบว่าแม้ว่าชุดการจ่ายเงินจะว่างเปล่าในทั้งสองกรณี แต่ Br = r, $\emptyset$, SIGI คิวอาร์−1 , เอช เบอร์−1 และบรา $\varepsilon$ เป็นบล็อกที่แตกต่างกันทางวากยสัมพันธ์และเกิดขึ้นในสองสถานการณ์ที่แตกต่างกัน: ตามลำดับ “ทั้งหมด ดำเนินไปอย่างราบรื่นเพียงพอในการดำเนินการตามโปรโตคอล BA” และ “มีบางอย่างผิดพลาดใน โปรโตคอล BA และค่าเริ่มต้นคือเอาต์พุต” ตอนนี้ให้เราอธิบายอย่างสังหรณ์ใจว่าการสร้างบล็อก Br ดำเนินไปอย่างไรในรอบ r ของ Algorand ′ ในขั้นตอนแรก ผู้เล่นแต่ละคนที่มีสิทธิ์ นั่นคือ ผู้เล่นแต่ละคน i $\in$PKr−k ตรวจสอบว่าเขามีศักยภาพหรือไม่ ผู้นำ หากเป็นกรณีนี้ ฉันจะถูกขอให้ใช้การชำระเงินทั้งหมดที่เขาเห็นมาและ ปัจจุบัน blockchain, B0, . . . , Br−1 เพื่อแอบเตรียมชุดการชำระเงินสูงสุด PAY r ฉัน และอย่างลับๆ ประกอบบล็อกผู้สมัครของเขา Br = r จ่าย r ฉัน , SIGI คิวอาร์−1 , เอช เบอร์−1 . นั่นคือไม่เพียงแต่เขาเท่านั้น รวมไว้ใน Br i เป็นองค์ประกอบที่สองของชุดจ่ายเงินที่เพิ่งเตรียมไว้ แต่ยังเป็นองค์ประกอบที่สามด้วย ลายเซ็นของเขาเองของ Qr−1 ซึ่งเป็นองค์ประกอบที่สามของบล็อกสุดท้าย Br−1 ในที่สุดเขาก็เผยแพร่ของเขา ข้อความรอบ-r-ขั้นตอน-1 คุณ 1 ฉัน ซึ่งรวมถึง (ก) บล็อกผู้สมัครของเขา Br ฉัน , (b) ลายเซ็นที่ถูกต้องของเขา ของบล็อกผู้สมัครของเขา (เช่น ลายเซ็นของเขา hash ของ Br ฉัน และ (c) หนังสือรับรองของเขาเอง $\sigma$r,1 ฉัน, พิสูจน์ ว่าเขาเป็นผู้ตรวจสอบที่มีศักยภาพของรอบ r จริงๆ (โปรดทราบว่า จนกว่าฉันจะซื่อสัตย์ ฉันส่งข้อความถึงนาย 1) ฉัน ปฏิปักษ์ไม่มีเบาะแสว่าฉันเป็น ผู้ตรวจสอบศักยภาพ หากเขาต้องการจะทำให้ผู้นำที่ซื่อสัตย์เสื่อมเสีย ปฏิปักษ์ก็อาจทำได้เช่นกัน ผู้เล่นที่ซื่อสัตย์สุ่มทุจริต อย่างไรก็ตาม เมื่อเขาได้พบกับนาย 1 ฉัน เนื่องจากมีข้อมูลประจำตัวของฉัน ฝ่ายตรงข้ามรู้และอาจทุจริตได้ แต่ไม่สามารถป้องกันนายได้1 ฉัน ซึ่งมีการแพร่กระจายของไวรัสจาก เข้าถึงผู้ใช้งานทุกคนในระบบ) ในขั้นตอนที่สอง ผู้ตรวจสอบที่เลือกแต่ละคน j $\in$SV r,2 จะพยายามระบุผู้นำของรอบ โดยเฉพาะอย่างยิ่ง j ใช้ข้อมูลรับรองขั้นตอนที่ 1, $\sigma$r,1 i1 , . . . , $\sigma$r,1 ใน ซึ่งมีอยู่ในข้อความขั้นตอนที่ 1 ที่เหมาะสม mr,1 ฉัน เขาได้รับ; hashes ทั้งหมดนั่นคือคำนวณ H ซิร,1 i1 , . . . , เอช ซิร,1 ใน ; ค้นหาหนังสือรับรอง ซิร,1 ëj ซึ่ง hash เป็นคำศัพท์ขั้นต่ำ; และถือว่า LRr j เป็นผู้นำของรอบ r โปรดจำไว้ว่าข้อมูลประจำตัวที่พิจารณาแต่ละรายการนั้นเป็นลายเซ็นดิจิทัลของ Qr−1 ซึ่ง SIGi นั้น r, 1, Qr−1 คือ ถูกกำหนดโดยไม่ซ้ำกันโดย i และ Qr−1 ว่า H นั้นเป็นแบบสุ่ม oracle และด้วยเหตุนี้ แต่ละ H(SIGi r, 1, Qr−1 เป็นสตริงสุ่มแบบยาว 256 บิตที่ไม่ซ้ำกันสำหรับผู้นำที่มีศักยภาพ i แต่ละคนของรอบ r จากนี้เราสามารถสรุปได้ว่า ถ้าสตริง 256 บิต Qr−1 เป็นตัวของตัวเองแบบสุ่มและเป็นอิสระ เลือกไว้ ยิ่งกว่านั้นจะเป็นข้อมูลรับรอง hashed ของผู้นำที่มีศักยภาพทั้งหมดในรอบ r ในความเป็นจริงทั้งหมด ผู้ที่อาจเป็นผู้นำนั้นได้รับการกำหนดอย่างดี และข้อมูลประจำตัวของพวกเขาก็เช่นกัน (ไม่ว่าจะคำนวณจริงหรือ ไม่) นอกจากนี้ ชุดของผู้นำที่มีศักยภาพของรอบ r ยังเป็นสับเซตแบบสุ่มของผู้ใช้ของรอบ r −k และผู้นำที่มีศักยภาพที่ซื่อสัตย์ ฉันมักจะสร้างและเผยแพร่ข้อความของเขาอย่างเหมาะสมเสมอ ฉัน ซึ่งมีข้อมูลรับรองของฉัน ดังนั้น เนื่องจากเปอร์เซ็นต์ของผู้ใช้ที่ซื่อสัตย์คือ h ไม่ว่าจะอย่างไรก็ตาม ผู้ที่อาจเป็นผู้นำที่เป็นอันตรายอาจทำ (เช่น เปิดเผยหรือปกปิดข้อมูลประจำตัวของตนเอง) น้อยที่สุด hashed ข้อมูลรับรองที่มีศักยภาพในการเป็นผู้นำเป็นของผู้ใช้ที่ซื่อสัตย์ ซึ่งทุกคนจำเป็นต้องระบุตัวตน เพื่อเป็นผู้นำของรอบr ดังนั้น ถ้าสตริง 256 บิต Qr−1 เป็นตัวสุ่มและ เลือกอย่างอิสระ โดยมีความน่าจะเป็นอย่างแน่นอน h (a) ผู้นำ ër ซื่อสัตย์และ (b) ëj = ër สำหรับทุกคน ผู้ตรวจสอบขั้นตอนที่ 2 อย่างซื่อสัตย์ ในความเป็นจริง หนังสือรับรอง hashed ใช่ เป็นการสุ่มเลือก แต่ขึ้นอยู่กับ Qr−1 ซึ่งก็คือไม่ใช่การสุ่มและคัดเลือกอย่างอิสระ อย่างไรก็ตาม เราจะพิสูจน์ในการวิเคราะห์ของเราว่า Qr−1 เป็นเช่นนั้น ไม่สามารถจัดการได้อย่างเหมาะสมเพื่อรับประกันว่าผู้นำของรอบจะซื่อสัตย์กับความน่าจะเป็น h′ ใกล้เคียงกับ h มากพอ กล่าวคือ h′ > h2(1 + h −h2) ตัวอย่างเช่น ถ้า h = 80% แล้ว h′ > .7424 โดยระบุผู้นำของรอบแล้ว (ซึ่งจะทำอย่างถูกต้องเมื่อผู้นำ ër ซื่อสัตย์) งานของผู้ตรวจสอบขั้นตอนที่ 2 คือการเริ่มดำเนินการ BA โดยใช้ค่าเริ่มต้นในสิ่งที่พวกเขาเชื่อ เพื่อเป็นแกนนำของผู้นำ จริงๆ แล้ว เพื่อลดปริมาณการสื่อสารที่จำเป็นให้เหลือน้อยที่สุด ผู้ตรวจสอบ j $\in$SV r,2 ไม่ได้ใช้ เนื่องจากเป็นค่าอินพุต v′ j ไปยังโปรโตคอล Byzantine บล็อก Bj นั้น เขาได้รับจริงๆ จาก ëj (ผู้ใช้ j เชื่อว่าเป็นผู้นำ) แต่เป็นผู้นำ แต่ hash ของบล็อกนั้น นั่นคือ v′ เจ = H(บี) ดังนั้น เมื่อยกเลิกโปรโตคอล BA ผู้ตรวจสอบ ของขั้นตอนสุดท้ายไม่ได้คำนวณบล็อก round-r Br ที่ต้องการ แต่คำนวณ (authenticate and เผยแพร่) H(Br) ดังนั้น เนื่องจาก H(Br) ได้รับการลงนามแบบดิจิทัลโดยผู้ตรวจสอบจำนวนมากเพียงพอ ขั้นตอนสุดท้ายของโปรโตคอล BA ผู้ใช้ในระบบจะทราบว่า H(Br) คือ hash ของใหม่ บล็อก อย่างไรก็ตาม พวกเขายังต้องดึงข้อมูล (หรือรอ เนื่องจากการดำเนินการค่อนข้างไม่พร้อมกัน) บล็อก Br เอง ซึ่งโปรโตคอลทำให้มั่นใจได้ว่าจะพร้อมใช้งานจริง ไม่ว่าฝ่ายตรงข้ามจะเป็นอย่างไรก็ตาม อาจจะทำ ความไม่ตรงกันและการกำหนดเวลา Algorand ′ 1 และ Algorand ′ 2 มีระดับความไม่ตรงกันอย่างมีนัยสำคัญ ที่เป็นเช่นนี้เพราะปฏิปักษ์มีละติจูดมากในการจัดตารางเวลาการส่งข้อความ แพร่กระจาย นอกจากนี้ไม่ว่าจำนวนก้าวทั้งหมดในแต่ละรอบจะจำกัดหรือไม่ก็ตาม ความแปรปรวนมีส่วนช่วยตามจำนวนขั้นตอนที่ดำเนินการจริง ทันทีที่เขาเรียนรู้ใบรับรองของ B0 . . , Br−1 ผู้ใช้ที่ฉันคำนวณ Qr−1 และเริ่มทำงาน ในรอบ r ตรวจสอบว่าเขาเป็นผู้นำที่มีศักยภาพหรือเป็นผู้ตรวจสอบในบางขั้นตอนของรอบ r สมมติว่าฉันต้องดำเนินการในขั้นตอน s เนื่องจากความไม่ซิงโครนัสที่กล่าวถึง ฉันอาศัยปัจจัยต่างๆ กลยุทธ์เพื่อให้แน่ใจว่าเขามีข้อมูลที่เพียงพอก่อนดำเนินการ ตัวอย่างเช่น เขาอาจรอรับข้อความอย่างน้อยตามจำนวนที่กำหนดจากผู้ตรวจสอบ ขั้นที่แล้ว หรือรอสักระยะ เพื่อให้ได้รับข้อความอย่างเพียงพอ ผู้ตรวจสอบจำนวนมากของขั้นตอนก่อนหน้า Seed Qr และพารามิเตอร์ Look-Back k จำไว้ว่าตามหลักการแล้ว ปริมาณ Qr ควรจะเป็น สุ่มและเป็นอิสระ แม้ว่าพวกเขาจะไม่ถูกควบคุมโดย ฝ่ายตรงข้าม เมื่อมองแวบแรก เราสามารถเลือก Qr−1 ให้ตรงกับ H จ่าย r−1 และด้วยเหตุนี้จึงหลีกเลี่ยงที่จะ ระบุ Qr−1 อย่างชัดเจนใน Br−1 อย่างไรก็ตาม การวิเคราะห์เบื้องต้นเผยให้เห็นว่าผู้ใช้ที่เป็นอันตรายอาจทำได้ ใช้ประโยชน์จากกลไกการคัดเลือกนี้11 ความพยายามเพิ่มเติมบางอย่างแสดงให้เห็นว่ามีกลไกอื่นๆ มากมาย 11เราอยู่ที่จุดเริ่มต้นของรอบ r −1 ดังนั้น Qr−2 = PAY r−2 จึงเป็นที่รู้จักอย่างเปิดเผย และปฏิปักษ์เป็นการส่วนตัว รู้ว่าใครคือผู้นำที่มีศักยภาพที่เขาควบคุม สมมติว่าฝ่ายตรงข้ามควบคุมผู้ใช้ 10% และ ด้วยความน่าจะเป็นที่สูงมาก ผู้ใช้ที่เป็นอันตราย w เป็นผู้นำที่มีศักยภาพของรอบ r −1 นั่นก็คือ สมมุติว่า ฮ เอสไอจี r −2, 1, Qr−2 มีขนาดเล็กมากจนไม่น่าเป็นไปได้อย่างยิ่งที่ผู้นำที่ซื่อสัตย์จะเป็นเช่นนั้นจริงๆ ผู้นำของรอบ r −1 (โปรดจำไว้ว่า เนื่องจากเราเลือกผู้นำที่มีศักยภาพผ่านกลไกการเรียงลำดับการเข้ารหัสลับ ปฏิปักษ์ไม่รู้ว่าใครเป็นผู้นำที่ซื่อสัตย์) ปฏิปักษ์จึงอยู่ในที่น่าอิจฉา ตำแหน่งในการเลือกชุดการจ่ายเงิน PAY ′ ที่เขาต้องการ และให้กลายเป็นชุดการจ่ายเงินอย่างเป็นทางการของรอบ r −1 อย่างไรก็ตาม เขาสามารถทำได้มากกว่านี้ เขายังสามารถมั่นใจได้ว่า มีความเป็นไปได้สูงที่ () ผู้ใช้ที่เป็นอันตรายรายหนึ่งของเขาจะเป็นผู้นำ ของรอบ r ด้วย เพื่อให้เขาสามารถเลือกได้ว่า PAY r จะเป็นอย่างไร (และอื่นๆ อย่างน้อยก็เป็นเวลานานๆ นั่นก็คือ ตราบใดที่เหตุการณ์ความน่าจะเป็นสูงเหล่านี้เกิดขึ้นจริง) เพื่อรับประกัน () ฝ่ายตรงข้ามจะดำเนินการดังต่อไปนี้ ให้จ่าย ′ เป็นค่าตอบแทนที่ฝ่ายตรงข้ามชอบสำหรับรอบ r −1 จากนั้น เขาจะคำนวณ H(PAY ′) และตรวจสอบว่าสำหรับบางส่วนหรือไม่ ผู้เล่นที่เป็นอันตรายอยู่แล้ว z, SIGz(r, 1, H(PAY ′)) มีขนาดเล็กเป็นพิเศษ นั่นคือ เล็กพอที่จะมีค่าสูงมาก ความน่าจะเป็น z จะเป็นผู้นำของรอบ r หากเป็นกรณีนี้ เขาสั่งให้ w เลือกกลุ่มผู้สมัครของเขาที่จะเป็นทางเลือกอื่นซึ่งขึ้นอยู่กับปริมาณบล็อกแบบดั้งเดิมนั้นฝ่ายตรงข้ามสามารถหาประโยชน์ได้อย่างง่ายดายเพื่อให้มั่นใจ ที่ผู้นำใจร้ายมีบ่อยมาก เรากลับกำหนดแบรนด์ของเราอย่างเจาะจงและจูงใจแทน ปริมาณใหม่ Qr เพื่อที่จะสามารถพิสูจน์ได้ว่าฝ่ายตรงข้ามไม่สามารถจัดการได้ กล่าวคือ Qr $\triangleq$H(SIGër(Qr−1), r) ถ้า Br ไม่ใช่บล็อกว่าง และ Qr $\triangleq$H(Qr−1, r) มิฉะนั้น สัญชาตญาณว่าทำไมการก่อสร้างงาน Qr จึงมีดังต่อไปนี้ สมมติสักครู่ว่า Qr−1 ถูกเลือกแบบสุ่มและเป็นอิสระอย่างแท้จริง แล้วจะเป็น Qr ไหม? เมื่อ LRr ซื่อสัตย์ คำตอบคือ (พูดประมาณ) ใช่ ที่เป็นเช่นนี้ก็เพราะว่า H(SIGLRr( $\cdot$ ), r) : {0, 1}256 −→{0, 1}256 เป็นฟังก์ชันสุ่ม อย่างไรก็ตาม เมื่อ ër เป็นอันตราย Qr จะไม่ถูกกำหนดจาก Qr−1 อีกต่อไป และ LRr มีค่าแยกกันอย่างน้อยสองค่าสำหรับ Qr หนึ่งยังคงเป็น Qr $\triangleq$H(SIGër(Qr−1), r) และอีกอันคือ H(Qr−1, r) ก่อนอื่นให้เราโต้แย้งว่า แม้ว่าตัวเลือกที่สองจะค่อนข้างจะไร้เหตุผล ทางเลือกที่สองเป็นสิ่งจำเป็นอย่างยิ่ง เหตุผลก็คือผู้ประสงค์ร้ายสามารถก่อเหตุได้เสมอ บล็อกผู้สมัครที่แตกต่างกันโดยสิ้นเชิงที่จะได้รับโดยผู้ตรวจสอบที่ซื่อสัตย์ของขั้นตอนที่สอง 12 หนึ่งครั้ง ในกรณีนี้ มันเป็นเรื่องง่ายที่จะตรวจสอบให้แน่ใจว่าในที่สุดบล็อกก็ตกลงกันผ่านโปรโตคอล BA ของ รอบ r จะเป็นค่าดีฟอลต์ และจะไม่มีลายเซ็นดิจิทัลของ Qr−1 ของใครเลย แต่ ระบบจะต้องดำเนินต่อไป และเพื่อสิ่งนี้ มันต้องมีผู้นำในรอบ r หากผู้นำคนนี้เป็นไปโดยอัตโนมัติ และเลือกอย่างเปิดเผย แล้วปฏิปักษ์ก็จะทำร้ายเขาเล็กน้อย หากถูกเลือกโดยก่อนหน้านี้ Qr−1 ผ่านกระบวนการเดียวกัน มากกว่า ër จะเป็นผู้นำในรอบ r+1 อีกครั้ง เราเสนอให้โดยเฉพาะ ใช้กลไกการเรียงลำดับการเข้ารหัสลับแบบเดียวกัน แต่นำไปใช้กับปริมาณ Q ใหม่: กล่าวคือ H(Qr−1, r) การให้ปริมาณนี้เป็นเอาท์พุตของ H รับประกันว่าเอาท์พุตจะเป็นแบบสุ่ม และโดยการรวม r เป็นอินพุตที่สองของ H ในขณะที่การใช้ H อื่น ๆ ทั้งหมดมีอินพุตหนึ่งหรือ 3+ “รับประกัน” ว่า Qr ดังกล่าวได้รับการคัดเลือกอย่างอิสระ อีกครั้ง ตัวเลือก Qr ทางเลือกเฉพาะของเรา ไม่สำคัญ สิ่งที่สำคัญคือ ër มีทางเลือกสองทางสำหรับ Qr และด้วยเหตุนี้เขาจึงสามารถเพิ่มโอกาสเป็นสองเท่าได้ เพื่อให้มีผู้ใช้ที่เป็นอันตรายรายอื่นเป็นผู้นำคนต่อไป ตัวเลือกสำหรับ Qr อาจมีมากมายสำหรับฝ่ายตรงข้ามที่ควบคุม ër ที่เป็นอันตราย ตัวอย่างเช่น ให้ x, y และ z เป็นผู้นำที่มีศักยภาพอันตรายสามคนของรอบ r เช่นนั้น ฮ ซิร,1 x < ฮ ซิร,1 ย < ฮ ซิร,1 z และเอช ซิร,1 z มีขนาดเล็กเป็นพิเศษ นั่นคือน้อยมากจนมีโอกาสที่ดีที่ H ซิร,1 z คือ น้อยกว่าข้อมูลรับรอง hashed ของผู้ที่มีศักยภาพเป็นผู้นำที่ซื่อสัตย์ทุกคน จากนั้นโดยขอให้ x ซ่อนของเขา หนังสือรับรอง ฝ่ายตรงข้ามมีโอกาสที่ดีที่จะให้ y เป็นผู้นำของรอบ r −1 นี้ บ่งบอกเป็นนัยว่าเขามีทางเลือกอื่นสำหรับ Qr: คือ SIGy คิวอาร์−1 . ปฏิปักษ์ก็อาจทำเช่นเดียวกัน ขอให้ทั้ง x และ y ระงับข้อมูลประจำตัวของตน เพื่อให้ z เป็นผู้นำของรอบ r −1 และได้รับตัวเลือกอื่นสำหรับ Qr: คือ SIGz คิวอาร์−1 . อย่างไรก็ตาม แน่นอนว่าแต่ละตัวเลือกเหล่านี้และตัวเลือกอื่นๆ มีโอกาสล้มเหลวไม่เป็นศูนย์ เพราะว่า ฝ่ายตรงข้ามไม่สามารถคาดเดา hash ของลายเซ็นดิจิทัลของผู้ใช้ที่ซื่อสัตย์ได้ เบอร์−1 ฉัน = (r −1, PAY ′, H(Br−2) มิฉะนั้น เขามีผู้ใช้ที่เป็นอันตรายอีกสองคน x และ y เพื่อสร้างการชำระเงินใหม่ต่อไป $\wp$′ จากที่หนึ่งไปยังอีกที่หนึ่ง จนกระทั่งสำหรับผู้ใช้ที่เป็นอันตรายบางราย z (หรือแม้แต่สำหรับผู้ใช้คงที่บางราย z) H (SIGz (PAY ′ $\cup${$\wp$})) คือ เล็กมากเช่นกัน การทดลองนี้จะหยุดลงอย่างรวดเร็ว และเมื่อปฏิปักษ์ร้องขอให้เสนอ บล็อกผู้สมัคร Br−1 ฉัน = (r −1, จ่าย ′ $\cup${$\wp$}, H(Br−2) 12เช่น เพื่อให้ง่าย (แต่สุดโต่ง) “เมื่อเวลาของขั้นตอนที่สองกำลังจะหมดลง” ër สามารถ ส่งอีเมลถึงบล็อกผู้สมัคร Bi ที่แตกต่างกันโดยตรงไปยังผู้ใช้แต่ละคน i ด้วยวิธีนี้ ไม่ว่าใครก็ตามที่เป็นผู้ตรวจสอบขั้นตอนที่ 2 อาจเป็นพวกเขา จะได้รับบล็อกที่แตกต่างกันโดยสิ้นเชิงการวิเคราะห์อย่างรอบคอบเหมือน Markov-chain แสดงให้เห็นว่า ไม่ว่าฝ่ายตรงข้ามจะเลือกตัวเลือกใดก็ตาม ที่จะทำในรอบ r −1 ตราบใดที่เขาไม่สามารถฉีดผู้ใช้ใหม่เข้าสู่ระบบได้ เขาไม่สามารถลดค่าได้ ความน่าจะเป็นของผู้ใช้ที่ซื่อสัตย์ที่จะเป็นผู้นำของรอบ r + 40 ต่ำกว่า h มาก นี่คือสาเหตุที่ทำให้ ซึ่งเราเรียกร้องให้ผู้นำที่มีศักยภาพของรอบ r เป็นผู้ใช้ที่มีอยู่แล้วในรอบ r −k มันเป็นวิธีที่จะทำให้แน่ใจว่า ในรอบ r −k ปฏิปักษ์ไม่สามารถเปลี่ยนแปลงความน่าจะเป็นที่ ผู้ใช้ที่ซื่อสัตย์จะเป็นผู้นำของ Round r ในความเป็นจริงไม่ว่าเขาจะเพิ่มผู้ใช้คนใดก็ตาม ระบบในรอบ r −k ถึง r พวกเขาไม่มีคุณสมบัติที่จะเป็นผู้นำที่มีศักยภาพ (และ fortiori ผู้นำ) ของรอบ r ดังนั้นพารามิเตอร์การมองย้อนกลับ k ในที่สุดจึงเป็นพารามิเตอร์ความปลอดภัย (ถึงแม้ว่า ดังที่เราจะเห็นในหัวข้อที่ 7 มันสามารถเป็น “พารามิเตอร์ความสะดวกสบาย” ได้เช่นกัน) กุญแจชั่วคราว แม้ว่าการดำเนินการตามโปรโตคอลของเราไม่สามารถสร้างทางแยกได้ ยกเว้นด้วย ความน่าจะเป็นเล็กน้อย ฝ่ายตรงข้ามสามารถสร้างทางแยกที่บล็อก rth หลังจากถูกต้องตามกฎหมาย บล็อก r ถูกสร้างขึ้นแล้ว โดยคร่าวๆ เมื่อ Br ถูกสร้างขึ้น ฝ่ายตรงข้ามจะได้เรียนรู้ว่าใครเป็นผู้ตรวจสอบแต่ละขั้นตอน ของรอบ r คือ ดังนั้นเขาจึงสามารถทุจริตทั้งหมดและบังคับให้พวกเขารับรองบล็อกใหม่ได้ ฉ บ. เนื่องจากบล็อกปลอมนี้อาจเผยแพร่ได้หลังจากบล็อกที่ถูกต้องเท่านั้น นั่นคือผู้ใช้ที่เผยแพร่ไปแล้ว การเอาใจใส่จะไม่ถูกหลอก13 อย่างไรก็ตาม ฉ Br จะถูกทางวากยสัมพันธ์และเรา ต้องการป้องกันไม่ให้ถูกผลิต เราทำเช่นนั้นโดยใช้กฎใหม่ โดยพื้นฐานแล้ว สมาชิกของผู้ตรวจสอบจะตั้งค่า SV r,s ของขั้นตอน s ของรอบ r ใช้กุญแจสาธารณะชั่วคราว pkr,s ฉัน เพื่อเซ็นข้อความแบบดิจิทัล คีย์เหล่านี้เป็นคีย์แบบใช้ครั้งเดียวเท่านั้นและมีคีย์ลับที่เกี่ยวข้อง skr,s ฉัน จะถูกทำลายทันทีที่ใช้ ด้วยวิธีนี้ ถ้ามีผู้ตรวจสอบ เสียหายในภายหลัง ฝ่ายตรงข้ามไม่สามารถบังคับให้เขาลงนามสิ่งอื่นใดที่เขาไม่ได้ลงนามในตอนแรก โดยปกติแล้ว เราต้องแน่ใจว่าเป็นไปไม่ได้ที่ฝ่ายตรงข้ามจะคำนวณคีย์ใหม่ g ประชาสัมพันธ์ ฉัน และโน้มน้าวผู้ใช้โดยสุจริตว่านี่คือคีย์ชั่วคราวที่ถูกต้องของตัวตรวจสอบ i $\in$SV r,s ที่จะใช้ในขั้นตอน s 4.2 สรุปทั่วไปของสัญกรณ์ แนวคิด และพารามิเตอร์ สัญกรณ์ • r $\geq$0: หมายเลขรอบปัจจุบัน • s $\geq$1: หมายเลขขั้นตอนปัจจุบันในรอบ r • Br: บล็อกที่สร้างขึ้นในรอบ r • PKr: ชุดของกุญแจสาธารณะในตอนท้ายของรอบ r −1 และที่จุดเริ่มต้นของรอบ r • Sr: สถานะของระบบเมื่อสิ้นสุดรอบ r −1 และเมื่อเริ่มรอบ r.14 • PAY r: ชุดการจ่ายเงินที่อยู่ใน Br. • ër: ผู้นำแบบ Round-R ër เลือกชุดการจ่ายเงิน PAY r ของรอบ r (และกำหนด Qr ถัดไป) • Qr: เมล็ดของรอบ r ซึ่งเป็นปริมาณ (เช่น สตริงไบนารี่) ที่สร้างขึ้นเมื่อสิ้นสุดรอบ r และใช้เพื่อเลือกผู้ตรวจสอบสำหรับรอบ r + 1 Qr ไม่ขึ้นอยู่กับชุดการจ่ายเงินในบล็อก และไม่สามารถถูกควบคุมโดย LRr ได้ 13พิจารณาสร้างความเสียหายให้กับผู้ประกาศข่าวของเครือข่ายโทรทัศน์รายใหญ่ และผลิตและออกอากาศรายการข่าวในปัจจุบัน แสดงให้เห็นเลขาธิการคลินตันชนะการเลือกตั้งประธานาธิบดีครั้งล่าสุด พวกเราส่วนใหญ่จะรับรู้ว่ามันเป็นเรื่องหลอกลวง แต่ คนที่ออกจากอาการโคม่าอาจถูกหลอกได้ 14ในระบบที่ไม่ซิงโครนัส แนวคิดเรื่อง "จุดสิ้นสุดของรอบ r −1" และ "จุดเริ่มต้นของรอบ r" จำเป็นต้องกำหนดอย่างรอบคอบ ในทางคณิตศาสตร์ PKr และ Sr คำนวณจากสถานะเริ่มต้น S0 และบล็อก บี1, . . . , Br−1• SV r,s: ชุดของตัวตรวจสอบที่เลือกสำหรับขั้นตอน s ของรอบ r • SV r: ชุดของตัวตรวจสอบที่เลือกสำหรับรอบ r, SV r = $\cup$s$\geq$1SV r,s • MSV r,s และ HSV r,s: ตามลำดับ ชุดของตัวตรวจสอบที่เป็นอันตรายและชุดของตัวตรวจสอบที่ซื่อสัตย์ ใน SV r,s MSV r,s $\cup$HSV r,s = SV r,s และ MSV r,s ∩HSV r,s = $\emptyset$ • n1 $\in$Z+ และ n $\in$Z+: ตามลำดับ จำนวนที่คาดหวังของผู้นำที่มีศักยภาพในแต่ละ SV r,1 และจำนวนผู้ตรวจสอบที่คาดหวังในแต่ละ SV r,s สำหรับ s > 1 โปรดสังเกตว่า n1 << n เนื่องจากเราต้องการสมาชิกที่ซื่อสัตย์และซื่อสัตย์อย่างน้อยหนึ่งคนใน SV r,1 แต่อย่างน้อย สมาชิกที่ซื่อสัตย์ส่วนใหญ่ในแต่ละ SV r,s สำหรับ s > 1 • h $\in$(0, 1): ค่าคงที่มากกว่า 2/3 h คืออัตราส่วนความซื่อสัตย์ในระบบ นั่นก็คือ เศษของผู้ใช้ที่ซื่อสัตย์หรือเงินที่ซื่อสัตย์ ขึ้นอยู่กับสมมติฐานที่ใช้ในแต่ละ PKr อย่างน้อยชั่วโมง • H: ฟังก์ชันการเข้ารหัสลับ hash ซึ่งจำลองเป็นแบบสุ่ม oracle • $\bot$: สตริงพิเศษที่มีความยาวเท่ากับเอาต์พุตของ H. • F $\in$(0, 1): พารามิเตอร์ที่ระบุความน่าจะเป็นของข้อผิดพลาดที่อนุญาต ความน่าจะเป็น $\leq$F คือ ถือว่า "เล็กน้อย" และความน่าจะเป็น $\geq$1 −F ถือว่า "ล้นหลาม" • ph $\in$(0, 1): ความน่าจะเป็นที่ผู้นำของรอบ r, ër มีความเที่ยงตรง ตามหลักการแล้ว ph = h ด้วย การมีอยู่ของฝ่ายตรงข้าม ค่า ph จะถูกกำหนดในการวิเคราะห์ • k $\in$Z+: พารามิเตอร์การมองย้อนกลับ นั่นคือ รอบ r −k คือตำแหน่งที่ตัวยืนยันสำหรับรอบ r อยู่ เลือกจาก —ได้แก่ SV r $\subseteq$PKr−k.15 • p1 $\in$(0, 1): สำหรับขั้นตอนแรกของรอบ r ผู้ใช้ในรอบ r −k จะถูกเลือกให้อยู่ใน SV r,1 ด้วย ความน่าจะเป็น p1 $\triangleq$ n1 |P Kr−k|. • p $\in$(0, 1): สำหรับแต่ละขั้นตอน s > 1 ของรอบ r ผู้ใช้ในรอบ r −k จะถูกเลือกให้อยู่ใน SV r,s โดยมี ความน่าจะเป็น p $\triangleq$ n |P Kr−k|. • CERT r: ใบรับรองสำหรับ Br. เป็นชุดลายเซ็นต์ของ H(Br) จากผู้ตรวจสอบที่เหมาะสม รอบร. • Br $\triangleq$(Br, CERT r) เป็นบล็อกที่ได้รับการพิสูจน์แล้ว ผู้ใช้ที่ฉันรู้จัก Br ว่าเขาครอบครอง (และยืนยันได้สำเร็จ) ทั้งสองส่วนของบล็อกที่พิสูจน์แล้วหรือไม่ โปรดทราบว่า CERT ที่ผู้ใช้รายอื่นเห็นอาจแตกต่างกัน • τ ร i : เวลา (ท้องถิ่น) ที่ผู้ใช้ที่ฉันรู้จัก Br ในโปรโตคอล Algorand ผู้ใช้แต่ละคนมีของเขา นาฬิกาของตัวเอง นาฬิกาของผู้ใช้ที่แตกต่างกันไม่จำเป็นต้องซิงโครไนซ์ แต่ต้องมีความเร็วเท่ากัน เพื่อจุดประสงค์ในการวิเคราะห์เท่านั้น เราจะพิจารณานาฬิกาอ้างอิงและวัดผลผู้เล่น เวลาที่เกี่ยวข้องด้วยความเคารพ • $\alpha$r,s ฉัน และ $\beta$r,s i : เวลา (ท้องถิ่น) ตามลำดับที่ผู้ใช้ที่ฉันเริ่มต้นและสิ้นสุดการดำเนินการตามขั้นตอน s ของ รอบร. • Λ และ แลมบ์: โดยพื้นฐานแล้ว คือขอบเขตบนของเวลาที่ต้องใช้ในการดำเนินการขั้นตอนที่ 1 และตามลำดับ เวลาที่จำเป็นสำหรับขั้นตอนอื่นใดของโปรโตคอล Algorand พารามิเตอร์ Λ ขอบเขตบนของเวลาในการเผยแพร่บล็อกขนาด 1MB เดียว (ในสัญกรณ์ของเรา Λ = แลร์,1MB. เมื่อนึกถึงสัญกรณ์ของเรา ที่เราตั้งค่า $\rho$ = 1 เพื่อความเรียบง่าย และบล็อกนั้นก็คือ เลือกให้มีความยาวสูงสุด 1MB เรามี Λ = แลมบ์ดา 1,1,1MB) 15ถ้าพูดอย่างเคร่งครัด “r −k” ควรเป็น “สูงสุด{0, r −k}”พารามิเตอร์ แล เหนือเวลาในการเผยแพร่ข้อความขนาดเล็กหนึ่งข้อความต่อผู้ตรวจสอบในขั้นตอน s > 1 (การใช้ลายเซ็นเส้นโค้งวงรีที่มีคีย์ 32B เช่นเดียวกับใน Bitcoin ข้อความยืนยันจะมีความยาว 200B ดังนั้นในสัญกรณ์ของเรา แล = แลม, $\rho$, 200B.) เราถือว่า Λ = O(แล) แนวคิด • การเลือกผู้ตรวจสอบ สำหรับแต่ละรอบ r และขั้นตอน s > 1, SV r,s $\triangleq${i $\in$PKr−k : .H(SIGi(r, s, Qr−1)) $\leq$p} แต่ละ ผู้ใช้ i $\in$PKr−k คำนวณลายเซ็นของเขาเป็นการส่วนตัวโดยใช้คีย์ระยะยาวของเขาและตัดสินใจว่า ฉัน $\in$SV r,s หรือไม่ ถ้า i $\in$SV r,s แล้ว SIGi(r, s, Qr−1) จะเป็น i (r, s) -credential แทนด้วยเครื่องหมายย่อ โดย $\sigma$r,s ฉัน สำหรับขั้นตอนแรกของรอบ r, SV r,1 และ $\sigma$r,1 ฉัน ถูกกำหนดในทำนองเดียวกัน โดยที่ p แทนที่ด้วย p1 ที่ ผู้ตรวจสอบใน SV r,1 เป็นผู้นำที่มีศักยภาพ • การคัดเลือกผู้นำ ผู้ใช้ i $\in$SV r,1 เป็นผู้นำของรอบ r เขียนแทนด้วย ër ถ้า H($\sigma$r,1 ผม ) $\leq$H($\sigma$r,1 j ) เพื่อศักยภาพทั้งหมด ผู้นำ j $\in$SV r,1 เมื่อใดก็ตามที่มีการเปรียบเทียบ hashes ของข้อมูลประจำตัวของผู้เล่นสองคน ในสถานการณ์ที่ไม่น่าเป็นไปได้ ในกรณีที่มีความสัมพันธ์ โปรโตคอลจะตัดความสัมพันธ์ตามพจนานุกรมเสมอตาม (สาธารณะระยะยาว กุญแจของ) ผู้นำที่มีศักยภาพ ตามคำจำกัดความแล้ว ค่า hash ของข้อมูลประจำตัวของผู้เล่น ër ก็มีค่าน้อยที่สุดในบรรดาผู้ใช้ทั้งหมดใน PKr−k โปรดทราบว่าผู้ที่มีศักยภาพเป็นผู้นำไม่สามารถตัดสินใจเป็นการส่วนตัวได้ว่าเขาเป็นผู้นำหรือไม่ โดยไม่เห็นข้อมูลรับรองของผู้ที่อาจเป็นผู้นำคนอื่นๆ เนื่องจากค่า hash เป็นค่าเดียวกันโดยการสุ่ม เมื่อ SV r,1 ไม่ว่างเปล่า ดังนั้น ër จึงมีอยู่เสมอและเป็น ซื่อสัตย์กับความน่าจะเป็นอย่างน้อย h พารามิเตอร์ n1 มีขนาดใหญ่พอที่จะทำให้มั่นใจว่าแต่ละรายการ SV r,1 ไม่ว่างเปล่าและมีความน่าจะเป็นอย่างท่วมท้น • โครงสร้างบล็อก บล็อกที่ไม่ว่างจะมีรูปแบบ Br = (r, PAY r, SIGër(Qr−1), H(Br−1)) และบล็อกว่าง อยู่ในรูปแบบ Br ǫ = (r, $\emptyset$, Qr−1, H(Br−1)) โปรดทราบว่าบล็อกที่ไม่ว่างเปล่าอาจยังคงมีชุดการจ่ายเงินว่าง PAY r หากไม่มีการชำระเงินเกิดขึ้น รอบนี้หรือถ้าผู้นำมีเจตนาร้าย อย่างไรก็ตาม บล็อกที่ไม่ว่างเปล่าแสดงถึงตัวตนของ ër หนังสือรับรองของเขา $\sigma$r,1 ër และ SIGër(Qr−1) ทั้งหมดได้รับการเปิดเผยอย่างทันท่วงที โปรโตคอลรับประกัน ว่าถ้าผู้นำมีความซื่อสัตย์ บล็อกก็จะไม่ว่างเปล่าและมีความเป็นไปได้อย่างท่วมท้น • เมล็ดพันธุ์คิวอาร์ ถ้า Br ไม่ว่างเปล่า ดังนั้น Qr $\triangleq$H(SIGër(Qr−1), r) มิฉะนั้น Qr $\triangleq$H(Qr−1, r) พารามิเตอร์ • ความสัมพันธ์ระหว่างพารามิเตอร์ต่างๆ — ผู้ตรวจสอบและผู้ที่อาจเป็นผู้นำของรอบ r จะถูกเลือกจากผู้ใช้ใน PKr−k โดยที่ k ถูกเลือกเพื่อให้ปฏิปักษ์ไม่สามารถทำนาย Qr−1 ย้อนกลับไปที่รอบ r −k −1 ด้วยความน่าจะเป็นที่ดีกว่า F: ไม่เช่นนั้นเขาจะสามารถแนะนำผู้ใช้ที่เป็นอันตรายได้ สำหรับรอบ r −k ซึ่งทั้งหมดจะเป็นผู้นำ/ผู้ตรวจสอบในรอบ r สำเร็จ

มีผู้นำที่ประสงค์ร้ายหรือเสียงส่วนใหญ่ที่ประสงค์ร้ายใน SV r สำหรับบางขั้นตอนที่ต้องการ เขา — สำหรับขั้นตอนที่ 1 ของแต่ละรอบ r จะมีการเลือก n1 เพื่อให้มีความน่าจะเป็นอย่างท่วมท้น SV r,1 ̸= $\emptyset$ • ตัวอย่างตัวเลือกของพารามิเตอร์ที่สำคัญ — ผลลัพธ์ของ H มีความยาว 256 บิต — ชั่วโมง = 80%, n1 = 35 — Λ = 1 นาที และ แล = 10 วินาที • การเริ่มต้นของโปรโตคอล โปรโตคอลเริ่มต้นที่เวลา 0 โดย r = 0 เนื่องจากไม่มี “B−1” หรือ “CERT −1” ทางวากยสัมพันธ์ B−1 เป็นพารามิเตอร์สาธารณะที่มีองค์ประกอบที่สามระบุ Q−1 และผู้ใช้ทั้งหมด ทราบ B−1 ณ เวลา 0

Algorand '

1 이 섹션에서는 다음 가정 하에 작동하는 Algorand ' 버전을 구성합니다. 정직한 다수의 사용자 가정: 각 PKr의 사용자 중 2/3 이상이 정직합니다. 섹션 8에서는 위의 가정을 원하는 정직한 다수로 대체하는 방법을 보여줍니다. 돈 가정. 5.1 추가 표기법 및 매개변수 표기법 • m $\in$Z+: 바이너리 BA 프로토콜의 최대 단계 수, 3의 배수. • Lr $\leq$m/3: 1을 확인하는 데 필요한 베르누이 시행 횟수를 나타내는 무작위 변수, 각 시행이 확률 ph로 1일 때 2이며 최대 m/3 시도가 있습니다. 모든 시도가 실패하면 Lr $\triangleq$m/3. Lr은 블록 Br을 생성하는 데 필요한 시간의 상한을 설정하는 데 사용됩니다. • tH = 2n 3 + 1: 프로토콜 종료 조건에 필요한 서명 수입니다. • CERT r: Br에 대한 인증서입니다. 이는 적절한 검증자로부터 나온 H(Br)의 tH 서명 세트입니다. 라운드 r. 매개변수 • 다양한 매개변수 간의 관계. — 라운드 r의 각 단계 s > 1에 대해 압도적인 확률로 n이 선택됩니다. |HSV r,s| > 2|MSV r,s| 그리고 |HSV r,s| + 4|MSV r,s| <2n. h 값이 1에 가까울수록 n은 더 작아야 합니다. 특히, 우리는 (변종 of) 원하는 조건이 압도적인 확률로 유지되도록 Chernoﬀbounds. — m은 압도적인 확률로 Lr < m/3이 되도록 선택됩니다. • 중요한 매개변수의 예시 선택. — F = 10−12. — n $\approx$1500, k = 40 및 m = 180.5.2 Algorand '에서 임시 키 구현 1 이미 언급했듯이 검증자 i $\in$SV r,s가 자신의 메시지 mr,s에 디지털 서명을 하기를 바랍니다. 나 단계의 임시 공개 키 pkr,s에 상대적인 라운드 r의 s i , 임시 비밀 키 skr을 사용하여 나 그 그는 사용 후 즉시 파괴합니다. 따라서 우리는 모든 사용자가 다음을 수행할 수 있도록 하는 효율적인 방법이 필요합니다. pkr,s를 확인하세요. 나 은 실제로 mr,s의 i 서명을 확인하는 데 사용되는 열쇠입니다. 나. 우리는 (최선을 다해) 그렇게 합니다. 우리가 아는 한) 신원 기반 서명 체계의 새로운 사용. 높은 수준에서 이러한 체계에서 중앙 기관 A는 공개 마스터 키 PMK를 생성합니다. 그리고 해당 비밀 마스터 키인 SMK. 플레이어 U의 신원 U가 주어지면 A는 다음을 계산합니다. 공개 키 U와 관련된 비밀 서명 키 skU인 SMK를 통해 개인적으로 skU를 다음 사용자에게 제공합니다. U. (실제로 신원 기반 디지털 서명 체계에서 사용자 U의 공개 키는 U 자체입니다!) 이런 식으로 A가 활성화하려는 사용자의 비밀 키를 계산한 후 SMK를 파괴하면 디지털 서명을 생성하고 계산된 비밀 키를 보관하지 않는 경우 U는 유일한 사람입니다. 공개 키 U를 기준으로 메시지에 디지털 방식으로 서명할 수 있습니다. 따라서 "U의 이름"을 아는 사람은 누구나 자동으로 U의 공개 키를 알고 있으므로 U의 서명을 확인할 수 있습니다(아마도 공개 마스터 키 PMK). 우리의 응용 프로그램에서 권한 A는 사용자 i이고 가능한 모든 사용자 집합 U는 다음과 일치합니다. 예를 들어 S = {i}$\times${r′,… . . , r′ +106}$\times${1, . . . , m+3}, 여기서 r′은 주어진 것입니다. 라운드, m + 3은 라운드 내에서 발생할 수 있는 단계 수의 상한입니다. 이 방법, pkr, s 나 $\triangleq$(i, r, s), 모든 사람이 i의 서명 SIGr,s를 볼 수 있도록 pkr,s 나 (미스터, s 나) 할 수 있어, 압도적으로 확률, r'에 이어 처음 백만 라운드 r에 대해 즉시 검증합니다. 즉, i는 먼저 PMK와 SMK를 생성합니다. 그리고 그는 PMK가 나의 주인임을 공개한다 모든 라운드 r $\in$[r′, r′ + 106]에 대한 공개 키이며 SMK를 사용하여 비밀을 개인적으로 생성하고 저장합니다. 키 skr,s 나 각 트리플(i, r, s) $\in$S에 대해. 이 작업이 완료되면 그는 SMK를 파괴합니다. 만약 그가 그렇지 않다고 판단한다면 SV r,s의 일부라면 skr,s를 떠나도 됩니다. 나 혼자 (프로토콜에서는 그가 인증을 요구하지 않기 때문에 라운드 r의 단계 s에 있는 모든 메시지) 그렇지 않으면 먼저 skr,s를 사용합니다. 나 그의 메시지에 디지털 서명을 하려고 나 , 그리고 그런 다음 skr,s를 파괴합니다. 나. 그가 처음 시스템에 들어갈 때 그의 첫 번째 공개 마스터 키를 공개할 수 있다는 점에 유의하세요. 즉, i를 시스템으로 가져오는 동일한 지불(라운드 r' 또는 r'에 가까운 라운드)은 또한 i의 요청에 따라 모든 라운드 r $\in$[r′, r′ + 106]에 대한 i의 공개 마스터 키가 PMK임을 지정합니다. 예를 들어 다음과 같습니다. (PMK, [r', r' + 106]) 형식의 쌍을 포함합니다. 또한 m + 3은 라운드의 최대 단계 수이므로 라운드가 다음과 같이 가정됩니다. 1분이면 생성된 임시 키는 거의 2년 동안 보관됩니다. 동시에 시간이 지나면 이 임시 비밀 키를 생성하는 데 너무 오래 걸리지 않을 것입니다. 타원 곡선 기반 사용 32B 키가 있는 시스템에서는 각 비밀 키가 몇 마이크로초 안에 계산됩니다. 따라서 m + 3 = 180이면, 그러면 1억 8천만 개의 비밀 키를 모두 1시간 이내에 계산할 수 있습니다. 현재 라운드가 r' + 106에 가까워지면 다음 백만 라운드를 처리하기 위해 i 새로운 (PMK', SMK') 쌍을 생성하고 다음 임시 키 보관이 무엇인지 알려줍니다. —예를 들어 — SIGi(PMK′, [r′ + 106 + 1, r′ + 2 $\cdot$ 106 + 1])를 사용하면 새 블록을 입력하거나 별도의 "거래" 또는 결제의 일부인 추가 정보로 표시됩니다. 그렇게 함으로써, 다음에는 PMK'를 사용하여 나의 임시 서명을 확인해야 한다고 모든 사람에게 알립니다. 백만 라운드. 등. (이 기본 접근 방식에 따라 임시 키를 구현하지 않고 임시 키를 구현하는 다른 방법도 있습니다. 신원 기반 서명을 사용하는 것은 확실히 가능합니다. 예를 들어 Merkle trees를 통해.16) 16이 방법에서는 공개-비밀 키 쌍(pkr,s)을 생성합니다. 나, skr, s 나 )의 각 라운드 단계 쌍(r, s)에 대해임시 키를 구현하는 다른 방법(예: Merkle trees)도 가능합니다. 5.3 Algorand '의 단계 일치 BA⋆의 것과 1 우리가 말했듯이 Algorand ′의 라운드 1에는 최대 m + 3개의 단계가 있습니다. 1단계. 이 단계에서 각 잠재적 리더 i는 자신의 후보 블록 Br을 계산하고 전파합니다. 나 , 자신의 자격증명 $\sigma$r,1과 함께 나. 이 자격 증명은 i를 명시적으로 식별한다는 점을 기억하세요. 이는 $\sigma$r,1이기 때문에 그렇습니다. 나 $\triangleq$SIGi(r, 1, Qr−1). 잠재적 검증자 i는 또한 메시지의 일부로 H(Br)라는 적절한 디지털 서명을 전파합니다. 나). 지불이나 자격 증명을 다루지 않는 i의 이 서명은 그의 임시 공개와 관련이 있습니다. 키 pkr,1 i : 즉, 그는 sigpkr을 전파합니다.1 나는 (H(Br 나)). Br을 전파하는 대신 우리의 규칙을 고려하여 나 및 sigpkr,1 나는 (H(Br i)), 그는 그럴 수도 있었어 전파된 SIGpkr,1 나는 (H(Br 나)). 그러나 우리의 분석에서는 다음에 대한 명시적인 접근 권한이 필요합니다. sigpkr,1 나는 (H(Br 나)). Steps 2. 이 단계에서 각 검증자 i는 $\ell$r을 설정합니다. 나는 hashed 자격을 갖춘 잠재적인 리더가 되고 싶습니다 는 가장 작고, Br 나는 $\ell$r이 제안한 블록이 될 것입니다 나. 효율성을 위해 우리는 Br에 직접적으로 동의하기보다는 H(Br)에 동의하고 싶다는 메시지를 전파합니다. BA⋆의 첫 번째 단계에서 초기 값 v'로 전파됨 나는 = H(Br 나). 즉, 그는 v'를 전파한다 나, 물론 일시적으로 서명한 후에요. (즉, 오른쪽 임시 항목을 기준으로 서명한 후 공개 키(이 경우 pkr,2) i .) 물론 나도 자신의 자격 증명을 전송합니다. BA⋆의 첫 번째 단계는 등급 합의 프로토콜 GC의 첫 번째 단계로 구성되므로, Step Algorand '의 2는 GC의 첫 번째 단계에 해당합니다. 단계 3. 이 단계에서 각 검증자 i $\in$SV r,2는 BA⋆의 두 번째 단계를 실행합니다. 즉, 그는 다음을 보낸다. 그가 GC의 두 번째 단계에서 보냈을 것과 동일한 메시지입니다. 다시 말하지만, 내 메시지는 임시적입니다. 서명하고 본인의 증명서를 첨부합니다. (이제부터 검증인이라는 말은 생략하겠습니다. 그의 메시지에 일시적으로 서명하고 그의 자격 증명도 전파합니다.) 4단계. 이 단계에서 모든 검증자 i $\in$SV r,4는 GC의 출력(vi, gi)을 계산하고 일시적으로 BA⋆의 세 번째 단계, 즉 BBA⋆의 첫 번째 단계, gi = 2이면 초기 비트가 0이고 그렇지 않으면 1입니다. 단계 s = 5, . . . , m + 2. 이러한 단계에 도달한 경우 BA⋆의 단계 s-1에 해당하므로 다음과 같습니다. BBA⋆의 s-3단계. 우리의 전파 모델은 충분히 비동기적이므로 가능성을 고려해야 합니다. 그러한 단계 s의 중간에 검증자 i $\in$SV r,s는 그를 증명하는 정보에 의해 도달됩니다. 해당 블록 Br은 이미 선택되었습니다. 이 경우, i는 자신의 라운드 r 실행을 중지합니다. Algorand ', 라운드(r + 1) 명령어 실행을 시작합니다. {r′, . . . , r' + 106} $\times$ {1, . . . , m + 3}. 그런 다음 그는 이러한 공개 키를 정식 방식으로 주문하고 j번째 공개 키를 저장합니다. Merkle tree의 j번째 리프에 키를 입력하고 그가 공개한 루트 값 Ri를 계산합니다. 그가 서명하고 싶을 때 키 pkr,s와 관련된 메시지 나 , 저는 실제 서명뿐만 아니라 pkr,s에 대한 인증 경로도 제공합니다. 나 리에 비해 이 인증 경로는 pkr,s도 증명합니다. 나 j번째 리프에 저장된다. 나머지 세부사항을 쉽게 채울 수 있습니다.따라서 검증자의 명령 i $\in$SV r,s에 해당하는 명령 외에 BBA⋆의 s-3단계에는 BBA⋆의 실행이 이전에 중단되었는지 확인하는 것이 포함됩니다. 단계 S′. BBA⋆ 정지는 Coin-Fixed-to-0 단계 또는 Coin-Fixed-1 단계에서만 정지할 수 있으므로, 지침은 다음을 구별합니다. A (종료 조건 0): s′ −2 ‚0 mod 3, 또는 B (엔딩 조건 1): s′ −2 ‚1 mod 3. 실제로 A의 경우 블록 Br은 비어 있지 않으므로 추가 명령이 필요합니다. 적절한 인증서 CERT r과 함께 Br을 제대로 재구성하는지 확인하세요. B의 경우, 블록 Br은 비어 있으므로 i는 Br = Br로 설정하라는 지시를 받습니다. $\varepsilon$ = (r, $\emptyset$, H(Qr−1, r), H(Br−1)), CERT r을 계산합니다. 단계 s를 실행하는 동안 블록 Br이 이미 가지고 있다는 증거를 볼 수 없다면 생성된 다음 BBA⋆의 s-3 단계에서 보낸 것과 동일한 메시지를 보냅니다. 단계 m + 3. 단계 m + 3 동안 i $\in$SV r,m+3에서 블록 Br이 이미 생성된 것으로 확인되면 이전 단계 s'를 수행한 다음 위에서 설명한 대로 진행합니다. 그렇지 않으면 BBA⋆의 m단계에서 보냈을 것과 동일한 메시지를 보내는 대신, 나는 자신이 보유한 정보를 기반으로 Br과 그에 상응하는 값을 계산하도록 지시했습니다. CERT r을 인증합니다. 실제로 라운드의 총 단계 수에 대해 m + 3만큼 상한이 적용된다는 점을 기억하세요. 5.4 실제 프로토콜 라운드 r의 각 단계 s에서 검증자 i $\in$SV r,s는 장기 공개-비밀 키 쌍을 사용한다는 점을 기억하세요. 그의 자격 증명 $\sigma$r,s를 생성하기 위해 나 $\triangleq$SIGi(r, s, Qr−1) 및 SIGi Qr−1 s = 1인 경우. 검증자 i 그의 임시 비밀 키 skr,s를 사용합니다. 나 그의 (r, s) 메시지에 서명하려면 mr,s 나. 단순화를 위해 r과 s가 다음과 같을 때 확실히, sigpkr,s 대신 esigi(x)를 씁니다. i (x)는 i의 값에 대한 적절한 임시 서명을 나타냅니다. 라운드 r의 단계 s에서 x를 입력하고 SIGpkr,s 대신 ESIGi(x)를 작성합니다. i(x)는 (i, x, esigi(x))를 나타냅니다. 1단계: 블록 제안 모든 사용자 i $\in$PKr−k에 대한 지침: 사용자 i는 다음과 같이 라운드 r의 1단계를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i $\in$SV r,1 또는 아닙니다. • i /$\in$SV r,1이면 i는 1단계 실행을 즉시 중지합니다. • i $\in$SV r,1, 즉 i가 잠재적 리더라면 그는 라운드 R 지불액을 수집합니다. 지금까지 그에게 전파되어 최대 지불 세트 PAY r을 계산합니다. 나는 그들에게서. 다음으로 그는 그의 "후보 블록"Br을 계산합니다. 나는 = (r, 지불 r i , SIGi(Qr−1), H(Br−1)). 마침내 그는 계산한다. 메시지 씨,1 나 = (Br i , Esigi(H(Br i )), $\sigma$r,1 i), 그의 임시 비밀 키 skr을 파괴합니다.1 나 , 그리고 나서 Mr,1을 전파합니다. 나.주목. 실제로 1단계의 전역 실행을 단축하려면 (r, 1)- 메시지는 선택적으로 전파됩니다. 즉, 시스템의 모든 사용자 i에 대해 첫 번째 (r, 1)에 대해 그가 받은 메시지를 성공적으로 확인하면17 플레이어 i는 평소대로 이를 전파합니다. 모든 기타 (r, 1) - 플레이어 i가 수신하고 성공적으로 확인한 메시지는 hash인 경우에만 전파합니다. 포함된 자격 증명의 값은 포함된 자격 증명의 hash 값 중에서 가장 작습니다. 모든 (r, 1) 메시지에서 그는 지금까지 수신하고 성공적으로 검증했습니다. 게다가 제안한 대로 Georgios Vlachos에 따르면 각 잠재적 리더 i도 자신의 자격 증명 $\sigma$r,1을 전파하는 것이 유용합니다. 나 별도로: 이러한 작은 메시지는 블록보다 빠르게 이동하여 mr,1의 적시 전파를 보장합니다. j's 포함된 자격 증명은 작은 hash 값을 갖고, 큰 hash 값을 갖는 자격 증명을 만듭니다. 빨리 사라져라. 2단계: 단계적 합의 프로토콜 GC의 첫 번째 단계 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 2단계를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i $\in$SV r,2 또는 아닙니다. • i /$\in$SV r,2이면 i는 2단계 실행을 즉시 중지합니다. • i $\in$SV r,2이면 t2 $\triangleq$ $\lambda$ + Λ 시간을 기다린 후 i는 다음과 같이 작동합니다. 1. 그는 H($\sigma$r,1)를 만족하는 사용자 $\ell$를 찾았습니다. $\ell$) $\leq$H($\sigma$r,1 j ) 모든 자격 증명에 대해 $\sigma$r,1 j 그 일부는 그가 지금까지 수신한 성공적으로 검증된 (r, 1) 메시지입니다. 2. 그가 $\ell$a로부터 유효한 메시지 mr,1을 받았다면 $\ell$ = (Br $\ell$, 대략$\ell$(H(Br $\ell$)), $\sigma$r,1 $\ell$),b 그런 다음 i가 설정합니다. v′ 나는 $\triangleq$H(Br $\ell$); 그렇지 않으면 나는 v'를 설정한다 나는 $\triangleq$ $\bot$. 3. 나는 mr,2라는 메시지를 계산합니다. 나 $\triangleq$(ESIGi(v′ 나), $\sigma$r,2 i ),c는 자신의 임시 비밀 키를 파기합니다. skr,2 i , 그런 다음 mr,2를 전파합니다. 나. a본질적으로 사용자 i는 라운드 r의 리더가 사용자 $\ell$임을 개인적으로 결정합니다. b다시 말하지만, 플레이어 $\ell$의 서명과 hashes는 모두 성공적으로 검증되었으며 PAY r $\ell$in Br $\ell$는 다음에 대한 유효한 지불 세트입니다. 라운드 r — PAY r인지 확인하지는 않지만 $\ell$는 $\ell$또는 $\ell$에 대해 최대값입니다. c메시지 Mr,2 나 플레이어 i가 v'를 고려한다는 신호 나는 다음 블록의 hash이 되거나 다음 블록을 고려합니다. 블록이 비어 있습니다. 17즉, 모든 서명이 정확하고 블록과 해당 hash이 모두 유효합니다. 비록 제가 확인하지는 않았지만 포함된 페이세트가 제안자에게 최대인지 여부.

3단계: GC의 두 번째 단계 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 3단계를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i $\in$SV r,3 또는 아닙니다. • i /$\in$SV r,3이면 i는 3단계 실행을 즉시 중지합니다. • i $\in$SV r,3이면 t3 $\triangleq$t2 + 2$\lambda$ = 3$\lambda$ + Λ 시간만큼 기다린 후 i는 다음과 같이 작동합니다. 1. 모든 유효한 메시지 중에서 mr,2를 만족하는 v′ ̸= $\bot$값이 존재하는 경우 j 그가 받았고, 그 중 2/3 이상이 (ESIGj(v′), $\sigma$r,2 j), 모순 없이,a 그런 다음 그는 mr,3이라는 메시지를 계산합니다. 나 $\triangleq$(ESIGi(v′), $\sigma$r,3 나). 그렇지 않으면 그는 mr,3을 계산합니다. 나 $\triangleq$ (ESIGi($\bot$), $\sigma$r,3 나). 2. 나는 그의 임시 비밀 키 skr을 파괴합니다.3 i, 그런 다음 mr,3을 전파합니다. 나. a즉, 그는 각각 ESIGj(v′)와 다른 ESIGj(v′′)를 포함하는 두 개의 유효한 메시지를 수신하지 못했습니다. j 선수로부터. 나중에 정의되는 종료 조건을 제외하고 여기서부터, 정직한 플레이어가 특정 형식의 메시지를 원할 경우 서로 모순되는 메시지는 계산되지 않거나 유효한 것으로 간주되지 않습니다.4단계: GC의 출력과 BBA의 첫 번째 단계⋆ 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 4단계를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i $\in$SV r,4 또는 아닙니다. • i /$\in$SV r,4이면 i는 4단계 실행을 즉시 중지합니다. • i $\in$SV r,4이면 t4 $\triangleq$t3 + 2$\lambda$ = 5$\lambda$ + Λ 시간을 기다린 후 i는 다음과 같이 작동합니다. 1. 그는 GC의 출력인 vi와 gi를 다음과 같이 계산합니다. (a) 모든 유효한 메시지 중에서 mr,3을 만족하는 v′ ̸= $\bot$값이 존재한다면, j 그는 가지고 있다 수신된 결과 중 2/3 이상이 (ESIGj(v′), $\sigma$r,3 형식입니다. j ) 그런 다음 그는 설정합니다. vi $\triangleq$v′ 및 gi $\triangleq$2. (b) 그렇지 않은 경우, 모든 유효한 메시지 중에서 v′ ̸= $\bot$ 값이 존재하는 경우 씨,3 j 그는 그 중 1/3 이상이 다음 형식을 받았습니다. (ESIGj(v′), $\sigma$r,3 j), 그런 다음 그는 vi $\triangleq$v′ 및 gi $\triangleq$1.a를 설정합니다. (c) 그렇지 않으면 그는 vi $\triangleq$H(Br τ ) 및 gi $\triangleq$0. 2. 그는 BBA⋆의 입력인 bi를 다음과 같이 계산합니다. gi = 2이면 bi $\triangleq$0이고, 그렇지 않으면 bi $\triangleq$1입니다. 3. 그는 mr,4라는 메시지를 계산합니다. 나 $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,4 i), 그의 일시적인 것을 파괴한다 비밀키 skr,4 i , 그런 다음 mr,4를 전파합니다. 나. a경우 (b)의 v′가 존재한다면 고유해야 함을 증명할 수 있습니다.

단계 s, 5 $\leq$s $\leq$m + 2, s −2 ‚0 mod 3: BBA⋆의 코인 고정-0 단계 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i $\in$SV r,s인지 확인합니다. • i /$\in$SV r,s이면 i는 자신의 Step s 실행을 즉시 중지합니다. • i $\in$SV r,s이면 그는 다음과 같이 행동합니다. – 그는 ts $\triangleq$ts−1 + 2$\lambda$ = (2s −3)$\lambda$ + Λ 시간이 지날 때까지 기다립니다. – 종료 조건 0: 대기 중 어느 시점에나 다음과 같은 경우가 발생합니다. 문자열 v ̸= $\bot$ 그리고 다음과 같은 단계 s′ (a) 5 $\leq$s′ $\leq$s, s′ −2 pho mod 3 — 즉, s′ 단계는 Coin-Fixed-To-0 단계입니다. (b) 나는 적어도 tH를 받았다 = 2n 3 + 1 유효한 메시지 mr,s′−1 j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ), 및 (c) 나는 유효한 메시지를 받았습니다. Mr,1 j = (Br j,esigj(H(Br j )), $\sigma$r,1 j ) v = H(Br) j ), 그런 다음 나는 자신의 Step s 실행(실제로는 r 라운드 실행)을 즉시 중지합니다. 무엇이든 전파하는 것; Br = Br로 설정 j ; 자신의 CERT r을 메시지 세트로 설정합니다. 씨,s′−1 j 하위 단계 (b).b – 종료 조건 1: 그러한 대기 중 어느 시점에라도 다음이 존재하는 경우 단계 s' 그렇게 (a') 6 $\leq$s' $\leq$s, s' −2 pho1 mod 3 — 즉, 단계 s'는 Coin-Fixed-To-1 단계이고, (b') 나는 적어도 tH개의 유효한 메시지 mr,s'-1을 수신했습니다. j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j ),c 그런 다음 나는 자신의 Step s 실행(실제로는 r 라운드 실행)을 즉시 중지합니다. 무엇이든 전파하는 것; Br = Br로 설정 ? ; 자신의 CERT r을 메시지 세트로 설정합니다. 씨,s′−1 j 하위 단계 (b'). – 그렇지 않으면 대기가 끝나면 사용자 i는 다음을 수행합니다. 그는 vi를 모든 유효한 구성 요소의 두 번째 구성 요소에서 vj의 과반수 투표로 설정합니다. 씨,s−1 j ’ 그는 받았습니다. 그는 다음과 같이 bi를 계산합니다. 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), 그런 다음 bi $\triangleq$0을 설정합니다. 그렇지 않고 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), 그런 다음 bi $\triangleq$1을 설정합니다. 그렇지 않으면 bi $\triangleq$0을 설정합니다. 그는 mr,s라는 메시지를 계산합니다. 나 $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i), 그의 일시적인 것을 파괴한다 비밀 키 skr,s i , 그런 다음 mr,s를 전파합니다. 나. a 플레이어 i가 1에 서명한 j로부터 메시지를 받은 경우에도 플레이어 j로부터의 메시지는 계산됩니다. 종료 조건 1과 유사합니다. 분석에서 볼 수 있듯이 이는 모든 정직한 사용자가 알 수 있도록 수행됩니다. Br은 서로 시간 $\lambda$ 내에 있습니다. b사용자 i는 이제 Br과 자신의 라운드 r 완료를 알고 있습니다. 그는 여전히 일반 사용자로서 메시지 전파를 돕고 있지만 (r, s) 검증자로서 전파를 시작하지 않습니다. 특히 그는 자신의 모든 메시지를 전파하는 데 도움을 주었습니다. CERT r은 우리 프로토콜에 충분합니다. 또한 바이너리 BA 프로토콜에 대해 bi $\triangleq$0을 설정해야 하지만 bi 어쨌든 이 경우에는 필요하지 않습니다. 향후 모든 지침에 대해서도 유사합니다. c이 경우 vj가 무엇인지는 중요하지 않습니다.단계 s, 6 $\leq$s $\leq$m + 2, s −2 ל1 mod 3: BBA⋆의 동전 고정 1 단계 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i $\in$SV r,s 또는 아닙니다. • i /$\in$SV r,s이면 i는 자신의 Step s 실행을 즉시 중지합니다. • i $\in$SV r,s이면 그는 다음을 수행합니다. – 그는 ts $\triangleq$(2s −3)$\lambda$ + Λ 시간이 지날 때까지 기다립니다. – 종료 조건 0: Coin-Fixed-To-0 단계와 동일한 지침입니다. - 종료 조건 1 : Coin-Fixed-To-0 단계와 동일한 지침입니다. – 그렇지 않으면 대기가 끝나면 사용자 i는 다음을 수행합니다. 그는 vi를 모든 유효한 구성 요소의 두 번째 구성 요소에서 vj의 과반수 투표로 설정합니다. 씨,s−1 j ’ 그는 받았습니다. 그는 다음과 같이 bi를 계산합니다. 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), 그런 다음 bi $\triangleq$0을 설정합니다. 그렇지 않고 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), 그런 다음 bi $\triangleq$1을 설정합니다. 그렇지 않으면 bi $\triangleq$1을 설정합니다. 그는 mr,s라는 메시지를 계산합니다. 나 $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i), 그의 일시적인 것을 파괴한다 비밀 키 skr,s i , 그런 다음 mr,s를 전파합니다. 나.

단계 s, 7 $\leq$s $\leq$m + 2, s −2 ל2 mod 3: BBA⋆의 동전 뒤집기 단계 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i $\in$SV r,s 또는 아닙니다. • i /$\in$SV r,s이면 i는 자신의 Step s 실행을 즉시 중지합니다. • i $\in$SV r,s이면 그는 다음을 수행합니다. – 그는 ts $\triangleq$(2s −3)$\lambda$ + Λ 시간이 지날 때까지 기다립니다. – 종료 조건 0: Coin-Fixed-To-0 단계와 동일한 지침입니다. - 종료 조건 1 : Coin-Fixed-To-0 단계와 동일한 지침입니다. – 그렇지 않으면 대기가 끝나면 사용자 i는 다음을 수행합니다. 그는 vi를 모든 유효한 구성 요소의 두 번째 구성 요소에서 vj의 과반수 투표로 설정합니다. 씨,s−1 j ’ 그는 받았습니다. 그는 다음과 같이 bi를 계산합니다. 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), 그런 다음 bi $\triangleq$0을 설정합니다. 그렇지 않고 유효한 모든 mr,s−1의 2/3 이상이면 j 그가 받은 형식은 다음과 같습니다. (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), 그런 다음 bi $\triangleq$1을 설정합니다. 그렇지 않으면, SV r,s−1 나 그가 유효한 정보를 받은 (r, s -1)-검증자의 집합이 됩니다. 메시지 Mr,s−1 j . 그는 bi $\triangleq$lsb(minj$\in$SV r,s−1 나 H($\sigma$r,s−1 j )). 그는 mr,s라는 메시지를 계산합니다. 나 $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i), 그의 일시적인 것을 파괴한다 비밀 키 skr,s i , 그런 다음 mr,s를 전파합니다. 나.

m + 3단계: BBA⋆a의 마지막 단계 모든 사용자 i $\in$PKr−k에 대한 지침: 사용자 i는 다음과 같이 자신의 라운드 r 단계 m + 3을 시작합니다. Br-1을 알고 있습니다. • 사용자 i는 Br−1의 세 번째 구성 요소에서 Qr−1을 계산하고 i $\in$SV r,m+3 또는 아닙니다. • i /$\in$SV r,m+3이면 i는 자신의 단계 m + 3 실행을 즉시 중지합니다. • i $\in$SV r,m+3이면 그는 다음을 수행합니다. – 그는 tm+3 $\triangleq$tm+2 + 2$\lambda$ = (2m + 3)$\lambda$ + Λ 시간이 지날 때까지 기다립니다. – 종료 조건 0: Coin-Fixed-To-0 단계와 동일한 지침입니다. - 종료 조건 1 : Coin-Fixed-To-0 단계와 동일한 지침입니다. – 그렇지 않으면 대기가 끝나면 사용자 i는 다음을 수행합니다. 그는 아웃i $\triangleq$1 및 Br $\triangleq$Br을 설정합니다. ? 그는 mr,m+3이라는 메시지를 계산합니다. 나 = (ESIGi(outi), ESIGi(H(Br)), $\sigma$r,m+3 나 ), 그의 것을 파괴한다 임시 비밀 키 skr,m+3 나 , 그런 다음 mr,m+3을 전파합니다. 나 Br.b를 인증하기 위해 a압도적인 확률로 BBA⋆이 단계 전에 종료되었으며 완전성을 위해 이 단계를 지정합니다. m + 3단계의 bA 인증서에는 ESIGi(outi)가 포함될 필요가 없습니다. 통일성을 위해서만 포함합니다. 이제 인증서는 생성된 단계에 상관없이 동일한 형식을 갖습니다.비검증자에 의한 Round-r 블록 재구성 시스템의 모든 사용자 i를 위한 지침: 사용자 i는 자신이 아는 즉시 자신의 라운드 r을 시작합니다. Br−1이며, 다음과 같이 블록 정보를 기다립니다. – 그러한 대기 중 어느 시점에서나 문자열 v와 단계 s'가 존재하는 경우 그 (a) 5 $\leq$s′ $\leq$m + 3, s′ −2 ‚0 mod 3, (b) 나는 적어도 tH개의 유효한 메시지 mr,s'-1을 수신했습니다. j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ) 및 (c) 나는 유효한 메시지를 받았습니다. Mr,1 j = (Br j,esigj(H(Br j )), $\sigma$r,1 j ) v = H(Br) j ), 그러면 나는 그 자신의 라운드 r 실행을 즉시 중단합니다. Br = Br로 설정 j; 자신의 CERT r을 설정합니다. 메시지 집합 mr,s′−1 j 하위 단계 (b). – 그러한 대기 중 어느 시점에서든 다음과 같은 단계가 존재하는 경우 (a') 6 $\leq$s' $\leq$m + 3, s' −2 ‚1 mod 3, 그리고 (b') 나는 적어도 tH개의 유효한 메시지 mr,s'-1을 수신했습니다. j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j ), 그러면 나는 그 자신의 라운드 r 실행을 즉시 중단합니다. Br = Br로 설정 ?; 자신의 CERT r을 설정합니다. 메시지 집합 mr,s′−1 j 하위 단계 (b'). – 그러한 대기 중에 어느 시점에서든 내가 적어도 tH개의 유효한 메시지를 받은 경우 미스터,엠+3 j = (ESIGj(1), ESIGj(H(Br Ϋ )), $\sigma$r,m+3 j ) 그런 다음 나는 그 자신의 라운드 r 실행을 중지합니다. 즉시 Br = Br로 설정됩니다. ϫ , 자신의 CERT r을 메시지 세트 mr,m+3으로 설정합니다. j 1인용 및 H(Br ? ). 5.5 Algorand 분석 1 분석에 사용된 각 라운드 r $\geq$0에 대해 다음 표기법을 소개합니다. • T r을 첫 번째 정직한 사용자가 Br-1을 아는 시간으로 설정합니다. • Ir+1을 간격 [T r+1, T r+1 + $\lambda$]로 설정합니다. 프로토콜 초기화에 의해 T 0 = 0이라는 점에 유의하십시오. 각 s $\geq$1 및 i $\in$SV r,s에 대해 다음을 기억하세요. $\alpha$r,s 나 그리고 $\beta$r,s 나 는 각각 플레이어 i의 단계 s의 시작 시간과 종료 시간입니다. 더욱이, 각 2 $\leq$s $\leq$m + 3에 대해 ts = (2s −3)$\lambda$ + Λ임을 기억하세요. 또한 I0 $\triangleq${0} 및 t1 $\triangleq$0이라고 둡니다. 마지막으로, Lr $\leq$m/3은 베르누이 시행 횟수를 나타내는 확률변수라는 점을 기억하세요. 각 시도가 확률 ph로 1일 때 1을 확인하는 데 필요합니다. 2이며 최대 m/3 시도가 있습니다. 만약 모두 Lr $\triangleq$m/3이면 시도가 실패합니다. 분석에서 계산 시간은 실제로 필요한 시간에 비해 무시할 수 있으므로 무시합니다. 메시지를 전파하기 위해. 어쨌든 약간 더 큰 $\lambda$와 Λ를 사용하면 계산 시간이 분석에 직접 포함됩니다. 아래 진술의 대부분은 “압도적이다. 확률'을 의미하며, 분석에서 이 사실을 반복적으로 강조하지 않을 수도 있습니다.5.6 주요 정리 정리 5.1. 다음 속성은 각 라운드 r $\geq$0에 대해 압도적인 확률로 유지됩니다. 1. 모든 정직한 사용자는 동일한 블록에 동의합니다. 2. 리더 $\ell$r이 정직할 때 블록 Br은 $\ell$r에 의해 생성되고 Br에는 최대 페이세트가 포함됩니다. 시간 $\alpha$r,1까지 $\ell$r이 수신함 $\ell$r , T r+1 $\leq$T r + 8$\lambda$ + Λ 그리고 모든 정직한 사용자는 그 당시에 Br을 알고 있습니다. 간격 Ir+1. 3. 리더 $\ell$r이 악의적일 때, T r+1 $\leq$T r + (6Lr + 10)$\lambda$ + Λ이고 모든 정직한 사용자는 Br을 알고 있습니다. Ir+1 시간 간격에서. 4. Lr에 대한 ph = h2(1 + h −h2)이고 리더 $\ell$r은 적어도 ph 확률로 정직합니다. 우리의 주요 정리를 증명하기 전에 두 가지 사항을 언급하겠습니다. 비고. • 블록 생성 및 실제 지연 시간. 블록 Br을 생성하는 시간은 T r+1 −T r로 정의됩니다. 즉, 일부 정직한 사용자가 Br을 처음 배우는 시점과 Br을 처음으로 학습한 시점 간의 차이로 정의됩니다. 정직한 사용자가 처음으로 Br−1을 배웠을 때입니다. 라운드 R 리더가 정직할 때, 재산 2는 우리의 주요 정리는 Br을 생성하는 정확한 시간이 무슨 일이 있어도 8$\lambda$ + Λ 시간임을 보장합니다. h > 2/3의 정확한 값은 다음과 같습니다. 리더가 악의적인 경우 속성 3은 다음을 의미합니다. Br을 생성하는 데 예상되는 시간의 상한은 ( 12 ph + 10)$\lambda$ + Λ, 다시 한 번 정확함에 관계없이 그러나 Br이 생성되는 데 예상되는 시간은 h의 정확한 값에 따라 달라집니다. 실제로 속성 4에 따르면 ph = h2(1 + h −h2)이고 리더는 적어도 확률적으로 정직합니다. ph, 따라서 E[T r+1 −T r] $\leq$h2(1 + h −h2) $\cdot$ (8$\lambda$ + Λ) + (1 −h2(1 + h −h2))(( 12 h2(1 + h −h2) + 10)$\lambda$ + Λ). 예를 들어, h = 80%이면 E[T r+1 −T r] $\leq$12.7$\lambda$ + Λ입니다. • $\lambda$ 대 Λ. Algorand ' 단계에서 검증자가 보낸 메시지의 크기가 지배적이라는 점에 유의하세요. 디지털 서명 키의 길이는 고정되어 있을 수 있습니다. 사용자가 엄청납니다. 또한 s > 1인 모든 단계에서 동일한 예상 검증자 수 n이 있다는 점에 유의하세요. 사용자 수가 100K, 100M, 100M이든 상관없이 사용할 수 있습니다. 이는 n이 단독으로 있기 때문에 그렇습니다. h와 F에 따라 달라집니다. 따라서 비밀 키 길이를 갑자기 늘려야 하는 경우를 제외하고, $\lambda$ 값은 사용자 수가 얼마나 많든 상관없이 동일하게 유지되어야 합니다. 예측 가능한 미래. 대조적으로, 모든 거래율의 경우 거래 수는 거래 수에 따라 증가합니다. 사용자. 따라서 모든 새로운 거래를 적시에 처리하려면 블록의 크기가 같아야 합니다. 또한 사용자 수에 따라 성장하여 Λ도 성장합니다. 따라서 장기적으로 우리는 $\lambda$ << Λ. 따라서 $\lambda$에 대해서는 더 큰 계수를 갖는 것이 적절하며, 실제로 계수는 Λ의 경우 1입니다. 정리 증명 5.1. 귀납법으로 속성 1-3을 증명합니다. 라운드 r −1 동안 유지된다고 가정합니다. (일반성을 잃지 않고 r = 0일 때 "round -1" 동안 자동으로 유지됩니다), 우리는 이를 다음과 같이 증명합니다. 라운드 r. 18실제로, E[T r+1 −T r] $\leq$(6E[Lr] + 10)$\lambda$ + Λ = (6 $\cdot$ 2 ph + 10) $\lambda$ + Λ = ( 12 ph + 10) $\lambda$ + Λ.Br−1은 귀납적 가설에 의해 고유하게 정의되므로 집합 SV r,s는 고유하게 정의됩니다. 라운드 r의 각 단계 s에 대해. n1을 선택하면 SV r,1̸= $\emptyset$가 압도적인 확률로 발생합니다. 우리는 지금 섹션 5.7과 5.8에서 증명된 다음 두 가지 기본정리를 기술하십시오. 도입 과정 전반에 걸쳐 두 보조정리의 증명에서 0라운드에 대한 분석은 귀납적 단계와 거의 동일합니다. 그리고 차이점이 발생할 때 이를 강조하겠습니다. 보조정리 5.2. [완전성 정리] 속성 1~3을 가정하면 라운드 r−1에 대해 유지됩니다. $\ell$r은 솔직하고 압도적인 확률로, • 모든 정직한 사용자는 $\ell$r에 의해 생성되고 최대값을 포함하는 동일한 블록 Br에 동의합니다. 시간 $\alpha$r까지 $\ell$r만큼 수신된 페이세트,1 $\ell$r $\in$Ir; 그리고 • T r+1 $\leq$T r + 8$\lambda$ + Λ이고 모든 정직한 사용자는 Ir+1 시간 간격에서 Br을 알고 있습니다. 보조정리 5.3. [건전성 정리] 속성 1~3을 가정하면 라운드 r −1에 대해 유지됩니다. $\ell$r은 악의적이며, 압도적인 확률로 모든 정직한 사용자가 동일한 블록 Br, T r+1 $\leq$에 동의합니다. T r + (6Lr + 10)$\lambda$ + Λ이고 모든 정직한 사용자는 Ir+1 시간 간격에서 Br을 알고 있습니다. 속성 1-3은 Lemmas 5.2와 5.3을 r = 0과 유도 단계에 적용하여 유지됩니다. 마지막으로, 우리는 속성 4를 섹션 5.9에서 증명된 다음 보조정리로 다시 기술합니다. 보조정리 5.4. r 이전의 각 라운드에 대해 속성 1-3이 주어지면 Lr에 대한 ph = h2(1 + h −h2)이고 리더 $\ell$r은 적어도 ph 확률로 정직합니다. 위의 세 가지 정리를 결합하면 정리 5.1이 성립됩니다. ■ 아래의 보조 정리는 귀납법을 고려할 때 라운드 r에 대한 몇 가지 중요한 속성을 나타냅니다. 가설이며, 위의 세 가지 보조정리의 증명에 사용될 것입니다. 보조정리 5.5. 속성 1-3이 라운드 r −1에 대해 유지된다고 가정합니다. 라운드 r의 각 단계 s $\geq$1에 대해 각 정직한 검증자 i $\in$HSV r,s, 우리는 다음을 얻습니다. (a) $\alpha$r,s 나 $\in$Ir; (b) 플레이어 i가 ts만큼 기다린 경우, $\beta$r,s 나 r > 0인 경우 $\in$[T r + ts, T r + $\lambda$ + ts] $\beta$r,s 나 = ts(r = 0); 그리고 (c) 플레이어 i가 ts 시간 동안 기다린 경우 $\beta$r,s 시간만큼 기다렸습니다. 나, 그 사람은 모든 메시지를 받았어요 모든 단계 s′ < s에 대해 모든 정직한 검증자 j $\in$HSV r,s′에 의해 전송됩니다. 게다가, 각 단계 s $\geq$3에 대해 우리는 다음을 얻습니다. (d) 두 개의 서로 다른 플레이어 i, i′ $\in$SV r,s와 동일한 두 개의 서로 다른 값 v, v′가 존재하지 않습니다. 두 플레이어 모두 전체 시간의 2/3가 넘는 시간 ts를 기다렸습니다. 유효한 메시지 mr,s−1 j 내가 받은 선수는 v와 계약했고, 유효한 모든 선수의 2/3 이상이 메시지 mr,s−1 j i' 선수가 v'와 계약했습니다. 증거. 속성 (a)는 플레이어 i가 Br−1을 알고 있기 때문에 귀납적 가설로부터 직접적으로 따릅니다. Ir 시간 간격을 두고 즉시 자신의 발걸음을 시작합니다. 속성 (b)는 (a)에서 직접 따릅니다. 플레이어 나는 행동하기 전에 ts의 시간을 기다렸습니다. $\beta$r,s 나 = $\alpha$r,s 나 + TS. $\alpha$r,s에 주목하세요. 나 = 0 r = 0. 이제 속성 (c)를 증명합니다. s = 2이면 속성 (b)에 따라 모든 검증자 j $\in$HSV r,1에 대해 다음을 얻습니다. $\beta$r,s 나 = $\alpha$r,s 나 + ts $\geq$T r + ts = T r + $\lambda$ + Λ $\geq$ $\beta$r,1 j + Λ.각 검증자 j $\in$HSV r,1은 시간 $\beta$r,1에 메시지를 보내기 때문에 j 그 메시지는 모두에게 정직하게 전해졌어 최대 Λ 시간, 시간별 $\beta$r,s의 사용자 나 플레이어 i는 모든 검증자가 보낸 메시지를 받았습니다. 원하는 대로 HSV r,1을 선택합니다. s > 2이면 ts = ts−1 + 2$\lambda$입니다. 속성(b)에 따라 모든 단계 s′ < s 및 모든 검증자 j $\in$HSV r,s′에 대해, $\beta$r,s 나 = $\alpha$r,s 나 + ts $\geq$T r + ts = T r + ts−1 + 2$\lambda$ $\geq$T r + ts′ + 2$\lambda$ = T r + $\lambda$ + ts′ + $\lambda$ $\geq$ $\beta$r,s′ j + $\lambda$. 각 검증자 j $\in$HSV r,s′는 시간 $\beta$r,s′에 메시지를 보내기 때문에 j 그 메시지는 모두에게 정직하게 전해졌어 최대 $\lambda$ 시간, 시간 $\beta$r,s의 사용자 나 플레이어 i는 모든 정직한 검증자가 보낸 모든 메시지를 받았습니다. 모든 s' < s에 대해 HSV r,s'에서. 따라서 속성 (c)가 성립합니다. 마지막으로 속성 (d)를 증명합니다. 검증자 j $\in$SV r,s−1은 최대 두 가지에 서명합니다. 임시 비밀 키를 사용하는 s -1 단계: 출력과 동일한 길이의 값 vj hash 함수 및 s −1 $\geq$4인 경우 비트 bj $\in${0, 1}. 그렇기 때문에 보조정리의 진술에서 우리는 v와 v′의 길이가 동일해야 합니다. 많은 검증자가 hash 값에 모두 서명했을 수 있습니다. v 및 비트 b, 따라서 둘 다 2/3 임계값을 통과합니다. 모순을 위해 원하는 검증자 i, i'와 값 v, v'가 존재한다고 가정합니다. MSV r,s−1의 일부 악의적인 검증자는 v와 v'에 모두 서명했을 수 있지만 각각은 정직합니다. HSV r,s−1의 검증자는 최대 하나에 서명했습니다. 속성 (c)에 따라 i와 i'는 모두 수신되었습니다. HSV r,s−1의 모든 정직한 검증자가 보낸 모든 메시지. HSV r,s−1(v)를 v, MSV r,s−1에 서명한 정직한 (r, s −1) 검증자의 집합이라고 가정합니다. 나 세트 i가 유효한 메시지를 수신한 악의적인 (r,s-1)-검증자 및 MSV r,s-1 나 (v) MSV r,s−1의 하위 집합 나 나는 누구로부터 유효한 메시지 서명을 받았습니까? v. 요구 사항에 따라 나와 v, 우리는 비율 $\triangleq$|HSV r,s−1(v)| + |MSV r,s−1 나 (v)| |HSV r,s−1| + |MSV r,s−1 나 |

2 3. (1) 우리는 처음으로 보여줍니다 |MSV r,s−1 나 (v)| $\leq$|HSV r,s−1(v)|. (2) 다르게 가정하면, 매개변수 간의 관계로 인해 압도적인 확률로 |HSV r,s−1| > 2|MSV r,s−1| $\geq$2|MSV r,s−1 나 |따라서 비율 < |HSV r,s−1(v)| + |MSV r,s−1 나 (v)| 3|MSV r,s−1 나 | < 2|MSV r,s−1 나 (v)| 3|MSV r,s−1 나 | $\leq$2 3, 모순되는 불평등 1. 다음으로, 불평등 1에 의해 우리는 2|HSV r,s−1| + 2|MSV r,s−1 나 | < 3|HSV r,s−1(v)| + 3|MSV r,s−1 나 (v)| $\leq$ 3|HSV r,s−1(v)| + 2|MSV r,s−1 나 | + |MSV r,s−1 나 (v)|. 불평등 2와 결합하면, 2|HSV r,s−1| < 3|HSV r,s−1(v)| + |MSV r,s−1 나 (v)| $\leq$4|HSV r,s−1(v)|, 이는 다음을 의미한다 |HSV r,s−1(v)| > 1 2|HSV r,s−1|.마찬가지로, i'와 v'에 대한 요구 사항에 따라 다음과 같습니다. |HSV r,s−1(v′)| > 1 2|HSV r,s−1|. 정직한 검증자 j $\in$HSV r,s−1은 그의 임시 비밀 키 skr,s−1을 파괴하므로 j 전파하기 전에 그의 메시지에 따르면, 공격자는 j가 서명하지 않은 값에 대해 j의 서명을 위조할 수 없습니다. j가 검증자임을 학습합니다. 따라서 위의 두 부등식은 |HSV r,s−1| $\geq$|HSV r,s−1(v)| + |HSV r,s−1(v′)| > |HSV r,s−1|, 모순입니다. 따라서 원하는 i, i', v, v'는 존재하지 않으며, 재산 (d)가 보유됩니다. ■ 5.7 완전성 정리 보조정리 5.2. [완전성 정리, 다시 설명] 속성 1-3을 가정하면 라운드 r−1에 대해 유지됩니다. 리더 $\ell$r은 정직하고, 압도적인 확률로, • 모든 정직한 사용자는 $\ell$r에 의해 생성되고 최대값을 포함하는 동일한 블록 Br에 동의합니다. 시간 $\alpha$r까지 $\ell$r만큼 수신된 페이세트,1 $\ell$r $\in$Ir; 그리고 • T r+1 $\leq$T r + 8$\lambda$ + Λ이고 모든 정직한 사용자는 Ir+1 시간 간격에서 Br을 알고 있습니다. 증거. 귀납적 가설과 Lemma 5.5에 의해 각 단계 s와 검증자 i $\in$HSV r,s에 대해, $\alpha$r,s 나 $\in$이르. 아래에서는 프로토콜을 단계별로 분석합니다. 1단계. 정의에 따르면 모든 정직한 검증자 i $\in$HSV r,1은 원하는 메시지 mr,1을 전파합니다. 나 ~에 시간 $\beta$r,1 나 =$\alpha$r,1 나, 어디 있어?1 나 = (Br i , Esigi(H(Br i )), $\sigma$r,1 나), 브르 나는 = (r, 지불 r i , SIGi(Qr−1), H(Br−1)), 그리고 돈을 지불하세요 나는 $\alpha$r,1까지 내가 본 모든 지불 중에서 최대 지불 세트입니다. 나. 2단계. 정직한 검증자 i $\in$HSV r,2를 임의로 수정합니다. Lemma 5.5에 따르면 플레이어 i가 완료되면 시간 $\beta$r,2에서 대기 중 나 =$\alpha$r,2 나 + t2, 그는 HSV r,1의 검증자가 보낸 모든 메시지를 받았습니다. 씨,1 $\ell$r . $\ell$r의 정의에 따르면, PKr−k에는 자격 증명이 hash인 다른 플레이어가 존재하지 않습니다. 값이 H($\sigma$r,1보다 작음) $\ell$r). 물론, 대적은 H($\sigma$r,1 $\ell$r ) 매우 작지만 그 때쯤에는 플레이어 $\ell$r이 자신의 임시 키와 mr,1 메시지를 파기했습니다. $\ell$r 전파되었습니다. 따라서 검증자 i는 자신의 리더를 플레이어 $\ell$r로 설정합니다. 따라서 시간 $\beta$r,2에서 나 , 검증자 i가 Mr,2를 전파합니다. 나 = (ESIGi(v′ 나), $\sigma$r,2 i ), 여기서 v' 나는 = H(Br $\ell$r). r = 0일 때 유일한 차이점은 그게 $\beta$r,2인가요? 나 = t2가 아닌 범위에 속합니다. 향후 단계에 대해서도 비슷한 말을 할 수 있으며 우리는 다시는 강조하지 않겠습니다. 3단계. 정직한 검증자 i $\in$HSV r,3을 임의로 수정합니다. Lemma 5.5에 따르면 플레이어 i가 완료되면 시간 $\beta$r,3에서 대기 중 나 =$\alpha$r,3 나 + t3, 그는 HSV r,2의 검증자가 보낸 모든 메시지를 받았습니다. 매개변수 간의 관계로 보면 압도적인 확률 |HSV r,2| > 2|MSVr,2|. 더욱이 정직한 검증자는 모순되는 메시지에 서명하지 않을 것이며, 대적은 정직한 검증자가 해당 내용을 파기한 후에는 정직한 검증자의 서명을 위조할 수 없습니다. 임시 비밀 키. 따라서 내가 받은 모든 유효한 (r, 2) 메시지 중 2/3 이상이 다음에서 온 것입니다. 정직한 검증자이며 mr,2 형식입니다. j = (ESIGj(H(Br $\ell$r)), $\sigma$r,2 j), 모순이 없습니다. 따라서 시간 $\beta$r,3에 나 플레이어 i가 Mr,3을 전파합니다. 나 = (ESIGi(v′), $\sigma$r,3 i ), 여기서 v' = H(Br $\ell$r).4단계. 정직한 검증자 i $\in$HSV r,4를 임의로 수정합니다. Lemma 5.5에 의해 플레이어 i는 모든 것을 받았습니다. HSV r,3의 검증자가 시간 $\beta$r,4에서 대기를 마쳤을 때 보낸 메시지 나 =$\alpha$r,4 나 + t4. 유사하다 3단계, 내가 받은 모든 유효한 (r, 3) 메시지의 2/3 이상이 정직한 검증자로부터 온 것이며 Mr,3 형식의 j = (ESIGj(H(Br $\ell$r)), $\sigma$r,3 j). 따라서 플레이어 i는 vi = H(Br)로 설정합니다. $\ell$r), gi = 2, bi = 0. 시간 $\beta$r,4 나 =$\alpha$r,4 나 +t4 그는 전파한다 씨,4 나 = (ESIGi(0), ESIGi(H(Br $\ell$r)), $\sigma$r,4 나). 5단계. 정직한 검증자 i $\in$HSV r,5를 임의로 수정합니다. Lemma 5.5에 따르면 플레이어는 다음과 같습니다. $\alpha$r,5 시간까지 기다렸다면 검증자가 보낸 모든 메시지를 HSV r,4에서 수신했습니다. 나 +t5. 참고하세요 |HSV r,4| $\geq$tH.19 또한 HSV r,4의 모든 검증자는 H(Br에 서명했습니다. $\ell$r). |MSV r,4| < tH, v′ ̸= H(Br은 존재하지 않습니다. $\ell$r) tH가 서명했을 수도 있음 SV r,4의 검증자(반드시 악의적일 수 있음)이므로 플레이어 i는 그가 완료하기 전에 멈추지 않습니다. 유효한 메시지를 받았습니다. Mr,4 j = (ESIGj(0), ESIGj(H(Br $\ell$r)), $\sigma$r,4 j). T를 다음과 같은 시간으로 설정합니다. 후자의 사건이 발생합니다. 이러한 메시지 중 일부는 악의적인 플레이어가 보낸 것일 수도 있지만 |MSV r,4| < thH, 그 중 적어도 하나는 HSV r,4의 정직한 검증자로부터 왔으며 시간이 지난 후에 전송됩니다. T r +t4. 따라서 T $\geq$T r +t4 > T r +$\lambda$+Λ $\geq$ $\beta$r,1 $\ell$r +Λ, 그리고 시간이 지나면 T 플레이어 i도 수신합니다. 메시지 씨,1 $\ell$r . 프로토콜의 구성에 따라 플레이어 i는 시간 $\beta$r,5에서 중지됩니다. 나 = T 없이 무엇이든 전파하는 것; Br = Br로 설정 $\ell$r; 그리고 자신의 CERT r을 (r, 4)-메시지 세트로 설정합니다. 0과 H(Br $\ell$r) 받은 것입니다. 단계 s > 5. 마찬가지로, 모든 단계 s > 5와 검증자 i $\in$HSV r,s에 대해 플레이어 i는 $\alpha$r,s 시간까지 기다렸다면 검증자가 보낸 모든 메시지를 HSV r,4에서 수신했습니다. 나 + TS. 의해 동일한 분석으로, 플레이어 i는 아무것도 전파하지 않고 정지하며 Br = Br로 설정됩니다. $\ell$r (그리고 자신의 설정 CERT r이 적절합니다). 물론 악성 검증자는 멈추지 않고 임의적으로 전파할 수도 있습니다. 메시지가 있지만 |MSV r,s| < tH, 유도에 의해 다른 v'는 tH 검증자에 의해 서명될 수 없습니다. 모든 4단계 $\leq$s' < s에서 정직한 검증자는 유효한 tH를 받았기 때문에 중지합니다. (r, 4)-0 및 H(Br에 대한 메시지 $\ell$r). Round-r 블록의 재구성. 5단계의 분석은 일반적인 정직성에 적용됩니다. 사용자 i는 거의 변화가 없습니다. 실제로, 플레이어 i는 Ir 간격에서 자신의 라운드 r을 시작하고 H(Br에 대한 tH 유효한 (r, 4) 메시지를 수신한 경우에만 시간 T에서 중지합니다. $\ell$r). 또 왜냐하면 그 메시지 중 적어도 하나는 정직한 검증자로부터 온 것이며 T r + t4 시간 후에 전송됩니다. 플레이어 i는 Mr,1도 받았습니다. $\ell$r은 시간 T만큼입니다. 따라서 그는 Br = Br로 설정합니다. 적절한 CERT r을 사용하여 $\ell$r. 모든 정직한 사용자가 Ir+1 시간 간격 내에 라운드 r을 완료한다는 것을 보여주는 것만 남았습니다. 5단계의 분석에 따르면 모든 정직한 검증자 i $\in$HSV r,5는 $\alpha$r,5 이전에 Br을 알고 있습니다. 나 + t5 $\leq$ T r + $\lambda$ + t5 = T r + 8$\lambda$ + Λ. T r+1은 최초의 정직한 사용자 ir이 Br을 아는 시간이므로 다음과 같습니다. T r+1 $\leq$T r + 8$\lambda$ + Λ 원하는대로. 더욱이 ir 플레이어가 Br을 알고 있다면 그는 이미 메시지를 전파하는 데 도움을 준 것입니다. 그의 CERT r. 이러한 모든 메시지는 $\lambda$ 시간 내에 모든 정직한 사용자에게 수신됩니다. 19 엄밀히 말하면 이러한 일은 매우 높은 확률로 발생하지만 반드시 압도적인 것은 아닙니다. 그러나 이 확률은 프로토콜의 실행 시간에 약간 영향을 미치지만 정확성에는 영향을 미치지 않습니다. h = 80%일 때, |HSV r,4| 확률이 1 −10−8인 $\geq$tH. 이 이벤트가 발생하지 않으면 프로토콜은 다른 이벤트로 계속됩니다. 3단계. 두 단계에서 이것이 발생하지 않을 확률은 무시할 수 있으므로 프로토콜은 8단계에서 완료됩니다. 그렇다면 필요한 단계 수는 거의 5개입니다.ir 플레이어는 이를 전파한 최초의 플레이어였습니다. 게다가 위의 분석에 따르면 T r+1 $\geq$T r + t4 $\geq$ $\beta$r,1 $\ell$r + Λ, 따라서 모든 정직한 사용자는 mr,1을 받았습니다. $\ell$r 시간 T r+1 + $\lambda$. 따라서, 모든 정직한 사용자는 Ir+1 = [T r+1, T r+1 + $\lambda$] 시간 간격에서 Br을 알고 있습니다. 마지막으로, r = 0인 경우 실제로 T 1 $\leq$t4 + $\lambda$ = 6$\lambda$ + Λ가 됩니다. 모든 것을 하나로 결합하여, Lemma 5.2가 유지됩니다. ■ 5.8 건전성 정리 보조정리 5.3. [건전성 정리, 다시 설명] 속성 1-3을 가정하면 라운드 r −1에 대해 유지됩니다. 리더 $\ell$r은 악의적이며 압도적인 확률로 모든 정직한 사용자가 동일한 블록에 동의합니다. Br, T r+1 $\leq$T r + (6Lr + 10)$\lambda$ + Λ 그리고 모든 정직한 사용자는 Ir+1 시간 간격에서 Br을 알고 있습니다. 증거. 우리는 프로토콜의 두 부분인 GC와 BBA⋆를 별도로 고려합니다. GC. 귀납적 가설과 Lemma 5.5에 따라 모든 단계 s $\in${2, 3, 4} 및 모든 정직한 단계에 대해 검증자 i $\in$HSV r,s, 플레이어 i가 시간 $\beta$r,s에 행동할 때 나 = $\alpha$r,s 나 + ts, 그는 보낸 모든 메시지를 받았습니다 s' < s 단계의 모든 정직한 검증자에 의해 수행됩니다. 4단계에서는 두 가지 가능한 경우를 구별합니다. 사례 1. 검증자가 없음 i $\in$HSV r,4는 gi = 2로 설정합니다. 이 경우 정의에 따르면 모든 검증자 i $\in$HSV r,4에 대해 bi = 1입니다. 즉, 그들은 다음으로 시작합니다. 바이너리 BA 프로토콜에서 1에 대한 합의. 그들은 vi에 대해 합의하지 않았을 수도 있습니다. 그러나 바이너리 BA에서 볼 수 있듯이 이것은 중요하지 않습니다. 사례 2. gˆi = 2인 검증자 ˆi $\in$HSV r,4가 존재합니다. 이 경우에 우리는 다음을 보여줍니다. (1) 모든 i $\in$HSV r,4에 대해 gi $\geq$1, (2) 모든 i $\in$HSV r,4에 대해 vi = v'를 만족하는 값 v'가 존재하고, (3) 유효한 메시지가 존재합니다. mr,1 $\ell$ v' = H(Br을 만족하는 일부 검증기 $\ell$ $\in$SV r,1로부터 $\ell$). 실제로 플레이어 ˆi는 정직하고 gˆi = 2로 설정했기 때문에 모든 유효한 메시지의 2/3 이상이 mr,3입니다. j 그는 동일한 값 v′ ̸= $\bot$에 대해 수신했으며 vˆi = v′로 설정했습니다. Lemma 5.5의 속성 (d)에 따르면 다른 정직한 (r, 4) 검증자 i에 대해서는 그 이상일 수 없습니다. 모든 유효한 메시지의 2/3보다 mr,3 j i′가 받은 값은 v′′̸=v′와 같습니다. 따라서 i가 gi = 2로 설정하면 i도 v'에 대해 > 2/3 다수를 보았고 설정되어야 합니다. vi = v′, 원하는 대로. 이제 gi < 2인 임의의 검증기 i $\in$HSV r,4를 고려해 보겠습니다. 속성 분석과 유사합니다. (d) Lemma 5.5에서 플레이어 ˆi는 v'에 대해 > 2/3 다수를 보았기 때문에 1보다 더 많습니다. 2|HSV r,3| 정직한 (r, 3)-검증자는 v'에 서명했습니다. 왜냐하면 나는 정직한 (r, 3) 검증자로부터 모든 메시지를 받았기 때문입니다. 시간 $\beta$r,4 나 =$\alpha$r,4 나 + t4, 그는 특히 1개 이상을 받았습니다. 2|HSV r,3| 그들로부터의 메시지 v'에 대해. 왜냐하면 |HSV r,3| > 2|MSV r,3|, 나는 v′에 대해 > 1/3 다수를 보았습니다. 이에 따라 플레이어 i는 gi = 1로 설정하고 속성 (1)이 유지됩니다. 플레이어 i는 반드시 vi = v′로 설정해야 합니까? 다음과 같은 다른 값 v′′ ̸= $\bot$이 존재한다고 가정합니다. 플레이어 i는 또한 v′′에 대해 > 1/3 다수를 보았습니다. 해당 메시지 중 일부는 악의적인 메시지일 수 있습니다. 그러나 그들 중 적어도 한 명은 정직한 검증자 j $\in$HSV r,3에게서 왔습니다: 실제로, 왜냐하면 |HSV r,3| > 2|MSV r,3| 그리고 나는 악성 그룹인 HSV r,3으로부터 모든 메시지를 받았습니다. 내가 유효한 (r, 3) 메시지를 받은 검증자는 모든 유효한 메시지의 < 1/3에 해당합니다. 그 사람이 받은 메시지.정의에 따르면 플레이어 j는 모든 유효한 (r, 2) 메시지 중에서 v''에 대해 > 2/3 다수를 보았어야 합니다. 그는 받았습니다. 그러나 우리는 이미 다른 정직한 (r, 3) 검증자들이 본 것을 가지고 있습니다. v'에 대한 2/3 다수(v'에 서명했기 때문). Lemma 5.5의 속성 (d)에 따르면 이는 불가능합니다. 발생하며 그러한 값 v''는 존재하지 않습니다. 따라서 플레이어 i는 vi = v′를 원하는 대로 설정해야 합니다. 재산(2)이 보유됩니다. 마지막으로, 일부 정직한 (r, 3) 검증자는 v'에 대해 > 2/3 다수를 보았으며 일부(실제로는 절반 이상의 정직한 (r, 2) 검증자들이 v'에 서명하고 그들의 메시지를 전파했습니다. 프로토콜을 구성함으로써 정직한 (r, 2) 검증자는 유효한 메시지 미스터, 1 $\ell$ 일부 플레이어의 $\ell$ $\in$SV r,1 v' = H(Br $\ell$)이므로 성질 (3)이 성립한다. BBA⋆. 우리는 다시 두 가지 경우를 구별합니다. 사례 1. 모든 검증자 i $\in$HSV r,4는 bi = 1입니다. 이는 GC의 사례 1 이후에 발생합니다. |MSV r,4| < tH, 이 경우 SV r,5에는 검증자가 없습니다. 비트 0에 대한 유효한 (r,4) 메시지를 수집하거나 생성할 수 있습니다. 따라서 HSV r,5에는 정직한 검증자가 없습니다. 비어 있지 않은 블록을 알고 있기 때문에 멈출 것입니다. 더욱이, 비트 1에 대해 적어도 tH개의 유효한 (r, 4)-메시지가 있지만, s' = 5는 다음을 만족하지 않습니다. s′ −2 ė1 mod 3, 따라서 HSV r,5의 정직한 검증자는 Br = Br을 알고 있기 때문에 중지하지 않을 것입니다. ? 대신 모든 검증자 i $\in$HSV r,5는 시간 $\beta$r,5에 작동합니다. 나 =$\alpha$r,5 나 + t5, 그가 모든 것을 받았을 때까지 Lemma 5.5에 따라 HSV r,4에서 보낸 메시지입니다. 따라서 플레이어 i는 1에 대해 > 2/3 다수를 보았습니다. bi = 1로 설정합니다. Coin-Fixed-To-1 단계인 6단계에서는 s' = 5가 s' −2 pho mod 3을 만족하지만, 비트 0에 대한 유효한 (r, 4) 메시지가 존재하지 않으므로 HSV r,6의 검증자는 중지되지 않습니다. 그는 비어 있지 않은 블록을 알고 있습니다. 그러나 s' = 6인 경우 s' −2 =1 mod 3이 존재합니다. |HSV r,5| $\geq$tH 유효(r, 5) - HSV r,5의 비트 1에 대한 메시지. 모든 검증자 i $\in$HSV r,6에 대해 Lemma 5.5를 따르고 시간 $\alpha$r,6 이전에 나 + t6 플레이어 i HSV r,5로부터 모든 메시지를 수신했으므로 아무 것도 전파하지 않고 중지하고 설정합니다. 브롬 = 브롬 ? 그의 CERT r은 tH 유효한 (r, 5) 메시지 mr,5의 집합입니다. j = (ESIGj(1), ESIGj(vj), $\sigma$r,5 j) 그가 멈출 때 그에게 받았습니다. 다음으로, 플레이어 i가 s > 6 단계의 정직한 검증자이거나 일반적이고 정직한 사용자(즉, 비검증자). Lemma 5.2의 증명과 유사하게 플레이어 i는 Br = Br을 설정합니다. ث 그리고 자신의 것을 설정합니다 CERT r은 tH 유효한 (r, 5)-메시지 mr,5의 집합입니다. j = (ESIGj(1), ESIGj(vj), $\sigma$r,5 j) 그는 받았습니다. 마지막으로 Lemma 5.2와 유사합니다. Tr+1 $\leq$ 분 i$\in$HSV r,6 $\alpha$r,6 나 + t6 $\leq$T r + $\lambda$ + t6 = T r + 10$\lambda$ + Λ, 그리고 모든 정직한 사용자는 Ir+1 시간 간격에서 Br을 알고 있습니다. 왜냐하면 첫 번째 정직한 사용자 i는 Br이 자신의 CERT r에서 (r, 5) 메시지를 전파하는 데 도움을 주었다는 것을 알고 있습니다. 사례 2. bˆi = 0인 검증자 ˆi $\in$HSV r,4가 존재합니다. 이는 GC의 사례 2 다음에 발생하며 더 복잡한 경우입니다. GC 분석에 따르면, 이 경우에는 유효한 메시지 mr,1이 존재합니다. $\ell$ vi = H(Br $\ell$) 모든 i $\in$HSV r,4에 대해. 참고 HSV r,4의 검증자는 Bi에 대해 합의하지 않을 수 있습니다. 임의의 단계 s $\in${5, . . . , m + 3} 및 검증자 i $\in$HSV r,s, Lemma 5.5 플레이어에 의해 i는 HSV r,4 $\cup$ $\cdots$ $\cup$HSV r,s−1에서 모든 정직한 검증자가 보낸 모든 메시지를 받았습니다. 시간 동안.이제 다음 사건 E를 고려합니다. 첫 번째로 다음과 같은 단계 s$\geq$5가 존재합니다. 바이너리 BA의 시간, 일부 플레이어 i$\in$SV r,s(악의적이든 정직하든)는 중지되어야 합니다. 아무것도 전파하지 않고. 우리는 "멈춰야 한다"라는 표현을 사용하여 플레이어가 i 악의적인 경우 프로토콜에 따라 중지해서는 안 되는 척할 수 있으며 적이 선택한 메시지를 전파합니다. 또한 프로토콜을 구성함으로써 다음 중 하나를 수행할 수 있습니다. (E.a) i는 최소한 tH개의 유효한 메시지 mr,s′-1을 수집하거나 생성할 수 있습니다. j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ) 동일한 v 및 s′에 대해, 5 $\leq$s′ $\leq$s및 s′ −2 ל0 mod 3; 또는 (E.b) i는 적어도 tH개의 유효한 메시지 mr,s′-1을 수집하거나 생성할 수 있습니다. j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j ) 동일한 s′에 대해 6 $\leq$s′ $\leq$s및 s′ −2 ‚1 mod 3입니다. 정직한 (r, s′ −1) 메시지는 모든 정직한 (r, s′) 검증자가 수신하기 전에 수신되기 때문입니다. 단계 s'에서 대기가 완료되고, 적대자는 늦어도 단계 s'에서 모든 것을 수신하기 때문에 정직한 사용자라면 일반성을 잃지 않고 s′ = s이고 플레이어 i는 악의적입니다. 참고하세요 우리는 유효한 블록의 hash이 되기 위해 E.a의 v 값을 요구하지 않았습니다. 분석에서 v = H(Br $\ell$) 이 하위 이벤트에서. 아래에서는 먼저 사건 E에 따른 사례 2를 분석한 다음 s의 값이 본질적으로 다음과 같다는 것을 보여줍니다. Lr에 따라 분배됨(따라서 이벤트 E는 단계 m + 3 이전에 압도적으로 발생함) 매개변수의 관계가 주어진 확률). 우선, 임의의 단계 5 $\leq$s < s에 대해, 모든 정직한 검증자 i $\in$HSV r,s는 ts 시간을 기다렸다가 vi를 투표의 과반수 투표로 설정했습니다. 유효한 (r, s−1)-그가 받은 메시지. 플레이어 i는 모든 정직한 (r, s−1) 메시지를 수신했기 때문에 HSV r,4의 모든 정직한 검증자는 Lemma 5.5에 따라 H(Br)에 서명했습니다. $\ell$) 다음의 경우 GC의 2, 이후 |HSV r,s−1| > 2|MSV r,s−1| 각 s에 대해 유도에 의해 우리는 그 플레이어 i를 갖게 됩니다. 설정했습니다 vi = H(Br $\ell$). 전파하지 않고 멈추지 않는 모든 정직한 검증자 i $\in$HSV r,s에 대해서도 마찬가지입니다. 무엇이든. 이제 우리는 단계 s를 고려하고 4개의 하위 사례를 구별합니다. 사례 2.1.a. 사건 E.a가 발생하고 i′ $\in$HSV r,s를 수행해야 하는 정직한 검증자가 존재합니다. 또한 아무것도 전파하지 않고 중지합니다. 이 경우 s−2 pho 0 mod 3이 있고 단계 s는 Coin-Fixed-To-0 단계입니다. 작성자: 정의에 따르면, 플레이어 i'는 최소한 다음 형식의 tH개의 유효한 (r, s−1) 메시지를 수신했습니다. (ESIGj(0), ESIGj(v), $\sigma$r,s−1 j ). HSV r,s−1의 모든 검증자는 H(Br)에 서명했기 때문에 $\ell$) 그리고 |MSV r,s−1| < tH, v = H(Br $\ell$). 적어도 tH −|MSV r,s−1| 0과 v에 대해 i'가 수신한 (r, s−1)-메시지 중 $\geq$1개 T r +ts−1 $\geq$T r +t4 $\geq$T r +$\lambda$+Λ $\geq$ $\beta$r,1 이후 HSV r,s−1의 검증자에 의해 전송됩니다. $\ell$ +Λ, i' 플레이어가 Mr,1을 받았습니다. $\ell$ 그가 (r, s−1)-메시지를 수신할 때까지. 따라서 플레이어 i'는 아무것도 전파하지 않고 중지됩니다. Br = Br로 설정 $\ell$; 자신의 CERT r을 그가 수신한 0과 v에 대한 유효한 (r, s−1) 메시지 세트. 다음으로 우리는 다른 검증자 i $\in$HSV r,s가 Br = Br로 중지되었음을 보여줍니다. $\ell$ 또는 bi = 0으로 설정하고 (ESIGi(0), ESIGi(H(Br)을 전파했습니다. $\ell$)), $\sigma$r,s 나). 실제로 Step s 때문에 일부 검증자가 아무것도 전파하지 않고 중지해야 하는 첫 번째 경우입니다. tH (r, s' −1)-검증자가 1에 서명하도록 s' −2 pho1 mod 3인 단계 s' < s가 존재합니다. 따라서 HSV r,s의 검증자는 Br = Br에서 중지되지 않습니다. ?더욱이, 모든 정직한 검증자들은 {4, 5, . . . , s−1}은 H(Br에 서명했습니다. $\ell$) 그렇죠 tH (r, s' −1)-검증자가 서명한 단계 s' $\leq$s with s' −2 ל0 mod 3이 존재하지 않습니다. 일부 v′′ ̸= H(Br $\ell$) —실제로, |MSV r,s′−1| < tH. 따라서 HSV r,s의 검증자는 중지되지 않습니다. Br ̸= Br Ϋ 및 Br ̸= Br $\ell$. 즉, 플레이어 i $\in$HSV r,s가 무엇이든 전파하려면 Br = Br을 설정해야 합니다. $\ell$. 플레이어 i $\in$HSV r,s가 시간 ts를 기다리고 시간에 메시지를 전파한 경우 $\beta$r,s 나 = $\alpha$r,s 나 + ts, 그는 HSV r,s−1로부터 모든 메시지를 받았습니다. tH −|MSV r,s−1| 그 중 0과 v에 대한 것입니다. 내가 1에 대해 2/3 이상의 다수를 본 경우, 그는 1개에 대해 2(tH −|MSV r,s−1|) 이상의 유효한 (r, s−1) 메시지를 확인했습니다. 2tH −3|MSV r,s−1|보다 그 중 정직한 (r, s−1) 검증자로부터 나온 것입니다. 그러나 이는 다음을 의미합니다. |HSV r,s−1| $\geq$tH−|MSV r,s−1|+2tH−3|MSV r,s−1| > 2n−4|MSV r,s−1|, 모순됨 그 사실 |HSV r,s−1| + 4|MSV r,s−1| <2n, 이는 매개변수의 관계에서 비롯됩니다. 따라서 > 2/3이 표시되지 않습니다. 1이 다수이고 Step s가 Coin-Fixed-To-0 단계이기 때문에 bi = 0으로 설정합니다. 우리가 가지고 있는 것처럼 본, vi = H(Br $\ell$). 따라서 i는 (ESIGi(0), ESIGi(H(Br)을 전파합니다. $\ell$)), $\sigma$r,s i) 우리가 원했던 대로 쇼. 단계 s+ 1의 경우, 플레이어 i'가 자신의 CERT r에서 메시지를 전파하는 데 도움을 주었기 때문입니다. 시간 또는 그 이전 $\alpha$r,s 나' + ts, HSV r,s+1의 모든 정직한 검증자는 최소한 tH 유효(r, s−1) - 비트 0 및 값 H(Br에 대한 메시지 $\ell$) 작업이 완료되거나 완료되기 전 기다리고 있습니다. 게다가 HSV r,s+1의 검증자는 (r, s−1)-을 수신하기 전에는 멈추지 않을 것입니다. 메시지, 왜냐하면 비트 1에 대한 다른 tH 유효한 (r, s′ -1) 메시지가 존재하지 않기 때문입니다. s′ −2 ל1 mod 3 및 6 $\leq$s′ $\leq$s+ 1, 단계 s의 정의에 따라. 특히, 스텝 s+ 1 자체는 Coin-Fixed-To-1 단계이지만 HSV r,s의 정직한 검증자는 전파되지 않았습니다. 1에 대한 메시지 및 |MSV r,s| < tH. 따라서 HSV r,s+1의 모든 정직한 검증자는 아무 것도 전파하지 않고 중지하고 Br = 브르 $\ell$: 이전과 마찬가지로 mr,1을 받았습니다. $\ell$ 그들이 원하는 (r, s−1)-메시지를 받기 전에.20 향후 단계의 모든 정직한 검증자와 일반적으로 모든 정직한 사용자에 대해서도 마찬가지입니다. 특히 다들 Br = Br인거 아시죠? Ir+1 시간 간격 내에서 $\ell$이고 T r+1 $\leq$ $\alpha$r,s 나' + ts$\leq$T r + $\lambda$ + ts. 사례 2.1.b. 이벤트 E.b가 발생하고 i′ $\in$HSV r,s를 수행해야 하는 정직한 검증자가 존재합니다. 또한 아무것도 전파하지 않고 중지합니다. 이 경우 s−2 pho1 mod 3이 있고 단계 s는 Coin-Fixed-To-1 단계입니다. 분석 Case 2.1.a와 유사하며 많은 세부 사항이 생략되었습니다. 20만약 $\ell$이 악의적이라면 그는 Mr,1을 보낼 수도 있습니다. $\ell$ 일부 정직한 사용자/검증자는 Mr,1을 받지 못했기를 바랍니다. $\ell$ 아직 그들이 원하는 인증서를 받았을 때. 그러나 검증자 ˆi $\in$HSV r,4는 bˆi = 0 및 vˆi = H(Br)로 설정했기 때문에 $\ell$)와 같이 정직한 검증자의 절반 이상이 i $\in$HSV r,3이 되기 전에 vi = H(Br $\ell$). 이는 더 많은 것을 의미합니다. 정직한 검증자의 절반 이상이 i $\in$HSV r,2 vi = H(Br로 설정했습니다. $\ell$), 그리고 그 (r, 2)-검증자는 모두 mr,1을 받았습니다. $\ell$. 다음과 같이 공격자는 검증자와 비검증자를 구별할 수 없으며, mr,1의 전파를 목표로 삼을 수 없습니다. $\ell$ (r, 2)-검증자에게 비검증자가 볼 수 없도록 말이죠. 실제로 높은 확률로 절반 이상 (또는 좋은 상수 분수) 모든 정직한 사용자가 Mr,1을 본 경우 $\ell$ 자신의 라운드 r이 시작될 때부터 t2를 기다린 후. 이제부터, mr,1에 필요한 시간 $\lambda$' $\ell$ 나머지 정직한 사용자에게 도달하는 것은 Λ보다 훨씬 작으며 단순화를 위해 우리는 그렇게 하지 않습니다. 분석에 적어보세요. 4$\lambda$ $\geq$ $\lambda$'이면 분석은 아무런 변화 없이 진행됩니다. 4단계가 끝날 때까지 모든 정직한 사용자라면 Mr,1을 받았을 것입니다. $\ell$. 블록의 크기가 거대해지고 4$\lambda$ < $\lambda$'이면 3단계와 4단계에서, 프로토콜은 각 검증자에게 2$\lambda$가 아닌 $\lambda$'/2를 기다리도록 요청할 수 있으며 분석은 계속 유지됩니다.이전과 마찬가지로 플레이어 i'는 최소한 다음 형식의 tH 유효한 (r, s−1) 메시지를 수신해야 합니다. (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ). 다시 s의 정의에 따르면 단계가 존재하지 않습니다. 5 $\leq$s′ < swith s′ −2 ל0 mod 3, 여기서 적어도 tH (r, s′ −1) 검증자는 0과 0을 서명했습니다. 동일한 v. 따라서 플레이어 i'는 아무것도 전파하지 않고 중지됩니다. Br = Br로 설정 ?; 그리고 세트 자신의 CERT r은 그가 수신한 비트 1에 대한 유효한 (r, s−1) 메시지 세트가 됩니다. 더욱이, 다른 검증자 i $\in$HSV r,s는 Br = Br로 중지되었습니다. ϫ , 또는 bi =로 설정됨 1이고 전파됨(ESIGi(1), ESIGi(vi), $\sigma$r,s 나 ). 플레이어 i'가 전파하는 데 도움을 주었기 때문에 시간 $\alpha$r,s에 따른 CERT r의 (r, s−1)-메시지 나' + ts, 다시 한번 모든 정직한 검증자들 HSV r,s+1 아무것도 전파하지 않고 정지하고 Br = Br로 설정 ? . 마찬가지로 모두 정직하다. 사용자는 Br = Br을 알고 있습니다. τ 시간 간격 Ir+1 내에서 그리고 T r+1 $\leq$ $\alpha$r,s 나' + ts$\leq$T r + $\lambda$ + ts. 사례 2.2.a. 사건 E.a가 발생하고 정직한 검증자가 존재하지 않습니다. i' $\in$HSV r,swho 또한 아무것도 전파하지 않고 중지해야 합니다. 이 경우 플레이어 i는 유효한 CERT r을 가질 수 있습니다. i원하는 tH로 구성됨 (r, s−1)-공격자가 수집하거나 생성할 수 있는 메시지입니다. 그러나 악의적인 검증자는 해당 메시지를 전파하는 데 도움을 주지 않을 수 있으므로 정직한 메시지가 있다고 결론을 내릴 수 없습니다. 사용자는 $\lambda$ 시간 내에 이를 받게 됩니다. 실제로 |MSV r,s−1| 그 중 메시지의 출처는 다음과 같습니다. 메시지를 전혀 전파하지 않고 전송만 하는 악의적인 (r, s−1) 검증자 s단계에서 악의적인 검증자에게 전달됩니다. 사례 2.1.a와 유사하게 여기에는 s−2 =0 mod 3이 있고 단계 s는 Coin-Fixed-To-0 단계입니다. 그리고 CERT r의 (r, s−1)-메시지 i는 비트 0이고 v = H(Br $\ell$). 사실 다 정직해요 (r, s−1)-검증자는 v에 서명하므로 공격자는 유효한 (r, s−1)-메시지를 생성할 수 없습니다. 다른 v′에 대해. 더욱이, 모든 정직한 (r, s) 검증자는 ts 시간을 기다렸으며 > 2/3 다수를 보지 못했습니다. 비트 1의 경우 |HSV r,s−1| 때문에 다시 발생합니다. + 4|MSV r,s−1| <2n. 따라서 모든 정직한 검증자는 i $\in$HSV r,s는 bi = 0, vi = H(Br로 설정됩니다. $\ell$) 다수결로 mr,s를 전파합니다. 나 = (ESIGi(0), ESIGi(H(Br $\ell$)), $\sigma$r,s 나 ) 시간 $\alpha$r,s에 나 + ts. 이제 s+ 1 단계(Coin-Fixed-To-1 단계)의 정직한 검증자를 고려해보세요. 만약 공격자는 실제로 CERT r에서 메시지를 보냅니다. i그들 중 일부에게 중지하고 사례 2.1.a와 유사하게 모든 정직한 사용자는 Br = Br을 알고 있습니다. $\ell$시간 간격 내 Ir+1 및 T r+1 $\leq$T r + $\lambda$ + ts+1. 그렇지 않으면 s+1 단계의 모든 정직한 검증자는 0과 s에 대한 모든 (r, s) 메시지를 수신했습니다. H(Br $\ell$) 대기 시간 ts+1 이후 HSV r,s에서, 이는 > 2/3 다수로 이어집니다. 왜냐하면 |HSV r,s| > 2|MSV r,s|. 따라서 HSV r,s+1의 모든 검증자는 메시지를 다음과 같이 전파합니다. 0과 H(Br $\ell$) 이에 따라. HSV r,s+1의 검증자는 Br = Br로 끝나지 않습니다. $\ell$, 단계 s+ 1은 Coin-Fixed-To-0 단계가 아니기 때문입니다. 이제 Step s+2(Coin-Genuinely-Flipped 단계)의 정직한 검증자를 고려해보세요. 적이 CERT r로 메시지를 보내는 경우 나는 그 중 일부에게 말을 걸고 멈추게 만듭니다. 다시 한번 모든 정직한 사용자는 Br = Br을 알고 있습니다. Ir+1 시간 간격 내에서 $\ell$이고 T r+1 $\leq$T r + $\lambda$ + ts+2.그렇지 않으면 s+ 2단계의 모든 정직한 검증자는 다음에 대한 모든 (r, s+ 1)-메시지를 수신했습니다. 0과 H(Br $\ell$) 대기 시간 ts+2 이후 HSV r,s+1에서 발생하며 이는 > 2/3 다수로 이어집니다. 따라서 그들 모두는 0과 H(Br에 대한 메시지를 전파합니다. $\ell$) 따라서: 그들은 그렇습니다 이 경우에는 "동전 뒤집기"가 아닙니다. 다시 말하지만 전파 없이는 멈추지 않습니다. 단계 s+ 2는 Coin-Fixed-To-0 단계가 아니기 때문입니다. 마지막으로, s+3 단계(또 다른 Coin-Fixed-To-0 단계)의 정직한 검증자의 경우, 그 중 0과 H(Br에 대해 최소한 tH개의 유효한 메시지를 수신했을 것입니다. $\ell$) HSV s+2에서, 그들이 정말로 기다리는 시간이 있다면 ts+3. 따라서 적이 메시지를 보내든 안 보내든 CERT r에서 i 그들 중 누구에게나, HSV r,s+3의 모든 검증자는 Br = Br로 중지됩니다. $\ell$, 없음 무엇이든 전파합니다. 적이 어떻게 행동하는지에 따라 그들 중 일부는 CERT r의 (r, s−1) 메시지로 구성된 자체 CERT r i, 그리고 다른 사람들은 (r, s+ 2) 메시지로 구성된 자체 CERT r입니다. 어쨌든 모든 정직한 사용자는 Br = Br 알아요 Ir+1 시간 간격 내에서 $\ell$이고 T r+1 $\leq$T r + $\lambda$ + ts+3. 사례 2.2.b. 사건 E.b가 발생하고 정직한 검증자가 존재하지 않습니다. i′ $\in$HSV r,swho 또한 아무것도 전파하지 않고 중지해야 합니다. 이 사례의 분석은 사례 2.1.b 및 사례 2.2.a의 분석과 유사하므로 세부 사항이 많습니다. 생략되었습니다. 특히 CERT r i는 원하는 tH (r, s−1) 메시지로 구성됩니다. 공격자가 수집하거나 생성할 수 있는 비트 1의 경우 s−2 =1 mod 3, 단계 s는 Coin-Fixed-To-1 단계 및 정직한 (r, s) 검증자는 0에 대해 > 2/3 다수를 볼 수 없었습니다. 따라서 모든 검증자 i $\in$HSV r,s는 bi = 1로 설정하고 mr,s를 전파합니다. 나 = (ESIGi(1), ESIGi(vi), $\sigma$r,s 나 ) 시간 $\alpha$r,s에 나 + ts. 사례 2.2.a와 유사하게 최대 3단계가 더 추가됩니다(즉, 프로토콜 또 다른 Coin-Fixed-To-1 단계인 s+3 단계에 도달합니다. 모든 정직한 사용자는 Br = Br임을 알고 있습니다. ? Ir+1 시간 간격 내에서. 더욱이, T r+1은 $\leq$T r+$\lambda$+ts+1 또는 $\leq$T r+$\lambda$+ts+2일 수 있습니다. 또는 $\leq$T r + $\lambda$ + ts+3, 정직한 검증자가 처음으로 중지할 수 있는 시간에 따라 다름 전파하지 않고. 네 가지 하위 사례를 결합하면 모든 정직한 사용자가 시간 간격 내에 Br을 알 수 있습니다. Ir+1, 와 사례 2.1.a 및 2.1.b에서 T r+1 $\leq$T r + $\lambda$ + ts, 및 사례 2.2.a 및 2.2.b에서는 T r+1 $\leq$T r + $\lambda$ + ts+3입니다. 상한 s에 남아 있으므로 케이스 2의 경우 T r+1이 됩니다. Coin-Genuinely-Flipped 단계가 실제로 프로토콜에서 실행되는 경우가 많습니다. 즉, 일부 정직한 검증자는 실제로 동전을 던졌습니다. 특히, Coin-Genuinely-Flipped step s′(즉, 7 $\leq$s′ $\leq$m + 2 및 s′ −2 ל2 mod 3), $\ell$′ $\triangleq$arg minj$\in$SV r,s′−1 H($\sigma$r,s′−1 j ). 지금은 s′ < s라고 가정하겠습니다. 그렇지 않으면 이전에 따르면 정직한 검증자는 실제로 단계 s'에서 동전을 던지지 않기 때문입니다. 토론. SV r,s′−1의 정의에 따르면 $\ell$′의 크리덴셜의 hash 값도 다음 중 가장 작습니다. PKr-k의 모든 사용자. hash 함수는 임의의 oracle이므로 이상적으로 플레이어 $\ell$'는 정직합니다. 확률은 적어도 h입니다. 나중에 보여주겠지만, 적이 최선을 다해 예측하려고 해도 무작위 oracle을 출력하고 확률을 기울이면 플레이어 $\ell$'는 여전히 확률에 정직합니다.적어도 ph = h2(1 + h −h2)입니다. 아래에서는 실제로 그런 일이 일어나는 경우를 고려합니다. $\ell$' $\in$HSV r,s'−1. 모든 정직한 검증자 i $\in$HSV r,s′는 HSV r,s′−1로부터 모든 메시지를 다음과 같이 수신했습니다. 시간 $\alpha$r,s′ 나 + t'. 플레이어 i가 동전을 던져야 하는 경우(즉, 그는 2/3 이상의 과반수를 보지 못했습니다) 동일한 비트 b $\in${0, 1}), 그런 다음 그는 bi = lsb(H($\sigma$r,s′−1)을 설정합니다. $\ell$′ )). 또 다른 정직한 사람이 있다면 검증자 i′ $\in$HSV r,s′ 비트 b $\in${0, 1}에 대해 > 2/3 다수를 확인한 다음 Property에 의해 (d) Lemma 5.5의 경우, HSV r,s'의 정직한 검증자는 잠시 동안 > 2/3 다수를 차지했을 것입니다. b'̸=b. lsb(H($\sigma$r,s′−1 $\ell$′ )) = b 확률 1/2, HSV r,s'의 모든 정직한 검증자는 도달 확률이 1/2인 b에 대한 합의입니다. 물론, 그러한 검증자 i'가 존재하지 않는다면, 모든 HSV r,s′의 정직한 검증자는 lsb(H($\sigma$r,s′−1) 비트에 동의합니다. $\ell$′ )) 확률은 1입니다. $\ell$' $\in$HSV r,s'−1에 대한 확률을 결합하면 HSV r,s'의 정직한 검증자는 최소 ph 확률로 비트 b $\in${0, 1}에 대해 합의에 도달 2 = h2(1+h−h2) 2 . 더욱이, 이전과 같이 다수결 투표를 통해 HSV r,s'의 모든 정직한 검증자는 vi 세트를 갖습니다. H(Br $\ell$). 따라서 단계 s'에서 b에 대한 합의가 이루어지면 T r+1은 다음과 같습니다. $\leq$T r + $\lambda$ + ts′+1 또는 $\leq$T r + $\lambda$ + ts′+2 중 하나, 사례 2.1.a 및 2.1.b의 분석에 따라 b = 0인지 b = 1인지에 따라 달라집니다. 에서 특히, 더 이상 코인 정품 뒤집기 단계가 실행되지 않습니다. 이러한 단계는 여전히 자신이 검증자인지 확인하고 기다리지만 확인하지 못한 채 모두 중지됩니다. 무엇이든 전파합니다. 따라서 Step s 이전에 Coin-GenuinelyFlipped 단계가 실행되는 횟수는 랜덤변수 Lr에 따라 분포됩니다. 스텝을 놔두는 것' 프로토콜 구성에 따라 Lr에 따라 코인이 진짜로 뒤집힌 마지막 단계가 됩니다. 우리는 s' = 4 + 3Lr. 적이 T r+1을 지연시키려는 경우 언제 단계 s가 발생해야 합니까? 가능? 우리는 대적이 Lr의 실현을 미리 알고 있다고 가정할 수도 있습니다. 만약에 s> s′ 그렇다면 그것은 쓸모가 없습니다. 왜냐하면 정직한 검증자들은 이미 합의에 도달했기 때문입니다. 단계 S′. 확실히 이 경우 s는 b = 0인지 여부에 따라 s′ +1 또는 s′ +2가 될 것입니다. 또는 b = 1입니다. 그러나 이것은 실제로 Cases 2.1.a 및 2.1.b이고 결과 T r+1은 정확히 다음과 같습니다. 그 경우와 마찬가지다. 더 정확하게는, T r+1 $\leq$T r + $\lambda$ + ts$\leq$T r + $\lambda$ + ts′+2. s< s′ −3 즉, s가 마지막 두 번째 동전 진짜 뒤집기 단계 이전에 있는 경우 다음과 같이 됩니다. 사례 2.2.a 및 2.2.b 분석, T r+1 $\leq$T r + $\lambda$ + ts+3 < T r + $\lambda$ + ts′. 즉, 적대자는 실제로 Br에 대한 합의가 더 빠르게 이루어지도록 만들고 있습니다. s= s′ −2 또는 s′ −1인 경우 - 즉, Coin-Fixed-To-0 단계 또는 Coin-Fixed-To-1 단계입니다. 단계 s' 직전 - 네 가지 하위 사례를 분석하여 정직한 검증자가 단계 s'는 더 이상 동전을 뒤집을 수 없습니다. 왜냐하면 동전이 전파되지 않고 멈추었기 때문입니다. 또는 동일한 비트에 대해 > 2/3 다수를 보였습니다. b. 그러므로 우리는 T r+1 $\leq$T r + $\lambda$ + ts+3 $\leq$T r + $\lambda$ + ts′+2.요약하면, s가 무엇이든 관계없이 우리는 T r+1 $\leq$T r + $\lambda$ + ts′+2 = T r + $\lambda$ + t3Lr+6 = T r + $\lambda$ + (2(3Lr + 6) −3) $\lambda$ + Λ = T r + (6Lr + 10) $\lambda$ + Λ, 우리가 보여주고 싶었던 것처럼. 최악의 경우는 s= s′ −1이고 사례 2.2.b가 발생하는 경우입니다. 바이너리 BA 프로토콜의 사례 1과 2를 결합하면 Lemma 5.3이 유지됩니다. ■ 5.9 씨앗Qr의 안전성과 정직한 리더의 확률 이제 Lemma 5.4를 증명해야 합니다. 라운드 r의 검증자는 PKr-k에서 가져오고 수량 Qr−1에 따라 선택됩니다. 룩백 매개변수 k를 도입한 이유 r -k 라운드에서 공격자가 새로운 악의적인 사용자를 추가할 수 있는지 확인하는 것입니다. PKr−k에 대해서는 무시할 수 있는 확률을 제외하고 Qr−1의 양을 예측할 수 없습니다. 참고 hash 함수는 무작위 oracle이며 Qr−1은 라운드 r에 대한 검증자를 선택할 때 입력 중 하나입니다. 따라서 아무리 악의적인 사용자가 PKr-k에 추가되더라도 공격자의 입장에서는 각각 그들 중 하나는 필요한 확률 p(또는 1단계의 경우 p1). 보다 정확하게는 다음과 같은 정리가 있습니다. 보조정리 5.6. k = O(log1/2 F)로 각 라운드 r에 대해 압도적인 확률로 적 라운드 r −k에서 Qr−1을 무작위 oracle에 쿼리하지 않았습니다. 증거. 인덕션으로 진행합니다. 각 라운드 $\gamma$ < r에 대해 공격자가 쿼리하지 않았다고 가정합니다. Q$\gamma$−1에서 무작위 oracle 라운드 $\gamma$ −k로 돌아갑니다.21 다음과 같은 정신적 게임을 생각해 보세요. 적군은 r −k 라운드에서 Qr−1을 예측하려고 합니다. 각 라운드의 1단계에서 $\gamma$ = r −k, . . . , r −1, 무작위로 쿼리되지 않은 특정 Q$\gamma$−1이 주어지면 oracle, hash 값 H(SIGi($\gamma$, 1, Q$\gamma$−1))에 따라 플레이어 i $\in$PK$\gamma$−k를 정렬하여 점점 더 PK$\gamma$−k에 대한 무작위 순열을 얻습니다. 정의에 따르면 리더 $\ell$ $\gamma$는 순열의 첫 번째 사용자이고 확률 h가 정직합니다. 또한, PK$\gamma$−k가 큰 경우 임의의 정수 x $\geq$1에 대해 순열의 첫 번째 x 사용자가 모두 악의적이지만 (x + 1)st가 정직한 것은 (1 −h)xh입니다. $\ell$ $\gamma$가 정직하다면 Q$\gamma$ = H(SIG$\ell$ $\gamma$(Q$\gamma$−1), $\gamma$)입니다. 상대방은 서명을 위조할 수 없기 때문에 $\ell$ $\gamma$의 Q$\gamma$는 적의 관점에서 무작위로 균일하게 분포되며, 기하급수적으로 작은 확률로 22는 r -k 라운드에서 H에 쿼리되지 않았습니다. 이후 각각 Q$\gamma$+1, Q$\gamma$+2, . . . , Qr−1은 각각 Q$\gamma$, Q$\gamma$+1, ...을 사용한 H의 출력입니다. . . , Qr−2를 입력 중 하나로, 그들은 모두 적에게 무작위로 보이며 적수는 Qr-1을 H에 쿼리할 수 없었을 것입니다. 라운드 r - k. 따라서, 상대방이 라운드에서 좋은 확률로 Qr−1을 예측할 수 있는 유일한 경우입니다. r−k는 모든 리더 $\ell$r−k, . . . , $\ell$r−1은 악성입니다. 다시 라운드 $\gamma$ $\in${r−k 를 고려해보세요. . . , r−1} 그리고 해당 hash 값에 의해 유도된 PK$\gamma$−k에 대한 무작위 순열. 어떤 사람들에게는 x $\geq$2, 순열의 첫 번째 x −1 사용자는 모두 악의적이고 x번째 사용자는 정직합니다. 적대자는 Q$\gamma$에 대해 x개의 가능한 선택을 갖습니다. H(SIGi(Q$\gamma$−1, $\gamma$)) 형식 중 하나입니다. 여기서 i는 다음 중 하나입니다. 21 k는 작은 정수이므로 일반성을 잃지 않고 프로토콜의 처음 k 라운드가 실행된다고 가정할 수 있습니다. 안전한 환경에서 귀납적 가설은 해당 라운드 동안 유지됩니다. 22즉, H의 출력 길이는 지수적입니다. 이 확률은 F보다 훨씬 작습니다.플레이어 i를 실제로 라운드 $\gamma$의 리더로 만들어 최초의 x−1 악의적 사용자; 또는 H(Q$\gamma$−1, $\gamma$) B$\gamma$ = B$\gamma$ 강제 ? . 그렇지 않으면 라운드 $\gamma$의 리더가 순열의 첫 번째 정직한 사용자가 됩니다. 그리고 Qr−1은 적에게 예측할 수 없게 됩니다. 위 Q$\gamma$의 x 옵션 중 적이 추구해야 하는 것은 무엇입니까? 적을 돕기 위해 이 질문에 대답하세요. 멘탈 게임에서 우리는 실제로 그를 실제보다 더 강력하게 만듭니다. 는 다음과 같습니다. 우선, 실제로 공격자는 정직한 사용자의 hash을 계산할 수 없습니다. 따라서 서명은 각 Q$\gamma$에 대해 처음에 악의적인 사용자의 수 x(Q$\gamma$)를 결정할 수 없습니다. Q$\gamma$에 의해 유도된 라운드 $\gamma$ + 1의 무작위 순열. 정신 게임에서 우리는 그에게 숫자 x(Q$\gamma$)는 무료입니다. 두 번째로, 실제로는 순열에 첫 번째 x 사용자가 있습니다. 악의적이라고 해서 반드시 모두가 리더가 될 수 있다는 의미는 아닙니다. 왜냐하면 hash 서명 값도 p1보다 작아야 합니다. 우리는 정신적인 제약을 무시했습니다. 게임을 통해 적에게 더 많은 이점을 제공합니다. 멘탈 게임에서 ˆQ$\gamma$로 표시되는 적에 대한 최적의 옵션은 다음과 같다는 것을 쉽게 알 수 있습니다. 무작위 시작 시 가장 긴 일련의 악의적인 사용자를 생성하는 것입니다. 라운드 $\gamma$ + 1의 순열. 실제로 특정 Q$\gamma$가 주어지면 프로토콜은 Q$\gamma$−1에 의존하지 않습니다. 더 이상 공격자는 라운드 $\gamma$ + 1의 새로운 순열에만 집중할 수 있습니다. 처음에는 악의적인 사용자 수에 대해 동일한 분포를 나타냅니다. 이에 따라 각 라운드마다 $\gamma$, 위에서 언급한 ˆQ$\gamma$는 그에게 Q$\gamma$+1에 대한 가장 많은 수의 옵션을 제공하므로 다음을 최대화합니다. 연속된 리더가 모두 악의적일 확률. 따라서 멘탈 게임에서 적군은 r −k 라운드의 마르코프 체인을 따릅니다. 상태 공간이 {0} $\cup${x : x $\geq$2}인 상태에서 r −1을 반올림합니다. 상태 0은 현재 라운드 $\gamma$에서 무작위 순열의 첫 번째 사용자는 정직하므로 공격자는 실패합니다. Qr-1을 예측하는 게임; 그리고 각 상태 x $\geq$2는 첫 번째 x −1 사용자가 순열은 악의적이고 x번째는 정직하므로 공격자는 Q$\gamma$에 대해 x개의 옵션을 갖습니다. 는 전이 확률 P(x, y)는 다음과 같습니다. • y $\geq$2인 경우 P(0, 0) = 1이고 P(0, y) = 0입니다. 즉, 대적은 첫 번째 게임에서 실패합니다. 순열의 사용자는 정직해집니다. • P(x, 0) = hx(x $\geq$2인 경우). 즉, 확률 hx를 사용하면 모든 x개의 무작위 순열은 다음과 같습니다. 첫 번째 사용자는 정직하므로 대적자는 다음 라운드에서 게임에 실패합니다. • 임의의 x $\geq$2 및 y $\geq$2에 대해 P(x, y)는 x 임의 순열 중에서 다음과 같은 확률입니다. 초기에 악의적인 사용자의 가장 긴 시퀀스인 Q$\gamma$의 x 옵션에 의해 유도됩니다. 그 중 일부는 y −1이므로, 적대자는 다음 라운드에서 Q$\gamma$+1에 대해 y개의 옵션을 갖습니다. 즉, 피(x, y) = y−1 X 나는=0 (1 -h)ih !x - y−2 X 나는=0 (1 -h)ih !x = (1 −(1 −h)y)x −(1 −(1 −h)y−1)x. 상태 0은 전이 행렬 P의 고유한 흡수 상태이고 다른 모든 상태는 x는 0이 될 양의 확률을 갖습니다. 우리는 숫자 k의 상한을 정하는 데 관심이 있습니다. Markov Chain이 압도적인 확률로 0으로 수렴하는 데 필요한 라운드: 즉, 아니요 체인이 어떤 상태에서 시작되는지가 중요하며, 적이 게임에서 패배할 확률이 압도적입니다. r −k 라운드에서 Qr−1을 예측하는 데 실패합니다. 두 라운드 후에 전이 행렬 P(2) $\triangleq$P $\cdot$ P를 고려하십시오. P(2)(0, 0) = 1임을 쉽게 알 수 있습니다. 그리고 임의의 x $\geq$2에 대해 P(2)(0, x) = 0입니다. 임의의 x $\geq$2 및 y $\geq$2에 대해 P(0, y) = 0이므로 다음과 같습니다. P(2)(x, y) = P(x, 0)P(0, y) + X z$\geq$2 P(x, z)P(z, y) = X z$\geq$2 P(x, z)P(z, y).̅h $\triangleq$1 −h라고 하면 다음과 같습니다. P(x, y) = (1 −̅hy)x −(1 −̅hy−1)x 그리고 P(2)(x,y) = X z$\geq$2 [(1 −̅hz)x −(1 −̅hz−1)x][(1 −̅hy)z −(1 −̅hy−1)z]. 아래에서는 P(2)(x,y)의 극한을 계산합니다. P(x,y) h가 1이 되면, 즉 ̅h는 0이 됩니다. P(x, y)에서 ̅h의 차수는 ̅hy−1이고 계수 x가 있습니다. 따라서, 임 h $\to$ 1 P(2)(x,y) 피(x, y) = 임 ̅h $\to$ 0 P(2)(x,y) 피(x, y) = 임 ̅h $\to$ 0 P(2)(x,y) x̅hy−1 + O(̅hy) = 임 ̅h $\to$ 0 피 z$\geq$2[x̅hz−1 + O(̅hz)][z̅hy−1 + O(̅hy)] x̅hy−1 + O(̅hy) = 임 ̅h $\to$ 0 2x̅ + O(́hy+1) x̅hy−1 + O(̅hy) = 임 ̅h $\to$ 0 2xy x̅hy−1 = lim ̅h $\to$ 0 2́h = 0. h가 1,23에 충분히 가까울 때 우리는 P(2)(x,y) 피(x, y) $\leq$1 2 x $\geq$2 및 y $\geq$2에 대해. 유도에 의해 k > 2인 경우 P(k) $\triangleq$P k는 다음과 같습니다. • P(k)(0, 0) = 1, P(k)(0, x) = 0(x $\geq$2인 경우), 그리고 • x $\geq$2 및 y $\geq$2에 대해, P(k)(x, y) = P(k−1)(x, 0)P(0, y) + X z$\geq$2 P(k−1)(x, z)P(z, y) = X z$\geq$2 P(k−1)(x, z)P(z, y) $\leq$ X z$\geq$2 P(x, z) 2k−2 $\cdot$ P(z, y) = P(2)(x, y) 2k−2 $\leq$P(x,y) 2k−1 . P(x, y) $\leq$1이므로 1−log2 F 라운드 후에 임의의 상태 y $\geq$2로의 전환 확률은 무시할 수 있습니다. 임의의 상태 x $\geq$2로 시작합니다. 그러한 상태가 많이 있지만, 다음을 쉽게 알 수 있습니다. 임 y→+무한대 피(x, y) P(x, y + 1) = 임 y→+무한대 (1 −̅hy)x −(1 −̅hy−1)x (1 −̅hy+1)x −(1 −̅hy)x = 임 y→+무한대 ̅hy−1 −̅hy ̅hy −̅hy+1 = 1 ̅h = 1 1 - 시간. 따라서 전이 행렬 P의 각 행 x는 비율에 따라 기하학적 수열로 감소합니다. 1 1−h > 2 y가 충분히 크면 P(k)에도 동일하게 적용됩니다. 따라서 k가 충분히 크지만 여전히 log1/2 F, P 순서로 y$\geq$2 P (k)(x, y) < F(x $\geq$2인 경우). 즉, 압도적인 확률로 적군은 게임에서 패하고 r −k 라운드에서 Qr−1을 예측하지 못합니다. h $\in$(2/3, 1]의 경우, 더 많은 복잡한 분석을 통해 1/2보다 약간 큰 상수 C가 존재한다는 것을 알 수 있습니다. k = O(logC $\cdot$ F)를 취합니다. 따라서 Lemma 5.6이 성립합니다. ■ 보조정리 5.4. (다시 설명) r 이전의 각 라운드에 대해 속성 1–3이 주어지면 Lr에 대한 ph = h2(1 + h −h2), 그리고 리더 $\ell$r은 적어도 ph 확률로 정직합니다. 23예를 들어, 특정 매개변수 선택에 의해 제안된 대로 h = 80%입니다.

증거. Lemma 5.6에 따르면, 공격자는 다음을 제외하고 r −k 라운드에서 Qr−1을 다시 예측할 수 없습니다. 무시할 수 있는 확률. 이는 정직한 리더가 나올 확률이 h라는 것을 의미하지 않습니다. 각 라운드. 실제로 Qr−1이 주어지면 초기에 얼마나 많은 악의적인 사용자가 있는지에 따라 달라집니다. PKr-k의 무작위 순열에서, 공격자는 Qr에 대해 둘 이상의 옵션을 가질 수 있습니다. 따라서 라운드 r + 1에서 악의적인 리더의 확률을 높일 수 있습니다. 다시 우리는 그에게 분석을 단순화하기 위해 Lemma 5.6에서와 같이 몇 가지 비현실적인 이점이 있습니다. 그러나 라운드 r -k에서 적대자가 H에게 쿼리하지 않은 각 Qr-1에 대해 다음과 같습니다. 임의의 x $\geq$1, 확률 (1 −h)x−1h로 첫 번째 정직한 사용자가 결과 x 위치에 나타납니다. PKr−k의 무작위 순열. x = 1일 때 r + 1 라운드에서 정직한 리더가 나올 확률은 다음과 같습니다. 과연 ㅎ; x = 2일 때, 적대자는 Qr에 대해 두 가지 옵션을 가지며 결과 확률은 다음과 같습니다. h2. 이 두 가지 경우를 고려해야만 라운드에서 정직한 리더가 나올 가능성이 있습니다. r + 1은 원하는 대로 적어도 h $\cdot$ h + (1 −h)h $\cdot$ h2 = h2(1 + h −h2)입니다. 위의 확률은 라운드 r −k에서 프로토콜의 무작위성만 고려한다는 점에 유의하세요. r을 반올림합니다. 0라운드부터 r라운드까지 모든 무작위성을 고려하면 Qr−1은 다음과 같습니다. 적에게 예측하기가 더욱 어렵고 라운드 r + 1에서 정직한 리더가 나올 확률은 다음과 같습니다. 최소 h2(1 + h −h2). r + 1을 r로 대체하고 모든 것을 한 라운드 뒤로 이동시킵니다. 리더 $\ell$r 원하는 대로 적어도 h2(1 + h −h2)의 확률로 정직합니다. 마찬가지로, 각 코인 진짜 뒤집기 단계에서 해당 단계의 "리더", 즉 검증자 SV r에서 크리덴셜의 hash 값이 가장 작은 확률은 적어도 h2(1 + h-h2). 따라서 Lr 및 Lemma 5.4에 대한 ph = h2(1 + h −h2)가 유지됩니다. ■

Algorand ′

1 ในส่วนนี้ เราสร้างเวอร์ชันของ Algorand ′ ที่ทำงานภายใต้สมมติฐานต่อไปนี้ ข้อสันนิษฐานของผู้ใช้ส่วนใหญ่ที่ซื่อสัตย์: มากกว่า 2/3 ของผู้ใช้ในแต่ละ PKr มีความซื่อสัตย์ ในส่วนที่ 8 เราจะแสดงวิธีแทนที่สมมติฐานข้างต้นด้วย Honest Majority ที่ต้องการ สมมติฐานเรื่องเงิน 5.1 สัญลักษณ์และพารามิเตอร์เพิ่มเติม สัญกรณ์ • m $\in$Z+: จำนวนขั้นตอนสูงสุดในโปรโตคอล BA ไบนารี ซึ่งเป็นผลคูณของ 3 • Lr $\leq$m/3: ตัวแปรสุ่มที่แสดงถึงจำนวนการทดลองเบอร์นูลลีที่จำเป็นในการดู 1 เมื่อการทดลองแต่ละครั้งมีค่า 1 ด้วยความน่าจะเป็น ph 2 และมีการทดลองสูงสุด m/3 หากการทดลองทั้งหมดล้มเหลว ซ้าย $\triangleq$m/3 Lr จะถูกใช้เพื่อขอบเขตบนของเวลาที่จำเป็นในการสร้างบล็อก Br • TH = 2n 3 + 1: จำนวนลายเซ็นที่จำเป็นในเงื่อนไขการสิ้นสุดของโปรโตคอล • CERT r: ใบรับรองสำหรับ Br. เป็นชุดลายเซ็นต์ของ H(Br) จากผู้ตรวจสอบที่เหมาะสม รอบร. พารามิเตอร์ • ความสัมพันธ์ระหว่างพารามิเตอร์ต่างๆ — สำหรับแต่ละขั้นตอน s > 1 ของรอบ r, n จะถูกเลือก ดังนั้น ด้วยความน่าจะเป็นอย่างล้นหลาม |HSV r,s| > 2|MSV r,s| และ |HSV r,s| + 4|MSV r,s| <2น. ยิ่งค่า h ใกล้ 1 มากเท่าใด n ก็ต้องมีค่าน้อยลงเท่านั้น โดยเฉพาะเราใช้ (variants ของ) ขอบเขตเชอร์โนฟเพื่อให้แน่ใจว่าเงื่อนไขที่ต้องการมีความน่าจะเป็นอย่างล้นหลาม — m ถูกเลือกโดยที่ Lr < m/3 มีความน่าจะเป็นอย่างท่วมท้น • ตัวอย่างตัวเลือกของพารามิเตอร์ที่สำคัญ — ฉ = 10−12. — n asym1500, k = 40 และ m = 1805.2 การใช้คีย์ชั่วคราวใน Algorand ′ 1 ดังที่ได้กล่าวไปแล้ว เราหวังว่าผู้ตรวจสอบ i $\in$SV r,s จะลงนามข้อความของเขาแบบดิจิทัล mr,s ฉัน ของขั้นตอน s ในรอบ r สัมพันธ์กับคีย์สาธารณะชั่วคราว pkr,s ฉัน ใช้คีย์ลับชั่วคราว skr,s ฉัน นั่น เขาทำลายทันทีหลังใช้ ดังนั้นเราจึงจำเป็นต้องมีวิธีการที่มีประสิทธิภาพเพื่อให้แน่ใจว่าผู้ใช้ทุกคนสามารถทำได้ ตรวจสอบว่า pkr,s ฉัน เป็นกุญแจสำคัญในการใช้ตรวจสอบลายเซ็นของนาย ฉัน เราทำเช่นนั้นโดย a (ให้ดีที่สุด ความรู้ของเรา) การใช้รูปแบบลายเซ็นตามข้อมูลประจำตัวแบบใหม่ ในระดับสูง ในรูปแบบดังกล่าว หน่วยงานกลาง A จะสร้างคีย์หลักสาธารณะ PMK และรหัสลับที่เกี่ยวข้อง SMK เมื่อพิจารณาถึงตัวตน U ของผู้เล่น U การคำนวณ ผ่าน SMK ซึ่งเป็นคีย์ลายเซ็นลับ skU ที่สัมพันธ์กับคีย์สาธารณะ U และมอบ skU ให้กับแบบส่วนตัว U. (อันที่จริง ในรูปแบบลายเซ็นดิจิทัลตามข้อมูลประจำตัว กุญแจสาธารณะของผู้ใช้ U คือ U นั่นเอง!) ด้วยวิธีนี้ หาก A ทำลาย SMK หลังจากคำนวณคีย์ลับของผู้ใช้ที่เขาต้องการเปิดใช้งาน สร้างลายเซ็นดิจิทัล และไม่เก็บรหัสลับที่คำนวณไว้ ดังนั้น U จึงเป็นคนเดียวที่ สามารถเซ็นข้อความแบบดิจิทัลที่เกี่ยวข้องกับกุญแจสาธารณะ U ได้ ดังนั้นใครก็ตามที่รู้จัก "ชื่อ U" รู้กุญแจสาธารณะของ U โดยอัตโนมัติ และสามารถตรวจสอบลายเซ็นของ U ได้ (อาจใช้ the PMK คีย์หลักสาธารณะ) ในแอปพลิเคชันของเรา สิทธิ์ A คือผู้ใช้ i และชุดของผู้ใช้ที่เป็นไปได้ทั้งหมด U เกิดขึ้นพร้อมกัน คู่ขั้นบันได (r, s) ใน —say— S = {i}$\times${r′, . . , r′ +106}$\times${1, . . . , m+3} โดยที่ r′ ถูกกำหนดไว้ ปัดเศษ และ m + 3 ขอบเขตบนของจำนวนก้าวที่อาจเกิดขึ้นภายในหนึ่งรอบ นี้ ทาง pkr,s ฉัน $\triangleq$(i, r, s) เพื่อให้ทุกคนเห็นลายเซ็นต์ i SIGr,s พีเคอาร์เอส ฉัน (นายส ฉัน ) สามารถทำได้อย่างท่วมท้น ความน่าจะเป็น ให้ตรวจสอบทันทีสำหรับล้านรอบแรก r ต่อไปนี้ r′ กล่าวอีกนัยหนึ่ง ฉันจะสร้าง PMK และ SMK ก่อน แล้วเขาก็ประชาสัมพันธ์ว่า PMK คือผมเจ้านาย กุญแจสาธารณะสำหรับทุกรอบ r $\in$[r′, r′ + 106] และใช้ SMK เพื่อสร้างและจัดเก็บความลับเป็นการส่วนตัว คีย์ skr,s ฉัน สำหรับแต่ละสาม (i, r, s) $\in$S เสร็จแล้วเขาทำลาย SMK หากเขาตัดสินแล้วว่าไม่ใช่ เป็นส่วนหนึ่งของ SV r,s จากนั้นฉันก็อาจทิ้ง skr,s ไว้ ฉัน เพียงอย่างเดียว (เนื่องจากโปรโตคอลไม่ต้องการให้เขาตรวจสอบสิทธิ์) ข้อความใด ๆ ในขั้นตอนที่ s ของรอบ r) อย่างอื่นฉันใช้ skr,s ก่อน ฉัน เพื่อลงนามข้อความของเขาแบบดิจิทัล ฉัน และ จากนั้นทำลาย skr,s ฉัน โปรดทราบว่าฉันสามารถเผยแพร่คีย์หลักสาธารณะคีย์แรกของเขาได้เมื่อเขาเข้าสู่ระบบครั้งแรก นั่นคือ การจ่ายแบบเดียวกัน $\wp$ที่นำ i เข้าสู่ระบบ (ที่รอบ r′ หรือที่รอบที่ใกล้กับ r′) ก็อาจจะเช่นกัน ระบุตามคำร้องขอของฉันว่า i เป็นคีย์หลักสาธารณะสำหรับรอบใด ๆ r $\in$[r′, r′ + 106] คือ PMK — เช่น โดย รวมถึงคู่ของแบบฟอร์ม (PMK, [r′, r′ + 106]) โปรดทราบด้วยว่า เนื่องจาก m + 3 คือจำนวนก้าวสูงสุดในรอบ โดยสมมติว่าเป็นรอบ ใช้เวลาสักครู่ กุญแจชั่วคราวที่ผลิตออกมาจะคงอยู่ได้เกือบสองปี ในเวลาเดียวกัน เวลา กุญแจลับชั่วคราวเหล่านี้จะใช้เวลาไม่นานในการสร้าง การใช้เส้นโค้งรูปไข่ ระบบที่มีคีย์ 32B แต่ละคีย์ลับจะถูกคำนวณภายในเวลาไม่กี่ไมโครวินาที ดังนั้น ถ้า m + 3 = 180 ดังนั้นคีย์ลับทั้งหมด 180M จึงสามารถคำนวณได้ภายในเวลาไม่ถึงหนึ่งชั่วโมง เมื่อรอบปัจจุบันเข้าใกล้ r′ + 106 เพื่อรองรับล้านรอบถัดไป i สร้างคู่ใหม่ (PMK′, SMK′) และแจ้งให้ทราบว่ากุญแจชั่วคราวถัดไปของเขาคืออะไร —ตัวอย่าง— ให้ SIGi(PMK′, [r′ + 106 + 1, r′ + 2 $\cdot$ 106 + 1]) เข้าบล็อกใหม่ โดยอาจเป็น a “ธุรกรรม” แยกกันหรือเป็นข้อมูลเพิ่มเติมบางส่วนที่เป็นส่วนหนึ่งของการชำระเงิน โดยการทำเช่นนั้น ฉันแจ้งให้ทุกคนทราบว่าเขา/เธอควรใช้ PMK′ เพื่อตรวจสอบลายเซ็นชั่วคราวของฉันในครั้งต่อไป ล้านรอบ และอื่นๆ (โปรดทราบว่า การปฏิบัติตามแนวทางพื้นฐานนี้ จะมีวิธีอื่นๆ ในการนำคีย์ชั่วคราวไปใช้โดยไม่ต้องใช้ การใช้ลายเซ็นตามข้อมูลประจำตัวเป็นไปได้อย่างแน่นอน ตัวอย่างเช่น ผ่าน Merkle trees.16) 16ในวิธีนี้ ฉันสร้างคู่คีย์ลับสาธารณะ (pkr,s ฉัน , skr, s ฉัน ) สำหรับแต่ละคู่แบบปัดเศษ (r, s) ใน —say—วิธีอื่นๆ ในการนำคีย์ชั่วคราวไปใช้นั้นเป็นไปได้อย่างแน่นอน เช่น ผ่าน Merkle trees 5.3 จับคู่ขั้นตอนของ Algorand ′ 1 กับ BA⋆ อย่างที่เราบอกไป รอบใน Algorand ′ 1 มีมากที่สุด m + 3 ขั้นตอน ขั้นตอนที่ 1 ในขั้นตอนนี้ ผู้ที่มีศักยภาพเป็นผู้นำแต่ละคน ฉันจะคำนวณและเผยแพร่บล็อกผู้สมัครของเขา Br ฉัน พร้อมด้วยหนังสือรับรองของเขาเอง $\sigma$r,1 ฉัน โปรดจำไว้ว่าข้อมูลรับรองนี้ระบุถึง i อย่างชัดเจน ที่เป็นเช่นนี้ เพราะ $\sigma$r,1 ฉัน $\triangleq$SIGi(r, 1, Qr−1) ผู้ตรวจสอบที่เป็นไปได้ฉันยังเผยแพร่ลายเซ็นดิจิทัลที่เหมาะสมของ H(Br ซึ่งเป็นส่วนหนึ่งของข้อความของเขาด้วย ฉัน) ไม่ได้เกี่ยวข้องกับการชำระเงินหรือหนังสือรับรอง ลายเซ็นของฉันนี้สัมพันธ์กับสาธารณะชั่วคราวของเขา คีย์ pkr,1 ฉัน : นั่นคือเขาเผยแพร่ siggpkr,1 ฉัน (H(Br ฉัน )) ตามแบบแผนของเรา แทนที่จะเผยแพร่บรา ฉัน และ sigpkr,1 ฉัน (H(Br ฉัน )) เขาสามารถมีได้ เผยแพร่ SIGpkr,1 ฉัน (H(Br ฉัน )) อย่างไรก็ตาม ในการวิเคราะห์ของเรา เราจำเป็นต้องเข้าถึงได้อย่างชัดเจน ซิกพีอาร์,1 ฉัน (H(Br ฉัน )) ขั้นตอนที่ 2 ในขั้นตอนนี้ แต่ละผู้ยืนยันที่ฉันตั้งค่า ër ฉันเป็นผู้นำที่มีศักยภาพซึ่งมีใบรับรอง hashed มีขนาดเล็กที่สุดและ Br i เป็นบล็อกที่เสนอโดย LRr ฉัน เนื่องจากเพื่อประโยชน์ด้านประสิทธิภาพ เราจึง ต้องการเห็นด้วยกับ H(Br) แทนที่จะเห็นด้วยกับ Br โดยตรง ฉันเผยแพร่ข้อความที่เขาต้องการ แพร่กระจายในขั้นตอนแรกของ BA⋆ด้วยค่าเริ่มต้น v′ ผม = H(br ฉัน) นั่นคือเขาเผยแพร่ v′ ฉัน หลังจากเซ็นสัญญาชั่วคราวแน่นอน (กล่าวคือหลังจากลงนามแล้วสัมพันธ์กับช่วงเวลาชั่วคราวที่ถูกต้อง พับลิกคีย์ ซึ่งในกรณีนี้คือ pkr,2 ฉัน .) แน่นอน ฉันก็ส่งข้อมูลรับรองของเขาเองด้วย เนื่องจากขั้นตอนแรกของ BA⋆ประกอบด้วยขั้นตอนแรกของโปรโตคอลฉันทามติแบบให้คะแนน GC ขั้นตอน 2 ของ Algorand ′ สอดคล้องกับขั้นตอนแรกของ GC ขั้นตอนที่ 3 ในขั้นตอนนี้ แต่ละผู้ตรวจสอบ i $\in$SV r,2 ดำเนินการขั้นตอนที่สองของ BA⋆ นั่นคือเขาส่ง ข้อความเดียวกับที่เขาจะส่งในขั้นตอนที่สองของ GC อีกครั้งข้อความของฉันเป็นเพียงชั่วคราว ลงนามและมาพร้อมกับหนังสือรับรองของฉัน (ตั้งแต่บัดนี้เป็นต้นไปเราจะละเว้นการกล่าวคำยืนยันนั้น ลงนามในข้อความของเขาชั่วคราวและเผยแพร่หนังสือรับรองของเขาด้วย) ขั้นที่ 4 ในขั้นตอนนี้ ผู้ตรวจสอบทุกตัว i $\in$SV r,4 จะคำนวณเอาท์พุตของ GC, (vi, gi) และแบบชั่วคราว ลงนามและส่งข้อความเดียวกันกับที่เขาจะส่งในขั้นตอนที่สามของBA⋆ นั่นคือใน ขั้นตอนแรกของ BBA⋆ ด้วยบิตเริ่มต้น 0 ถ้า gi = 2 และ 1 เป็นอย่างอื่น ขั้นตอน ส = 5, . . . , m + 2 ขั้นตอนดังกล่าวหากไปถึงจะสอดคล้องกับขั้นตอน s −1 ของ BA⋆ และด้วยเหตุนี้ ขั้นตอนที่ s −3 ของ BBA⋆ เนื่องจากโมเดลการขยายพันธุ์ของเราเป็นแบบอะซิงโครนัสเพียงพอ เราจึงต้องคำนึงถึงความเป็นไปได้ด้วย ว่าในระหว่างขั้นตอน s นั้น ผู้ตรวจสอบ i $\in$SV r,s เข้าถึงได้ด้วยข้อมูลที่พิสูจน์เขา บล็อก Br นั้นได้ถูกเลือกแล้ว ในกรณีนี้ ฉันหยุดการดำเนินการรอบ r ของเขาเอง Algorand ′ และเริ่มดำเนินการตามคำสั่งการปัดเศษ (r + 1) {r', . . . , r′ + 106} $\times$ {1, . . . , ม. + 3} จากนั้นเขาก็สั่งกุญแจสาธารณะเหล่านี้ด้วยวิธีที่เป็นที่ยอมรับ และจัดเก็บสาธารณะ jth ป้อน jth leaf ของ Merkle tree และคำนวณค่ารูต Ri ซึ่งเขาเผยแพร่ เมื่อเขาต้องการลงนาม ข้อความที่เกี่ยวข้องกับคีย์ pkr,s ฉัน ฉันไม่เพียงแต่จัดเตรียมลายเซ็นจริงเท่านั้น แต่ยังรวมถึงเส้นทางการรับรองความถูกต้องสำหรับ pkr,s ด้วย ฉัน สัมพันธ์กับริ โปรดสังเกตว่าเส้นทางการรับรองความถูกต้องนี้ยังพิสูจน์ว่า pkr,s ฉัน ถูกเก็บไว้ในใบไม้ jth ส่วนที่เหลือ สามารถกรอกรายละเอียดได้อย่างง่ายดายตามนั้น คำแนะนำของผู้ตรวจสอบ i $\in$SV r,s นอกเหนือจากคำแนะนำที่เกี่ยวข้องกัน ไปยังขั้นตอนที่ s −3 ของ BBA⋆ รวมถึงการตรวจสอบว่าการดำเนินการของ BBA⋆ ได้หยุดลงก่อนหน้านี้หรือไม่ ขั้นตอน เนื่องจาก BBA⋆สามารถหยุดได้เพียงขั้นตอน Coin-Fixed-to-0 หรือในขั้นตอน Coin-Fixed-to-1 เท่านั้น คำแนะนำแยกแยะได้ว่า A (เงื่อนไขการสิ้นสุด 0): s′ −2 ≡0 mod 3 หรือ B (เงื่อนไขการสิ้นสุด 1): s′ −2 ≡1 mod 3 ในความเป็นจริง ในกรณี A บล็อก Br ไม่ว่างเปล่า และจำเป็นต้องมีคำแนะนำเพิ่มเติม ตรวจสอบให้แน่ใจว่าฉันสร้าง Br ใหม่อย่างถูกต้อง พร้อมด้วยใบรับรอง CERT r ที่เหมาะสม ในกรณี ข บล็อก Br ว่างเปล่า ดังนั้นฉันจึงได้รับคำสั่งให้ตั้งค่า Br = Br $\varepsilon$ = (r, $\emptyset$, H(Qr−1, r), H(Br−1)) และเพื่อคำนวณ CERT r หากในระหว่างดำเนินการตามขั้นตอน s ฉันไม่เห็นหลักฐานใด ๆ ที่แสดงว่าบล็อก Br มีอยู่แล้ว ถูกสร้างขึ้น จากนั้นเขาก็ส่งข้อความเดียวกับที่เขาจะส่งในขั้นตอน s −3 ของ BBA⋆ ขั้นตอนที่ m + 3 หากในระหว่างขั้นตอน m + 3 i $\in$SV r,m+3 เห็นว่าบล็อก Br ถูกสร้างขึ้นแล้ว ขั้นตอนก่อนหน้า s′ จากนั้นเขาก็ดำเนินการตามที่อธิบายไว้ข้างต้น มิฉะนั้น แทนที่จะส่งข้อความแบบเดียวกับที่เขาจะส่งในขั้นตอน m ของ BBA ⋆ ฉันก็เป็นเช่นนั้น ได้รับคำสั่งตามข้อมูลที่อยู่ในความครอบครองของเขาให้คำนวณ Br และข้อมูลที่เกี่ยวข้อง ใบรับรอง CERT r. จำได้ว่าในความเป็นจริง เรากำหนดขอบเขตบนด้วย m + 3 ซึ่งเป็นจำนวนก้าวทั้งหมดของรอบ 5.4 พิธีสารจริง ระลึกว่าในแต่ละขั้นตอนของรอบ r ผู้ตรวจสอบ i $\in$SV r,s ใช้คู่กุญแจลับสาธารณะระยะยาวของเขา เพื่อสร้างหนังสือรับรองของเขา $\sigma$r, s ฉัน $\triangleq$SIGi(r, s, Qr−1) เช่นเดียวกับ SIGi คิวอาร์−1 ในกรณี s = 1. ผู้ตรวจสอบ i ใช้รหัสลับชั่วคราวของเขา skr,s ฉัน เพื่อลงนามในข้อความของเขา (r, s) คุณ ฉัน เพื่อความง่าย เมื่อ r และ s เป็น ชัดเจน เราเขียน esigi(x) มากกว่า sigpkr,s i (x) เพื่อแสดงถึงลายเซ็นชั่วคราวที่เหมาะสมของค่า x ในขั้นตอน s ของรอบ r และเขียน ESIGi(x) แทน SIGpkr,s i (x) เพื่อแสดงถึง (i, x, esigi(x)) ขั้นตอนที่ 1: บล็อกข้อเสนอ คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้นขั้นตอนที่ 1 ของตัวเองของรอบ r ทันทีที่เขา รู้จัก Br−1 • ผู้ใช้ i คำนวณ Qr−1 จากองค์ประกอบที่สามของ Br−1 และตรวจสอบว่า i $\in$SV r,1 หรือ ไม่. • ถ้า i /$\in$SV r,1, แล้วฉันจะหยุดการดำเนินการขั้นตอนที่ 1 ของเขาเองทันที • ถ้า i $\in$SV r,1 นั่นคือ ถ้า i เป็นผู้นำที่มีศักยภาพ เขาจะเรียกเก็บเงินตามรอบที่มี ได้รับการเผยแพร่ไปยังเขาจนถึงตอนนี้และคำนวณ payset สูงสุด PAY r ฉันมาจากพวกเขา ต่อไปเขา คำนวณ "กลุ่มผู้สมัคร" ของเขา i = (r, จ่าย r ผม , SIGI(Qr−1), H(Br−1)) ในที่สุดเขาก็คำนวณ ข้อความคุณ1 ฉัน = (พี่ ฉัน , esigi(H(Br ผม )), $\sigma$r,1 i ) ทำลายคีย์ลับชั่วคราวของเขา skr,1 ฉัน แล้ว เผยแพร่นาย 1 ฉันหมายเหตุ. ในทางปฏิบัติ เพื่อลดระยะเวลาการดำเนินการทั่วโลกของขั้นตอนที่ 1 ให้สั้นลง สิ่งสำคัญคือ (r, 1)- ข้อความถูกเผยแพร่แบบเลือกสรร นั่นคือสำหรับผู้ใช้ทุกคนที่อยู่ในระบบ สำหรับครั้งแรก (r, 1)- ข้อความที่เขาได้รับและยืนยันได้สำเร็จ ผู้เล่น 17 คนก็เผยแพร่ตามปกติ สำหรับทั้งหมด อื่น ๆ (r, 1) - ข้อความที่ผู้เล่นที่ฉันได้รับและยืนยันได้สำเร็จ เขาเผยแพร่เฉพาะในกรณีที่ hash ค่าของข้อมูลรับรองที่มีอยู่นั้นน้อยที่สุดในบรรดาค่า hash ของข้อมูลรับรองที่มีอยู่ ในข้อความทั้งหมด (r, 1) ที่เขาได้รับและได้รับการยืนยันเรียบร้อยแล้ว นอกจากนี้ตามที่แนะนำ โดย Georgios Vlachos มันมีประโยชน์ที่ผู้นำที่มีศักยภาพแต่ละคน i จะเผยแพร่ข้อมูลรับรองของเขาด้วย $\sigma$r,1 ฉัน แยกจากกัน: ข้อความเล็กๆ เหล่านั้นเดินทางเร็วกว่าบล็อก ทำให้แน่ใจได้ว่าการเผยแพร่ mr,1 จะเป็นไปอย่างทันท่วงที เจ โดยที่ข้อมูลประจำตัวที่มีอยู่มีค่า hash น้อย ในขณะที่ทำให้มีค่า hash ขนาดใหญ่ หายไปอย่างรวดเร็ว ขั้นตอนที่ 2: ขั้นตอนแรกของ GC ของโปรโตคอลฉันทามติแบบให้คะแนน คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้นขั้นตอนที่ 2 ของตัวเองของรอบ r ทันทีที่เขา รู้จัก Br−1 • ผู้ใช้ i คำนวณ Qr−1 จากองค์ประกอบที่สามของ Br−1 และตรวจสอบว่า i $\in$SV r,2 หรือ ไม่. • ถ้า i /$\in$SV r,2 แล้วฉันจะหยุดการดำเนินการขั้นตอนที่ 2 ของเขาเองทันที • ถ้า i $\in$SV r,2 หลังจากรอเป็นระยะเวลาหนึ่ง t2 $\triangleq$แล + Λ ฉันจะทำหน้าที่ดังนี้ 1. เขาค้นหาผู้ใช้ ëเช่นนั้น H($\sigma$r,1 มอร์) $\leq$H($\sigma$r,1 j ) สำหรับข้อมูลรับรองทั้งหมด $\sigma$r,1 เจ ที่เป็นส่วนหนึ่งของ ข้อความที่ได้รับการยืนยันเรียบร้อยแล้ว (r, 1) ที่เขาได้รับจนถึงขณะนี้ 2. หากได้รับข้อความที่ถูกต้องจากคุณ 1 ฎ = (พี่ มอร์, ซิกล์(H(Br ̵)), $\sigma$r,1 ̵), b จากนั้นฉันจะตั้งค่า วี' ฉัน $\triangleq$H(br ë); มิฉะนั้นฉันจะตั้งค่า v′ ฉัน $\triangleq$ $\bot$ 3. ฉันคำนวณข้อความคุณ 2 ฉัน $\triangleq$(ESIGi(วี′ ผม), $\sigma$r,2 i ),c ทำลายรหัสลับชั่วคราวของเขา เอสเคอาร์,2 ฉัน แล้วเผยแพร่นาย 2 ฉัน โดยพื้นฐานแล้ว ผู้ใช้ i ตัดสินใจเป็นการส่วนตัวว่าผู้นำของรอบ r คือผู้ใช้ ë b ขอย้ำอีกครั้งว่าลายเซ็นของผู้เล่น ë และ hashes ได้รับการตรวจสอบเรียบร้อยแล้ว และชำระเงิน r ริน Br ëเป็นชุดการจ่ายเงินที่ถูกต้องสำหรับ รอบ r —แม้ว่าฉันจะไม่ได้ตรวจสอบว่า PAY r หรือไม่ ̵ เป็นค่าสูงสุดสำหรับ ̃ หรือไม่ คข้อความคุณนาย2 ฉัน ส่งสัญญาณว่าผู้เล่นที่ฉันถือว่า v′ i เป็น hash ของบล็อกถัดไป หรือพิจารณาบล็อกถัดไป บล็อกให้ว่างเปล่า 17นั่นคือ ลายเซ็นทั้งหมดถูกต้อง และทั้งบล็อกและ hash ของมันนั้นถูกต้อง แม้ว่าฉันจะไม่ได้ตรวจสอบก็ตาม ไม่ว่าค่าตอบแทนที่รวมไว้จะเป็นจำนวนสูงสุดสำหรับผู้เสนอหรือไม่

ขั้นตอนที่ 3: ขั้นตอนที่สองของ GC คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้นขั้นตอนที่ 3 ของตัวเองของรอบ r ทันทีที่เขา รู้จัก Br−1 • ผู้ใช้ i คำนวณ Qr−1 จากองค์ประกอบที่สามของ Br−1 และตรวจสอบว่า i $\in$SV r,3 หรือ ไม่. • ถ้า i /$\in$SV r,3, แล้วฉันจะหยุดการดำเนินการขั้นตอนที่ 3 ของเขาเองทันที • ถ้า i $\in$SV r,3 หลังจากรอเป็นระยะเวลาหนึ่ง t3 $\triangleq$t2 + 2$\lambda$ = 3l + Λ ฉันจะทำหน้าที่ดังนี้ 1. หากมีค่า v′ ̸= $\bot$เช่นนั้น ในบรรดาข้อความที่ถูกต้อง mr,2 เจ เขาได้รับ มากกว่า 2/3 อยู่ในรูปแบบ (ESIGj(v′), $\sigma$r,2 j ) โดยไม่มีความขัดแย้งใดๆ ก จากนั้นเขาก็คำนวณข้อความคุณ 3 ฉัน $\triangleq$(ESIGi(v′), $\sigma$r,3 ฉัน) มิฉะนั้นเขาจะคำนวณนาย 3 ฉัน $\triangleq$ (ESIGi($\bot$), $\sigma$r,3 ฉัน) 2. ฉันทำลายคีย์ลับชั่วคราวของเขา skr3 ฉัน แล้วเผยแพร่นาย 3 ฉัน aนั่นคือเขายังไม่ได้รับข้อความที่ถูกต้องสองข้อความที่มี ESIGj(v′) และ ESIGj(v′′) ที่แตกต่างกันตามลำดับ จากผู้เล่นเจ ที่นี่และต่อจากนี้ ยกเว้นในเงื่อนไขการสิ้นสุดที่กำหนดไว้ในภายหลัง เมื่อใดก็ตามที่เป็นผู้เล่นที่ซื่อสัตย์ ต้องการข้อความในรูปแบบที่กำหนด ข้อความที่ขัดแย้งกันจะไม่นับหรือถือว่าถูกต้องขั้นตอนที่ 4: ผลลัพธ์ของ GC และขั้นตอนแรกของ BBA⋆ คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้นขั้นตอนที่ 4 ของตัวเองของรอบ r ทันทีที่เขา รู้จัก Br−1 • ผู้ใช้ i คำนวณ Qr−1 จากองค์ประกอบที่สามของ Br−1 และตรวจสอบว่า i $\in$SV r,4 หรือ ไม่. • ถ้า i /$\in$SV r,4 แล้ว i เขาจะหยุดการดำเนินการขั้นตอนที่ 4 ทันที • หาก i $\in$SV r,4 หลังจากรอเป็นระยะเวลาหนึ่ง t4 $\triangleq$t3 + 2แล = 5แล + Λ ฉันจะทำหน้าที่ดังต่อไปนี้ 1. เขาคำนวณ vi และ gi ซึ่งเป็นผลลัพธ์ของ GC ดังนี้ (a) ถ้ามีค่า v′ ̸= $\bot$เช่นนั้น ในบรรดาข้อความที่ถูกต้อง mr,3 เจ เขามี ได้รับมากกว่า 2/3 อยู่ในรูปแบบ (ESIGj(v′), $\sigma$r,3 j ) จากนั้นเขาก็ตั้งค่า vi $\triangleq$v′ และ gi $\triangleq$2. (b) มิฉะนั้น ถ้ามีค่า v′ ̸= $\bot$เช่นนั้น ในบรรดาข้อความที่ถูกต้องทั้งหมด นาย 3 เจ เขาได้รับ มากกว่า 1/3 อยู่ในรูปแบบ (ESIGj(v′), $\sigma$r,3 เจ ) จากนั้น เขาตั้งค่า vi $\triangleq$v′ และ gi $\triangleq$1.a (c) อย่างอื่นเขากำหนด vi $\triangleq$H(Br ǫ ) และ gi $\triangleq$0 2. เขาคำนวณ bi ซึ่งเป็นอินพุตของ BBA⋆ ดังนี้: bi $\triangleq$0 ถ้า gi = 2 และ bi $\triangleq$1 มิฉะนั้น 3. เขาคำนวณข้อความ คุณ4 ฉัน $\triangleq$(ESIGi(ไบ), ESIGi(vi), $\sigma$r,4 i ) ทำลายช่วงเวลาชั่วคราวของเขา รหัสลับ skr,4 ฉัน แล้วเผยแพร่นาย 4 ฉัน aพิสูจน์ได้ว่า v′ ในกรณี (b) ถ้ามี จะต้องไม่ซ้ำกัน

ขั้นตอนที่ s, 5 $\leq$s $\leq$m + 2, s −2 ≡0 mod 3: ขั้นตอน Coin-Fixed-To-0 ของ BBA⋆ คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้น Step s ของตัวเองของรอบ r ทันทีที่เขา รู้จัก Br−1 • ผู้ใช้ i คำนวณ Qr−1 จากองค์ประกอบที่สามของ Br−1 และตรวจสอบว่า i $\in$SV r,s หรือไม่ • หาก i /$\in$SV r,s ฉันจะหยุดการดำเนินการ Step s ของเขาทันที • ถ้า i $\in$SV r,s แล้วเขาจะทำหน้าที่ดังต่อไปนี้ – เขารอจนกระทั่งผ่านไประยะเวลาหนึ่ง ts $\triangleq$ts−1 + 2$\lambda$ = (2s −3)$\lambda$ + Λ – เงื่อนไขการสิ้นสุด 0: หากในระหว่างการรอดังกล่าวและ ณ เวลาใด ๆ มี a string v ̸= $\bot$และขั้นตอน s′ เช่นนั้น (a) 5 $\leq$s′ $\leq$s, s′ −2 ≡0 mod 3 —นั่นคือ ขั้นตอน s′ เป็นขั้นตอน Coin-Fixed-To-0 (b) ฉันได้รับอย่างน้อยแล้ว = 2น 3 + 1 ข้อความที่ถูกต้อง mr,s′−1 เจ = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 เจ ) และ (ค) ฉันได้รับข้อความที่ถูกต้อง คุณ 1 เจ = (พี่ j , esigj(H(Br เจ )), $\sigma$r,1 เจ ) ด้วย โวลต์ = H(Br เจ) จากนั้น ฉันจะหยุดการดำเนินการขั้นตอน s ของเขาเอง (และในความเป็นจริงของรอบ r) ทันทีโดยไม่ต้อง เผยแพร่สิ่งใด ๆ เซต Br = Br เจ ; และกำหนดให้ CERT r ของเขาเองเป็นชุดข้อความ นาย,s′−1 เจ ของขั้นตอนย่อย (ข)ข – เงื่อนไขการสิ้นสุดที่ 1: หากในระหว่างการรอดังกล่าวและ ณ เวลาใดก็ตาม มี ขั้นตอนที่ s′ เช่นนั้น (a’) 6 $\leq$s′ $\leq$s, s′ −2 ≡1 mod 3 —นั่นคือ Step s′ เป็นขั้นตอน Coin-Fixed-To-1 และ (b’) ฉันได้รับข้อความที่ถูกต้องอย่างน้อย mr,s′−1 เจ = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 เจ ),ค จากนั้น ฉันจะหยุดการดำเนินการขั้นตอน s ของเขาเอง (และในความเป็นจริงของรอบ r) ทันทีโดยไม่ต้อง เผยแพร่สิ่งใด ๆ เซต Br = Br ; และกำหนดให้ CERT r ของเขาเองเป็นชุดข้อความ นาย,s′−1 เจ ของขั้นตอนย่อย (b’) – มิฉะนั้น เมื่อสิ้นสุดการรอ ผู้ใช้จะดำเนินการดังต่อไปนี้ เขากำหนดให้ vi เป็นคะแนนเสียงข้างมากของ vj ในองค์ประกอบที่สองของคะแนนเสียงที่ถูกต้องทั้งหมด นายส−1 เจ เขาได้รับแล้ว เขาคำนวณไบดังนี้ ถ้ามากกว่า 2/3 ของ mr,s−1 ที่ถูกต้องทั้งหมด เจ ที่เขาได้รับนั้นเป็นแบบอย่าง (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 เจ ) จากนั้นเขาก็ตั้งค่า bi $\triangleq$0 มิฉะนั้น ถ้ามากกว่า 2/3 ของ mr,s−1 ที่ถูกต้องทั้งหมด เจ ที่เขาได้รับนั้นเป็นแบบอย่าง (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 เจ ) จากนั้นเขาก็ตั้งค่า bi $\triangleq$1 มิฉะนั้นเขาจะตั้งค่า bi $\triangleq$0 เขาคำนวณข้อความของคุณนาย ฉัน $\triangleq$(ESIGi(ไบ), ESIGi(vi), $\sigma$r,s i ) ทำลายช่วงเวลาชั่วคราวของเขา รหัสลับ skr,s ฉัน แล้วเผยแพร่นายส ฉัน aข้อความดังกล่าวจากผู้เล่น j จะถูกนับแม้ว่าผู้เล่น i จะได้รับข้อความจากการลงนาม j สำหรับ 1 ก็ตาม สิ่งที่คล้ายกันสำหรับเงื่อนไขการสิ้นสุด 1 ดังที่แสดงในการวิเคราะห์ การดำเนินการนี้ทำเพื่อให้แน่ใจว่าผู้ใช้ที่ซื่อสัตย์ทุกคนทราบ Br ภายในเวลา แล จากกัน bUser ตอนนี้ฉันรู้จัก Br และรอบสุดท้ายของเขาแล้ว เขายังคงช่วยเผยแพร่ข้อความในฐานะผู้ใช้ทั่วไปแต่ ไม่ได้เริ่มต้นการแพร่กระจายใด ๆ ในฐานะ (r, s) - ผู้ตรวจสอบ โดยเฉพาะเขาได้ช่วยเผยแพร่ข้อความทั้งหมดในตัวเขา CERT r ซึ่งเพียงพอสำหรับโปรโตคอลของเรา โปรดทราบว่าเขาควรตั้งค่า bi $\triangleq$0 สำหรับโปรโตคอล BA ไบนารี่ด้วย แต่ตั้งค่าเป็น bi ไม่จำเป็นในกรณีนี้อยู่แล้ว สิ่งที่คล้ายกันสำหรับคำแนะนำทั้งหมดในอนาคต cในกรณีนี้ มันไม่สำคัญว่าวีเจจะเป็นอะไรขั้นตอนที่ s, 6 $\leq$s $\leq$m + 2, s −2 ≡1 mod 3: ขั้นตอนแบบ Coin-Fixed-To-1 ของ BBA⋆ คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้น Step s ของตัวเองของรอบ r ทันทีที่เขา รู้จัก Br−1 • ผู้ใช้ i คำนวณ Qr−1 จากองค์ประกอบที่สามของ Br−1 และตรวจสอบว่า i $\in$SV r,s หรือ ไม่. • หาก i /$\in$SV r,s ฉันจะหยุดการดำเนินการ Step s ของเขาทันที • ถ้า i $\in$SV r,s แล้วเขาจะทำดังต่อไปนี้ – เขารอจนกระทั่งผ่านไประยะเวลาหนึ่ง ts $\triangleq$(2s −3)$\lambda$ + Λ – เงื่อนไขการสิ้นสุด 0: คำแนะนำเดียวกันกับขั้นตอน Coin-Fixed-To-0 – เงื่อนไขการสิ้นสุด 1: คำแนะนำเดียวกันกับขั้นตอน Coin-Fixed-To-0 – มิฉะนั้น เมื่อสิ้นสุดการรอ ผู้ใช้จะดำเนินการดังต่อไปนี้ เขากำหนดให้ vi เป็นคะแนนเสียงข้างมากของ vj ในองค์ประกอบที่สองของคะแนนเสียงที่ถูกต้องทั้งหมด นายส−1 เจ เขาได้รับแล้ว เขาคำนวณไบดังนี้ ถ้ามากกว่า 2/3 ของ mr,s−1 ที่ถูกต้องทั้งหมด เจ ที่เขาได้รับนั้นเป็นแบบอย่าง (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 เจ ) จากนั้นเขาก็ตั้งค่า bi $\triangleq$0 มิฉะนั้น ถ้ามากกว่า 2/3 ของ mr,s−1 ที่ถูกต้องทั้งหมด เจ ที่เขาได้รับนั้นเป็นแบบอย่าง (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 เจ ) จากนั้นเขาก็ตั้งค่า bi $\triangleq$1 มิฉะนั้นเขาจะตั้งค่า bi $\triangleq$1 เขาคำนวณข้อความของคุณนาย ฉัน $\triangleq$(ESIGi(ไบ), ESIGi(vi), $\sigma$r,s i ) ทำลายช่วงเวลาชั่วคราวของเขา รหัสลับ skr,s ฉัน แล้วเผยแพร่นายส ฉัน

ขั้นตอนที่ s, 7 $\leq$s $\leq$m + 2, s −2 ≡2 mod 3: ขั้นตอนการพลิกเหรียญอย่างแท้จริงของ BBA⋆ คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้น Step s ของตัวเองของรอบ r ทันทีที่เขา รู้จัก Br−1 • ผู้ใช้ i คำนวณ Qr−1 จากองค์ประกอบที่สามของ Br−1 และตรวจสอบว่า i $\in$SV r,s หรือ ไม่. • หาก i /$\in$SV r,s ฉันจะหยุดการดำเนินการ Step s ของเขาทันที • ถ้า i $\in$SV r,s แล้วเขาจะทำดังต่อไปนี้ – เขารอจนกระทั่งผ่านไประยะเวลาหนึ่ง ts $\triangleq$(2s −3)$\lambda$ + Λ – เงื่อนไขการสิ้นสุด 0: คำแนะนำเดียวกันกับขั้นตอน Coin-Fixed-To-0 – เงื่อนไขการสิ้นสุด 1: คำแนะนำเดียวกันกับขั้นตอน Coin-Fixed-To-0 – มิฉะนั้น เมื่อสิ้นสุดการรอ ผู้ใช้จะดำเนินการดังต่อไปนี้ เขากำหนดให้ vi เป็นคะแนนเสียงข้างมากของ vj ในองค์ประกอบที่สองของคะแนนเสียงที่ถูกต้องทั้งหมด นายส−1 เจ เขาได้รับแล้ว เขาคำนวณไบดังนี้ ถ้ามากกว่า 2/3 ของ mr,s−1 ที่ถูกต้องทั้งหมด เจ ที่เขาได้รับนั้นเป็นแบบอย่าง (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 เจ ) จากนั้นเขาก็ตั้งค่า bi $\triangleq$0 มิฉะนั้น ถ้ามากกว่า 2/3 ของ mr,s−1 ที่ถูกต้องทั้งหมด เจ ที่เขาได้รับนั้นเป็นแบบอย่าง (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 เจ ) จากนั้นเขาก็ตั้งค่า bi $\triangleq$1 มิฉะนั้น ให้ SV r,s−1 ฉัน เป็นเซตของ (r, s −1) - ผู้ตรวจสอบที่เขาได้รับความถูกต้อง ส่งข้อความถึงคุณ s−1 เจ . เขาตั้งค่า bi $\triangleq$lsb(minj$\in$SV r,s−1 ฉัน H($\sigma$r,s−1 เจ )). เขาคำนวณข้อความของคุณนาย ฉัน $\triangleq$(ESIGi(ไบ), ESIGi(vi), $\sigma$r,s i ) ทำลายช่วงเวลาชั่วคราวของเขา รหัสลับ skr,s ฉัน แล้วเผยแพร่นายส ฉัน

ขั้นตอนที่ m + 3: ขั้นตอนสุดท้ายของ BBA⋆a คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มขั้นตอนของตนเอง m + 3 ของรอบ r ทันทีที่เขา รู้จัก Br−1 • ผู้ใช้ i คำนวณ Qr−1 จากองค์ประกอบที่สามของ Br−1 และตรวจสอบว่า i $\in$SV r,m+3 หรือ ไม่. • ถ้า i /$\in$SV r,m+3 ฉันจะหยุดการดำเนินการขั้นตอน m + 3 ของเขาเองทันที • ถ้า i $\in$SV r,m+3 แล้วเขาจะทำดังต่อไปนี้ – เขารอจนกระทั่งผ่านไประยะเวลาหนึ่ง tm+3 $\triangleq$tm+2 + 2$\lambda$ = (2m + 3)$\lambda$ + Λ – เงื่อนไขการสิ้นสุด 0: คำแนะนำเดียวกันกับขั้นตอน Coin-Fixed-To-0 – เงื่อนไขการสิ้นสุด 1: คำแนะนำเดียวกันกับขั้นตอน Coin-Fixed-To-0 – มิฉะนั้น เมื่อสิ้นสุดการรอ ผู้ใช้จะดำเนินการดังต่อไปนี้ เขากำหนด $\triangleq$1 และ Br $\triangleq$Br ī. เขาคำนวณข้อความ mr,m+3 ฉัน = (ESIGi(ออกิ), ESIGi(H(Br)), $\sigma$r,m+3 ฉัน ) ทำลายของเขา คีย์ลับชั่วคราว skr,m+3 ฉัน แล้วเผยแพร่ mr,m+3 ฉัน เพื่อรับรอง Br.b aด้วยความน่าจะเป็นอย่างท่วมท้น BBA⋆ได้สิ้นสุดลงก่อนขั้นตอนนี้ และเราระบุขั้นตอนนี้เพื่อความสมบูรณ์ ใบรับรอง ba จากขั้นตอน m + 3 ไม่จำเป็นต้องรวม ESIGi(outi) เรารวมไว้เพื่อความสม่ำเสมอเท่านั้น: ขณะนี้ใบรับรองมีรูปแบบที่เหมือนกันไม่ว่าจะสร้างในขั้นตอนใดก็ตามการสร้าง Round-r Block ขึ้นมาใหม่โดยผู้ที่ไม่ใช่ผู้ตรวจสอบ คำแนะนำสำหรับผู้ใช้ทุกคน i ในระบบ: ผู้ใช้ i เริ่มรอบ r ของตนเองทันทีที่ทราบ Br−1 และรอข้อมูลบล็อกดังนี้ – หากในระหว่างการรอและ ณ เวลาใดก็ตาม มีสตริง v และขั้นตอน s′ ดังกล่าวอยู่ นั่น (a) 5 $\leq$s′ $\leq$m + 3 โดยมี s′ −2 ≡0 mod 3 (b) ฉันได้รับข้อความที่ถูกต้องอย่างน้อย mr,s′−1 เจ = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 เจ ) และ (ค) ฉันได้รับข้อความที่ถูกต้อง คุณ 1 เจ = (พี่ j , esigj(H(Br เจ )), $\sigma$r,1 เจ ) ด้วย โวลต์ = H(Br เจ) จากนั้นฉันก็หยุดการดำเนินการรอบ r ของเขาเองทันที เซต Br = Br เจ; และกำหนด CERT r ของเขาเอง เป็นชุดข้อความ mr,s′−1 เจ ของขั้นตอนย่อย (b) – หากในระหว่างการรอคอยและ ณ จุดใดเวลาหนึ่ง มีขั้นตอนเช่นนั้นอยู่ (a’) 6 $\leq$s′ $\leq$m + 3 โดยมี s′ −2 ≡1 mod 3 และ (b’) ฉันได้รับข้อความที่ถูกต้องอย่างน้อย mr,s′−1 เจ = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 เจ ) จากนั้นฉันก็หยุดการดำเนินการรอบ r ของเขาเองทันที เซต Br = Br ǫ; และกำหนด CERT r ของเขาเอง เป็นชุดข้อความ mr,s′−1 เจ ของขั้นตอนย่อย (b’) – หากในระหว่างการรอและ ณ เวลาใดก็ตาม ฉันได้รับข้อความที่ถูกต้องเป็นอย่างน้อย คุณม+3 เจ = (ESIGj(1), ESIGj(H(Br ī )), $\sigma$r,m+3 เจ ) จากนั้นฉันก็หยุดการประมวลผลรอบ r ของเขาเอง ทันที ให้ตั้ง Br = Br ǫ และตั้งค่า CERT r ของเขาเองให้เป็นชุดข้อความ mr,m+3 เจ สำหรับ 1 และ H(br ǫ) 5.5 การวิเคราะห์ Algorand ′ 1 เราแนะนำสัญลักษณ์ต่อไปนี้สำหรับแต่ละรอบ r $\geq$0 ซึ่งใช้ในการวิเคราะห์ • ให้ T r เป็นเวลาที่ผู้ใช้ที่ซื่อสัตย์คนแรกรู้จัก Br−1 • ให้ Ir+1 เป็นช่วง [T r+1, T r+1 + $\lambda$] โปรดทราบว่า T 0 = 0 โดยการเริ่มต้นของโปรโตคอล สำหรับแต่ละ s $\geq$1 และ i $\in$SV r,s ให้จำไว้ เอลอาร์ส ฉัน และ $\beta$r,s ฉัน คือเวลาเริ่มต้นและเวลาสิ้นสุดของผู้เล่น i's step s ตามลำดับ นอกจากนี้ จำได้ว่า ts = (2s −3)$\lambda$ + Λ สำหรับแต่ละ 2 $\leq$s $\leq$m + 3 นอกจากนี้ ให้ I0 $\triangleq${0} และ t1 $\triangleq$0 สุดท้ายนี้ จำไว้ว่า Lr $\leq$m/3 เป็นตัวแปรสุ่มที่แสดงถึงจำนวนการทดลองเบอร์นูลลี จำเป็นต้องดู 1 เมื่อการทดลองแต่ละครั้งคือ 1 โดยมีความน่าจะเป็น ph 2 และมีการทดลองสูงสุด m/3 ถ้าทั้งหมด การทดลองล้มเหลวจากนั้น Lr $\triangleq$m/3 ในการวิเคราะห์ เราไม่สนใจเวลาในการคำนวณ เนื่องจากจริงๆ แล้วมีเวลาน้อยมากเมื่อเทียบกับเวลาที่ต้องการ เพื่อเผยแพร่ข้อความ ไม่ว่าในกรณีใด หากใช้ แลมบ์ดา และ Λ ที่มีขนาดใหญ่ขึ้นเล็กน้อย เวลาในการคำนวณก็สามารถทำได้ เข้าสู่การวิเคราะห์โดยตรง ข้อความด้านล่างส่วนใหญ่ถือ “อย่างล้นหลาม ความน่าจะเป็น” และเราอาจไม่ได้เน้นย้ำข้อเท็จจริงนี้ซ้ำๆ ในการวิเคราะห์5.6 ทฤษฎีบทหลัก ทฤษฎีบท 5.1 คุณสมบัติต่อไปนี้มีความน่าจะเป็นอย่างล้นหลามสำหรับแต่ละรอบ r $\geq$0: 1. ผู้ใช้ที่ซื่อสัตย์ทุกคนเห็นด้วยกับบล็อกเดียวกัน Br. 2. เมื่อผู้นำ ër ซื่อสัตย์ บล็อก Br จะถูกสร้างขึ้นโดย ër โดยที่ Br จะมีค่าตอบแทนสูงสุด ได้รับโดย LRr ตามเวลา $\alpha$r,1 ër , T r+1 $\leq$T r + 8แล + Λ และผู้ใช้ที่ซื่อสัตย์ทุกคนรู้จัก Br ในเวลานั้น ช่วงเวลา Ir+1 3. เมื่อผู้นำ ër เป็นอันตราย T r+1 $\leq$T r + (6Lr + 10)$\lambda$ + Λ และผู้ใช้ที่ซื่อสัตย์ทุกคนจะรู้ Br ในช่วงเวลา Ir+1 4. ph = h2(1 + h −h2) สำหรับ Lr และตัวนำ ër ซื่อสัตย์กับความน่าจะเป็นอย่างน้อย ph ก่อนที่จะพิสูจน์ทฤษฎีบทหลักของเรา ขอให้เราตั้งข้อสังเกตไว้สองประการ หมายเหตุ. • Block-Generation และ True Latency เวลาในการสร้างบล็อก Br ถูกกำหนดให้เป็น T r+1 −T r นั่นคือ มันถูกกำหนดให้เป็นความแตกต่างระหว่างครั้งแรกที่ผู้ใช้ที่ซื่อสัตย์บางคนเรียนรู้ Br และ ครั้งแรกที่ผู้ใช้ที่ซื่อสัตย์เรียนรู้ Br−1 เมื่อผู้นำรอบนั้นซื่อสัตย์ ทรัพย์สินที่ 2 ของเรา ทฤษฎีบทหลักรับประกันว่าเวลาที่แน่นอนในการสร้าง Br คือเวลา 8 แล + Λ ไม่ว่าจะเป็นอะไรก็ตาม ค่าที่แน่นอนของ h > 2/3 อาจเป็นได้ เมื่อผู้นำมีเจตนาร้าย คุณสมบัติที่ 3 หมายความว่า เวลาที่คาดว่าจะสร้าง Br นั้นมีขอบเขตบน ( 12 ph + 10)$\lambda$ + Λ อีกครั้งไม่ว่าจะแม่นยำแค่ไหนก็ตาม ค่า h.18 อย่างไรก็ตาม เวลาที่คาดว่าจะสร้าง Br ขึ้นอยู่กับค่าที่แน่นอนของ h โดยแท้จริงแล้ว โดยคุณสมบัติ 4, ph = h2(1 + h −h2) และผู้นำมีความซื่อสัตย์กับความน่าจะเป็นเป็นอย่างน้อย ph ดังนั้น E[T r+1 −T r] $\leq$h2(1 + h −h2) $\cdot$ (8แล + Λ) + (1 −h2(1 + h −h2))(( 12 h2(1 + h −h2) + 10)แล + Λ) ตัวอย่างเช่น ถ้า h = 80% แล้ว E[T r+1 −T r] $\leq$12.7แล + Λ • แลมบ์ดา กับ Λ. โปรดทราบว่าขนาดของข้อความที่ส่งโดยผู้ตรวจสอบในขั้นตอน Algorand ′ นั้นถูกครอบงำ ตามความยาวของคีย์ลายเซ็นดิจิทัลซึ่งสามารถแก้ไขได้แม้ว่าจะมีจำนวนก็ตาม ผู้ใช้มีมหาศาล โปรดทราบด้วยว่าในขั้นตอนใดๆ > 1 จำนวนผู้ตรวจสอบที่คาดหวังไว้จะเท่ากัน สามารถใช้ได้ไม่ว่าจำนวนผู้ใช้จะเป็น 100K, 100M หรือ 100M ที่เป็นเช่นนี้ก็เพราะว่า n เพียงอย่างเดียว ขึ้นอยู่กับ h และ F โดยสรุปแล้ว หากไม่จำเป็นต้องเพิ่มความยาวของคีย์ลับอย่างกะทันหัน ค่าของ $\gamma$ ควรคงเดิมไม่ว่าจำนวนผู้ใช้จะมากเพียงใด อนาคตอันใกล้ ในทางตรงกันข้าม สำหรับอัตราธุรกรรมใดๆ จำนวนธุรกรรมจะเพิ่มขึ้นตามจำนวน ผู้ใช้ ดังนั้นเพื่อประมวลผลธุรกรรมใหม่ทั้งหมดให้ทันเวลา ขนาดของบล็อกควรจะเป็น ยังเติบโตตามจำนวนผู้ใช้งาน ทำให้ Λ เติบโตขึ้นด้วย ดังนั้นในระยะยาวเราควรจะมี แล << Λ. ดังนั้นจึงเป็นเรื่องเหมาะสมที่จะมีโคอีﬃcientที่ใหญ่กว่าสำหรับ แล และจริงๆ แล้ว coeﬃcient จาก 1 สำหรับ Λ. การพิสูจน์ทฤษฎีบท 5.1 เราพิสูจน์คุณสมบัติ 1–3 โดยการเหนี่ยวนํา: สมมติว่าคุณสมบัติเหล่านั้นคงไว้เป็นรอบ r −1 (โดยไม่สูญเสียลักษณะทั่วไป มันจะถือเป็น "รอบ -1" โดยอัตโนมัติเมื่อ r = 0) เราพิสูจน์มันแล้ว รอบร. 18แท้จริงแล้ว E[T r+1 −T r] $\leq$(6E[Lr] + 10)แล + Λ = (6 $\cdot$ 2 ค่า pH + 10)แล + Λ = ( 12 ค่าพีเอช + 10)แล + Λเนื่องจาก Br−1 ถูกกำหนดอย่างไม่ซ้ำกันโดยสมมติฐานอุปนัย เซต SV r,s จึงถูกกำหนดอย่างไม่ซ้ำกัน สำหรับแต่ละขั้นตอนของรอบ r โดยการเลือก n1, SV r,1 ̸= $\emptyset$ ด้วยความน่าจะเป็นอย่างล้นหลาม เราตอนนี้ ระบุบทแทรกสองบทต่อไปนี้ ซึ่งพิสูจน์แล้วในส่วนที่ 5.7 และ 5.8 ตลอดการปฐมนิเทศและใน การพิสูจน์บทแทรกทั้งสองบทการวิเคราะห์รอบ 0 เกือบจะเหมือนกับขั้นตอนอุปนัย และเราจะเน้นถึงความแตกต่างเมื่อเกิดขึ้น เลมมา 5.2 [ความสมบูรณ์ของเล็มมา] สมมติคุณสมบัติ 1–3 ค้างไว้รอบ r−1 เมื่อผู้นำ ër เป็นคนซื่อสัตย์ ด้วยความน่าจะเป็นอย่างล้นหลาม • ผู้ใช้จริงทุกคนเห็นด้วยกับบล็อกเดียวกัน Br ซึ่งสร้างโดย ër และมีค่าสูงสุด ชุดจ่ายเงินที่ได้รับโดย ër ตามเวลา $\alpha$r, 1 ër $\in$Ir; และ • T r+1 $\leq$T r + 8$\lambda$ + Λ และผู้ใช้จริงทุกคนจะทราบ Br ในช่วงเวลา Ir+1 เลมมา 5.3 [Soundness Lemma] สมมติคุณสมบัติ 1–3 ค้างไว้รอบ r −1 เมื่อผู้นำ ër เป็นอันตราย ด้วยความน่าจะเป็นอย่างล้นหลาม ผู้ใช้ที่ซื่อสัตย์ทุกคนเห็นด้วยกับบล็อกเดียวกัน Br, T r+1 $\leq$ T r + (6Lr + 10)$\lambda$ + Λ และผู้ใช้ที่ซื่อสัตย์ทุกคนทราบ Br ในช่วงเวลา Ir+1 คุณสมบัติ 1–3 คงไว้โดยการใช้บทแทรก 5.2 และ 5.3 กับ r = 0 และกับขั้นตอนอุปนัย สุดท้ายนี้ เรากล่าวย้ำคุณสมบัติ 4 ว่าเป็นบทแทรกต่อไปนี้ ซึ่งพิสูจน์แล้วในส่วนที่ 5.9 เลมมา 5.4 ให้คุณสมบัติ 1–3 สำหรับแต่ละรอบก่อน r, ph = h2(1 + h −h2) สำหรับ Lr และ ผู้นำ ër ซื่อสัตย์กับความน่าจะเป็นอย่างน้อย ph เมื่อรวมบทแทรกสามบทข้างต้นเข้าด้วยกัน ทฤษฎีบท 5.1 ก็ถือได้ ■ บทแทรกด้านล่างระบุคุณสมบัติที่สำคัญหลายประการเกี่ยวกับรอบ r เมื่อพิจารณาจากอุปนัย สมมติฐาน และจะนำไปใช้ในการพิสูจน์บทแทรกสามบทข้างต้น เลมมา 5.5 สมมติว่าคุณสมบัติ 1–3 คงไว้สำหรับรอบ r −1 สำหรับแต่ละขั้นตอน s $\geq$1 ของรอบ r และ ผู้ตรวจสอบที่ซื่อสัตย์แต่ละคน i $\in$HSV r,s เรามีสิ่งนั้น (ก) $\alpha$r, s ฉัน $\in$ฉัน; (b) ถ้าผู้เล่นฉันรอมาเป็นระยะเวลา ts แล้ว $\beta$r,s ฉัน $\in$[T r + ts, T r + $\lambda$ + ts] สำหรับ r > 0 และ $\beta$r,s ฉัน = ts สำหรับ r = 0; และ (c) ถ้าผู้เล่นฉันรอมาเป็นระยะเวลา ts แล้วตามเวลา $\beta$r,s ฉัน เขาได้รับข้อความทั้งหมดแล้ว ส่งโดยผู้ตรวจสอบที่ซื่อสัตย์ทุกคน j $\in$HSV r,s′ สำหรับทุกขั้นตอน s′ < s ยิ่งไปกว่านั้น สำหรับแต่ละขั้นตอน s $\geq$3 เรามีสิ่งนั้น (d) ไม่มีผู้เล่นที่แตกต่างกันสองคน i, i′ $\in$SV r,s และค่าที่ต่างกันสองค่า v, v′ ที่เหมือนกัน ความยาวจนผู้เล่นทั้งสองคนต้องรอเป็นระยะเวลา ts มากกว่า 2/3 ของทั้งหมด ข้อความที่ถูกต้อง mr,s−1 เจ ผู้เล่นที่ฉันได้รับได้ลงนามใน v และมากกว่า 2/3 ของทั้งหมดที่ถูกต้อง ข้อความคุณ, s−1 เจ ผู้เล่นที่ฉันได้รับได้เซ็นสัญญากับ v′ การพิสูจน์. คุณสมบัติ (a) ตามมาจากสมมติฐานอุปนัยโดยตรง เนื่องจากผู้เล่นที่ฉันรู้จัก Br−1 ใน ช่วงเวลา Ir และเริ่มก้าวของเขาเองทันที คุณสมบัติ (b) ติดตามโดยตรงจาก (a): เนื่องจาก ผู้เล่น ฉันรอมาระยะหนึ่งแล้วก่อนที่จะลงมือ $\beta$r,s ฉัน = $\alpha$r,s ฉัน + ทีเอส โปรดทราบว่า $\alpha$r,s ฉัน = 0 สำหรับ ร = 0 ตอนนี้เราพิสูจน์คุณสมบัติ (c) ถ้า s = 2 ดังนั้นโดยคุณสมบัติ (b) สำหรับผู้ตรวจสอบทั้งหมด j $\in$HSV r,1 เรามี $\beta$r,s ฉัน = $\alpha$r,s ฉัน + ts $\geq$T r + ts = T r + แล + Λ $\geq$ $\beta$r,1 เจ + Λ.เนื่องจากผู้ตรวจสอบแต่ละคน j $\in$HSV r,1 ส่งข้อความของเขาในเวลา $\beta$r,1 เจ และข้อความไปถึงความซื่อสัตย์ทั้งหมด ผู้ใช้ในเวลาสูงสุด Λ ตามเวลา $\beta$r, s ฉัน ผู้เล่นที่ฉันได้รับข้อความที่ส่งมาจากผู้ตรวจสอบทั้งหมด HSV r,1 ตามต้องการ ถ้า s > 2 แล้ว ts = ts−1 + 2แล ตามคุณสมบัติ (b) สำหรับทุกขั้นตอน s′ < s และผู้ตรวจสอบทั้งหมด j $\in$HSV r,s′, $\beta$r,s ฉัน = $\alpha$r,s ฉัน + ts $\geq$T r + ts = T r + ts−1 + 2แล $\geq$T r + ts′ + 2แล = T r + แล + ts′ + แลม $\geq$ $\beta$r,s′ เจ + แล. เนื่องจากผู้ตรวจสอบแต่ละคน j $\in$HSV r,s′ ส่งข้อความของเขาในเวลา $\beta$r,s′ เจ และข้อความไปถึงความซื่อสัตย์ทั้งหมด ผู้ใช้ในเวลาสูงสุด , ตามเวลา $\beta$r, s ฉัน ผู้เล่น ฉันได้รับข้อความทั้งหมดที่ส่งมาจากผู้ตรวจสอบที่ซื่อสัตย์ทุกคน ใน HSV r,s′ สำหรับทุก s′ < s ดังนั้นทรัพย์สิน (c) ถืออยู่ ในที่สุด เราก็พิสูจน์คุณสมบัติ (d) โปรดทราบว่าผู้ตรวจสอบ j $\in$SV r,s−1 ลงชื่อไม่เกินสองสิ่ง ขั้นตอนที่ s −1 โดยใช้คีย์ลับชั่วคราว: ค่า vj ที่มีความยาวเท่ากับเอาต์พุตของ ฟังก์ชัน hash และบิต bj $\in${0, 1} ถ้า s −1 $\geq$4 นั่นคือเหตุผลในบทแทรก เราต้องการให้ v และ v′ มีความยาวเท่ากัน: ผู้ตรวจสอบหลายคนอาจลงนามทั้งค่า hash v และบิต b ดังนั้น ทั้งคู่จึงผ่านเกณฑ์ 2/3 สมมุติเพื่อประโยชน์แห่งความขัดแย้งว่ามีตัวตรวจสอบที่ต้องการ i, i′ และค่า v, v′ อยู่ โปรดทราบว่าผู้ตรวจสอบที่เป็นอันตรายบางรายใน MSV r,s−1 อาจลงนามทั้ง v และ v′ แต่แต่ละคนก็ซื่อสัตย์ ผู้ตรวจสอบใน HSV r,s−1 ได้ลงนามมากที่สุดหนึ่งฉบับ โดยทรัพย์สิน (c) ทั้งฉันและฉันได้รับ ข้อความทั้งหมดที่ส่งโดยผู้ตรวจสอบที่ซื่อสัตย์ทุกคนใน HSV r,s−1 ให้ HSV r,s−1(v) เป็นเซตของผู้ตรวจสอบที่ซื่อสัตย์ (r, s −1) ซึ่งลงนามใน v, MSV r,s−1 ฉัน ชุด ของผู้ตรวจสอบที่เป็นอันตราย (r, s −1) ซึ่งฉันได้รับข้อความที่ถูกต้องและ MSV r, s−1 ฉัน (v) ที่ เซตย่อยของ MSV r,s−1 ฉัน จากผู้ที่ฉันได้รับข้อความลงนามที่ถูกต้อง v. ตามข้อกำหนดสำหรับ ฉันและวี เรามี อัตราส่วน $\triangleq$|HSV r,s−1(v)| + |MSV r,s−1 ฉัน (ก)| |HSV r,s−1| + |MSV r,s−1 ฉัน |

2 3. (1) เราแสดงก่อน |MSV r,s−1 ฉัน (ก)| $\leq$|HSV r,s−1(v)| (2) สมมติเป็นอย่างอื่นโดยความสัมพันธ์ระหว่างพารามิเตอร์ที่มีความน่าจะเป็นอย่างท่วมท้น |HSV r,s−1| > 2|MSV r,s−1| $\geq$2|MSV r,s−1 ฉัน | ดังนั้น อัตราส่วน < |HSV r,s−1(v)| + |MSV r,s−1 ฉัน (ก)| 3|MSV r,s−1 ฉัน | < 2|MSV r,s−1 ฉัน (ก)| 3|MSV r,s−1 ฉัน | $\leq$2 3, ความไม่เท่าเทียมกันที่ขัดแย้งกัน 1. ต่อไป โดยอสมการ 1 เรามี 2|HSV r,s−1| + 2|MSV r,s−1 ฉัน | < 3|HSV r,s−1(v)| + 3|MSV r,s−1 ฉัน (ก)| $\leq$ 3|HSV r,s−1(v)| + 2|MSV r,s−1 ฉัน | + |MSV r,s−1 ฉัน (ก)|. เมื่อรวมกับความไม่เท่าเทียมกัน 2 2|HSV r,s−1| < 3|HSV r,s−1(v)| + |MSV r,s−1 ฉัน (ก)| $\leq$4|HSV r,s−1(v)|, ซึ่งหมายถึง |HSV r,s−1(v)| > 1 2|HSV r,s−1|ในทำนองเดียวกัน ตามข้อกำหนดสำหรับ i′ และ v′ เรามี |HSV r,s−1(วี′)| > 1 2|HSV r,s−1| เนื่องจากผู้ตรวจสอบที่ซื่อสัตย์ j $\in$HSV r,s−1 ทำลายคีย์ลับชั่วคราวของเขา skr,s−1 เจ ก่อนที่จะแพร่กระจาย ข้อความของเขา ปฏิปักษ์ไม่สามารถปลอมลายเซ็นของ j สำหรับค่าที่ j ไม่ได้ลงนามหลังจากนั้น การเรียนรู้ว่า j เป็นผู้ยืนยัน ดังนั้น อสมการทั้งสองข้างต้นจึงหมายถึง |HSV r,s−1| $\geq$|HSV r,s−1(v)| + |HSV r,s−1(วี′)| > |HSV r,s−1| ซึ่งเป็นข้อขัดแย้ง ดังนั้นจึงไม่มีสิ่งที่ต้องการ i, i′, v, v′ และ ทรัพย์สิน (ง) ถือครอง ■ 5.7 ความสมบูรณ์เลมมา เลมมา 5.2 [ความสมบูรณ์ของเล็มมา ปรับปรุงใหม่] สมมุติว่าคุณสมบัติ 1–3 คงไว้สำหรับรอบ r−1 เมื่อ ผู้นำ ër เป็นคนซื่อสัตย์ มีความเป็นไปได้อย่างล้นหลาม • ผู้ใช้จริงทุกคนเห็นด้วยกับบล็อกเดียวกัน Br ซึ่งสร้างโดย ër และมีค่าสูงสุด ชุดจ่ายเงินที่ได้รับโดย ër ตามเวลา $\alpha$r, 1 ër $\in$Ir; และ • T r+1 $\leq$T r + 8$\lambda$ + Λ และผู้ใช้จริงทุกคนจะทราบ Br ในช่วงเวลา Ir+1 การพิสูจน์. ตามสมมติฐานอุปนัยและบทแทรก 5.5 สำหรับแต่ละขั้นตอน s และตัวตรวจสอบ i $\in$HSV r,s เอลอาร์ส ฉัน $\in$ไอร์ ด้านล่างเราจะวิเคราะห์โปรโตคอลทีละขั้นตอน ขั้นตอนที่ 1 ตามคำจำกัดความ ผู้ตรวจสอบที่ซื่อสัตย์ทุกคน i $\in$HSV r,1 จะเผยแพร่ข้อความที่ต้องการ mr,1 ฉัน ที่ เวลา $\beta$r,1 ฉัน = แอลอาร์,1 ฉัน ที่ไหน คุณ1 ฉัน = (พี่ ฉัน , esigi(H(Br ผม )), $\sigma$r,1 ฉัน ) Br i = (r, จ่าย r ผม , SIGI(Qr−1), H(Br−1)), และจ่าย r ฉันเป็นค่าตอบแทนสูงสุดในบรรดาการชำระเงินทั้งหมดที่ฉันเห็นตามเวลา $\alpha$r,1 ฉัน ขั้นตอนที่ 2 แก้ไขผู้ตรวจสอบที่ซื่อสัตย์โดยพลการ i $\in$HSV r,2 โดย Lemma 5.5 เมื่อผู้เล่นทำเสร็จแล้ว รอเวลา $\beta$r,2 ฉัน = แอลอาร์,2 ฉัน + t2 เขาได้รับข้อความทั้งหมดที่ส่งโดยผู้ตรวจสอบใน HSV r,1 รวมถึง นาย 1 lr. ตามคำจำกัดความของ ër ไม่มีผู้เล่นคนอื่นใน PKr−k ที่มีข้อมูลรับรอง hash ค่าน้อยกว่า H($\sigma$r,1 ër) แน่นอนว่าปฏิปักษ์สามารถทำให้เสื่อมทราม ër ได้หลังจากเห็นว่า H($\sigma$r,1 ) มีขนาดเล็กมาก แต่เมื่อถึงเวลานั้น ผู้เล่น ër ได้ทำลายกุญแจชั่วคราวของเขาและข้อความ mr,1 lr ได้รับการเผยแพร่ ดังนั้นจึงเป็นการยืนยันว่าฉันได้ตั้งผู้นำของเขาเองให้เป็นผู้เล่นแล้ว ดังนั้น ณ เวลา $\beta$r,2 ฉัน ผู้ตรวจสอบฉันเผยแพร่นาย 2 ฉัน = (ESIGi(วี′ ผม), $\sigma$r,2 ฉัน ) โดยที่ v′ ผม = H(br ër) เมื่อ r = 0 จะเกิดผลต่างเพียงอย่างเดียว นั่นคือ $\beta$r,2 ฉัน = t2 แทนที่จะอยู่ในช่วง สิ่งที่คล้ายกันสามารถพูดได้สำหรับขั้นตอนในอนาคตและเรา จะไม่เน้นย้ำพวกเขาอีก ขั้นตอนที่ 3 แก้ไขผู้ตรวจสอบที่ซื่อสัตย์โดยพลการ i $\in$HSV r,3 โดย Lemma 5.5 เมื่อผู้เล่นทำเสร็จแล้ว รอเวลา $\beta$r,3 ฉัน = แอลอาร์,3 ฉัน + t3 เขาได้รับข้อความทั้งหมดที่ส่งโดยผู้ตรวจสอบใน HSV r,2 โดยความสัมพันธ์ระหว่างพารามิเตอร์ต่างๆ ที่มีความน่าจะเป็นอย่างล้นหลาม |HSV r,2| > 2|MSV r,2|. ยิ่งไปกว่านั้น ไม่มีผู้ตรวจสอบที่ซื่อสัตย์คนใดจะลงนามในข้อความที่ขัดแย้งและปฏิปักษ์ ไม่สามารถปลอมลายเซ็นของผู้ตรวจสอบที่ซื่อสัตย์ได้หลังจากที่คนหลังได้ทำลายผู้ตรวจสอบที่เกี่ยวข้องแล้ว กุญแจลับชั่วคราว ดังนั้นมากกว่า 2/3 ของข้อความที่ถูกต้อง (r, 2) ทั้งหมดที่ฉันได้รับมาจาก ผู้ตรวจสอบที่ซื่อสัตย์และอยู่ในแบบฟอร์ม mr,2 เจ = (ESIGj(H(Br ër)), $\sigma$r,2 j ) โดยไม่มีความขัดแย้ง ดังนั้น ณ เวลา $\beta$r,3 ฉัน ผู้เล่นที่ฉันเผยแพร่นาย 3 ฉัน = (ESIGi(v′), $\sigma$r,3 i ) โดยที่ v′ = H(Br ër)ขั้นตอนที่ 4 แก้ไขผู้ตรวจสอบที่ซื่อสัตย์โดยพลการ i $\in$HSV r,4 โดย Lemma 5.5 ผู้เล่นที่ฉันได้รับทั้งหมด ข้อความที่ส่งโดยผู้ตรวจสอบใน HSV r,3 เมื่อเขารอเสร็จแล้วที่เวลา $\beta$r,4 ฉัน = $\alpha$อาร์,4 ฉัน +t4. คล้ายกับ ขั้นตอนที่ 3 มากกว่า 2/3 ของข้อความที่ถูกต้อง (r, 3) ทั้งหมดที่ฉันได้รับมาจากผู้ตรวจสอบที่ซื่อสัตย์และ ของแบบฟอร์มนาย3 เจ = (ESIGj(H(Br ër)), $\sigma$r,3 เจ) ดังนั้น ผู้เล่น i ตั้งค่า vi = H(Br ër), gi = 2 และ bi = 0 ณ เวลา $\beta$r,4 ฉัน = $\alpha$อาร์,4 ฉัน +t4 เขาแพร่กระจาย นาย4 ฉัน = (ESIGi(0), ESIGi(H(Br ër)), $\sigma$r,4 ฉัน) ขั้นตอนที่ 5 แก้ไขผู้ตรวจสอบที่ซื่อสัตย์โดยพลการ i $\in$HSV r,5 โดย Lemma 5.5 ผู้เล่นที่ผมอยากได้ ได้รับข้อความทั้งหมดที่ส่งโดยผู้ตรวจสอบใน HSV r,4 หากเขารอจนถึงเวลา $\alpha$r,5 ฉัน +t5. โปรดทราบว่า |HSV r,4| $\geq$tH.19 โปรดทราบว่าผู้ตรวจสอบทั้งหมดใน HSV r,4 ได้ลงนามใน H(Br ër) เป็น |MSV r,4| < tH ไม่มี v′ ̸= H(Br lr) ที่อาจได้รับการลงนามโดย th ผู้ตรวจสอบใน SV r,4 (ซึ่งจำเป็นต้องเป็นอันตราย) ดังนั้นผู้เล่น ฉันจะไม่หยุดก่อนที่เขาจะทำเช่นนั้น ได้รับข้อความที่ถูกต้องแล้วคุณ 4 เจ = (ESIGj(0), ESIGj(H(Br ër)), $\sigma$r,4 เจ) ให้ T เป็นเวลาที่ เหตุการณ์หลังเกิดขึ้น ข้อความเหล่านั้นบางส่วนอาจมาจากผู้เล่นที่เป็นอันตราย แต่เนื่องจาก |MSV r,4| < อย่างน้อยหนึ่งในนั้นมาจากผู้ตรวจสอบที่ซื่อสัตย์ใน HSV r,4 และถูกส่งตามเวลา ที อาร์ +ที4. ดังนั้น T $\geq$T r +t4 > T r +แล+Λ $\geq$ $\beta$r,1 LRr +Λ และตามเวลาที่ผู้เล่น T ฉันก็ได้รับเช่นกัน ข้อความคุณ1 lr. โดยการสร้างโปรโตคอล ผู้เล่น ฉัน หยุดที่เวลา $\beta$r,5 ฉัน = T ไม่มี เผยแพร่สิ่งใด ๆ เซต Br = Br lr; และตั้งค่า CERT r ของเขาเองให้เป็นชุดของ (r, 4) - ข้อความสำหรับ 0 และ H(br lr) ที่เขาได้รับ ขั้นตอนที่ > 5 ในทำนองเดียวกัน สำหรับขั้นตอนใดๆ ที่ s > 5 และตัวตรวจสอบใดๆ i $\in$HSV r,s ผู้เล่น ฉันจะมี ได้รับข้อความทั้งหมดที่ส่งโดยผู้ตรวจสอบใน HSV r,4 หากเขารอจนถึงเวลา $\alpha$r,s ฉัน + ทีเอส โดย การวิเคราะห์เดียวกัน ผู้เล่นฉันหยุดโดยไม่เผยแพร่อะไรเลย การตั้งค่า Br = Br ër (และตั้งค่าของเขาเอง CERT r อย่างถูกต้อง) แน่นอนว่าผู้ตรวจสอบที่เป็นอันตรายไม่สามารถหยุดและอาจแพร่กระจายโดยพลการ ข้อความ แต่เนื่องจาก |MSV r,s| < tH โดยการเหนี่ยวนำไม่มี v′ อื่นใดที่สามารถลงนามโดยผู้ตรวจสอบได้ ในขั้นตอนที่ 4 $\leq$s′ < s ดังนั้นผู้ตรวจสอบที่ซื่อสัตย์จึงหยุดเพียงเพราะพวกเขาได้รับความถูกต้องแล้ว (r, 4) - ข้อความสำหรับ 0 และ H (Br ër) การสร้างบล็อก Round-r ใหม่ การวิเคราะห์ขั้นตอนที่ 5 นำไปใช้กับความซื่อสัตย์ทั่วไป ผู้ใช้ฉันเกือบจะไม่มีการเปลี่ยนแปลงใด ๆ อันที่จริง ผู้เล่น i เริ่มรอบของตัวเอง r ในช่วงเวลา Ir และ จะหยุดที่เวลา T เมื่อเขาได้รับข้อความที่ถูกต้อง (r, 4) สำหรับ H (Br ër) อีกครั้งเพราะ อย่างน้อยหนึ่งในข้อความเหล่านั้นมาจากผู้ตรวจสอบที่ซื่อสัตย์และถูกส่งหลังจากเวลาผ่านไป T r + t4 ผู้เล่นที่ฉันมี รับนาย1ด้วย ër ตามเวลา T ดังนั้นเขาจึงกำหนดให้ Br = Br lr ด้วย CERT r ที่เหมาะสม เหลือเพียงการแสดงให้ผู้ใช้ที่ซื่อสัตย์ทุกคนจบรอบ r ภายในระยะเวลา Ir+1 จากการวิเคราะห์ขั้นตอนที่ 5 ผู้ตรวจสอบที่ซื่อสัตย์ทุกคน i $\in$HSV r,5 รู้ Br บนหรือก่อน $\alpha$r,5 ฉัน + t5 $\leq$ T r + แล + t5 = T r + 8แล + Λ เนื่องจาก T r+1 คือเวลาที่ผู้ใช้ที่ซื่อสัตย์คนแรก ir รู้จัก Br เราก็เลยมี T r+1 $\leq$T r + 8แล + Λ ตามต้องการ ยิ่งไปกว่านั้น เมื่อผู้เล่นรู้จัก Br เขาได้ช่วยเผยแพร่ข้อความไปแล้ว CERT r ของเขา โปรดทราบว่าข้อความเหล่านั้นทั้งหมดจะได้รับจากผู้ใช้ที่ซื่อสัตย์ทุกคนภายในเวลา $\lambda$ แม้ว่าก็ตาม 19พูดอย่างเคร่งครัด สิ่งนี้เกิดขึ้นโดยมีความเป็นไปได้สูงมาก แต่ก็ไม่ได้เกินความจำเป็นเสมอไป อย่างไรก็ตามสิ่งนี้ ความน่าจะเป็นจะส่งผลต่อเวลาการทำงานของโปรโตคอลเล็กน้อย แต่ไม่ส่งผลต่อความถูกต้อง เมื่อ h = 80% แล้ว |HSV r,4| $\geq$tH ด้วยความน่าจะเป็น 1 −10−8 หากเหตุการณ์นี้ไม่เกิดขึ้น โปรโตคอลก็จะดำเนินต่อไปอีกเหตุการณ์หนึ่ง 3 ขั้นตอน เนื่องจากความน่าจะเป็นที่สิ่งนี้จะไม่เกิดขึ้นในสองขั้นตอนนั้นมีน้อยมาก โปรโตคอลจะสิ้นสุดที่ขั้นตอนที่ 8 ใน ความคาดหวังจำนวนขั้นตอนที่ต้องการคือเกือบ 5ผู้เล่น ir เป็นผู้เล่นคนแรกที่เผยแพร่สิ่งเหล่านี้ ยิ่งกว่านั้นตามการวิเคราะห์ข้างต้นที่เรามี T r+1 $\geq$T r + t4 $\geq$ $\beta$r,1 LRr + Λ ดังนั้นผู้ใช้ที่ซื่อสัตย์ทุกคนจึงได้รับ mr,1 ërตามเวลา T r+1 + แล ดังนั้น ผู้ใช้ที่ซื่อสัตย์ทุกคนรู้จัก Br ในช่วงเวลา Ir+1 = [T r+1, T r+1 + แล] ในที่สุด สำหรับ r = 0 เรามี T 1 $\leq$t4 + แล = 6แล + Λ ผสมผสานทุกอย่างเข้าด้วยกัน แผ่นแทรก 5.2 ถือ ■ 5.8 ความสมบูรณ์ของเล็มมา เลมมา 5.3 [ความสมบูรณ์ของเล็มมา ปรับปรุงใหม่] สมมุติว่าคุณสมบัติ 1–3 คงไว้สำหรับรอบ r −1 เมื่อ ผู้นำ lr เป็นคนที่เป็นอันตราย ด้วยความน่าจะเป็นอย่างล้นหลาม ผู้ใช้ที่ซื่อสัตย์ทุกคนเห็นด้วยกับบล็อกเดียวกัน Br, T r+1 $\leq$T r + (6Lr + 10)$\lambda$ + Λ และผู้ใช้ที่ซื่อสัตย์ทุกคนจะทราบ Br ในช่วงเวลา Ir+1 การพิสูจน์. เราพิจารณาทั้งสองส่วนของโปรโตคอล GC และ BBA⋆ แยกกัน GC. ตามสมมติฐานอุปนัยและบทแทรก 5.5 สำหรับขั้นตอนใดๆ s $\in${2, 3, 4} และความซื่อสัตย์ใดๆ ตรวจสอบ i $\in$HSV r,s เมื่อผู้เล่น i ทำหน้าที่ ณ เวลา $\beta$r,s ฉัน = $\alpha$r,s ฉัน + ts เขาได้รับข้อความที่ส่งทั้งหมดแล้ว โดยผู้ตรวจสอบที่ซื่อสัตย์ทุกคนในขั้นตอน s′ < s เราแยกความแตกต่างสองกรณีที่เป็นไปได้สำหรับขั้นตอนที่ 4 กรณีที่ 1 ไม่มีการยืนยัน i $\in$HSV r,4 เซ็ต gi = 2 ในกรณีนี้ ตามคำจำกัดความ bi = 1 สำหรับผู้ตรวจสอบทั้งหมด i $\in$HSV r,4 นั่นคือพวกเขาเริ่มต้นด้วย ข้อตกลงในวันที่ 1 ในโปรโตคอล BA ไบนารี พวกเขาอาจไม่มีข้อตกลงเกี่ยวกับ vi ของพวกเขา แต่นั่นไม่สำคัญอย่างที่เราเห็นในไบนารี่ BA กรณีที่ 2 มีตัวยืนยัน ˆi $\in$HSV r,4 อยู่ โดยที่ gˆi = 2 ในกรณีนี้ เราแสดงให้เห็นแล้วว่า (1) gi $\geq$1 สำหรับ i $\in$HSV r,4 ทั้งหมด (2) มีค่า v′ อยู่ โดยที่ vi = v′ สำหรับ i $\in$HSV r,4 ทั้งหมด และ (3) มีข้อความที่ถูกต้องคือ mr,1 ฎ จากผู้ตรวจสอบบางราย ë$\in$SV r,1 โดยที่ v′ = H(Br ë) เนื่องจากผู้เล่น ˆi ซื่อสัตย์และตั้งค่า gˆi = 2 มากกว่า 2/3 ของข้อความที่ถูกต้องทั้งหมด mr,3 เจ เขาได้รับเป็นค่าเดียวกัน v′ ̸= $\bot$ และเขาได้ตั้งค่า vˆi = v′ โดยคุณสมบัติ (d) ในบทแทรก 5.5 สำหรับผู้ตรวจสอบที่ซื่อสัตย์ (r, 4) อื่น ๆ จะไม่สามารถเป็นได้มากไปกว่านี้ มากกว่า 2/3 ของข้อความที่ถูกต้องทั้งหมด mr,3 เจ ที่ฉันได้รับนั้นมีค่าเท่ากัน v′′ ̸= v′ ดังนั้น หากฉันตั้งค่า gi = 2 จะต้องเห็นว่าฉันเห็น > 2/3 ส่วนใหญ่สำหรับ v′ ด้วยเช่นกัน และตั้งค่า vi = v′ ตามต้องการ ตอนนี้ให้พิจารณาตัวยืนยันโดยพลการ i $\in$HSV r,4 ด้วย gi < 2 คล้ายกับการวิเคราะห์คุณสมบัติ (d) ในบทแทรก 5.5 เนื่องจากผู้เล่น ˆi ได้เห็น > 2/3 ส่วนใหญ่สำหรับ v′ มากกว่า 1 2|HSV r,3| ซื่อสัตย์ (r, 3) - ผู้ตรวจสอบได้ลงนาม v′ เพราะฉันได้รับข้อความทั้งหมดจากผู้ตรวจสอบที่ซื่อสัตย์ (r, 3) โดย เวลา $\beta$r,4 ฉัน = $\alpha$อาร์,4 ฉัน +t4 โดยเฉพาะเขาได้รับมากกว่า 1 2|HSV r,3| ข้อความจากพวกเขา สำหรับวี' เพราะ |HSV r,3| > 2|MSV r,3|, ฉันได้เห็นแล้ว > 1/3 ส่วนใหญ่สำหรับ v′ ตามนั้นครับ ผู้เล่น ฉันตั้งค่า gi = 1 และทรัพย์สิน (1) ถืออยู่ ผู้เล่นจำเป็นต้องตั้งค่า vi = v′ หรือไม่? สมมติว่ามีค่าที่แตกต่างกัน v′′ ̸= $\bot$เช่นนั้น ผู้เล่นที่ฉันเคยเห็น > 1/3 ส่วนใหญ่สำหรับ v′′ ข้อความเหล่านั้นบางส่วนอาจมาจากที่เป็นอันตราย ผู้ตรวจสอบ แต่อย่างน้อยหนึ่งในนั้นมาจากผู้ตรวจสอบที่ซื่อสัตย์บางคน j $\in$HSV r,3: แน่นอน เพราะ |HSV r,3| > 2|MSV r,3| และฉันได้รับข้อความทั้งหมดจาก HSV r,3 กลุ่มผู้ประสงค์ร้าย ผู้ตรวจสอบที่ฉันได้รับข้อความที่ถูกต้อง (r, 3) นับเป็น < 1/3 ของข้อความที่ถูกต้องทั้งหมด ข้อความที่เขาได้รับตามคำจำกัดความ ผู้เล่น j ต้องเห็น > 2/3 ส่วนใหญ่สำหรับ v′′ ในบรรดาข้อความที่ถูกต้อง (r, 2) ทั้งหมด เขาได้รับ. อย่างไรก็ตาม เรามีผู้ตรวจสอบที่ซื่อสัตย์ (r, 3) คนอื่นๆ ได้เห็นแล้ว 2/3 ส่วนใหญ่สำหรับ v′ (เพราะพวกเขาเซ็นชื่อ v′) โดยคุณสมบัติ (d) ของ Lemma 5.5 สิ่งนี้ไม่สามารถทำได้ เกิดขึ้นและไม่มีค่าดังกล่าว v′′ อยู่ ดังนั้นผู้เล่นฉันต้องตั้งค่า vi = v′ ตามต้องการ และทรัพย์สิน (2) ถือครอง ท้ายที่สุด เมื่อพิจารณาว่าผู้ตรวจสอบที่ซื่อสัตย์ (r, 3) บางคนได้เห็น > 2/3 ส่วนใหญ่สำหรับ v′ บางคน (จริงๆ แล้ว มากกว่าครึ่งหนึ่งของ) ผู้ตรวจสอบที่ซื่อสัตย์ (r, 2) ได้ลงนามใน v′ และเผยแพร่ข้อความของพวกเขา โดยการสร้างเกณฑ์วิธี ผู้ตรวจสอบที่ซื่อสัตย์ (r, 2) เหล่านั้นจะต้องได้รับใบรับรองที่ถูกต้อง ส่งข้อความถึงคุณ1 ฎ จากผู้เล่นบางคน ë$\in$SV r,1 โดยมี v′ = H(Br ̵) ดังนั้นทรัพย์สิน (3) ถืออยู่ บีบีเอ⋆. เราแยกสองกรณีอีกครั้ง กรณีที่ 1 ผู้ตรวจสอบทั้งหมด i $\in$HSV r,4 มี bi = 1 สิ่งนี้เกิดขึ้นหลังจากกรณีที่ 1 ของ GC เป็น |MSV r,4| < tH ในกรณีนี้ไม่มีผู้ยืนยันใน SV r,5 สามารถรวบรวมหรือสร้างข้อความที่ถูกต้อง (r, 4) สำหรับบิต 0 ดังนั้นจึงไม่มีผู้ตรวจสอบที่ซื่อสัตย์ใน HSV r,5 จะหยุดเพราะเขารู้จักบล็อกที่ไม่ว่างเปล่า Br. ยิ่งไปกว่านั้น แม้ว่าจะมีข้อความที่ถูกต้อง (r, 4) เป็นอย่างน้อยสำหรับบิต 1 แต่ s′ = 5 ก็ไม่เป็นไปตามนั้น s′ −2 ≡1 mod 3 ดังนั้น จึงไม่มีผู้ตรวจสอบที่ซื่อสัตย์ใน HSV r,5 จะหยุดลงเพราะเขารู้ว่า Br = Br ī. ในทางกลับกัน ผู้ตรวจสอบทุกราย i $\in$HSV r,5 ทำหน้าที่ ณ เวลา $\beta$r,5 ฉัน = $\alpha$อาร์,5 ฉัน +t5 โดยเมื่อเขาได้รับครบแล้ว ข้อความที่ส่งโดย HSV r,4 ตามบทแทรก 5.5 ดังนั้นผู้เล่นฉันจึงเห็น > 2/3 ส่วนใหญ่สำหรับ 1 และกำหนดให้ bi = 1 ในขั้นตอนที่ 6 ซึ่งเป็นขั้นตอน Coin-Fixed-To-1 แม้ว่า s′ = 5 จะเป็นไปตาม s′ −2 ≡0 mod 3 ก็ตาม ไม่มีข้อความที่ถูกต้อง (r, 4) สำหรับบิต 0 ดังนั้นจึงไม่มีผู้ตรวจสอบใน HSV r,6 ที่จะหยุดเพราะว่า เขารู้จักบล็อกที่ไม่ว่างเปล่า Br อย่างไรก็ตาม ด้วย s′ = 6, s′ −2 ≡1 mod 3 และมีอยู่จริง |HSV r,5| $\geq$tH ข้อความที่ถูกต้อง (r, 5) สำหรับบิต 1 จาก HSV r,5 สำหรับทุกผู้ตรวจสอบ i $\in$HSV r,6 ตามบทแทรก 5.5 ในหรือก่อนเวลา $\alpha$r,6 ฉัน + ผู้เล่น t6 ฉัน ได้รับข้อความทั้งหมดจาก HSV r,5 ดังนั้นฉันจึงหยุดโดยไม่เผยแพร่สิ่งใดและตั้งค่า บร = บร ī. CERT r ของเขาคือชุดของข้อความที่ถูกต้อง (r, 5) mr,5 เจ = (ESIGj(1), ESIGj(vj), $\sigma$r,5 เจ) เขาได้รับเมื่อเขาหยุด ถัดไป ให้ฉันเป็นผู้ตรวจสอบที่ซื่อสัตย์ในขั้นตอนที่ > 6 หรือเป็นผู้ใช้ที่ซื่อสัตย์ทั่วไป (เช่น ไม่ใช่ผู้ตรวจสอบ) คล้ายกับการพิสูจน์ Lemma 5.2 ผู้เล่น i ตั้งค่า Br = Br ǫและกำหนดของเขาเอง CERT r เป็นชุดของข้อความที่ถูกต้อง (r, 5) mr,5 เจ = (ESIGj(1), ESIGj(vj), $\sigma$r,5 เจ) เขามี ได้รับ. สุดท้ายก็คล้ายกับ Lemma 5.2 ที อาร์+1 $\leq$ นาที i$\in$HSV r,6 $\alpha$r,6 ฉัน + t6 $\leq$T r + แล + t6 = T r + 10แล + Λ, และผู้ใช้ที่ซื่อสัตย์ทุกคนจะรู้จัก Br ในช่วงเวลา Ir+1 เพราะผู้ใช้ที่ซื่อสัตย์คนแรกคือใคร รู้ว่า Br ได้ช่วยเผยแพร่ข้อความ (r, 5) ใน CERT r ของเขา กรณีที่ 2 มีตัวยืนยัน ˆi $\in$HSV r,4 โดยมี bˆi = 0 สิ่งนี้เกิดขึ้นหลังจากกรณีที่ 2 ของ GC และเป็นกรณีที่มีความซับซ้อนมากขึ้น โดยการวิเคราะห์ของ GC พบว่า ในกรณีนี้มีข้อความที่ถูกต้อง mr,1 ฎ โดยที่ vi = H(Br ̵) สำหรับ i $\in$HSV r,4 ทั้งหมด หมายเหตุ ว่าผู้ตรวจสอบใน HSV r,4 อาจไม่มีข้อตกลงเกี่ยวกับ Bi's ของตน สำหรับขั้นตอนใดๆ s $\in${5, . . . , m + 3} และตัวตรวจสอบ i $\in$HSV r,s โดยผู้เล่น Lemma 5.5 ฉันจะมี ได้รับข้อความทั้งหมดที่ส่งโดยผู้ตรวจสอบที่ซื่อสัตย์ทุกคนใน HSV r,4 $\cup$ $\cdots$ $\cup$HSV r,s−1 หากเขารออยู่ เป็นเวลา tsตอนนี้เราพิจารณาเหตุการณ์ต่อไปนี้ E: มีขั้นตอน s∗$\geq$5 เช่นนั้น สำหรับขั้นตอนแรก เวลาในไบนารี BA ผู้เล่นบางคน i∗$\in$SV r,s∗ (ไม่ว่าจะเป็นอันตรายหรือซื่อสัตย์) ควรหยุด โดยไม่ต้องเผยแพร่อะไรเลย เราใช้คำว่า "ควรหยุด" เพื่อเน้นย้ำความจริงที่ว่า หากผู้เล่น i∗ เป็นอันตรายแล้วอาจแสร้งทำเป็นว่าไม่ควรหยุดตามระเบียบและ เผยแพร่ข้อความที่ฝ่ายตรงข้ามเลือก อีกทั้งโดยการสร้างโปรโตคอลอีกด้วย (E.a) ฉันสามารถรวบรวมหรือสร้างข้อความที่ถูกต้องได้อย่างน้อย mr,s′−1 เจ = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 เจ ) สำหรับ v และ s′ เดียวกัน โดยมี 5 $\leq$s′ $\leq$s∗ และ s′ −2 ≡0 mod 3; หรือ (E.b) ฉัน∗สามารถรวบรวมหรือสร้างข้อความที่ถูกต้องได้อย่างน้อย mr,s′−1 เจ = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 เจ ) สำหรับ s′ เดียวกัน โดยมี 6 $\leq$s′ $\leq$s∗ และ s′ −2 ≡1 mod 3 เนื่องจากข้อความที่ซื่อสัตย์ (r, s′ −1) ได้รับจากผู้ตรวจสอบที่ซื่อสัตย์ (r, s′) ทั้งหมดก่อนหน้าพวกเขา เสร็จสิ้นการรอคอยในขั้นตอน s′ และเนื่องจากปฏิปักษ์ได้รับทุกสิ่งไม่ช้ากว่านั้น ผู้ใช้ที่ซื่อสัตย์ โดยไม่สูญเสียความทั่วไป เรามี s′ = s∗และผู้เล่น i∗เป็นอันตราย โปรดทราบว่า เราไม่ต้องการให้ค่า v ใน E.a เป็น hash ของบล็อกที่ถูกต้อง เนื่องจากจะชัดเจนขึ้น ในการวิเคราะห์ v = H(Br ̵) ในกิจกรรมย่อยนี้ ด้านล่างนี้ เราจะวิเคราะห์กรณีที่ 2 ตามเหตุการณ์ E ก่อน แล้วจึงแสดงว่าค่าของ s∗ นั้นสำคัญมาก กระจายไปตาม Lr (เหตุการณ์ E เกิดขึ้นก่อนขั้นตอน m + 3 อย่างท่วมท้น) ความน่าจะเป็นที่กำหนดความสัมพันธ์สำหรับพารามิเตอร์) เริ่มต้นด้วย สำหรับขั้นตอนใดๆ ที่ 5 $\leq$s < s∗ ผู้ตรวจสอบที่ซื่อสัตย์ทุกคน i $\in$HSV r,s ได้รอเวลา ts และกำหนดให้ vi เป็นเสียงข้างมากของ ถูกต้อง (r, s−1) - ข้อความที่เขาได้รับ เนื่องจากผู้เล่นฉันได้รับข้อความที่ซื่อสัตย์ (r, s−1) ทั้งหมด ตามบทแทรก 5.5 เนื่องจากผู้ตรวจสอบที่ซื่อสัตย์ทุกคนใน HSV r,4 ได้ลงนาม H(Br ̵) ต่อไปนี้กรณี 2 ของ GC และตั้งแต่ |HSV r,s−1| > 2|MSV r,s−1| สำหรับแต่ละ s โดยการเหนี่ยวนำเรามีผู้เล่นคนนั้น i ได้ตั้งค่าแล้ว วี = H(br ë) สิ่งเดียวกันนี้ใช้ได้กับผู้ตรวจสอบที่ซื่อสัตย์ทุกคน i $\in$HSV r,s∗ ซึ่งไม่หยุดโดยไม่เผยแพร่ อะไรก็ได้ ตอนนี้เราพิจารณาขั้นตอน s∗ และแยกแยะกรณีย่อยสี่กรณี กรณี 2.1.ก. เหตุการณ์ E.a เกิดขึ้นและมีผู้ยืนยันอย่างตรงไปตรงมาว่า i′ $\in$HSV r,s∗ใครควร ก็หยุดไม่เผยแพร่อะไรทั้งนั้น ในกรณีนี้ เรามี s∗−2 ≡0 mod 3 และขั้นตอน s∗เป็นขั้นตอน Coin-Fixed-To-0 โดย คำจำกัดความ ผู้เล่นที่ i′ ได้รับข้อความที่ถูกต้อง (r, s∗−1) ของแบบฟอร์มอย่างน้อย (ESIGj(0), ESIGj(v), $\sigma$r,s∗−1 เจ ). เนื่องจากผู้ตรวจสอบทั้งหมดใน HSV r,s∗−1 ได้ลงนาม H(Br ̵) และ |MSV r,s∗−1| < tH เรามี v = H(Br ë) เนื่องจากอย่างน้อย tH −|MSV r,s∗−1| $\geq$1ของ (r, s∗−1) - ข้อความที่ได้รับโดย i′ สำหรับ 0 และ v ถูกส่งโดยผู้ตรวจสอบใน HSV r,s∗−1 หลังจากเวลา T r +ts∗−1 $\geq$T r +t4 $\geq$T r +แล+Λ $\geq$ $\beta$r,1 ฎ +Λ, ผู้เล่นที่ฉันได้รับ mr,1 ฎ เมื่อถึงเวลาที่เขาได้รับข้อความ (r, s∗−1) เหล่านั้น ดังนั้นผู้เล่น ฉันหยุดโดยไม่เผยแพร่อะไรเลย เซต Br = Br ̵;; และกำหนดให้ CERT r ของเขาเองเป็น ชุดของข้อความที่ถูกต้อง (r, s∗−1) สำหรับ 0 และ v ที่เขาได้รับ ต่อไป เราจะแสดงว่า ผู้ตรวจสอบอื่นๆ i $\in$HSV r,s∗ หยุดโดยที่ Br = Br ̵, หรือ ได้ตั้งค่า bi = 0 และเผยแพร่ (ESIGi(0), ESIGi(H(Br ë)), $\sigma$r,s ฉัน) แน่นอน เพราะขั้นตอนs∗ เป็นครั้งแรกที่ผู้ตรวจสอบควรหยุดโดยไม่เผยแพร่สิ่งใดๆ เลย แต่กลับไม่เป็นเช่นนั้น มีขั้นตอน s′ < s∗กับ s′ −2 ≡1 mod 3 โดยที่ tH (r, s′ −1) -ผู้ตรวจสอบได้ลงนาม 1 ดังนั้น จึงไม่มีผู้ยืนยันใน HSV r,s∗หยุดด้วย Br = Br ī.ยิ่งไปกว่านั้น ในฐานะผู้ตรวจสอบที่ซื่อสัตย์ทุกคนในขั้นตอนที่ {4, 5, . . , s∗−1} ได้ลงนาม H(Br ̵) มีแล้ว ไม่มีขั้นตอน s′ $\leq$s∗กับ s′ −2 ≡0 mod 3 ซึ่งผู้ตรวจสอบ tH (r, s′ −1) ได้ลงนามแล้ว บ้าง v′′ ̸= H(Br ë) —แท้จริงแล้ว |MSV r,s′−1| < TH. ดังนั้น จึงไม่มีผู้ยืนยันใน HSV r,s∗stop ด้วย Br ̸= Br ǫ และ Br ̸= Br ฎ. นั่นคือหากผู้เล่น i $\in$HSV r,s∗ หยุดโดยไม่มี เผยแพร่อะไรเขาก็ต้องตั้ง Br = Br ฎ. หากผู้เล่น i $\in$HSV r,s∗ รอเวลา ts∗ และเผยแพร่ข้อความในตอนนั้น $\beta$r,s∗ ฉัน = $\alpha$r,s∗ ฉัน + ts∗ เขาได้รับข้อความทั้งหมดจาก HSV r,s∗−1 รวมถึงอย่างน้อย TH −|MSV r,s∗−1| ของพวกเขาสำหรับ 0 และ v หากฉันเห็น > 2/3 ส่วนใหญ่สำหรับ 1 แสดงว่าเขา ได้เห็นข้อความที่ถูกต้องมากกว่า 2(tH −|MSV r,s∗−1|) (r, s∗−1) สำหรับ 1 โดยมีมากกว่านั้น มากกว่า 2tH −3|MSV r,s∗−1| ของพวกเขาจากผู้ซื่อสัตย์ (r, s∗−1) - ผู้ตรวจสอบ อย่างไรก็ตาม นี่หมายถึง |HSV r,s∗−1| $\geq$tH−|MSV r,s∗−1|+2tH−3|MSV r,s∗−1| > 2n−4|MSV r,s∗−1|, ขัดแย้งกัน ความจริงที่ว่า |HSV r,s∗−1| + 4|MSV r,s∗−1| <2n, ซึ่งมาจากความสัมพันธ์ของพารามิเตอร์ ดังนั้น ฉันไม่เห็น > 2/3 ส่วนใหญ่สำหรับ 1 และเขาตั้งค่า bi = 0 เพราะขั้นตอน s∗ เป็นขั้นตอน Coin-Fixed-To-0 ตามที่เรามี เห็นแล้ว vi = H(Br ë) ดังนั้นฉันจึงเผยแพร่ (ESIGi(0), ESIGi(H(Br ë)), $\sigma$r,s ผม ) ตามที่เราต้องการ แสดง สำหรับขั้นตอน s∗+ 1 เนื่องจากผู้เล่น i′ ได้ช่วยเผยแพร่ข้อความใน CERT r ของเขา ในหรือก่อนเวลา $\alpha$r,s∗ ฉัน' + ts∗ ผู้ตรวจสอบที่ซื่อสัตย์ทุกคนใน HSV r,s∗+1 ได้รับอย่างน้อย ข้อความที่ถูกต้อง (r, s∗−1) สำหรับบิต 0 และค่า H(Br ̵) ในหรือก่อนที่จะเสร็จสิ้น กำลังรอ นอกจากนี้ ผู้ตรวจสอบใน HSV r,s∗+1 จะไม่หยุดก่อนรับ (r, s∗−1)- ข้อความ เนื่องจากไม่มีข้อความที่ถูกต้อง (r, s′ −1) อื่นใดสำหรับบิต 1 ด้วย s′ −2 ≡1 mod 3 และ 6 $\leq$s′ $\leq$s∗+ 1 โดยนิยามของขั้นตอน s∗ โดยเฉพาะขั้นตอน s∗+ 1 นั้นเป็นขั้นตอน Coin-Fixed-To-1 แต่ไม่มีผู้ตรวจสอบที่ซื่อสัตย์ใน HSV r,s∗ ได้แพร่กระจาย ข้อความสำหรับ 1 และ |MSV r,s∗| < TH. ดังนั้นผู้ตรวจสอบที่ซื่อสัตย์ทุกคนใน HSV r,s∗+1 หยุดโดยไม่เผยแพร่อะไรเลยและตั้งค่า Br = บ ̵: เหมือนเมื่อก่อนพวกเขาได้รับนาย 1 แล้ว ฎ ก่อนที่พวกเขาจะได้รับข้อความที่ต้องการ (r, s∗−1)-20 สิ่งเดียวกันนี้อาจกล่าวได้สำหรับผู้ตรวจสอบที่ซื่อสัตย์ทุกคนในขั้นตอนต่อๆ ไปและผู้ใช้ที่ซื่อสัตย์โดยทั่วไป โดยเฉพาะพวกเขาทุกคนรู้จัก Br = Br ่ภายในช่วงเวลา Ir+1 และ T r+1 $\leq$ $\alpha$r,s∗ ฉัน' + ts∗$\leq$T r + แล + ts∗ กรณี 2.1.ข. เหตุการณ์ E.b เกิดขึ้นและมีผู้ยืนยันอย่างตรงไปตรงมาว่า i′ $\in$HSV r,s∗ใครควร ก็หยุดไม่เผยแพร่อะไรทั้งนั้น ในกรณีนี้เรามี s∗−2 ≡1 mod 3 และขั้นตอน s∗เป็นขั้นตอน Coin-Fixed-To-1 การวิเคราะห์ คล้ายกับกรณีที่ 2.1.a และละเว้นรายละเอียดหลายอย่าง 20หากมีเจตนาร้าย เขาอาจจะส่งนาย1ออกไป ฎ ล่าช้า หวังว่าผู้ใช้/ผู้ตรวจสอบที่ซื่อสัตย์บางคนยังไม่ได้รับ mr,1 ฎ ยัง เมื่อพวกเขาได้รับใบรับรองที่ต้องการแล้ว อย่างไรก็ตาม เนื่องจากตัวตรวจสอบ ˆi $\in$HSV r,4 ได้ตั้งค่า bˆi = 0 และ vˆi = H(Br ë) เช่น ก่อนที่เราจะมีผู้ตรวจสอบที่ซื่อสัตย์มากกว่าครึ่งหนึ่ง i $\in$HSV r,3 ได้ตั้งค่า vi = H(Br ë) นี่ยังหมายความอีกว่า กว่าครึ่งหนึ่งของผู้ตรวจสอบที่ซื่อสัตย์ i $\in$HSV r,2 ได้ตั้งค่า vi = H(Br ë) และผู้ตรวจสอบ (r, 2) ทั้งหมดได้รับ mr, 1 แล้ว ฎ. ในฐานะที่เป็น ฝ่ายตรงข้ามไม่สามารถแยกแยะผู้ตรวจสอบจากผู้ไม่ยืนยันได้ เขาไม่สามารถกำหนดเป้าหมายการแพร่กระจายของนาย1 ฎ ถึง (r, 2) - ผู้ตรวจสอบ โดยไม่ให้ผู้ไม่ยืนยันเห็นมัน จริงๆแล้วมีโอกาสสูงเกินครึ่ง (หรือเศษส่วนคงที่ที่ดี) ของผู้ใช้ที่ซื่อสัตย์ทุกคนได้เห็นคุณ 1 ฎ หลังจากรอ t2 มาตั้งแต่เริ่มรอบ r ของตัวเองแล้ว ทั้งนี้ ตั้งแต่บัดนี้เป็นต้นไป เวลา แล ′ ที่จำเป็นสำหรับนาย 1 ฎ การเข้าถึงผู้ใช้ที่ซื่อสัตย์ที่เหลืออยู่นั้นมีขนาดเล็กกว่า Λ มากและเพื่อความเรียบง่ายเราไม่ทำ เขียนมันออกมาในการวิเคราะห์ ถ้า 4แล $\geq$แลต การวิเคราะห์ดำเนินไปโดยไม่มีการเปลี่ยนแปลงใดๆ: เมื่อสิ้นสุดขั้นตอนที่ 4 ทั้งหมด ผู้ใช้ที่ซื่อสัตย์จะได้รับ mr,1 ฎ. หากขนาดของบล็อกใหญ่ขึ้นและ 4แล < แล' ดังนั้นในขั้นตอนที่ 3 และ 4 โปรโตคอลสามารถขอให้ผู้ตรวจสอบแต่ละคนรอ $\gamma$′/2 แทนที่จะเป็น 2แล และการวิเคราะห์ยังคงดำเนินต่อไปเหมือนเมื่อก่อน ผู้เล่น i′ ต้องได้รับข้อความที่ถูกต้อง (r, s∗−1) ของแบบฟอร์มอย่างน้อย (ESIGj(1), ESIGj(vj), $\sigma$r,s∗−1 เจ ). อีกครั้งตามคำจำกัดความของ s∗ ไม่มีขั้นตอนใดอยู่ 5 $\leq$s′ < s∗กับ s′ −2 ≡0 mod 3 โดยที่อย่างน้อย tH (r, s′ −1) -ผู้ตรวจสอบได้ลงนาม 0 และ v เดียวกัน ดังนั้นผู้เล่นจึงหยุดโดยไม่เผยแพร่อะไรเลย เซต Br = Br ǫ; และชุด CERT r ของเขาเองจะเป็นชุดของข้อความที่ถูกต้อง (r, s∗−1) สำหรับบิต 1 ที่เขาได้รับ ยิ่งไปกว่านั้น ตัวตรวจสอบอื่นๆ i $\in$HSV r,s∗ ได้หยุดโดยที่ Br = Br ǫ หรือตั้งไว้ว่า bi = 1 และเผยแพร่ (ESIGi(1), ESIGi(vi), $\sigma$r,s∗ ฉัน ). เนื่องจากผู้เล่นฉันได้ช่วยเผยแพร่ ข้อความ (r, s∗−1) ใน CERT ของเขา r ตามเวลา $\alpha$r,s∗ ฉัน' + ts∗ ผู้ตรวจสอบที่ซื่อสัตย์ทุกคนเข้ามาอีกครั้ง HSV r,s∗+1 หยุดโดยไม่มีการแพร่กระจายใดๆ และตั้งค่า Br = Br ī. ในทำนองเดียวกันทุกคนซื่อสัตย์ ผู้ใช้รู้ว่า Br = Br ǫ ภายในระยะเวลา Ir+1 และ T r+1 $\leq$ $\alpha$r,s∗ ฉัน' + ts∗$\leq$T r + แล + ts∗ กรณี 2.2.ก. เหตุการณ์ E.a เกิดขึ้นและไม่มีผู้ตรวจสอบที่ซื่อสัตย์ i′ $\in$HSV r,s∗who ควรหยุดโดยไม่เผยแพร่สิ่งใดๆ ในกรณีนี้ โปรดทราบว่าผู้เล่น i∗ อาจมี CERT r ที่ถูกต้อง ฉัน∗ประกอบด้วยสิ่งที่ต้องการ (r, s∗−1)-ข้อความที่ฝ่ายตรงข้ามสามารถรวบรวมหรือสร้างได้ อย่างไรก็ตามผู้ที่เป็นอันตราย ผู้ตรวจสอบอาจไม่ช่วยเผยแพร่ข้อความเหล่านั้น ดังนั้นเราจึงไม่สามารถสรุปได้ว่าผู้ซื่อสัตย์ ผู้ใช้จะได้รับทันเวลา แล ในความเป็นจริง |MSV r,s∗−1| ข้อความเหล่านั้นอาจมาจาก ผู้ตรวจสอบที่เป็นอันตราย (r, s∗−1) ซึ่งไม่ได้เผยแพร่ข้อความของตนเลยและเพียงส่งเท่านั้น ไปยังผู้ตรวจสอบที่เป็นอันตรายในขั้นตอนs∗ คล้ายกับกรณี 2.1.a ที่นี่เรามี s∗−2 ≡0 mod 3 ขั้นตอน s∗ เป็นขั้นตอน Coin-Fixed-To-0 และ (r, s∗−1) - ข้อความใน CERT r i∗ อยู่ที่บิต 0 และ v = H(Br ë) จริงใจทุกคนจริงๆ (r, s∗−1) - ผู้ตรวจสอบลงชื่อ v ดังนั้นฝ่ายตรงข้ามจึงไม่สามารถสร้างข้อความที่ถูกต้องได้ (r, s∗−1) สำหรับ v′ ที่แตกต่างกัน ยิ่งไปกว่านั้น ผู้ตรวจสอบที่ซื่อสัตย์ (r, s∗) ทุกคนต้องรอเวลา ts∗ และไม่เห็น > 2/3 ส่วนใหญ่ สำหรับบิต 1 อีกครั้งเพราะ |HSV r,s∗−1| + 4|MSV r,s∗−1| <2น. ดังนั้นผู้ตรวจสอบที่ซื่อสัตย์ทุกคน i $\in$HSV r,s∗sets bi = 0, vi = H(Br ë) ด้วยคะแนนเสียงข้างมาก และเผยแพร่ mr,s∗ ฉัน = (ESIGi(0), ESIGi(H(Br ë)), $\sigma$r,s∗ ฉัน ) ที่เวลา $\alpha$r,s∗ ฉัน + ts∗ ตอนนี้ให้พิจารณาผู้ตรวจสอบที่ซื่อสัตย์ในขั้นตอน s∗+ 1 (ซึ่งเป็นขั้นตอน Coin-Fixed-To-1) ถ้า ฝ่ายตรงข้ามส่งข้อความใน CERT r จริงๆ ฉัน∗กับบางคนและทำให้พวกเขาเป็นเช่นนั้น หยุด แล้วก็คล้ายกับกรณี 2.1.a ผู้ใช้ที่ซื่อสัตย์ทุกคนรู้ว่า Br = Br ∆ภายในช่วงเวลา IR+1 และ T r+1 $\leq$T r + แล + ts∗+1 มิฉะนั้น ผู้ตรวจสอบที่ซื่อสัตย์ทุกคนในขั้นตอน s∗+1 จะได้รับข้อความ (r, s∗) ทั้งหมดสำหรับ 0 และ เอช(บรา ë) จาก HSV r,s∗ หลังจากเวลาที่รอคอย ts∗+1 ซึ่งนำไปสู่ > 2/3 ส่วนใหญ่ เนื่องจาก |HSV r,s∗| > 2|MSV r,s∗|. ดังนั้นผู้ตรวจสอบทั้งหมดใน HSV r,s∗+1 จึงเผยแพร่ข้อความของตนเพื่อ 0 และ H(br ̵) ตามนั้น โปรดทราบว่าผู้ตรวจสอบใน HSV r,s∗+1 ไม่ได้หยุดด้วย Br = Br ̵, เพราะขั้นตอน s∗+ 1 ไม่ใช่ขั้นตอน Coin-Fixed-To-0 ตอนนี้ให้พิจารณาผู้ตรวจสอบที่ซื่อสัตย์ในขั้นตอน s∗+2 (ซึ่งเป็นขั้นตอนการพลิกเหรียญอย่างแท้จริง) หากฝ่ายตรงข้ามส่งข้อความใน CERT r ฉัน∗กับบางคนแล้วทำให้พวกเขาหยุด ผู้ใช้ที่ซื่อสัตย์ทุกคนจะรู้อีกครั้งว่า Br = Br ่ภายในช่วงเวลา Ir+1 และ T r+1 $\leq$T r + แล + ts∗+2มิฉะนั้น ผู้ตรวจสอบที่ซื่อสัตย์ทุกคนในขั้นตอน s∗+ 2 จะได้รับข้อความ (r, s∗+ 1) ทั้งหมดสำหรับ 0 และ H(br ë) จาก HSV r,s∗+1 หลังจากเวลาที่รอ ts∗+2 ซึ่งนำไปสู่ > 2/3 ส่วนใหญ่ ดังนั้นพวกเขาทั้งหมดจึงเผยแพร่ข้อความของพวกเขาสำหรับ 0 และ H(Br ̵) ตามนั้น: นั่นคือสิ่งที่พวกเขาทำ ไม่ใช่ "พลิกเหรียญ" ในกรณีนี้ ขอย้ำอีกครั้งว่าพวกมันจะไม่หยุดโดยไม่แพร่กระจาย เพราะขั้นตอน s∗+ 2 ไม่ใช่ขั้นตอน Coin-Fixed-To-0 สุดท้ายนี้ สำหรับผู้ตรวจสอบที่ซื่อสัตย์ในขั้นตอน s∗+3 (ซึ่งเป็นอีกขั้นตอน Coin-Fixed-To-0) ทั้งหมด ในจำนวนนี้จะได้รับข้อความที่ถูกต้องอย่างน้อยสำหรับ 0 และ H(Br ë) จาก HSV s∗+2, หากพวกเขารอเวลาจริงๆ ts∗+3 ดังนั้นไม่ว่าฝ่ายตรงข้ามจะส่งข้อความมาหรือไม่ก็ตาม ใน CERT r i∗ สำหรับพวกเขาคนใดคนหนึ่ง ผู้ตรวจสอบทั้งหมดใน HSV r,s∗+3 หยุดโดย Br = Br ̵, ไม่มี เผยแพร่สิ่งใดๆ ขึ้นอยู่กับว่าปฏิปักษ์กระทำอย่างไร บางส่วนอาจมี CERT r ของตนเองประกอบด้วยข้อความ (r, s∗−1) เหล่านั้นใน CERT r ฉัน∗ และคนอื่นๆ มี CERT r ของตนเองประกอบด้วยข้อความ (r, s∗+ 2) เหล่านั้น ไม่ว่าในกรณีใด ผู้ใช้บริการที่ซื่อสัตย์ทุกท่าน รู้ Br = Br ่ภายในช่วงเวลา Ir+1 และ T r+1 $\leq$T r + แล + ts∗+3 กรณี 2.2.ข. เหตุการณ์ E.b เกิดขึ้นและไม่มีผู้ตรวจสอบที่ซื่อสัตย์ i′ $\in$HSV r,s∗who ควรหยุดโดยไม่เผยแพร่สิ่งใดๆ การวิเคราะห์ในกรณีนี้จะคล้ายคลึงกับกรณีที่ 2.1.b และกรณีที่ 2.2.a จึงมีรายละเอียดมากมาย ได้รับการละเว้น โดยเฉพาะ CERT r i∗ประกอบด้วยข้อความที่ต้องการ (r, s∗−1) สำหรับบิต 1 ที่ฝ่ายตรงข้ามสามารถรวบรวมหรือสร้างได้ s∗−2 ≡1 mod 3 ขั้นตอน s∗คือ ขั้นตอน Coin-Fixed-To-1 และไม่มีผู้ตรวจสอบ (r, s∗) ที่ซื่อสัตย์คนใดที่เคยเห็น > 2/3 ส่วนใหญ่สำหรับ 0 ดังนั้น ทุกผู้ตรวจสอบ i $\in$HSV r,s∗ จะตั้งค่า bi = 1 และเผยแพร่ mr,s∗ ฉัน = (ESIGi(1), ESIGi(vi), ซิร,ส∗ ฉัน ) ที่เวลา $\alpha$r,s∗ ฉัน + ts∗ คล้ายกับกรณี 2.2.a โดยเพิ่มได้สูงสุด 3 ขั้นตอน (เช่น โปรโตคอล ถึงขั้นตอน s∗+3 ซึ่งเป็นอีกขั้นตอน Coin-Fixed-To-1) ผู้ใช้ที่ซื่อสัตย์ทุกคนจะรู้ว่า Br = Br ī ภายในระยะเวลา Ir+1 ยิ่งกว่านั้น T r+1 อาจเป็น $\leq$T r+แล+ts∗+1 หรือ $\leq$T r+แล+ts∗+2 หรือ $\leq$T r + แล + ts∗+3 ขึ้นอยู่กับว่าเมื่อใดคือครั้งแรกที่ผู้ตรวจสอบที่ซื่อสัตย์สามารถหยุดได้ โดยไม่ต้องแพร่กระจาย เมื่อรวมกรณีย่อยสี่กรณีเข้าด้วยกัน เราพบว่าผู้ใช้ที่ซื่อสัตย์ทุกคนทราบ Br ภายในระยะเวลา Ir+1 ด้วย T r+1 $\leq$T r + แล + ts∗ ในกรณี 2.1.a และ 2.1.b และ T r+1 $\leq$T r + แล + ts∗+3 ในกรณี 2.2.a และ 2.2.b มันยังคงอยู่ที่ขอบเขตบน s∗ และด้วยเหตุนี้ T r+1 สำหรับกรณีที่ 2 และเราทำเช่นนั้นโดยพิจารณาว่า หลายครั้งที่ขั้นตอน Coin-Genuinely-Flipped ถูกดำเนินการจริงในโปรโตคอล: นั่นคือ ผู้ตรวจสอบที่ซื่อสัตย์บางคนได้พลิกเหรียญจริง ๆ โดยเฉพาะอย่างยิ่ง แก้ไขขั้นตอนที่พลิกเหรียญอย่างแท้จริง s′ (เช่น 7 $\leq$s′ $\leq$m + 2 และ s′ −2 ≡2 mod 3) และให้ ë $\triangleq$arg minj$\in$SV r,s′−1 H($\sigma$r,s′−1 เจ ). ตอนนี้ให้เราสมมติ s′ < s∗, เพราะไม่อย่างนั้นไม่มีผู้ตรวจสอบที่ซื่อสัตย์คนใดที่จะพลิกเหรียญในขั้นตอนที่ s′ ตามที่ระบุไว้ก่อนหน้านี้ การอภิปราย ตามคำจำกัดความของ SV r,s′−1 ค่า hash ของหนังสือรับรองของ ë ก็มีค่าน้อยที่สุดเช่นกัน ผู้ใช้ทั้งหมดใน PKr−k เนื่องจากฟังก์ชัน hash เป็นการสุ่ม oracle ดังนั้น ผู้เล่น ë จะซื่อสัตย์กับ ความน่าจะเป็นอย่างน้อย h ดังที่เราจะแสดงในภายหลัง แม้ว่าปฏิปักษ์จะพยายามทำนายเหตุการณ์นี้อย่างเต็มที่ก็ตาม ผลลัพธ์ของการสุ่ม oracle และเอียงความน่าจะเป็น ผู้เล่น ë ยังคงซื่อสัตย์กับความน่าจะเป็นอย่างน้อย ph = h2(1 + h −h2) ด้านล่างเราจะพิจารณากรณีที่สิ่งนั้นเกิดขึ้นจริง: นั่นคือ ë $\in$HSV r,s′−1 โปรดทราบว่าผู้ตรวจสอบที่ซื่อสัตย์ทุกคน i $\in$HSV r,s′ ได้รับข้อความทั้งหมดจาก HSV r,s′−1 โดย เวลา $\alpha$r,s′ ฉัน + ทีเอส' หากผู้เล่นฉันต้องหงายเหรียญ (เช่น เขาไม่ได้เห็น > 2/3 ส่วนใหญ่สำหรับ บิตเดียวกัน b $\in${0, 1}) จากนั้นเขาตั้งค่า bi = lsb(H($\sigma$r,s′−1 l' )). หากมีความจริงอีกประการหนึ่ง ผู้ตรวจสอบ i′ $\in$HSV r,s′ ที่ได้เห็น > 2/3 ส่วนใหญ่สำหรับบิต b $\in${0, 1} แล้วโดยคุณสมบัติ (d) ของเลมมา 5.5 ไม่มีผู้ตรวจสอบที่ซื่อสัตย์ใน HSV r,s′ จะเห็น > 2/3 ส่วนใหญ่เพียงเล็กน้อย ข′ ̸= ข. เนื่องจาก lsb(H($\sigma$r,s′−1 l' )) = b ด้วยความน่าจะเป็น 1/2 ผู้ตรวจสอบที่ซื่อสัตย์ทุกคนเข้าถึง HSV r,s′ ข้อตกลงบน b ด้วยความน่าจะเป็น 1/2 แน่นอน ถ้าไม่มีตัวยืนยัน i′ เช่นนั้นแล้ว ก็ทั้งหมด ผู้ตรวจสอบที่ซื่อสัตย์ใน HSV r,s′ เห็นด้วยกับบิต lsb(H($\sigma$r,s′−1 l' )) ด้วยความน่าจะเป็น 1. เมื่อรวมความน่าจะเป็นของ ë $\in$HSV r,s′−1 เราพบว่าผู้ตรวจสอบที่ซื่อสัตย์ใน HSV r,s′ บรรลุข้อตกลงด้วยบิต b $\in${0, 1} โดยมีความน่าจะเป็นอย่างน้อย ph 2 = h2(1+h−h2) 2 . นอกจากนี้ โดยการชักนำให้ลงคะแนนเสียงข้างมากเหมือนเมื่อก่อน ผู้ตรวจสอบที่ซื่อสัตย์ทุกคนใน HSV r,s′ จะมีชุด vi ของพวกเขา จะเป็น H(Br ë) ดังนั้น เมื่อบรรลุข้อตกลงเกี่ยวกับ b ในขั้นตอน s′ แล้ว T r+1 ก็คือ $\leq$T r + แลม + ts′+1 หรือ $\leq$T r + แลม + ts′+2 ขึ้นอยู่กับว่า b = 0 หรือ b = 1 ตามการวิเคราะห์กรณี 2.1.a และ 2.1.b ใน โดยเฉพาะอย่างยิ่ง จะไม่มีการดำเนินการขั้นตอน Coin-Genuinely-Flipped อีกต่อไป นั่นคือ ผู้ตรวจสอบใน ขั้นตอนดังกล่าวยังคงตรวจสอบว่าพวกเขาเป็นผู้ตรวจสอบแล้วจึงรอ แต่ทั้งหมดจะหยุดโดยไม่ต้อง เผยแพร่สิ่งใดๆ ดังนั้น ก่อนขั้นตอน s∗ จำนวนครั้งที่ขั้นตอน Coin-GenuinelyFlipped ถูกดำเนินการจะถูกกระจายตามตัวแปรสุ่ม Lr ปล่อยให้ขั้นตอน s' เป็นขั้นตอนสุดท้ายที่พลิกเหรียญอย่างแท้จริงตาม Lr โดยการสร้างโปรโตคอล เรามี s' = 4 + 3Lr. เมื่อใดที่ฝ่ายตรงข้ามควรทำให้สเต็ปเกิดขึ้นหากเขาต้องการหน่วงเวลา T r+1 มากเท่ากับ เป็นไปได้เหรอ? เรายังสามารถสันนิษฐานได้ว่าฝ่ายตรงข้ามรู้ถึงการตระหนักถึง Lr ล่วงหน้า ถ้า s∗> s′ ดังนั้นมันจึงไม่มีประโยชน์ เพราะผู้ตรวจสอบที่ซื่อสัตย์ได้บรรลุข้อตกลงใน ขั้นตอน เพื่อให้มั่นใจว่า ในกรณีนี้ s∗ จะเป็น s′ +1 หรือ s′ +2 อีกครั้ง ขึ้นอยู่กับว่า b = 0 หรือ b = 1 อย่างไรก็ตาม นี่คือกรณี 2.1.a และ 2.1.b และผลลัพธ์ T r+1 ก็คือ เช่นเดียวกับในกรณีนั้น แม่นยำยิ่งขึ้น T r+1 $\leq$T r + แล + ts∗$\leq$T r + แล + ts′+2 ถ้า s∗< s′ −3 —นั่นคือ s∗ อยู่ก่อนขั้นตอน Coin-Genuinely-Flipped สุดท้ายที่สอง— แล้วโดย การวิเคราะห์กรณี 2.2.a และ 2.2.b T r+1 $\leq$T r + แล + ts∗+3 < T r + แล + ts′ นั่นคือฝ่ายตรงข้ามกำลังทำให้ข้อตกลงเกี่ยวกับ Br เกิดขึ้นเร็วขึ้น ถ้า s∗= s′ −2 หรือ s′ −1 —นั่นคือ ขั้นตอน Coin-Fixed-To-0 หรือขั้นตอน Coin-Fixed-To-1 ทันทีก่อนขั้นตอน s′— จากนั้นด้วยการวิเคราะห์กรณีย่อยสี่กรณี ผู้ตรวจสอบที่ซื่อสัตย์เข้ามา ขั้นตอนที่ s′ ไม่ต้องพลิกเหรียญอีกต่อไป เพราะพวกเขาหยุดโดยไม่แพร่กระจาย หรือเคยเห็น > 2/3 ส่วนใหญ่สำหรับบิต b เดียวกัน ดังนั้นเราจึงมี T r+1 $\leq$T r + แล + ts∗+3 $\leq$T r + แล + ts′+2โดยสรุป ไม่ว่า s∗ คืออะไร เราก็มี T r+1 $\leq$T r + แล + ts′+2 = T r + แล + t3Lr+6 = T r + แล + (2(3Lr + 6) −3)แล + Λ = T r + (6Lr + 10)แล + Λ, ตามที่เราต้องการจะแสดง กรณีที่เลวร้ายที่สุดคือเมื่อ s∗= s′ −1 และกรณีที่ 2.2.b เกิดขึ้น การรวมกรณีที่ 1 และ 2 ของโปรโตคอล BA ไบนารีเข้าด้วยกัน Lemma 5.3 ถือไว้ ■ 5.9 ความปลอดภัยของ Seed Qr และความน่าจะเป็นของผู้นำที่ซื่อสัตย์ มันยังคงต้องพิสูจน์ Lemma 5.4 จำได้ว่าผู้ตรวจสอบในรอบ r นำมาจาก PKr−k และ ถูกเลือกตามปริมาณ Qr−1 เหตุผลในการแนะนำพารามิเตอร์การมองย้อนกลับ k คือเพื่อให้แน่ใจว่า ย้อนกลับไปที่รอบ r −k เมื่อฝ่ายตรงข้ามสามารถเพิ่มผู้ใช้ที่เป็นอันตรายรายใหม่ได้ สำหรับ PKr−k เขาไม่สามารถทำนายปริมาณ Qr−1 ได้ ยกเว้นความน่าจะเป็นเล็กน้อย โปรดทราบว่า ฟังก์ชัน hash เป็นการสุ่ม oracle และ Qr−1 เป็นหนึ่งในอินพุตเมื่อเลือกตัวตรวจสอบสำหรับรอบ r ดังนั้นไม่ว่าผู้ใช้ที่เป็นอันตรายจะถูกเพิ่มเข้าไปใน PKr−k แค่ไหนก็ตาม จากมุมมองของฝ่ายตรงข้าม หนึ่งในนั้นยังคงถูกเลือกให้เป็นผู้ตรวจสอบในขั้นตอนของรอบ r ด้วยความน่าจะเป็นที่ต้องการ p (หรือ p1 สำหรับขั้นตอนที่ 1) แม่นยำยิ่งขึ้น เรามีบทแทรกต่อไปนี้ เลมมา 5.6 ด้วย k = O(log1/2 F) สำหรับแต่ละรอบ r โดยมีความน่าจะเป็นอย่างท่วมท้นที่ฝ่ายตรงข้าม ไม่ได้สอบถาม Qr−1 ไปยัง oracle แบบสุ่ม ย้อนกลับไปที่รอบ r −k การพิสูจน์. เราดำเนินการโดยการเหนี่ยวนำ สมมติว่าในแต่ละรอบ $\gamma$ < r ฝ่ายตรงข้ามไม่ได้สอบถาม Q$\gamma$−1 สุ่ม oracle กลับมาที่รอบ $\gamma$ −k.21 พิจารณาเกมทางจิตต่อไปนี้ที่เล่นโดย ฝ่ายตรงข้ามที่รอบ r −k พยายามทำนาย Qr−1 ในขั้นตอนที่ 1 ของแต่ละรอบ $\gamma$ = r −k, . . , r −1 โดยกำหนด Q$\gamma$−1 ที่เฉพาะเจาะจงซึ่งไม่ได้ถูกสอบถามไปยังการสุ่ม oracle โดยการสั่งผู้เล่น i $\in$PK$\gamma$−k ตามค่า hash H(SIGi($\gamma$, 1, Q$\gamma$−1)) มากขึ้นเรื่อยๆ เราได้รับการเรียงสับเปลี่ยนแบบสุ่มบน PK$\gamma$−k ตามคำนิยามแล้ว ผู้นำ ë$\gamma$ คือ ผู้ใช้รายแรกในการเรียงสับเปลี่ยนและซื่อสัตย์กับความน่าจะเป็น h ยิ่งกว่านั้นเมื่อ PK$\gamma$−k มีขนาดใหญ่ เพียงพอแล้ว สำหรับจำนวนเต็ม x $\geq$1 ใดๆ ความน่าจะเป็นที่ผู้ใช้ x แรกในการเรียงสับเปลี่ยนล้วนเป็นทั้งหมด เป็นอันตราย แต่ (x + 1)st มีความซื่อสัตย์คือ (1 −h)xh ถ้า ë$\gamma$ ซื่อสัตย์ แล้ว Q$\gamma$ = H(SIGLR$\gamma$(Q$\gamma$−1), $\gamma$) เนื่องจากฝ่ายตรงข้ามไม่สามารถปลอมลายเซ็นได้ ของ ë$\gamma$, Q$\gamma$ จะถูกกระจายอย่างสม่ำเสมอโดยการสุ่มจากมุมมองของฝ่ายตรงข้าม และ ยกเว้น ด้วยความน่าจะเป็นเพียงเล็กน้อยแบบเอ็กซ์โพเนนเชียล 22 ไม่ถูกสอบถามถึง H ที่รอบ r -k เนื่องจากแต่ละ คิว$\gamma$+1, คิว$\gamma$+2, . . , Qr−1 ตามลำดับคือผลลัพธ์ของ H ด้วย Q$\gamma$, Q$\gamma$+1, . . , Qr−2 เป็นหนึ่งในอินพุต พวกเขาทั้งหมดดูสุ่มไปที่ปฏิปักษ์และปฏิปักษ์ไม่สามารถสอบถาม Qr−1 ถึง H ที่ รอบ r -k ดังนั้น เป็นกรณีเดียวที่ฝ่ายตรงข้ามสามารถทำนาย Qr−1 ด้วยความน่าจะเป็นที่ดีในรอบนั้น r−k คือเมื่อผู้นำทั้งหมด ër−k, . . . , ër−1 เป็นอันตราย พิจารณารอบอีกครั้ง $\gamma$ $\in${r−k . . , r−1} และการเรียงสับเปลี่ยนแบบสุ่มเหนือ PK$\gamma$ − k เกิดจากค่า hash ที่สอดคล้องกัน ถ้าสำหรับบางคน x $\geq$2 ผู้ใช้ x −1 คนแรกในการเรียงสับเปลี่ยนล้วนเป็นอันตรายและ x-th นั้นซื่อสัตย์ จากนั้น ฝ่ายตรงข้ามมี x ตัวเลือกที่เป็นไปได้สำหรับ Q$\gamma$: รูปแบบใดรูปแบบหนึ่ง H(SIGi(Q$\gamma$−1, $\gamma$)) โดยที่ i เป็นหนึ่งใน 21เนื่องจาก k เป็นจำนวนเต็มขนาดเล็ก โดยไม่สูญเสียลักษณะทั่วไป เราสามารถสรุปได้ว่า k รอบแรกของโปรโตคอลกำลังทำงานอยู่ ภายใต้สภาพแวดล้อมที่ปลอดภัยและมีสมมติฐานอุปนัยสำหรับรอบเหล่านั้น 22นั่นคือ เอ็กซ์โปเนนเชียลในความยาวของเอาท์พุตของ H โปรดทราบว่าความน่าจะเป็นนี้น้อยกว่า F มากผู้ใช้ที่เป็นอันตราย x−1 คนแรก โดยทำให้ผู้เล่น i เป็นผู้นำที่แท้จริงของรอบ $\gamma$; หรือ H(Q$\gamma$−1, $\gamma$) โดย บังคับให้B$\gamma$ = B$\gamma$ ī. มิฉะนั้นผู้นำของรอบ $\gamma$ จะเป็นผู้ใช้ที่ซื่อสัตย์คนแรกในการเรียงสับเปลี่ยน และ Qr−1 เป็นสิ่งที่คาดเดาไม่ได้สำหรับปฏิปักษ์ ตัวเลือก x ใดข้างต้นของQ$\gamma$ที่ฝ่ายตรงข้ามควรติดตาม? เพื่อช่วยเหลือศัตรู ตอบคำถามนี้ ในเกมทางจิต เราทำให้เขามีพลังมากกว่าเขาจริงๆ คือดังนี้ ประการแรก ในความเป็นจริงแล้วฝ่ายตรงข้ามไม่สามารถคำนวณ hash ของผู้ใช้ที่ซื่อสัตย์ได้ ลายเซ็นต์ จึงไม่สามารถตัดสินใจสำหรับแต่ละ Q$\gamma$ ได้ว่าจำนวน x(Q$\gamma$) ของผู้ใช้ที่เป็นอันตรายในตอนเริ่มต้น ของการเรียงสับเปลี่ยนแบบสุ่มในรอบ $\gamma$ + 1 ที่เกิดจาก Q$\gamma$ ในเกมทางจิตเราให้เขา ตัวเลข x(Q$\gamma$) ฟรี ประการที่สอง ในความเป็นจริง มีผู้ใช้ x คนแรกในการเรียงสับเปลี่ยนทั้งหมด การเป็นคนใจร้ายไม่ได้หมายความว่าพวกเขาทุกคนจะถูกทำให้เป็นผู้นำได้ เพราะว่า hash ค่าของลายเซ็นต้องน้อยกว่า p1 ด้วย เราละเลยข้อจำกัดนี้ในจิตใจ เกมทำให้ฝ่ายตรงข้ามได้เปรียบมากยิ่งขึ้น มันง่ายที่จะเห็นว่าในเกมทางจิต ตัวเลือกที่ดีที่สุดสำหรับฝ่ายตรงข้าม แสดงโดย ˆQ$\gamma$ คือสิ่งที่สร้างลำดับผู้ใช้ที่เป็นอันตรายที่ยาวที่สุดในช่วงเริ่มต้นของการสุ่ม การเรียงสับเปลี่ยนในรอบ $\gamma$ + 1 โดยแท้จริงแล้ว เมื่อกำหนด Q$\gamma$ ที่เฉพาะเจาะจง โปรโตคอลไม่ได้ขึ้นอยู่กับ Q$\gamma$−1 อีกต่อไปและฝ่ายตรงข้ามสามารถมุ่งความสนใจไปที่การเรียงสับเปลี่ยนใหม่ในรอบ $\gamma$ + 1 ได้เพียงอย่างเดียวซึ่งมี การกระจายเดียวกันสำหรับจำนวนผู้ใช้ที่เป็นอันตรายตั้งแต่เริ่มต้น ตามนั้นในแต่ละรอบ $\gamma$ ที่กล่าวมาข้างต้น ˆQ$\gamma$ ทำให้เขามีทางเลือกจำนวนมากที่สุดสำหรับ Q$\gamma$+1 และจึงขยายให้สูงสุด ความน่าจะเป็นที่ผู้นำต่อเนื่องกันล้วนเป็นอันตราย ดังนั้น ในเกมทางจิต ฝ่ายตรงข้ามกำลังติดตาม Markov Chain จากรอบ r -k เพื่อปัดเศษ r −1 โดยมีปริภูมิสถานะเป็น {0} $\cup${x : x $\geq$2} สถานะ 0 แสดงถึงความจริงที่ว่า ผู้ใช้รายแรกในการเรียงสับเปลี่ยนแบบสุ่มในรอบปัจจุบัน $\gamma$ เป็นคนซื่อสัตย์ ดังนั้นฝ่ายตรงข้ามจึงล้มเหลว เกมทำนาย Qr−1; และแต่ละสถานะ x $\geq$2 แสดงถึงความจริงที่ว่าผู้ใช้ x −1 คนแรกใน การเรียงสับเปลี่ยนเป็นอันตรายและ x-th นั้นซื่อสัตย์ ดังนั้นฝ่ายตรงข้ามจึงมีตัวเลือก x สำหรับQ$\gamma$ ที่ ความน่าจะเป็นของการเปลี่ยนแปลง P(x, y) มีดังนี้ • P(0, 0) = 1 และ P(0, y) = 0 สำหรับ y ใดๆ $\geq$2 นั่นคือฝ่ายตรงข้ามล้มเหลวในเกมครั้งแรก ผู้ใช้ในการเรียงสับเปลี่ยนกลายเป็นความซื่อสัตย์ • P(x, 0) = hx สำหรับ x $\geq$2 ใดๆ นั่นคือ ด้วยความน่าจะเป็น hx การเรียงสับเปลี่ยนสุ่ม x ทั้งหมดมี ผู้ใช้กลุ่มแรกมีความซื่อสัตย์ ดังนั้นฝ่ายตรงข้ามจึงล้มเหลวในเกมในรอบถัดไป • สำหรับ x $\geq$2 และ y $\geq$2 ใดๆ P(x, y) คือความน่าจะเป็นที่ระหว่างการเรียงสับเปลี่ยนแบบสุ่มของ x เกิดจากตัวเลือก x ของ Q$\gamma$ ซึ่งเป็นลำดับที่ยาวที่สุดของผู้ใช้ที่เป็นอันตรายในตอนต้น บางส่วนเป็น y −1 ดังนั้นฝ่ายตรงข้ามจึงมีตัวเลือก y สำหรับ Q$\gamma$+1 ในรอบถัดไป นั่นคือ ป(x, ย) = ย−1 เอ็กซ์ ผม=0 (1 −ซ)เอ่อ !x - ย−2 เอ็กซ์ ผม=0 (1 −ซ)เอ่อ !x = (1 −(1 −h)y)x −(1 −(1 −h)y−1)x โปรดทราบว่าสถานะ 0 คือสถานะการดูดซับเฉพาะในเมทริกซ์ทรานซิชัน P และสถานะอื่นๆ ทุกสถานะ x มีความน่าจะเป็นเชิงบวกที่จะเป็น 0 เราสนใจขอบเขตบนของจำนวน k ของ รอบที่จำเป็นสำหรับ Markov Chain เพื่อบรรจบกันเป็น 0 ด้วยความน่าจะเป็นอย่างท่วมท้น นั่นคือ ไม่ เรื่องที่สถานะเริ่มต้นของห่วงโซ่ ด้วยความน่าจะเป็นที่ฝ่ายตรงข้ามจะแพ้ในเกม และล้มเหลวในการทำนาย Qr−1 ที่รอบ r −k พิจารณาเมทริกซ์ทรานซิชัน P (2) $\triangleq$P $\cdot$ P หลังจากผ่านไปสองรอบ จะสังเกตได้ง่ายว่า P (2)(0, 0) = 1 และ P (2)(0, x) = 0 สำหรับ x $\geq$2 ใดๆ สำหรับ x $\geq$2 และ y $\geq$2 ใดๆ โดยที่ P(0, y) = 0 เรามี P (2)(x, y) = P(x, 0)P(0, y) + เอ็กซ์ z$\geq$2 P(x, z)P(z, y) = เอ็กซ์ z$\geq$2 P(x, z)P(z, y)ปล่อยให้ èh $\triangleq$1 −h เราได้ P(x, y) = (1 −′hy)x −(1 −′hy−1)x และ ป (2)(x, y) = เอ็กซ์ z$\geq$2 [(1 −เลเยอร์เฮิร์ตซ์)x −(1 −เลเยอร์เฮิร์ตซ์−1)x][(1 −เลเยอร์ไฮ)z −(1 −เลเยอร์ไฮ−1)z] ด้านล่างเราคำนวณขีดจำกัดของ P (2)(x,y) ป (x,ย) เมื่อ h ไปที่ 1 —นั่นคือ ′h ไปที่ 0 โปรดทราบว่าค่าสูงสุด ลำดับของ aph ใน P(x, y) คือ aphy−1 โดยมี coeﬃcient x ดังนั้น ลิม ชั่วโมง→1 P (2)(x, ย) ป(x, ย) = ลิม Âh $\to$ 0 P (2)(x, ย) ป(x, ย) = ลิม Âh $\to$ 0 P (2)(x, ย) x′hy−1 + O(′hy) = ลิม Âh $\to$ 0 ป z$\geq$2[xÂhz−1 + O(Âhz)][zÂhy−1 + O(Âhy)] x′hy−1 + O(′hy) = ลิม Âh $\to$ 0 2x′hy + O(′hy+1) x′hy−1 + O(′hy) = ลิม Âh $\to$ 0 2xhy x′hy−1 = ลิม Âh $\to$ 0 2Âh = 0 เมื่อ h เข้าใกล้ 1,23 มากพอ เราก็จะได้ P (2)(x, ย) ป(x, ย) $\leq$1 2 สำหรับ x $\geq$2 และ y $\geq$2 ใดๆ โดยการเหนี่ยวนํา สำหรับ k > 2 ใดๆ P (k) $\triangleq$P k เป็นเช่นนั้น • P (k)(0, 0) = 1, P (k)(0, x) = 0 สำหรับ x $\geq$2 ใดๆ และ • สำหรับ x $\geq$2 และ y $\geq$2 ใดๆ P (k)(x, y) = P (k−1)(x, 0)P(0, y) + เอ็กซ์ z$\geq$2 P (k−1)(x, z)P(z, y) = เอ็กซ์ z$\geq$2 P (k−1)(x, z)P(z, y) $\leq$ เอ็กซ์ z$\geq$2 พี(x, ซ) 2k−2 $\cdot$ P(z, y) = P (2)(x, y) 2k−2 $\leq$P(x, y) 2k−1 . เมื่อ P(x, y) $\leq$1 หลังจาก 1−log2 F รอบ ความน่าจะเป็นในการเปลี่ยนผ่านไปสู่สถานะใดๆ y $\geq$2 นั้นน้อยมาก เริ่มต้นด้วยสถานะใดๆ x $\geq$2 แม้ว่าจะมีสถานะดังกล่าวอยู่มากมาย แต่ก็เห็นได้ง่าย ลิม ย→+∞ ป(x, ย) ป(x, y + 1) = ลิม ย→+∞ (1 −เลเยอร์ไฮ)x −(1 −เลเยอร์ไฮ−1)x (1 −′hy+1)x −(1 −′hy)x = ลิม ย→+∞ ′hy−1 −′hy ′ไฮ −′ไฮ+1 = 1 Âh = 1 1 −ชม. ดังนั้นแต่ละแถว x ของเมทริกซ์การเปลี่ยนแปลง P จะลดลงเป็นลำดับเรขาคณิตพร้อมอัตรา 1 1−ชั่วโมง > 2 เมื่อ y มีขนาดใหญ่พอ และค่า P (k) ก็จะเท่ากัน ดังนั้น เมื่อ k มีขนาดใหญ่พอแต่ยังคงอยู่ ตามลำดับ log1/2 F, P y$\geq$2 P (k)(x, y) < F สำหรับ x $\geq$2 ใดๆ นั่นคือมีความน่าจะเป็นอย่างล้นหลาม ฝ่ายตรงข้ามแพ้ในเกมและล้มเหลวในการทำนาย Qr−1 ที่รอบ r −k สำหรับ h $\in$(2/3, 1] มากขึ้น การวิเคราะห์ที่ซับซ้อนแสดงให้เห็นว่ามีค่าคงที่ C มากกว่า 1/2 เล็กน้อย ดังนั้นจึงได้ผล เพื่อรับ k = O(logC F) ดังนั้น Lemma 5.6 จึงถืออยู่ ■ เลมมา 5.4 (ปรับปรุงใหม่) ให้คุณสมบัติ 1–3 สำหรับแต่ละรอบก่อน r, ph = h2(1 + h −h2) สำหรับ Lr, และผู้นำ ër มีความซื่อสัตย์กับความน่าจะเป็นอย่างน้อย ph 23ตัวอย่างเช่น h = 80% ตามที่แนะนำโดยตัวเลือกพารามิเตอร์เฉพาะ

หลักฐาน หลังจากบทแทรก 5.6 ฝ่ายตรงข้ามไม่สามารถทำนาย Qr−1 ย้อนกลับไปที่รอบ r −k ยกเว้น ความน่าจะเป็นเล็กน้อย โปรดทราบว่านี่ไม่ได้หมายความว่าความน่าจะเป็นของผู้นำที่ซื่อสัตย์จะเป็นเช่นนั้น แต่ละรอบ อันที่จริง ให้ Qr−1 ขึ้นอยู่กับจำนวนผู้ใช้ที่เป็นอันตรายในตอนเริ่มต้น การเรียงสับเปลี่ยนแบบสุ่มของ PKr−k ฝ่ายตรงข้ามอาจมีได้มากกว่าหนึ่งตัวเลือกสำหรับ Qr และ จึงสามารถเพิ่มความน่าจะเป็นของผู้นำที่เป็นอันตรายได้ในรอบ r + 1 - เราให้เขาอีกครั้ง ข้อดีบางอย่างที่ไม่สมจริงเช่นเดียวกับใน Lemma 5.6 เพื่อให้การวิเคราะห์ง่ายขึ้น อย่างไรก็ตาม สำหรับแต่ละ Qr−1 ที่ฝ่ายตรงข้ามไม่ได้สอบถามถึง H ที่รอบ r −k สำหรับ x $\geq$1 ใดๆ ด้วยความน่าจะเป็น (1 −h)x−1h ผู้ใช้ที่ซื่อสัตย์คนแรกเกิดขึ้นที่ตำแหน่ง x ในผลลัพธ์ การเรียงสับเปลี่ยนแบบสุ่มของ PKr−k เมื่อ x = 1 ความน่าจะเป็นของผู้นำที่ซื่อสัตย์ในรอบ r + 1 คือ แน่นอนชั่วโมง; ในขณะที่เมื่อ x = 2 ฝ่ายตรงข้ามมีสองตัวเลือกสำหรับ Qr และความน่าจะเป็นผลลัพธ์คือ h2. เมื่อพิจารณาทั้งสองกรณีนี้แล้ว เราจึงมีโอกาสเป็นผู้นำที่ซื่อสัตย์ในรอบนั้น r + 1 มีค่าอย่างน้อย h $\cdot$ h + (1 −h)h $\cdot$ h2 = h2(1 + h −h2) ตามต้องการ โปรดทราบว่าความน่าจะเป็นข้างต้นพิจารณาเฉพาะการสุ่มในโปรโตคอลจากรอบ r −k เพื่อปัดเศษ r เมื่อพิจารณาความสุ่มทั้งหมดจากรอบ 0 ถึงรอบ r แล้ว Qr−1 จะเป็น ฝ่ายตรงข้ามคาดเดาได้น้อยกว่าและความน่าจะเป็นของผู้นำที่ซื่อสัตย์ในรอบ r + 1 อยู่ที่ h2(1 + h −h2) น้อยที่สุด แทนที่ r + 1 ด้วย r และเลื่อนทุกอย่างกลับไปหนึ่งรอบ ซึ่งเป็นผู้นำ ër ซื่อสัตย์กับความน่าจะเป็นอย่างน้อย h2(1 + h −h2) ตามที่ต้องการ ในทำนองเดียวกัน ในแต่ละขั้นตอน Coin-Genuinely-Flipped s “ผู้นำ” ของขั้นตอนนั้น — นั่นคือผู้ตรวจสอบ ใน SV rs ซึ่งหนังสือรับรองมีค่า hash น้อยที่สุด มีความเที่ยงตรงกับความน่าจะเป็นอย่างน้อย h2(1 + ชั่วโมง −h2) ดังนั้น ph = h2(1 + h −h2) สำหรับ Lr และ Lemma 5.4 ถือเป็น ■

Algorand '

2 이 섹션에서는 다음 가정 하에 작동하는 Algorand ' 버전을 구성합니다. 정직한 다수의 사용자 가정: 각 PKr의 사용자 중 2/3 이상이 정직합니다. 섹션 8에서는 위의 가정을 원하는 정직한 다수로 대체하는 방법을 보여줍니다. 돈 가정. 6.1 Algorand ′에 대한 추가 표기법 및 매개변수 2 표기법 • $\mu$ $\in$Z+: 압도적인 확률로, 단계 수에 대한 실용적인 상한 실제로는 한 라운드에 완료됩니다. (앞으로 살펴보겠지만 매개변수 μ는 임시 변수의 수를 제어합니다. 각 라운드마다 사용자가 미리 준비하는 키입니다.) • Lr: 1을 확인하는 데 필요한 베르누이 시행 횟수를 나타내는 무작위 변수입니다. 시행은 확률이 ph인 경우 1입니다. 2 . Lr은 생성에 필요한 시간의 상한을 지정하는 데 사용됩니다. 블록 브롬 • tH: 라운드 r의 s > 1 단계에서 정직한 검증자 수에 대한 하한입니다. 압도적인 확률(n과 p가 주어지면) SV r,s에는 > tH개의 정직한 검증자가 있습니다. 매개변수 • 다양한 매개변수 간의 관계. — 라운드 r의 각 단계 s > 1에 대해 압도적인 확률로 n이 선택됩니다.

|HSV r,s| > 일 그리고 |HSV r,s| + 2|MSV r,s| < 2tH. 위의 두 부등식은 |HSV r,s|를 의미합니다. > 2|MSV r,s|: 즉, 선택된 검증자 중 2/3가 정직한 다수입니다. h 값이 1에 가까울수록 n은 더 작아야 합니다. 특히, 우리는 (변종 of) 원하는 조건이 압도적인 확률로 유지되도록 Chernoﬀbounds. • 중요한 매개변수의 예시 선택. — F = 10−18. — n $\approx$4000, tH $\approx$0.69n, k = 70. 6.2 Algorand '에서 임시 키 구현 2 검증자 i $\in$SV r,s가 자신의 메시지 mr,s에 디지털 방식으로 서명한다는 점을 기억하세요. 나 라운드 r의 단계 s에 대해 임시 공개 키 pkr,s i , 임시 비밀 키 skr을 사용하여 나 그는 즉시 파괴한다 사용 후. 라운드에서 취할 수 있는 가능한 단계 수가 주어진 단계로 제한되는 경우 정수 $\mu$, 우리는 임시 키를 실제로 처리하는 방법을 이미 살펴보았습니다. 예를 들어, 우리는 Algorand '에서 설명했습니다. 1(여기서 $\mu$ = m + 3), 가능한 모든 임시 키를 처리하려면 라운드 r'에서 라운드 r' + 106으로, i는 PMK 공개 마스터인 쌍(PMK, SMK)을 생성합니다. 신원 기반 서명 체계의 키 및 SMK에 해당하는 비밀 마스터 키. 사용자 i PMK를 공개하고 SMK를 사용하여 가능한 각 임시 공개 키의 비밀 키를 생성합니다. (그리고 그렇게 한 후 SMK를 파괴합니다). 관련에 대한 i의 임시 공개 키 세트 라운드는 S = {i} $\times$ {r′, . . . , r' + 106} $\times$ {1, . . . , $\mu$}. (논의된 바와 같이, 라운드 r' + 106이 접근함에 따라, 나는 그의 쌍(PMK, SMK)을 "새로 고침"합니다.) 실제로 $\mu$가 충분히 크면 Algorand '의 라운드가 됩니다. 2는 $\mu$ 단계 이상 걸리지 않습니다. 에서 그러나 원칙적으로는 어떤 라운드에서는 단계 수가 줄어들 가능성이 희박합니다. 실제로 복용하면 μ를 초과합니다. 이런 일이 발생하면 저는 그의 메시지에 서명할 수 없습니다. 나 에 대한 모든 단계 s > $\mu$, 왜냐하면 그는 라운드 r에 대해 $\mu$ 비밀 키만 미리 준비했기 때문입니다. 게다가 그는 앞서 논의한 것처럼 임시 키의 새로운 보관을 준비하고 공개할 수 없었습니다. 사실 할 일은 따라서 그는 새 블록에 새로운 공개 마스터 키 PMK'를 삽입해야 합니다. 하지만 r을 반올림해야 합니다. 점점 더 많은 단계를 수행하면 새 블록이 생성되지 않습니다. 그러나 해결책이 존재합니다. 예를 들어, i는 라운드 r, pkr,μ의 마지막 임시 키를 사용할 수 있습니다. 나 , 다음과 같이. 그는 라운드 r에 대한 또 다른 키 쌍 숨김을 생성합니다. 예를 들어 (1) 다른 키 쌍을 생성합니다. 마스터 키 쌍(PMK, SMK) (2) 이 쌍을 사용하여 또 다른 106개의 임시 키를 생성합니다. sk r,μ+1 나 , . . . , SK r,μ+106 나 , 라운드 r의 단계 $\mu$+1, ..., $\mu$+106에 해당합니다. (3) skr,μ 사용 나 디지털 방식으로 pkr,μ를 기준으로 PMK(및 i $\in$SV r,μ인 경우 모든 (r,μ)-메시지)에 서명합니다. 나 ; (4) SMK 및 skr 삭제,μ 나 . 나는 s $\in${1, . . . , 106}, 그런 다음 나는 그의 (r, $\mu$ + s)에 디지털 서명을 합니다. 메시지 Mr,μ+s 나 그의 새 키 pk와 관련하여 r,μ+s 나 = (i, r, $\mu$ + s). 물론 이 서명을 확인하려면 i의 경우, 다른 사람들은 이 공개 키가 i의 새로운 공개 마스터 키 PMK와 일치하는지 확인해야 합니다. 따라서 이 서명에 추가로 i는 pkr,μ를 기준으로 PMK의 디지털 서명을 전송합니다. 나 . 물론, 이 접근법은 필요한 만큼 반복될 수 있습니다. 라운드 r이 계속되어야 합니다. 점점 더 많은 단계를 위해! 마지막 임시 비밀 키는 새로운 마스터 퍼블릭을 인증하는 데 사용됩니다. 키, 즉 라운드 r에 대한 또 다른 임시 키가 숨겨져 있습니다. 등.6.3 실제 프로토콜 Algorand ' 2 라운드 r의 각 단계 s에서 검증자 i $\in$SV r,s가 자신의 장기 공개 비밀을 사용한다는 점을 다시 상기하세요. 그의 자격 증명 $\sigma$r,s를 생성하기 위한 키 쌍 나 $\triangleq$SIGi(r, s, Qr−1) 및 SIGi Qr−1 s = 1인 경우. 검증자 i는 자신의 임시 키 쌍(pkr,s)을 사용합니다. 나, skr, s i ), 다른 메시지 m에 서명하려면 필수. 단순화를 위해 sigpkr,s 대신 esigi(m)을 씁니다. i(m), i의 적절한 임시를 나타냅니다. 이 단계에서 m의 서명을 입력하고 SIGpkr,s 대신 ESIGi(m)을 작성합니다. i(m) $\triangleq$(i, m, esigi(m)). 1단계: 블록 제안 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 라운드 r의 1단계를 시작하자마자 자신의 라운드 r을 시작합니다. CERT r−1, 이를 통해 i는 H(Br−1) 및 Qr−1을 명확하게 계산할 수 있습니다. • 사용자 i는 Qr−1을 사용하여 i $\in$SV r,1인지 여부를 확인합니다. i /$\in$SV r,1이면 그는 1단계에서 아무것도 하지 않습니다. • i $\in$SV r,1, 즉 i가 잠재적 리더라면 그는 다음을 수행합니다. (a) 내가 B0을 본 적이 있다면, . . . , Br−1 자신(모든 Bj = Bj 는 hash 값에서 쉽게 파생될 수 있습니다. CERT j에서 "본" 것으로 간주됨) 그런 다음 그는 라운드 R 지불금을 수집합니다. 지금까지 그에게 전파되어 최대 지불 세트 PAY r을 계산합니다. 나는 그들에게서. (b) B0을 모두 보지 못했다면, . . . , Br-1이지만 PAY r을 설정합니다. 나는 = $\emptyset$. (c) 다음으로, 나는 그의 "후보 블록" Br을 계산합니다. 나는 = (r, 지불 r i , SIGi(Qr−1), H(Br−1)). (c) 마지막으로, i는 메시지 mr,1을 계산합니다. 나 = (Br i , Esigi(H(Br i )), $\sigma$r,1 i), 그의 일시적인 것을 파괴한다 비밀키 skr,1 i , 그런 다음 mr,1이라는 두 개의 메시지를 전파합니다. 나 그리고 (SIGi(Qr−1), $\sigma$r,1 나), 별도로 그러나 동시에.a ai가 리더일 때 SIGi(Qr−1)은 다른 사람들이 Qr = H(SIGi(Qr−1), r)을 계산하도록 허용합니다.

선택적 전파 1단계와 전체 라운드의 전역 실행을 단축하려면 (r, 1)- 메시지는 선택적으로 전파됩니다. 즉, 시스템의 모든 사용자 j에 대해 • 그가 수신하고 성공적으로 확인한 첫 번째 (r, 1) 메시지에 대해 a가 포함되어 있는지 여부 블록이거나 Qr−1의 자격 증명 및 서명인 경우 플레이어 j는 이를 평소대로 전파합니다. • 플레이어 j가 수신하고 성공적으로 확인한 다른 모든 (r, 1) 메시지에 대해 그는 전파합니다. 포함된 자격 증명의 hash 값이 hash 값 중에서 가장 작은 경우에만 해당됩니다. 그가 수신하고 성공적으로 확인한 모든 (r, 1) 메시지에 포함된 자격 증명 중 멀리. • 그러나 j가 mr,1 형식의 서로 다른 두 개의 메시지를 받으면 나 같은 플레이어 i,b 그에게서 i 자격 증명의 hash 값에 관계없이 두 번째 자격 증명을 삭제합니다. 선택적 전파에서는 각 잠재적 리더가 자신의 리더를 전파하는 것이 유용합니다. 자격 증명 $\sigma$r,1 나 Mr,1과는 별도로 i :c 작은 메시지는 블록보다 빠르게 전달됩니다. Mr,1의 적시 전파 i 는 포함된 자격 증명에 작은 hash 값이 있는 반면 hash 값이 큰 항목을 빠르게 사라지게 만듭니다. a즉, 모든 서명이 정확하며, mr,1 형식인 경우 i, 블록과 해당 hash이 모두 유효합니다. - j는 포함된 페이세트가 i에 대해 최대인지 여부를 확인하지 않습니다. b그 말은 내가 악의적이라는 뜻이다. c이를 제안한 Georgios Vlachos에게 감사드립니다.2단계: 단계적 합의 프로토콜 GC의 첫 번째 단계 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 라운드 r의 2단계를 시작하자마자 시작합니다. CERT r-1. • 사용자 i는 최대 시간 t2 $\triangleq$ $\lambda$ + Λ 동안 기다립니다. 기다리는 동안 나는 다음과 같이 행동합니다. 1. 2$\lambda$ 시간을 기다린 후 그는 H($\sigma$r,1)과 같은 사용자 $\ell$를 찾습니다. $\ell$) $\leq$H($\sigma$r,1 j) 모두를 위해 자격 증명 $\sigma$r,1 j 이는 그가 수신한 성공적으로 검증된 (r, 1) 메시지의 일부입니다. 지금까지.a 2. 만일 그 있다 받은 에 블록 Br-1, 어느 성냥 는 hash 가치 H(Br−1) CERT r−1,b에 포함되어 있고 그가 $\ell$a로부터 유효한 메시지를 받았다면 mr,1 $\ell$ = (Br $\ell$, 대략$\ell$(H(Br $\ell$)), $\sigma$r,1 $\ell$),c 그러면 나는 기다리기를 멈추고 v′를 설정한다. 나는 $\triangleq$(H(Br $\ell$), $\ell$). 3. 그렇지 않고, 시간 t2가 다 되면 v'를 설정합니다. 나는 $\triangleq$ $\bot$. 4. v′의 값이 i가 설정되면 i는 CERT r−1에서 Qr−1을 계산하고 다음을 확인합니다. i $\in$SV r,2인지 아닌지. 5. i $\in$SV r,2이면 i는 메시지 mr,2를 계산합니다. 나 $\triangleq$(ESIGi(v′ 나), $\sigma$r,2 i ),d는 그의 일시적인 것을 파괴한다 비밀키 skr,2 i , 그런 다음 mr,2를 전파합니다. 나. 그렇지 않으면 전파하지 않고 중지됩니다. 무엇이든. a본질적으로 사용자 i는 라운드 r의 리더가 사용자 $\ell$임을 개인적으로 결정합니다. b물론 CERT r−1이 Br−1 = Br−1임을 나타내는 경우 ? , 그렇다면 그가 Br−1을 받은 순간 나는 이미 Br−1을 “받았습니다”. CERT r-1. c다시 말하지만, 플레이어 $\ell$의 서명과 hashes가 모두 성공적으로 검증되었으며 PAY r $\ell$in Br $\ell$는 다음에 대한 유효한 지불 세트입니다. 라운드 r — PAY r인지 확인하지는 않지만 $\ell$는 $\ell$또는 $\ell$에 대해 최대값입니다. 만약 Br $\ell$에 빈 페이세트가 포함되어 있는 경우 실제로 Br인지 확인하기 전에 Br−1을 볼 필요가 없습니다. $\ell$는 유효한지 아닌지입니다. d메시지 Mr,2 나 플레이어 i가 v'의 첫 번째 구성 요소를 고려한다는 신호 나는 다음 블록의 hash이 됩니다. 또는 다음 블록이 비어 있는 것으로 간주합니다.

3단계: GC의 두 번째 단계 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 라운드 r의 3단계를 시작하자마자 시작합니다. CERT r-1. • 사용자 i는 최대 시간 t3 $\triangleq$t2 + 2$\lambda$ = 3$\lambda$ + Λ 동안 기다립니다. 기다리는 동안 나는 다음과 같은 역할을 한다. 다음과 같습니다. 1. 적어도 tH개의 유효한 메시지를 수신한 값 v가 존재하는 경우 mr,2 j 의 형식 (ESIGj(v), $\sigma$r,2 j) 아무런 모순 없이 a 그런 다음 그는 기다리기를 멈추고 설정합니다. v' = v. 2. 그렇지 않고, 시간 t3이 다 되면 v' = $\bot$로 설정합니다. 3. v'의 값이 설정되면 i는 CERT r−1에서 Qr−1을 계산하고 다음을 확인합니다. i $\in$SV r,3인지 아닌지. 4. i $\in$SV r,3이면 i는 mr,3 메시지를 계산합니다. 나 $\triangleq$(ESIGi(v′), $\sigma$r,3 i), 그의 것을 파괴한다 임시 비밀 키 skr,3 i, 그런 다음 mr,3을 전파합니다. 나. 그렇지 않으면 나는 없이 멈춘다 무엇이든 전파합니다. a즉, 그는 각각 ESIGj(v)와 다른 ESIGj(ˆv)를 포함하는 두 개의 유효한 메시지를 수신하지 못했습니다. j 선수로부터. 나중에 정의되는 종료 조건을 제외하고 여기서부터, 정직한 플레이어가 특정 형식의 메시지를 원할 경우 서로 모순되는 메시지는 계산되지 않거나 유효한 것으로 간주되지 않습니다.

4단계: GC의 출력과 BBA의 첫 번째 단계⋆ 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 4단계를 시작합니다. 스스로 3단계를 마친다. • 사용자 i는 최대 2$\lambda$.a 동안 대기합니다. 대기하는 동안 i는 다음과 같이 행동합니다. 1. 그는 GC의 출력인 vi와 gi를 다음과 같이 계산합니다. (a) v′ ̸= $\bot$ 적어도 tH개의 유효한 메시지를 수신한 값이 존재하는 경우 씨,3 j = (ESIGj(v′), $\sigma$r,3 j ), 그 다음 그는 기다리기를 멈추고 vi $\triangleq$v′ 및 gi $\triangleq$2를 설정합니다. (b) 만약 그가 적어도 tH개의 유효한 메시지를 받았다면 mr,3 j = (ESIGj($\bot$), $\sigma$r,3 j ) 그런 다음 그는 멈춥니다. 기다리고 vi $\triangleq$ $\bot$ 및 gi $\triangleq$0.b를 설정합니다. (c) 그렇지 않고, 시간 2$\lambda$가 다 되었을 때, v′ ̸= $\bot$라는 값이 존재한다면 그는 다음과 같습니다. 최소 ⌈tH를 받았습니다 2 ⌉유효한 메시지 mr,j j = (ESIGj(v′), $\sigma$r,3 j ), 그런 다음 vi $\triangleq$v′를 설정합니다. 그리고 gi $\triangleq$1.c (d) 그렇지 않고, 2$\lambda$의 시간이 지나면 vi $\triangleq$ $\bot$과 gi $\triangleq$0을 설정합니다. 2. vi와 gi 값이 설정되면 i는 BBA⋆의 입력인 bi를 다음과 같이 계산합니다. gi = 2이면 bi $\triangleq$0이고, 그렇지 않으면 bi $\triangleq$1입니다. 3. i는 CERT r−1에서 Qr−1을 계산하고 i $\in$SV r,4인지 여부를 확인합니다. 4. i $\in$SV r,4이면 그는 메시지 mr,4를 계산합니다. 나 $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,4 i), 그의 것을 파괴한다 임시 비밀 키 skr,4 i , 그리고 mr,4를 전파합니다. 나. 그렇지 않으면 전파하지 않고 중지됩니다. 무엇이든. a따라서 i가 라운드 r의 1단계를 시작한 이후 최대 총 시간은 t4 $\triangleq$t3 + 2$\lambda$ = 5$\lambda$ + Λ가 될 수 있습니다. b단계 (b)가 프로토콜에 있는지 여부는 정확성에 영향을 미치지 않습니다. 그러나 단계 (b)의 존재 충분히 많은 3단계 검증자가 "$\bot$에 서명"한 경우 4단계가 2$\lambda$ 미만의 시간 내에 끝날 수 있습니다. c이 경우 v′가 존재한다면 고유해야 함을 증명할 수 있습니다.단계 s, 5 $\leq$s $\leq$m + 2, s −2 ‚0 mod 3: BBA⋆의 코인 고정-0 단계 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. 자신의 단계 s-1을 완료합니다. • 사용자 i는 최대 2$\lambda$.a 동안 대기합니다. 대기하는 동안 i는 다음과 같이 행동합니다. – 종료 조건 0: 임의의 지점에 문자열 v ̸= $\bot$과 단계 s′가 존재하는 경우 (a) 5 $\leq$s′ $\leq$s, s′ −2 pho mod 3 — 즉, s′ 단계는 Coin-Fixed-To-0 단계입니다. (b) 나는 적어도 tH개의 유효한 메시지 mr,s'-1을 수신했습니다. j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ),b 그리고 (c) 나는 유효한 메시지(SIGj(Qr−1), $\sigma$r,1)를 수신했습니다. j ) j가 두 번째임 v의 구성 요소, 그런 다음 나는 기다리는 것을 멈추고 자신의 Step s 실행을 종료합니다(실제로는 r 라운드에서도). (r, s) 검증자로서 아무것도 전파하지 않고 즉시; H(Br)을 첫 번째로 설정합니다. v의 구성요소; 그리고 자신의 CERT r을 메시지 mr,s′-1의 집합으로 설정합니다. j (b) 단계 (SIGj(Qr−1), $\sigma$r,1과 함께 j).c – 종료 조건 1: 어느 시점에 다음과 같은 단계 s'가 존재하는 경우 (a') 6 $\leq$s' $\leq$s, s' −2 pho1 mod 3 — 즉, 단계 s'는 Coin-Fixed-To-1 단계이고, (b') 나는 적어도 tH개의 유효한 메시지 mr,s'-1을 수신했습니다. j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j ),디 그러면 나는 기다리는 것을 멈추고 그 자신의 Step s(그리고 실제로는 r 라운드)의 실행을 종료합니다. (r, s)-검증자로서 아무것도 전파하지 않고 멀리 갑니다. Br = Br로 설정 ? ; 그리고 자신이 설정한 CERT r은 메시지 mr,s′−1의 집합입니다. j 하위 단계 (b'). – 만약에 ~에 어떤 포인트 그 있다 받은 ~에 최소한 tH 유효한 씨,s−1 j 의 의 는 형태 (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), 그런 다음 그는 기다리기를 멈추고 bi $\triangleq$1을 설정합니다. – 만약에 ~에 어떤 포인트 그 있다 받은 ~에 최소한 tH 유효한 씨,s−1 j 의 의 는 형태 (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), 하지만 동일한 v에 동의하지 않으면 그는 중지합니다. 기다리고 bi $\triangleq$0을 설정합니다. – 그렇지 않고, 시간 2$\lambda$가 다 되면 bi $\triangleq$0을 설정합니다. – bi 값이 설정되면 i는 CERT r−1에서 Qr−1을 계산하고 다음을 확인합니다. i $\in$SV r,s. – i $\in$SV r,s이면 i는 메시지 mr,s를 계산합니다. 나 $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i) vi가 있는 경우 4단계에서 그가 계산한 값은 그의 임시 비밀 키 skr을 파괴합니다. 나 , 그리고 나서 Mr,s를 전파합니다 나. 그렇지 않으면 아무것도 전파하지 않고 중지됩니다. a따라서 i가 라운드 r의 1단계를 시작한 이후 최대 총 시간은 ts $\triangleq$ts−1 + 2$\lambda$ = (2s −3) $\lambda$ + Λ. b플레이어 j로부터의 이러한 메시지는 플레이어 i가 1에 서명한 j로부터 메시지를 받은 경우에도 계산됩니다. 엔딩 조건 1도 비슷한 내용입니다. 분석에서 보듯이 이는 모든 정직한 사용자가 알 수 있도록 하기 위한 것입니다. CERT r은 서로 시간 $\lambda$ 내에 있습니다. c사용자 i는 이제 H(Br)와 자신의 라운드 r 완료를 알고 있습니다. 그는 실제로 블록 Br이 나올 때까지 기다려야 합니다. 그 사람에게 전파되므로 추가 시간이 걸릴 수 있습니다. 그는 여전히 일반 사용자로서 메시지 전파를 돕고 있습니다. 그러나 (r, s) 검증자로서 전파를 시작하지는 않습니다. 특히 그는 모든 메시지를 전파하는 데 도움을 주었습니다. 그의 CERT r은 우리 프로토콜에 충분합니다. 바이너리 BA 프로토콜에 대해서도 bi $\triangleq$0을 설정해야 한다는 점에 유의하세요. 어쨌든 이 경우에는 bi가 필요하지 않습니다. 향후 모든 지침에 대해서도 유사합니다. d이 경우 vj가 무엇인지는 중요하지 않습니다. 65단계 s, 6 $\leq$s $\leq$m + 2, s −2 ל1 mod 3: BBA⋆의 동전 고정 1 단계 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. 자신의 단계 s-1을 완료합니다. • 사용자 i는 최대 2$\lambda$의 시간을 기다립니다. 기다리는 동안 나는 다음과 같이 행동합니다. – 종료 조건 0: Coin-Fixed-To-0 단계와 동일한 지침입니다. – 종료 조건 1: Coin-Fixed-To-0 단계와 동일한 지침입니다. – 만약에 ~에 어떤 포인트 그 있다 받은 ~에 최소한 tH 유효한 씨,s−1 j 의 의 는 형태 (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), 그런 다음 그는 기다리기를 멈추고 bi $\triangleq$0.a를 설정합니다. – 그렇지 않고, 시간 2$\lambda$가 다 되면 bi $\triangleq$1을 설정합니다. – bi 값이 설정되면 i는 CERT r−1에서 Qr−1을 계산하고 다음을 확인합니다. i $\in$SV r,s. – i $\in$SV r,s이면 i는 메시지 mr,s를 계산합니다. 나 $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i) vi가 있는 경우 4단계에서 그가 계산한 값은 그의 임시 비밀 키 skr을 파괴합니다. 나 , 그리고 나서 Mr,s를 전파합니다 나. 그렇지 않으면 아무것도 전파하지 않고 중지됩니다. a1에 대한 유효한 (r, s -1) 메시지 서명을 수신하면 종료 조건 1을 의미합니다. 단계 s, 7 $\leq$s $\leq$m + 2, s −2 ל2 mod 3: BBA⋆의 동전 뒤집기 단계 모든 사용자 i $\in$PKr−k를 위한 지침: 사용자 i는 다음과 같이 라운드 r의 단계 s를 시작합니다. 자신의 단계 s-1을 마칩니다. • 사용자 i는 최대 2$\lambda$의 시간을 기다립니다. 기다리는 동안 나는 다음과 같이 행동합니다. – 종료 조건 0: Coin-Fixed-To-0 단계와 동일한 지침입니다. – 종료 조건 1: Coin-Fixed-To-0 단계와 동일한 지침입니다. – 만약에 ~에 어떤 포인트 그 있다 받은 ~에 최소한 tH 유효한 씨,s−1 j 의 의 는 형태 (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), 그런 다음 그는 기다리기를 멈추고 bi $\triangleq$0을 설정합니다. – 만약에 ~에 어떤 포인트 그 있다 받은 ~에 최소한 tH 유효한 씨,s−1 j 의 의 는 형태 (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), 그런 다음 그는 기다리기를 멈추고 bi $\triangleq$1을 설정합니다. – 그렇지 않은 경우, 시간 2$\lambda$가 종료되면 SV r,s−1을 허용합니다. 나 (r, s −1)-검증자의 집합이 됩니다. 그는 유효한 메시지를 받았습니다. mr,s−1 j , 나는 bi $\triangleq$lsb(minj$\in$SV r,s−1을 설정합니다. 나 H($\sigma$r,s−1 j )). – bi 값이 설정되면 i는 CERT r−1에서 Qr−1을 계산하고 다음을 확인합니다. i $\in$SV r,s. – i $\in$SV r,s이면 i는 메시지 mr,s를 계산합니다. 나 $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i) vi가 있는 경우 4단계에서 그가 계산한 값은 그의 임시 비밀 키 skr을 파괴합니다. 나 , 그리고 나서 Mr,s를 전파합니다 나. 그렇지 않으면 아무것도 전파하지 않고 중지됩니다. 주목. 원칙적으로 하위 섹션 6.2에서 고려한 바와 같이 프로토콜은 임의로 많은 수를 취할 수 있습니다. 어떤 라운드의 단계. 이런 일이 발생하면 논의한 대로 s > $\mu$인 사용자 i $\in$SV r,s가 지쳤습니다.

미리 생성된 임시 키를 보관하고 그의 (r, s) 메시지 mr,s를 인증해야 합니다. 나 에 의해 임시 키의 "계단식". 그래서 내 메시지가 좀 길어지고, 이 메시지를 더 길게 전송하게 되니 메시지를 보내는 데 시간이 조금 더 걸립니다. 따라서 주어진 라운드의 여러 단계를 거친 후에는 매개변수 $\lambda$는 자동으로 약간 증가합니다. (단, 새로운 값이 나오면 원래의 $\lambda$로 되돌아갑니다. 블록이 생성되고 새로운 라운드가 시작됩니다.) 비검증자에 의한 Round-r 블록 재구성 시스템의 모든 사용자 i를 위한 지침: 사용자 i는 라운드 r을 시작하자마자 자신의 라운드 r을 시작합니다. CERT r-1. • 나는 프로토콜의 각 단계의 지침을 따르고 모든 프로토콜의 전파에 참여합니다. 메시지를 전송하지만, 검증자가 아닌 경우 단계에서 전파를 시작하지 않습니다. • 나는 일부 항목에 종료 조건 0 또는 종료 조건 1을 입력하여 자신의 라운드 r을 종료합니다. 해당 CERT r을 사용하여 단계를 수행합니다. • 이후부터 그는 실제 블록 Br을 받기를 기다리는 동안 r + 1 라운드를 시작합니다. 그는 이미 그것을 받았습니다), 그의 hash H(Br)는 CERT r에 의해 고정되었습니다. 또 만약에 CERT r은 Br = Br임을 나타냅니다. ?, 나는 그가 CERT r을 취득하는 순간 Br을 압니다. 6.4 Algorand ' 분석 2 Algorand '의 분석 2는 Algorand ′의 그것으로부터 쉽게 파생됩니다. 1. 기본적으로 Algorand ' 2, 와 압도적인 확률, (a) 모든 정직한 사용자가 동일한 블록 Br에 동의합니다. 새로운 시대의 리더 블록은 적어도 ph = h2(1 + h −h2)의 확률로 정직합니다.

Algorand ′

2 ในส่วนนี้ เราสร้างเวอร์ชันของ Algorand ′ ที่ทำงานภายใต้สมมติฐานต่อไปนี้ ข้อสันนิษฐานของผู้ใช้ส่วนใหญ่ที่ซื่อสัตย์: มากกว่า 2/3 ของผู้ใช้ในแต่ละ PKr มีความซื่อสัตย์ ในส่วนที่ 8 เราจะแสดงวิธีแทนที่สมมติฐานข้างต้นด้วย Honest Majority ที่ต้องการ สมมติฐานเรื่องเงิน 6.1 สัญลักษณ์และพารามิเตอร์เพิ่มเติมสำหรับ Algorand ′ 2 สัญกรณ์ • $\mu$ $\in$Z+: ขอบเขตบนเชิงปฏิบัติของจำนวนขั้นตอนที่มีความน่าจะเป็นอย่างท่วมท้น จะถ่ายจริงในรอบเดียว (ดังที่เราจะเห็น พารามิเตอร์ $\mu$ ควบคุมจำนวนข้อมูลชั่วคราว คีย์ที่ผู้ใช้เตรียมไว้ล่วงหน้าในแต่ละรอบ) • Lr: ตัวแปรสุ่มที่แสดงถึงจำนวนการทดลองเบอร์นูลลีที่จำเป็นในการดู 1 เมื่อแต่ละครั้ง การทดลองคือ 1 ด้วยความน่าจะเป็น ph 2. Lr จะถูกใช้เพื่อขอบเขตบนของเวลาที่จำเป็นในการสร้าง บล็อกเบอร์ • th: ขอบเขตล่างสำหรับจำนวนผู้ตรวจสอบที่ซื่อสัตย์ในขั้นตอน s > 1 ของรอบ r โดยที่ ความน่าจะเป็นอย่างท่วมท้น (ให้ n และ p) มี > ผู้ตรวจสอบที่ซื่อสัตย์ใน SV r,s พารามิเตอร์ • ความสัมพันธ์ระหว่างพารามิเตอร์ต่างๆ — สำหรับแต่ละขั้นตอน s > 1 ของรอบ r, n จะถูกเลือก ดังนั้น ด้วยความน่าจะเป็นอย่างล้นหลาม

|HSV r,s| > ที และ |HSV r,s| + 2|MSV r,s| < 2tH โปรดทราบว่าอสมการทั้งสองข้างต้นรวมกันหมายถึง |HSV r,s| > 2|MSV r,s|: นั่นคือตรงนั้น เป็นเสียงข้างมากที่ซื่อสัตย์ 2/3 ของผู้ตรวจสอบที่เลือก ยิ่งค่า h ใกล้ 1 มากเท่าใด n ก็ต้องมีค่าน้อยลงเท่านั้น โดยเฉพาะเราใช้ (variants ของ) ขอบเขตเชอร์โนฟเพื่อให้แน่ใจว่าเงื่อนไขที่ต้องการมีความน่าจะเป็นอย่างล้นหลาม • ตัวอย่างตัวเลือกของพารามิเตอร์ที่สำคัญ — ฉ = 10−18. — n $\mu$4000, tH $\mu$0.69n, k = 70 6.2 การใช้คีย์ชั่วคราวใน Algorand ′ 2 จำได้ว่าผู้ตรวจสอบ i $\in$SV r,s ลงนามข้อความของเขาแบบดิจิทัล mr,s ฉัน ของขั้นตอน s ในรอบ r สัมพันธ์กับ กุญแจสาธารณะชั่วคราว pkr,s ฉัน ใช้คีย์ลับชั่วคราว skr,s ฉัน ที่เขาทำลายทันที หลังจากใช้งาน เมื่อจำนวนขั้นตอนที่เป็นไปได้ที่รอบอาจใช้นั้นถูกจำกัดด้วยจำนวนที่กำหนด จำนวนเต็ม $\mu$ เราได้เห็นวิธีจัดการกับคีย์ชั่วคราวแล้ว เช่นอย่างที่เรา ได้อธิบายไว้ใน Algorand ′ 1 (โดยที่ $\mu$ = m + 3) เพื่อจัดการคีย์ชั่วคราวที่เป็นไปได้ทั้งหมดจาก รอบ r′ ถึงรอบ r′ + 106 ฉันสร้างคู่ (PMK, SMK) โดยที่ PMK ปรมาจารย์สาธารณะ คีย์ของรูปแบบลายเซ็นตามข้อมูลประจำตัว และ SMK เป็นคีย์หลักลับที่เกี่ยวข้อง ผู้ใช้ฉัน เผยแพร่ PMK และใช้ SMK เพื่อสร้างคีย์ลับของคีย์สาธารณะชั่วคราวที่เป็นไปได้แต่ละรายการ (และทำลาย SMK หลังจากทำเช่นนั้น) ชุดกุญแจสาธารณะชั่วคราวของ i สำหรับผู้เกี่ยวข้อง รอบคือ S = {i} $\times$ {r′, . . , r′ + 106} $\times$ {1, . . . , $\mu$} (ตามที่กล่าวไว้ เมื่อรอบ r′ + 106 ใกล้เข้ามา ฉัน "รีเฟรช" คู่ของเขา (PMK, SMK)) ในทางปฏิบัติ ถ้า $\mu$ มีขนาดใหญ่พอ รอบของ Algorand ′ 2 จะต้องไม่เกิน $\mu$ ขั้นตอน ใน อย่างไรก็ตาม โดยหลักการแล้ว มีความเป็นไปได้ที่ระยะไกลสำหรับบางรอบคือจำนวนก้าว ที่ถ่ายจริงจะเกิน $\mu$ เมื่อสิ่งนี้เกิดขึ้น ฉันจะไม่สามารถลงนามในข้อความของคุณนายได้ ฉัน สำหรับ ขั้นตอนใดก็ได้ s > $\mu$ เนื่องจากเขาได้เตรียมคีย์ลับไว้ล่วงหน้าเฉพาะ $\mu$ สำหรับรอบ r เท่านั้น นอกจากนี้เขา ไม่สามารถจัดเตรียมและเผยแพร่กุญแจชั่วคราวชุดใหม่ตามที่กล่าวไว้ก่อนหน้านี้ ในความเป็นจริงที่จะทำ ดังนั้นเขาจะต้องแทรกคีย์สาธารณะใหม่ PMK′ ลงในบล็อกใหม่ แต่ควรปัดเศษ r ทำตามขั้นตอนมากขึ้นเรื่อยๆ จะไม่มีการสร้างบล็อกใหม่ อย่างไรก็ตาม ยังมีวิธีแก้ปัญหาอยู่ ตัวอย่างเช่น ฉันอาจใช้คีย์ชั่วคราวตัวสุดท้ายของ round r, pkr,$\mu$ ฉัน , ดังต่อไปนี้ เขาสร้างคู่คีย์อีกชุดหนึ่งสำหรับรอบ r —เช่น โดย (1) สร้างอีกคู่หนึ่ง คู่คีย์หลัก (PMK, SMK); (2) การใช้คู่นี้เพื่อสร้างอีกอัน เช่น 106 คีย์ชั่วคราว สค r,$\mu$+1 ฉัน , . . . , ถาม r,$\mu$+106 ฉัน สอดคล้องกับขั้นตอน $\mu$+1, ..., $\mu$+106 ของรอบ r; (3) การใช้ skr,$\mu$ ฉัน สู่ดิจิทัล ลงชื่อ PMK (และข้อความ (r, $\mu$) ใดๆ หาก i $\in$SV r,$\mu$) สัมพันธ์กับ pkr,$\mu$ ฉัน ; และ (4) การลบ SMK และ skr,$\mu$ ฉัน . ฉันควรจะเป็นผู้ตรวจสอบในขั้นตอน $\mu$ + s ด้วย s $\in${1, . . . , 106} จากนั้นฉันจะเซ็นชื่อแบบดิจิทัลของเขา (r, $\mu$ + s)- ส่งข้อความถึงคุณ,$\mu$+s ฉัน สัมพันธ์กับ pk คีย์ใหม่ของเขา r,$\mu$+s ฉัน = (i, r, $\mu$ + s) แน่นอนว่าต้องตรวจสอบลายเซ็นนี้ ของ i คนอื่นๆ ต้องแน่ใจว่าคีย์สาธารณะนี้สอดคล้องกับ PMK คีย์สาธารณะใหม่ของ i ดังนั้น นอกเหนือจากลายเซ็นนี้แล้ว ฉันยังส่งลายเซ็นดิจิทัลของ PMK ของเขาโดยสัมพันธ์กับ pkr,$\mu$ ฉัน . แน่นอนว่าแนวทางนี้สามารถทำซ้ำได้บ่อยเท่าที่จำเป็น โดยควรปัด r ต่อไป เพื่อก้าวที่มากขึ้นเรื่อยๆ! รหัสลับชั่วคราวสุดท้ายจะใช้ในการตรวจสอบสิทธิ์สาธารณะหลักใหม่ กุญแจ และกุญแจชั่วคราวอีกอันสำหรับรอบ r และอื่นๆ6.3 พิธีสารจริง Algorand ′ 2 ระลึกอีกครั้งว่าในแต่ละขั้นตอน s ของรอบ r ผู้ตรวจสอบ i $\in$SV r,s ใช้ความลับสาธารณะระยะยาวของเขา คู่คีย์เพื่อสร้างหนังสือรับรองของเขา $\sigma$r, s ฉัน $\triangleq$SIGi(r, s, Qr−1) เช่นเดียวกับ SIGi คิวอาร์−1 ในกรณีที่ s = 1 ผู้ตรวจสอบฉันใช้คู่กุญแจชั่วคราวของเขา (pkr, s ฉัน , skr, s i ) เพื่อลงนามในข้อความอื่นใดที่อาจเป็น จำเป็น เพื่อความง่าย เราเขียน esigi(m) แทน sigpkr,s ฉัน (ม.) เพื่อแสดงว่าฉันเป็นเพียงชั่วคราว ลายเซ็นของ m ในขั้นตอนนี้ และเขียน ESIGi(m) แทน SIGpkr,s i (m) $\triangleq$(i, m, esigi(m)) ขั้นตอนที่ 1: บล็อกข้อเสนอ คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มขั้นตอนที่ 1 ของตัวเองของรอบ r ทันทีที่เขามี CERT r−1 ซึ่งช่วยให้ i คำนวณ H(Br−1) และ Qr−1 ได้อย่างชัดเจน • ผู้ใช้ i ใช้ Qr−1 เพื่อตรวจสอบว่า i $\in$SV r,1 หรือไม่ ถ้า i /$\in$SV r,1 เขาไม่ทำอะไรเลยในขั้นตอนที่ 1 • ถ้าฉัน $\in$SV r,1 นั่นคือ ถ้าฉันเป็นผู้นำที่มีศักยภาพ เขาก็จะทำสิ่งต่อไปนี้ (ก) ถ้าฉันได้เห็น B0 แล้ว . . , Br−1 เอง (ใดๆ Bj = Bj ǫ สามารถหามาได้อย่างง่ายดายจากค่า hash ของมัน ใน CERT j และถือว่า "เห็นแล้ว") จากนั้นเขาจะรวบรวมการชำระเงินรอบที่มี ได้รับการเผยแพร่ไปยังเขาจนถึงตอนนี้และคำนวณ payset สูงสุด PAY r ฉันมาจากพวกเขา (b) ถ้าฉันไม่เห็น B0 ทั้งหมด . . , Br−1 แล้วเขาก็ตั้งค่า PAY r ฉัน = $\emptyset$ (c) ต่อไป ฉันจะคำนวณ “candidate block” Br i = (r, จ่าย r ผม , SIGI(Qr−1), H(Br−1)) (c) สุดท้ายนี้ ฉันคำนวณข้อความ mr,1 ฉัน = (พี่ ฉัน , esigi(H(Br ผม )), $\sigma$r,1 i ) ทำลายช่วงเวลาชั่วคราวของเขา รหัสลับ skr,1 i แล้วเผยแพร่สองข้อความ mr,1 ฉัน และ (SIGi(Qr−1), $\sigma$r,1 ฉัน) แยกกันแต่พร้อมกัน ก aเมื่อฉันเป็นผู้นำ SIGi(Qr−1) ยอมให้ผู้อื่นคำนวณ Qr = H(SIGi(Qr−1), r)

การขยายพันธุ์แบบคัดเลือก เพื่อย่นระยะเวลาการดำเนินการทั่วโลกของขั้นตอนที่ 1 และรอบทั้งหมดให้สั้นลง สิ่งสำคัญคือ (r, 1)- ข้อความถูกเผยแพร่แบบเลือกสรร นั่นคือสำหรับผู้ใช้ j ทุกคนในระบบ • สำหรับข้อความแรก (r, 1) ที่เขาเคยได้รับและยืนยันได้สำเร็จ ก ว่าข้อความนั้นมี บล็อกหรือเป็นเพียงข้อมูลประจำตัวและลายเซ็นของ Qr−1 ผู้เล่น j จะเผยแพร่ตามปกติ • สำหรับข้อความอื่นๆ (r, 1) ทั้งหมดที่ผู้เล่น j ได้รับและยืนยันได้สำเร็จ เขาจะเผยแพร่ เฉพาะในกรณีที่ค่า hash ของข้อมูลรับรองที่มีอยู่นั้นน้อยที่สุดในบรรดาค่า hash ของข้อมูลรับรองที่มีอยู่ในข้อความทั้งหมด (r, 1) ที่เขาได้รับและตรวจสอบได้สำเร็จ ไกล • อย่างไรก็ตาม ถ้า j ได้รับข้อความสองข้อความที่แตกต่างกันในรูปแบบ mr,1 ฉัน จากผู้เล่นคนเดียวกัน i,b he ละทิ้งอันที่สองไม่ว่าค่า hash ของข้อมูลประจำตัวของ i จะเป็นเท่าใด โปรดทราบว่าภายใต้การคัดเลือกเผยแพร่ จะมีประโยชน์ที่ผู้ที่มีศักยภาพเป็นผู้นำแต่ละคนจะเผยแพร่ของตน หนังสือรับรอง $\sigma$r,1 ฉัน แยกจากนาย 1 i :c ข้อความเล็กๆ เหล่านั้นเดินทางเร็วกว่าบล็อกแน่นอน การขยายพันธุ์นาย 1 อย่างทันท่วงที ฉัน โดยที่ข้อมูลประจำตัวที่มีอยู่มีค่า hash น้อยในขณะที่ ทำให้ค่าที่มีค่า hash มากหายไปอย่างรวดเร็ว กกล่าวคือ ลายเซ็นทั้งหมดถูกต้อง และหากอยู่ในแบบ นาย 1 i ทั้งบล็อกและ hash นั้นถูกต้อง —แม้ว่า j จะไม่ตรวจสอบว่า payset ที่รวมไว้นั้นสูงสุดสำหรับ i หรือไม่ bซึ่งหมายความว่าฉันเป็นอันตราย cเราขอขอบคุณ Georgios Vlachos ที่แนะนำสิ่งนี้ขั้นตอนที่ 2: ขั้นตอนแรกของ GC ของโปรโตคอลฉันทามติแบบให้คะแนน คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มขั้นตอนที่ 2 ของตัวเองของรอบ r ทันทีที่มี ใบรับรองr−1 • ผู้ใช้ i รอเป็นระยะเวลาสูงสุด t2 $\triangleq$แล + Λ ระหว่างรอผมก็ทำดังนี้ครับ 1. หลังจากรอเวลา 2แล เขาพบผู้ใช้ ëเช่นนั้น H($\sigma$r,1 มอร์) $\leq$H($\sigma$r,1 เจ ) สำหรับทุกคน หนังสือรับรอง$\sigma$r,1 เจ ซึ่งเป็นส่วนหนึ่งของข้อความที่ได้รับการตรวจสอบ (r, 1) เรียบร้อยแล้ว จนถึงตอนนี้ 2. ถ้า เขา มี ได้รับ ก บล็อก เบอร์-1, ซึ่ง ไม้ขีด ที่ hash ค่า H(Br−1) อยู่ใน CERT r−1,b และหากเขาได้รับจาก la ข้อความที่ถูกต้อง mr,1 ฎ = (นาย มอร์, ซิกล์(H(Br ̵)), $\sigma$r,1 ̵) c จากนั้นฉันก็หยุดรอและตั้งค่า v′ ฉัน $\triangleq$(H(Br ë), ë) 3. มิฉะนั้น เมื่อหมดเวลา t2 ฉันจะตั้งค่า v′ ฉัน $\triangleq$ $\bot$ 4. เมื่อค่าของ v′ ฉันตั้งค่าไว้แล้ว ฉันคำนวณ Qr−1 จาก CERT r−1 และตรวจสอบว่า ฉัน $\in$SV r,2 หรือไม่ 5. ถ้าฉัน $\in$SV r,2 ฉันจะคำนวณข้อความ mr,2 ฉัน $\triangleq$(ESIGi(วี′ ผม), $\sigma$r,2 i ) d ทำลายช่วงเวลาชั่วคราวของเขา รหัสลับ skr,2 ฉัน แล้วเผยแพร่นาย 2 ฉัน ไม่อย่างนั้นฉันก็หยุดโดยไม่เผยแพร่ อะไรก็ได้ โดยพื้นฐานแล้ว ผู้ใช้ i ตัดสินใจเป็นการส่วนตัวว่าผู้นำของรอบ r คือผู้ใช้ ë bแน่นอน ถ้า CERT r−1 ระบุว่า Br−1 = Br−1 ī แล้วฉันก็ "ได้รับ" Br−1 ทันทีที่เขามี ใบรับรองr−1 cอีกครั้ง ลายเซ็นของผู้เล่น ë และ hashes ได้รับการตรวจสอบเรียบร้อยแล้ว และชำระเงิน ริน Br ëเป็นชุดการจ่ายเงินที่ถูกต้องสำหรับ รอบ r —แม้ว่าฉันจะไม่ได้ตรวจสอบว่า PAY r หรือไม่ ̵ เป็นค่าสูงสุดสำหรับ ̃ หรือไม่ ถ้า Br tellประกอบด้วยชุดการจ่ายเงินที่ว่างเปล่า จริงๆ แล้วไม่จำเป็นต้องเห็น Br−1 ก่อนที่จะตรวจสอบว่า Br ่ถูกต้องหรือไม่ งข้อความคุณนาย2 ฉัน ส่งสัญญาณว่าผู้เล่น i พิจารณาองค์ประกอบแรกของ v′ ฉันเป็น hash ของบล็อกถัดไป หรือ ถือว่าบล็อกถัดไปว่างเปล่า

ขั้นตอนที่ 3: ขั้นตอนที่สองของ GC คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้นขั้นตอนที่ 3 ของตัวเองของรอบ r ทันทีที่เขามี ใบรับรองr−1 • ผู้ใช้ i รอเป็นระยะเวลาสูงสุด t3 $\triangleq$t2 + 2แล = 3แล + Λ ระหว่างรอฉันก็ทำหน้าที่เป็น ดังต่อไปนี้ 1. หากมีค่า v อยู่จนเขาได้รับข้อความที่ถูกต้อง mr,2 เป็นอย่างน้อย เจ ของ แบบฟอร์ม (ESIGj(v), $\sigma$r,2 j ) โดยไม่มีข้อขัดแย้งใด ๆ ก แล้วเขาก็หยุดรอและออกเดินทาง วี' = โวลต์ 2. มิฉะนั้น เมื่อหมดเวลา t3 เขาจะตั้งค่า v′ = $\bot$ 3. เมื่อตั้งค่า v′ ไว้แล้ว ฉันจะคำนวณ Qr−1 จาก CERT r−1 และตรวจสอบว่า ฉัน $\in$SV r,3 หรือไม่ 4. ถ้าฉัน $\in$SV r,3 ฉันจะคำนวณข้อความ mr,3 ฉัน $\triangleq$(ESIGi(v′), $\sigma$r,3 ผม ) ทำลายของเขา คีย์ลับชั่วคราว skr,3 ฉัน แล้วเผยแพร่นาย 3 ฉัน ไม่อย่างนั้นฉันก็หยุดโดยไม่มี เผยแพร่สิ่งใดๆ aนั่นคือ เขาไม่ได้รับข้อความที่ถูกต้องสองข้อความที่มี ESIGj(v) และ ESIGj(ˆv) ที่แตกต่างกันตามลำดับ จากผู้เล่นเจ ที่นี่และต่อจากนี้ ยกเว้นในเงื่อนไขการสิ้นสุดที่กำหนดไว้ในภายหลัง เมื่อใดก็ตามที่เป็นผู้เล่นที่ซื่อสัตย์ ต้องการข้อความในรูปแบบที่กำหนด ข้อความที่ขัดแย้งกันจะไม่นับหรือถือว่าถูกต้อง

ขั้นตอนที่ 4: ผลลัพธ์ของ GC และขั้นตอนแรกของ BBA⋆ คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้นขั้นตอนที่ 4 ของตัวเองของรอบ r ทันทีที่เขา เสร็จสิ้นขั้นตอนที่ 3 ของเขาเอง • ผู้ใช้ ฉันรอเป็นเวลาสูงสุด 2แล.a ขณะรอ ฉันดำเนินการดังนี้ 1. เขาคำนวณ vi และ gi ซึ่งเป็นผลลัพธ์ของ GC ดังนี้ (ก) หากมีค่า v′ ̸= $\bot$ แสดงว่าเขาได้รับข้อความที่ถูกต้องอย่างน้อย นาย 3 เจ = (ESIGj(v′), $\sigma$r,3 j ) จากนั้นเขาก็หยุดรอและตั้งค่า vi $\triangleq$v′ และ gi $\triangleq$2 (b) หากเขาได้รับข้อความที่ถูกต้องอย่างน้อย mr,3 เจ = (ESIGj($\bot$), $\sigma$r,3 j ) จากนั้นเขาก็หยุด รอและตั้งค่า vi $\triangleq$ $\bot$และ gi $\triangleq$0.b (ค) มิฉะนั้น เมื่อเวลา 2แล หมดลง ถ้ามีค่า v′ ̸= $\bot$เช่นนั้น ได้รับอย่างน้อย ⌈tH 2 ⌉ข้อความที่ถูกต้อง mr,j เจ = (ESIGj(v′), $\sigma$r,3 j ) จากนั้นเขาก็ตั้งค่า vi $\triangleq$v′ และ gi $\triangleq$1.c (d) มิฉะนั้น เมื่อเวลา 2แล หมดลง เขาจะกำหนดให้ vi $\triangleq$ $\bot$ และ gi $\triangleq$0 2. เมื่อตั้งค่า vi และ gi แล้ว ฉันจะคำนวณ bi ซึ่งเป็นอินพุตของ BBA⋆ ดังนี้: bi $\triangleq$0 ถ้า gi = 2 และ bi $\triangleq$1 มิฉะนั้น 3. ฉันคำนวณ Qr−1 จาก CERT r−1 และตรวจสอบว่า i $\in$SV r,4 หรือไม่ 4. ถ้า i $\in$SV r,4, เขาคำนวณข้อความ mr,4 ฉัน $\triangleq$(ESIGi(ไบ), ESIGi(vi), $\sigma$r,4 ผม ) ทำลายของเขา คีย์ลับชั่วคราว skr,4 ฉัน และเผยแพร่นาย 4 ฉัน ไม่อย่างนั้นฉันก็หยุดโดยไม่เผยแพร่ อะไรก็ได้ ดังนั้น ระยะเวลารวมสูงสุดนับตั้งแต่ฉันเริ่มขั้นตอนที่ 1 ของรอบ r อาจเป็น t4 $\triangleq$t3 + 2แล = 5แล + Λ bไม่ว่าขั้นตอน (b) จะอยู่ในโปรโตคอลหรือไม่ก็ตามก็ไม่ส่งผลต่อความถูกต้อง อย่างไรก็ตาม การมีอยู่ของขั้นตอน (b) อนุญาตให้ขั้นตอนที่ 4 สิ้นสุดในเวลาน้อยกว่า 2′ หากผู้ตรวจสอบขั้นตอนที่ 3 จำนวนมากเพียงพอได้ "ลงนาม $\bot$" สามารถพิสูจน์ได้ว่า v′ ในกรณีนี้ ถ้ามี จะต้องไม่ซ้ำกันขั้นตอนที่ s, 5 $\leq$s $\leq$m + 2, s −2 ≡0 mod 3: ขั้นตอน Coin-Fixed-To-0 ของ BBA⋆ คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้น Step s ของตัวเองของรอบ r ทันทีที่เขา เสร็จสิ้นขั้นตอน s −1 ของเขาเอง • ผู้ใช้ ฉันรอเป็นเวลาสูงสุด 2แล.a ขณะรอ ฉันดำเนินการดังนี้ – เงื่อนไขการสิ้นสุด 0: หาก ณ จุดใดมีสตริง v ̸= $\bot$ และขั้นตอน s′ เช่นนั้น (a) 5 $\leq$s′ $\leq$s, s′ −2 ≡0 mod 3 —นั่นคือ ขั้นตอน s′ เป็นขั้นตอน Coin-Fixed-To-0 (b) ฉันได้รับข้อความที่ถูกต้องอย่างน้อย mr,s′−1 เจ = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 เจ )ข และ (c) ฉันได้รับข้อความที่ถูกต้อง (SIGj(Qr−1), $\sigma$r,1 j ) โดยที่ j เป็นอันที่สอง องค์ประกอบของวี จากนั้นฉันก็หยุดรอและสิ้นสุดการดำเนินการตามขั้นตอน s ของเขาเอง (และอันที่จริงคือรอบ r) ทันทีโดยไม่ต้องเผยแพร่สิ่งใด ๆ ในฐานะผู้ตรวจสอบ (r, s) กำหนดให้ H(Br) เป็นลำดับแรก องค์ประกอบของวี; และกำหนดให้ CERT r ของเขาเองเป็นชุดของข้อความ mr,s′−1 เจ ของขั้นตอน (b) ร่วมกับ (SIGj(Qr−1), $\sigma$r,1 เจ ).ค – เงื่อนไขการสิ้นสุดที่ 1: หาก ณ จุดใดมีขั้นตอนเช่นนั้น (a’) 6 $\leq$s′ $\leq$s, s′ −2 ≡1 mod 3 —นั่นคือ Step s′ เป็นขั้นตอน Coin-Fixed-To-1 และ (b’) ฉันได้รับข้อความที่ถูกต้องอย่างน้อย mr,s′−1 เจ = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 เจ )ง จากนั้น ฉันหยุดรอและสิ้นสุดการดำเนินการขั้นตอน s ของเขาเอง (และในความเป็นจริงของรอบ r) อย่างถูกต้อง ออกไปโดยไม่เผยแพร่สิ่งใด ๆ ในฐานะผู้ตรวจสอบ (r, s) เซต Br = Br ; และกำหนดของเขาเอง CERT r เป็นชุดของข้อความ mr,s′−1 เจ ของขั้นตอนย่อย (b’) – ถ้า ที่ ใด ๆ จุด เขา มี ได้รับ ที่ น้อยที่สุด ที ถูกต้อง นายส−1 เจ ของ ของ ที่ แบบฟอร์ม (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 เจ ) จากนั้นเขาก็หยุดรอและตั้งค่า bi $\triangleq$1 – ถ้า ที่ ใด ๆ จุด เขา มี ได้รับ ที่ น้อยที่สุด ที ถูกต้อง นายส−1 เจ ของ ของ ที่ แบบฟอร์ม (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 เจ )แต่ตนไม่เห็นด้วยกับข้อvแล้วเขาก็หยุด รอและตั้งค่า bi $\triangleq$0 – มิฉะนั้น เมื่อเวลา 2แล หมดลง ฉันจะตั้งค่า bi $\triangleq$0 – เมื่อตั้งค่า bi แล้ว ฉันจะคำนวณ Qr−1 จาก CERT r−1 และตรวจสอบว่า ฉัน $\in$SV r,s – ถ้าฉัน $\in$SV r,s ฉันจะคำนวณข้อความ mr,s ฉัน $\triangleq$(ESIGi(ไบ), ESIGi(vi), $\sigma$r,s i ) โดยที่ vi เป็น ค่าที่เขาคำนวณได้ในขั้นตอนที่ 4 จะทำลายคีย์ลับชั่วคราวของเขา skr,s ฉัน แล้ว เผยแพร่นายส ฉัน ไม่อย่างนั้นฉันก็หยุดโดยไม่เผยแพร่อะไรเลย ดังนั้น ระยะเวลารวมสูงสุดตั้งแต่ฉันเริ่มขั้นตอนที่ 1 ของรอบ r อาจเป็น ts $\triangleq$ts−1 + 2แล = (2 วินาที −3)แล + Λ bข้อความดังกล่าวจากผู้เล่น j จะถูกนับแม้ว่าผู้เล่น i จะได้รับข้อความจากการลงนาม j สำหรับ 1 ก็ตาม สิ่งที่คล้ายกันสำหรับเงื่อนไขการสิ้นสุด 1 ดังที่แสดงในการวิเคราะห์ นี่คือเพื่อให้แน่ใจว่าผู้ใช้ที่ซื่อสัตย์ทุกคนทราบ CERT r ภายในเวลา lam จากกัน cUser ตอนนี้ฉันรู้จัก H(Br) และการตกแต่งรอบของเขาเองแล้ว เขาแค่ต้องรอจนกว่าบล็อก Br จริง ๆ จะมาถึง แพร่กระจายไปยังเขาซึ่งอาจต้องใช้เวลาเพิ่มเติมอีกระยะหนึ่ง เขายังคงช่วยเผยแพร่ข้อความในฐานะผู้ใช้ทั่วไป แต่ไม่ได้เริ่มต้นการแพร่กระจายใด ๆ ในฐานะผู้ตรวจสอบ (r, s) โดยเฉพาะเขาได้ช่วยเผยแพร่ข้อความทั้งหมดมาใน CERT r ของเขา ซึ่งเพียงพอสำหรับโปรโตคอลของเรา โปรดทราบว่าเขาควรตั้งค่า bi $\triangleq$0 สำหรับโปรโตคอล BA ไบนารีด้วย แต่ bi ไม่จำเป็นในกรณีนี้อยู่แล้ว สิ่งที่คล้ายกันสำหรับคำแนะนำทั้งหมดในอนาคต dในกรณีนี้ มันไม่สำคัญว่า vj คืออะไร 65ขั้นตอนที่ s, 6 $\leq$s $\leq$m + 2, s −2 ≡1 mod 3: ขั้นตอนแบบ Coin-Fixed-To-1 ของ BBA⋆ คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้น Step s ของตัวเองของรอบ r ทันทีที่เขา เสร็จสิ้นขั้นตอน s −1 ของเขาเอง • ผู้ใช้ฉันรอเป็นระยะเวลาสูงสุด 2 $\gamma$ ระหว่างรอผมก็ทำดังนี้ครับ – เงื่อนไขการสิ้นสุด 0: คำแนะนำเดียวกันกับในขั้นตอน Coin-Fixed-To-0 – เงื่อนไขการสิ้นสุด 1: คำแนะนำเดียวกันกับในขั้นตอน Coin-Fixed-To-0 – ถ้า ที่ ใด ๆ จุด เขา มี ได้รับ ที่ น้อยที่สุด ที ถูกต้อง นายส−1 เจ ของ ของ ที่ แบบฟอร์ม (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 เจ ) จากนั้นเขาก็หยุดรอและตั้งค่า bi $\triangleq$0.a – มิฉะนั้น เมื่อเวลา 2แล หมดลง ฉันจะตั้งค่า bi $\triangleq$1 – เมื่อตั้งค่า bi แล้ว ฉันจะคำนวณ Qr−1 จาก CERT r−1 และตรวจสอบว่า ฉัน $\in$SV r,s – ถ้าฉัน $\in$SV r,s ฉันจะคำนวณข้อความ mr,s ฉัน $\triangleq$(ESIGi(ไบ), ESIGi(vi), $\sigma$r,s i ) โดยที่ vi เป็น ค่าที่เขาคำนวณได้ในขั้นตอนที่ 4 จะทำลายคีย์ลับชั่วคราวของเขา skr,s ฉัน แล้ว เผยแพร่นายส ฉัน ไม่อย่างนั้นฉันก็หยุดโดยไม่เผยแพร่อะไรเลย โปรดทราบว่าการรับข้อความที่ถูกต้อง (r, s −1) การลงนามสำหรับ 1 จะหมายถึงการสิ้นสุดเงื่อนไข 1 ขั้นตอนที่ s, 7 $\leq$s $\leq$m + 2, s −2 ≡2 mod 3: ขั้นตอนการพลิกเหรียญอย่างแท้จริงของ BBA⋆ คำแนะนำสำหรับผู้ใช้ทุกคน i $\in$PKr−k: ผู้ใช้ i เริ่มต้น Step s ของตัวเองของรอบ r ทันทีที่เขา เสร็จสิ้นขั้นตอนของเขาเอง s −1 • ผู้ใช้ฉันรอเป็นระยะเวลาสูงสุด 2 $\gamma$ ระหว่างรอผมก็ทำดังนี้ครับ – เงื่อนไขการสิ้นสุด 0: คำแนะนำเดียวกันกับในขั้นตอน Coin-Fixed-To-0 – เงื่อนไขการสิ้นสุด 1: คำแนะนำเดียวกันกับในขั้นตอน Coin-Fixed-To-0 – ถ้า ที่ ใด ๆ จุด เขา มี ได้รับ ที่ น้อยที่สุด ที ถูกต้อง นายส−1 เจ ของ ของ ที่ แบบฟอร์ม (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 เจ ) จากนั้นเขาก็หยุดรอและตั้งค่า bi $\triangleq$0 – ถ้า ที่ ใด ๆ จุด เขา มี ได้รับ ที่ น้อยที่สุด ที ถูกต้อง นายส−1 เจ ของ ของ ที่ แบบฟอร์ม (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 เจ ) จากนั้นเขาก็หยุดรอและตั้งค่า bi $\triangleq$1 – มิฉะนั้น เมื่อเวลา 2แล หมดลง ให้ SV r,s−1 ฉัน เป็นเซตของ (r, s −1) - ผู้ตรวจสอบจาก ซึ่งเขาได้รับข้อความที่ถูกต้อง Mr,s−1 เจ ฉันตั้งค่า bi $\triangleq$lsb(minj$\in$SV r,s−1 ฉัน H($\sigma$r,s−1 เจ )). – เมื่อตั้งค่า bi แล้ว ฉันจะคำนวณ Qr−1 จาก CERT r−1 และตรวจสอบว่า ฉัน $\in$SV r,s – ถ้าฉัน $\in$SV r,s ฉันจะคำนวณข้อความ mr,s ฉัน $\triangleq$(ESIGi(ไบ), ESIGi(vi), $\sigma$r,s i ) โดยที่ vi เป็น ค่าที่เขาคำนวณได้ในขั้นตอนที่ 4 จะทำลายคีย์ลับชั่วคราวของเขา skr,s ฉัน แล้ว เผยแพร่นายส ฉัน ไม่อย่างนั้นฉันก็หยุดโดยไม่เผยแพร่อะไรเลย หมายเหตุ. ตามหลักการ ตามที่พิจารณาในหัวข้อย่อย 6.2 โปรโตคอลอาจใช้หลายรายการตามอำเภอใจ ขั้นตอนในบางรอบ หากสิ่งนี้เกิดขึ้น ตามที่กล่าวไว้ ผู้ใช้ i $\in$SV r,s ที่มี s > $\mu$ ได้หมดลงแล้ว

ที่เก็บคีย์ชั่วคราวที่สร้างไว้ล่วงหน้าของเขา และต้องตรวจสอบสิทธิ์ (r, s) ข้อความของเขา ฉัน โดย “น้ำตก” ของกุญแจชั่วคราว ดังนั้นข้อความของฉันจึงยาวขึ้นเล็กน้อยและส่งสัญญาณได้นานขึ้น ข้อความจะใช้เวลาอีกสักหน่อย ดังนั้น หลังจากหลายขั้นตอนของรอบที่กำหนด มูลค่าของ พารามิเตอร์ แล จะเพิ่มขึ้นเล็กน้อยโดยอัตโนมัติ (แต่มันจะกลับคืนสู่แบบเดิม lam อีกครั้งหนึ่ง บล็อกถูกสร้างขึ้นและเริ่มรอบใหม่) การสร้าง Round-r Block ขึ้นมาใหม่โดยผู้ที่ไม่ใช่ผู้ตรวจสอบ คำแนะนำสำหรับผู้ใช้ทุกคน i ในระบบ: ผู้ใช้ i เริ่มรอบ r ของตนเองทันทีที่มี ใบรับรองr−1 • ฉันปฏิบัติตามคำแนะนำของแต่ละขั้นตอนของระเบียบการ มีส่วนร่วมในการเผยแพร่ทั้งหมด ข้อความ แต่ไม่ได้เริ่มต้นการแพร่กระจายใด ๆ ในขั้นตอนหนึ่งหากเขาไม่ใช่ผู้ยืนยันในนั้น • ฉันจบรอบของตัวเองด้วยการเข้าสู่เงื่อนไขการสิ้นสุด 0 หรือเงื่อนไขการสิ้นสุด 1 ในบางข้อ ขั้นตอนด้วย CERT r ที่สอดคล้องกัน • จากนั้น เขาเริ่มรอบ r + 1 ขณะที่รอรับบล็อก Br จริง (เว้นแต่ เขาได้รับมันแล้ว) ซึ่ง hash H(Br) ถูกตรึงไว้โดย CERT r อีกครั้งหาก CERT r ระบุว่า Br = Br ǫ ฉันรู้จัก Br ทันทีที่เขามี CERT r 6.4 การวิเคราะห์ Algorand ′ 2 การวิเคราะห์ของ Algorand ′ 2 ได้มาอย่างง่ายดายจาก Algorand ′ 1. โดยพื้นฐานแล้ว ใน Algorand ′ 2 ด้วย ความน่าจะเป็นอย่างล้นหลาม (a) ผู้ใช้ที่ซื่อสัตย์ทุกคนเห็นด้วยกับบล็อกเดียวกัน Br; ผู้นำคนใหม่ บล็อกจะซื่อสัตย์กับความน่าจะเป็นอย่างน้อย ph = h2(1 + h −h2)

오프라인 정직한 사용자 처리

우리가 말했듯이, 정직한 사용자는 온라인 접속을 포함하여 자신이 규정한 모든 지침을 따릅니다. 그리고 프로토콜을 실행합니다. 이는 Algorand에서 큰 부담이 되지 않습니다. 정직한 사용자에게 필요한 대역폭은 매우 적당합니다. 하지만 Algorand은(는) 정직한 사용자가 오프라인 상태가 허용되는 두 가지 모델에서 작동하도록 쉽게 수정될 수 있습니다. 큰 숫자. 이 두 가지 모델을 논의하기 전에, 정직한 플레이어의 비율이 95%인 경우에도 Algorand은 h = 80%라고 가정하고 모든 매개변수를 설정하여 계속 실행할 수 있습니다. 따라서 Algorand은 정직한 플레이어의 최대 절반이더라도 계속해서 제대로 작동합니다. 오프라인을 선택했습니다(실제로 '결근'의 주요 사례). 사실, 어느 시점에서든 적어도 온라인 플레이어 중 80%는 정직합니다. 지속적인 참여에서 나태한 정직함으로 보시다시피 Algorand ′ 1 및 Algorand ' 2 선택 되돌아보기 매개변수 k. 이제 k를 적절하게 크게 선택하면 다음을 제거할 수 있음을 보여드리겠습니다. 지속적인 참여 요구 사항. 이 요구 사항은 다음과 같은 중요한 속성을 보장합니다. 기본 BA 프로토콜 BBA⋆는 적절하고 정직한 다수를 가지고 있습니다. 이제 게으른 방법을 설명하겠습니다. 정직함은 이러한 특성을 만족시킬 수 있는 대안적이고 매력적인 방법을 제공합니다.

(1) 사용자 i가 자신이 규정한 모든 지침을 따른다면 게으르지만 정직하다는 점을 기억하세요. 그는 프로토콜에 참여하라는 요청을 받고 (2) 프로토콜에만 참여하도록 요청받습니다. 매우 드물게(예: 일주일에 한 번) 적절한 사전 통지가 있고 잠재적으로 상당한 금액을 받을 수 있습니다. 그가 참여하면 보상을 받습니다. Algorand이 그러한 플레이어와 함께 작업할 수 있도록 하려면 "검증자를 선택하는 것"으로 충분합니다. 훨씬 이전 라운드에 이미 시스템에 있었던 사용자들 사이에서 현재 라운드.” 실제로, 그것을 기억하십시오 라운드 r에 대한 검증자는 라운드 r -k의 사용자 중에서 선택되며 선택은 다음을 기반으로 이루어집니다. 수량 Qr−1에 대해. 일주일은 대략 10,000분으로 구성되며, 라운드는 대략(예: 평균) 5분 정도 걸리므로 일주일에 대략 2,000라운드가 진행됩니다. 가정하다 어떤 시점에서 사용자는 자신의 시간을 계획하고 자신이 시간을 보낼지 여부를 알고 싶습니다. 다음 주에 검증인이 올 것입니다. 이제 프로토콜은 라운드 r에 대한 검증자를 다음 사용자 중에서 선택합니다. r −k −2,000을 라운드하고 선택은 Qr−2,001을 기반으로 합니다. r 라운드에서 나는 이미 알고 있는 선수 값 Qr−2,000, . . . , Qr−1, 실제로는 blockchain의 일부이기 때문입니다. 그런 다음 각 M에 대해 1과 2,000 사이에서 i는 라운드 r + M의 단계 s에서 검증자입니다. .H SIGi r + M, s, Qr+M−2,001 $\leq$p . 따라서 그가 다음 2,000 라운드 동안 검증자로 활동하도록 호출될 것인지 확인하려면 다음을 수행해야 합니다. $\sigma$M,s를 계산하다 나 = SIGi r + M, s, Qr+M−2,001 M = 1 ~ 2,000이고 각 단계 s에 대해 확인합니다. .H($\sigma$M,s 나 ) 그 중 일부는 $\leq$p입니다. 디지털 서명을 계산하는 데 밀리초가 걸린다면 이 전체 작업을 계산하는 데 약 1분이 소요됩니다. 검증인으로 선정되지 않은 경우 이 라운드 중 어느 라운드에서든 그는 "정직한 양심"을 가지고 오프라인으로 갈 수 있습니다. 만약 그가 지속적으로 참여했다면 그는 어쨌든 다음 2,000 라운드 동안 본질적으로 0보를 걸었을 것입니다! 대신에 그는 이 라운드 중 하나에서 검증자로 선택됩니다. 그런 다음 그는 자신을 준비합니다(예: 모든 것을 얻음으로써) 필요한 정보) 적절한 라운드에서 정직한 검증자 역할을 합니다. 그렇게 행동함으로써, 게으르지만 정직한 잠재적 검증자는 전파에 참여하는 것을 놓칠 뿐입니다. 메시지의. 그러나 메시지 전파는 일반적으로 강력합니다. 또한, 지급인과 수취인은 최근 전파된 결제는 온라인에서 결제가 어떻게 진행되는지 확인할 수 있을 것으로 예상됩니다. 따라서 그들은 정직하다면 메시지 전파에 참여할 것입니다.

การจัดการผู้ใช้ Oﬄine ที่ซื่อสัตย์

ดังที่เราได้กล่าวไปแล้ว ผู้ใช้ที่ซื่อสัตย์จะปฏิบัติตามคำแนะนำที่กำหนดไว้ทั้งหมด ซึ่งรวมถึงคำแนะนำในการออนไลน์ด้วย และเรียกใช้โปรโตคอล นี่ไม่ใช่ภาระสำคัญใน Algorand เนื่องจากการคำนวณและ แบนด์วิธที่ต้องการจากผู้ใช้ที่ซื่อสัตย์นั้นค่อนข้างเรียบง่าย แต่ให้เราชี้ให้เห็นว่า Algorand สามารถทำได้ ปรับเปลี่ยนได้ง่ายเพื่อให้ทำงานได้เป็น 2 รูปแบบ โดยที่ผู้ใช้จริงได้รับอนุญาตให้เข้าใช้งาน ตัวเลขที่ดี ก่อนที่จะพูดถึงทั้งสองรุ่นนี้ ให้เราชี้ให้เห็นว่า หากเปอร์เซ็นต์ของผู้เล่นที่ซื่อสัตย์ คือ 95%, Algorand ยังคงสามารถรันได้โดยตั้งค่าพารามิเตอร์ทั้งหมดโดยสมมติว่า h = 80% แทน ดังนั้น Algorand จะยังคงทำงานได้อย่างถูกต้องต่อไป แม้ว่าจะเป็นผู้เล่นที่ซื่อสัตย์เกือบครึ่งหนึ่งก็ตาม เลือกที่จะไป (อันที่จริงเป็นกรณีสำคัญของ "การขาดงาน") ที่จริงแล้ว ณ จุดใดเวลาหนึ่งอย่างน้อยที่สุด 80% ของผู้เล่นออนไลน์จะซื่อสัตย์ จากการมีส่วนร่วมอย่างต่อเนื่องสู่ความซื่อสัตย์ที่ขี้เกียจ อย่างที่เราเห็น Algorand ′ 1 และ Algorand ′ 2 เลือก พารามิเตอร์การมองย้อนกลับ k ตอนนี้ให้เราแสดงให้เห็นว่าการเลือก k ขนาดใหญ่อย่างถูกต้องจะทำให้สามารถลบออกได้ ข้อกำหนดการมีส่วนร่วมอย่างต่อเนื่อง ข้อกำหนดนี้ทำให้มั่นใจได้ว่ามีคุณสมบัติที่สำคัญ: กล่าวคือ ว่าโปรโตคอล BA พื้นฐาน BBA ⋆มีเสียงข้างมากที่ซื่อสัตย์อย่างเหมาะสม ให้เราอธิบายว่าขี้เกียจแค่ไหน ความซื่อสัตย์เป็นอีกทางเลือกหนึ่งและน่าดึงดูดใจในการสร้างความพึงพอใจให้กับสถานที่ให้บริการแห่งนี้

โปรดจำไว้ว่าผู้ใช้ ฉันขี้เกียจแต่ซื่อสัตย์ ถ้า (1) เขาปฏิบัติตามคำแนะนำทั้งหมดที่กำหนดไว้ เมื่อใด เขาถูกขอให้เข้าร่วมในระเบียบการ และ (2) เขาถูกขอให้เข้าร่วมในระเบียบการเท่านั้น น้อยมาก —เช่น สัปดาห์ละครั้ง— โดยต้องแจ้งให้ทราบล่วงหน้าอย่างเหมาะสม และอาจได้รับอย่างมีนัยสำคัญ รางวัลเมื่อเขาเข้าร่วม เพื่อให้ Algorand ทำงานร่วมกับผู้เล่นดังกล่าวได้ ก็เพียงพอที่จะ "เลือกผู้ตรวจสอบของ รอบปัจจุบันในหมู่ผู้ใช้ที่อยู่ในระบบในรอบก่อนหน้านี้มาก” จริงสิ จำไว้เลย ผู้ตรวจสอบสำหรับรอบ r จะถูกเลือกจากผู้ใช้ในรอบ r −k และการเลือกจะทำขึ้นตาม กับปริมาณ Qr−1 โปรดทราบว่าหนึ่งสัปดาห์ประกอบด้วยประมาณ 10,000 นาที และสมมติว่า a รอบใช้เวลาประมาณ (เช่น โดยเฉลี่ย) 5 นาที ดังนั้นในหนึ่งสัปดาห์จึงมีประมาณ 2,000 รอบ สมมติ ในบางช่วงเวลา ผู้ใช้ฉันต้องการวางแผนเวลาของเขาและรู้ว่าเขาจะเป็นอย่างไร ผู้ตรวจสอบในสัปดาห์หน้า โปรโตคอลจะเลือกผู้ตรวจสอบสำหรับรอบ r จากผู้ใช้ใน รอบ r −k −2, 000 และการเลือกจะขึ้นอยู่กับ Qr−2,001 ที่รอบ r ผู้เล่นที่ฉันรู้จักอยู่แล้ว ค่า Qr−2,000, . . , Qr−1 เนื่องจากจริงๆ แล้วพวกมันเป็นส่วนหนึ่งของ blockchain แล้วสำหรับเอ็มแต่ละคน ระหว่าง 1 ถึง 2,000 i เป็นตัวยืนยันในขั้นตอน s ของรอบ r + M ถ้าหาก .H ซิจี r + M, s, Qr+M−2,001 $\leq$p ดังนั้นเพื่อจะตรวจสอบว่าจะถูกเรียกมาเป็นผู้ตรวจสอบในอีก 2,000 รอบข้างหน้าหรือไม่ ผมจะต้อง คำนวณ$\sigma$M,s ฉัน = เอสไอจี r + M, s, Qr+M−2,001 สำหรับ M = 1 ถึง 2,000 และสำหรับแต่ละขั้นตอน s และตรวจสอบ ไม่ว่าจะเป็น .H($\sigma$M,s ฉัน ) $\leq$p สำหรับบางส่วน หากการประมวลผลลายเซ็นดิจิทัลใช้เวลาหนึ่งมิลลิวินาที การดำเนินการทั้งหมดนี้จะใช้เวลาคำนวณประมาณ 1 นาที ถ้าเขาไม่เลือกเป็นผู้ตรวจสอบ ในรอบใดรอบหนึ่งเขาก็สามารถไปแบบออฟไลน์ด้วย "มโนธรรมที่ซื่อสัตย์" มีเขาอย่างต่อเนื่อง เข้าร่วม เขาจะต้องเดิน 0 ก้าวใน 2,000 รอบถัดไปอยู่แล้ว! ถ้าแทน เขาได้รับเลือกให้เป็นผู้ตรวจสอบในรอบใดรอบหนึ่ง จากนั้นเขาก็เตรียมตัวเองให้พร้อม (เช่น โดยการได้รับทั้งหมด ข้อมูลที่จำเป็น) เพื่อทำหน้าที่เป็นผู้ตรวจสอบที่ซื่อสัตย์ในรอบที่เหมาะสม ด้วยการกระทำเช่นนั้น ผู้ตรวจสอบศักยภาพที่เกียจคร้านแต่ซื่อสัตย์ ฉันแค่พลาดการมีส่วนร่วมในการเผยแพร่เท่านั้น ของข้อความ แต่โดยทั่วไปแล้วการเผยแพร่ข้อความจะมีประสิทธิภาพ อีกทั้งผู้ชำระเงินและผู้รับเงินของ การชำระเงินที่เผยแพร่เมื่อเร็วๆ นี้คาดว่าจะออนไลน์เพื่อดูว่าเกิดอะไรขึ้นกับการชำระเงินของพวกเขา และพวกเขาจะมีส่วนร่วมในการเผยแพร่ข้อความหากพวกเขาซื่อสัตย์

프로토콜 Algorand ' 정직한 다수의 돈으로

이제 마지막으로 정직한 다수의 사용자 가정을 훨씬 더 많은 가정으로 대체하는 방법을 보여줍니다. 의미 있는 정직한 다수의 돈 가정. 기본 아이디어는 (proof-of-stake 맛)입니다. “다음에 비례하는 가중치(즉, 결정력)를 사용하여 SV r,s에 속하는 사용자 i $\in$PKr−k를 선택합니다. i가 소유한 돈의 양.”24 HMM 가정에 따라 해당 금액을 r −k 라운드에 보유해야 하는지 여부를 선택할 수 있습니다. 또는 라운드 r(시작)에. 지속적인 참여를 꺼리지 않는다는 가정 하에 우리는 다음을 선택합니다. 후자의 선택. (지속적인 참여를 없애기 위해 우리는 전자의 선택을 선택했을 것입니다. r −k −2,000 라운드에 소유한 화폐의 양에 대해 말하는 것이 더 좋습니다.) 이 아이디어를 구현하는 방법에는 여러 가지가 있습니다. 가장 간단한 방법은 각 키를 홀드하는 것입니다. 최대 1 단위의 돈을 선택하고 a(r)이 되도록 PKr−k에서 무작위로 n명의 사용자 i를 선택합니다. 나 = 1. 24지속적인 참여를 대체하려면 PKr−k−2,000이라고 말해야 합니다. 단순화를 위해 요구할 수 있으므로 어쨌든 지속적인 참여를 위해 우리는 이전과 같이 PKr-k를 사용하여 하나의 매개변수를 덜 전달합니다.

다음으로 가장 간단한 구현 다음으로 간단한 구현은 각 공개 키가 최대 금액을 소유하도록 요구하는 것입니다. 어떤 고정된 M에 대한 화폐 M입니다. 가치 M은 총 화폐 금액에 비해 충분히 작습니다. 키가 둘 이상의 검증자 세트에 속할 확률이 k 라운드를 진행하는 것은 무시할 수 있습니다. 그런 다음, 금액 a(r)을 소유한 키 i $\in$PKr−k 나 라운드 r에서 다음과 같은 경우 SV r,s에 속하도록 선택됩니다. .H SIGi r, s, Qr−1 $\leq$p $\cdot$ a(r) 나 엠 . 그리고 모든 수익은 이전과 동일합니다. 더욱 복잡한 구현 마지막 구현에서는 "시스템의 부유한 참가자가 많은 키를 소유하도록 강요했습니다". 아래에 설명된 대체 구현은 상태 개념을 일반화하고 다음을 고려합니다. 각 사용자 i는 K + 1개의 복사본(i, v)으로 구성되며, 각 복사본은 독립적으로 검증자로 선택됩니다. 자신의 임시 키를 소유하게 됩니다(pkr,s 나,v,skr,s i,v) 라운드 r의 단계 s에서. K 값은 다음과 같습니다. 금액에 따라 a(r) 나 라운드 r에서 i가 소유하고 있습니다. 이제 그러한 시스템이 어떻게 작동하는지 더 자세히 살펴보겠습니다. 사본 수 n을 각 검증자 세트의 목표 예상 카디널리티로 설정하고 a(r)을 다음과 같이 설정합니다. 나 라운드 r에서 사용자 i가 소유한 금액이 됩니다. Ar을 소유한 총 화폐량이라고 하자. 라운드 r에서 PKr-k의 사용자에 의해, 즉, 아르 = X i$\in$P Kr−k a(r) 나. i가 PKr-k의 사용자라면 i의 복사본은 (i, 1), . . . , (i, K + 1), 여기서 케이 = $ n $\cdot$ a(r) 나 아칸소 % . 예. n = 1,000, Ar = 109, a(r)이라고 가정합니다. 나 = 370만. 그런 다음, 케이 = 103 $\cdot$ (3.7 $\cdot$ 106) 109 = ⌊3.7⌋= 3 . 검증자 및 자격 증명 나는 K + 1 복사본을 가진 PKr-k의 사용자라고 가정합니다. 각 v = 1에 대해 . . . , K, 복사본(i, v)은 자동으로 SV r,s에 속합니다. 즉, 나의 자격 증명은 $\sigma$r,s i,v $\triangleq$SIGi((i, v), r, s, Qr−1)이지만 해당 조건은 .H($\sigma$r,s)가 됩니다. i,v) $\leq$1, 즉 항상 사실입니다. 복사(i, K + 1)의 경우 라운드 r의 각 단계 s에 대해 i는 다음을 확인합니다. .H SIGi (i, K + 1), r, s, Qr−1 $\leq$a(r) 나 엔 Ar-K.

그렇다면 사본 (i, K + 1)은 SV r,s에 속합니다. 그것을 증명하기 위해 자격 증명을 전파합니다. $\sigma$r,1 i,K+1 = SIGi (i, K + 1), r, s, Qr−1 . 예. 이전 예에서와 같이 n = 1K, a(r) 나 = 3.7M, Ar = 1B, i는 4입니다. 복사본: (i, 1), . . . , (i, 4). 그런 다음 처음 3개의 복사본은 자동으로 SV r,s에 속합니다. 4번째의 경우, 개념적으로 Algorand '은 앞면이 나올 확률이 0.7인 편향된 동전을 독립적으로 굴립니다. 복사 (i, 4)는 동전 던지기가 앞면인 경우에만 선택됩니다. (물론 이 편향된 동전 던지기는 hashing, 서명 및 비교를 통해 구현됩니다. 나는 그의 결과를 증명할 수 있도록 이 논문에서 모든 작업을 수행했습니다.) 평소대로 사업 검증자를 선택하는 방법과 자격 증명을 어떻게 지정하는지 설명했습니다. 라운드 r의 각 단계에서 계산되므로 라운드 실행은 이미 설명한 것과 유사합니다.

พิธีสาร Algorand ′ ด้วยเงินส่วนใหญ่ที่ซื่อสัตย์

ในที่สุดเราก็แสดงวิธีแทนที่สมมติฐานผู้ใช้ส่วนใหญ่ที่ซื่อสัตย์ด้วยข้อสันนิษฐานอื่นๆ อีกมากมาย สมมติฐานเงินส่วนใหญ่ที่ซื่อสัตย์ที่มีความหมาย แนวคิดพื้นฐานคือ (ใน proof-of-stake รสชาติ) “เพื่อเลือกผู้ใช้ i $\in$PKr−k ให้เป็นของ SV r,s โดยมีน้ำหนัก (เช่น อำนาจการตัดสินใจ) เป็นสัดส่วนกับ จำนวนเงินที่ i เป็นเจ้าของ”24 ตามสมมติฐาน HMM ของเรา เราสามารถเลือกได้ว่าจำนวนนั้นควรเป็นเจ้าของที่รอบ r −k หรือไม่ หรือที่ (จุดเริ่มต้นของ) รอบ r สมมติว่าเราไม่รังเกียจที่จะมีส่วนร่วมอย่างต่อเนื่อง เราก็เลือก ทางเลือกหลัง (หากต้องการยกเลิกการเข้าร่วมอย่างต่อเนื่อง เราจะเลือกใช้ตัวเลือกเดิม พูดได้ดีกว่าสำหรับจำนวนเงินที่มีอยู่ในรอบ r −k −2, 000) มีหลายวิธีในการนำแนวคิดนี้ไปใช้ วิธีที่ง่ายที่สุดคือการกดปุ่มแต่ละปุ่มค้างไว้ มากที่สุด 1 หน่วยของเงิน แล้วเลือกสุ่ม n ผู้ใช้ i จาก PKr−k โดยที่ a(r) ฉัน = 1. 24เราควรพูดว่า PKr−k−2,000 เพื่อที่จะทดแทนการมีส่วนร่วมอย่างต่อเนื่อง เพื่อความเรียบง่ายเนื่องจากใครๆ ก็อาจจะต้องการ การมีส่วนร่วมอย่างต่อเนื่อง เราใช้ PKr−k เหมือนเมื่อก่อน เพื่อให้มีพารามิเตอร์น้อยลงหนึ่งตัว

การใช้งานที่ง่ายที่สุดครั้งต่อไป การใช้งานที่ง่ายที่สุดถัดไปอาจเป็นการเรียกร้องให้แต่ละคีย์สาธารณะเป็นเจ้าของจำนวนเงินสูงสุด ของเงิน M สำหรับ M คงที่บางส่วน ค่า M นั้นน้อยพอเมื่อเทียบกับจำนวนทั้งหมด เงินในระบบ โดยความน่าจะเป็นที่คีย์จะเป็นของชุดผู้ตรวจสอบมากกว่าหนึ่งชุด ก้าวเข้ามา —พูด— k รอบนั้นน้อยมาก จากนั้น กุญแจ i $\in$PKr−k ซึ่งมีเงินอยู่จำนวนหนึ่ง a(r) ฉัน ในรอบ r ถูกเลือกให้เป็นของ SV r,s if .H ซิจี r, s, Qr−1 $\leq$p $\cdot$ ก(r) ฉัน ม . และทุกอย่างดำเนินไปดังเดิม การใช้งานที่ซับซ้อนมากขึ้น การใช้งานครั้งล่าสุด "บังคับให้ผู้เข้าร่วมที่มีฐานะร่ำรวยในระบบต้องเป็นเจ้าของคีย์จำนวนมาก" การนำไปปฏิบัติทางเลือกที่อธิบายไว้ด้านล่างนี้เป็นการสรุปแนวคิดเกี่ยวกับสถานะและพิจารณา ผู้ใช้แต่ละคน i จะประกอบด้วยสำเนา K + 1 ชุด (i, v) ซึ่งแต่ละชุดจะถูกเลือกอย่างอิสระให้เป็นผู้ตรวจสอบ และจะเป็นเจ้าของกุญแจชั่วคราวของเขาเอง (pkr,s ฉัน,v,skr,s i,v) ในขั้น s ของรอบ r ค่า K ขึ้นอยู่กับ กับจำนวนเงิน a(r) ฉัน ฉันเป็นเจ้าของในรอบ r ตอนนี้เรามาดูกันว่าระบบดังกล่าวทำงานอย่างไรในรายละเอียดมากขึ้น จำนวนสำเนา ให้ n เป็นจำนวนเชิงการนับที่คาดไว้ที่เป็นเป้าหมายของชุดตัวตรวจสอบแต่ละชุด และให้ a(r) ฉัน เป็นจำนวนเงินที่ผู้ใช้ i เป็นเจ้าของในรอบ r ให้ Ar เป็นจำนวนเงินทั้งหมดที่มี โดยผู้ใช้ใน PKr−k ที่รอบ r นั่นคือ อาร์= เอ็กซ์ ฉัน$\in$P Kr−k ก(ร) ฉัน หากฉันเป็นผู้ใช้ใน PKr−k สำเนาของฉันคือ (i, 1) . . , (i, K + 1) โดยที่ เค = $ n $\cdot$ ก(r) ฉัน อาร์ % . ตัวอย่าง. ให้ n = 1, 000, Ar = 109 และ a(r) ฉัน = 3.7 ล้าน. จากนั้น เค = 103 $\cdot$ (3.7 $\cdot$ 106) 109 = ⌊3.7⌋= 3 . ผู้ตรวจสอบและข้อมูลรับรอง ให้ฉันเป็นผู้ใช้ใน PKr−k ด้วยสำเนา K + 1 สำหรับแต่ละ v = 1, . . , K, copy (i, v) เป็นของ SV r,s โดยอัตโนมัติ นั่นคือข้อมูลประจำตัวของฉันคือ $\sigma$r,s i,v $\triangleq$SIGi((i, v), r, s, Qr−1) แต่เงื่อนไขที่สอดคล้องกันกลายเป็น .H($\sigma$r,s i,v) $\leq$1 ซึ่งก็คือ จริงเสมอ สำหรับการคัดลอก (i, K + 1) สำหรับแต่ละขั้นตอนของรอบ r ฉันจะตรวจสอบว่า .H ซิจี (i, K + 1), r, s, Qr−1 $\leq$a(r) ฉัน n อาร์-เค

ถ้าเป็นเช่นนั้น สำเนา (i, K + 1) เป็นของ SV r,s เพื่อพิสูจน์ ฉันจึงเผยแพร่หนังสือรับรอง ซิร,1 ผม,K+1 = SIGI (i, K + 1), r, s, Qr−1 . ตัวอย่าง. ดังตัวอย่างที่แล้ว ให้ n = 1K, a(r) ฉัน = 3.7M, Ar = 1B และฉันมี 4 สำเนา: (i, 1), . . . , (ฉัน, 4) จากนั้น 3 สำเนาแรกจะเป็นของ SV r,s โดยอัตโนมัติ สำหรับอันที่ 4 นั้น ตามแนวคิด Algorand ′ หมุนเหรียญเอนเอียงอย่างอิสระ ซึ่งความน่าจะเป็นของหัวคือ 0.7 คัดลอก (i, 4) จะถูกเลือกก็ต่อเมื่อการโยนเหรียญเป็นแบบหัวเท่านั้น (แน่นอนว่าการพลิกเหรียญแบบเอนเอียงนี้ถูกนำไปใช้โดย hashing ลงนาม และเปรียบเทียบ — ในขณะที่เรา ได้กระทำมาโดยตลอดในบทความนี้ เพื่อให้ข้าพเจ้าสามารถพิสูจน์ผลของเขาได้) ดำเนินธุรกิจตามปกติ ต้องอธิบายว่าผู้ตรวจสอบได้รับการคัดเลือกอย่างไรและหนังสือรับรองของพวกเขาเป็นอย่างไร เมื่อคำนวณในแต่ละขั้นตอนของรอบ r การดำเนินการของรอบจะคล้ายกับที่อธิบายไว้แล้ว

Fork 처리

포크가 발생할 확률을 10-12 또는 10-18로 줄임으로써 실질적으로 처리할 필요가 없습니다. 그런 일이 일어날 가능성은 희박합니다. 그러나 Algorand은 다양한 포크를 사용할 수도 있습니다. 작업 증명 유무에 관계없이 해결 절차. 사용자에게 포크를 해결하도록 지시하는 한 가지 가능한 방법은 다음과 같습니다. • 사용자에게 여러 체인이 표시되는 경우 가장 긴 체인을 따릅니다. • 가장 긴 체인이 두 개 이상인 경우 끝에 비어 있지 않은 블록이 있는 체인을 따릅니다. 만약에 모두 끝에 빈 블록이 있습니다. 마지막 두 번째 블록을 고려하세요. • 끝에 비어 있지 않은 블록이 있는 가장 긴 체인이 두 개 이상 있는 경우 체인은 다음과 같습니다. 길이가 r인 블록 r의 리더가 가장 작은 자격 증명을 가진 블록을 따릅니다. 인연이 있다면, 블록 r 자체가 가장 작은 hash 값을 갖는 블록을 따르십시오. 여전히 동점이 있는 경우 다음을 따르세요. 블록 r이 사전순으로 첫 번째로 정렬된 블록입니다.

การจัดการ Fork

เมื่อลดความน่าจะเป็นของส้อมลงเหลือ 10−12 หรือ 10−18 ก็ไม่จำเป็นต้องจัดการในทางปฏิบัติ ในโอกาสอันห่างไกลที่จะเกิดขึ้น อย่างไรก็ตาม Algorand สามารถใช้ fork ได้หลากหลาย ขั้นตอนการแก้ปัญหาโดยมีหรือไม่มีหลักฐานการทำงาน วิธีหนึ่งที่เป็นไปได้ในการแนะนำให้ผู้ใช้แก้ไขส้อมมีดังนี้: • เดินตามสายโซ่ที่ยาวที่สุดหากผู้ใช้เห็นสายโซ่หลายเส้น • หากมีโซ่ที่ยาวที่สุดมากกว่าหนึ่งเส้น ให้ต่อสายโซ่ที่มีบล็อกไม่ว่างที่ส่วนท้าย ถ้า ทั้งหมดมีบล็อกว่างในตอนท้าย ลองพิจารณาบล็อกที่สองสุดท้าย • หากมีโซ่ที่ยาวที่สุดมากกว่าหนึ่งเส้นและมีบล็อกที่ไม่ว่างที่ส่วนท้าย แสดงว่าโซ่นั้นยาวที่สุด ที่มีความยาว r ให้ทำตามอันที่ผู้นำของบล็อก r มีหนังสือรับรองน้อยที่สุด หากมีความผูกพัน ติดตามอันที่บล็อก r มีค่า hash น้อยที่สุด หากยังมีความผูกพันติดตาม. บล็อก r ถูกเรียงลำดับตามพจนานุกรมคำแรก

네트워크 파티션 처리

앞서 말했듯이, 우리는 네트워크의 모든 사용자 사이의 메시지 전파 시간이 $\lambda$와 Λ에 의해 상한된다고 가정합니다. 오늘날의 인터넷은 빠르고 강력하며, 이러한 매개변수의 실제 값은 상당히 합리적입니다. 여기서는 Algorand `` 2 인터넷이 때때로 두 부분으로 분할되어도 계속 작동합니다. 경우는 인터넷은 두 개 이상의 부분으로 나누어져 있습니다. 10.1 물리적 파티션 우선, 물리적인 이유로 파티션이 발생할 수 있습니다. 예를 들어, 대규모 지진이 발생할 수 있습니다. 결국 유럽과 미국의 연결이 완전히 무너졌습니다. 이 경우, 악의적인 사용자도 분할되어 있으며 두 부분 사이에는 통신이 없습니다. 따라서

두 명의 적이 있는데, 하나는 파트 1에, 다른 하나는 파트 2에 사용됩니다. 각 대적은 여전히 다음을 시도합니다. 프로토콜 자체를 위반합니다. 분할이 라운드 r의 중간에 발생한다고 가정합니다. 그런 다음 각 사용자는 여전히 이전과 동일한 확률로 PKr-k를 기반으로 하는 검증자입니다. HSV r,s를 보자 나 및 MSV r,s 나 각각 파트 i $\in${1, 2}의 단계 s에서 정직하고 악의적인 검증자의 집합이 됩니다. 우리는 |HSV r,s 1 | + |MSV r,s 1 | + |HSV r,s 2 | + |MSV r,s 2 | = |HSV r,s| + |MSV r,s|. |HSV r,s| + |MSV r,s| < |HSV r,s| + 2|MSV r,s| 압도적인 확률로 2tH 미만. 어떤 부분에 |HSV r,s가 있는 경우 나 | + |MSV r,s 나 | 무시할 수 없는 확률(예: 1%)의 $\geq$tH인 경우 |HSV r,s의 확률 3−i| + |MSV r,s 3−i| $\geq$tH는 매우 낮습니다(예: F = 10−18인 경우 10−16). 이 경우, 검증자가 충분하지 않기 때문에 더 작은 부분을 오프라인으로 처리하는 것이 좋습니다. 블록을 인증하기 위한 서명을 생성하는 부분입니다. 일반성을 잃지 않고 더 큰 부분, 즉 파트 1을 고려해 보겠습니다. 비록 |HSV r,s| < 각 단계 s에서 무시할 수 있는 확률을 갖는 tH, 네트워크가 분할되면 |HSV r,s 1 | 어쩌면 무시할 수 없는 확률로 tH보다 작습니다. 이 경우 상대방은 다음과 같은 조치를 취할 수 있습니다. 다른 무시할 수 없는 확률, 비어 있지 않은 블록 Br과 빈 블록 Br을 사용하여 바이너리 BA 프로토콜을 r 라운드의 포크로 강제 실행합니다. ? 둘 다 유효한 서명을 가지고 있습니다.25 예를 들어, Coin-Fixed-To-0 단계, HSV r,s의 모든 검증자 1 비트 0과 H(Br)에 서명하고 이를 전파했습니다. 메시지. MSV r,s의 모든 검증자 1 또한 0과 H(Br)에 서명했지만 메시지를 보류했습니다. 왜냐하면 |HSV r,s 1 | + |MSV r,s 1 | $\geq$tH, 시스템에는 Br을 인증할 만큼 충분한 서명이 있습니다. 그러나 이후 악의적인 검증자가 서명을 보류하면 사용자는 Coin-Fixed-To1 단계인 s + 1 단계에 들어갑니다. 왜냐하면 |HSV r,s 1 | < tH 파티션으로 인해 HSV r,s+1의 검증자 1 못 봤어 비트 0에 대한 서명이 있고 모두 비트 1에 대해 서명되었습니다. MSV r,s+1의 모든 검증자 1 똑같이했습니다. 왜냐하면 |HSV r,s+1 1 | + |MSV r,s+1 1 | $\geq$tH, 시스템에는 Br을 인증하기에 충분한 서명이 있습니다. ? 대적 그런 다음 MSV r,s의 서명을 릴리스하여 포크를 생성합니다. 1 0과 H(Br)의 경우. 따라서 라운드 r의 해당 블록에 의해 정의되는 두 개의 Qr이 있습니다. 그러나, 포크는 계속되지 않으며 두 가지 중 하나만 r + 1 라운드에서 자랄 수 있습니다. Algorand '에 대한 추가 지침 2. 비어 있지 않은 블록 Br과 비어 있는 블록을 볼 때 블록 브롬 ϫ , 비어 있지 않은 것(및 이에 의해 정의된 Qr)을 따릅니다. 실제로 사용자에게 프로토콜의 비어 있지 않은 블록을 사용하도록 지시함으로써 PKr+1−k의 정직한 사용자 중 상당수는 라운드 r +1의 시작 부분에 포크가 있다는 것을 깨닫습니다. 빈 블록에는 추종자가 충분하지 않아 성장하지 않습니다. 적이 다음과 같이 관리한다고 가정합니다. 일부 정직한 사용자가 Br(및 아마도 Br)을 볼 수 있도록 정직한 사용자를 분할합니다. ?), 일부는 단지 브르 ? 왜냐하면 대적은 그들 중 어느 것이 Br을 따르는 검증자가 될 것인지, 그리고 어느 것이 검증자가 될 것인지 알 수 없기 때문입니다. Br을 따르는 검증자가 될 것입니다. ? , 정직한 사용자는 무작위로 분할되어 있으며 각 사용자는 여전히 검증자가 됩니다(Br에 대해 또는 Br에 대해). Ϋ) 확률이 s > 1인 단계에서 p. 악의적인 사용자의 경우 각 사용자는 검증자가 될 수 있는 두 번의 기회를 가질 수 있습니다. Br과 다른 하나는 Br ϫ, 각각 독립적으로 확률 p를 갖습니다. HSV r+1,s를 보자 1;Br Br에 이어 라운드 r+1의 단계 s에서 정직한 검증자 집합이 됩니다. 기타 표기법 HSV r+1,s와 같은 1;브 , MSV r+1,s 1;Br 및 MSV r+1,s 1;브뤼 유사하게 정의되어 있습니다. Chernoﬀbound를 이용하면 쉽습니다. 25두 개의 비어 있지 않은 블록이 있는 포크를 갖는 것은 무시할 수 있는 경우를 제외하고는 파티션이 있든 없든 불가능합니다. 확률.압도적인 확률로 그걸 보게 된다면, |HSV r+1,s 1;Br | + |HSV r+1,s 1;브뤼 | + |MSV r+1,s 1;Br | + |MSV r+1,s 1;브뤼 | < 2tH. 따라서 두 가지 모두 라운드 블록을 인증하는 적절한 서명을 가질 수 없습니다. 동일한 단계 s에서 r + 1. 더욱이 두 단계 s와 s′에 대한 선택 확률은 동일하며 선택은 독립적이며 압도적인 확률을 갖습니다. |HSV r+1,s 1;Br | + |MSV r+1,s 1;Br | + |HSV r+1,s′ 1;브뤼 | + |MSV r+1,s′ 1;브뤼 | < 2tH, 임의의 두 단계 s와 s′에 대해. F = 10−18일 때, 결합 결합에 의해, 적이 할 수 없는 한 정직한 사용자를 오랫동안 분할합니다(예: 104단계, 이는 $\lambda$ = 10인 경우 55시간 이상). 초26), 높은 확률(예: 1−10−10)로 최대 하나의 분기가 tH개의 적절한 서명을 갖게 됩니다. 라운드 r + 1에서 블록을 인증합니다. 마지막으로, 물리적 파티션이 대략 동일한 크기의 두 부분을 생성한 경우 |HSV r,s의 확률 나 | + |MSV r,s 나 | $\geq$tH는 각 부분 i에 대해 작습니다. 비슷한 분석에 따르면, 비록 적이 각 부분에서 무시할 수 없는 확률로 포크를 생성하더라도 라운드 r의 경우, 네 개의 가지 중 많아야 하나가 라운드 r + 1에서 자랄 수 있습니다. 10.2 적대적 파티션 둘째, 적대자에 의해 파티션이 발생하여 메시지가 전파될 수 있습니다. 한 부분의 정직한 사용자는 다른 부분의 정직한 사용자에게 직접 도달하지 않지만 공격자는 두 부분 간에 메시지를 전달할 수 있습니다. 그래도 한 번은 누군가의 메시지를 부분이 다른 부분에서 정직한 사용자에게 도달하면 평소와 같이 후자에 전파됩니다. 만약 상대방은 많은 돈을 쓸 의향이 있으며, 해킹을 할 수도 있다고 생각됩니다. 인터넷을 하고 잠시 이렇게 파티션을 나누세요. 분석은 위의 물리적 파티션의 더 큰 부분(더 작은 부분)에 대한 분석과 유사합니다. 부분의 인구는 0인 것으로 간주될 수 있습니다. 공격자는 포크를 생성하고 각 정직한 사용자는 가지 중 하나만 볼 수 있지만 최대 하나의 가지가 성장할 수 있습니다. 10.3 네트워크 파티션 합계 네트워크 파티션이 발생할 수 있고 파티션 아래에서 한 라운드의 포크가 발생할 수도 있지만 이는 오래 지속되는 모호함이 아닙니다. 포크는 수명이 매우 짧으며 실제로는 최대 한 라운드 동안 지속됩니다. 에서 최대 하나를 제외한 파티션의 모든 부분에서 사용자는 새로운 블록을 생성할 수 없으므로 (a) 네트워크에 분할이 있다는 것을 인식하고 (b) "사라지는" 블록에 절대 의존하지 마십시오. 감사의 말 먼저 인용된 Democoin 시스템의 공동 저자인 Sergey Gorbunov에게 감사 인사를 전하고 싶습니다. 많은 계몽적인 토론과 지적을 해주신 Maurice Herlihy에게 진심으로 감사드립니다. 파이프라이닝이 Algorand의 처리량 성능을 향상시키고 26 사용자는 해당 항목에 대해 최소한 tH개의 서명을 본 경우에만 2$\lambda$ 시간을 기다리지 않고 단계 s를 완료한다는 점에 유의하십시오. 같은 메시지. 서명이 충분하지 않으면 각 단계는 2$\lambda$ 시간 동안 지속됩니다.

이 문서의 이전 버전을 설명합니다. 의견을 주신 Sergio Rajsbaum에게 깊은 감사를 드립니다. 이 문서의 이전 버전. 몇 가지 심도 있는 토론을 해주신 Vinod Vaikuntanathan에게 많은 감사를 드립니다. 그리고 통찰력. Yossi Gilad, Rotem Hamo, Georgios Vlachos 및 Nickolai Zeldovich에게 많은 감사를 드립니다. 이러한 아이디어를 테스트하기 시작하고 많은 유용한 의견과 토론을 해주셔서 감사합니다. Silvio Micali는 수많은 토론과 지도를 해주신 Ron Rivest에게 개인적으로 감사의 말씀을 전하고 싶습니다. 30년 이상 암호화폐 연구에 종사했으며, 인용된 소액 결제 시스템을 공동 집필했습니다. 이는 Algorand의 검증자 선택 메커니즘 중 하나에 영감을 주었습니다. 우리는 이 기술을 다음 단계로 끌어올리기를 희망합니다. 그동안 여행과 교제 정말 재미있어요. 정말 감사해요.

การจัดการพาร์ติชันเครือข่าย

ดังที่กล่าวไว้ เราถือว่าเวลาการแพร่กระจายของข้อความระหว่างผู้ใช้ทั้งหมดในเครือข่ายนั้นมีขอบเขตบนด้วย แลมบ์ดา และ Λ นี่ไม่ใช่สมมติฐานที่ชัดเจน เนื่องจากอินเทอร์เน็ตในปัจจุบันมีความรวดเร็วและแข็งแกร่ง และ ค่าที่แท้จริงของพารามิเตอร์เหล่านี้ค่อนข้างสมเหตุสมผล ที่นี่ให้เราชี้ให้เห็นว่า Algorand ′ 2 ยังคงทำงานต่อไปแม้ว่าอินเทอร์เน็ตจะถูกแบ่งพาร์ติชันออกเป็นสองส่วนเป็นครั้งคราวก็ตาม กรณีเมื่อ อินเทอร์เน็ตจะถูกแบ่งพาร์ติชันมากกว่าสองส่วนคล้ายคลึงกัน 10.1 พาร์ติชันทางกายภาพ ประการแรก พาร์ติชันอาจเกิดจากสาเหตุทางกายภาพ เช่น แผ่นดินไหวใหญ่อาจเกิดขึ้น ท้ายที่สุดก็ทำลายความสัมพันธ์ระหว่างยุโรปและอเมริกาโดยสิ้นเชิง ในกรณีนี้ ผู้ใช้ที่เป็นอันตรายจะถูกแบ่งพาร์ติชันด้วย และไม่มีการสื่อสารระหว่างทั้งสองส่วน ดังนั้น

จะมีศัตรูอยู่สองคน คนหนึ่งสำหรับส่วนที่ 1 และอีกคนหนึ่งสำหรับส่วนที่ 2 ฝ่ายตรงข้ามแต่ละคนยังคงพยายาม ทำลายโปรโตคอลในส่วนของตัวเอง สมมติว่าพาร์ติชันเกิดขึ้นในช่วงกลางของรอบ r จากนั้นผู้ใช้แต่ละคนยังคงถูกเลือกเป็น ผู้ตรวจสอบขึ้นอยู่กับ PKr−k โดยมีความน่าจะเป็นเท่าเดิม ให้ HSV r,s ฉัน และ MSV r, s ฉัน ตามลำดับ เป็นกลุ่มของผู้ตรวจสอบที่ซื่อสัตย์และประสงค์ร้ายในขั้นตอนในส่วนที่ i $\in${1, 2} เรามี |HSV r,s 1 | + |MSV r,s 1 | + |HSV r,s 2 | + |MSV r,s 2 | = |HSV r,s| + |MSV r,s|. โปรดทราบว่า |HSV r,s| + |MSV r,s| < |HSV r,s| + 2|MSV r,s| < 2tH ด้วยความน่าจะเป็นอย่างล้นหลาม หากบางส่วนฉันมี |HSV r,s ฉัน | + |MSV r,s ฉัน | $\geq$tH ที่มีความน่าจะเป็นที่ไม่มีนัยสำคัญ เช่น 1% จากนั้น ความน่าจะเป็นที่ |HSV r,s 3−ฉัน| + |MSV r,s 3−ฉัน| $\geq$tH ต่ำมาก เช่น 10−16 เมื่อ F = 10−18 ในกรณีนี้ เราอาจถือว่าส่วนที่เล็กกว่านั้นหายไปเช่นกัน เพราะจะไม่มีผู้ตรวจสอบเพียงพอใน ส่วนนี้จะสร้างลายเซ็นเพื่อรับรองบล็อก ให้เราพิจารณาส่วนที่ใหญ่กว่า เช่น ตอนที่ 1 โดยไม่สูญเสียความทั่วไป แม้ว่า |HSV r,s| < มีความน่าจะเป็นเล็กน้อยในแต่ละขั้นตอน เมื่อเครือข่ายถูกแบ่งพาร์ติชัน |HSV r,s 1 | อาจจะ น้อยกว่าด้วยความน่าจะเป็นที่ไม่สามารถละเลยได้ ในกรณีนี้ปฏิปักษ์อาจทำได้บ้าง ความน่าจะเป็นอื่นๆ ที่ไม่สามารถละเลยได้ บังคับให้โปรโตคอลไบนารี่ BA เข้าสู่ทางแยกในรอบ r โดยมีบล็อกที่ไม่มีช่องว่าง Br และบล็อกว่าง Br ǫ ทั้งสองมีลายเซ็นที่ถูกต้อง25 เช่น ใน ขั้นตอน Coin-Fixed-To-0 s ผู้ตรวจสอบทั้งหมดใน HSV r, s 1 ลงนามในบิต 0 และ H(Br) และเผยแพร่พวกมัน ข้อความ ผู้ตรวจสอบทั้งหมดใน MSV r,s 1 ลงนาม 0 และ H(Br) ด้วย แต่ระงับข้อความของพวกเขา เพราะว่า |HSV r,s 1 | + |MSV r,s 1 | $\geq$tHระบบมีลายเซ็นเพียงพอที่จะรับรอง Br. อย่างไรก็ตาม เนื่องจาก ผู้ตรวจสอบที่เป็นอันตรายระงับลายเซ็น ผู้ใช้เข้าสู่ขั้นตอน s + 1 ซึ่งเป็นขั้นตอน Coin-Fixed-To1 เพราะ |HSV r,s 1 | < เนื่องจากพาร์ติชัน ตัวตรวจสอบใน HSV r,s+1 1 ไม่เห็นท่าน ลายเซ็นสำหรับบิต 0 และทั้งหมดลงนามในบิต 1 ผู้ตรวจสอบทั้งหมดใน MSV r,s+1 1 ทำเช่นเดียวกัน เพราะว่า |HSV r,s+1 1 | + |MSV r,s+1 1 | $\geq$tHระบบมีลายเซ็นเพียงพอที่จะรับรอง Br ī. ศัตรู จากนั้นสร้างทางแยกโดยปล่อยลายเซ็นของ MSV r,s 1 สำหรับ 0 และ H(Br) ดังนั้น จะมี Qr สองตัว ซึ่งกำหนดโดยบล็อกที่สอดคล้องกันของรอบ r อย่างไรก็ตาม ทางแยกจะไม่ดำเนินต่อไปและมีเพียงหนึ่งในสองกิ่งเท่านั้นที่สามารถเติบโตได้ในรอบ r + 1 คำแนะนำเพิ่มเติมสำหรับ Algorand ′ 2. เมื่อเห็นบล็อกที่ไม่ว่าง Br และบล็อกว่าง บล็อกเบอร์ ǫ ทำตามอันที่ไม่ว่างเปล่า (และ Qr กำหนดโดยมัน) โดยแนะนำให้ผู้ใช้ใช้บล็อกที่ไม่ว่างเปล่าในโปรโตคอล หากมีขนาดใหญ่ จำนวนผู้ใช้ที่ซื่อสัตย์ใน PKr+1−k ตระหนักว่ามีทางแยกที่จุดเริ่มต้นของรอบ r +1 จากนั้น บล็อกว่างจะมีผู้ติดตามไม่เพียงพอและจะไม่เติบโต สมมติว่าฝ่ายตรงข้ามจัดการได้ แบ่งพาร์ติชันผู้ใช้ที่ซื่อสัตย์เพื่อให้ผู้ใช้ที่ซื่อสัตย์บางคนเห็น Br (และบางทีอาจ Br ǫ) และบางคนก็มองเห็นเท่านั้น บ ī. เพราะปฏิปักษ์ไม่สามารถบอกได้ว่าคนใดในพวกเขาจะเป็นผู้ยืนยันที่ติดตาม Br และคนไหน จะเป็นผู้ตรวจสอบติดตาม Br ǫ ผู้ใช้ที่ซื่อสัตย์จะถูกแบ่งพาร์ติชันแบบสุ่มและแต่ละคนยังคงอยู่ กลายเป็นผู้ยืนยัน (ไม่ว่าจะเกี่ยวกับ Br หรือเกี่ยวกับ Br ǫ) ในขั้นที่ s > 1 ด้วยความน่าจะเป็น พี สำหรับผู้ใช้ที่เป็นอันตราย แต่ละคนอาจมีโอกาสสองครั้งในการเป็นผู้ยืนยัน Br และอีกอันกับ Br ǫ แต่ละอันมีความน่าจะเป็น p เป็นอิสระต่อกัน ให้ HSV r+1,s 1;บรา เป็นกลุ่มผู้ตรวจสอบที่ซื่อสัตย์ในขั้นตอนที่ s ของรอบ r+1 ตาม Br. สัญกรณ์อื่น ๆ เช่น HSV r+1,s 1;Brū , MSV r+1,s 1;บรา และ MSV r+1,s 1;บริ้ มีการกำหนดไว้เช่นเดียวกัน โดย Chernoﬀbound มันเป็นเรื่องง่าย 25การมีทางแยกที่มีสองบล็อกที่ไม่ว่างนั้นเป็นไปไม่ได้โดยมีหรือไม่มีพาร์ติชั่น ยกเว้นที่มีเล็กน้อย ความน่าจะเป็นเพื่อดูว่ามีความเป็นไปได้อย่างล้นหลาม |HSV r+1,s 1;br | + |HSV r+1,s 1;บรา | + |MSV r+1,s 1;br | + |MSV r+1,s 1;บรา | < 2tH ดังนั้นทั้งสองสาขาจึงไม่สามารถมีลายเซ็นที่ถูกต้องรับรองบล็อกสำหรับรอบได้ r + 1 ในขั้นตอนเดียวกัน s ยิ่งไปกว่านั้น เนื่องจากความน่าจะเป็นในการเลือกสำหรับสองขั้นตอน s และ s′ คือ เหมือนกันและการเลือกมีความเป็นอิสระ อีกทั้งยังมีความน่าจะเป็นอย่างล้นหลามอีกด้วย |HSV r+1,s 1;br | + |MSV r+1,s 1;br | + |HSV r+1,s′ 1;บริ้ | + |MSV r+1,s′ 1;บริ้ | <2thH, สำหรับสองขั้นตอนใดๆ s และ s′ เมื่อ F = 10−18 โดยผูกมัด ตราบเท่าที่ปฏิปักษ์ทำไม่ได้ แบ่งพาร์ติชั่นผู้ใช้ที่ซื่อสัตย์เป็นเวลานาน (เช่น 104 ขั้นตอนซึ่งมากกว่า 55 ชั่วโมงโดยที่ แล = 10 วินาทีที่ 26) ซึ่งมีความเป็นไปได้สูง (เช่น 1−10−10) มากที่สุดหนึ่งสาขาจะมีลายเซ็นที่ถูกต้อง เพื่อรับรองบล็อกในรอบ r + 1 ท้ายที่สุด หากฟิสิคัลพาร์ติชันสร้างสองส่วนที่มีขนาดเท่ากันโดยประมาณ แล้ว ความน่าจะเป็นที่ |HSV r,s ฉัน | + |MSV r,s ฉัน | $\geq$tH มีขนาดเล็กสำหรับแต่ละส่วน i หลังจากการวิเคราะห์ที่คล้ายกัน แม้ว่าฝ่ายตรงข้ามจะสามารถสร้างทางแยกที่มีความน่าจะเป็นที่ไม่สามารถละเลยได้ในแต่ละส่วนก็ตาม สำหรับรอบ r กิ่งก้านสูงสุด 1 ใน 4 ต้นอาจเติบโตได้ในรอบ r + 1 10.2 พาร์ทิชันฝ่ายตรงข้าม ประการที่สอง พาร์ติชันอาจเกิดจากฝ่ายตรงข้าม ดังนั้นข้อความจึงแพร่กระจาย โดยผู้ใช้ที่ซื่อสัตย์ส่วนหนึ่งจะไม่เข้าถึงผู้ใช้ที่ซื่อสัตย์ในอีกส่วนหนึ่งโดยตรงแต่ ฝ่ายตรงข้ามสามารถส่งต่อข้อความระหว่างทั้งสองส่วนได้ ถึงกระนั้นก็มีข้อความจากคนหนึ่ง ส่วนหนึ่งจะเข้าถึงผู้ใช้ที่ซื่อสัตย์ ส่วนอีกส่วนหนึ่งก็จะเผยแพร่ในส่วนหลังตามปกติ ถ้า ฝ่ายตรงข้ามยินดีจ่ายเงินเป็นจำนวนมาก เป็นไปได้ว่าเขาอาจจะสามารถแฮ็กข้อมูลได้ อินเตอร์เน็ตแล้วแบ่งพาร์ติชั่นแบบนี้สักพัก การวิเคราะห์จะคล้ายคลึงกับการวิเคราะห์ส่วนที่ใหญ่กว่าในฟิสิคัลพาร์ติชันด้านบน (การวิเคราะห์ที่เล็กกว่า ส่วนหนึ่งถือได้ว่ามีประชากร 0): ฝ่ายตรงข้ามอาจสร้างทางแยกและได้ ผู้ใช้ที่ซื่อสัตย์แต่ละคนจะเห็นเพียงสาขาเดียว แต่อาจมีสาขาเดียวที่สามารถเติบโตได้ 10.3 พาร์ติชันเครือข่ายในผลรวม แม้ว่าพาร์ติชั่นเครือข่ายสามารถเกิดขึ้นได้และทางแยกในรอบเดียวอาจเกิดขึ้นภายใต้พาร์ติชั่นที่นั่น ไม่มีความกำกวมที่ยืดเยื้อ: ทางแยกมีอายุสั้นมากและในความเป็นจริงจะอยู่ได้ไม่เกินรอบเดียว ใน ทุกส่วนของพาร์ติชั่นยกเว้นส่วนใหญ่ ผู้ใช้ไม่สามารถสร้างบล็อกใหม่ได้ ดังนั้น (a) ตระหนักว่ามีพาร์ติชันในเครือข่ายและ (b) ไม่เคยพึ่งพาบล็อกที่จะ "หายไป" รับทราบ ก่อนอื่นเราขอขอบคุณ Sergey Gorbunov ผู้ร่วมเขียนระบบ Democoin ที่อ้างถึง ขอขอบคุณอย่างจริงใจที่สุดต่อ Maurice Herlihy สำหรับการอภิปรายที่ให้ความรู้มากมายสำหรับการชี้แนะ การวางท่อจะปรับปรุงประสิทธิภาพการรับส่งข้อมูลของ Algorand และสำหรับการปรับปรุงอย่างมาก 26โปรดทราบว่าผู้ใช้เสร็จสิ้นขั้นตอนหนึ่งโดยไม่ต้องรอเป็นเวลา2$\gamma$เฉพาะในกรณีที่เขาเห็นลายเซ็นของ ข้อความเดียวกัน เมื่อมีลายเซ็นไม่เพียงพอ แต่ละขั้นตอนจะคงอยู่เป็นเวลา 2แล

การนำเสนอบทความฉบับก่อนหน้านี้ ขอบคุณมากสำหรับ Sergio Rajsbaum สำหรับความคิดเห็นของเขาเกี่ยวกับ เอกสารฉบับก่อนหน้านี้ ขอขอบคุณ Vinod Vaikuntanathan สำหรับการพูดคุยอย่างลึกซึ้งหลายครั้ง และข้อมูลเชิงลึก ขอขอบคุณ Yossi Gilad, Rotem Hamo, Georgios Vlachos และ Nickolai Zeldovich สำหรับการเริ่มต้นทดสอบแนวคิดเหล่านี้ และสำหรับความคิดเห็นและการอภิปรายที่เป็นประโยชน์มากมาย Silvio Micali ขอขอบคุณ Ron Rivest เป็นการส่วนตัวสำหรับการสนทนาและคำแนะนำมากมาย ในการวิจัยด้านการเข้ารหัสมานานกว่า 3 ทศวรรษ สำหรับการเขียนร่วมระบบการชำระเงินแบบไมโครที่อ้างถึง ที่เป็นแรงบันดาลใจให้เกิดกลไกการคัดเลือกผู้ตรวจสอบของ Algorand เราหวังว่าจะนำเทคโนโลยีนี้ไปสู่อีกระดับหนึ่ง ขณะเดียวกันการเดินทางและมิตรภาพ สนุกมากซึ่งเรารู้สึกขอบคุณมาก