What is the Algorand whitepaper?

The Algorand whitepaper, titled 'Algorand: Scaling Byzantine Agreements for Cryptocurrencies,' was published by Jing Chen and Silvio Micali in 2017. It presents a pure proof-of-stake protocol achieving instant finality without forking.

Who wrote the Algorand whitepaper and when?

The Algorand whitepaper was co-authored by Silvio Micali, a Turing Award-winning cryptographer from MIT, and Jing Chen. It was first published as a research paper in 2017.

What is Algorand's core technical innovation?

Algorand's core innovation is the use of Verifiable Random Functions (VRF) for secret, random committee selection. Each block is proposed and voted on by committees chosen via cryptographic sortition, making it impossible to target committee members in advance.

How does Algorand's consensus mechanism work?

Algorand uses Pure Proof of Stake (PPoS) with cryptographic sortition. For each block, a proposer and voting committee are secretly selected via VRF based on stake weight. Committee members verify this locally, preventing targeted attacks. Finality occurs in ~3.3 seconds.

How does Algorand differ from other PoS chains?

Algorand achieves immediate finality — blocks cannot be forked. Unlike Ethereum's PoS (which has epochs and can reorganize), Algorand's consensus guarantees that once a block is confirmed, it is final. Participation requires no minimum stake.

What is Algorand's supply model?

Algorand has a fixed supply of 10 billion ALGO, all minted at genesis. Distribution follows an accelerated vesting schedule. Participation rewards and governance rewards incentivize ALGO holders to secure the network and participate in governance.

What are Algorand's primary use cases?

Algorand is used for digital asset issuance, DeFi, real-world asset tokenization, CBDCs (e.g., the Marshall Islands SOV), carbon credit markets, and enterprise applications requiring instant finality and regulatory compliance.

What problem does Algorand solve?

Algorand solves the blockchain trilemma by achieving security, scalability, and decentralization simultaneously. Its VRF-based committee selection ensures decentralization, instant finality provides security, and parallel processing enables scalability.

How does Algorand's security model work?

Algorand's security is based on the assumption that two-thirds of the stake is held by honest participants. The VRF-based committee selection is secret until the vote is cast, making targeted attacks computationally infeasible.

What is the current state of the Algorand ecosystem?

Algorand's ecosystem includes DeFi protocols (Folks Finance, Tinyman), NFT platforms, and enterprise partnerships. AVM (Algorand Virtual Machine) supports smart contracts, and the State Proofs feature enables trustless cross-chain communication.

Özet

Halka açık bir defter, herkes tarafından okunabilen ve artırılabilen, tahrifata dayanıklı bir veri dizisidir. Kamu defterlerinin sayısız ve ilgi çekici kullanımları vardır. Göz önünde her türlü şeyi güvence altına alabilirler. tapu, satış ve ödemeler gibi işlemlerin tam olarak gerçekleştikleri sıraya göre sıralanması. Kamu defterleri sadece yolsuzluğu engellemekle kalmıyor, aynı zamanda çok karmaşık uygulamaları da mümkün kılıyor. kripto para birimleri ve smart contracts. Demokratik bir toplumun yolunda devrim yapmak için duruyorlar çalışır. Ancak şu anda uygulandıkları şekliyle zayıf ölçekleniyorlar ve potansiyellerine ulaşamıyorlar. Algorand, halka açık bir defteri uygulamanın gerçek anlamda demokratik ve etkili bir yoludur. Öncekinin aksine iş kanıtına dayalı uygulamalar, ihmal edilebilir miktarda hesaplama gerektirir ve son derece yüksek olasılıkla "çatallanmayacak" bir işlem geçmişi oluşturur. Algorand (yeni ve süper hızlı) mesaj ileten Bizans anlaşmasına dayanmaktadır. Somut olması açısından Algorand'yi yalnızca bir para platformu olarak tanımlayacağız.

giriiş

Para giderek sanallaşıyor. Amerika Birleşik Devletleri'nin yaklaşık %80'inin dolar bugün yalnızca defter girişleri olarak mevcut [5]. Diğer finansal araçlar da aynı yolu izliyor. Evrensel olarak güvenilen merkezi bir varlığa güvenebileceğimiz ideal bir dünyada, bağışıklık olası tüm siber saldırılara karşı para ve diğer finansal işlemler yalnızca elektronik olabilir. Ne yazık ki böyle bir dünyada yaşamıyoruz. Buna göre, merkezi olmayan kripto para birimleri, Bitcoin [29] olarak ve Ethereum gibi “smart contract” sistemler [4] olarak önerilmiştir. Şu tarihte: Bu sistemlerin kalbi, bir dizi işlemi güvenilir bir şekilde kaydeden paylaşılan bir defterdir. ∗Bu, ikinci yazar [24] tarafından hazırlanan ArXiv makalesinin daha resmi (ve eşzamansız) versiyonudur; kendisi Gorbunov ve Micali'ninkine dayanmaktadır [18]. Algorand'in teknolojileri aşağıdakilerin amacıdır patent başvuruları: US62/117,138 US62/120,916 US62/142,318 US62/218,817 US62/314,601 PCT/US2016/018300 US62/326,865 62/331,654 US62/333,340 US62/343,369 US62/344,667 US62/346,775 US62/351,011 US62/653,482 US62/352,195 US62/363,970 US62/369,447 US62/378,753 US62/383,299 US62/394,091 US62/400,361 US62/403,403 US62/410,721 US62/416,959 US62/422,883 US62/455,444 US62/458,746 US62/459,652 US62/460,928 US62/465,931ödemeler ve sözleşmeler kadar çeşitlidir ve kurcalanamaz bir şekilde. Tercih edilen teknoloji kurcalamaya karşı korumanın blockchain olduğunu garanti edin. Blockchain'ler aşağıdaki gibi uygulamaların arkasındadır: kripto para birimleri [29], finansal uygulamalar [4] ve Nesnelerin İnterneti [3]. Çeşitli teknikler blockchain tabanlı defterleri yönetmek için önerildi: iş kanıtı [29], hisse kanıtı [2], pratik Bizans hata toleransı [8] veya bazı kombinasyonlar. Ancak şu anda defterlerin yönetimi yetersiz olabiliyor. Örneğin, Bitcoin’nin proof-of-work yaklaşım (orijinal [14] kavramına dayalıdır) büyük miktarda hesaplama gerektirir ve israftır ve yetersiz ölçekleniyor [1]. Ayrıca fiili olarak gücü çok az sayıda elde topluyor. Bu nedenle, halka açık bir defteri uygulamaya yönelik yeni bir yöntem ortaya koymak istiyoruz. güvenilir ve dokunulmaz bir otorite tarafından yönetilen merkezi bir sistemin rahatlığı ve verimliliği mevcut merkezi olmayan uygulamaların verimsizlikleri ve zayıflıkları. Yaklaşımımızı diyoruz Algorand, şu ana kadar oluşturulan deftere dayanarak seçim yapmak için algoritmik rastgelelik kullandığımızdan, Bir sonraki geçerli işlem bloğunu oluşturmaktan sorumlu olan bir dizi doğrulayıcı. Doğal olarak, bu tür seçimlerin manipülasyonlara karşı kanıtlanabilir bir şekilde bağışık olmasını ve şu ana kadar öngörülemez olmasını sağlıyoruz: son dakikada, ama aynı zamanda sonuçta evrensel olarak açık olduklarını da. Algorand'nin yaklaşımı ne prensipte ne de fiili olarak oldukça demokratiktir. farklı kullanıcı sınıfları oluşturur (Bitcoin'de “madenciler” ve “sıradan kullanıcılar” olarak). Algorand içinde “tümü güç tüm kullanıcıların elindedir”. Algorand'un dikkate değer bir özelliği, işlem geçmişinin yalnızca çok küçük işlemlerle çatallanabilmesidir. olasılık (örneğin trilyonda bir, hatta 10−18). Algorand aynı zamanda bazı yasal konuları da ele alabilir ve siyasi kaygılar. Algorand yaklaşımı blockchain'ler ve daha genel olarak herhangi bir veri oluşturma yöntemi için geçerlidir. kurcalamaya dayanıklı blok dizisi. Biz aslında yeni bir yöntem ortaya koyduk; buna alternatif ve blockchains'den daha verimli; bu bağımsız olarak ilgi çekici olabilir. 1.1 Bitcoin Varsayımları ve Teknik Sorunlar Bitcoin çok ustaca hazırlanmış bir sistemdir ve daha sonra yapılan birçok araştırmaya ilham kaynağı olmuştur. Yine de aynı zamanda sorunludur. Bunun altında yatan varsayımı ve teknik sorunları özetleyelim; aslında Bitcoin gibi proof-of-work temeline dayanan tüm kripto para birimleri tarafından paylaşılmaktadır. Bu özet için, Bitcoin'da bir kullanıcının birden fazla ortak anahtara sahip olabileceğini hatırlamak yeterli olacaktır. dijital imza şemasında, paranın genel anahtarlarla ilişkili olduğu ve ödemenin bir ödeme olduğu Bir miktar parayı bir genel anahtardan diğerine aktaran dijital imza. Esasen, Bitcoin işlenen tüm ödemeleri B1, B2, blok zincirinde düzenler. . ., her biri birden fazla parçadan oluşur B1'in tüm ödemeleri herhangi bir sırayla alınacak ve ardından B2'nin ödemeleri herhangi bir sırayla yapılacak şekilde, vb. geçerli ödemelerin bir dizisini oluşturur. Her blok ortalama olarak her 10 dakikada bir oluşturulur. Bu blok dizisi bir zincirdir, çünkü herhangi bir değişimin gerçekleşmesini sağlayacak şekilde yapılandırılmıştır. tek bir blokta, sonraki tüm bloklara sızarak herhangi bir değişikliğin fark edilmesini kolaylaştırır. ödeme geçmişi. (Göreceğimiz gibi, bu, her bloğa bir kriptografik öncekinin hash.) Bu tür blok yapısına blockchain denir. Varsayım: Hesaplama Gücünün Dürüst Çoğunluğu Bitcoin, kötü amaçlı hiçbir şeyin olmadığını varsayar varlık (veya koordineli kötü niyetli varlıklardan oluşan bir koalisyon) hesaplamanın çoğunluğunu kontrol ediyor blok üretimine ayrılmış güç. Böyle bir varlık aslında blockchain'yi değiştirebilir,ve böylece ödeme geçmişini istediği gibi yeniden yazabilirsiniz. Özellikle ödeme yapabilir $\wp$, ödenen faydaları elde edin ve ardından $\wp$'nin tüm izlerini “silin”. Teknik Sorun 1: Hesaplamalı Atık Bitcoin'in proof-of-work bloğa yaklaşımı üretimi olağanüstü miktarda hesaplama gerektirir. Şu anda sadece birkaç yüz sistemdeki binlerce ortak anahtar, en güçlü 500 süper bilgisayarın yalnızca toplayabileceği Bitcoin oyuncularının ihtiyaç duyduğu toplam hesaplama gücünün yalnızca yüzde 12,8'i. Bu Sisteme önemli ölçüde daha fazla kullanıcı katılırsa hesaplama miktarı büyük ölçüde artacaktır. Teknik Sorun 2: Gücün Yoğunlaşması Bugün aşırı miktardan dolayı hesaplama gerektiğinde, bir kullanıcı sıradan bir masaüstünü (bırakın bir masaüstü bilgisayarı) kullanarak yeni bir blok oluşturmaya çalışıyor. cep telefonu), para kaybetmeyi bekliyor. Gerçekten de, sıradan bir bilgisayarla yeni bir bloğu hesaplamak için, hesaplamaya güç sağlamak için gerekli elektriğin beklenen maliyeti beklenen ödülü aşıyor. Yalnızca özel olarak oluşturulmuş bilgisayar havuzlarını kullanan ("yeni bloklar kazmaktan" başka hiçbir şey yapmayan), bir kişi yeni bloklar üreterek kar elde etmeyi bekleyebilirler. Buna göre bugün fiilen iki ayrık kullanıcı sınıfları: yalnızca ödeme yapan sıradan kullanıcılar ve özel madencilik havuzları, bu yalnızca yeni blokları arar. Bu nedenle son zamanlarda bloklar için toplam bilgi işlem gücünün artması sürpriz olmamalıdır. nesil sadece beş havuzda yer alıyor. Bu gibi durumlarda çoğunluğun olduğu varsayımı hesaplama gücü dürüstse daha az güvenilir hale gelir. Teknik Sorun 3: Belirsizlik Bitcoin'de blockchain mutlaka benzersiz değildir. Gerçekten en son kısmı sıklıkla çatallanır: blockchain —diyelim ki— B1, . . . , Bk, B' k+1, B' göre k+2 bir kullanıcı ve B1, . . . , Bk, B'' k+1, B'' k+2, B'' başka bir kullanıcıya göre k+3. Ancak birkaç blok tamamlandıktan sonra Zincire eklendiğinde ilk k+3 bloğun aynı olacağından makul olarak emin olunabilir mi? tüm kullanıcılar için. Bu nedenle, son blokta yer alan ödemelere hemen güvenilemez. zincir. Bloğun yeterince derinleşip derinleşmediğini bekleyip görmek daha akıllıca olacaktır. blockchain ve dolayısıyla yeterince kararlı. Ayrı olarak, Bitcoin.1 ile ilgili kolluk kuvvetleri ve para politikası endişeleri de dile getirildi. 1.2 Algorand, Özetle Ayar Algorand çok zorlu bir ortamda çalışıyor. Kısaca, (a) İzinsiz ve İzin Verilen Ortamlar. Algorand bile verimli ve güvenli bir şekilde çalışır keyfi olarak birçok kullanıcının katılmasına izin verilen, tamamen izinsiz bir ortamda Sisteme herhangi bir zamanda, herhangi bir inceleme veya izin olmaksızın. Elbette Algorand çalışıyor izin verilen bir ortamda daha da iyi. 1Bitcoin ödemeleri tarafından sunulan (sözde) anonimlik, kara para aklama ve/veya finansman amacıyla kötüye kullanılabilir Suçlu kişilerin veya terör örgütlerinin. Prensipte mükemmel teklifler sunan geleneksel banknotlar veya altın külçeler anonimlik de aynı zorluğu doğurmalıdır, ancak bu para birimlerinin fizikselliği parayı önemli ölçüde yavaşlatır kolluk kuvvetleri tarafından bir dereceye kadar izlemeye izin verecek şekilde transferler. “Para basabilme” yeteneği, bir ulus devletin en temel güçlerinden biridir. Bu nedenle prensipte masif Bağımsız olarak dalgalanan bir para biriminin benimsenmesi bu gücü azaltabilir. Ancak şu anda Bitcoin olmaktan çok uzak hükümetin para politikalarına yönelik bir tehdittir ve ölçeklenebilirlik sorunları nedeniyle hiçbir zaman olmayabilir.(b) Çok Çelişkili Ortamlar. Algorand çok güçlü bir Düşmana karşı dayanıklıdır; (1) istediği herhangi bir kullanıcıyı, istediği zaman, şu şartla anında yozlaştırabilir: İzinsiz ortamda sistemdeki paranın 2/3'ü dürüst kullanıcıya aittir. (Bir İzin verilen ortamda, para ne olursa olsun, kullanıcıların 2/3'ünün dürüst olması yeterlidir.) (2) tüm bozuk kullanıcıları tamamen kontrol edin ve mükemmel şekilde koordine edin; ve (3) her mesajın dürüst bir kullanıcı tarafından gönderilmesi koşuluyla, tüm mesajların teslimini planlayın Dürüst kullanıcıların %95'ine yalnızca m'nin boyutuna bağlı olan $\lambda$m süresi içinde ulaşır. Ana Özellikler Güçlü düşmanımızın varlığına rağmen Algorand'de • Gereken hesaplama miktarı minimum düzeydedir. Aslında kaç kullanıcı olursa olsun Sistemde mevcut olan her bin beş yüz kullanıcının her birinin en fazla birkaç saniyelik bir işlem yapması gerekmektedir. hesaplama. • 10 dakikadan kısa sürede Yeni Bir Blok Oluşturulur ve fiili olarak blockchain'den asla ayrılmaz. Örneğin, beklenti durumunda, ilk düzenlemede bir blok oluşturma süresi daha azdır Λ + 12,4$\lambda$'dan daha fazladır; burada Λ, eşler arası dedikoduda bir bloğu yaymak için gereken süredir moda, hangi blok boyutu seçilirse seçilsin ve $\lambda$, 1.500 200Blong mesajın yayılma süresidir. (Gerçekten merkezi olmayan bir sistemde, Λ aslında içsel bir gecikme olduğundan, Algorand blok oluşturmadaki sınırlayıcı faktör ağ hızıdır.) İkinci düzenlemede aslında deneysel olarak (? tarafından) test edilmiştir, bu da bir bloğun 40'tan daha kısa sürede oluşturulduğunu gösterir. saniye. Ek olarak, Algorand’nin blockchain’si yalnızca ihmal edilebilir olasılıkla (yani birden az) çatallanma yapabilir. trilyonda bir) ve böylece kullanıcılar yeni bir blokta yer alan ödemeleri, ödemeler gerçekleştiği anda aktarabilirler. blok görünür. • Tüm yetki kullanıcılara aittir. Algorand gerçek bir dağıtılmış sistemdir. özellikle, hangi işlemleri kontrol edebilecek dışsal varlıklar (Bitcoin'deki "madenciler" gibi) yoktur tanınmaktadır. Algorand Teknikleri. 1. Yeni ve Hızlı Bir Bizans Anlaşması Protokolü. Algorand aracılığıyla yeni bir blok oluşturur yeni bir kriptografik, mesaj ileten, ikili Bizans anlaşması (BA) protokolü, BA⋆. Protokol BA sadece bazı ek özellikleri sağlamakla kalmıyor (bunları yakında tartışacağız), aynı zamanda çok hızlı. Kabaca söylemek gerekirse, ikili girişli versiyonu 3 adımlı bir döngüden oluşuyor ve burada i oyuncusu tek bir sinyal gönderiyor. diğer tüm oyunculara mesaj gönder. Daha fazlası ile eksiksiz ve senkronize bir ağda yürütülür Oyuncuların 2/3'ünden fazlası dürüst, > 1/3 olasılıkla, her döngüden sonra protokol sona eriyor anlaşma. (BA protokolünün Bizans anlaşmasının orijinal tanımını karşıladığını vurguluyoruz.) Pease, Shostak ve Lamport [31], herhangi bir zayıflama olmaksızın.) Algorand farklı iletişimlerimizde anlaşmaya varmak için bu ikili BA protokolünü kullanır model, her yeni blokta. Üzerinde mutabakata varılan blok daha sonra önceden belirlenmiş sayıda belge aracılığıyla sertifikalandırılır. uygun doğrulayıcıların dijital imzası alınır ve ağ üzerinden yayılır. 2. Kriptografik Ayrıştırma. Çok hızlı olmasına rağmen BA⋆ protokolü daha fazla fayda sağlayacaktır. Milyonlarca kullanıcı tarafından oynandığında hız. Buna göre, Algorand BA⋆ oyuncularını seçiyortüm kullanıcılar kümesinin çok daha küçük bir alt kümesi. Farklı türden bir güç yoğunlaşmasından kaçınmak için Sorun, her yeni Br bloğu, BA⋆'ın yeni bir uygulaması yoluyla inşa edilecek ve üzerinde anlaşmaya varılacak, ayrı bir seçilmiş doğrulayıcı grubu tarafından, SV r. Prensipte böyle bir setin seçilmesi çok zor olabilir. Br'yi doğrudan seçerek. Bu potansiyel sorunu, "her şeyi kucaklayan" olarak adlandırdığımız bir yaklaşımla aşıyoruz. Maurice Herlihy'nin anlayışlı önerisi, kriptografik sıralama. Sıralama bir uygulamadır Yetkililerin geniş bir uygun kişi kümesi arasından rastgele seçilmesi [6]. (Sıralama uygulandı yüzyıllar boyunca: örneğin Atina, Floransa ve Venedik cumhuriyetleri tarafından. Modern yargıda Sistemlerde jürilerin seçiminde sıklıkla rastgele seçim kullanılmaktadır. Rastgele örnekleme de son zamanlarda seçimler David Chaum tarafından savunuldu [9].) Merkezi olmayan bir sistemde elbette Her doğrulayıcı set SVr'nin üyelerini rastgele seçmek için gerekli olan rastgele paralar sorunludur. Bu nedenle, tüm kullanıcı popülasyonundan her bir doğrulama setini seçmek için kriptografiye başvuruyoruz. Otomatik (yani mesaj alışverişi gerektirmeyen) ve rastgele olması garanti edilen bir şekilde. Temelde, önceki bloktan otomatik olarak belirlemek için bir şifreleme işlevi kullanıyoruz. Br−1, yeni Br bloğunu önermekten sorumlu bir kullanıcı, lider ve SV r doğrulayıcı kümesi Liderin önerdiği blokta anlaşmaya varılması talep ediliyor. Kötü niyetli kullanıcılar etkileyebileceğinden Br−1'in bileşimini (örneğin ödemelerinden bazılarını seçerek), özel olarak oluşturuyoruz ve kullanıyoruz r'inci bloğun liderinin ve doğrulama seti SV r'nin gerçekten aynı olduğunu kanıtlayacak ek girişler rastgele seçilmiştir. 3. Miktar (Tohum) Qr. blockchain içindeki son Br−1 bloğunu kullanıyoruz. bir sonraki doğrulayıcı grubunu ve yeni bloğun inşasından sorumlu lideri otomatik olarak belirler br. Bu yaklaşımın zorluğu, sadece biraz farklı bir ödeme seçeneğinin seçilmesidir. Bir önceki turda, güçlü Düşmanımız bir sonraki lider üzerinde muazzam bir kontrol elde eder. O olsa bile sistemdeki oyuncuların/paranın yalnızca 1/1000'ini kontrol edebiliyordu, tüm liderlerin kötü niyetli. (Bkz. Sezgi Bölüm 4.1.) Bu zorluk tüm proof-of-stake yaklaşımlarının merkezinde yer alır, ve bildiğimiz kadarıyla bu sorun şu ana kadar tatmin edici bir şekilde çözülmedi. Bu zorluğun üstesinden gelmek için, bilinçli olarak ayrı ve dikkatli bir şekilde bir web sitesi oluşturuyoruz ve sürekli olarak güncelliyoruz. Tanımlanmış miktar Qr, bizim tarafımızdan sadece öngörülemez değil aynı zamanda etkilenebilir de değildir. güçlü Düşman. Algorand'nin Qr'den seçtiği için Qr'yi r'inci tohum olarak adlandırabiliriz, gizli kriptografik sıralama yoluyla, oluşturulmasında özel bir rol oynayacak tüm kullanıcılar r. blok. 4. Gizli Kritografik Sıralama ve Gizli Kimlik Bilgileri. Doğrulayıcı setini ve sorumlu lideri seçmek için mevcut son blok olan Br-1'i rastgele ve açık bir şekilde kullanarak Yeni bloğun (Br) inşa edilmesi yeterli değil. Br oluşturulmadan önce Br−1'in bilinmesi gerektiğinden, Br−1'in içerdiği son etkilenmeyen miktar Qr−1'in de bilinmesi gerekir. Buna göre yani Br bloğunu hesaplamaktan sorumlu doğrulayıcılar ve liderdir. Böylece güçlü Düşmanımız Br hakkında herhangi bir tartışmaya girişmeden önce hepsini anında yozlaştırabilirler. Sertifikalandırdıkları blok üzerinde tam kontrol. Bu sorunu önlemek için liderler (ve aslında doğrulayıcılar da) gizlice rollerini öğrenirler, ancak Gerçekten bu role sahip olan herkese kanıtlayabilecek uygun bir kimlik bilgisi hesaplayın. Ne zaman Bir kullanıcı özel olarak bir sonraki bloğun lideri olduğunun farkına varır, önce gizlice kendi bloğunu bir araya getirir. önerdiği yeni bloğu kendi bloğuyla birlikte dağıtır (böylece sertifikalandırılabilir) kimlik bilgisi. Bu şekilde, Düşman bir sonraki liderin kim olduğunu hemen anlayacaktır. blok vardır ve her ne kadar onu hemen yozlaştırabilse de, Düşman için artık çok geç olacaktır. yeni blok seçimini etkileyebilir. Gerçekten de artık liderin mesajını “geri arayamaz”Güçlü bir hükümetin WikiLeaks tarafından viral olarak yayılan bir mesajı şişeye geri koyabileceğinden çok daha fazlası. Göreceğimiz gibi ne liderin benzersizliğini ne de herkesin liderin kim olduğundan emin olduğunu garanti edebiliriz. liderin kendisi de dahil! Ancak Algorand'da net bir ilerleme garanti edilecektir. 5. Oynatıcının Değiştirilebilirliği. Yeni bir blok önerdikten sonra lider "ölebilir" (ya da öldürülebilir) Düşman tarafından yozlaştırıldı), çünkü işi bitti. Ancak SV r'deki doğrulayıcılar için işler daha az basit. Gerçekten de, yeni Br bloğunun yeterli sayıda imzayla sertifikalandırılmasından sorumlu olarak, Öncelikle liderin önerdiği blok üzerinde Bizans anlaşmasını yürütmeleri gerekiyor. Sorun şu ki, Ne kadar verimli olursa olsun, BA⋆ birden fazla adıma ve oyuncularının > 2/3'ünün dürüstlüğüne ihtiyaç duyar. Bu bir problemdir, çünkü verimlilik nedenleriyle BA⋆'nın oynatıcı seti küçük SV r setinden oluşur. tüm kullanıcılar arasından rastgele seçilmiştir. Böylece, güçlü Düşmanımız, her ne kadar bunu başaramasa da, tüm kullanıcıların 1/3'ünü bozar, kesinlikle SV r'nin tüm üyelerini bozabilir! Neyse ki mesajların eşler arası bir şekilde yayılmasıyla yürütülen BA⋆ protokolünün oyuncular tarafından değiştirilebileceğini kanıtlayacağız. Bu yeni gereksinim, protokolün doğru ve Adımların her biri tamamen yeni ve rastgele bir şekilde yürütülse bile verimli bir şekilde fikir birliğine varılır. ve bağımsız olarak seçilmiş oyunculardan oluşan bir grup. Böylece milyonlarca kullanıcıyla her küçük oyuncu grubu BA'nın bir adımıyla ilişkili olanın sonraki kümeyle büyük ihtimalle boş kesişimi vardır. Ek olarak, BA⋆'nın farklı adımlarındaki oyuncu kümeleri muhtemelen tamamen farklı özelliklere sahip olacaktır. kardinaliteler. Ayrıca, her setin üyeleri bir sonraki oyuncu setinin kim olacağını bilmezler. olun ve gizlice herhangi bir iç durumu geçmeyin. Değiştirilebilir oyuncu özelliği aslında dinamik ve çok güçlü olanı yenmek için çok önemlidir. Hayal ettiğimiz düşman. Değiştirilebilir oynatıcı protokollerinin birçok durumda hayati öneme sahip olacağına inanıyoruz. bağlamlar ve uygulamalar. Özellikle küçük alt protokollerin güvenli bir şekilde yürütülmesi için hayati önem taşıyacaklar dinamik bir düşmana sahip daha geniş bir oyuncu evrenine yerleştirilmiş, hatta yozlaştırabilen Toplam oyuncuların küçük bir kısmı, daha küçük gruptaki tüm oyuncuları yozlaştırmada hiç zorluk çekmiyor. alt protokol. Ek Bir Özellik/Teknik: Tembel Dürüstlük Dürüst bir kullanıcı reçetesine uyar çevrimiçi olmayı ve protokolü çalıştırmayı içeren talimatlar. Algorand'den bu yana yalnızca mütevazı bir değere sahip hesaplama ve iletişim gereksinimi, çevrimiçi olma ve protokolü çalıştırma arka plan” büyük bir fedakarlık değildir. Elbette dürüst oyuncular arasında birkaç "eksiklik" var. ani bağlantı kaybı veya yeniden başlatma ihtiyacı nedeniyle otomatik olarak tolere edilir (çünkü bu kadar az sayıda oyuncunun her zaman geçici olarak kötü niyetli olduğunu düşünebiliriz). Ancak şunu belirtelim. Algorand, dürüst kullanıcıların dahil olacağı yeni bir modelde çalışacak şekilde kolayca uyarlanabilir. çoğu zaman çevrimdışıyım. Yeni modelimiz resmi olarak şu şekilde tanıtılabilir. Tembel Dürüstlük. Kabaca söylemek gerekirse, bir i kullanıcısı eğer (1) tüm reçetelerini yerine getiriyorsa tembel ama dürüsttür. Protokole katılması istendiğinde talimatlar ve (2) katılması istendiğinde protokole nadiren ve uygun bir önceden bildirimde bulunarak. Böylesine rahat bir dürüstlük anlayışıyla, dürüst insanların da öyle olacağından daha da emin olabiliriz. ihtiyaç duyduğumuzda elimizin altında ve Algorand bunu garanti ediyor, böyle bir durumda Belirli bir zamanda sistem güvenli bir şekilde çalışsa bile katılan oyuncuların çoğunluğu kötü niyetli.1.3 Yakından İlgili Çalışma İş kanıtı yaklaşımları (alıntılanan [29] ve [4] gibi) bizimkine oldukça diktir. Onlar da öyle Mesaj ileten Bizans anlaşmasına veya pratik Bizans hata toleransına dayalı yaklaşımlar (alıntılanan [8] gibi). Aslında bu protokoller tüm kullanıcılar arasında çalıştırılamaz ve modelimizde uygun şekilde küçük bir kullanıcı grubuyla sınırlandırılmalıdır. Aslında güçlü düşmanımız benim fiilen bir BA protokolü çalıştırmakla yükümlü küçük bir gruba dahil olan tüm kullanıcıları derhal yozlaştırmak. Yaklaşımımız, kullanıcıların "gücü" anlamında, stake kanıtı [2] ile ilgili olarak düşünülebilir. blok inşa etmede sistemde sahip oldukları parayla orantılıdır (örneğin, “emanet”e koydukları para). Bizimkine en yakın makale Pass ve Shi'nin Sleepy Consensus Modeli [30]'dir. önlemek için proof-of-work yaklaşımında yoğun hesaplamalar gerekli olduğundan, makaleleri buna dayanmaktadır (ve nazik bir şekilde kredi) Algorand'nin gizli kriptografik sıralaması. Bu çok önemli ortak noktayla birlikte, birkaç yazılarımız arasında önemli farklılıklar bulunmaktadır. özellikle, (1) Ayarlarına yalnızca izin verilir. Buna karşılık, Algorand aynı zamanda izin gerektirmeyen bir sistemdir. (2) Nakamoto tarzı bir protokol kullanırlar ve dolayısıyla blockchain çatallarını sıklıkla kullanırlar. Rağmen proof-of-work'den vazgeçilerek, protokollerinde gizlice seçilmiş bir liderden görev süresini uzatması istenir. en uzun geçerlilik süresi (daha zengin anlamda) blockchain. Bu nedenle çatallar kaçınılmazdır ve beklemek gerekir blok zincirde yeterince "derin"dir. Gerçekten de, bir düşmanla hedeflerine ulaşmak için Uyarlanabilir bozulmalar yapabilen bu sistemler, bir bloğun poli(N) derinliğinde olmasını gerektirir; burada N, Sistemdeki toplam kullanıcı sayısı. Bir bloğun üretilebileceğini varsayalım bile Bir dakika içinde N = 1 milyon kullanıcı olsaydı, o zaman yaklaşık 2 milyon yıl beklemek zorunda kalacaktık. bir bloğun N 2 derinliğine ulaşması ve yaklaşık 2 yıl boyunca bir bloğun N derinliğine ulaşması. Buna karşılık, Algorand'nin blockchain çatalları, Düşman yolsuzluk yapsa bile yalnızca ihmal edilebilir olasılıkla çatallanır kullanıcılar anında ve uyarlanabilir bir şekilde kullanılabilir ve yeni bloklarına anında güvenilebilir. (3) Bireysel Bizans anlaşmalarını ele almazlar. Bir anlamda sadece garanti veriyorlar “Büyüyen bir değerler dizisi üzerinde nihai fikir birliği”. Onlarınki bir durum çoğaltma protokolüdür, daha ziyade BA'dan daha fazladır ve bireysel bir ilgi değeri üzerinde Bizans anlaşmasına varmak için kullanılamaz. Buna karşılık, Algorand milyonlarca kullanıcının hızlı bir şekilde Belirli bir faiz değeri üzerinde Bizans anlaşmasına varmak. (4) Zayıf senkronize edilmiş saatlere ihtiyaç duyarlar. Yani tüm kullanıcıların saatleri küçük bir zaman farkıyla kaydırılır δ. Buna karşılık, Algorand'de saatlerin yalnızca (esasen) aynı "hıza" sahip olması gerekir. (5) Protokolleri tembel ama dürüst kullanıcılarla veya çevrimiçi kullanıcıların dürüst çoğunluğuyla çalışır. Dürüst kullanıcıların topluca internete girmesi sorununu gündeme getirdiği için Algorand'e teşekkür ederiz ve buna cevaben tembel dürüstlük modelini öne sürüyoruz. Protokolleri sadece tembellerde işe yaramıyor dürüstlük modeli değil, aynı zamanda düşmanın hangi kullanıcıları seçeceği rakip uykulu modeli de Çevrimiçi kullanıcıların çoğunluğunun her zaman dürüst olması koşuluyla çevrimiçi ve çevrimdışı olanlar.2 2Makalelerinin orijinal versiyonu aslında düşmanca uykulu modelinde yalnızca güvenliği dikkate alıyordu.

Algorand'nın kendilerinden önceki orijinal versiyonu da, belirli bir çoğunluğun mevcut olduğu varsayılarak açıkça öngörülmüştür. çevrimiçi oyuncular her zaman dürüsttür, ancak tembel dürüstlük modelinin lehine bunu açıkça değerlendirme dışı bıraktılar. (Örneğin, dürüst kullanıcıların yarısı bir noktada çevrimdışı olmayı seçerse, bu durumda kullanıcıların çoğunluğu çevrimiçi çok iyi niyetli olabilir. Bu nedenle, bunun olmasını önlemek için, Düşmanın gücünün çoğunu zorlaması gerekir. Oyuncuların da çevrimdışı olmalarını sağladı, bu da açıkça kendi çıkarlarına aykırıydı.) Çoğunluğa sahip bir protokolün Tembel ama dürüst oyuncuların sayısı, çevrimiçi kullanıcıların çoğunluğunun her zaman kötü niyetli olması durumunda gayet iyi çalışır. Bu böyle çünkü Nadir bir zamanda çok önemli olacaklarını bilen yeterli sayıda dürüst oyuncu, bu anlarda çevrimdışı olmamaları gerektiği gibi, Düşman tarafından da çevrimdışı olmaya zorlanamazlar çünkü o, düşmanın kim olduğunu bilmemektedir. çok önemli dürüst oyuncular olabilir.(6) Basit ve dürüst bir çoğunluk gerektirirler. Buna karşılık, Algorand'nin mevcut sürümü şunu gerektirir: 2/3 dürüst çoğunluk. Bize yakın olan bir diğer makale ise Ouroboros: Kanıtlanabilir Güvenli Hisse Kanıtı Blockchain Protokolü. Yazan: Kiayias, Russell, David ve Oliynykov [20]. Ayrıca onların sistemi de bizden sonra ortaya çıktı. Aynı zamanda Kanıtlanabilir bir şekilde iş kanıtını ortadan kaldırmak için kriptografik sıralamayı kullanır. Ancak onların sistem yine çatalların hem kaçınılmaz hem de sık olduğu Nakamoto tarzı bir protokoldür. (Ancak onların modelinde blokların uykulu fikir birliği modeli kadar derin olması gerekmez.) Üstelik, sistemleri aşağıdaki varsayımlara dayanmaktadır: yazarların kendi ifadeleriyle, “(1) Ağ oldukça senkronizedir, (2) seçilen paydaşların çoğunluğu ihtiyaç duyulduğunda mevcuttur her döneme katılmak, (3) paydaşların uzun süre çevrimdışı kalmaması, (4) yolsuzlukların uyarlanabilirliği, doğrusal olarak turlarla ölçülen küçük bir gecikmeye tabidir. güvenlik parametresi." Buna karşılık, Algorand büyük olasılıkla çatalsızdır ve bu 4 varsayımın hiçbirine dayanmamaktadır. Özellikle Algorand'da Düşman şunları yapabilir: kontrol etmek istediği kullanıcıları anında yozlaştırıyor.

Ön Hazırlıklar

2.1 Şifreleme İlkelleri İdeal Hashing. Verimli bir şekilde hesaplanabilir kriptografik hash fonksiyonuna (H) güveneceğiz: keyfi uzun dizeleri sabit uzunluktaki ikili dizelerle eşler. Uzun bir geleneğin ardından model oluyoruz H rastgele bir oracle olarak, esasen her olası dizeyi rastgele ve seçilen uzunlukta, bağımsız olarak seçilmiş (ve sonra sabitlenmiş) ikili dize, H(s). Bu yazıda H'nin 256 bit uzunluğunda çıkışları vardır. Aslında bu uzunluk, sistem verimli ve sistemi güvenli hale getirecek kadar uzun. Örneğin H'nin çarpışmaya dayanıklı olmasını istiyoruz. Yani H(x) = H(y) olacak şekilde iki farklı x ve y dizisini bulmak zor olmalı. H, 256 bit uzunluğunda çıktılara sahip rastgele bir oracle olduğunda, bu tür herhangi bir dizi çiftini bulmak aslında zor. (Rastgele denemek ve doğum günü paradoksuna güvenmek için 2256/2 = 2128 gerekir. denemeler.) Dijital İmzalama. Dijital imzalar, kullanıcıların bilgileri birbirlerine doğrulatmasına olanak tanır herhangi bir gizli anahtarı paylaşmadan. Bir dijital imza şeması üç hızlı Algoritmalar: olasılıklı bir anahtar üreteci G, bir imzalama algoritması S ve bir doğrulama algoritması V. Yeterince yüksek bir tamsayı olan k güvenlik parametresi verildiğinde, i kullanıcısı bir çift oluşturmak için G'yi kullanır. k-bit anahtarları (yani dizeler): bir "genel" anahtar pki ve eşleşen bir "gizli" imzalama anahtarı kayak. En önemlisi, bir ortak anahtar, karşılık gelen gizli anahtarına "ihanet etmez". Yani, pki bilgisi verilse bile, hayır benden başkası kayak hesaplamasını astronomik süreden daha kısa sürede yapabiliyor. Kullanıcı i, mesajları dijital olarak imzalamak için ski'yi kullanıyor. Her olası mesaj için (ikili dizi) m, ilk olarak ben hashes m ve ardından k-bit dizesini üretmek için H(m) girişleri ve ski üzerinde S algoritmasını çalıştırır sigpki(m) $\triangleq$S(H(m), kayak) .3 3H çarpışmaya dayanıklı olduğundan, m'yi imzalayarak farklı bir imzayı "yanlışlıkla imzalamış" olmak neredeyse imkansızdır. mesaj m'.İkili dizi sigpki(m), m'nin (pki'ye göre) dijital imzası olarak adlandırılır ve şu şekilde ifade edilebilir: genel anahtar pki bağlamdan açık olduğunda daha basit bir şekilde sigi(m) ile gösterilir. Pki'yi bilen herkes onu i tarafından üretilen dijital imzaları doğrulamak için kullanabilir. Özellikle, (a) i oyuncusunun genel anahtarı pki'yi, (b) m mesajını ve (c) s dizesini, yani i'nin iddiasını girer m mesajının dijital imzası, doğrulama algoritması V ya EVET ya da HAYIR olarak çıkar. Dijital imza şemasından istediğimiz özellikler şunlardır: 1. Meşru imzalar her zaman doğrulanır: Eğer s = sigi(m), o zaman V (pki, m, s) = Y ES; ve 2. Dijital imzaların sahtesini yapmak zordur: Kayak bilgisi olmadan öyle bir dize bulmanın zamanı gelir V (pki, m, s) = EVET, i tarafından asla imzalanmayan bir m mesajı için astronomik uzunluktadır. (Goldwasser, Micali ve Rivest [17]'nin güçlü güvenlik gereksinimleri uyarınca bu doğrudur başka bir mesajın imzası elde edilebilse bile.) Buna göre, başka birinin kendisi adına mesaj imzalamasını önlemek için, oyuncunun kendi hesabını saklaması gerekir. anahtar kayak sırrının imzalanması (dolayısıyla "gizli anahtar" terimi) ve herkesin mesajları doğrulamasını sağlamak İmzalıyorsa, anahtar PK'sını duyurmakla ilgileniyorum (bu nedenle "ortak anahtar" terimi de budur). Genel olarak, bir m mesajı imza sigi(m)'sinden alınamaz. Sanal olarak anlaşmak için kavramsal olarak uygun “geri alınabilirlik” özelliğini karşılayan dijital imzalarla (örn. imzalayanın ve mesajın bir imzadan kolayca hesaplanabileceğini garanti ediyoruz. SIGpki(m) = (i, m, sigpki(m)) ve SIGi(m) = (i, m, sigi(m)) eğer pki açıksa. Benzersiz Dijital İmzalama. Ayrıca aşağıdaki şartları karşılayan dijital imza şemalarını da (G, S, V) dikkate alıyoruz. ek mülkün ardından. 3. Benzersizlik. Öyle ki pk', m, s ve s' dizilerini bulmak zordur. s̸= s′ ve V (pk', m, s) = V (pk', m, s') = 1. (Benzersizlik özelliğinin aynı zamanda yasal olarak üretilmeyen pk′ dizeleri için de geçerli olduğunu unutmayın. ortak anahtarlar. Ancak özellikle benzersizlik özelliği şunu ima eder: eşleşen bir gizli anahtar sk ile birlikte bir genel anahtar pk'yi hesaplamak için belirtilen anahtar üreteci G, ve dolayısıyla sk'yi tanıyorsa, onun için de iki farklı dijital veri bulması aslında imkansız olurdu. pk'ye göre aynı mesajın imzaları.) Açıklamalar • Benzersiz imzalardan doğrulanabilir rastgele işlevlere kadar. Dijital ile ilgili benzersizlik özelliğine sahip imza şeması, m $\to$ H(sigi(m)) eşlemesi ile ilişkilendirilir her olası dize m, benzersiz, rastgele seçilmiş, 256 bitlik bir dize ve bunun doğruluğu eşleme sigi(m) imzası verildiğinde kanıtlanabilir. Yani ideal hashing ve benzersizlik özelliğini temel olarak karşılayan dijital imza şeması tanıtıldığı şekliyle ve doğrulanabilir bir rastgele fonksiyonun temel bir uygulamasını sağlamak Micali, Rabin ve Vadhan [27]. (Orijinal uygulamaları zorunlu olarak daha karmaşıktı, ideal hashing'e güvenmedikleri için.)• Dijital imzalar için üç farklı ihtiyaç. Algorand'de bir kullanıcı i dijitale güveniyor için imzalar (1) i'nin kendi ödemelerinin doğrulanması. Bu uygulamada anahtarlar "uzun vadeli" olabilir (ör. uzun bir süre boyunca birçok mesajı imzalar) ve sıradan bir imza şemasından gelir. (2) i'nin r turunun bazı adımlarında hareket etme hakkına sahip olduğunu kanıtlayan kimlik bilgilerinin oluşturulması. Burada, anahtarlar uzun vadeli olabilir ancak benzersizlik özelliğini karşılayan bir şemadan gelmelidir. (3) Hareket ettiği her adımda i'nin gönderdiği mesajın doğrulanması. Burada anahtarlar olmalı geçicidir (yani ilk kullanımdan sonra yok edilir), ancak sıradan bir imza şemasından gelebilir. • Küçük maliyetli bir basitleştirme. Basitlik açısından her i kullanıcısının tek bir uzun vadeli anahtara sahip olmasını öngörüyoruz. Buna göre böyle bir anahtarın benzersizliğe sahip bir imza şemasından gelmesi gerekir. mülk. Bu basitliğin küçük bir hesaplama maliyeti vardır. Aslında tipik olarak benzersiz dijital İmzaların üretilmesi ve doğrulanması sıradan imzalara göre biraz daha pahalıdır. 2.2 İdealleştirilmiş Kamu Defterleri Algorand idealleştirilmiş bir kamu defterine dayalı olarak aşağıdaki ödeme sistemini taklit etmeye çalışır. 1. Başlangıç Durumu. Para, bireysel genel anahtarlarla (özel olarak oluşturulmuş ve kullanıcılara aittir). Pk1'e izin veriliyor, . . . , pkj ilk genel anahtarlar ve a1, . . . , ve onların ilgilileri başlangıçtaki para birimi miktarları, ardından başlangıç durumu S0 = (pk1, a1), . . . , (pkj, aj) , sistemde ortak bilgi olduğu varsayılmaktadır. 2. Ödemeler. Pk şu anda $\geq$0 para birimine sahip bir genel anahtar olsun, pk′ başka bir genel anahtar olsun anahtar ve a', a'dan büyük olmayan, negatif olmayan bir sayıdır. O halde (geçerli) bir ödeme dijitaldir a' para birimlerinin pk'den pk'ye transferini belirten, pk'ye göre imza, birlikte bazı ek bilgilerle. Sembollerde, $\wp$= SIGpk(pk, pk′, a′, I, H(I)) Yararlı kabul edilen ancak hassas olmayan herhangi bir ek bilgiyi temsil ettiğimde (örneğin, zaman bilgiler ve ödeme tanımlayıcı) ve hassas sayılan her türlü ek bilgiyi (ör. ödemenin nedeni, muhtemelen pk ve pk' sahiplerinin kimlikleri vb.). Pk'yi (veya sahibini) ödeyen olarak, her Pk'yi (veya sahibini) alacaklı olarak ve a'yı da alacaklı olarak adlandırıyoruz. ödeme tutarı $\wp$. Ödeme Yoluyla Ücretsiz Katılma. Kullanıcıların diledikleri zaman sisteme katılabileceklerini unutmayın. kendi genel/gizli anahtar çiftlerini oluşturma. Buna göre, görünen pk′ ortak anahtarı Yukarıdaki ödeme $\wp$hiçbir zaman paraya "sahip olmayan" yeni oluşturulmuş bir genel anahtar olabilir önce. 3. Sihirli Defter. İdealleştirilmiş Sistemde tüm ödemeler geçerlidir ve kurcalanmaya karşı korumalı bir şekilde görünür Herkesin görmesi için “gökyüzüne gönderilen” L ödeme setlerinin listesi: L = ÖDEME 1, ÖDEME 2, . . . ,Her PAY r+1 bloğu, bloğun ortaya çıkışından bu yana yapılan tüm ödemelerin kümesinden oluşur ÖDEME r. İdeal sistemde, sabit (veya sonlu) bir sürenin ardından yeni bir blok ortaya çıkar. Tartışma. • Daha Fazla Genel Ödemeler ve Harcanmamış İşlem Çıktısı. Daha genel olarak, eğer bir ortak anahtar pk, a miktarına sahipse, o zaman pk'nin geçerli bir ödemesi $\wp$, a′ tutarlarını aktarabilir 1, a' 2, . . ., sırasıyla pk′ tuşlarına 1, pk' 2, . . ., P olduğu sürece j a′ j $\leq$a. Bitcoin ve benzeri sistemlerde, genel anahtar pk'nin sahip olduğu para ayrı bölümlere ayrılır tutarlar ve pk tarafından yapılan bir ödemenin, bu şekilde ayrılmış bir tutarın tamamını aktarması gerekir. Eğer pk, a'nın yalnızca a′ < a kesirini başka bir anahtara aktarmak isterse, o zaman aynı zamanda bakiye, harcanmamış işlem çıktısı, başka bir anahtara, muhtemelen pk'nin kendisine. Algorand ayrıca tutarları ayrılmış anahtarlarla da çalışır. Ancak konuya odaklanmak için Algorand'nin yeni yönleri, daha basit ödeme şekillerimize bağlı kalmak kavramsal olarak daha kolaydır ve kendileriyle ilişkilendirilmiş tek bir miktara sahip anahtarlar. • Mevcut Durum. İdealleştirilmiş Şema mevcut durum hakkında doğrudan bilgi sağlamaz. sistemin durumu (yani her bir genel anahtarın kaç para birimine sahip olduğu hakkında). Bu bilgi Magic Ledger'dan düşülebilir. İdeal sistemde aktif bir kullanıcı sürekli olarak en son durum bilgisini saklar ve günceller. ya da aksi halde onu ya sıfırdan ya da son kez yaptığından itibaren yeniden inşa etmek zorunda kalacaktı. bunu hesapladı. (Bu yazının bir sonraki versiyonunda, Algorand öğesini etkinleştirecek şekilde artıracağız. kullanıcıların mevcut durumu verimli bir şekilde yeniden yapılandırmasını sağlar.) • Güvenlik ve “Gizlilik”. Dijital imzalar, hiç kimsenin sahte ödeme yapamayacağını garanti eder. başka bir kullanıcı. Bir ödemede $\wp$, genel anahtarlar ve tutar gizli değildir ancak hassas bilgiler gizlidir bilgi ben. Aslında, $\wp$'de yalnızca H(I) görünür ve H ideal bir hash fonksiyonu olduğundan, H(I) rastgele 256 bitlik bir değerdir ve bu nedenle hangi konuda daha iyi olduğumu anlamanın hiçbir yolu yoktur. sadece tahmin ediyorum. Ancak ne olduğumu kanıtlamak için (örneğin, ödemenin nedenini kanıtlamak için) ödeyen sadece I'yi açıklayabilir. Açıklanan I'in doğruluğu H(I)'nin hesaplanmasıyla doğrulanabilir. ve elde edilen değerin $\wp$'nin son öğesiyle karşılaştırılması. Aslında H çarpışmaya dayanıklı olduğundan, H(I) = H(I′) olacak şekilde ikinci bir I′ değeri bulmak zordur. 2.3 Temel Kavramlar ve Gösterimler Anahtarlar, Kullanıcılar ve Sahipler Aksi belirtilmedikçe, her genel anahtar (kısaca “anahtar”) uzun vadelidir ve benzersizlik özelliğine sahip bir dijital imza şemasına bağlıdır. Katıldığım bir ortak anahtar Sistemde zaten bulunan başka bir j genel anahtarı i'ye ödeme yaptığında sistem. Renk için tuşları kişiselleştiriyoruz. Bir i anahtarına "o" adını veririz, dürüst olduğumu ve gönderdiğimi söyleriz ve mesajları vb. alır. Kullanıcı, anahtarın eşanlamlısıdır. Bir anahtarı ayırt etmek istediğimizde ait olduğu kişi için sırasıyla “dijital anahtar” ve “sahip” tabirlerini kullanırız. İzinsiz ve İzinli Sistemler. Dijital anahtar ücretsizse sistem izinsizdir herhangi bir zamanda katılabilir ve bir sahibi birden fazla dijital anahtara sahip olabilir; ve aksi takdirde izin verilir.Benzersiz Temsil Algorand içindeki her nesnenin benzersiz bir temsili vardır. özellikle, her küme {(x, y, z, . . .) : x $\in$X, y $\in$Y, z $\in$Z, . . .} önceden belirlenmiş bir şekilde sıralanır: örneğin, ilk sözlükbilimsel olarak x'te, sonra y'de vb. Aynı Hızda Saatler Küresel bir saat yoktur; bunun yerine her kullanıcının kendi saati vardır. Kullanıcı saatleri hiçbir şekilde senkronize edilmesine gerek yoktur. Ancak hepsinin aynı hıza sahip olduğunu varsayıyoruz. Örneğin i kullanıcısının saatine göre saat 12:00 iken, i kullanıcısının saatine göre 14:30 olabilir. Başka bir j kullanıcısının saati, ancak i'nin saatine göre 12:01 olduğunda, i'nin saatine göre 2:31 olacaktır. j'nin saatine. Yani, "bir dakika her kullanıcı için aynıdır (yeterince, esas itibarıyla aynıdır)". Turlar Algorand mantıksal birimler halinde düzenlenmiştir, r = 0, 1, . . ., tur denir. Turları belirtmek için sürekli olarak üst simgeler kullanırız. Sayısal olmayan bir miktarın Q olduğunu belirtmek için (örneğin, bir dize, bir genel anahtar, bir küme, bir dijital imza, vb.) yuvarlak bir r'yi ifade eder, biz sadece Qr yazarız. Yalnızca Q gerçek bir sayı olduğunda (sayı olarak yorumlanabilen ikili bir dizenin aksine), Q(r) yazarız, böylece r sembolü Q'nun üssü olarak yorumlanamaz. r > 0 turunda (a'nın başlangıcında), tüm genel anahtarların kümesi PKr'dir ve sistem durumu Sr = n ben, bir(r) ben . . . : i $\in$PKro , nerede a(r) ben i genel anahtarının kullanabileceği para miktarıdır. PKr'nin düşülebileceğini unutmayın. Sr ve bu Sr ayrıca her bir genel anahtar i için diğer bileşenleri de belirleyebilir. 0. tur için, PK0 başlangıç genel anahtarlarının kümesidir ve S0 başlangıç durumudur. Hem PK0 hem de S0'ın sistemde ortak bilgi olduğu varsayılmaktadır. Basitlik açısından, r turunun başlangıcında, yani PK1, . . . , PKr ve S1, . . . , Sr. Bir r turunda sistem durumu Sr'den Sr+1'e geçiş yapar: sembolik olarak, Yuvarlak r: Sr −→Sr+1. Ödemeler Algorand'de kullanıcılar sürekli olarak ödeme yapar (ve bunları ödeme şekline göre dağıtır) altbölüm 2.7'de açıklanmıştır). Bir i $\in$PKr kullanıcısının $\wp$ ödemesi aynı format ve anlama sahiptir İdeal Sistem'de olduğu gibi. Yani, $\wp$= SIGi(i, i′, a, I, H(I)) . Ödeme $\wp$, eğer (1) tutarı ise r turunda bireysel olarak geçerlidir (kısaca r turu ödemesidir) a, a(r)'den küçük veya ona eşittir i ve (2) r′ < r için herhangi bir resmi ödeme kümesinde PAY r′ görünmüyor. (Aşağıda açıklandığı gibi ikinci koşul $\wp$'nin henüz yürürlüğe girmediği anlamına gelir. i'nin bir dizi yuvarlak r ödemesi, tutarlarının toplamı en fazla a(r) ise toplu olarak geçerlidir ben. Ödeme Setleri Bir yuvarlak-r ödeme kümesi P, bir yuvarlak-r ödemeler kümesidir, öyle ki, her i kullanıcısı için, ödemeler P'deki i'nin (muhtemelen hiçbiri) toplu olarak geçerliliği yoktur. Tüm yuvarlak ödeme kümelerinin kümesi PAY(r)'dir. Yuvarlak bir r P'nin hiçbir üst kümesi yuvarlak r'li bir ödeme kümesi değilse, P ödeme kümesi maksimumdur. Biz aslında bir $\wp$ ödemesinin aynı zamanda bir $\rho$ turunu da belirttiğini öneriyoruz, $\wp$= SIGi($\rho$, i, i′, a, I, H(I)) , ve negatif olmayan bazı sabit tamsayılar için [$\rho$, $\rho$ + k] dışındaki herhangi bir turda geçerli olamaz.4 4Bu, $\wp$'nin "etkili" hale gelip gelmediğini kontrol etmeyi basitleştirir (yani bazı ödeme setlerinin etkin olup olmadığını belirlemeyi kolaylaştırır) PAY r, $\wp$'yi içerir. K = 0 olduğunda, eğer $\wp$= SIGi(r, i, i′, a, I, H(I)) ve $\wp$/$\in$PAY r ise, o zaman i'nin $\wp$'yi yeniden göndermesi gerekir.Resmi Ödeme Setleri Her r turu için, Algorand herkese açık olarak seçer (daha sonra açıklanacak şekilde) tek bir (muhtemelen boş) ödeme seti, PAY r, turun resmi ödeme seti. (Esasen, PAY r şunu temsil eder: "gerçekte" gerçekleşen yuvarlak ödemeler.) İdeal Sistemde (ve Bitcoin) olduğu gibi, (1) yeni bir j kullanıcısının sisteme girmesinin tek yolu belirli bir tur r'nin resmi ödeme seti PAY r'ye ait bir ödemenin alıcısı olmaktır; ve (2) PAY r, mevcut tur olan Sr'den sonraki tur olan Sr+1'in durumunu belirler. Sembolik olarak, ÖDEME r : Sr −→Sr+1. Özellikle, 1. r + 1, PKr+1 turunun genel anahtarları kümesi, PKr'nin birleşiminden ve hepsinin kümesinden oluşur PAY r ödemelerinde ilk kez görünen alacaklı anahtarları; ve 2. para miktarı a(r+1) ben r + 1 turunda i'nin sahip olduğu kullanıcı ai(r)'nin toplamıdır — yani önceki turda sahip olduğum para miktarı (eğer i̸$\in$PKr ise 0)— ve miktarların toplamı PAY r ödemelerine göre i'ye ödenir. Özetle, İdeal Sistem'de olduğu gibi her Sr+1 durumu önceki ödeme geçmişinden düşülebilir: 0 ÖDEME. . . , ÖDEME r. 2.4 Bloklar ve Kanıtlanmış Bloklar Algorand0'da, bir r turuna karşılık gelen Br bloğu şunları belirtir: r'nin kendisi; ödeme seti yuvarlak r, PAY r; açıklanacak bir Qr miktarı ve önceki bloğun hash değeri, H(Br−1). Böylece, sabit bir B0 bloğundan başlayarak geleneksel bir blockchain elde ederiz: B1 = (1, ÖDEME 1, Q0, H(B0)) B2 = (2, ÖDEME 2, Q1, H(B1)) B3 = (3, ÖDE 3, Q2, H(B2)) . . . Algorand'de bir bloğun gerçekliği aslında ayrı bir bilgiyle doğrulanır, Br'yi kanıtlanmış bir bloğa dönüştüren bir “blok sertifikası” CERT r, Br. Bu nedenle Sihirli Defter, kanıtlanmış blokların sırası ile uygulanır, B1, B2, . . . Tartışma Göreceğimiz gibi CERT r, H(Br) için bir dizi dijital imzadan oluşur; SV r üyelerinin çoğunluğu ve bu üyelerin her birinin gerçekten üye olduğuna dair bir kanıt SV r'ye. Elbette CERT r sertifikalarını blokların içine dahil edebiliriz, ancak onu da bulabiliriz. ayrı tutmak için kavramsal olarak daha temiz.) Bitcoin'da her blok özel bir özelliği karşılamalıdır, yani "bir çözüm içermelidir" Blok oluşturmayı hesaplama açısından yoğun hale getiren ve çatallanmaları kaçınılmaz hale getiren kripto bulmacası” ve nadir değil. Buna karşılık, Algorand'nin blockchain'sinin iki ana avantajı vardır: minimum hesaplama ve çok yüksek olasılıkla çatallanmayacaktır. Her blok Bi blockchain girer girmez güvenli bir şekilde sonlandırılır.2.5 Kabul Edilebilir Arıza Olasılığı Algorand güvenliğini analiz etmek için, istediğimiz F olasılığını belirtiriz. bir şeylerin ters gittiğini kabul edin (örneğin, bir doğrulayıcı SV r kümesinin dürüst bir çoğunluğa sahip olmaması). Kriptografik hash fonksiyonu H'nin çıkış uzunluğu durumunda olduğu gibi, F de bir parametredir. Ancak bu durumda olduğu gibi, daha sezgisel bir sonuç elde etmek için F'yi somut bir değere ayarlamanın faydalı olduğunu düşünüyoruz. Algorand'de aynı anda yeterli güvenlikten yararlanmanın gerçekten mümkün olduğu gerçeğini kavramak ve yeterli verimlilik. F'nin istenildiği gibi ayarlanabilen bir parametre olduğunu vurgulamak için ilk aşamada ve sırasıyla belirlediğimiz ikinci düzenlemeler F = 10−12 ve F = 10−18 . Tartışma 10−12'nin aslında trilyonda birden az olduğuna dikkat edin ve biz böyle bir sayının olduğuna inanıyoruz. Uygulamamızda F seçimi yeterlidir. 10−12'nin olasılık olmadığını vurgulayalım Düşmanın dürüst bir kullanıcının ödemelerini taklit edebileceği. Tüm ödemeler dijital olarak yapılıyor imzalanır ve dolayısıyla uygun dijital imzalar kullanılırsa sahte ödeme olasılığı 10−12'den çok daha düşüktür ve aslında aslında 0'dır. Hoşgörmeye hazır olduğumuz kötü olay F olasılığı ile Algorand’nin blockchain çatalıdır. F ve ayarlarımızla buna dikkat edin. bir dakikalık uzun turlarda, Algorand'nin blockchain'sında şu kadar seyrek bir çatallanma meydana gelmesi beklenir: (kabaca) 1,9 milyon yılda bir. Buna karşılık, Bitcoin'de çatallanmalar oldukça sık meydana gelir. Daha talepkar bir kişi F'yi daha düşük bir değere ayarlayabilir. Bu amaçla ikinci uygulamamızda F'yi 10−18 olarak ayarlamayı düşünüyoruz. Her saniyede bir bloğun oluşturulduğunu varsayarsak 1018 Evrenin Büyük Patlama'dan günümüze kadar geçen tahmini saniye sayısıdır zaman. Bu nedenle, F = 10−18 ile, eğer bir blok bir saniyede üretilirse, yaşı beklenmelidir. Evren bir çatal görecek. 2.6 Çekişmeli Model Algorand oldukça çekişmeli bir modelde güvenli olacak şekilde tasarlanmıştır. Açıklayalım. Dürüst ve Kötü niyetli Kullanıcılar Bir kullanıcı tüm protokol talimatlarını yerine getiriyorsa dürüsttür ve mesaj gönderme ve alma konusunda mükemmel bir yeteneğe sahiptir. Bir kullanıcı kötü niyetlidir (örn. Bizans, Dağıtılmış bilgi işlemin tabiriyle) eğer öngörülen talimatlarından keyfi olarak sapabilirse. Düşman Düşman, istediği kullanıcıyı istediği zaman anında kötü niyetli hale getirebilen, renk açısından kişiselleştirilmiş, etkili (teknik olarak polinom zamanlı) bir algoritmadır (konu). yalnızca bozabileceği kullanıcı sayısının üst sınırına kadar). Düşman, tüm kötü niyetli kullanıcıları tamamen kontrol eder ve mükemmel bir şekilde koordine eder. Tüm işlemleri o yapıyor tüm mesajlarını almak ve göndermek de dahil olmak üzere, onların adına izin verebilir ve bunların sapmasına izin verebilir. onların belirlenmiş talimatlarını keyfi yollarla yerine getirirler. Veya bozuk bir kullanıcı gönderimini izole edebilir ve mesaj alıyorum. Başka hiç kimsenin bir i kullanıcısının kötü niyetli olduğunu otomatik olarak öğrenmeyeceğini açıklığa kavuşturalım. yine de i'nin kötü niyetliliği, Düşmanın ona yaptırdığı eylemlerden ortaya çıkabilir. Ancak bu güçlü düşman, • Sınırsız hesaplama gücüne sahip değildir ve dijital verileri başarılı bir şekilde oluşturamaz İhmal edilebilir bir olasılık dışında dürüst bir kullanıcının imzası; Ve• Dürüst kullanıcılar arasındaki mesaj alışverişlerine hiçbir şekilde müdahale edilemez. Ayrıca dürüst kullanıcılara saldırma yeteneği aşağıdaki varsayımlardan biriyle sınırlıdır. Dürüstlük Paranın Çoğunluğu Paranın Dürüst Çoğunluğunun (HMM) sürekliliğini düşünüyoruz varsayımlar: yani, negatif olmayan her k tamsayı ve gerçek h > 1/2 için, HHMk > h: her r turundaki dürüst kullanıcılar, tüm paranın h'den daha fazla bir kısmına sahipti sistem r −k turunda. Tartışma. Tüm kötü niyetli kullanıcıların eylemlerini mükemmel şekilde koordine ettiği varsayılırsa (sanki kontrol ediliyormuş gibi) tek bir varlık tarafından (Düşman) ortaya atılması oldukça karamsar bir hipotezdir. Aralarında mükemmel koordinasyon birçok kişiye ulaşmak zordur. Belki koordinasyon yalnızca ayrı gruplar arasında gerçekleşir kötü niyetli oyuncuların Ancak kötü niyetli kullanıcıların koordinasyon seviyesinden emin olunamadığı için keyif alabiliriz, üzgün olmaktansa güvende olsak iyi olur. Düşmanın gizlice, dinamik olarak ve anında kullanıcıları yozlaştırabileceğini varsaymak da kötümser. Sonuçta gerçekçi olmak gerekirse, kullanıcının işlemlerinin tam kontrolünü ele geçirmek biraz zaman almalıdır. HMMk > h varsayımı örneğin bir turun (ortalama olarak) uygulanması durumunda şunu ima eder: o zaman bir dakika içinde belirli bir turdaki paranın çoğunluğu dürüst ellerde kalacak k = 120 ise en az iki saat ve k = 10.000 ise en az bir hafta. HMM varsayımlarının ve önceki Bilgi İşlem Gücünün Dürüst Çoğunluğunun varsayımlar şu anlamda ilişkilidir: bilgi işlem gücü parayla satın alınabildiğinden, Kötü niyetli kullanıcılar paranın çoğuna sahipse, bilgi işlem gücünün çoğunu elde edebilirler. 2.7 İletişim Modeli Mesaj yaymanın -yani "eşler arası dedikodu"5- tek yol olduğunu düşünüyoruz. iletişim. Geçici Varsayım: Mesajların Tüm Ağda Zamanında Teslimi. için Bu makalenin büyük bir bölümünde, yayılan her mesajın neredeyse tüm dürüst kullanıcılara ulaştığını varsayıyoruz. zamanında. Ağ konusunu ele aldığımız Bölüm 10'da bu varsayımı kaldıracağız. doğal olarak meydana gelen veya olumsuz bir şekilde tetiklenen bölünmeler. (Göreceğimiz gibi, yalnızca varsayıyoruz Ağın bağlı her bileşeninde mesajların zamanında teslim edilmesi.) Yayılan mesajların (ağın tamamında) zamanında teslimini yakalamanın somut bir yolu, aşağıdakiler: Tüm erişilebilirlik $\rho$ > %95 ve mesaj boyutu $\mu$ $\in$Z+ için, $\lambda$ $\rho$,μ vardır, öyle ki, eğer dürüst bir kullanıcı $\mu$ baytlık m mesajını t zamanında yayarsa, bu durumda m, t + $\lambda$ $\rho$,μ zamanına kadar dürüst kullanıcıların en azından $\rho$ kısmına ulaşır. 5Aslında, Bitcoin'de olduğu gibi, bir kullanıcı bir m mesajını yaydığında, her aktif i kullanıcısı m'yi ilk kez alır, m'yi ilettiği uygun sayıda az sayıda aktif kullanıcıyı, yani "komşularını" rastgele ve bağımsız olarak seçer, muhtemelen onlardan bir onay alana kadar. Hiçbir kullanıcı bir mesaj almadığında m'nin yayılması sona erer ilk kez m.Ancak yukarıdaki özellik, en son blockchain'yi başka bir kullanıcı/depozito/vb. tarafından elde etmek için açık ve ayrı bir mekanizma öngörmeden Algorand protokolümüzü destekleyemez. Aslında, yeni bir Br bloğu inşa etmek için sadece uygun bir doğrulayıcı grubunun zamanında r-round-r alması yeterli değildir. mesajları değil, aynı zamanda Br−1 ve önceki tüm diğer mesajları bilmek için önceki turların mesajlarını da içerir. Br'deki ödemelerin geçerli olup olmadığını belirlemek için gerekli olan bloklar. Aşağıdakiler bunun yerine varsayım yeterlidir. Mesaj Yayılımı (MP) Varsayımı: Tüm $\rho$ > %95 ve $\mu$ $\in$Z+ için $\lambda$ $\rho$,μ vardır Öyle ki, tüm t zamanları ve t −$\lambda$ $\rho$,μ öncesinde dürüst bir kullanıcı tarafından yayılan tüm $\mu$ baytlık m mesajları için, m, t zamanında dürüst kullanıcıların en azından bir $\rho$ kısmı tarafından alınır. Algorand Protokolü aslında az sayıdaki kullanıcının her birine (yani bir veri doğrulayıcılarına) talimat verir. (küçük) öngörülen boyutta ayrı bir mesajı yaymak için Algorand ′ içinde bir turda verilen adım, ve bu talimatları yerine getirmek için gereken süreyi sınırlamamız gerekiyor. Bunu MP'yi zenginleştirerek yapıyoruz varsayım şu şekildedir. Tüm n, $\rho$ > %95 ve $\mu$ $\in$Z+ için, tüm t zamanları ve tüm $\mu$ baytlar için $\lambda$n,$\rho$,μ vardır. mesajlar m1, . . . , mn, her biri dürüst bir kullanıcı tarafından t −$\lambda$n,$\rho$,μ, m1,'den önce yayılır. . . , mn alındı, t zamanına kadar, dürüst kullanıcıların en azından $\rho$ kısmı kadar. Not • Yukarıdaki varsayım kasıtlı olarak basittir ancak aynı zamanda makalemizde gerekenden daha güçlüdür.6 • Basitlik açısından $\rho$ = 1 varsayıyoruz ve dolayısıyla $\rho$'dan bahsetmeyi bırakıyoruz. • Kötümser bir şekilde, MP varsayımını ihlal etmemesi koşuluyla, Düşmanın tüm mesajların teslimini tamamen kontrol eder. Özellikle dürüst kişiler tarafından fark edilmeden Kullanıcılar, Düşman hangi dürüst oyuncunun hangi mesajı ne zaman alacağına keyfi olarak karar verebilir, ve istediği herhangi bir mesajın iletilmesini keyfi olarak hızlandırır.7

Geleneksel Bir Ortamda BA Protokolü BA⋆

Daha önce de vurgulandığı gibi, Bizans anlaşması Algorand'nin önemli bir bileşenidir. Gerçekten de bu sayede oluyor Algorand'nin çatallardan etkilenmemesini sağlayacak şekilde bir BA protokolünün kullanılması. Ancak bize karşı güvende olmak için Güçlü Rakip, Algorand yeni oyuncu tarafından değiştirilebilirlik şartını karşılayan bir BA protokolüne güvenmek zorundadır kısıtlama. Ayrıca Algorand'nın etkili olabilmesi için böyle bir BA protokolünün çok etkili olması gerekir. BA protokolleri ilk olarak idealleştirilmiş bir iletişim modeli için tanımlandı. ağlar (SC ağları). Böyle bir model, BA protokollerinin daha basit bir şekilde tasarlanmasına ve analizine olanak tanır. 6Dürüst yüzde h ve kabul edilebilir başarısızlık olasılığı F verildiğinde, Algorand bir üst sınır olan N'yi hesaplar, bir adımda maksimum doğrulayıcı üye sayısına kadar. Dolayısıyla MP varsayımının yalnızca n $\leq$N için geçerli olması gerekir. Ek olarak, belirtildiği gibi, MP varsayımı, yanında kaç tane başka mesajın yayılabileceğine bakılmaksızın geçerlidir. mj'ler. Ancak ileride göreceğimiz gibi, Algorand adresindeki mesajlar temelde örtüşmeyen bir zamanda yayılır. ya tek bir bloğun yayıldığı ya da en fazla N doğrulayıcının küçük bir bloğu (örn. 200B) yaydığı aralıklar mesaj. Böylece MP varsayımını daha zayıf fakat aynı zamanda daha karmaşık bir şekilde yeniden ifade edebiliriz. 7Örneğin dürüst oyuncuların gönderdiği mesajları anında öğrenebiliyor. Böylece, kötü niyetli bir kullanıcı olan i' Dürüst bir kullanıcı i ile aynı anda bir mesajı yayması istendiğinde, her zaman kendi mesajını m′ seçebilir. m mesajı aslında i tarafından yayıldı. Bu yetenek, dağıtılmış hesaplamanın tabiriyle acele etmeyle ilgilidir. edebiyat.Buna göre, bu bölümde, SC ağları için yeni bir BA protokolü olan BA⋆'yi tanıtıyoruz ve bu protokolü göz ardı ediyoruz. tamamen oyuncunun değiştirilebilmesi meselesi. BA⋆ protokolü ayrı bir değere sahip bir katkıdır. Aslında SC ağları için şu ana kadar bilinen en etkili kriptografik BA protokolüdür. Bunu Algorand protokolümüz dahilinde kullanmak için, farklı özelliklerimizi hesaba katacak şekilde BA⋆biraz değiştiririz. iletişim modeli ve bağlamı, ancak Bölüm X'te BA⋆'nın nasıl kullanıldığını vurguladığınızdan emin olun. gerçek protokolümüz dahilinde Algorand ′. BA'nın faaliyet gösterdiği modeli ve Bizans anlaşması kavramını hatırlatarak başlıyoruz. 3.1 Senkronize Komple Ağlar ve Eşleşen Rakipler Bir SC ağında, her bir r = 1, 2, integral zamanında işleyen ortak bir saat vardır. . . Her çift tıklamada r'ye tıkladığınızda, her oyuncu anında ve eş zamanlı olarak tek bir mesaj gönderir. mesaj bay i,j (muhtemelen boş mesaj) kendisi dahil her j oyuncusuna. Her bir bay i,j alınır zamanda gönderenin kimliğiyle birlikte j oyuncusu tarafından r + 1'e tıklayın. Yine bir iletişim protokolünde, bir oyuncu kendisine söylenenlerin hepsini yerine getiriyorsa dürüsttür. talimatlar ve aksi takdirde kötü niyetli. Tüm kötü niyetli oyuncular tamamen kontrol edilir ve mükemmel bir şekilde kontrol edilir Özellikle kendisine gönderilen tüm mesajları anında alan Düşman tarafından koordine edilir. kötü niyetli oyuncular ve gönderecekleri mesajları seçer. Düşman, istediği herhangi bir dürüst kullanıcıyı herhangi bir tıklamayla anında kötü niyetli hale getirebilir sadece kötü niyetli oyuncuların sayısına olası bir üst sınıra bağlı olarak istiyor. Yani, Düşman “dürüst bir kullanıcı i tarafından zaten gönderilmiş olan mesajlara müdahale edemez”; her zamanki gibi teslim edildi. Düşman aynı zamanda her çift turda anında görebilme ek yeteneğine de sahiptir. Şu anda dürüst olan oyuncuların gönderdiği mesajlar ve bu bilgileri anında kullanarak seçim yapın. Kötü niyetli oyuncuların gönderdikleri mesajlar aynı anda işaretlenir. Açıklamalar • Düşman Gücü. Yukarıdaki ortam oldukça düşmancadır. Nitekim Bizans anlaşmasında Literatürde birçok ortam daha az düşmancadır. Ancak bazı daha düşmanca ortamlar var Ayrıca, Düşmanın dürüst bir oyuncu tarafından gönderilen mesajları gördükten sonra Belirli bir zamanda r'ye tıklayın, tüm bu mesajları ağdan anında silme olanağına sahiptir bozuk i, şimdi kötü amaçlı olan i'nin r'ye tıkladığında göndereceği mesajı seçin ve bunları sağlayın her zamanki gibi teslim edildi. Rakibin öngörülen gücü, bizim ortamımızda sahip olduğu maçlardır. • Fiziksel Soyutlama. Öngörülen iletişim modeli daha fiziksel bir modeli soyutlamaktadır. burada her bir oyuncu çifti (i, j), ayrı ve özel bir iletişim hattı li,j ile bağlanır. Yani, gönderilen mesajlara başka hiç kimse enjekte edemez, müdahale edemez veya bunlar hakkında bilgi elde edemez. li, j. Düşmanın li,j'ye erişmesinin tek yolu i veya j'yi bozmaktır. • Gizlilik ve Kimlik Doğrulama. SC ağlarında mesaj gizliliği ve kimlik doğrulaması garanti edilir varsayım yoluyla. Bunun aksine, mesajların yayıldığı iletişim ağımızda eşler arası kimlik doğrulama dijital imzalarla garanti edilir ve gizlilik mevcut değildir. Bu nedenle, BA⋆ protokolünü ortamımıza uyarlamak için, değiştirilen her mesajın dijital olarak imzalanması gerekir. (ayrıca gönderildiği eyaleti de tanımlar). Neyse ki, kullandığımız BA protokolleri mesaj gizliliği gerektirmeyen Algorand içinde kullanmayı düşünün.3.2 Bizans Anlaşması Kavramı Bizans anlaşması kavramı Pease Shostak ve Lamport [31] tarafından ortaya atıldı. ikili durum, yani her başlangıç değeri bir bitten oluştuğunda. Ancak kısa sürede uzatıldı keyfi başlangıç değerlerine. (Fischer [16] ve Chor ve Dwork [10] anketlerine bakın.) Bir BA tarafından protokol, keyfi değerde olanı kastediyoruz. Tanım 3.1. Senkron bir ağda P, oynatıcı seti ortak olan n oyunculu bir protokol olsun oyuncular arasındaki bilgi, n $\geq$2t + 1 olacak şekilde pozitif bir tam sayı. P'nin bir olduğunu söylüyoruz. keyfi değer (sırasıyla ikili) (n, t)-Sağlamlık $\sigma$ $\in$(0, 1) olan Bizans anlaşma protokolü eğer, $\bot$ özel sembolünü içermeyen her V değer kümesi için (sırasıyla, V = {0, 1} için), bir oyuncuların çoğunun kötü niyetli olduğu ve her oyuncunun bir i ile başladığı yürütme başlangıç değeri vi $\in$V, her dürüst oyuncu j 1 olasılıkla durur ve çıkış değeri outi $\in$V $\cup${$\bot$} olur en az $\sigma$ olasılıkla aşağıdaki iki koşulu sağlayacak şekilde: 1. Anlaşma: $\in$V $\cup${$\bot$} var, öyle ki outi = tüm dürüst oyuncular için out i. 2. Tutarlılık: eğer bir v $\in$V değeri için, tüm dürüst oyuncular için vi = v ise, o zaman out = v. Out'a P'nin çıkışı, her outi'ye ise i oyuncusunun çıkışı diyoruz. 3.3 BA Notasyonu # BA protokollerimizde, bir oyuncunun kendisine belirli bir mesajı kaç oyuncunun gönderdiğini sayması gerekir. belirli bir adım. Buna göre gönderilebilecek her olası v değeri için,

s

ben(v) (veya s açık olduğunda sadece #i(v)) s adımında v'yi aldığım j oyuncu sayısıdır. Hatırlarsak, i oyuncusu her j oyuncusundan tam olarak bir mesaj alır; oyuncular n'dir, o halde tüm i ve s için P v #s i(v) = n. 3.4 İkili BA Protokolü BBA⋆ Bu bölümde daha fazla bilginin dürüstlüğüne dayanan yeni bir ikili BA protokolü olan BBA⋆'ı sunuyoruz. oyuncuların üçte ikisinden fazlası ve çok hızlı: kötü niyetli oyuncular ne yaparsa yapsın, Ana döngünün her yürütülmesi, oyuncuları 1/3 olasılıkla anlaşmaya getirir. Her oyuncunun, benzersiz imzayı karşılayan bir dijital imza şemasının kendi genel anahtarı vardır. mülk. Bu protokolün senkronize tam ağ üzerinde çalıştırılması amaçlandığından, mesajlarının her birini imzalayacak bir oyuncuya ihtiyaç var. Dijital imzalar, 3. Adımda yeterince ortak bir rastgele bit oluşturmak için kullanılır. (Algorand'de, dijital imzalar diğer tüm mesajların kimliğini doğrulamak için de kullanılır.) Protokol minimal bir kurulum gerektirir: oyuncuların davranışlarından bağımsız olarak ortak bir rastgele dizi r. anahtarlar. (Algorand'de r aslında Qr miktarıyla değiştirilir.) BBA⋆ Protokolü, oyuncuların tekrar tekrar Boole değerlerini değiştirdiği 3 adımlı bir döngüdür ve farklı oyuncular bu döngüden farklı zamanlarda çıkabilir. Bir oyuncu i bu döngüden yayılarak çıkar, bir aşamada ya 0∗ özel değeri ya da 1∗ özel değeri kullanılır, böylece tüm oyunculara şu talimat verilir: Gelecekteki tüm adımlarda i'den sırasıyla 0 ve 1 alıyormuş gibi davranın. (Alternatif olarak şöyle söylenir: varsayalımj oyuncusunun başka bir i oyuncusundan aldığı son mesajın biraz b olduğu. Daha sonra herhangi bir adımda i'den herhangi bir mesaj almadığında, j ona b bitini göndermişim gibi davranır.) Protokol, 3 adımlı döngünün kaç kez yürütüldüğünü temsil eden bir $\gamma$ sayacı kullanır. BBA⋆ başlangıcında $\gamma$ = 0. ($\gamma$'nın global bir sayaç olduğu düşünülebilir ancak gerçekte artırılmıştır.) döngü her yürütüldüğünde her bir oyuncu tarafından.) n $\geq$3t + 1 vardır; burada t, kötü niyetli oyuncuların mümkün olan maksimum sayısıdır. Bir ikili x dizisi, ikili gösterimi (olası baştaki 0'larla) x olan tamsayı ile tanımlanır; ve lsb(x), x'in en az anlamlı bitini belirtir. Protokol BBA⋆ (İletişim) Adım 1. [Paraya Sabitlenmiş 0 Adım] Her oyuncuya bi gönderir. 1.1 Eğer #1 ise i (0) $\geq$2t + 1, o zaman i bi = 0'ı ayarlar, 0∗ gönderir, çıkışlar outi = 0 olur, ve DUR. 1.2 Eğer #1 ise i (1) $\geq$2t + 1 ise i, bi = 1 değerini verir. 1.3 Aksi halde i, bi = 0 değerini verir. (İletişim) Adım 2. [1'e Sabit Para Adımı] Her oyuncuya bi gönderir. 2.1 Eğer #2 i (1) $\geq$2t + 1 ise i, bi = 1 değerini verir, 1∗ gönderir, çıkışlar outi = 1, ve DUR. 2.2 Eğer #2 i (0) $\geq$2t + 1 ise bi = 0 olarak belirlerim. 2.3 Aksi halde i, bi = 1 değerini verir. (İletişim) Adım 3. [Gerçekten Yazı-Para Çevirme Adımı] Her oyuncu i, bi ve SIGi(r, $\gamma$) gönderir. 3.1 Eğer #3 i (0) $\geq$2t + 1 ise i, bi = 0 olur. 3.2 Eğer #3 i (1) $\geq$2t + 1 ise i, bi = 1 değerini verir. 3.3 Aksi halde, bu 3. adımda i'ye uygun bir mesaj gönderen Si = {j $\in$N olsun}, i ayarlar bi = c $\triangleq$lsb(minj$\in$Si H(SIGi(r, $\gamma$))); $\gamma$i'yi 1 artırır; ve Adım 1'e geri döner. Teorem 3.1. Ne zaman n $\geq$3t + 1 olursa, BBA⋆ sağlamlığı 1 olan bir ikili (n, t)-BA protokolüdür. Teorem 3.1'in bir kanıtı [26]'de verilmiştir. Ortamımıza adaptasyonu ve oyuncu tarafından değiştirilebilirliği mülkiyet yenidir. Tarihsel Açıklama Olasılıksal ikili BA protokolleri ilk olarak Ben-Or tarafından önerilmiştir. eşzamansız ayarlar [7]. Protokol BBA⋆, açık anahtar ortamımıza yeni bir uyarlamadır. Feldman ve Micali'nin ikili BA protokolü [15]. Onların protokolü beklenen bir şekilde çalışan ilk protokoldü. sabit sayıda adım. Oyuncuların kendilerinin ortak bir jeton uygulamasını sağlayarak işe yaradı. Rabin tarafından önerilen ve bunu harici bir güvenilir taraf [32] aracılığıyla uygulayan bir fikir.3.5 Kademeli Konsensüs ve Protokol GC Keyfi değerler konusunda, Bizans anlaşmasından çok daha zayıf bir konsensüs kavramını hatırlayalım. Tanım 3.2. P'nin, tüm oyuncuların kümesinin ortak bilgi sahibi olduğu ve her birinin i oyuncusu özel olarak keyfi bir başlangıç değeri v′ biliyor ben. Eğer n oyunculu her yürütmede, P'nin (n, t) dereceli bir konsensüs protokolü olduğunu söyleriz. çoğu kötü niyetli, her dürüst oyuncu bir değer-dereceli çift (vi, gi) çıkarmayı durdurur, burada gi $\in${0, 1, 2}, aşağıdaki üç koşulu sağlayacak şekilde: 1. Bütün dürüst oyuncular i ve j için |gi −gj| $\leq$1. 2. Tüm dürüst oyuncular için i ve j, gi, gj > 0 ⇒vi = vj. 3. Eğer v′ 1 = $\cdots$ = v′ Bir v değeri için n = v, sonra tüm dürüst oyuncular i için vi = v ve gi = 2. Tarihsel Not Kademeli konsensüs kavramı basitçe derecelendirilmiş fikir birliğinden türetilmiştir. Feldman ve Micali tarafından [15]'de haçlı kavramını güçlendirerek ortaya atılan yayın Dolev [12] tarafından sunulan ve Turpin ve Coan [33].8 tarafından geliştirilen anlaşma [15]'da yazarlar ayrıca 3 adımlı (n, t) dereceli bir yayın protokolü olangradecast'i de sağladılar. n $\geq$3t+1. Daha sonra n > 2t+1 için daha karmaşık (n, t) dereceli bir yayın protokolü bulundu Katz ve Koo tarafından [19]. Aşağıdaki iki adımlı protokol GC, bizim formülümüzde ifade edilen not dökümünün son iki adımından oluşur. notasyon. Bu gerçeği vurgulamak ve bölüm 4.1'deki Algorand ′ protokolünün adımlarına uymak için, GC'nin adımlarını sırasıyla 2 ve 3 olarak adlandırın. Protokol GC Adım 2. Gönderdiğim her oyuncuya v′ tüm oyunculara sesleniyorum. Adım 3. Her i oyuncusu tüm oyunculara x dizesini ancak ve ancak #2 ise gönderir i(x) $\geq$2t + 1. Çıkış Belirleme. Her oyuncu i, aşağıdaki gibi hesaplanan (vi, gi) çiftinin çıktısını verir: • Eğer bazı x'ler için #3 i (x) $\geq$2t + 1 ise vi = x ve gi = 2 olur. • Eğer bazı x'ler için #3 i (x) $\geq$t + 1 ise vi = x ve gi = 1 olur. • Aksi takdirde vi = $\bot$ve gi = 0. Teorem 3.2. Eğer n $\geq$3t + 1 ise GC (n, t) dereceli bir yayın protokolüdür. Kanıt, [15]'deki protokol not dökümünün hemen ardından gelir ve bu nedenle atlanır.9 8Aslında, kademeli yayın protokolünde, (a) her oyuncunun girdisi seçkin bir kişinin kimliğidir ek bir özel girdi olarak isteğe bağlı bir v değerine sahip olan gönderen ve (b) çıktıların şu koşulları karşılaması gerekir: dereceli fikir birliğinin aynı özellikleri 1 ve 2 artı aşağıdaki özellik 3': eğer gönderen dürüstse, o zaman vi = v ve gi = 2 tüm dürüst oyuncular için i. 9Aslında, protokollerinde, 1. adımda, gönderen kendi özel v değerini tüm oyunculara gönderir ve her oyuncuya izin verir. v′ 1. adımda gönderenden fiilen aldığı değerden oluşuyorum.3.6 Protokol BA⋆ Şimdi keyfi değerli BA protokolünü BA⋆ ikili BA protokolü BBA⋆ aracılığıyla tanımlıyoruz ve kademeli fikir birliği protokolü GC. Aşağıda her bir oyuncunun başlangıç değeri i v'dir ben. Protokol BA⋆ Adım 1 ve 2. Her i oyuncusu, v′ girişinde GC'yi yürütür. i, bir (vi, gi) çiftini hesaplamak için. Adım 3, . . . Her i oyuncusu, gi = 2 ise başlangıç girişi 0, aksi takdirde 1 ile BBA⋆'yi çalıştırır; yani bit çıkışını hesaplamak için. Çıkış Belirleme. Her i oyuncusu outi = 0 ise vi, aksi takdirde $\bot$ sonucunu verir. Teorem 3.3. Ne zaman n $\geq$3t + 1 olursa, BA⋆ sağlamlığı 1 olan bir (n, t)-BA protokolüdür. Kanıt. Önce Tutarlılığı, sonra da Anlaşmayı kanıtlarız. Tutarlılığın Kanıtı. Varsayalım ki, bir v $\in$V değeri için v′ i = v. O zaman 3. özelliğe göre GC'nin uygulanmasından sonra kademeli fikir birliği, tüm dürüst oyuncuların çıktısı (v, 2). Buna göre 0 BBA'nın infazının sonunda tüm dürüst oyuncuların ilk kısmı⋆. Böylece, Anlaşma ile İkili Bizans anlaşmasının özelliği, BA⋆'nın yürütülmesinin sonunda, tüm dürüstler için outi = 0 oyuncular. Bu, BA⋆'daki her dürüst oyuncu i'nin çıktısının vi = v olduğu anlamına gelir. ✷ Anlaşma Kanıtı. BBA⋆ ikili bir BA protokolü olduğundan (A) outi = tüm dürüst oyuncu i için 1, veya (B) outi = tüm dürüst oyuncu i için 0. A durumunda, tüm dürüst oyuncular BA⋆'da $\bot$çıktı verir ve dolayısıyla Anlaşma geçerlidir. Şimdi B durumunu düşünün. bu durumda, BBA⋆'nin yürütülmesinde, en az bir dürüst oyuncu i'nin başlangıç biti 0'dır. Tüm dürüst oyuncuların başlangıçtaki biti 1 idi, o zaman BBA⋆'nin Tutarlılık özelliğine göre şunu elde ederdik: outj = 1 tüm dürüst j. için.) Buna göre, GC'nin yürütülmesinden sonra i, bazıları için (v, 2) çiftini çıktı olarak verir. değer v. Dolayısıyla, kademeli konsensüsün 1. özelliğine göre, tüm dürüst oyuncular j için gj > 0. Buna göre, tarafından Kademeli konsensüsün 2. özelliği, vj = v tüm dürüst oyuncular için j. Bu şu anlama gelir: sonunda BA⋆, her dürüst oyuncu j v çıktısı verir. Dolayısıyla Anlaşma B durumunda da geçerlidir. ✷ Hem Tutarlılık hem de Anlaşma geçerli olduğundan, BA⋆ keyfi değerli bir BA protokolüdür. Tarihsel Not Turpin ve Coan, n $\geq$3t+1 için herhangi bir ikili (n, t)-BA'nın olduğunu gösteren ilk kişilerdi. protokolü keyfi değerde (n, t)-BA protokolüne dönüştürülebilir. Azaltma keyfi değeri Aşamalı fikir birliği yoluyla ikili Bizans anlaşmasına Bizans anlaşması daha modülerdir ve daha temizdir ve Algorand protokolümüzün Algorand ′ analizini basitleştirir. BA⋆'nın Algorand'de kullanım için genelleştirilmesi Algorand tüm iletişim üzerinden olsa bile çalışır dedikodu. Ancak her ne kadar geleneksel ve tanıdık bir iletişim ağı içerisinde sunulsa da, Önceki teknikle daha iyi bir karşılaştırma ve daha kolay bir anlayış sağlamak için BA⋆works protokolü dedikodu ağlarında da var. Aslında Algorand'nin ayrıntılı düzenlemelerinde onu sunacağız doğrudan dedikodu ağları için. Oyuncunun değiştirilebilirliğini karşıladığını da belirtelim. Algorand için çok önemli olan mülkün, öngörülen son derece çekişmeli modelde güvende olması.

Dedikodu iletişim ağında çalışan herhangi bir BA oynatıcısı tarafından değiştirilebilir protokol, buluşa ait Algorand sistemi içerisinde güvenli bir şekilde kullanılır. Özellikle Micali ve Vaikunthanatan BA⋆'yı dürüst oyuncuların basit çoğunluğuyla da çok verimli çalışacak şekilde genişlettik. bu protokol de Algorand'de kullanılabilir.

Algorand'nin İki Düzenlemesi

Tartışıldığı gibi, çok yüksek bir düzeyde, Algorand turu ideal olarak aşağıdaki şekilde ilerler. İlk olarak rastgele bir seçilen kullanıcı, yani lider, yeni bir blok önerir ve dağıtır. (Bu süreç başlangıçta şunları içerir: Birkaç potansiyel liderin seçilmesi ve ardından en azından zamanın önemli bir bölümünde, tek bir ortak lider ortaya çıkar.) İkinci olarak, rastgele seçilmiş bir kullanıcı komitesi seçilir ve Liderin önerdiği blok üzerinde Bizans anlaşmasına varır. (Bu süreç şunları içerir: BA protokolünün her adımı ayrı olarak seçilen bir komite tarafından yürütülür.) Üzerinde anlaşmaya varılan blok daha sonra komite üyelerinin belirli bir eşiği (TH) tarafından dijital olarak imzalanır. Bu dijital imzalar Herkesin hangisinin yeni blok olduğundan emin olması için dağıtılır. (Buna, imzalayanların kimlik bilgileri ve yeni bloğun yalnızca hash kimlik doğrulaması yapılarak herkesin hash açıklandıktan sonra bloğu öğrenmesi garanti edilir.) Sonraki iki bölümde Algorand, Algorand ′'nin iki uygulamasını sunuyoruz. 1 ve Algorand ′ 2, dürüst kullanıcıların çoğunluğunun varsayımı altında çalışır. Bölüm 8'de bunların nasıl benimseneceğini gösteriyoruz Paranın dürüst çoğunluğu varsayımı altında çalışacak düzenlemeler. Algorand ′ 1 sadece komite üyelerinin > 2/3'ünün dürüst olduğunu öngörmektedir. Ayrıca, Algorand ′ Şekil 1'de, Bizans anlaşmasına varmak için atılacak adımların sayısı yeterince yüksek olacak şekilde sınırlandırılmıştır. Böylece çok büyük bir olasılıkla anlaşmaya varılması garanti altına alınır. sabit sayıda adım (ancak potansiyel olarak Algorand ′ adımlarından daha uzun süre gerektirir) 2). içinde Henüz son adımda anlaşmaya varılamayan uzak bir durumda, komite aşağıdaki hususlarda mutabakata varır: her zaman geçerli olan boş blok. Algorand ′ 2, bir komitedeki dürüst üyelerin sayısının her zaman daha fazla olduğunu öngörmektedir. veya sabit bir tH eşiğine eşit (bu, çok büyük bir olasılıkla, en azından bunu garanti eder) Komite üyelerinin 2/3'ü dürüsttür). Ayrıca Algorand ′ 2 Bizans anlaşmasına izin verir isteğe bağlı sayıda adımda ulaşılabilir (ancak potansiyel olarak Algorand 'den daha kısa bir sürede). 1). Bu temel düzenlemelerin birçok varyantını türetmek kolaydır. Özellikle kolay olduğu göz önüne alındığında Algorand ′ 2, Algorand değiştirmek için 1 keyfi bir şekilde Bizans anlaşmasına varılmasını sağlamak için adım sayısı. Her iki düzenleme de aşağıdaki ortak çekirdeği, notasyonları, kavramları ve parametreleri paylaşır. 4.1 Ortak Bir Çekirdek Hedefler İdeal olarak, her r turu için Algorand aşağıdaki özellikleri karşılayacaktır: 1. Mükemmel Doğruluk. Tüm dürüst kullanıcılar aynı blokta hemfikirdir Br. 2. Tamlık 1. Olasılık 1 ile Br'nin getirisi, PAY r, maksimumdur.10 10Ödeme kümeleri geçerli ödemeleri içerecek şekilde tanımlandığından ve dürüst kullanıcılar yalnızca geçerli ödemeler yapabileceğinden, maksimum PAY r, tüm dürüst kullanıcıların "şu anda ödenmemiş" ödemelerini içerir.Elbette tek başına mükemmel doğruluğu garanti etmek önemsizdir: Herkes her zaman resmi olanı seçer. ödeme seti PAY r boş olmalıdır. Ancak bu durumda sistemin tamlığı 0 olacaktır. Ne yazık ki, hem mükemmel doğruluğu hem de tamlığı garanti etmek 1 kötü niyetli kişilerin varlığında kolay değildir kullanıcılar. Algorand böylece daha gerçekçi bir hedefi benimsiyor. Gayri resmi olarak, h'nin yüzdeyi belirtmesine izin vermek dürüst kullanıcıların oranı, h > 2/3, Algorand hedefi Çok büyük olasılıkla h'ye yakın mükemmel doğruluk ve tamlık garanti edilir. Doğruluğa eksiksizliğe öncelik vermek makul bir seçim gibi görünüyor: ödemeler zamanında işleme koyulmuyor bir tur bir sonraki turda işlenebilir ancak mümkünse çatallardan kaçınılmalıdır. Liderlik Bizans Anlaşması Mükemmel Doğruluk aşağıdaki şekilde garanti edilebilir. Başlangıçta r turunda her i kullanıcısı kendi Br aday bloğunu oluşturur i ve ardından tüm kullanıcılar Bizans'a ulaşır bir aday blok üzerinde anlaşmaya varılması. Girişimize göre, kullanılan BA protokolü şunları gerektirir: 2/3 dürüst çoğunluk ve oyuncu tarafından değiştirilebilir. Adımlarının her biri küçük ve Herhangi bir iç değişkeni paylaşmayan, rastgele seçilmiş doğrulayıcılar kümesi. Ne yazık ki bu yaklaşımın tamlık garantisi yoktur. Bu böyle çünkü aday Dürüst kullanıcıların blokları büyük olasılıkla birbirinden tamamen farklıdır. Böylece, sonuçta üzerinde anlaşmaya varılan blok her zaman maksimum olmayan bir ödeme setine sahip olabilir. Aslında her zaman olabilir boş blok, B$\varepsilon$, yani ödeme seti boş olan blok. varsayılan, boş olanı olalım. Algorand ′ bu tamlık sorununu aşağıdaki şekilde önler. İlk olarak r turu için bir lider, $\ell$r seçilir. Daha sonra $\ell$r kendi aday bloğunu yayar, Br $\ell$r. Sonunda kullanıcılar blok üzerinde anlaşmaya varır aslında $\ell$r'den alıyorlar. Çünkü ne zaman dürüst olursam, Kusursuz Doğruluk ve Tamlık 1 her ikisi de geçerlidir, Algorand ′, $\ell$r'nin h'ye yakın olasılıkla dürüst olmasını sağlar. (Lider olduğunda kötü niyetliyse, üzerinde anlaşmaya varılan bloğun boş bir ödeme seti olup olmadığı umurumuzda değil. Sonuçta, bir Kötü niyetli lider $\ell$r her zaman kötü niyetli olarak Br'yi seçebilir Boş blok olmak ve sonra dürüst olmak gerekirse bunu yayar, böylece dürüst kullanıcıları boş blok üzerinde anlaşmaya zorlar.) Lider Seçimi Algorand'lerde r'inci blok Br = (r, PAY r, Qr, H(Br−1) formundadır. Giriş bölümünde daha önce de belirtildiği gibi, Qr−1 miktarı dikkatli bir şekilde aslında çok güçlü Düşmanımız tarafından manipüle edilemez. (Bu bölümün ilerleyen kısımlarında durumun neden böyle olduğuna dair bir miktar sezgi sağlar.) Bir r turunun başlangıcında, tüm kullanıcılar blockchain şu ana kadar, B0, . . . , Br−1, bundan önceki her turun kullanıcı kümesini çıkarırlar: PK1, . . . , PKr−1. Round r'nin potansiyel lideri bir i kullanıcısıdır, öyle ki .H SIGI r, 1, Qr−1 $\leq$p . Açıklayalım. Qr−1 miktarı Br−1 bloğunun bir parçası olduğundan ve temeldeki imza şeması benzersizlik özelliği olan SIGi'yi karşılar r, 1, Qr−1 benzersiz bir ikili dizedir i ve r ile ilişkili. Dolayısıyla H rastgele bir oracle olduğundan, H SIGI r, 1, Qr−1 rastgele bir 256 bittir i ve r ile benzersiz şekilde ilişkilendirilen uzun dize. “.” sembolü. H'nin önünde SIGI r, 1, Qr−1 bu ondalık (bizim durumumuzda ikili) nokta, böylece ri $\triangleq$.H SIGI r, 1, Qr−1 a'nın ikili açılımıdır i ve r ile benzersiz şekilde ilişkilendirilen, 0 ile 1 arasındaki rastgele 256 bitlik sayı. Böylece olasılık ri, p'den küçük veya ona eşittir, esasen p'dir. (Potansiyel lider seçim mekanizmamız Micali ve Rivest'in mikro ödeme planından esinlenilmiştir [28].) p olasılığı, ezici (yani 1 −F) olasılıkla en az bir tane olacak şekilde seçilir. Potansiyel doğrulayıcı dürüsttür. (Gerçekte p, bu tür en küçük olasılık olarak seçilir.)Kendi imzalarını hesaplayabilen tek kişi i olduğundan, yalnızca kendisinin imzasını hesaplayabileceğini unutmayın. 1. turun potansiyel doğrulayıcısı olup olmadığına karar verin. Ancak kendi kimlik bilgilerini açıklayarak, $\sigma$r ben $\triangleq$SIGi r, 1, Qr−1 , r'nin potansiyel doğrulayıcısı olduğumu herkese kanıtlayabilirim. Lider $\ell$r, hashed kimlik bilgisi şundan daha küçük olan potansiyel lider olarak tanımlanır: hashed diğer tüm potansiyel lider j'nin kimlik bilgileri: yani H($\sigma$r,s) $\ell$r ) $\leq$H($\sigma$r,s j) Kötü niyetli bir $\ell$r kimliğini açıklamayabileceğinden, r turunun doğru liderinin ifşa edemeyeceğini unutmayın. hiçbir zaman bilinemez ve bu, olası olmayan bağlar dışında, $\ell$r gerçekten de r turunun tek lideridir. Son olarak önemli bir detaya değinelim: Bir kullanıcı potansiyel bir lider olabilir (ve dolayısıyla bir r turunun lideri) yalnızca en az k tur boyunca sisteme ait olması durumunda. Bu garanti eder Qr'nin ve gelecekteki tüm Q miktarlarının değiştirilemezliği. Aslında potansiyel liderlerden biri aslında Qr'yi belirleyecektir. Doğrulayıcı Seçimi r turundaki her adım s > 1, küçük bir doğrulayıcılar seti (SV r,s) tarafından gerçekleştirilir. Yine, her bir doğrulayıcı i $\in$SV r,s, sistemde halihazırda k turda bulunan kullanıcılar arasından rastgele seçilir. r'den önce ve yine Qr−1 özel miktarı aracılığıyla. Özellikle, i $\in$PKr−k, SV r,s'de bir doğrulayıcıdır, eğer .H SIGI r, s, Qr−1 $\leq$p' . Bir kez daha onun SV r,s'ye ait olup olmadığını yalnızca ben biliyorum, ancak durum buysa bunu şu şekilde kanıtlayabilir: kimlik bilgilerini sergiliyor $\sigma$r,s ben $\triangleq$H(SIGi r, s, Qr−1 ). Doğrulayıcı i $\in$SV r,s bir mesaj gönderir, mr,s ben, içinde r turunun s adımıdır ve bu mesaj onun $\sigma$r,s kimlik bilgilerini içerir i, doğrulayıcıların Bay'ı tanımak için yuva adımı ben meşru bir adım mesajıdır. p' olasılığı, SV r,s'de #iyi'nin sayısı olmasını sağlayacak şekilde seçilir. dürüst kullanıcılar ve #bad kötü niyetli kullanıcıların sayısı, büyük olasılıkla aşağıdakiler iki koşul geçerlidir. Düzenleme için Algorand ′ 1: (1) #iyi > 2 $\cdot$ #kötü ve (2) #iyi + 4 $\cdot$ #kötü < 2n, burada n, SV r,s'nin beklenen önemliliğidir. Düzenleme için Algorand ′ 2: (1) #iyi > tH ve (2) #iyi + 2#kötü < 2tH, burada tH belirli bir eşiktir. Bu koşullar, yeterince yüksek olasılıkla, (a) BA'nın son adımında protokole göre, yeni Br bloğunu dijital olarak imzalayacak en az belirli sayıda dürüst oyuncu olacak, (b) tur başına yalnızca bir blok gerekli sayıda imzaya sahip olabilir ve (c) kullanılan BA protokol (her adımda) gerekli 2/3 dürüst çoğunluğa sahiptir. Blok Oluşturmanın Netleştirilmesi Yuvarlak r lideri $\ell$r dürüstse, karşılık gelen blok formdadır Br = r, PAY r, SIG$\ell$r Qr−1 , H Br−1 , ödeme kümesi PAY r'nin maksimum olduğu yer. (tüm ödeme setlerinin tanım gereği kolektif olarak geçerli olduğunu unutmayın.) Aksi halde (yani $\ell$r kötü niyetliyse), Br aşağıdaki iki olası biçimden birine sahiptir: Br = r, ÖDEME r, SIGI Qr−1 , H Br−1 ve Br = Br $\varepsilon$ $\triangleq$ r, $\emptyset$, Qr−1, H Br−1 .İlk biçimde, PAY r (zorunlu olarak maksimum olmayan) bir ödeme kümesidir ve PAY r = $\emptyset$ olabilir; ve ben r. turun potansiyel lideri. (Ancak lider olamayabilirim. Eğer Kimlik bilgilerini gizli tutar ve kendisini açıklamaz.) İkinci biçim, BA protokolünün tekrar tekrar uygulanması sırasında tüm dürüst oyuncuların boş Br bloğu olan varsayılan değeri çıktılayın Uygulamamızda $\varepsilon$. (Tanım gereği olası BA protokolünün çıktıları genel olarak $\bot$ ile gösterilen varsayılan bir değer içerir. Bkz. bölüm 3.2.) Her iki durumda da ödeme kümeleri boş olmasına rağmen, Br = r, $\emptyset$, SIGI Qr−1 , H Br−1 ve Br $\varepsilon$ sözdizimsel olarak farklı bloklardır ve iki farklı durumda ortaya çıkarlar: sırasıyla, “tüm BA protokolünün yürütülmesi yeterince sorunsuz geçti” ve “bir şeyler ters gitti BA protokolü ve varsayılan değer çıktıydı”. Şimdi Br bloğunun oluşturulmasının Algorand ′ turunda r'de nasıl ilerlediğini sezgisel olarak açıklayalım. İlk adımda, her uygun oyuncu, yani her i $\in$PKr−k oyuncusu potansiyel olup olmadığını kontrol eder. lider. Eğer durum böyleyse, şimdiye kadar gördüğü tüm ödemeleri kullanarak bana soruluyor ve mevcut blockchain, B0, . . . , Br−1, gizlice maksimum bir ödeme seti hazırlamak için, PAY r ben ve gizlice aday bloğunu bir araya getirir, Br = r, ÖDEME r ben, SIGI Qr−1 , H Br−1 . Yani sadece o değil Br'ye dahil et i , ikinci bileşeni olarak yeni hazırlanmış ödeme seti, aynı zamanda üçüncü bileşeni olarak, son bloğun üçüncü bileşeni olan Br−1 olan Qr−1'in kendi imzası. Sonunda propagandasını yapıyor round-r-step-1 mesajı, bay,1 i , (a) aday bloğu Br'yi içerir i, (b) onun uygun imzası aday bloğunun (yani Br'nin hash imzası) i ve (c) kendi kimlik bilgisi $\sigma$r,1 ben kanıtlıyorum kendisinin gerçekten r turunun potansiyel doğrulayıcısı olduğunu. (Dürüst bir i mesajını verene kadar şunu unutmayın bayım,1 ben, Düşmanın benim bir kişi olduğuma dair hiçbir fikri yok potansiyel doğrulayıcı Eğer dürüst potansiyel liderleri yozlaştırmak istiyorsa, Düşman da bunu yapabilir. yozlaşmış rastgele dürüst oyuncular. Ancak Bay'ı gördüğünde, 1 i, i'nin kimlik bilgilerini içerdiğinden, Düşman biliyor ve i'yi bozabilir ama bay'ı engelleyemez1 i viral olarak yayılan, sistemdeki tüm kullanıcılara ulaşmaktadır.) İkinci adımda, seçilen her j $\in$SV r,2 doğrulayıcısı turun liderini belirlemeye çalışır. Spesifik olarak, j, 1. adım kimlik bilgilerini alır, $\sigma$r,1 i1 , . . . , $\sigma$r,1 içinde, uygun adım-1 mesajında bulunur mr,1 ben o aldı; hashhepsi var, yani H'yi hesaplıyor $\sigma$r,1 i1 , . . . , H $\sigma$r,1 içinde ; kimlik belgesini bulur, $\sigma$r,1 $\ell$j , hash sözlükbilimsel olarak minimumdur; ve $\ell$r'yi düşünüyor j, r turunun lideri olacak. Dikkate alınan her kimlik bilgisinin Qr−1'in dijital imzası olduğunu, SIGi'nin r, 1, Qr−1 öyle i ve Qr−1 tarafından benzersiz bir şekilde belirlenir, H rastgele oracle'dir ve dolayısıyla her H(SIGi) r, 1, Qr−1 r turunun her potansiyel lideri i'ye özgü, rastgele 256 bit uzunluğunda bir dizedir. Bundan şu sonuca varabiliriz: Eğer 256-bitlik Qr-1 dizisinin kendisi rastgele ve bağımsız olsaydı seçilirse, r. turun tüm potansiyel liderlerinin hashed kimlik bilgileri olacaktır. Aslında hepsi Potansiyel liderler iyi tanımlanmıştır ve kimlik bilgileri de (gerçekte hesaplanmış veya hesaplanmış olsun) değil). Ayrıca, r turunun potansiyel liderleri kümesi, tur kullanıcılarının rastgele bir alt kümesidir. r −k ve dürüst bir potansiyel lider i her zaman mesajını uygun şekilde oluşturur ve yayar bay ben, i'nin kimlik bilgilerini içeren. Dolayısıyla dürüst kullanıcıların yüzdesi h olduğundan, durum ne olursa olsun Kötü niyetli potansiyel liderlerin yapabileceği (örneğin, kendi kimlik bilgilerini açığa vurmak veya gizlemek) asgari hashed potansiyel lider kimlik bilgisi, mutlaka herkes tarafından tanımlanan dürüst bir kullanıcıya aittir raundun lideri olmak. Buna göre, eğer 256-bitlik Qr-1 dizisinin kendisi rastgele olsaydı ve bağımsız olarak seçilir, tam olarak h olasılıkla (a) lider $\ell$r dürüsttür ve (b) $\ell$j = $\ell$r herkes için dürüst adım-2 doğrulayıcıları j. Gerçekte, hashed kimlik bilgileri evet rastgele seçilir, ancak Qr−1'e bağlıdır;rastgele ve bağımsız olarak seçilmemiştir. Ancak analizimizde Qr−1'in olduğunu kanıtlayacağız. Bir turun liderinin olasılıklar konusunda dürüst olmasını garanti edecek kadar manipüle edilemez h' h'ye yeterince yakın: yani h' > h2(1 + h −h2). Örneğin, eğer h = %80 ise h' > 0,7424 olur. Turun liderini belirledikten sonra (ki bunu lider dürüst olduğunda doğru şekilde yaparlar), 2. adımdaki doğrulayıcıların görevi, inandıklarını başlangıç değerleri olarak kullanarak BA'yı yürütmeye başlamaktır. liderin bloğu olmak. Aslında gerekli iletişim miktarını en aza indirmek için, j $\in$SV r,2 doğrulayıcısı giriş değeri olarak v′ kullanmaz j Bizans protokolüne göre Bj bloğu aslında $\ell$j'den (j kullanıcısı lider olduğuna inanıyor) bilgi aldı, ancak lider, ancak o bloğun hash'si, yani v′ j = H(Bi). Dolayısıyla, BA protokolünün sona ermesi üzerine, doğrulayıcılar Son adımın istenen yuvarlak r bloğu Br'yi hesaplamayın, ancak hesaplayın (kimlik doğrulama ve yayılır) H(Br). Buna göre, H(Br) yeterince çok sayıda doğrulayıcı tarafından dijital olarak imzalandığından, BA protokolünün son adımında, sistemdeki kullanıcılar H(Br)'nin yeni protokolün hash'si olduğunu anlayacaklardır. Blok. Bununla birlikte, aynı zamanda, yürütme oldukça eşzamansız olduğu için, aynı zamanda almaları (veya beklemeleri) gerekir. Düşman ne olursa olsun, protokolün gerçekten kullanılabilir olmasını sağlayan Br'nin kendisini bloke edin yapabilir. Asenkronizasyon ve Zamanlama Algorand ′ 1 ve Algorand ′ 2 önemli derecede eşzamansızlığa sahiptir. Bunun nedeni, Düşmanın iletilen mesajların teslimini planlama konusunda geniş bir serbestliğe sahip olmasıdır. yayıldı. Ayrıca bir turdaki toplam adım sayısı sınırlı olsun ya da olmasın, varyans, gerçekte atılan adımların sayısına göre katkıda bulunur. B0 sertifikalarını öğrenir öğrenmez, . . . , Br−1, bir i kullanıcısı Qr−1'i hesaplar ve çalışmaya başlar r turunda, kendisinin potansiyel bir lider mi, yoksa r turunun bazı adımlarında doğrulayıcı mı olduğunu kontrol ediyor. Tartışılan eşzamansızlık ışığında, adım s'de hareket etmem gerektiğini varsayarsak, çeşitli yöntemlere güveniyorum. harekete geçmeden önce yeterli bilgiye sahip olmasını sağlayacak stratejiler. Örneğin, doğrulayıcılardan en azından belli sayıda mesaj almayı bekleyebilir. önceki adıma geçin veya mesajları yeterince aldığından emin olmak için yeterli süre bekleyin. önceki adımın birçok doğrulayıcısı. Çekirdek Qr ve Geriye Dönme Parametresi k İdeal olarak Qr miktarlarının olması gerektiğini hatırlayın. rastgele ve bağımsız olmasına rağmen, bunların başkaları tarafından yeterince değiştirilemez olması yeterli olacaktır. Düşman. İlk bakışta Qr−1'in H ile çakışmasını seçebiliriz ÖDEME r−1 ve böylece kaçınmak Br−1'de Qr−1'i açıkça belirtin. Ancak temel bir analiz, kötü niyetli kullanıcıların bu seçim mekanizmasından yararlanın.11 Bazı ek çabalar, sayısız başka seçeneğin olduğunu gösteriyor. 11r −1 turunun başındayız. Böylece, Qr−2 = PAY r−2 herkesçe bilinir ve Düşman özel olarak bilinir. kontrol ettiği potansiyel liderlerin kimler olduğunu biliyor. Düşmanın kullanıcıların %10'unu kontrol ettiğini varsayalım ve çok yüksek olasılıkla, kötü niyetli bir kullanıcı w, r -1 turunun potansiyel lideridir. Yani şunu varsayalım H SIGw r −2, 1, Qr−2 o kadar küçüktür ki, dürüst bir potansiyel liderin gerçekten de lider olması pek olası değildir. raundun lideri r −1. (Potansiyel liderleri gizli bir kriptografik sınıflandırma mekanizması yoluyla seçtiğimizi hatırlayın, Düşman, dürüst potansiyel liderlerin kim olduğunu bilmiyor.) Bu nedenle, Düşman kıskanılacak durumda. İstediği PAY' ödeme kümesini seçme konumu ve bunun r −1 turunun resmi ödeme kümesi olmasını sağlayın. Ancak, daha fazlasını yapabilir. Ayrıca, yüksek olasılıkla, kötü niyetli kullanıcılarından birinin () lider olmasını da sağlayabilir. ayrıca r turundadır, böylece PAY r'nin ne olacağını serbestçe seçebilir. (Vesaire. En azından uzun bir süre için, yani, bu yüksek olasılıklı olaylar gerçekten meydana geldiği sürece.) () garantisi vermek için, Düşman aşağıdaki şekilde hareket eder. ÖDEYELİM' Rakibin r −1 turu için tercih ettiği ödeme seti olsun. Daha sonra H(PAY′)'ı hesaplar ve bazı ödemeler için olup olmadığını kontrol eder. zaten kötü niyetli oyuncu z, SIGz(r, 1, H(PAY′)) özellikle küçüktür, yani çok yüksek bir değere sahip olacak kadar küçüktür. z olasılığı r turunun lideri olacaktır. Eğer durum buysa, w'ye aday bloğunu seçmesi talimatını verir.Geleneksel blok miktarlarına dayalı alternatifler, Rakip tarafından kolaylıkla kullanılabilir. kötü niyetli liderlerin çok sık olduğu. Bunun yerine markamızı özel ve tümevarımsal olarak tanımlarız Düşman tarafından manipüle edilemeyeceğini kanıtlayabilmek için yeni Qr miktarı. Yani, Qr $\triangleq$H(SIG$\ell$r(Qr−1), r), eğer Br boş blok değilse, aksi halde Qr $\triangleq$H(Qr−1, r). Qr'un bu yapısının neden işe yaradığına dair sezgi şu şekildedir. Bir an için şunu varsayalım Qr−1 gerçekten rastgele ve bağımsız olarak seçilir. O zaman Qr da öyle olacak mı? Dürüst olduğunda Cevap (kabaca konuşursak) evet. Bu böyle çünkü H(SIG$\ell$r( $\cdot$ ), r) : {0, 1}256 −→{0, 1}256 rastgele bir fonksiyondur. Ancak $\ell$r kötü niyetli olduğunda, Qr artık Qr−1'den tek anlamlı olarak tanımlanmıyor ve $\ell$r. Qr için en az iki ayrı değer vardır. Bir, Qr $\triangleq$H(SIG$\ell$r(Qr−1), r) olmaya devam ediyor, diğeri ise H(Qr−1, r). Öncelikle ikinci tercihin biraz keyfi olmasına rağmen şunu iddia edelim: ikinci bir seçim kesinlikle zorunludur. Bunun nedeni kötü niyetli bir kişinin her zaman sebep olabilmesidir. ikinci adımdaki dürüst doğrulayıcıların alacağı tamamen farklı aday blokları.12 bu durumda, bloğun nihai olarak BA protokolü aracılığıyla kararlaştırılmasını sağlamak kolaydır. yuvarlak r varsayılan olacak ve bu nedenle kimsenin Qr−1 dijital imzasını içermeyecektir. Ama sistemin devam etmesi gerekiyor ve bunun için r. turda bir lidere ihtiyacı var. Bu lider otomatik olarak ve açıkça seçilmişse, o zaman Düşman onu önemsiz bir şekilde yozlaştıracaktır. Önceki tarafından seçilmişse Aynı süreçle Qr−1, r+1 turunda $\ell$r'den yine lider olacak. Özellikle şunu öneriyoruz: aynı gizli kriptografik sıralama mekanizmasını kullanır, ancak yeni bir Q miktarına uygulanır: yani, H(Qr−1, r). Bu miktarın H'nin çıktısı olması, çıktının rastgele olmasını garanti eder, ve H'nin ikinci girişi olarak r'yi dahil ederek, H'nin diğer tüm kullanımlarında bir veya 3+ giriş bulunurken, Böyle bir Qr'nin bağımsız olarak seçildiğini "garanti eder". Yine özel alternatif Qr tercihimiz önemli değil, önemli olan şu ki $\ell$r'nin Qr için iki seçeneği var ve böylece şansını ikiye katlayabilir bir sonraki lider olarak başka bir kötü niyetli kullanıcıya sahip olmak. Kötü niyetli bir $\ell$r'yi kontrol eden Düşman için Qr seçenekleri daha da fazla olabilir. Örneğin x, y ve z, r turunun üç kötü niyetli potansiyel lideri olsun, öyle ki H $\sigma$r,1 x < Y $\sigma$r,1 sen < Y $\sigma$r,1 z ve H $\sigma$r,1 z özellikle küçüktür. Yani o kadar küçüktür ki H'nin olma ihtimali yüksektir. $\sigma$r,1 z öyle her dürüst potansiyel liderin hashed kimlik bilgisinden daha küçüğü. Daha sonra x'ten kimliğini saklamasını isteyerek Yeterlilik belgesine göre, Rakibin r-1 turunda y'yi lider yapma şansı yüksektir. Bu Qr için başka bir seçeneğe sahip olduğunu ima ediyor: SIGy Qr−1 . Benzer şekilde, Düşman da z'nin r −1 turunun lideri olması için hem x hem de y'den kimlik bilgilerini saklamalarını isteyin ve Qr için başka bir seçenek kazanıyor: SIGz Qr−1 . Ancak elbette bu ve diğer seçeneklerin her birinin başarısız olma şansı sıfır değildir, çünkü Rakip, dürüst potansiyel kullanıcıların dijital imzalarının hash değerini tahmin edemez. Br−1 ben = (r −1, PAY ′, H(Br−2). Aksi halde, yeni bir ödeme oluşturmaya devam edecek iki kötü niyetli x ve y kullanıcısı daha var $\wp$′, birinden diğerine, ta ki bazı kötü niyetli kullanıcılar için z (ya da hatta bazı sabit kullanıcılar için z) H (SIGz (PAY ′ $\cup${$\wp$})) olana kadar özellikle de küçük. Bu deney oldukça hızlı bir şekilde sona erecek. Ve bunu yaptığında, Düşman w'den evlenme teklif etmesini ister aday blok Br−1 ben = (r −1, ÖDEME ′ $\cup${$\wp$}, H(Br−2). 12Örneğin, basit (ancak aşırı) tutmak gerekirse, “ikinci adımın süresi dolmak üzereyken”, $\ell$r her kullanıcıya farklı bir aday blok Bi'yi doğrudan e-posta ile gönderin i. Bu şekilde, 2. adım doğrulayıcıları kim olursa olsun, tamamen farklı bloklar almış olacak.Dikkatli, Markov zinciri benzeri bir analiz şunu gösteriyor: Düşman hangi seçeneği seçerse seçsin r −1 turunda yapmak için sisteme yeni kullanıcılar enjekte edemediği sürece, kullanıcı sayısını azaltamaz dürüst bir kullanıcının r + 40 turunda lider olma olasılığı h'nin çok altındadır. Bunun nedeni bu r turunun potansiyel liderlerinin r −k turunda zaten mevcut olan kullanıcılar olmasını talep ediyoruz. Bu, r −k turunda Rakibin şu olasılığı çok fazla değiştirememesini sağlamanın bir yoludur: dürüst bir kullanıcı raundun lideri olur. Aslında, hangi kullanıcıları eklerse eklesin r –k’den r’ye kadar olan turlarda potansiyel lider olmaya uygun değillerdir (ve daha da önemlisi r. turun lideri). Dolayısıyla geriye dönük parametre k sonuçta bir güvenlik parametresidir. (Her ne kadar 7. bölümde göreceğimiz gibi aynı zamanda bir nevi “uygunluk parametresi” de olabilir.) Geçici Anahtarlar Her ne kadar protokolümüzün yürütülmesi bir çatal oluşturamasa da, ihmal edilebilir bir olasılıkla, Rakip meşru bloktan sonra r'inci blokta bir çatal oluşturabilir r bloğu oluşturuldu. Kabaca, Br oluşturulduktan sonra Düşman her adımın doğrulayıcılarının kim olduğunu öğrenmiştir. r yuvarlaktır. Böylece hepsini yozlaştırabilir ve onları yeni bir bloğu onaylamaya zorlayabilir. f br. Bu sahte blok ancak meşru bloktan sonra yayılabileceği için, dikkat etmek aldanmaz.13 Bununla birlikte, f Br sözdizimsel olarak doğru olurdu ve biz üretilmesinin önüne geçmek istiyoruz. Bunu yeni bir kuralla yapıyoruz. Temel olarak, doğrulayıcının üyeleri bir adım s'nin SV r,'lerini ayarlar. yuvarlak r pkr,s geçici ortak anahtarlarını kullanın ben mesajlarını dijital olarak imzalamak için. Bu anahtarlar tek kullanımlıktır ve bunlara karşılık gelen gizli anahtarlar skr,s ben kullanıldıktan sonra imha edilir. Bu şekilde, eğer bir doğrulayıcı Daha sonra bozulduğunda, Düşman onu başlangıçta imzalamadığı herhangi bir şeyi imzalamaya zorlayamaz. Doğal olarak, Düşmanın yeni bir g anahtarı hesaplamasının imkansız olduğundan emin olmalıyız. pr,ler ben ve dürüst bir kullanıcıyı, i $\in$SV r,s doğrulayıcısının s adımında kullanılacak doğru geçici anahtarı olduğuna ikna edin. 4.2 Gösterimlerin, Kavramların ve Parametrelerin Ortak Özeti Gösterimler • r $\geq$0: geçerli yuvarlak sayı. • s $\geq$1: r. turdaki geçerli adım numarası. • Br: r turunda oluşturulan blok. • PKr: r −1 turunun sonunda ve r turunun başındaki genel anahtarlar kümesi. • Sr: r −1 turunun sonunda ve r.14 turunun başındaki sistem durumu • PAY r: Br'de bulunan ödeme seti. • $\ell$r: yuvarlak-r lideri. $\ell$r, r turunun ödeme seti PAY r'yi seçer (ve bir sonraki Qr'yi belirler). • Qr: r turunun tohumu, r turunun sonunda oluşturulan bir miktar (yani ikili dizi). ve r + 1 turu için doğrulayıcıları seçmek için kullanılır. Qr, bloklardaki ödemelerden bağımsızdır ve $\ell$r tarafından manipüle edilemez. 13Büyük bir TV ağının haber sunucusunu bozmayı ve bugün bir haber filmi hazırlayıp yayınlamayı düşünün Sekreter Clinton'un son başkanlık seçimini kazandığını gösteriyor. Çoğumuz bunun bir aldatmaca olduğunu kabul edeceğiz. Ama komadan çıkan biri kandırılabilir. 14Senkron olmayan bir sistemde “r −1 turu sonu” ve “r turu başlangıcı” kavramı dikkatli bir şekilde tanımlanması gerekmektedir. Matematiksel olarak PKr ve Sr, S0 başlangıç durumundan ve bloklardan hesaplanır. B1, . . . , Br−1.• SV r,s: r turunun s adımları için seçilen doğrulayıcılar kümesi. • SV r: r turu için seçilen doğrulayıcılar kümesi, SV r = $\cup$s$\geq$1SV r,s. • MSV r,s ve HSV r,s: sırasıyla, kötü niyetli doğrulayıcılar kümesi ve dürüst doğrulayıcılar kümesi SV r,s'de. MSV r,s $\cup$HSV r,s = SV r,s ve MSV r,s ∩HSV r,s = $\emptyset$. • n1 $\in$Z+ ve n $\in$Z+: sırasıyla her bir SV'de beklenen potansiyel lider sayısı r,1, ve s > 1 için her SV r,s'de beklenen doğrulayıcı sayısı. SV r,1'de en az bir dürüst dürüst üyeye ihtiyacımız olduğundan n1 << n olduğuna dikkat edin, ancak en azından s > 1 için her SV r,s'de dürüst üyelerin çoğunluğu. • h $\in$(0, 1): 2/3'ten büyük bir sabit. h sistemdeki dürüstlük oranıdır. Yani, Kullanılan varsayıma bağlı olarak her bir PKr'de dürüst kullanıcıların veya dürüst paranın oranı en azından h. • H: rastgele bir oracle olarak modellenen kriptografik bir hash işlevi. • $\bot$: H'nin çıkışıyla aynı uzunlukta özel bir dize. • F $\in$(0, 1): izin verilen hata olasılığını belirten parametre. $\leq$F olasılığı "ihmal edilebilir" olarak kabul edilir ve $\geq$1 −F olasılığı "çok yüksek" olarak kabul edilir. • ph $\in$(0, 1): r, $\ell$r turunun liderinin dürüst olma olasılığı. İdeal durumda ph = h. ile Düşmanın varlığı analizde ph değerini belirleyecektir. • k $\in$Z+: geriye dönük inceleme parametresi. Yani r −k turu, r turu için doğrulayıcıların olduğu yerdir —yani SV r $\subseteq$PKr−k.15 arasından seçilmiştir. • p1 $\in$(0, 1): r turunun ilk adımı için, r −k turundaki bir kullanıcı SV r,1'de olacak şekilde seçilir ve olasılık p1 $\triangleq$ n1 |P Kr−k|. • p $\in$(0, 1): r döngüsünün her s > 1 adımı için, r −k turundaki bir kullanıcı SV r,s'de olacak şekilde seçilir. olasılık p $\triangleq$ n |P Kr−k|. • CERT r: Br. sertifikası. Bu, H(Br)'nin uygun doğrulayıcılardan aldığı bir dizi imzadır. yuvarlak r. • Br $\triangleq$(Br, CERT r) kanıtlanmış bir bloktur. Bir i kullanıcısı, kanıtlanmış bloğun her iki parçasına da sahip olup olmadığını (ve başarıyla doğrulayıp doğrulamadığını) Br'yi bilir. Farklı kullanıcılar tarafından görülen CERT'nin farklı olabileceğini unutmayın. • τr i : i kullanıcısının Br'yi tanıdığı (yerel) saat. Algorand protokolünde her kullanıcının kendi kendi saati. Farklı kullanıcıların saatlerinin senkronize edilmesine gerek yoktur ancak aynı hıza sahip olmaları gerekir. Yalnızca analizin amacı doğrultusunda bir referans saati dikkate alıyoruz ve oyuncuların performanslarını ölçüyoruz. bununla ilgili zamanlar. • $\alpha$r,s ben ve $\beta$r,s i : sırasıyla bir i kullanıcısının Adım s'i yürütmeye başladığı ve bitirdiği (yerel) saat yuvarlak r. • Λ ve $\lambda$: esasen, sırasıyla Adım 1 ve 1'i gerçekleştirmek için gereken sürenin üst sınırlarıdır. Algorand protokolünün diğer herhangi bir adımı için gereken süre. Λ parametresi tek bir 1 MB'lık bloğu yayma süresini üst sınırlar. (Bizim notasyonumuzda, Λ = $\lambda$ $\rho$,1MB. Basitlik açısından $\rho$ = 1 olarak belirlediğimiz gösterimimizi hatırlayarak, bloklar en fazla 1MB uzunlukta olacak şekilde seçilmişse, Λ = $\lambda$1,1,1MB elde ederiz.) 15Aslında “r −k”, “max{0, r −k}” olmalıdır.Parametre $\lambda$, Adım s > 1'de doğrulayıcı başına bir küçük mesajı yayma süresini üst sınırlar. (Bitcoin'de olduğu gibi, 32B anahtarlı eliptik eğri imzaları kullanıldığında, bir doğrulama mesajı 200B uzunluğunda olur. Dolayısıyla bizim notasyonumuzda $\lambda$ = $\lambda$n,$\rho$,200B olur.) Λ = O($\lambda$) olduğunu varsayıyoruz. Kavramlar • Doğrulayıcı seçimi. Her r turu ve s > 1 adımı için, SV r,s $\triangleq${i $\in$PKr−k : .H(SIGi(r, s, Qr−1)) $\leq$p}. Her biri i $\in$PKr−k kullanıcısı, uzun vadeli anahtarını kullanarak imzasını özel olarak hesaplar ve i $\in$SV r,s ya da değil. Eğer i $\in$SV r,s ise, o zaman SIGi(r, s, Qr−1) i'nin (r, s)-kimlik bilgisidir, kısaca gösterilir $\sigma$r,s'ye göre ben. Turun ilk adımı için r, SV r,1 ve $\sigma$r,1 ben benzer şekilde tanımlanır; p, p1 ile değiştirilir. SV r,1'deki doğrulayıcılar potansiyel liderlerdir. • Lider seçimi. Kullanıcı i $\in$SV r,1, eğer H($\sigma$r,1 ise) r turunun lideridir ve $\ell$r ile gösterilir i ) $\leq$H($\sigma$r,1 j) tüm potansiyel için liderler j $\in$SV r,1. İki oyuncunun kimlik bilgilerinin hashes'leri karşılaştırıldığında, pek olası olmayan bir durumda bağ olması durumunda, protokol her zaman (uzun vadeli kamuya açık) göre sözlükbilimsel olarak bağları koparır potansiyel liderlerin anahtarları. Tanım gereği, oyuncunun kimlik bilgilerinin hash değeri aynı zamanda tüm kullanıcılar arasında en küçüğüdür. PKr-k. Potansiyel bir liderin, lider olup olmadığına özel olarak karar veremeyeceğini unutmayın. diğer potansiyel liderlerin kimlik bilgilerini görmeden. hash değerleri rastgele tekdüze olduğundan, SV r,1 boş olmadığında, $\ell$r her zaman mevcuttur ve olasılık açısından dürüst en azından h. n1 parametresi her birinin olmasını sağlayacak kadar büyüktür. SV r,1 büyük olasılıkla boş değildir. • Blok yapısı. Boş olmayan bir blok Br = (r, PAY r, SIG$\ell$r(Qr−1), H(Br−1)) biçimindedir ve boş bir blok Br formundadır ϫ = (r, $\emptyset$, Qr−1, H(Br−1)). Boş olmayan bir bloğun, eğer herhangi bir ödeme gerçekleşmezse, hala boş bir ödeme seti PAY r içerebileceğini unutmayın. Bu turda veya liderin kötü niyetli olup olmadığı. Ancak boş olmayan bir blok, $\ell$r, kimlik bilgisi $\sigma$r,1 $\ell$r ve SIG$\ell$r(Qr−1)'in tümü zamanında ortaya çıktı. Protokol garanti eder eğer lider dürüstse blok büyük olasılıkla boş olmayacaktır. • Tohum Qr. Br boş değilse Qr $\triangleq$H(SIG$\ell$r(Qr−1), r), aksi halde Qr $\triangleq$H(Qr−1, r). Parametreler • Çeşitli parametreler arasındaki ilişkiler. — R turunun doğrulayıcıları ve potansiyel liderleri PKr−k'deki kullanıcılar arasından seçilir, burada k, Rakibin r −k −1 turunda Qr−1'i tahmin edemeyeceği şekilde seçilir F'den daha iyi bir olasılıkla: aksi takdirde, kötü niyetli kullanıcıları tanıtabilecektir r -k turu için bunların hepsi r turunda potansiyel liderler/doğrulayıcılar olacak ve

İstenilen bazı adımlar için SV r,'lerde kötü niyetli bir lidere veya kötü niyetli bir çoğunluğa sahip olmak o. — Her turun 1. Adımı için r, n1, büyük olasılıkla SV r,1 ̸= $\emptyset$ olacak şekilde seçilir. • Önemli parametrelerin örnek seçimleri. — H'nin çıkışları 256 bit uzunluğundadır. — h = %80, n1 = 35. — Λ = 1 dakika ve $\lambda$ = 10 saniye. • Protokolün başlatılması. Protokol 0 zamanında r = 0 ile başlar. “B−1” veya “CERT −1” bulunmadığından, Sözdizimsel olarak B−1, üçüncü bileşeni Q−1'i belirten genel bir parametredir ve tüm kullanıcılar 0 zamanında B−1'i bilin.

Algorand ′

1 Bu bölümde, aşağıdaki varsayıma göre çalışan Algorand ′ versiyonunu oluşturuyoruz. Kullanıcıların Dürüst Çoğunluğu Varsayım: Her PKr'daki kullanıcıların 2/3'ünden fazlası dürüsttür. Bölüm 8'de yukarıdaki varsayımın istenen Dürüst Çoğunluk ile nasıl değiştirileceğini gösteriyoruz. Para varsayımı. 5.1 Ek Gösterimler ve Parametreler Gösterimler • m $\in$Z+: ikili BA protokolündeki maksimum adım sayısı, 3'ün katı. • Lr $\leq$m/3: 1'i görmek için gereken Bernoulli denemelerinin sayısını temsil eden rastgele bir değişken, her deneme ph olasılıkla 1 olduğunda 2 ve en fazla m/3 deneme var. Tüm denemeler başarısız olursa o zaman Lr $\triangleq$m/3. Lr, Br bloğunu oluşturmak için gereken sürenin üst sınırını belirlemek için kullanılacaktır. • tH = 2n 3+1: Protokolün bitiş koşullarında ihtiyaç duyulan imza sayısı. • CERT r: Br. sertifikası. Bu, H(Br)'nin uygun doğrulayıcılardan aldığı bir dizi imzadır. yuvarlak r. Parametreler • Çeşitli parametreler arasındaki ilişkiler. — r turundaki her adım için s > 1, n öyle seçilir ki, büyük bir olasılıkla, |HSV r,s| > 2|MSV r,s| ve |HSV r,s| + 4|MSV r,s| < 2n. h'nin değeri 1'e ne kadar yakınsa, n'nin o kadar küçük olması gerekir. Özellikle (varyantları) kullanıyoruz of) Chernoﬀistenen koşulların çok büyük bir olasılıkla gerçekleşmesini sağlamakla yükümlüdür. — m, ezici bir olasılıkla Lr < m/3 olacak şekilde seçilir. • Önemli parametrelerin örnek seçimleri. — F = 10−12. — n $\approx$1500, k = 40 ve m = 180.5.2 Algorand ′'de Geçici Anahtarların Uygulanması 1 Daha önce de belirtildiği gibi, bir i $\in$SV r,s doğrulayıcısının mesajını mr,s olarak dijital olarak imzalamasını dileriz. ben adımın r turunda, geçici bir genel anahtar pkr,s'ye göre i, geçici bir salgı anahtarı kullanarak skr,s ben bu kullandıktan hemen sonra yok eder. Bu nedenle, her kullanıcının bunu yapabilmesini sağlamak için etkili bir yönteme ihtiyacımız var. pkr,s'yi doğrulayın ben gerçekten de Bay'ın imzasını doğrulamak için kullanılacak anahtar ben. Bunu (en iyisine kadar) yapıyoruz bilgimiz dahilinde) kimlik tabanlı imza şemalarının yeni kullanımı. Yüksek düzeyde, böyle bir şemada, merkezi bir otorite A, genel bir ana anahtar olan PMK'yı üretir, ve karşılık gelen gizli ana anahtar SMK. U oyuncusunun kimliği verildiğinde, A şunu hesaplar: SMK aracılığıyla, U genel anahtarına göre gizli bir imza anahtarı skU'dur ve skU'yu özel olarak U. (Aslında kimlik tabanlı bir dijital imza şemasında, U kullanıcısının genel anahtarı U'nun kendisidir!) Bu şekilde A, etkinleştirmek istediği kullanıcıların gizli anahtarlarını hesapladıktan sonra SMK'yı yok ederse dijital imzalar üretiyorsa ve herhangi bir hesaplanmış gizli anahtarı tutmuyorsa, bu durumda bunu yapabilecek tek kişi U'dur. U genel anahtarına göre mesajları dijital olarak imzalayabilir. Böylece, "U'nun adını" bilen herkes, U'nun genel anahtarını otomatik olarak bilir ve böylece U'nun imzalarını doğrulayabilir (muhtemelen aynı zamanda genel ana anahtar PMK). Uygulamamızda, A otoritesi i kullanıcısıdır ve tüm olası kullanıcılar U kümesi, aşağıdakilerle çakışmaktadır: —diyelim— S = {i}$\times${r′, .'deki yuvarlak adım çifti (r, s). . . , r' +106}$\times${1, . . . , m+3}, burada r' belirli bir değerdir tur ve m + 3 bir turda gerçekleşebilecek adım sayısının üst sınırıdır. Bu yol, pkr,s ben $\triangleq$(i, r, s), böylece herkes i imzasını görür SIGr,s pkr,s ben (bay, s i) ezici bir şekilde yapabilirim olasılık, r'den sonraki ilk milyon tur için bunu hemen doğrulayın. Başka bir deyişle i ilk önce PMK ve SMK'yı üretir. Daha sonra PMK'nın benim efendim olduğunu duyurur herhangi bir r $\in$[r′, r′ + 106] turu için genel anahtardır ve sırrı özel olarak üretmek ve saklamak için SMK'yı kullanır anahtar skr,s ben her üçlü (i, r, s) $\in$S için. Bu yapıldıktan sonra SMK'yı yok eder. Eğer öyle olmadığına karar verirse SV r,s'nin bir kısmı, o zaman skr,s'yi bırakabilirim ben tek başına (protokol kimlik doğrulamasını gerektirmediğinden r) turunun Adım s'sindeki herhangi bir mesaj. Yoksa ilk önce skr,s kullanıyorum ben mesajını dijital olarak imzalamak için bay,s ben ve sonra skr,s'yi yok eder ben. Sisteme ilk girdiğinde onun ilk genel ana anahtarını açıklayabileceğimi unutmayın. Yani, i'yi sisteme getiren aynı ödeme $\wp$ (r' turunda veya r'ye yakın bir turda), aynı zamanda i'nin isteği üzerine, herhangi bir r $\in$[r′, r′ + 106] turu için i'nin genel ana anahtarının PMK olduğunu belirtin — örneğin, ile (PMK, [r′, r′ + 106]) formunun bir çiftini içerir. Ayrıca m + 3 bir turdaki maksimum adım sayısı olduğundan, bir turun Bir dakikanızı alırsa, bu şekilde üretilen geçici anahtarların saklanması neredeyse iki yıl dayanacaktır. aynı zamanda Zamanla bu geçici gizli anahtarların üretilmesi çok uzun sürmeyecek. Eliptik eğri tabanlı bir yöntem kullanma 32B anahtarlı sistemde her gizli anahtar birkaç mikrosaniyede hesaplanır. Böylece m + 3 = 180 ise, daha sonra 180 milyon gizli anahtarın tümü bir saatten daha kısa bir sürede hesaplanabilir. Mevcut tur r′ + 106'ya yaklaştığında, sonraki milyon turu idare etmek için, i yeni bir (PMK′, SMK′) çifti oluşturur ve bir sonraki geçici anahtar zulasının ne olduğunu şu şekilde bildirir: —örneğin— SIGi(PMK′, [r′ + 106 + 1, r′ + 2 $\cdot$ 106 + 1])'e sahip olmak yeni bir blok girer; ayrı bir "işlem" olarak veya bir ödemenin parçası olan bazı ek bilgiler olarak. Bunu yaparak, herkese i'nin geçici imzalarını doğrulamak için PMK′ kullanması gerektiğini bildiririm milyon tur. Ve benzeri. (Bu temel yaklaşımı takip ederek geçici anahtarları uygulamanın diğer yollarının kimlik tabanlı imzaların kullanılması kesinlikle mümkündür. Örneğin, Merkle trees.16 aracılığıyla) 16Bu yöntemde, genel-gizli bir anahtar çifti (pkr,s) oluşturuyorum ben, skr,s ben ) —diyelim— içindeki her yuvarlak adım çifti (r, s) içinGeçici anahtarları uygulamanın başka yolları da kesinlikle mümkündür; örneğin, Merkle trees yoluyla. 5.3 Algorand ′ Adımlarını Eşleştirme 1 BA'nınkilerle⋆ Söylediğimiz gibi Algorand ′'da bir tur 1'in en fazla m + 3 adımı vardır. Adım 1. Bu adımda, her potansiyel lider i kendi aday bloğu Br'yi hesaplar ve yayar. ben, kendi kimlik bilgisi ile birlikte, $\sigma$r,1 ben. Bu kimlik bilgilerinin açıkça i'yi tanımladığını hatırlayın. Bu böyledir çünkü $\sigma$r,1 ben $\triangleq$SIGi(r, 1, Qr−1). Potansiyel doğrulayıcı i aynı zamanda mesajının bir parçası olarak H(Br) dijital imzasını da yayar. ben). Bir ödeme veya kimlik bilgisi ile ilgili olmayan bu i imzası, onun geçici kamuya ilişkindir anahtar pkr,1 i: yani sigpkr'yi yayıyor,1 ben (H(Br ben)) Br'yi yaymak yerine geleneklerimiz göz önüne alındığında ben ve sigpkr,1 ben (H(Br ben )) o olabilirdi yayılan SIGpkr,1 ben (H(Br ben)) Ancak analizimizde açık erişime sahip olmamız gerekiyor. sigpkr,1 ben (H(Br ben)) Adım 2. Bu adımda her doğrulayıcı i, $\ell$r değerini ayarlar. hashed kimlik bilgilerine sahip potansiyel lider olacağım en küçüğüdür ve Br i $\ell$r tarafından önerilen blok olacağım ben. Verimlilik adına, Doğrudan Br üzerinde anlaşmak yerine H(Br) üzerinde anlaşmak istersem, onun vereceği mesajı yayarım BA⋆'nın ilk adımında v′ başlangıç değeriyle yayılır ben = H(Br ben). Yani v'yi yayıyor ben, tabii ki geçici olarak imzaladıktan sonra. (Yani, sağ geçici yasaya göre imzaladıktan sonra genel anahtar, bu durumda pkr,2 i.) Tabii ben de kendi kimlik bilgilerini aktarıyorum. BA⋆'ın ilk adımı dereceli konsensüs protokolü GC'nin ilk adımını oluşturduğundan, Adım Algorand ′'nin 2'si GC'nin ilk adımına karşılık gelir. Adımlar 3. Bu adımda, her i $\in$SV r,2 doğrulayıcısı BA⋆'nın ikinci adımını yürütür. Yani gönderiyor GC'nin ikinci adımında göndereceği mesajın aynısı. Tekrar ediyorum, i'nin mesajı geçicidir imzalı ve kimlik bilgilerim eşlik ediyor. (Bundan sonra, bir doğrulayıcının mesajını geçici olarak imzalar ve ayrıca kimliğini yayar.) Adım 4. Bu adımda, her i $\in$SV r,4 doğrulayıcısı GC (vi, gi) çıktısını hesaplar ve geçici olarak BA⋆'ın üçüncü adımında göndereceği mesajın aynısını imzalar ve gönderir. BBA⋆'nin ilk adımı; gi = 2 ise başlangıç biti 0, aksi halde 1'dir. Adım s = 5, . . . , m + 2. Böyle bir adıma ulaşılırsa, BA⋆'nın s −1 adımına karşılık gelir ve dolayısıyla BBA⋆'nın s −3 adımı. Yayılma modelimiz yeterince eşzamansız olduğundan, olasılığı hesaba katmalıyız. Böyle bir s adımının ortasında, onu kanıtlayan bilgi ile bir i $\in$SV r,s doğrulayıcısına ulaşılır. bu Br bloğu zaten seçilmiştir. Bu durumda, r turunun kendi yürütülmesini durdururum Algorand ′ ve yuvarlak (r + 1) talimatlarını yürütmeye başlar. {R', . . . , r' + 106} $\times$ {1, . . . , m + 3}. Daha sonra bu genel anahtarları kanonik bir şekilde sipariş eder ve j'inci genel anahtarı saklar. Merkle tree'nin j'inci yaprağını anahtarlar ve halka açıkladığı Ri kök değerini hesaplar. İmzalamak istediğinde anahtar pkr,s ile ilgili bir mesaj ben i yalnızca gerçek imzayı sağlamakla kalmıyor, aynı zamanda pkr,s için kimlik doğrulama yolunu da sağlıyor ben Ri'ye göre. Bu kimlik doğrulama yolunun aynı zamanda pkr,s olduğunu da kanıtladığına dikkat edin. ben j'inci yaprakta saklanır. Geri kalanı Ayrıntılar kolayca doldurulabilir.Buna göre, bir doğrulayıcı i $\in$SV r,s'nin talimatları, karşılık gelen talimatlara ek olarak BBA⋆ Adım s −3'e, BBA⋆ uygulamasının daha önce durdurulup durdurulmadığının kontrol edilmesini içerir. Adım s'. BBA⋆ yalnızca 0'a Sabitlenmiş Para Adımı veya 1'e Sabitlenmiş Para Adımı olduğu için, talimatlar olup olmadığını ayırt eder A (Bitiş Durumu 0): s′ −2 ≡0 mod 3 veya B (Bitiş Durumu 1): s′ −2 ≡1 mod 3. Aslında A durumunda Br bloğu boş değildir ve dolayısıyla ek komutlar gereklidir. Br'yi uygun CERT r sertifikasıyla birlikte uygun şekilde yeniden yapılandırdığımdan emin olun. B durumunda, Br bloğu boştur ve bu nedenle i'ye Br = Br'yi ayarlaması talimatı verilir $\varepsilon$ = (r, $\emptyset$, H(Qr−1, r), H(Br−1)), ve CERT r'yi hesaplamak için. Adım s'nin yürütülmesi sırasında Br bloğunun zaten mevcut olduğuna dair herhangi bir kanıt göremezsem oluşturulduysa, BBA⋆ adım s −3'te göndereceği mesajın aynısını gönderir. Adım m + 3. Adım m + 3 sırasında i $\in$SV r,m+3, Br bloğunun zaten Bir önceki adımı attıktan sonra yukarıda açıklandığı gibi ilerler. Aksi takdirde, BBA⋆ adımında göndereceği mesajın aynısını göndermek yerine, i: elindeki bilgilere dayanarak Br'yi ve karşılık gelenini hesaplaması talimatı verildi CERT sertifikası r. Aslında bir turun toplam adım sayısını m + 3 artırdığımızı hatırlayın. 5.4 Gerçek Protokol Bir r turunun her s adımında, i $\in$SV r,s doğrulayıcısının uzun vadeli kamu-gizli anahtar çiftini kullandığını hatırlayın. kimlik bilgisini vermek için, $\sigma$r,s ben $\triangleq$SIGi(r, s, Qr−1) ve ayrıca SIGi Qr−1 s = 1 durumunda. Doğrulayıcı i geçici gizli anahtarı skr,s'yi kullanır ben (r, s) mesajını imzalamak için mr,s ben. Basitlik açısından, r ve s olduğunda açık, sigpkr,s yerine esigi(x) yazıyoruz i (x) i'nin bir değerin uygun geçici imzasını belirtmek için r turunun s adımında x'i yazın ve SIGpkr,s yerine ESIGi(x) yazın i(x) (i, x, esigi(x))'i belirtmek için. 1. Adım: Teklifi Engelleyin Her i $\in$PKr−k kullanıcısı için talimatlar: Kullanıcı i, r turunun kendi Adım 1'ine başlar başlamaz başlar. Br−1'i biliyor. • Kullanıcı i, Br−1'in üçüncü bileşeninden Qr−1'i hesaplar ve i $\in$SV r,1 veya olup olmadığını kontrol eder. hayır. • Eğer i /$\in$SV r,1 ise, o zaman i, Adım 1'in kendi uygulamasını hemen durdurur. • Eğer i $\in$SV r,1 ise, yani i potansiyel bir liderse, o zaman yuvarlak r ödemelerini toplar. şu ana kadar kendisine dağıtılmıştır ve maksimum ödeme kümesi PAY r'yi hesaplar ben onlardanım. Sonra o “aday bloğunu” Br hesaplıyor i = (r, ÖDEME r i , SIGi(Qr−1), H(Br−1)). Sonunda hesap yapıyor mesaj bay1 ben = (Br ben , esigi(H(Br i)), $\sigma$r,1 i ), geçici gizli anahtarı skr'yi yok eder,1 ben ve sonra Bay,1'i yayıyor ben.Açıklama. Uygulamada, Adım 1'in genel uygulamasını kısaltmak için (r, 1)- önemlidir. Mesajlar seçici olarak yayılır. Yani sistemdeki her i kullanıcısı için ilk (r, 1)- Oyuncu i, aldığı ve başarıyla doğruladığı mesajı17 her zamanki gibi yayar. hepsi için i oyuncusunun aldığı ve başarılı bir şekilde doğruladığı diğer (r, 1)-mesajlarını yalnızca hash olması durumunda yayar içerdiği kimlik bilgilerinin değeri, içerdiği kimlik bilgilerinin hash değerleri arasında en küçüğüdür şu ana kadar aldığı ve başarıyla doğruladığı tüm (r, 1) mesajlarında. Ayrıca önerildiği gibi Georgios Vlachos'a göre, her potansiyel liderin aynı zamanda kendi itibarını $\sigma$r,1 yayması faydalıdır. ben ayrı ayrı: bu küçük mesajlar bloklardan daha hızlı yayılır, mr'nin zamanında yayılmasını sağlar1 j'nin içerilen kimlik bilgilerinin küçük hash değerlerine sahip olduğu, büyük hash değerlerine sahip olanların ise hızla kaybolur. Adım 2: Kademeli Konsensüs Protokolü GC'nin İlk Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: Kullanıcı i, r turunun kendi 2. Adımına başlar başlamaz Br−1'i biliyor. • Kullanıcı i, Br−1'in üçüncü bileşeninden Qr−1'i hesaplar ve i $\in$SV r,2 veya $\in$SV r,2 olup olmadığını kontrol eder. hayır. • Eğer i /$\in$SV r,2 ise o zaman i, Adım 2'nin kendi uygulamasını hemen durdurur. • Eğer i $\in$SV r,2 ise, t2 $\triangleq$ $\lambda$ + Λ kadar bir süre bekledikten sonra i aşağıdaki gibi hareket eder. 1. H($\sigma$r,1) olacak şekilde $\ell$ kullanıcısını bulur. $\ell$) $\leq$H($\sigma$r,1 j ) tüm kimlik bilgileri için $\sigma$r,1 j bunların bir parçası şu ana kadar aldığı başarıyla doğrulanmış (r, 1) mesajları.a 2. Eğer $\ell$'den geçerli bir mesaj almışsa mr,1 $\ell$ = (Br $\ell$, esig$\ell$(H(Br $\ell$)), $\sigma$r,1 $\ell$),b sonra i ayarlıyorum v′ i $\triangleq$H(Br $\ell$); aksi takdirde v′'yi kurarım ben $\triangleq$ $\bot$. 3. mr,2 mesajını hesaplıyorum ben $\triangleq$(ESIGi(v′ i), $\sigma$r,2 i ),c geçici gizli anahtarını yok eder skr,2 i ve ardından mr,2'yi yayar ben. a Esasen, i kullanıcısı r. turun liderinin $\ell$ kullanıcısı olduğuna özel olarak karar verir. bYine, oyuncu $\ell$'nin imzaları ve hashes başarıyla doğrulandı ve PAY r $\ell$Br'de $\ell$ geçerli bir ödeme setidir yuvarlak r —ÖDEME r olup olmadığını kontrol etmeme rağmen $\ell$, $\ell$veya değil için maksimumdur. cMesaj bay,2 ben v'yi düşündüğüm oyuncunun sinyalleri i sonraki bloğun hash'si olacağım veya sonraki bloğu dikkate alacağım bloğun boş olması. 17Yani, tüm imzalar doğru ve hem blok hem de bloğun hash geçerli —her ne kadar kontrol etmesem de Dahil edilen ödeme setinin teklif sahibi için maksimum olup olmadığı.

Adım 3: GC'nin İkinci Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: Kullanıcı i, r turunun kendi 3. Adımına başlar başlamaz Br−1'i biliyor. • Kullanıcı i, Br−1'in üçüncü bileşeninden Qr−1'i hesaplar ve i'nin $\in$SV r,3 veya olup olmadığını kontrol eder. hayır. • Eğer i /$\in$SV r,3 ise, o zaman i, Adım 3'ün kendi uygulamasını hemen durdurur. • Eğer i $\in$SV r,3 ise, t3 $\triangleq$t2 + 2$\lambda$ = 3$\lambda$ + Λ kadar bir süre bekledikten sonra i aşağıdaki gibi hareket eder. 1. Geçerli tüm mesajlar arasında mr,2 şeklinde bir v′ ̸= $\bot$ değeri varsa j o aldı, bunların 2/3'ünden fazlası (ESIGj(v'), $\sigma$r,2 formundadır. j), herhangi bir çelişki olmaksızın,a sonra mesajı hesaplar bay,3 ben $\triangleq$(ESIGi(v′), $\sigma$r,3 ben). Aksi takdirde Bay,3'ü hesaplar. ben $\triangleq$ (ESIGi($\bot$), $\sigma$r,3 ben). 2. Onun geçici gizli anahtarı olan skr'yi yok ediyorum,3 i ve ardından mr,3'ü yayar ben. aYani, sırasıyla ESIGj(v′) ve farklı bir ESIGj(v′′) içeren iki geçerli mesaj almamıştır, j oyuncusundan. Burada ve bundan sonra, daha sonra tanımlanacak Bitiş Koşulları dışında, dürüst bir oyuncunun Belirli bir formdaki mesajları istiyorsa, birbiriyle çelişen mesajlar asla sayılmaz veya geçerli sayılmaz.Adım 4: GC Çıktısı ve BBA'nın İlk Adımı⋆ Her i $\in$PKr−k kullanıcısı için talimatlar: Kullanıcı i, r turunun kendi 4. Adımına başlar başlamaz başlar. Br−1'i biliyor. • Kullanıcı i, Br−1'in üçüncü bileşeninden Qr−1'i hesaplar ve i $\in$SV r,4 veya 4 olup olmadığını kontrol eder. hayır. • Eğer i /$\in$SV r,4 ise, o zaman i, 4. Adımın uygulanmasını hemen durdurur. • Eğer i $\in$SV r,4 ise, t4 $\triangleq$t3 + 2$\lambda$ = 5$\lambda$ + Λ kadar bir süre bekledikten sonra i aşağıdaki gibi hareket eder. 1. GC çıktısı olan vi ve gi'yi aşağıdaki gibi hesaplar. (a) Tüm geçerli mesajlar arasında mr,3 şeklinde bir v′ ̸= $\bot$ değeri varsa j o var alınanların 2/3'ünden fazlası (ESIGj(v′), $\sigma$r,3 formundadır. j ), sonra ayarlar vi $\triangleq$v' ve gi $\triangleq$2. (b) Aksi takdirde, tüm geçerli mesajlar arasında v′ ̸= $\bot$ değeri varsa bay,3 j aldığında bunların 1/3'ünden fazlası (ESIGj(v′), $\sigma$r,3 formundadır. o zaman vi $\triangleq$v′ ve gi $\triangleq$1.a'yı ayarlar (c) Aksi taktirde vi $\triangleq$H(Br) değerini verir. ϫ ) ve gi $\triangleq$0. 2. BBA⋆ girdisi olan bi'yi şu şekilde hesaplar: gi = 2 ise bi $\triangleq$0, aksi halde bi $\triangleq$1. 3. Mr,4 mesajını hesaplar ben $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,4 i ), geçiciliğini yok eder gizli anahtar skr,4 i ve ardından mr,4'ü yayar ben. a(b) durumundaki v'nin, eğer varsa, benzersiz olması gerektiği kanıtlanabilir.

Adım s, 5 $\leq$s $\leq$m + 2, s −2 ≡0 mod 3: BBA⋆'nın 0'a Sabitlenmiş Madeni Para Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: i kullanıcısı r turunun kendi Adım s'sini başlatır Br−1'i biliyor. • Kullanıcı i, Br−1'in üçüncü bileşeninden Qr−1'i hesaplar ve i $\in$SV r,s olup olmadığını kontrol eder. • Eğer i /$\in$SV r,s ise, o zaman i, Adım s'yi kendi yürütmesini hemen durdurur. • Eğer i $\in$SV r,s ise aşağıdaki gibi hareket eder. – ts $\triangleq$ts−1 + 2$\lambda$ = (2s −3)$\lambda$ + Λ süresi geçene kadar bekler. – Bitiş Koşulu 0: Böyle bir bekleme sırasında ve herhangi bir zamanda, dize v ̸= $\bot$ve bir adım s′ öyle ki (a) 5 $\leq$s′ $\leq$s, s′ −2 ≡0 mod 3 — yani Adım s', Paraya Sabitlenmiş 0 adımıdır, (b) en azından tH aldım = 2n 3 + 1 geçerli mesaj mr,s′−1 j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ),a ve (c) geçerli bir mesaj aldım bay,1 j = (Br j , esigj(H(Br j)), $\sigma$r,1 j ) v = H(Br) ile ), daha sonra i, Adım s'yi (ve aslında r turunu) kendi yürütmesini hemen durdurur. herhangi bir şeyi yaymak; Br = Br'yi ayarlar j; ve kendi CERT r'sini mesaj kümesi olarak ayarlar bay,s'−1 j (b) alt adımının – Bitiş Koşulu 1: Bu tür bir bekleme sırasında ve herhangi bir zamanda, adım öyle ki (a') 6 $\leq$s′ $\leq$s, s′ −2 ≡1 mod 3 — yani Adım s', Paraya Sabitlenmiş 1 adımıdır ve (b') i en azından geçerli mesajları aldım mr,s′−1 j = (ESIGj(1), ESIGj(vj), $\sigma$r,s'−1 j ),c daha sonra i, Adım s'yi (ve aslında r turunu) kendi yürütmesini hemen durdurur. herhangi bir şeyi yaymak; Br = Br'yi ayarlar ǫ ; ve kendi CERT r'sini mesaj kümesi olarak ayarlar bay,s'−1 j (b') alt adımının. – Aksi takdirde bekleme sonunda i kullanıcısı aşağıdaki işlemleri yapar. Tüm geçerli kararların ikinci bileşenlerinde vj'lerin çoğunluk oyu olarak vi'yi belirler. bay,s−1 j o aldı. Bi'yi aşağıdaki gibi hesaplıyor. Geçerli mr,s−1 sayısının 2/3'ünden fazlası ise j Aldığı formdadır (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), sonra bi $\triangleq$0 değerini ayarlar. Aksi halde, geçerli mr,s−1 sayısının 2/3'ünden fazlası varsa j Aldığı formdadır (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), sonra bi $\triangleq$1 değerini ayarlar. Aksi halde bi'yi $\triangleq$0 olarak belirler. Bay'ın mesajını hesaplıyor ben $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ), geçiciliğini yok eder gizli anahtar skr,s i ve ardından mr,s'yi yayar ben. aJ oyuncusundan gelen böyle bir mesaj, i oyuncusu j imzasından da 1 için bir mesaj almış olsa bile sayılır. Bitiş Durumu 1 için de benzer şeyler. Analizde gösterildiği gibi bu, tüm dürüst kullanıcıların bilmesini sağlamak için yapılır. Br birbirinden $\lambda$ süresi içinde. buser i artık Br'yi ve kendi yuvarlak r kaplamalarını biliyor. Genel bir kullanıcı olarak hâlâ mesajların yayılmasına yardımcı oluyor, ancak (r, s)-doğrulayıcısı olarak herhangi bir yayılımı başlatmaz. Özellikle, tüm mesajların kendi sitesinde yayılmasına yardımcı oldu. Protokolümüz için yeterli olan CERT r. Ayrıca ikili BA protokolü için bi $\triangleq$0 ayarlaması gerektiğini unutmayın, ancak bi bu durumda zaten gerekli değildir. Gelecekteki tüm talimatlar için benzer şeyler. cBu durumda vj'lerin ne olduğu önemli değildir.Adım s, 6 $\leq$s $\leq$m + 2, s −2 ≡1 mod 3: BBA⋆'nın 1'e Sabitlenmiş Madeni Para Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: i kullanıcısı r turunun kendi Adım s'sini başlatır Br−1'i biliyor. • Kullanıcı i, Br−1'in üçüncü bileşeninden Qr−1'i hesaplar ve i $\in$SV r,s veya olup olmadığını kontrol eder. hayır. • Eğer i /$\in$SV r,s ise, o zaman i, Adım s'yi kendi yürütmesini hemen durdurur. • Eğer i $\in$SV r,s ise aşağıdakileri yapar. – ts $\triangleq$(2s −3)$\lambda$ + Λ süresi geçene kadar bekler. – Bitiş Koşulu 0: Coin-Fixed-To-0 adımlarıyla aynı talimatlar. – Bitiş Koşulu 1: Coin-Fixed-To-0 adımlarıyla aynı talimatlar. – Aksi takdirde bekleme sonunda i kullanıcısı aşağıdaki işlemleri yapar. Tüm geçerli kararların ikinci bileşenlerinde vj'lerin çoğunluk oyu olarak vi'yi belirler. bay,s−1 j o aldı. Bi'yi aşağıdaki gibi hesaplıyor. Geçerli mr,s−1 sayısının 2/3'ünden fazlası ise j Aldığı formdadır (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), sonra bi $\triangleq$0 değerini ayarlar. Aksi halde, geçerli mr,s−1 sayısının 2/3'ünden fazlası varsa j Aldığı formdadır (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), sonra bi $\triangleq$1 değerini ayarlar. Aksi takdirde bi $\triangleq$1 değerini alır. Bay'ın mesajını hesaplıyor ben $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ), geçiciliğini yok eder gizli anahtar skr,s i ve ardından mr,s'yi yayar ben.

Adım s, 7 $\leq$s $\leq$m + 2, s −2 ≡2 mod 3: BBA⋆'nın Gerçekten Yazı-Para Çevirilmiş Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: i kullanıcısı r turunun kendi Adım s'sini başlatır Br−1'i biliyor. • Kullanıcı i, Br−1'in üçüncü bileşeninden Qr−1'i hesaplar ve i $\in$SV r,s veya olup olmadığını kontrol eder. hayır. • Eğer i /$\in$SV r,s ise, o zaman i, Adım s'yi kendi yürütmesini hemen durdurur. • Eğer i $\in$SV r,s ise aşağıdakileri yapar. – ts $\triangleq$(2s −3)$\lambda$ + Λ süresi geçene kadar bekler. – Bitiş Koşulu 0: Coin-Fixed-To-0 adımlarıyla aynı talimatlar. – Bitiş Koşulu 1: Coin-Fixed-To-0 adımlarıyla aynı talimatlar. – Aksi takdirde bekleme sonunda i kullanıcısı aşağıdaki işlemleri yapar. Tüm geçerli kararların ikinci bileşenlerinde vj'lerin çoğunluk oyu olarak vi'yi belirler. bay,s−1 j o aldı. Bi'yi aşağıdaki gibi hesaplıyor. Geçerli mr,s−1 sayısının 2/3'ünden fazlası ise j Aldığı formdadır (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), sonra bi $\triangleq$0 değerini ayarlar. Aksi halde, geçerli mr,s−1 sayısının 2/3'ünden fazlası varsa j Aldığı formdadır (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), sonra bi $\triangleq$1 değerini ayarlar. Aksi halde SV r,s−1 olsun ben geçerli bir test aldığı (r, s −1) doğrulayıcıların kümesi olsun mesaj bay,s−1 j . bi $\triangleq$lsb(minj$\in$SV r,s−1) değerini belirler. ben H($\sigma$r,s−1 j )). Bay'ın mesajını hesaplıyor ben $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ), geçiciliğini yok eder gizli anahtar skr,s i ve ardından mr,s'yi yayar ben.

Adım m + 3: BBA⋆a'nın Son Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: Kullanıcı i, r turunun kendi m + 3 Adımına başlar başlamaz başlar. Br−1'i biliyor. • Kullanıcı i, Br−1'in üçüncü bileşeninden Qr−1'i hesaplar ve i $\in$SV r,m+3 veya olup olmadığını kontrol eder. hayır. • Eğer i /$\in$SV r,m+3 ise, o zaman i, m + 3 Adımını kendi yürütmesini hemen durdurur. • Eğer i $\in$SV r,m+3 ise aşağıdakileri yapar. – tm+3 $\triangleq$tm+2 + 2$\lambda$ = (2m + 3)$\lambda$ + Λ süresi geçene kadar bekler. – Bitiş Koşulu 0: Coin-Fixed-To-0 adımlarıyla aynı talimatlar. – Bitiş Koşulu 1: Coin-Fixed-To-0 adımlarıyla aynı talimatlar. – Aksi takdirde bekleme sonunda i kullanıcısı aşağıdaki işlemleri yapar. i $\triangleq$1 ve Br $\triangleq$Br'yi belirler ǫ. Bay,m+3 mesajını hesaplıyor ben = (ESIGi(outi), ESIGi(H(Br))), $\sigma$r,m+3 ben ), onu yok eder geçici gizli anahtar skr,m+3 ben , ve sonra mr,m+3'ü yayar ben Br.b'yi onaylamak için aÇok büyük olasılıkla BBA⋆ bu adımdan önce sona ermiştir ve bu adımı tamlık için belirledik. Adım m + 3'teki b sertifikasının ESIGi(outi) içermesi zorunlu değildir. Bunu yalnızca tekdüzelik amacıyla dahil ettik: Sertifikalar artık hangi adımda oluşturulduklarına bakılmaksızın tek tip bir formata sahip.Round-r Bloğunun Doğrulayıcı Olmayanlar Tarafından Yeniden İnşası Sistemdeki her i kullanıcısı için talimatlar: i kullanıcısı öğrenir öğrenmez kendi r turuna başlar Br−1 ve aşağıdaki gibi blok bilgisini bekler. – Eğer böyle bir bekleme sırasında ve herhangi bir zamanda bir v dizisi ve böyle bir s' adımı varsa bu (a) 5 $\leq$s′ $\leq$m + 3 ve s′ −2 ≡0 mod 3, (b) i en azından geçerli mesajları aldım mr,s′−1 j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ) ve (c) geçerli bir mesaj aldım bay,1 j = (Br j , esigj(H(Br j)), $\sigma$r,1 j ) v = H(Br) ile ), daha sonra, r'yi kendi yürütmesini hemen durdururum; Br = Br'yi ayarlar j; ve kendi CERT r'sini ayarlar mesajların kümesi olacak mr,s′−1 j (b) alt adımının. – Böyle bir bekleme sırasında ve herhangi bir zamanda, şöyle bir s' adımı mevcutsa: (a’) 6 $\leq$s′ $\leq$m + 3 ile s′ −2 ≡1 mod 3 ve (b') i en azından geçerli mesajları aldım mr,s′−1 j = (ESIGj(1), ESIGj(vj), $\sigma$r,s′−1 j ), daha sonra, r'yi kendi yürütmesini hemen durdururum; Br = Br'yi ayarlar ǫ; ve kendi CERT r'sini ayarlar mesajların kümesi olacak mr,s′−1 j (b') alt adımının. – Böyle bir bekleme sırasında veya herhangi bir zamanda en azından geçerli mesajları almışsam bay, e+3 j = (ESIGj(1), ESIGj(H(Br) ǫ )), $\sigma$r,m+3 j ), sonra r turunu kendi yürütmesini durduruyorum hemen Br = Br'yi ayarlar ǫ ve kendi CERT r'sini mr,m+3 mesaj kümesi olarak ayarlar j 1 için ve H(Br ǫ ). 5.5 Algorand ′ Analizi 1 Analizde kullanılan her r $\geq$0 turu için aşağıdaki gösterimleri sunuyoruz. • İlk dürüst kullanıcının Br−1'i bildiği zaman T r olsun. • Ir+1 [T r+1, T r+1 + $\lambda$] aralığı olsun. Protokolün başlatılmasıyla T 0 = 0 olduğuna dikkat edin. Her s $\geq$1 ve i $\in$SV r,s için şunu hatırlayın: $\alpha$r,s ben ve $\beta$r,s ben sırasıyla oyuncunun i adımının başlangıç zamanı ve bitiş zamanıdır. Üstelik, her 2 $\leq$s $\leq$m + 3 için ts = (2s −3)$\lambda$ + Λ olduğunu hatırlayın. Ayrıca I0 $\triangleq${0} ve t1 $\triangleq$0 olsun. Son olarak, Lr $\leq$m/3'ün Bernoulli denemelerinin sayısını temsil eden rastgele bir değişken olduğunu hatırlayın. Her deneme ph olasılığıyla 1 olduğunda 1'i görmek gerekir 2 ve en fazla m/3 deneme var. Eğer hepsi denemeler başarısız olursa Lr $\triangleq$m/3 olur. Analizde hesaplama süresini göz ardı ediyoruz, çünkü aslında ihtiyaç duyulan zamana göre ihmal edilebilir düzeydedir. mesajları yaymak için. Her durumda, biraz daha büyük $\lambda$ ve Λ kullanılarak hesaplama süresi doğrudan analize dahil edilmelidir. Aşağıdaki ifadelerin çoğu “ezici bir şekilde olasılık”tır ve bu gerçeği analizde tekrar tekrar vurgulayamayabiliriz.5.6 Ana Teorem Teorem 5.1. Aşağıdaki özellikler her r $\geq$0 turu için büyük olasılıkla geçerlidir: 1. Tüm dürüst kullanıcılar aynı blokta hemfikirdir Br. 2. Lider $\ell$r dürüst olduğunda, Br bloğu $\ell$r tarafından oluşturulur, Br bir maksimum kazanç seti içerir $\ell$r tarafından $\alpha$r,1 zamanına kadar alındı $\ell$r , T r+1 $\leq$T r + 8$\lambda$ + Λ ve tüm dürüst kullanıcılar zamanında Br'yi biliyor aralık Ir+1. 3. Lider $\ell$r kötü niyetli olduğunda T r+1 $\leq$T r + (6Lr + 10)$\lambda$ + Λ ve tüm dürüst kullanıcılar Br'yi bilir Ir+1 zaman aralığında. 4. Lr için ph = h2(1 + h −h2) ve lider $\ell$r en azından ph olasılığı konusunda dürüsttür. Ana teoremimizi kanıtlamadan önce iki açıklama yapalım. Notlar. • Blok Oluşturma ve Gerçek Gecikme. Br bloğunu oluşturma zamanı T r+1 −T r olarak tanımlanır. Yani, dürüst bir kullanıcının Br'yi ilk kez öğrenmesi ile Br'yi ilk kez öğrenmesi arasındaki fark olarak tanımlanır. İlk kez dürüst bir kullanıcı Br−1'i öğreniyor. Round-r lideri dürüst olduğunda, Mülk 2 bizim ana teorem, ne olursa olsun, Br'yi oluşturmak için tam zamanın 8$\lambda$ + Λ zaman olduğunu garanti eder h'nin kesin değeri > 2/3 olabilir. Lider kötü niyetli olduğunda Özellik 3 şunu ima eder: Br'nin üretilmesi için beklenen süre ( 12) kadar üst sınıra tabidir ph + 10)$\lambda$ + Λ, yine kesinlik ne olursa olsun h.18 değeri Ancak Br'nin üretilmesi için beklenen süre, h'nin kesin değerine bağlıdır. Aslında Özellik 4'e göre ph = h2(1 + h −h2) ve lider en azından olasılık konusunda dürüsttür ph, böylece E[T r+1 −T r] $\leq$h2(1 + h −h2) $\cdot$ (8$\lambda$ + Λ) + (1 −h2(1 + h −h2))(( 12 h2(1 + h −h2) + 10)$\lambda$ + Λ). Örneğin, eğer h = %80 ise E[T r+1 −T r] $\leq$12,7$\lambda$ + Λ. • $\lambda$ ve Λ. Doğrulayıcılar tarafından Algorand ′ adımında gönderilen mesajların boyutunun baskın olduğunu unutmayın sayısı olsa bile sabit kalabilen dijital imza anahtarlarının uzunluğuna göre kullanıcılar çok büyük. Ayrıca, s > 1 olan herhangi bir adımda, aynı beklenen sayıda doğrulayıcının n olduğunu unutmayın. Kullanıcı sayısı 100K, 100M veya 100M olsun kullanılabilir. Bunun nedeni yalnızca n h ve F'ye bağlıdır. Özet olarak, gizli anahtar uzunluğunu artırmaya yönelik ani bir ihtiyaç dışında, Kullanıcı sayısı ne kadar büyük olursa olsun $\lambda$ değeri aynı kalmalıdır. öngörülebilir gelecek. Bunun tersine, herhangi bir işlem oranı için işlem sayısı, işlem sayısıyla birlikte artar. kullanıcılar. Bu nedenle, tüm yeni işlemlerin zamanında işlenmesi için bloğun boyutunun şu şekilde olması gerekir: aynı zamanda kullanıcı sayısıyla birlikte büyür, bu da Λ'nin de büyümesine neden olur. Bu nedenle, uzun vadede şunları yapmalıyız: $\lambda$ << Λ. Buna göre $\lambda$ için daha büyük bir katsayıya sahip olmak uygundur ve aslında bir katsayı Λ için 1'in. Teorem 5.1'in Kanıtı. Özellikler 1-3'ü tümevarımla kanıtlıyoruz: r −1 turu için geçerli olduklarını varsayarak (genelliği kaybetmeden, r = 0 olduğunda otomatik olarak "-1" turu için geçerli olurlar), bunları kanıtlıyoruz yuvarlak r. 18Gerçekte, E[T r+1 −T r] $\leq$(6E[Lr] + 10)$\lambda$ + Λ = (6 $\cdot$ 2 ph + 10)$\lambda$ + Λ = ( 12 ph + 10)$\lambda$ + Λ.Br-1 tümevarım hipotezi tarafından benzersiz bir şekilde tanımlandığından, SV r,s kümesi benzersiz bir şekilde tanımlanır. r turunun her adımı için. n1'in seçimiyle, SV r,1 ̸= $\emptyset$çok büyük olasılıkla. biz şimdi Bölüm 5.7 ve 5.8'de kanıtlanan aşağıdaki iki lemmayı belirtin. İndüksiyon boyunca ve iki lemmanın ispatları, 0. tur için analiz tümevarım adımıyla hemen hemen aynıdır, ve ortaya çıktıklarında farklılıkları vurgulayacağız. Lemma 5.2. [Tamlık Lemması] Özellikler 1-3'ün r−1 turu için geçerli olduğu varsayılırsa, lider $\ell$r dürüsttür, büyük olasılıkla, • Tüm dürüst kullanıcılar, $\ell$r tarafından oluşturulan ve bir maksimum içeren aynı Br bloğu üzerinde anlaşırlar. $\alpha$r,1 zamanına göre $\ell$r tarafından alınan ödeme seti $\ell$r $\in$Ir; ve • T r+1 $\leq$T r + 8$\lambda$ + Λ ve tüm dürüst kullanıcılar Br'yi Ir+1 zaman aralığında bilir. Lemma 5.3. [Sağlık Önermesi] 1-3 Özelliklerinin r −1 turu için geçerli olduğu varsayılırsa, lider $\ell$r kötü niyetlidir, büyük olasılıkla tüm dürüst kullanıcılar aynı blokta hemfikirdir Br, T r+1 $\leq$ T r + (6Lr + 10)$\lambda$ + Λ ve tüm dürüst kullanıcılar Br'yi Ir+1 zaman aralığında bilir. 1-3 arasındaki özellikler, Lemmas 5.2 ve 5.3'ün r = 0'a ve endüktif adıma uygulanmasıyla sağlanır. Son olarak, Özellik 4'ü Bölüm 5.9'da kanıtlanan aşağıdaki lemma olarak yeniden ifade ediyoruz. Lemma 5.4. r'den önceki her tur için Özellikler 1-3 verildiğinde, Lr için ph = h2(1 + h −h2) ve lider $\ell$r en azından ph olasılığı konusunda dürüsttür. Yukarıdaki üç lemmayı bir araya getirdiğimizde Teorem 5.1 geçerlidir. ■ Aşağıdaki lemma, tümevarım göz önüne alındığında yuvarlak r ile ilgili birkaç önemli özelliği belirtmektedir. hipotezdir ve yukarıdaki üç lemmanın ispatlarında kullanılacaktır. Lemma 5.5. r −1 turu için Özellikler 1-3'ün geçerli olduğunu varsayalım. r turundaki her adım için s $\geq$1 ve her dürüst doğrulayıcı i $\in$HSV r,s, elimizde bu var (a) $\alpha$r,s ben $\in$Ir; (b) eğer i oyuncusu ts kadar beklemişse, o zaman $\beta$r,s ben r > 0 için $\in$[T r + ts, T r + $\lambda$ + ts] ve $\beta$r,s ben r = 0 için = ts; ve (c) eğer i oyuncusu ts süresi kadar beklemişse, o zaman $\beta$r,s süresine göre ben, o tüm mesajları aldı tüm dürüst doğrulayıcılar tarafından j $\in$HSV r,s′ tüm s′ < s adımları için gönderilir. Ayrıca, s$\geq$3 olan her adım için şunu elde ederiz: (d) iki farklı oyuncu i, i′ $\in$SV r,s ve aynı şeyin iki farklı v, v′ değeri yoktur uzunluk, öyle ki her iki oyuncu da tüm sürenin 2/3'ünden daha fazla bir ts süresi bekledi. geçerli mesajlar bay,s−1 j aldığım oyuncu v için imza attı ve tüm geçerli sözleşmelerin 2/3'ünden fazlası mesajlar bay,s−1 j i'nin aldığı oyuncu v' için imza attı. Kanıt. (a) özelliği doğrudan tümevarımsal hipotezden kaynaklanır, çünkü i oyuncusu Br-1'i bilir. Ir zaman aralığını alır ve hemen kendi adımına başlar. (b) özelliği doğrudan (a)'dan gelir: çünkü oyuncu i harekete geçmeden önce belirli bir süre ts bekledi, $\beta$r,s ben = $\alpha$r,s ben + ts. $\alpha$r,s'ye dikkat edin ben = 0 için r = 0. Şimdi Özellik (c)'yi kanıtlıyoruz. Eğer s = 2 ise, Özellik (b) uyarınca, tüm j $\in$HSV r,1 doğrulayıcıları için şunu elde ederiz: $\beta$r,s ben = $\alpha$r,s ben + ts $\geq$T r + ts = T r + $\lambda$ + Λ $\geq$ $\beta$r,1 j + Λ.Her j $\in$HSV r,1 doğrulayıcısı mesajını $\beta$r,1 zamanında gönderdiğinden j ve mesaj dürüst olan herkese ulaşıyor kullanıcılar en fazla Λ zamanda, $\beta$r,s zamanına göre ben oyuncu i'deki tüm doğrulayıcılar tarafından gönderilen mesajları aldım HSV r,1 istenildiği gibi. Eğer s > 2 ise ts = ts−1 + 2$\lambda$ olur. (b) Özelliğine göre, tüm s′ < s adımları ve tüm j $\in$HSV r,s′ doğrulayıcıları için, $\beta$r,s ben = $\alpha$r,s ben + ts $\geq$T r + ts = T r + ts−1 + 2$\lambda$ $\geq$T r + ts′ + 2$\lambda$ = T r + $\lambda$ + ts′ + $\lambda$ $\geq$ $\beta$r,s′ j + $\lambda$. Her doğrulayıcı j $\in$HSV r,s′ mesajını $\beta$r,s′ zamanında gönderdiğinden j ve mesaj dürüst olan herkese ulaşıyor kullanıcılar en fazla $\lambda$ zamanda, $\beta$r,s zamanına göre ben Oyuncu i, tüm dürüst doğrulayıcıların gönderdiği tüm mesajları aldı HSV'de tüm s′ < s için r,s′. Dolayısıyla Özellik (c) geçerlidir. Son olarak Özellik (d)'yi kanıtlıyoruz. j $\in$SV r,s−1 doğrulayıcılarının en fazla iki şeyi imzaladığını unutmayın. Geçici gizli anahtarlarını kullanarak s −1 adımı: çıktıyla aynı uzunlukta bir vj değeri hash işlevi ve ayrıca s −1 $\geq$4 ise bj $\in${0, 1} biti. Bu nedenle lemmanın ifadesinde v ve v′'nin aynı uzunluğa sahip olmasını istiyoruz: birçok doğrulayıcı hem hash değerini imzalamış olabilir v ve bir bit b, dolayısıyla her ikisi de 2/3 eşiğini geçiyor. Çelişki olsun diye, istenen doğrulayıcılar i, i' ve v, v' değerlerinin var olduğunu varsayalım. MSV r,s−1'deki bazı kötü niyetli doğrulayıcıların hem v'yi hem de v'yi imzalamış olabileceğini ancak her birinin dürüst olduğunu unutmayın. HSV r,s−1'deki doğrulayıcı bunlardan en fazla birini imzalamıştır. (c) Özelliğine göre, hem i hem de i' almış HSV r,s−1'deki tüm dürüst doğrulayıcılar tarafından gönderilen tüm mesajlar. HSV r,s−1(v), v, MSV r,s−1 imzasını atan dürüst (r, s −1) doğrulayıcıların kümesi olsun. ben set geçerli bir mesaj aldığım kötü niyetli (r, s −1) doğrulayıcıların ve MSV r,s−1 ben (v) MSV'nin alt kümesi r,s−1 ben Geçerli bir imza mesajı aldığım kişiden v. Gereksinimlere göre i ve v, elimizde oran $\triangleq$|HSV r,s−1(v)| + |MSV r,s−1 ben (v)| |HSV r,s−1| + |MSV r,s−1 ben |

2 3. (1) İlk önce gösteriyoruz |MSV r,s−1 ben (v)| $\leq$|HSV r,s−1(v)|. (2) Aksini varsayarsak, parametreler arasındaki ilişkilere göre çok büyük olasılıkla |HSV r,s−1| > 2|MSV r,s−1| $\geq$2|MSV r,s−1 ben |, dolayısıyla oran < |HSV r,s−1(v)| + |MSV r,s−1 ben (v)| 3|MSV r,s−1 ben | < 2|MSV r,s−1 ben (v)| 3|MSV r,s−1 ben | $\leq$2 3, Eşitsizlikle çelişen 1. Sonra, Eşitsizlik 1'e göre elimizde 2|HSV r,s−1| + 2|MSV r,s−1 ben | < 3|HSV r,s−1(v)| + 3|MSV r,s−1 ben (v)| $\leq$ 3|HSV r,s−1(v)| + 2|MSV r,s−1 ben | + |MSV r,s−1 ben (v)|. Eşitsizlik 2 ile birleştirildiğinde, 2|HSV r,s−1| < 3|HSV r,s−1(v)| + |MSV r,s−1 ben (v)| $\leq$4|HSV r,s−1(v)|, bu ima ediyor |HSV r,s−1(v)| > 1 2|HSV r,s−1|.Benzer şekilde, i' ve v' gereksinimlerine göre, elimizde |HSV r,s−1(v′)| > 1 2|HSV r,s−1|. Dürüst bir doğrulayıcı j $\in$HSV r,s−1, geçici gizli anahtarı skr,s−1'i yok ettiğinden j yayılmadan önce mesajından sonra, Düşman, j'nin imzalamadığı bir değer için j'nin imzasını taklit edemez. j'nin bir doğrulayıcı olduğunu öğrenmek. Dolayısıyla yukarıdaki iki eşitsizlik |HSV r,s−1| $\geq$|HSV r,s−1(v)| + |HSV r,s−1(v′)| > |HSV r,s−1|, bir çelişki. Buna göre istenen i, i', v, v' mevcut değildir ve Özellik (d) geçerlidir. ■ 5.7 Tamlık Lemması Lemma 5.2. [Tamlık Lemması, yeniden ifade edilmiş] Özellikler 1-3'ün r−1 turu için geçerli olduğu varsayılırsa, Lider dürüsttür ve büyük bir olasılıkla, • Tüm dürüst kullanıcılar, $\ell$r tarafından oluşturulan ve bir maksimum içeren aynı Br bloğu üzerinde anlaşırlar. $\alpha$r,1 zamanına göre $\ell$r tarafından alınan ödeme seti $\ell$r $\in$Ir; ve • T r+1 $\leq$T r + 8$\lambda$ + Λ ve tüm dürüst kullanıcılar Br'yi Ir+1 zaman aralığında bilir. Kanıt. Tümevarım hipotezi ve Lemma 5.5'e göre, her adım s ve doğrulayıcı i $\in$HSV r,s için, $\alpha$r,s ben $\in$Ir. Aşağıda protokolü adım adım analiz ediyoruz. Adım 1. Tanım gereği, her dürüst doğrulayıcı i $\in$HSV r,1 istenen mesajı mr,1 yayar. ben en zaman $\beta$r,1 ben = $\alpha$r,1 ben, nerede bay,1 ben = (Br ben , esigi(H(Br i)), $\sigma$r,1 ben), br i = (r, ÖDEME r i , SIGi(Qr−1), H(Br−1)), ve PAY r i, $\alpha$r,1 zamanına kadar gördüğüm tüm ödemeler arasında maksimum ödeme kümesidir ben. Adım 2. Dürüst bir doğrulayıcıyı keyfi olarak i $\in$HSV r,2 olarak belirleyin. Lemma 5.5'e göre, i oyuncusunun işi bittiğinde $\beta$r,2 zamanında beklemek ben = $\alpha$r,2 ben + t2, HSV r,1'deki doğrulayıcılar tarafından gönderilen tüm mesajları almıştır. bay,1 $\ell$r . $\ell$r tanımına göre PKr−k'de kimlik bilgisi hash olan başka bir oyuncu yoktur. değer H($\sigma$r,1) değerinden küçüktür $\ell$r ). Tabii ki, Düşman H($\sigma$r,1) değerini gördükten sonra $\ell$r'yi bozabilir. $\ell$r ) çok küçüktür, ancak o zamana kadar $\ell$r oyuncusu geçici anahtarını yok etmiş ve Bay,1 mesajını görmüştür. $\ell$r yayılmıştır. Böylece doğrulayıcı kendi liderini oyuncu $\ell$r olarak belirler. Buna göre $\beta$r,2 zamanında ben, doğrulayıcı bay,2'yi yayıyorum ben = (ESIGi(v′ i), $\sigma$r,2 i ), nerede v' ben = H(Br $\ell$r). r = 0 olduğunda tek fark bu $\beta$r,2 mi ben = t2 bir aralıkta olmak yerine. Bundan sonraki adımlar için de benzer şeyler söylenebilir. onları bir daha vurgulamayacağım. Adım 3. Dürüst bir doğrulayıcıyı keyfi olarak i $\in$HSV r,3 olarak belirleyin. Lemma 5.5'e göre, i oyuncusunun işi bittiğinde $\beta$r,3 zamanında beklemek ben = $\alpha$r,3 ben + t3, HSV r,2'deki doğrulayıcılar tarafından gönderilen tüm mesajları aldı. Parametreler arasındaki ilişkilere göre, büyük olasılıkla |HSV r,2| > 2|MSV r,2|. Üstelik hiçbir dürüst doğrulayıcı çelişkili mesajlara imza atmaz ve Düşman Dürüst bir doğrulayıcının imzasını, kendisi ilgili kişisini yok ettikten sonra taklit edemez. geçici gizli anahtar. Dolayısıyla aldığım tüm geçerli (r, 2) mesajlarının 2/3'ünden fazlası şu adresten geliyor: dürüst doğrulayıcılar ve bay2 şeklinde j = (ESIGj(H(Br $\ell$r)), $\sigma$r,2 j ), hiçbir çelişki olmadan. Buna göre $\beta$r,3 zamanında ben Bay,3'ün propagandasını yaptığım oyuncu ben = (ESIGi(v′), $\sigma$r,3 i ), burada v′ = H(Br $\ell$r).Adım 4. Dürüst bir doğrulayıcıyı keyfi olarak i $\in$HSV r,4 olarak belirleyin. Lemma 5.5'e göre, oyuncu i hepsini aldı $\beta$r,4 zamanında beklemesi bittiğinde HSV r,3'teki doğrulayıcılar tarafından gönderilen mesajlar ben = $\alpha$r,4 ben + t4. benzer Adım 3, aldığım tüm geçerli (r, 3) mesajların 2/3'ünden fazlası dürüst doğrulayıcılardan geliyor ve Bay,3 formunda j = (ESIGj(H(Br $\ell$r)), $\sigma$r,3 j) Buna göre, i oyuncusu vi = H(Br) değerini belirler. $\ell$r), gi = 2 ve bi = 0. $\beta$r,4 zamanında ben = $\alpha$r,4 ben +t4 çoğalır bay,4 ben = (ESIGi(0), ESIGi(H(Br $\ell$r)), $\sigma$r,4 ben). Adım 5. Dürüst bir doğrulayıcıyı keyfi olarak i $\in$HSV r,5 olarak belirleyin. Lemma 5.5'e göre sahip olacağım oyuncu $\alpha$r,5 zamanına kadar beklemişse, HSV r,4'teki doğrulayıcılar tarafından gönderilen tüm mesajları aldı ben + t5. şunu unutmayın |HSV r,4| $\geq$tH.19 Ayrıca HSV r,4'teki tüm doğrulayıcıların H(Br) için imza attığına dikkat edin. $\ell$r). |MSV r,4| olarak < tH, v′ ̸= H(Br) yoktur $\ell$r) TH tarafından imzalanmış olabilir SV r,4'teki doğrulayıcılar (bunların mutlaka kötü niyetli olması gerekir), dolayısıyla oyuncu i, o olmadan durmaz. geçerli mesajlar alındı bay,4 j = (ESIGj(0), ESIGj(H(Br) $\ell$r)), $\sigma$r,4 j) O zaman T olsun ikinci olay gerçekleşir. Bu mesajlardan bazıları kötü niyetli oyunculardan gelebilir, ancak |MSV r,4| < Bu, bunlardan en az birinin HSV r,4'teki dürüst bir doğrulayıcıdan geldiği ve belirli bir süre sonra gönderildiği anlamına gelir T r +t4. Buna göre T $\geq$T r +t4 > T r +$\lambda$+Λ $\geq$ $\beta$r,1 $\ell$r +Λ ve zamanla T oyuncusu i de aldı mesaj bay1 $\ell$r . Protokolün oluşturulmasıyla, oyuncu i $\beta$r,5 zamanında durur ben = T olmadan herhangi bir şeyi yaymak; Br = Br'yi ayarlar $\ell$r; ve kendi CERT r'sini (r, 4) mesajlarının kümesi olacak şekilde ayarlar. 0 ve H(Br $\ell$r) aldığı. Adımlar > 5. Benzer şekilde, herhangi bir s > 5 adımı ve herhangi bir doğrulayıcı i $\in$HSV r,s için, oyuncu i $\alpha$r,s zamanına kadar beklemişse, HSV r,4'teki doğrulayıcılar tarafından gönderilen tüm mesajları aldı ben + ts. Tarafından aynı analizde, i oyuncusu hiçbir şey yaymadan durur, Br = Br ayarını yapar $\ell$r (ve kendi ayarını yaparak CERT r uygun şekilde). Elbette kötü niyetli doğrulayıcılar durmayabilir ve keyfi yayılım yapabilirler. mesajlar, ancak |MSV r,s| < tH, tümevarım yoluyla tH doğrulayıcıları tarafından başka hiçbir v' imzalanamaz herhangi bir adımda 4 $\leq$s′ < s, dolayısıyla dürüst doğrulayıcılar yalnızca geçerli olanı aldıkları için dururlar 0 ve H(Br) için (r, 4)-mesajları $\ell$r). Round-r Blokunun Yeniden İnşası. 5. Adımın analizi genel bir dürüstlük için geçerlidir. kullanıcı i neredeyse hiçbir değişiklik olmadan. Gerçekte, oyuncu i kendi r turuna Ir aralığında başlar ve yalnızca H(Br) için geçerli (r, 4) mesajlarını aldığında T zamanında duracaktır. $\ell$r). Tekrar çünkü bu mesajlardan en az biri dürüst doğrulayıcılardan geliyor ve T r + t4 zamanından sonra gönderiliyor, i oyuncusu ayrıca bay1'i de kabul ettim T zamanına göre $\ell$r. Böylece Br = Br'yi belirler. $\ell$r uygun CERT r ile. Geriye sadece tüm dürüst kullanıcıların r turunu Ir+1 zaman aralığında tamamladığını göstermek kalıyor. Adım 5'in analizine göre, her dürüst i $\in$HSV r,5 doğrulayıcısı, Br'yi $\alpha$r,5 üzerinde veya öncesinde bilir. ben + t5 $\leq$ T r + $\lambda$ + t5 = T r + 8$\lambda$ + Λ. T r+1 ilk dürüst kullanıcının Br'yi tanıdığı zaman olduğundan, T r+1 $\leq$T r + 8$\lambda$ + Λ İstenildiği gibi. Dahası, oyuncu Br'yi tanıdığında mesajların yayılmasına zaten yardımcı olmuştur. onun CERT r. Tüm bu mesajların tüm dürüst kullanıcılar tarafından $\lambda$ süresi içerisinde alınacağını unutmayın. 19Aslında bu çok yüksek bir olasılıkla gerçekleşir, ancak çok da zorlayıcı bir durum değildir. Ancak bu olasılık protokolün çalışma süresini biraz etkiler ancak doğruluğunu etkilemez. h = %80 olduğunda, o zaman |HSV r,4| $\geq$tH 1 −10−8 olasılıkla. Bu olay gerçekleşmezse protokol başka bir süre daha devam edecek 3 adım. Bunun iki adımda gerçekleşmeme olasılığı ihmal edilebilir olduğundan protokol 8. Adımda tamamlanacaktır. O halde beklenti, ihtiyaç duyulan adım sayısının neredeyse 5 olmasıdır.Oyuncu ir bunları yayan ilk oyuncuydu. Üstelik yukarıdaki analizin ardından elimizde T r+1 $\geq$T r + t4 $\geq$ $\beta$r,1 $\ell$r + Λ, böylece tüm dürüst kullanıcılar mr,1 almıştır $\ell$r, T r+1 + $\lambda$ zamanına göre. Buna göre, tüm dürüst kullanıcılar Br'yi Ir+1 = [T r+1, T r+1 + $\lambda$] zaman aralığında bilirler. Son olarak r = 0 için aslında T 1 $\leq$t4 + $\lambda$ = 6$\lambda$ + Λ elde ederiz. Herşeyi bir araya getiren, Lemma 5.2 geçerlidir. ■ 5.8 Sağlamlık Lemması Lemma 5.3. [Sağlık Önermesi, yeniden ifade edilmiş] Özellikler 1-3'ün r −1 turu için geçerli olduğu varsayılırsa, lider kötü niyetlidir ve büyük olasılıkla tüm dürüst kullanıcılar aynı fikirdedir Br, T r+1 $\leq$T r + (6Lr + 10)$\lambda$ + Λ ve tüm dürüst kullanıcılar Br'yi Ir+1 zaman aralığında bilir. Kanıt. Protokolün iki bölümünü (GC ve BBA⋆) ayrı ayrı ele alıyoruz. GC. Tümevarım hipotezine ve Lemma 5.5'e göre, herhangi bir s $\in${2, 3, 4} adımı ve herhangi bir dürüst adım için i $\in$HSV r,s doğrulayıcısı, i oyuncusu $\beta$r,s zamanında hareket ettiğinde ben = $\alpha$r,s ben +ts, gönderilen tüm mesajları aldı tüm dürüst doğrulayıcılar tarafından s′ < s adımlarında. 4. adım için iki olası durumu ayırıyoruz. Durum 1. Doğrulayıcı yok i $\in$HSV r,4 gi = 2'yi ayarlar. Bu durumda tanım gereği tüm doğrulayıcılar için bi = 1 i $\in$HSV r,4. Yani bir ile başlıyorlar ikili BA protokolünde 1 üzerinde anlaşma. Vi'leri konusunda bir anlaşmaları olmayabilir, ancak ikili BA'da göreceğimiz gibi bu önemli değil. Durum 2. gˆi = 2 olacak şekilde bir ˆi $\in$HSV r,4 doğrulayıcısı vardır. Bu durumda şunu gösteriyoruz (1) tüm i $\in$HSV r,4 için gi $\geq$1, (2) tüm i $\in$HSV r,4 için vi = v′ olacak şekilde bir v′ değeri vardır ve (3) geçerli bir mesaj var bay,1 $\ell$ bazı doğrulayıcılardan $\ell$ $\in$SV r,1 öyle ki v′ = H(Br $\ell$). Aslında, oyuncu ˆi dürüst olduğundan ve gˆi = 2 olarak belirlediğinden, tüm geçerli mesajların 2/3'ünden fazlası mr,3 j aynı v′ ̸= $\bot$ değeri için are aldı ve vˆi = v′'yi belirledi. Lemma 5.5'teki Özellik (d)'ye göre, diğer herhangi bir dürüst (r, 4)-doğrulayıcı i için, bundan daha fazlası olamaz tüm geçerli mesajların 2/3'ünden fazlası bay,3 j i′'nin aldığı değerler aynı v′′ ̸= v′ değeri içindir. Buna göre i, gi = 2 ise, v′ için de > 2/3 çoğunluk görmüş olmalı ve vi = v′, istendiği gibi. Şimdi gi < 2 olan keyfi bir doğrulayıcı i $\in$HSV r,4'ü düşünün. Özellik analizine benzer (d) Lemma 5.5'te, çünkü ˆi oyuncusu v' için > 2/3 çoğunluk gördü, 1'den fazla 2|HSV r,3| dürüst (r, 3) -doğrulayıcılar v'yi imzaladılar. Çünkü tüm mesajları dürüst (r, 3) doğrulayıcılardan aldım. zaman $\beta$r,4 ben = $\alpha$r,4 ben + t4, özellikle 1'den fazlasını aldı 2|HSV r,3| onlardan gelen mesajlar v′ için. Çünkü |HSV r,3| > 2|MSV r,3|, i v′ için > 1/3 çoğunluk gördü. Buna göre oyuncu i, gi = 1'i ayarlar ve Özellik (1) geçerlidir. Oyuncu i mutlaka vi = v′'yi mi ayarlıyor? Öyle farklı bir v′′ ̸= $\bot$ değerinin var olduğunu varsayalım: oyuncu i ayrıca v′′ için > 1/3 çoğunluk gördü. Bu mesajlardan bazıları kötü niyetli olabilir doğrulayıcılar, ancak bunlardan en az biri dürüst bir doğrulayıcıdan geliyor j $\in$HSV r,3: gerçekten, çünkü |HSV r,3| > 2|MSV r,3| ve kötü amaçlı yazılımlar grubu olan HSV r,3'ten tüm mesajları aldım Kendilerinden geçerli bir (r, 3) mesajı aldığım doğrulayıcıların sayısı tüm geçerli mesajların < 1/3'üdür aldığı mesajlar.Tanım gereği, j oyuncusu tüm geçerli (r, 2) mesajları arasında v'' için > 2/3 çoğunluk görmüş olmalıdır. o aldı. Ancak, diğer bazı dürüst (r, 3) doğrulayıcıların da görmüş olduklarına zaten sahibiz v' için 2/3 çoğunluk (çünkü v'yi imzaladılar). Lemma 5.5'in Özelliği (d)'ye göre bu, olur ve böyle bir v′′ değeri mevcut değildir. Dolayısıyla i oyuncusu vi = v′'yi istendiği gibi ayarlamış olmalıdır, ve Özellik (2) tutar. Son olarak, bazı dürüst (r, 3) doğrulayıcılarının v′ için > 2/3 çoğunluk gördüğü göz önüne alındığında, bazılarının (aslında, dürüst (r, 2) doğrulayıcıların yarısından fazlası v'yi imzalamış ve mesajlarını yaymıştır. Protokolün oluşturulmasıyla, bu dürüst (r, 2) doğrulayıcıların geçerli bir sertifika almış olmaları gerekir. mesaj bay1 $\ell$ v′ = H(Br) olan bir $\ell$ $\in$SV r,1 oyuncusundan $\ell$), dolayısıyla Özellik (3) geçerlidir. BBA⋆. Yine iki durumu ayırıyoruz. Durum 1. Tüm i $\in$HSV r,4 doğrulayıcıları bi = 1'e sahiptir. Bu, GC Durum 1'in ardından gerçekleşir. |MSV r,4| olarak < tH, bu durumda SV'de doğrulayıcı yok r,5 bit 0 için geçerli (r, 4) mesajlarını toplayabilir veya üretebilir. Dolayısıyla HSV r,5'te dürüst bir doğrulayıcı yoktur. boş olmayan bir blok Br bildiği için duracaktır. Ayrıca, bit 1 için en azından geçerli (r, 4) mesajları olmasına rağmen, s' = 5 tatmin edici değildir. s′ −2 ≡1 mod 3, dolayısıyla HSV r,5'teki hiçbir dürüst doğrulayıcı Br = Br'yi bildiği için durmaz ǫ. Bunun yerine, her i $\in$HSV r,5 doğrulayıcısı $\beta$r,5 zamanında hareket eder. ben = $\alpha$r,5 ben + t5, hepsini aldığında Lemma 5.5'i takip ederek HSV r,4 tarafından gönderilen mesajlar. Böylece oyuncu i 1 için > 2/3 çoğunluk gördü ve bi = 1'i ayarlar. Bir Paraya Sabitlenmiş 1 adımı olan Adım 6'da, s′ = 5, s′ −2 ≡0 mod 3'ü karşılasa da, bit 0 için geçerli (r, 4) mesajları mevcut olmadığından HSV r,6'daki hiçbir doğrulayıcı durmayacaktır çünkü boş olmayan bir blok biliyor Br. Bununla birlikte, s′ = 6 ile s′ −2 ≡1 mod 3 vardır ve mevcuttur |HSV r,5| $\geq$tH HSV r,5'ten bit 1 için geçerli (r, 5) mesajları. Lemma 5.5'i takip eden her i $\in$HSV r,6 doğrulayıcısı için, $\alpha$r,6 zamanında veya öncesinde ben + t6 oynatıcı ben HSV r,5'ten tüm mesajları aldı, dolayısıyla hiçbir şey yaymadan duruyorum ve ayarlıyorum Br = Br ǫ. Onun CERT r'si geçerli (r, 5) mesajları mr,5 kümesidir j = (ESIGj(1), ESIGj(vj), $\sigma$r,5 j) durduğunda onun tarafından karşılanır. Daha sonra, oyuncu i'nin ya s>6 adımında dürüst bir doğrulayıcı ya da genel dürüst bir kullanıcı olmasına izin verin (ör. doğrulayıcı olmayan). Lemma 5.2'nin ispatına benzer şekilde, i oyuncusu Br = Br'yi belirler ǫ ve kendi ayarını yapıyor CERT r, geçerli (r, 5) mesajları mr,5 kümesi olacaktır. j = (ESIGj(1), ESIGj(vj), $\sigma$r,5 j) o var alındı. Son olarak Lemma 5.2'ye benzer şekilde, Tr+1 $\leq$ dk. i$\in$HSV r,6 $\alpha$r,6 ben + t6 $\leq$T r + $\lambda$ + t6 = T r + 10$\lambda$ + Λ, ve tüm dürüst kullanıcılar Br'yi Ir+1 zaman aralığında bilirler, çünkü ilk dürüst kullanıcı i Br'nin CERT r'sinde (r, 5) mesajlarının yayılmasına yardımcı olduğunu biliyor. Durum 2. bˆi = 0 olan bir ˆi $\in$HSV r,4 doğrulayıcısı vardır. Bu, GC'nin 2. Durumunu takiben gerçekleşir ve daha karmaşık bir durumdur. GC'nin analizine göre, bu durumda geçerli bir mesaj var mr,1 $\ell$ öyle ki vi = H(Br $\ell$) tüm i $\in$HSV r,4 için. Not HSV r,4'teki doğrulayıcıların bi'leri konusunda bir anlaşması olmayabilir. Herhangi bir s $\in${5 adımı için, . . . , m + 3} ve i $\in$HSV r,s doğrulayıcısı, Lemma 5.5 oyuncusu tarafından i olurdu HSV r,4 $\cup$ $\cdots$ $\cup$HSV r,s−1'deki tüm dürüst doğrulayıcılar tarafından gönderilen tüm mesajları aldı, eğer beklediyse zaman için ts.Şimdi aşağıdaki E olayını ele alıyoruz: öyle bir s∗$\geq$5 adımı var ki, ilki için İkili BA'daki zaman, bazı i∗$\in$SV r,s∗ oyuncularının (kötü niyetli veya dürüst) durması gerekir hiçbir şeyin propagandasını yapmadan. Şunu vurgulamak için "durmalı" ifadesini kullanıyoruz: eğer oyuncu i∗ kötü niyetliyse, protokole göre durmaması gerekiyormuş gibi davranabilir ve Düşmanın seçtiği mesajları yaymak. Üstelik protokolün oluşturulmasıyla, (E.a) i∗en azından geçerli mesajları toplayabilir veya üretebilir mr,s′−1 j = (ESIGj(0), ESIGj(v), $\sigma$r,s'−1 j ) aynı v ve s' için, 5 $\leq$s' $\leq$s∗ ve s' −2 ≡0 mod 3 ile; veya (E.b) i∗en azından geçerli mesajları toplayabilir veya üretebilir mr,s′−1 j = (ESIGj(1), ESIGj(vj), $\sigma$r,s'−1 j ) aynı s' için, 6 $\leq$s′ $\leq$s∗ ve s′ −2 ≡1 mod 3 ile. Çünkü dürüst (r, s′ −1) mesajları, tüm dürüst (r, s′) doğrulayıcılar tarafından, daha önce alınır. Adım s'de bekleme bitti ve Düşman her şeyi en geç dürüst kullanıcılar, genelliği bozmadan elimizde s′ = s∗ var ve i∗ oyuncusu kötü niyetli. şunu unutmayın E.a'daki v değerinin geçerli bir bloğun hash olması gerekmedi: daha sonra açıkça görülecektir analizde, v = H(Br $\ell$) bu alt etkinlikte. Aşağıda ilk olarak E olayının ardından Durum 2'yi analiz ediyoruz ve ardından s∗ değerinin esasen şu şekilde olduğunu gösteriyoruz: Lr'ye göre dağıtılır (böylece E olayı m + 3 adımından önce çok büyük bir yoğunlukla gerçekleşir) parametreler için ilişkiler verildiğinde olasılık). Başlangıç olarak, herhangi bir adım için 5 $\leq$s < s∗, her dürüst i $\in$HSV r,s doğrulayıcısı ts süresini beklemiş ve vi'yi oy çoğunluğu olarak belirlemiştir. aldığı geçerli (r, s−1)-mesajları. Oyuncu i tüm dürüst (r, s−1) mesajlarını aldığından beri Lemma 5.5'i takip ederek, HSV r,4'teki tüm dürüst doğrulayıcıların H(Br) imzasını taşıması nedeniyle $\ell$) aşağıdaki Vaka GC'nin 2'si ve |HSV r,s−1| > 2|MSV r,s−1| her bir s için, tümevarım yoluyla o oyuncu i'ye sahibiz ayarladı vi = H(Br $\ell$). Aynı şey, yayılmadan durmayan her dürüst doğrulayıcı i $\in$HSV r,s∗ için de geçerlidir. herhangi bir şey. Şimdi Adım s∗'yi ele alıyoruz ve dört alt durumu ayırt ediyoruz. Durum 2.1.a. E.a olayı gerçekleşir ve bunu yapması gereken dürüst bir i′ $\in$HSV r,s∗ doğrulayıcısı vardır. ayrıca hiçbir şeyin propagandasını yapmadan durun. Bu durumda elimizde s∗−2 ≡0 mod 3 var ve Adım s∗ bir Paraya Sabitlenmiş 0 adımıdır. Tarafından tanım, oyuncu i' formun en azından geçerli (r, s∗−1) mesajlarını almıştır (ESIGj(0), ESIGj(v), $\sigma$r,s∗−1 j ). HSV r,s∗−1'deki tüm doğrulayıcılar H(Br)'yi imzaladığından $\ell$) ve |MSV r,s∗−1| < tH, v = H(Br) var $\ell$). En az tH −|MSV r,s∗−1| olduğundan 0 ve v için i′ tarafından alınan (r, s∗−1) mesajlarından $\geq$1 T r +ts∗−1 $\geq$T r +t4 $\geq$T r +$\lambda$+Λ $\geq$ $\beta$r,1 zamanından sonra HSV r,s∗−1'deki doğrulayıcılar tarafından gönderilir $\ell$ +Λ, oyuncu i' mr,1'i aldı $\ell$ o (r, s∗−1) mesajlarını aldığında. Böylece oyuncu i′ hiçbir şey yaymadan durur; Br = Br'yi ayarlar $\ell$; ve kendi CERT r'sini 0 ve v için aldığı geçerli (r, s∗−1) mesajları kümesi. Daha sonra, diğer herhangi bir i $\in$HSV r,s∗ doğrulayıcısının Br = Br ile durduğunu gösteririz. $\ell$ veya bi = 0 olarak ayarlandı ve yayıldı (ESIGi(0), ESIGi(H(Br) $\ell$)), $\sigma$r,s ben). Gerçekten, çünkü Adım s∗ İlk kez bir doğrulayıcının herhangi bir şey yaymadan durması gerekiyor; s′ −2 ≡1 mod 3 ile tH (r, s′ −1) doğrulayıcılarının 1'i imzaladığı bir s′ < s∗ adımı vardır. Buna göre, HSV r,s∗'de Br = Br ile durdurulan hiçbir doğrulayıcı yoktur. ǫ.Üstelik tüm dürüst doğrulayıcılar gibi, {4, 5, . . . , s∗−1} imzalı H(Br $\ell$), var s′ −2 ≡0 mod 3 ile tH (r, s′ −1)-doğrulayıcılarının imzaladığı bir s′ $\leq$s∗ adımı mevcut değil bazı v′′ ̸= H(Br $\ell$) —gerçekte, |MSV r,s′−1| < TH. Buna göre HSV r,s∗stops'ta doğrulayıcı yok Br̸= Br ile ǫ ve Br ̸= Br $\ell$. Yani, eğer i $\in$HSV r,s∗ oyuncusu olmadan durursa herhangi bir şeyi yayıyorsa, Br = Br'yi ayarlamış olmalı $\ell$. Eğer bir i $\in$HSV r,s∗ oyuncusu ts∗ kadar beklemişse ve bu zamanda bir mesaj yaymışsa $\beta$r,s∗ ben = $\alpha$r,s∗ ben + ts∗, HSV r,s∗−1'den gelen tüm mesajları aldı, en azından tH −|MSV r,s∗−1| bunlardan 0 ve v için. Eğer i 1 için >2/3 çoğunluk görmüşse, o zaman 1 için 2(tH −|MSV r,s∗−1|)'den fazla geçerli (r, s∗−1)-mesajı gördü ve daha fazlası 2tH −3|MSV r,s∗−1|'den bunların çoğu dürüst (r, s∗−1)-doğrulayıcılardan. Ancak bu şu anlama gelir: |HSV r,s∗−1| $\geq$tH−|MSV r,s∗−1|+2tH−3|MSV r,s∗−1| > 2n−4|MSV r,s∗−1|, çelişiyor gerçek şu ki |HSV r,s∗−1| + 4|MSV r,s∗−1| < 2n, parametrelere ilişkin ilişkilerden gelir. Buna göre > 2/3 göremiyorum çoğunluk 1'dir ve bi = 0'ı belirler çünkü Adım s∗, Paraya Sabitlenmiş bir 0 adımıdır. sahip olduğumuz gibi görüldü, vi = H(Br $\ell$). Böylece çoğalırım (ESIGi(0), ESIGi(H(Br) $\ell$)), $\sigma$r,s i) istediğimiz gibi göster. Adım s∗+ 1 için, i' oyuncusu CERT r'sindeki mesajların yayılmasına yardımcı olduğundan $\alpha$r,s∗ zamanında veya öncesinde ben + ts∗, HSV r,s∗+1'deki tüm dürüst doğrulayıcılar en az bit 0 ve H(Br) değeri için geçerli (r, s∗−1)-mesajları $\ell$) bunlar bitmeden veya yapılmadan önce bekliyorum. Ayrıca, HSV r,s∗+1'deki doğrulayıcılar (r, s∗−1)-'yi almadan durmayacaklardır. çünkü bit 1 için geçerli başka (r, s′ −1) mesajı mevcut değildir. s∗ Adımının tanımına göre s′ −2 ≡1 mod 3 ve 6 $\leq$s′ $\leq$s∗+ 1. Özellikle Adım s∗+ 1'in kendisi 1'e Sabitlenmiş bir Coin adımıdır, ancak HSV r,s∗'de hiçbir dürüst doğrulayıcı yayılmamıştır 1 için bir mesaj ve |MSV r,s∗| < TH. Böylece HSV r,s∗+1'deki tüm dürüst doğrulayıcılar hiçbir şey yaymadan durur ve Br = değerini ayarlar. kardeşim $\ell$: daha önce olduğu gibi, Bay,1'i aldılar $\ell$ istenilen (r, s∗−1) mesajlarını almadan önce.20 Aynı şey gelecekteki adımlarda tüm dürüst doğrulayıcılar ve genel olarak tüm dürüst kullanıcılar için söylenebilir. Özellikle hepsi Br = Br'yi biliyor $\ell$Ir+1 zaman aralığı dahilinde ve T r+1 $\leq$ $\alpha$r,s∗ ben + ts∗$\leq$T r + $\lambda$ + ts∗. Durum 2.1.b. E.b olayı gerçekleşir ve bunu yapması gereken dürüst bir i′ $\in$HSV r,s∗ doğrulayıcısı vardır. ayrıca hiçbir şeyin propagandasını yapmadan durun. Bu durumda elimizde s∗−2 ≡1 mod 3 var ve Adım s∗ bir Paraya Sabitlenmiş 1 adımıdır. Analiz Durum 2.1.a'ya benzer ve birçok ayrıntı atlanmıştır. 20Eğer $\ell$kötü niyetliyse, Bay'ı gönderebilir.1 $\ell$ bazı dürüst kullanıcıların/doğrulayıcıların mr,1 almadığını umarak geç kaldık $\ell$ henüz bunun için istenen sertifikayı aldıklarında. Ancak, ˆi $\in$HSV r,4 doğrulayıcısı bˆi = 0 ve vˆi = H(Br) olarak ayarlandığından $\ell$), olarak dürüst doğrulayıcıların yarısından fazlasının i $\in$HSV r,3'ü vi = H(Br) olarak belirlediğini bilmeden önce $\ell$). Bu ayrıca daha fazlasını ima eder i $\in$HSV r,2 dürüst doğrulayıcılarının yarısından fazlası vi = H(Br) değerini belirlemiştir $\ell$) ve bu (r, 2)-doğrulayıcıların hepsi mr,1 aldı $\ell$. Olarak Düşman, doğrulayıcıyı doğrulayıcı olmayandan ayırt edemez, Bay'ın yayılmasını hedefleyemez1 $\ell$ (r, 2)-doğrulayıcılara doğrulamayanların görmesine gerek kalmadan. Aslında, yüksek olasılıkla yarıdan fazlası (ya da iyi bir sabit kesir) tüm dürüst kullanıcılar arasında mr,1'in görüldüğü $\ell$ kendi r turlarının başlangıcından itibaren t2'yi bekledikten sonra. Buradan itibaren, Bay,1 için gereken süre $\lambda$' $\ell$ kalan dürüst kullanıcılara ulaşmak için Λ'dan çok daha küçüktür ve basitlik adına bunu yapmıyoruz. analizde bunu yazın. Eğer 4$\lambda$ $\geq$ $\lambda$' ise analiz herhangi bir değişiklik olmadan devam eder: Adım 4'ün sonunda tüm dürüst kullanıcılar mr,1 alırdı $\ell$. Bloğun boyutu çok büyük olursa ve 4$\lambda$ < $\lambda$' olursa, 3. ve 4. Adımlarda, protokol her doğrulayıcıdan 2$\lambda$ yerine $\lambda$'/2'yi beklemesini isteyebilir ve analiz geçerli olmaya devam eder.Daha önce olduğu gibi, oyuncu i' en azından formdaki geçerli (r, s∗−1) mesajlarını almış olmalıdır. (ESIGj(1), ESIGj(vj), $\sigma$r,s∗−1 j ). Yine s∗ tanımına göre bir adım yoktur. 5 $\leq$s′ < s∗ile s′ −2 ≡0 mod 3, burada en az tH (r, s′ −1) doğrulayıcıları 0'ı imzalamıştır ve aynı v. Böylece oyuncu i' hiçbir şey yaymadan durur; Br = Br'yi ayarlar ǫ; ve setler kendi CERT r'si, aldığı bit 1 için geçerli (r, s∗−1)-mesajlarının kümesi olacaktır. Ayrıca, diğer herhangi bir i $\in$HSV r,s∗ doğrulayıcısı ya Br = Br ile durmuştur ǫ , veya bi = ayarlamış 1 ve yayılan (ESIGi(1), ESIGi(vi), $\sigma$r,s∗ ben ). Oyuncu i' yayılmaya yardımcı olduğundan $\alpha$r,s∗ zamanına göre CERT r'deki (r, s∗−1)-mesajları ben + ts∗, yine tüm dürüst doğrulayıcılar HSV r,s∗+1 hiçbir şeyi yaymadan durur ve Br = Br olarak ayarlanır ǫ . Aynı şekilde hepsi dürüst kullanıcılar Br = Br'yi biliyor ǫ Ir+1 zaman aralığı dahilinde ve T r+1 $\leq$ $\alpha$r,s∗ ben + ts∗$\leq$T r + $\lambda$ + ts∗. Durum 2.2.a. E.a olayı gerçekleşir ve dürüst bir doğrulayıcı i′ $\in$HSV r,s∗ yoktur. ayrıca hiçbir şey yaymadan durmalıdır. Bu durumda, i∗ oyuncusunun geçerli bir CERT r'ye sahip olabileceğini unutmayın. i∗arzu edilen tH'den oluşur (r, s∗−1)-Düşmanın toplayabileceği veya oluşturabileceği mesajlar. Ancak kötü niyetli Doğrulayıcılar bu mesajların yayılmasına yardımcı olmayabilir, dolayısıyla dürüst olanın bu olduğu sonucuna varamayız. kullanıcılar bunları $\lambda$ zamanında alacaklardır. Aslında |MSV r,s∗−1| bu mesajlardan biri şunlardan olabilir: mesajlarını hiç yaymayan ve yalnızca mesaj gönderen kötü niyetli (r, s∗−1) doğrulayıcılar bunları adım s∗'de kötü niyetli doğrulayıcılara gönderin. Durum 2.1.a'ya benzer şekilde, burada s∗−2 ≡0 mod 3 var, Adım s∗ bir Paraya Sabitlenmiş 0 adımıdır, ve CERT r'deki (r, s∗−1)-mesajları i∗bit 0 içindir ve v = H(Br $\ell$). Aslında hepsi dürüst (r, s∗−1)-doğrulayıcılar v işaretini verir, bu nedenle Rakip bu geçerli (r, s∗−1)-mesajlarını üretemez farklı bir v′ için. Ayrıca, tüm dürüst (r, s∗)-doğrulayıcılar ts∗ süresini beklemiş ve > 2/3 çoğunluk görmemişlerdir. bit 1 için, çünkü |HSV r,s∗−1| + 4|MSV r,s∗−1| < 2n. Bu nedenle her dürüst doğrulayıcı i $\in$HSV r,s∗sets bi = 0, vi = H(Br $\ell$) çoğunluk oyuyla ve mr,s∗'yi yayar ben = (ESIGi(0), ESIGi(H(Br) $\ell$)), $\sigma$r,s∗ ben ) $\alpha$r,s∗ zamanında ben + t∗. Şimdi Adım s∗+ 1'deki dürüst doğrulayıcıları düşünün (bu, 1'e Sabitlenmiş Para adımıdır). Eğer Düşman aslında mesajları CERT r'de gönderir bazılarına ve onların dur, sonra Durum 2.1.a'ya benzer şekilde, tüm dürüst kullanıcılar Br = Br'yi biliyor $\ell$zaman aralığı içinde IR+1 ve T r+1 $\leq$T r + $\lambda$ + ts∗+1. Aksi halde, Adım s∗+1'deki tüm dürüst doğrulayıcılar, 0 ve s∗ için tüm (r, s∗) mesajlarını almıştır. H(Br $\ell$) HSV'den r,s∗ts∗+1 bekleme süresinden sonra, bu > 2/3 çoğunluğa yol açar, çünkü |HSV r,s∗| > 2|MSV r,s∗|. Böylece HSV r,s∗+1'deki tüm doğrulayıcılar mesajlarını 0 ve H(Br $\ell$) buna göre. HSV r,s∗+1'deki doğrulayıcıların Br = Br ile bitmediğine dikkat edin. $\ell$, çünkü Adım s∗+ 1, Paraya Sabitlenmiş 0 adımı değildir. Şimdi Adım s∗+2'deki dürüst doğrulayıcıları düşünün (ki bu, Gerçekten Paraya Çevirilmiş bir adımdır). Düşman mesajları CERT r'de gönderirse bazılarına ve onların durmasına sebep olur, sonra yine tüm dürüst kullanıcılar Br = Br'yi biliyor $\ell$Ir+1 zaman aralığı dahilinde ve T r+1 $\leq$T r + $\lambda$ + ts∗+2.Aksi takdirde, Adım s∗+ 2'deki tüm dürüst doğrulayıcılar aşağıdakiler için tüm (r, s∗+ 1) mesajlarını almıştır. 0 ve H(Br $\ell$) HSV r,s∗+1'den ts∗+2 bekleme süresinden sonra, bu da > 2/3 çoğunluğa yol açar. Böylece hepsi mesajlarını 0 ve H(Br) için yayıyor. $\ell$) buna göre: bunu yapıyorlar bu durumda “yazı tura atmayın”. Tekrar belirtmek isterim ki çoğalmadan durmazlar, çünkü Adım s∗+ 2, Paraya Sabitlenmiş bir 0 adımı değildir. Son olarak, Adım s∗+3'teki (başka bir Paraya Sabitlenmiş 0 adımı olan) dürüst doğrulayıcılar için, tüm içlerinden en azından 0 ve H(Br) için geçerli mesajlar almış olmalı $\ell$) HSV s∗+2'den, eğer gerçekten ts∗+3 süresini beklerlerse. Böylece, Düşmanın mesajları gönderip göndermediği CERT r'de i∗ bunlardan herhangi birine göre, HSV r,s∗+3'teki tüm doğrulayıcılar Br = Br ile durur $\ell$, olmadan herhangi bir şeyin propagandasını yapmak. Düşmanın nasıl davrandığına bağlı olarak, bazıları CERT r'deki (r, s∗−1) mesajlarından oluşan kendi CERT r'leri i∗ ve diğerleri (r, s∗+ 2) mesajlarından oluşan kendi CERT r'leri. Her durumda, tüm dürüst kullanıcılar Br = Br'yi biliyorum $\ell$Ir+1 zaman aralığı dahilinde ve T r+1 $\leq$T r + $\lambda$ + ts∗+3. Durum 2.2.b. E.b olayı gerçekleşir ve i′ $\in$HSV r,s∗'yi doğrulayan dürüst bir doğrulayıcı yoktur. ayrıca hiçbir şey yaymadan durmalıdır. Bu vakadaki analiz Durum 2.1.b ve Durum 2.2.a'dakilere benzer, dolayısıyla pek çok ayrıntı vardır ihmal edilmiştir. Özellikle CERT r i∗istenen tH (r, s∗−1) mesajlarından oluşur Rakibin toplayabileceği veya oluşturabileceği bit 1 için, s∗−2 ≡1 mod 3, Adım s∗ a'dır 1'e Sabitlenmiş Para adımı ve hiçbir dürüst (r, s∗) doğrulayıcısı 0 için > 2/3 çoğunluk göremezdi. Böylece, her i $\in$HSV r,s∗ doğrulayıcısı bi = 1'i ayarlar ve mr,s∗'yi yayar ben = (ESIGi(1), ESIGi(vi), $\sigma$r,s∗ ben ) $\alpha$r,s∗ zamanında ben + t∗. Durum 2.2.a'ya benzer şekilde, en fazla 3 adımda daha (yani protokol Başka bir Paraya Sabitlenmiş adım olan s∗+3 Adımına ulaşır), tüm dürüst kullanıcılar Br = Br'yi bilir ǫ Ir+1 zaman aralığı içinde. Ayrıca T r+1, $\leq$T r+$\lambda$+ts∗+1 veya $\leq$T r+$\lambda$+ts∗+2 olabilir, veya $\leq$T r + $\lambda$ + ts∗+3, dürüst bir doğrulayıcının ilk kez ne zaman durabileceğine bağlı olarak yayılmadan. Dört alt durumu birleştirerek, tüm dürüst kullanıcıların Br'yi zaman aralığı içinde tanıdığını elde ederiz. IR+1, ile Durum 2.1.a ve 2.1.b'de T r+1 $\leq$T r + $\lambda$ + ts∗ ve Durum 2.2.a ve 2.2.b'de T r+1 $\leq$T r + $\lambda$ + ts∗+3. Durum 2 için s∗ üst sınırına ve dolayısıyla T r+1'e kalır ve bunu nasıl olduğunu dikkate alarak yaparız. Çoğu kez Coin-Genuinely-Flipped adımları aslında protokolde yürütülür: yani, bazı dürüst doğrulayıcılar aslında yazı tura attılar. Özellikle, Yazı-Para Çevirme adımını s′ (yani 7 $\leq$s′ $\leq$m + 2 ve s′ −2 ≡2 mod 3) ve $\ell$′ $\triangleq$arg minj$\in$SV r,s′−1 H($\sigma$r,s′−1) olsun j ). Şimdilik s′ < s∗ olduğunu varsayalım, çünkü aksi halde hiçbir dürüst doğrulayıcı, önceki ifadeye göre Adım s'de yazı tura atmaz. tartışmalar. SV r,s′−1 tanımına göre, $\ell$′ kimlik bilgisinin hash değeri aynı zamanda aralarında en küçüğüdür. PKr−k'deki tüm kullanıcılar. hash işlevi rastgele bir oracle olduğundan, ideal olarak $\ell$′ oyuncusu dürüsttür olasılık en az h. Daha sonra göstereceğimiz gibi, Düşman geleceği tahmin etmek için elinden geleni yapsa bile Rastgele oracle çıktısını alın ve olasılığı yatırın, $\ell$′ oyuncusu hala olasılığa karşı dürüsten azından ph = h2(1 + h −h2). Aşağıda bunun gerçekten gerçekleştiği durumu ele alıyoruz: yani, $\ell$′ $\in$HSV r,s′−1. Her dürüst i $\in$HSV r,s′ doğrulayıcısının, HSV r,s′−1'den gelen tüm mesajları şu şekilde aldığını unutmayın: zaman $\alpha$r,s′ ben +ts'. Oyuncu i'nin yazı tura atması gerekiyorsa (yani, 2/3'ten fazla çoğunluk görmediyse) aynı bit b $\in${0, 1}), sonra bi = lsb(H($\sigma$r,s′−1) değerini ayarlar. $\ell$' )). Başka bir dürüst varsa b $\in${0, 1} biti için > 2/3 çoğunluğu gören i′ $\in$HSV r,s′'yi doğrulayan, ardından Özelliğe göre (d) Lemma 5.5'e göre, HSV r,s'deki hiçbir dürüst doğrulayıcı bir süre için > 2/3 çoğunluk görmezdi b' ̸= b. lsb(H($\sigma$r,s′−1) olduğundan $\ell$' )) = b, 1/2 olasılıkla, HSV r,s'deki tüm dürüst doğrulayıcılar erişebilir b üzerinde 1/2 olasılıkla bir anlaşma. Elbette eğer böyle bir doğrulayıcı i' mevcut değilse, o zaman tüm HSV r,s′'deki dürüst doğrulayıcılar lsb(H($\sigma$r,s′−1) biti üzerinde hemfikirdir $\ell$' )) 1 olasılıkla. $\ell$′ $\in$HSV r,s′−1 olasılığını birleştirirsek, HSV r,s′'deki dürüst doğrulayıcıları elde ederiz. b $\in${0, 1} biti üzerinde en az ph olasılıkla bir anlaşmaya varmak 2 = h2(1+h−h2) 2 . Üstelik, Daha önce olduğu gibi çoğunluk oyu üzerinden tümevarım yoluyla, HSV r,s'deki tüm dürüst doğrulayıcıların vi'leri ayarlanmıştır H(Br) olmak $\ell$). Dolayısıyla, s' Adımında b üzerinde bir anlaşmaya varıldığında, T r+1 ya $\leq$T r + $\lambda$ + ts′+1 ya da $\leq$T r + $\lambda$ + ts′+2, Durum 2.1.a ve 2.1.b'nin analizi sonrasında b = 0 veya b = 1 olmasına bağlı olarak. içinde özellikle, başka bir Coin-Genuinely-Flipped adımı yürütülmeyecektir: yani, bu tür adımlar yine de kendilerinin doğrulayıcı olup olmadığını kontrol eder ve bu nedenle bekler, ancak hepsi durdurulmadan duracaktır. herhangi bir şeyin propagandasını yapmak. Buna göre, s∗ Adımından önce, Coin-GenuinelyFlipped adımlarının yürütülme sayısı Lr rastgele değişkenine göre dağıtılır. İzin Verme Adımı protokolün oluşturulmasıyla Lr'ye göre son Para-Gerçekten Çevirilmiş adım olacak bizde s' = 4 + 3Lr. Rakip T r+1'i olabildiğince geciktirmek istiyorsa Adım ∗'ı ne zaman gerçekleştirmelidir? mümkün mü? Hatta Düşmanın Lr'nin gerçekleşeceğini önceden bildiğini bile varsayabiliriz. Eğer s∗> s′ ise faydasız çünkü dürüst doğrulayıcılar zaten bir anlaşmaya varmışlardır. Adım s'. Elbette bu durumda s∗ yine b = 0 olmasına bağlı olarak s′ +1 veya s′ +2 olacaktır. veya b = 1. Ancak bu aslında Durum 2.1.a ve 2.1.b'dir ve elde edilen T r+1 tam olarak bu durumda olduğu gibi. Daha doğrusu, T r+1 $\leq$T r + $\lambda$ + ts∗$\leq$T r + $\lambda$ + ts′+2. Eğer s∗< s′ −3 - yani s∗ sondan ikinci Para-Gerçekten Çevirme adımından önceyse - o zaman Durum 2.2.a ve 2.2.b'nin analizi, T r+1 $\leq$T r + $\lambda$ + ts∗+3 < T r + $\lambda$ + ts'. Yani Düşman aslında Br ile ilgili anlaşmanın daha hızlı gerçekleşmesini sağlıyor. Eğer s∗= s′ −2 veya s′ −1 ise — yani, Paraya Sabitlenmiş 0 adımı veya Paraya Sabitlenmiş 1 adımı Adım s'den hemen önce - ardından dört alt durumun analiziyle, dürüst doğrulayıcılar Adımlar artık para atamaz çünkü ya ilerlemeden durmuşlardır, veya aynı bit için > 2/3 çoğunluk görmüş olmak b. Bu nedenle elimizde T r+1 $\leq$T r + $\lambda$ + ts∗+3 $\leq$T r + $\lambda$ + ts′+2.Özetle, ne olursa olsun, elimizde T r+1 $\leq$T r + $\lambda$ + ts′+2 = T r + $\lambda$ + t3Lr+6 = T r + $\lambda$ + (2(3Lr + 6) −3)$\lambda$ + Λ = T r + (6Lr + 10)$\lambda$ + Λ, göstermek istediğimiz gibi. En kötü durum s∗= s′ −1 olduğu ve Durum 2.2.b'nin gerçekleştiği durumdur. İkili BA protokolünün Durum 1 ve 2'sini birleştiren Lemma 5.3 geçerlidir. ■ 5.9 Tohum Qr'un Güvenliği ve Dürüst Bir Liderin Olasılığı Geriye Lemma 5.4'ü kanıtlamak kalıyor. r turundaki doğrulayıcıların PKr−k'den alındığını hatırlayın ve Qr−1 miktarına göre seçilir. Geriye bakma parametresi k'nin tanıtılmasının nedeni r −k turunda, Düşmanın yeni kötü niyetli kullanıcılar ekleyebildiğinden emin olmaktır. PKr−k'ye göre, ihmal edilebilir bir olasılık dışında Qr−1 miktarını tahmin edemez. Şunu unutmayın: hash işlevi rastgele bir oracle işlevidir ve r turu için doğrulayıcıları seçerken Qr−1 onun girdilerinden biridir. Böylece, PKr−k'ye ne kadar kötü niyetli kullanıcılar eklenirse eklensin, Düşmanın bakış açısından her biri içlerinden biri hala r turunun bir adımında gerekli p olasılığıyla doğrulayıcı olarak seçiliyor (veya Adım 1 için p1). Daha doğrusu aşağıdaki lemmaya sahibiz. Lemma 5.6. k = O(log1/2 F) durumunda, her r turu için, büyük olasılıkla Rakip r −k turunda Qr−1'i rastgele oracle'ye sorgulamadı. Kanıt. Tümevarımla ilerliyoruz. Her $\gamma$ < r turu için Düşmanın sorgulama yapmadığını varsayalım. Q$\gamma$−1'den rastgele oracle'ye $\gamma$ −k.21 turunda geriye doğru. Şunun oynadığı aşağıdaki zihinsel oyunu düşünün: Rakip r −k turunda Qr−1'i tahmin etmeye çalışıyor. Her turun 1. Adımında $\gamma$ = r −k, . . . , r −1, rastgele olarak sorgulanmayan belirli bir Q$\gamma$−1 verildiğinde oracle, i $\in$PK$\gamma$−k oyuncularını hash H(SIGi($\gamma$, 1, Q$\gamma$−1)) değerlerine göre sıralayarak giderek PK$\gamma$−k üzerinde rastgele bir permütasyon elde ediyoruz. Tanım gereği, lider $\ell$ $\gamma$ Permütasyondaki ilk kullanıcıdır ve olasılık konusunda dürüsttür h. Üstelik PK$\gamma$−k büyük olduğunda yeterli, herhangi bir x $\geq$1 tamsayısı için, permütasyondaki ilk x kullanıcıların hepsinin olma olasılığı kötü niyetli ama (x + 1)st dürüst (1 −h)xh'dir. Eğer $\ell$ $\gamma$ dürüstse, o zaman Q$\gamma$ = H(SIG$\ell$ $\gamma$(Q$\gamma$−1), $\gamma$). Düşman imzayı taklit edemediğinden $\ell$ $\gamma$, Q$\gamma$ Rakibin bakış açısından rastgele ve eşit şekilde dağıtılır ve hariç üstel olarak küçük olasılıkla,22 r-k turunda H'ye sorgulanmadı. Her birinden beri Q$\gamma$+1, Q$\gamma$+2, . . . , Qr−1 sırasıyla H'nin Q$\gamma$, Q$\gamma$+1, ile çıkışıdır. . . , Qr−2 girdilerden biri olarak, hepsi Rakibe rastgele görünür ve Rakibin Qr−1'den H'ye kadar olan süreyi sorgulamış olması mümkün değildir. yuvarlak r −k. Buna göre, Rakibin turda iyi bir olasılıkla Qr−1'i tahmin edebileceği tek durum r−k, tüm liderlerin $\ell$r−k olduğu zamandır, . . . , $\ell$r−1 kötü niyetlidir. Yine yuvarlak bir $\gamma$ $\in${r−k olduğunu düşünün. . . , r−1} ve karşılık gelen hash değerleri tarafından indüklenen PK$\gamma$−k üzerindeki rastgele permütasyon. Bazıları için ise x $\geq$2, permütasyondaki ilk x −1 kullanıcılarının hepsi kötü niyetli ve x'inci de dürüst, o zaman Rakibin Q$\gamma$ için x olası seçeneği vardır: H(SIGi(Q$\gamma$−1, $\gamma$)) formundan herhangi biri, burada i aşağıdakilerden biridir: 21k küçük bir tam sayı olduğundan, genelliği kaybetmeden protokolün ilk k turunun yürütüldüğü varsayılabilir. güvenli bir ortam altında ve tümevarım hipotezi bu turlar için geçerlidir. 22 Yani H'nin çıktısının uzunluğu üsteldir. Bu olasılığın F'den çok daha küçük olduğuna dikkat edin.oyuncu i'yi $\gamma$ turunun fiilen lideri yaparak ilk x−1 kötü niyetli kullanıcı; veya H(Q$\gamma$−1, $\gamma$), ile zorlama B$\gamma$ = B$\gamma$ ǫ . Aksi takdirde, $\gamma$ turunun lideri permütasyondaki ilk dürüst kullanıcı olacaktır. ve Qr−1 Düşman için tahmin edilemez hale gelir. Düşman yukarıdaki Q$\gamma$ seçeneklerinden hangisini takip etmelidir? Düşmana yardım etmek için Bu soruyu cevaplayın, zihinsel oyunda onu gerçekte olduğundan daha güçlü kılıyoruz aşağıdaki gibidir. Her şeyden önce, gerçekte Düşman, dürüst bir kullanıcının hash değerini hesaplayamaz. imza, dolayısıyla her Q$\gamma$ için başlangıçta kötü niyetli kullanıcıların x(Q$\gamma$) sayısına karar veremez Q$\gamma$ tarafından indüklenen $\gamma$ + 1 turundaki rastgele permütasyonun. Zihinsel oyunda ona şunu veriyoruz: x(Q$\gamma$) sayıları ücretsiz. İkincisi, gerçekte permütasyonda ilk x kullanıcıya sahip olmak Kötü niyetli olmaları mutlaka hepsinin lider olabileceği anlamına gelmez, çünkü hash imzalarının değerleri de p1'den küçük olmalıdır. Zihinsel anlamda bu kısıtlamayı göz ardı ettik. Düşmana daha da fazla avantaj sağlayan oyun. Zihinsel oyunda Rakip için en uygun seçeneğin ˆQ$\gamma$ ile gösterildiğini görmek kolaydır, Rastgele sürecin başlangıcında en uzun kötü niyetli kullanıcı dizisini üretendir. $\gamma$ + 1 turundaki permütasyon. Aslında, belirli bir Q$\gamma$ verildiğinde, protokol Q$\gamma$−1'e bağlı değildir. artık ve Rakip yalnızca $\gamma$ + 1 turundaki yeni permütasyona odaklanabilir; Başlangıçta kötü niyetli kullanıcı sayısı için aynı dağılım. Buna göre her turda $\gamma$, yukarıda bahsedilen ˆQ$\gamma$ ona Q$\gamma$+1 için en fazla sayıda seçeneği verir ve böylece maksimuma çıkar. ardışık liderlerin hepsinin kötü niyetli olma olasılığı. Bu nedenle, zihinsel oyunda Rakip r −k turundan itibaren Markov Zincirini takip ediyor durum uzayı {0} $\cup${x : x $\geq$2} olacak şekilde r −1'i yuvarlamak. Durum 0, şu gerçeği temsil eder: Mevcut $\gamma$ turundaki rastgele permütasyondaki ilk kullanıcı dürüsttür, dolayısıyla Rakip başarısız olur Qr−1'i tahmin etme oyunu; ve her x $\geq$2 durumu, ilk x -1 kullanıcılarının permütasyon kötü niyetlidir ve x'inci dürüsttür, dolayısıyla Düşmanın Q$\gamma$ için x seçeneği vardır. geçiş olasılıkları P(x, y) aşağıdaki gibidir. • Herhangi bir y $\geq$2 için P(0, 0) = 1 ve P(0, y) = 0. Yani, Rakip ilk hamlede oyunda başarısız olur permütasyondaki kullanıcı dürüst olur. • Herhangi bir x $\geq$2 için P(x, 0) = hx. Yani hx olasılıkla tüm x rastgele permütasyonlar ilk kullanıcıları dürüst olduğundan Rakip bir sonraki turda oyunda başarısız olur. • Herhangi bir x $\geq$2 ve y $\geq$2 için P(x, y), x rastgele permütasyonları arasında olma olasılığıdır. Başlangıçtaki kötü niyetli kullanıcıların en uzun dizisi olan Q$\gamma$'nun x seçenekleri tarafından tetiklenir. bunlardan bazıları y −1'dir, dolayısıyla Rakibin bir sonraki turda Q$\gamma$+1 için y seçeneği vardır. Yani, P(x, y) = y−1 X ben=0 (1 −h)ih !x − y−2 X ben=0 (1 −h)ih !x = (1 −(1 −h)y)x −(1 −(1 −h)y−1)x. 0 durumunun, geçiş matrisi P'deki benzersiz soğurma durumu olduğuna ve diğer tüm durumların olduğuna dikkat edin. x'in 0'a gitme olasılığı pozitiftir. Biz k sayısının üst sınırıyla ilgileniyoruz. Markov Zincirinin 0'a yakınsaması için çok büyük bir olasılıkla turlara ihtiyaç var: yani hayır Zincirin hangi aşamada başladığı önemli değil, büyük olasılıkla Rakip oyunu kaybeder ve r −k turunda Qr−1'i tahmin edemiyor. İki turdan sonra P(2) $\triangleq$P $\cdot$ P geçiş matrisini düşünün. P (2)(0, 0) = 1 olduğunu görmek kolaydır ve herhangi bir x $\geq$2 için P(2)(0, x) = 0. Herhangi bir x $\geq$2 ve y $\geq$2 için P(0, y) = 0 olduğundan şunu elde ederiz: P (2)(x, y) = P(x, 0)P(0, y) + X z$\geq$2 P(x, z)P(z, y) = X z$\geq$2 P(x, z)P(z, y).¯h $\triangleq$1 −h kabul edersek, P(x, y) = (1 −¯hy)x −(1 −¯hy−1)x ve P(2)(x,y) = X z$\geq$2 [(1 −¯hz)x −(1 −¯hz−1)x][(1 −¯hy)z −(1 −¯hy−1)z]. Aşağıda P(2)(x,y)'nin limitini hesaplıyoruz. P(x,y) h 1'e giderken, yani ¯h 0'a gider. En yüksek değere dikkat edin. P(x, y)'de ¯h'nin sırası ¯hy−1'dir ve x katsayısıyla birlikte. Buna göre, lim sa $\to$ 1 P (2)(x, y) P(x, y) = lim ¯sa $\to$ 0 P (2)(x, y) P(x, y) = lim ¯sa $\to$ 0 P (2)(x, y) x¯hy−1 + O(¯hy) = lim ¯sa $\to$ 0 P z$\geq$2[x¯hz−1 + O(¯hz)][z¯hy−1 + O(¯hy)] x¯hy−1 + O(¯hy) = lim ¯sa $\to$ 0 2x¯hy + O(¯hy+1) x¯hy−1 + O(¯hy) = lim ¯sa $\to$ 0 2x¯hy x¯hy−1 = lim ¯sa $\to$ 0 2¯sa = 0. h 1,23'e yeterince yakın olduğunda P (2)(x, y) P(x, y) $\leq$1 2 herhangi bir x $\geq$2 ve y $\geq$2 için. Tümevarım yoluyla, herhangi bir k > 2 için P(k) $\triangleq$Pk öyledir ki • Herhangi bir x $\geq$2 için P (k)(0, 0) = 1, P (k)(0, x) = 0 ve • herhangi bir x $\geq$2 ve y $\geq$2 için, P (k)(x, y) = P (k−1)(x, 0)P(0, y) + X z$\geq$2 P (k−1)(x, z)P(z, y) = X z$\geq$2 P (k−1)(x, z)P(z, y) $\leq$ X z$\geq$2 P(x, z) 2k−2 $\cdot$ P(z, y) = P (2)(x, y) 2k−2 $\leq$P(x, y) 2k−1 . P(x, y) $\leq$1 olduğundan, 1−log2 F turundan sonra, herhangi bir y $\geq$2 durumuna geçiş olasılığı ihmal edilebilir düzeydedir, herhangi bir x $\geq$2 durumuyla başlayarak. Bu tür birçok y durumu olmasına rağmen, bunu görmek kolaydır. lim y→+∞ P(x, y) P(x, y + 1) = lim y→+∞ (1 −¯hy)x −(1 −¯hy−1)x (1 −¯hy+1)x −(1 −¯hy)x = lim y→+∞ ¯hy−1 −¯hy ¯hy −¯hy+1 = 1 ¯h = 1 1 − sa. Bu nedenle geçiş matrisi P'nin her x satırı, oran ile geometrik bir dizi olarak azalır. 1 1−sa > 2 y yeterince büyük olduğunda, aynı durum P(k) için de geçerlidir. Buna göre, k yeterince büyük olduğunda ancak yine de log1/2 sırasına göre F, P y$\geq$2 P (k)(x, y) < F herhangi bir x $\geq$2 için. Yani büyük olasılıkla Rakip oyunu kaybeder ve r −k turunda Qr−1'i tahmin edemez. h $\in$(2/3, 1] için bir tane daha Karmaşık analiz, 1/2'den biraz daha büyük bir C sabitinin var olduğunu göstermektedir, öyle ki k = O(logC F) almak için. Böylece Lemma 5.6 geçerlidir. ■ Lemma 5.4. (yeniden ifade edilmiştir) r'den önceki her tur için Özellikler 1-3 verildiğinde, Lr için ph = h2(1 + h −h2), ve lider en azından ph konusunda dürüsttür. 23Örneğin, belirli parametre seçimlerinin önerdiği gibi h = %80.

Kanıt. Lemma 5.6'ya göre, Rakip, r −k turunda Qr−1'in geri geleceğini tahmin edemez, ancak şu durum geçerlidir: ihmal edilebilir olasılık. Bunun dürüst bir liderin olasılığının h olduğu anlamına gelmediğini unutmayın. her turda. Aslında Qr−1 verildiğinde, başlangıçta kaç kötü niyetli kullanıcının olduğuna bağlı olarak PKr−k'nin rastgele permütasyonu nedeniyle, Rakibin Qr için birden fazla seçeneği olabilir ve bu nedenle r + 1 turunda kötü niyetli bir liderin olasılığını artırabilir - yine ona veriyoruz Analizi basitleştirmek amacıyla Lemma 5.6'daki gibi bazı gerçekçi olmayan avantajlar. Bununla birlikte, Rakip tarafından r −k turunda H'ye sorgulanmayan her Qr−1 için, herhangi bir x $\geq$1, (1 −h)x−1h olasılıkla ilk dürüst kullanıcı sonuçta x konumunda olur PKr−k'nin rastgele permütasyonu. X = 1 olduğunda, r+1 turunda dürüst bir liderin olasılığı gerçekten h; x = 2 olduğunda, Rakibin Qr için iki seçeneği vardır ve ortaya çıkan olasılık şu şekildedir: h2. Sadece bu iki durumu göz önünde bulundurarak turda dürüst bir liderin olma olasılığını elde ederiz. r + 1 en azından istendiği gibi h $\cdot$ h + (1 −h)h $\cdot$ h2 = h2(1 + h −h2)'dir. Yukarıdaki olasılığın yalnızca r −k turundan itibaren protokoldeki rastgeleliği dikkate aldığını unutmayın. r'yi yuvarlamak için. 0 turundan r turuna kadar tüm rastgelelik dikkate alındığında, Qr−1 Rakip için daha da az öngörülebilir ve r + 1 turunda dürüst bir liderin olasılığı şu şekildedir: en az h2(1 + h −h2). r + 1'i r ile değiştirirsek ve her şeyi bir tur geriye kaydırırsak lider $\ell$r olur istendiği gibi en azından h2(1 + h −h2) olasılığı açısından dürüsttür. Benzer şekilde, her bir Yazı-Gerçekten Çevirme adımında, o adımın "lideri", yani doğrulayıcıdır. Kimlik bilgisi en küçük hash değerine sahip olan SV r,s'de, en azından h2(1 +) olasılıkla dürüsttür. h −h2). Dolayısıyla Lr ve Lemma 5.4 için ph = h2(1 + h −h2) geçerlidir. ■

Algorand ′

2 Bu bölümde, aşağıdaki varsayıma göre çalışan Algorand ′ versiyonunu oluşturuyoruz. Kullanıcıların Dürüst Çoğunluğu Varsayım: Her PKr'daki kullanıcıların 2/3'ünden fazlası dürüsttür. Bölüm 8'de yukarıdaki varsayımın istenen Dürüst Çoğunluk ile nasıl değiştirileceğini gösteriyoruz. Para varsayımı. 6.1 Algorand ′ için Ek Gösterimler ve Parametreler 2 Gösterimler • $\mu$ $\in$Z+: büyük olasılıkla, adım sayısına pragmatik bir üst sınır, aslında tek turda alınacak. (Göreceğimiz gibi $\mu$ parametresi kaç tane geçici Kullanıcının her tur için önceden hazırladığı anahtarlar.) • Lr: her biri 1'i görmek için gereken Bernoulli denemelerinin sayısını temsil eden rastgele değişken deneme ph olasılıkla 1'dir 2. Lr, üretmek için gereken sürenin üst sınırını belirlemek için kullanılacaktır. Br'yi engelle. • tH: r turunun s > 1 adımındaki dürüst doğrulayıcıların sayısı için bir alt sınır; ezici olasılık (n ve p verildiğinde), SV r,s'de > t dürüst doğrulayıcılar vardır. Parametreler • Çeşitli parametreler arasındaki ilişkiler. — r turundaki her adım için s > 1, n öyle seçilir ki, büyük bir olasılıkla,

|HSV r,s| > bu ve |HSV r,s| + 2|MSV r,s| < 2tH. Yukarıdaki iki eşitsizliğin birlikte |HSV r,s| > 2|MSV r,s|: yani orada Seçilen doğrulayıcılar arasında 2/3 dürüst çoğunluktur. h'nin değeri 1'e ne kadar yakınsa, n'nin o kadar küçük olması gerekir. Özellikle (varyantları) kullanıyoruz of) Chernoﬀistenen koşulların çok büyük bir olasılıkla gerçekleşmesini sağlamak için çabalıyor. • Önemli parametrelerin örnek seçimleri. — F = 10−18. — n $\approx$4000, tH $\approx$0,69n, k = 70. 6.2 Algorand ′'de Geçici Anahtarların Uygulanması 2 Doğrulayıcı i $\in$SV r,s'nin mesajını mr,s olarak dijital olarak imzaladığını hatırlayın. ben r turundaki s adımının, göreli geçici bir genel anahtar pkr,s i, geçici bir salgı anahtarı kullanarak skr,s ben derhal yok ettiğini kullandıktan sonra. Bir turun atabileceği olası adım sayısı belirli bir sınırla sınırlandığında tamsayı $\mu$, geçici anahtarların pratik olarak nasıl işleneceğini zaten gördük. Örneğin, bizim gibi Algorand ′'de açıkladım 1 (burada $\mu$ = m + 3), olası tüm geçici anahtarları yönetmek için bir r′ turundan bir r′ + 106 turuna, i bir çift (PMK, SMK) oluşturur; burada PMK genel yöneticisi kimlik tabanlı imza şemasının anahtarı ve buna karşılık gelen gizli ana anahtar SMK'dır. Kullanıcı i PMK'yi duyurur ve olası her geçici genel anahtarın gizli anahtarını oluşturmak için SMK'yı kullanır (ve bunu yaptıktan sonra SMK'yı yok eder). İlgili için i'nin geçici ortak anahtarları kümesi turlar S = {i} $\times$ {r′, . . . , r' + 106} $\times$ {1, . . . , μ}. (Tartışıldığı gibi, r' + 106 turu yaklaşırken, çiftini (PMK, SMK) “yeniler”.) Pratikte $\mu$ yeterince büyükse Algorand ′ turu yapılır. 2 $\mu$ adımdan fazlasını almayacaktır. içinde Ancak prensipte, adım sayısının r kadar olması uzak bir olasılıktır. gerçekte alınan $\mu$'yi aşacaktır. Bu olduğunda, onun mesajını imzalayamam bayım. ben için herhangi bir adım s > $\mu$, çünkü r turu için önceden yalnızca $\mu$ gizli anahtarlarını hazırladı. Üstelik o daha önce tartışıldığı gibi yeni bir geçici anahtar zulası hazırlayıp kamuoyuna duyuramadı. Aslında yapmak bu nedenle yeni bir bloğa yeni bir genel ana anahtar PMK' eklemesi gerekecektir. Ancak r'yi yuvarlamalı giderek daha fazla adım atarsanız yeni bloklar oluşturulmaz. Ancak çözümler mevcut. Örneğin r, pkr,μ turunun son geçici anahtarını kullanabilirim ben , aşağıdaki gibi. r turu için başka bir anahtar çifti zulası oluşturur; örneğin (1) başka bir anahtar çifti oluşturarak ana anahtar çifti (PMK, SMK); (2) bu çifti başka bir örneğin 106 geçici anahtar oluşturmak için kullanmak, Sk r,μ+1 ben , . . . , Sk r,μ+106 ben r'nin $\mu$+1, ..., $\mu$+106 adımlarına karşılık gelir; (3) skr,μ kullanarak ben dijital olarak pkr,μ'ya göre PMK'yi imzalayın (ve i $\in$SV r,μ ise herhangi bir (r, $\mu$) mesajı) ben ; ve (4) SMK ve skr,μ'nun silinmesi ben . s $\in${1, . ile $\mu$ + s adımında doğrulayıcı mı olmalıyım? . . , 106}, sonra dijital olarak onun (r, $\mu$ + s)'sini imzalıyorum- mesaj bay,μ+s ben yeni anahtarı pk'ye göre r,μ+s ben = (i, r, $\mu$ + s). Elbette bu imzayı doğrulamak için i'nin, diğerlerinin bu genel anahtarın i'nin yeni genel ana anahtarı PMK'ye karşılık geldiğinden emin olması gerekir. Böylece, bu imzaya ek olarak, pkr,μ'ye göre PMK dijital imzasını iletiyorum. ben . Elbette bu yaklaşım, r'nin devam etmesi durumunda gerektiği kadar tekrarlanabilir. daha fazla adım için! Son geçici gizli anahtar, yeni bir ana kamunun kimliğini doğrulamak için kullanılır anahtar ve böylece r. tur için başka bir geçici anahtar zulası. Ve benzeri.6.3 Gerçek Protokol Algorand ′ 2 Bir r turunun her s adımında, bir i $\in$SV r,s doğrulayıcısının uzun vadeli kamu sırrını kullandığını tekrar hatırlayın. kimlik bilgisini üretmek için anahtar çifti, $\sigma$r,s ben $\triangleq$SIGi(r, s, Qr−1) ve ayrıca SIGi Qr−1 s = 1 durumunda. Doğrulayıcı i geçici anahtar çiftini (pkr,s) kullanıyor ben, skr,s i ), olabilecek diğer herhangi bir m mesajını imzalamak için gerekli. Basit olması açısından sigpkr,s yerine esigi(m) yazarız i (m), i'nin geçici olduğunu belirtmek için bu adımda m imzasını kullanın ve SIGpkr,s yerine ESIGi(m) yazın i(m) $\triangleq$(i, m, esit(m))). 1. Adım: Teklifi Engelleyin Her i $\in$PKr−k kullanıcısı için talimatlar: Kullanıcı i, r turunun kendi Adım 1'ine başlar başlamaz başlar. CERT r−1, bu i'nin H(Br−1) ve Qr−1'i açıkça hesaplamasına olanak tanır. • i kullanıcısı i $\in$SV r,1 olup olmadığını kontrol etmek için Qr−1'i kullanır. Eğer i /$\in$SV r,1 ise Adım 1 için hiçbir şey yapmaz. • Eğer i $\in$SV r,1 ise yani i potansiyel bir lider ise aşağıdakileri yapar. (a) Eğer B0'ı gördüysem, . . . , Br−1'in kendisi (herhangi bir Bj = Bj ǫ kolaylıkla hash değerinden türetilebilir CERT j'de bulunur ve bu nedenle "görüldüğü" varsayılır), daha sonra yuvarlak r ödemelerini tahsil eder. şu ana kadar kendisine dağıtılmıştır ve maksimum ödeme kümesi PAY r'yi hesaplar ben onlardanım. (b) B0'ın tamamını görmediysem, . . . , Br−1 henüz, sonra PAY r'yi ayarlar ben = $\emptyset$. (c) Sonra onun “aday bloğunu” Br hesaplıyorum i = (r, ÖDEME r i , SIGi(Qr−1), H(Br−1)). (c) Son olarak mr,1 mesajını hesaplarım. ben = (Br ben , esigi(H(Br i)), $\sigma$r,1 i ), geçiciliğini yok eder gizli anahtar skr,1 i ve ardından iki mesaj yayar, mr,1 ben ve (SIGi(Qr−1), $\sigma$r,1 ben), ayrı ayrı ama aynı anda.a ai lider olduğunda, SIGi(Qr−1) diğerlerinin Qr = H(SIGi(Qr−1), r) hesaplamasını sağlar.

Seçici Yayılım Adım 1'in ve tüm turun genel uygulamasını kısaltmak için (r, 1)- önemlidir. Mesajlar seçici olarak yayılır. Yani sistemdeki her j kullanıcısı için, • Aldığı ve başarılı bir şekilde doğruladığı ilk (r, 1) mesajı için, mesajın içerip içermediğini bir blok veya sadece bir kimlik bilgisi ve Qr−1'in bir imzasıysa, j oyuncusu bunu her zamanki gibi yayar. • Oyuncu j'nin aldığı ve başarılı bir şekilde doğruladığı tüm diğer (r, 1) mesajları için yayılır. yalnızca içerdiği kimlik bilgisinin hash değeri, hash değerleri arasında en küçük olanıysa Aldığı ve başarıyla doğruladığı tüm (r, 1) mesajlarında bulunan kimlik bilgilerinin uzak. • Ancak j, mr,1 biçiminde iki farklı mesaj alırsa ben aynı oyuncudan i,b o i'nin kimlik bilgisinin hash değeri ne olursa olsun ikinciyi atar. Seçici yayılma altında her potansiyel liderin kendi propagandasını yapmasının faydalı olduğunu unutmayın. kimlik bilgisi $\sigma$r,1 ben Bay'dan ayrı olarak1 :c bu küçük mesajlar bloklardan daha hızlı yayılır, emin olun Bay'ın zamanında yayılması,1 i, içerilen kimlik bilgilerinin küçük hash değerlerine sahip olduğu yerdir; hash değeri büyük olanların hızla kaybolmasını sağlayın. aYani tüm imzalar doğrudur ve eğer bay şeklinde ise1 i, hem blok hem de onun hash değeri geçerli —her ne kadar j, dahil edilen ödeme kümesinin i için maksimum olup olmadığını kontrol etmese de. bBu, kötü niyetli olduğum anlamına geliyor. cBunu önerdiği için Georgios Vlachos'a teşekkür ederiz.Adım 2: Kademeli Konsensüs Protokolü GC'nin İlk Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: Kullanıcı i, r turunun kendi Adım 2'sine başlar başlamaz başlar. CERT r−1. • i kullanıcısı maksimum t2 $\triangleq$ $\lambda$ + Λ süresi kadar bekler. Beklerken şu şekilde davranıyorum. 1. 2$\lambda$ süresini bekledikten sonra H($\sigma$r,1) olacak şekilde $\ell$ kullanıcısını bulur. $\ell$) $\leq$H($\sigma$r,1 j) herkes için kimlik bilgileri $\sigma$r,1 j bunlar, aldığı başarıyla doğrulanmış (r, 1) mesajlarının bir parçasıdır şimdiye kadar.a 2. Eğer o var alınan bir blok Br-1, hangisi maçlar the hash değer H(Br−1) CERT r−1,b'de bulunur ve $\ell$a'dan geçerli bir mesaj aldıysa mr,1 $\ell$ = (Br $\ell$, esig$\ell$(H(Br $\ell$)), $\sigma$r,1 $\ell$),c sonra beklemeyi bırakır ve v'yi ayarlar ben $\triangleq$(H(Br $\ell$), $\ell$). 3. Aksi takdirde, t2 süresi bittiğinde v′'yi kurarım ben $\triangleq$ $\bot$. 4. v′ değeri ne zaman i ayarlandı, i CERT r−1'den Qr−1'i hesaplar ve olup olmadığını kontrol eder. i $\in$SV r,2 ya da değil. 5. Eğer i $\in$SV r,2 ise, i mr,2 mesajını hesaplar ben $\triangleq$(ESIGi(v′ i), $\sigma$r,2 i ),d geçiciliğini yok eder gizli anahtar skr,2 i ve ardından mr,2'yi yayar ben. Aksi takdirde yayılmadan dururum herhangi bir şey. a Esasen, i kullanıcısı r. turun liderinin $\ell$ kullanıcısı olduğuna özel olarak karar verir. bTabii ki, eğer CERT r−1 Br−1 = Br−1 olduğunu gösteriyorsa ǫ , o zaman ben zaten Br-1'i aldığı anda "aldım" CERT r−1. cYine, oyuncu $\ell$'nin imzaları ve hashes'lerin tümü başarıyla doğrulandı ve PAY r $\ell$Br'de $\ell$ geçerli bir ödeme setidir yuvarlak r —ÖDEME r olup olmadığını kontrol etmeme rağmen $\ell$, $\ell$veya değil için maksimumdur. Eğer Br $\ell$boş bir ödeme seti içeriyorsa, o zaman aslında Br olup olmadığını doğrulamadan önce i'nin Br−1'i görmesine gerek yok. $\ell$geçerli olup olmadığı. dMesaj bay,2 ben i oyuncusunun v′'nin ilk bileşenini dikkate aldığını işaret eder i sonraki bloğun hash'si olacağım veya bir sonraki bloğun boş olduğunu düşünür.

Adım 3: GC'nin İkinci Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: Kullanıcı i, r turunun kendi 3. Adımına başlar başlamaz başlar. CERT r−1. • Kullanıcı i maksimum süre boyunca t3 $\triangleq$t2 + 2$\lambda$ = 3$\lambda$ + Λ bekler. Beklerken şöyle davranıyorum takip ediyor. 1. En az bu geçerli mesajı almış olacak şekilde bir v değeri varsa mr,2 j arasında (ESIGj(v), $\sigma$r,2) formu j ), hiçbir çelişki olmadan, a sonra beklemeyi bırakır ve ayarlar v′ = v. 2. Aksi takdirde t3 süresi dolduğunda v′ = $\bot$ değerini alır. 3. v′ değeri ayarlandığında i, CERT r−1'den Qr−1'i hesaplar ve olup olmadığını kontrol eder. i $\in$SV r,3 ya da değil. 4. Eğer i $\in$SV r,3 ise mr,3 mesajını hesaplarım ben $\triangleq$(ESIGi(v′), $\sigma$r,3 i ), onunkini yok eder geçici gizli anahtar skr,3 i ve ardından mr,3'ü yayar ben. Aksi takdirde, olmadan dururum herhangi bir şeyin propagandasını yapmak. aYani, sırasıyla ESIGj(v) ve farklı bir ESIGj(ˆv) içeren iki geçerli mesaj almamıştır, j oyuncusundan. Burada ve bundan sonra, daha sonra tanımlanacak Bitiş Koşulları dışında, dürüst bir oyuncunun Belirli bir formdaki mesajları istiyorsa, birbiriyle çelişen mesajlar asla sayılmaz veya geçerli sayılmaz.

Adım 4: GC Çıktısı ve BBA'nın İlk Adımı⋆ Her i $\in$PKr−k kullanıcısı için talimatlar: Kullanıcı i, r turunun kendi 4. Adımına başlar başlamaz başlar. kendi 3. Adımını tamamlar. • i kullanıcısı maksimum 2$\lambda$.a kadar bekler. Beklerken i aşağıdaki gibi davranır. 1. GC çıktısı olan vi ve gi'yi aşağıdaki gibi hesaplar. (a) En az tH geçerli mesajı almış olacak şekilde bir v′ ̸= $\bot$ değeri varsa bay,3 j = (ESIGj(v′), $\sigma$r,3 j ), sonra beklemeyi bırakır ve vi $\triangleq$v' ve gi $\triangleq$2'yi ayarlar. (b) En azından geçerli mesajları almışsa mr,3 j = (ESIGj($\bot$), $\sigma$r,3 j ), sonra durur bekleme ve vi $\triangleq$ $\bot$ ve gi $\triangleq$0.b'yi ayarlar (c) Aksi halde, 2$\lambda$ süresi dolduğunda, eğer v′ ̸= $\bot$ değeri varsa, en az ⌈tH aldı 2 ⌉geçerli mesajlar mr,j j = (ESIGj(v′), $\sigma$r,3 j), sonra vi $\triangleq$v′'yi ayarlar ve gi $\triangleq$1.c (d) Aksi halde, 2$\lambda$ süresi bittiğinde vi $\triangleq$ $\bot$ve gi $\triangleq$0 değerini alır. 2. vi ve gi değerleri ayarlandığında i, BBA⋆ girişi olan bi'yi aşağıdaki gibi hesaplar: gi = 2 ise bi $\triangleq$0, aksi halde bi $\triangleq$1. 3. i, CERT r−1'den Qr−1'i hesaplar ve i $\in$SV r,4 olup olmadığını kontrol eder. 4. Eğer i $\in$SV r,4 ise mr,4 mesajını hesaplar. ben $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,4 i ), onunkini yok eder geçici gizli anahtar skr,4 i ve mr,4'ü yayar ben. Aksi takdirde yayılmadan dururum herhangi bir şey. aBöylece i'nin r turunun 1. Adımına başlamasından bu yana geçen maksimum toplam süre t4 $\triangleq$t3 + 2$\lambda$ = 5$\lambda$ + Λ olabilir. b Adım (b)'nin protokolde olup olmaması doğruluğunu etkilemez. Ancak (b) Adımının varlığı Yeterli sayıda Adım-3 doğrulayıcısının "$\bot$" imzasını atması durumunda Adım 4'ün 2$\lambda$'dan daha kısa sürede bitmesine izin verir. cBu durumda, eğer varsa, v'nin benzersiz olması gerektiği kanıtlanabilir.Adım s, 5 $\leq$s $\leq$m + 2, s −2 ≡0 mod 3: BBA⋆'nın 0'a Sabitlenmiş Madeni Para Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: i kullanıcısı r turunun kendi Adım s'sini başlatır kendi Adım s -1'i tamamlar. • i kullanıcısı maksimum 2$\lambda$.a kadar bekler. Beklerken i aşağıdaki gibi davranır. – Bitiş Koşulu 0: Herhangi bir noktada v ̸= $\bot$ dizisi ve s′ adımı varsa öyle ki (a) 5 $\leq$s′ $\leq$s, s′ −2 ≡0 mod 3 — yani Adım s', Paraya Sabitlenmiş 0 adımıdır, (b) i en azından geçerli mesajları aldım mr,s′−1 j = (ESIGj(0), ESIGj(v), $\sigma$r,s′−1 j ),b ve (c) i geçerli bir mesaj aldım (SIGj(Qr−1), $\sigma$r,1 j ) j ikinci olmak üzere v'nin bileşeni, daha sonra beklemeyi bırakır ve Adım s'yi (ve aslında r turunu) kendi yürütmesine son verir. (r, s)-doğrulayıcı olarak hiçbir şeyi yaymadan hemen; H(Br)'yi ilk olarak ayarlar v'nin bileşeni; ve kendi CERT r'sini mr,s′−1 mesaj kümesi olarak ayarlar j (b) adımının (SIGj(Qr−1), $\sigma$r,1 ile birlikte j ).c – Bitiş Koşulu 1: Herhangi bir noktada şöyle bir s' adımı varsa: (a') 6 $\leq$s′ $\leq$s, s′ −2 ≡1 mod 3 — yani Adım s', Paraya Sabitlenmiş 1 adımıdır ve (b') i en azından geçerli mesajları aldım mr,s′−1 j = (ESIGj(1), ESIGj(vj), $\sigma$r,s'−1 j ),d daha sonra beklemeyi bırakır ve Adım s'yi (ve aslında r turunu) kendi yürütmesine son verir. (r, s)-doğrulayıcı olarak hiçbir şeyi yaymadan ortadan kaybolun; Br = Br'yi ayarlar ǫ ; ve kendi ayarını yapıyor CERT r mr,s′−1 mesajların kümesi olacak j (b') alt adımının. – Eğer en herhangi biri nokta o var alınan en en azından bu geçerli bay,s−1 j 'nin arasında the biçim (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), sonra beklemeyi bırakır ve bi $\triangleq$1 değerini ayarlar. – Eğer en herhangi biri nokta o var alınan en en az bu geçerli bay,s−1 j 'nin arasında the biçim (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), ancak aynı v üzerinde anlaşamıyorlar, sonra duruyor bekliyor ve bi $\triangleq$0 olarak ayarlıyor. – Aksi halde, 2$\lambda$ süresi bittiğinde i bi $\triangleq$0 olur. – bi değeri ayarlandığında i, CERT r−1'den Qr−1'i hesaplar ve olup olmadığını kontrol eder. i $\in$SV r,s. – Eğer i $\in$SV r,s ise, i mr,s mesajını hesaplar ben $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ) vi olmak üzere 4. Adımda hesapladığı değer, geçici gizli anahtarı skr,s'yi yok eder ben ve sonra bay,s'yi yayar ben. Aksi takdirde hiçbir şey yaymadan dururum. aBöylece i'nin r turunun 1. Adımına başlamasından bu yana geçen maksimum toplam süre ts $\triangleq$ts−1 + 2$\lambda$ = olabilir (2s −3)$\lambda$ + Λ. b Oyuncu j'den gelen böyle bir mesaj, i oyuncusu j imzasından da 1 için bir mesaj almış olsa bile sayılır. Bitiş Koşulu 1 için de benzer şeyler. Analizde gösterildiği gibi bu, tüm dürüst kullanıcıların bilmesini sağlamak içindir. CERT r birbirinden $\lambda$ süresi içinde. c Kullanıcı i artık H(Br)'yi ve kendi yuvarlak r kaplamalarını biliyor. Sadece gerçek Br bloğu oluşana kadar beklemesi gerekiyor. kendisine iletilmesi biraz zaman alabilir. Halen genel bir kullanıcı olarak mesajların yayılmasına yardımcı oluyor, ancak (r, s)-doğrulayıcısı olarak herhangi bir yayılımı başlatmaz. Özellikle tüm mesajların yayılmasına yardımcı oldu. Protokolümüz için yeterli olan CERT r'si. Ayrıca ikili BA protokolü için bi $\triangleq$0 ayarlaması gerektiğini unutmayın, ancak zaten bu durumda bi'ye gerek yok. Gelecekteki tüm talimatlar için benzer şeyler. dBu durumda vj’lerin ne olduğu önemli değildir. 65Adım s, 6 $\leq$s $\leq$m + 2, s −2 ≡1 mod 3: BBA⋆'nın 1'e Sabitlenmiş Madeni Para Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: i kullanıcısı r turunun kendi Adım s'sini başlatır kendi Adım s -1'i tamamlar. • i kullanıcısı maksimum 2$\lambda$ süre bekler. Beklerken şu şekilde davranıyorum. – Bitiş Koşulu 0: Paraya Sabitlenmiş 0 adımındaki talimatların aynısı. – Bitiş Koşulu 1: Paraya Sabitlenmiş 0 adımındaki talimatların aynısı. – Eğer en herhangi biri nokta o var alınan en en az bu geçerli bay,s−1 j 'nin arasında the biçim (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), sonra beklemeyi bırakır ve bi $\triangleq$0.a değerini ayarlar. – Aksi takdirde, 2$\lambda$ süresi bittiğinde i bi $\triangleq$1 olur. – bi değeri ayarlandığında i, CERT r−1'den Qr−1'i hesaplar ve olup olmadığını kontrol eder. i $\in$SV r,s. – Eğer i $\in$SV r,s ise, i mr,s mesajını hesaplar ben $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ) vi olmak üzere 4. Adımda hesapladığı değer, geçici gizli anahtarı skr,s'yi yok eder ben ve sonra bay,s'yi yayar ben. Aksi takdirde hiçbir şey yaymadan dururum. a1 için imzalanan geçerli (r, s −1) mesajlarını almanın Koşul 1'in Sonu anlamına geleceğini unutmayın. Adım s, 7 $\leq$s $\leq$m + 2, s −2 ≡2 mod 3: BBA⋆'nın Gerçekten Yazı-Para Çevirilmiş Adımı Her i $\in$PKr−k kullanıcısı için talimatlar: i kullanıcısı r turunun kendi Adım s'sini başlatır kendi s -1 adımını tamamlar. • i kullanıcısı maksimum 2$\lambda$ süre bekler. Beklerken şu şekilde davranıyorum. – Bitiş Koşulu 0: Paraya Sabitlenmiş 0 adımındaki talimatların aynısı. – Bitiş Koşulu 1: Paraya Sabitlenmiş 0 adımındaki talimatların aynısı. – Eğer en herhangi biri nokta o var alınan en en az bu geçerli bay,s−1 j 'nin arasında the biçim (ESIGj(0), ESIGj(vj), $\sigma$r,s−1 j ), sonra beklemeyi bırakır ve bi $\triangleq$0 değerini ayarlar. – Eğer en herhangi biri nokta o var alınan en en az bu geçerli bay,s−1 j 'nin arasında the biçim (ESIGj(1), ESIGj(vj), $\sigma$r,s−1 j ), sonra beklemeyi bırakır ve bi $\triangleq$1 değerini ayarlar. – Aksi takdirde, 2$\lambda$ süresi dolduğunda SV r,s−1'e izin verilir ben (r, s −1)-doğrulayıcıların kümesi olsun geçerli bir mesaj aldığı kişi mr,s−1 j , i bi $\triangleq$lsb(minj$\in$SV r,s−1'i ayarlar) ben H($\sigma$r,s−1 j )). – bi değeri ayarlandığında i, CERT r−1'den Qr−1'i hesaplar ve olup olmadığını kontrol eder. i $\in$SV r,s. – Eğer i $\in$SV r,s ise, i mr,s mesajını hesaplar ben $\triangleq$(ESIGi(bi), ESIGi(vi), $\sigma$r,s i ) vi olmak üzere 4. Adımda hesapladığı değer, geçici gizli anahtarı skr,s'yi yok eder ben ve sonra bay,s'yi yayar ben. Aksi takdirde hiçbir şey yaymadan dururum. Açıklama. Prensip olarak, alt bölüm 6.2'de dikkate alındığı gibi, protokol keyfi olarak çok sayıda bilgi alabilir. bir turda adımlar. Bunun gerçekleşmesi durumunda, tartışıldığı gibi, s > $\mu$ olan bir i $\in$SV r,s kullanıcısı tükenmiştir.

önceden oluşturulmuş geçici anahtarlardan oluşan zulasını ve (r, s) mesajını doğrulamak zorunda mr,s ben bir tarafından geçici anahtarların “kademesi”. Böylece i'nin mesajı biraz daha uzar ve bunları iletmek daha uzun sürer mesajlar biraz daha zaman alacaktır. Buna göre, belirli bir turun pek çok adımından sonra değeri $\lambda$ parametresi otomatik olarak biraz artacaktır. (Fakat yeni bir değişiklik olduğunda orijinal $\lambda$ değerine geri döner. blok üretilir ve yeni bir tur başlar.) Round-r Bloğunun Doğrulayıcı Olmayanlar Tarafından Yeniden İnşası Sistemdeki her i kullanıcısı için talimatlar: i kullanıcısı, kendi r turuna başlar başlamaz başlar. CERT r−1. • protokolün her adımının talimatlarını takip ediyorum, tüm adımların yayılmasına katılıyorum ancak kendisi bir doğrulayıcı değilse bir adımda herhangi bir yayılım başlatmaz. • i bazı durumlarda Bitiş Koşulu 0 veya Bitiş Koşulu 1'i girerek kendi r turunu bitirir karşılık gelen CERT r ile adım. • Bundan sonra, gerçek Br bloğunu almayı beklerken r + 1 turuna başlar (eğer hash H(Br)'si CERT r tarafından sabitlenmiş olan bunu zaten almıştır). Yine eğer CERT r, Br = Br olduğunu gösterir ǫ, Br'yi CERT r'ye sahip olduğu anda tanıyorum. 6.4 Algorand ′ Analizi 2 Algorand ′ analizi 2 kolaylıkla Algorand ′'den türetilir 1. Temel olarak Algorand ′ 2, ile ezici olasılık, (a) tüm dürüst kullanıcılar aynı Br bloğunda hemfikirdir; yeni bir liderin blok en azından ph = h2(1 + h −h2) olasılığı açısından dürüsttür.

Çevrimdışı Dürüst kullanıcılarla ilgilenme

Söylediğimiz gibi, dürüst bir kullanıcı, çevrimiçi olma da dahil olmak üzere kendisine verilen tüm talimatları yerine getirir. ve protokolü çalıştırıyorum. Bu, Algorand'de büyük bir yük değildir, çünkü hesaplama ve Dürüst bir kullanıcının ihtiyaç duyduğu bant genişliği oldukça mütevazıdır. Ancak şunu belirtelim ki Algorand Dürüst kullanıcıların çevrimdışı olmasına izin verilen iki modelde çalışacak şekilde kolayca değiştirilebilir harika sayılar. Bu iki modeli tartışmadan önce şunu belirtelim; dürüst oyuncuların yüzdesi %95 olsaydı, Algorand h = %80 olduğu varsayılarak tüm parametreler ayarlanarak çalıştırılabilirdi. Buna göre Algorand, dürüst oyuncuların en fazla yarısı olsa bile düzgün çalışmaya devam edecektir. çevrimdışı olmayı seçti (gerçekten de büyük bir “devamsızlık” vakası). Aslında en azından herhangi bir zamanda Çevrimiçi oyuncuların %80'i dürüst olacaktır. Sürekli Katılımdan Tembel Dürüstlüğe Gördüğümüz gibi Algorand ′ 1 ve Algorand ′ 2 seç geriye bakma parametresi k. Şimdi k'yi uygun şekilde büyük seçmenin, bir kişiyi kaldırmaya olanak sağladığını gösterelim. Sürekli Katılım şartı. Bu gereklilik çok önemli bir özelliği garanti eder: yani, temel BA protokolü BBA⋆'nın uygun bir dürüst çoğunluğa sahip olduğu. Şimdi ne kadar tembel olduğumuzu açıklayalım dürüstlük bu özelliği tatmin etmenin alternatif ve çekici bir yolunu sağlar.

Bir i kullanıcısının, (1) kendisine verilen talimatların tümünü takip etmesi durumunda tembel ama dürüst olduğunu hatırlayın. protokole katılması istenir ve (2) yalnızca protokole katılması istenir çok nadiren - örneğin haftada bir kez - uygun bir önceden bildirimle ve potansiyel olarak önemli miktarda katıldığında ödüllendirilir. Algorand'nin bu tür oyuncularla çalışmasına izin vermek için "doğrulayıcıları seçmek" yeterlidir. Sistemde zaten bulunan kullanıcılar arasında mevcut tur çok daha erken bir turda." Aslında şunu hatırla r turu için doğrulayıcılar r −k turundaki kullanıcılar arasından seçilir ve seçimler, Qr−1 miktarına göre. Bir haftanın yaklaşık 10.000 dakikadan oluştuğunu unutmayın ve bir haftanın tur kabaca (örneğin ortalama) 5 dakika sürer, yani haftada yaklaşık 2.000 tur vardır. Varsayalım bir noktada, bir kullanıcı i zamanını planlamak ve zamanının değişip değişmeyeceğini bilmek ister. önümüzdeki hafta bir doğrulayıcı. Protokol artık bir tur için doğrulayıcıları kullanıcılar arasından seçiyor. r −k −2, 000 yuvarlaktır ve seçimler Qr−2,001'e dayanmaktadır. R. turda, zaten tanıdığım oyuncu değerler Qr−2,000, . . . , Qr−1, çünkü bunlar aslında blockchain'nin parçası. Daha sonra her M için 1 ile 2.000 arasında i, r + M turundaki bir s adımında ancak ve ancak şu şartla doğrulayıcıdır: .H SIGI r + M, s, Qr+M−2,001 $\leq$p . Bu nedenle, önümüzdeki 2000 turda doğrulayıcı olarak görev yapmak üzere çağrılıp çağrılmayacağını kontrol etmek için şunu yapmalıyım: $\sigma$M,s'yi hesapla ben = SIGI r + M, s, Qr+M−2,001 M = 1 ila 2.000 ve her adım s için ve kontrol edin .H($\sigma$M,s) olup olmadığı ben ) $\leq$p bazıları için. Dijital imzanın hesaplanması bir milisaniye sürüyorsa, o zaman tüm bu operasyonun hesaplaması yaklaşık 1 dakika sürecektir. Doğrulayıcı olarak seçilmediği takdirde bu turların herhangi birinde "dürüst bir vicdanla" çevrim dışı kalabilir. Sürekli olsaydı katılsaydı zaten sonraki 2.000 turda 0 adım atmış olacaktı! Bunun yerine, bu turlardan birinde doğrulayıcı olarak seçilir, ardından kendini hazırlar (örneğin tüm bilgileri toplayarak) gerekli bilgiler) uygun turda dürüst bir doğrulayıcı olarak hareket etmek. Tembel ama dürüst bir potansiyel doğrulayıcı böyle davranarak yalnızca yayılıma katılmayı kaçırıyor mesajların. Ancak mesaj yayılımı genellikle sağlamdır. Ayrıca, ödeyenler ve alacaklılar Yakın zamanda yayılan ödemelerin, ödemelerine ne olacağını izlemek için çevrimiçi olması bekleniyor. ve eğer dürüstlerse mesaj yayılımına katılacaklardır.

Paranın Dürüst Çoğunluğuyla Algorand ′ Protokolü

Şimdi nihayet, Kullanıcıların Dürüst Çoğunluğu varsayımını çok daha fazlası ile nasıl değiştirebileceğimizi gösteriyoruz. Anlamlı Paranın Dürüst Çoğunluğu varsayımı. Temel fikir (proof-of-stake tadında) “SV r,s'ye ait olacak ve orantılı bir ağırlığa (yani karar gücüne) sahip bir i $\in$PKr−k kullanıcısını seçmek için i'nin sahip olduğu para miktarı.”24 HMM varsayımımıza göre, bu miktarın r −k turunda sahip olunması gerekip gerekmediğini seçebiliriz. veya r turunun (başlangıcında) Sürekli katılımın sakıncası olmadığını varsayarak, ikinci seçim. (Sürekli katılımı ortadan kaldırmak için eski seçeneği tercih ederdik. Daha iyi söylemek gerekirse, r −k −2, 000 turunda sahip olunan para miktarı için.) Bu fikri hayata geçirmenin birçok yolu var. En basit yol, her tuşun basılı tutulması olacaktır. en fazla 1 birim para ve sonra PKr−k arasından rastgele n kullanıcı i seçin, öyle ki a(r) ben = 1. 24Sürekli katılımın yerine PKr−k−2,000 demeliyiz. Basitlik açısından, kişi gerektirmek isteyebileceğinden Zaten sürekli katılım, bir parametre daha az taşıyacak şekilde PKr−k'yi daha önce olduğu gibi kullanıyoruz.

Sonraki En Basit Uygulama Bir sonraki en basit uygulama, her bir ortak anahtarın maksimum bir miktara sahip olmasını talep etmek olabilir. bazı sabit M için M parası. M değeri, toplam para miktarıyla karşılaştırıldığında yeterince küçüktür. sistemdeki para, öyle ki bir anahtarın birden fazla doğrulama kümesine ait olma olasılığı - diyelim ki - k tur atılması ihmal edilebilir. O halde, a(r) kadar paraya sahip olan bir i $\in$PKr−k anahtarı ben r turunda, eğer SV r,s'ye ait olacak şekilde seçilirse .H SIGI r, s, Qr−1 $\leq$p $\cdot$ a(r) ben M . Ve her şey eskisi gibi devam ediyor. Daha Karmaşık Bir Uygulama Son uygulama "sistemdeki zengin bir katılımcıyı birçok anahtara sahip olmaya zorladı". Aşağıda açıklanan alternatif bir uygulama, statü kavramını genelleştirir ve her i kullanıcısı, her biri bağımsız olarak doğrulayıcı olarak seçilen K + 1 kopyadan (i, v) oluşacaktır, ve kendi geçici anahtarına (pkr,s) sahip olacak i,v,skr,s i,v) bir tur r'nin s adımında. K değeri bağlıdır a(r) para miktarına göre ben r turunda i'ye ait. Şimdi böyle bir sistemin nasıl çalıştığını daha detaylı görelim. Kopya Sayısı Her doğrulayıcı kümesinin hedeflenen beklenen önemliliği n olsun ve a(r) olsun ben r turunda i kullanıcısının sahip olduğu para miktarı olsun. Sahip olunan toplam para miktarı Ar olsun r turunda PKr−k'deki kullanıcılar tarafından, yani, ar = X i$\in$P Kr−k a(r) ben. Eğer i, PKr−k'de bir kullanıcı ise, o zaman i'nin kopyaları (i, 1), . . . , (i, K + 1), burada K = $ n $\cdot$ a(r) ben Ar % . Örnek. n = 1.000, Ar = 109 ve a(r) olsun ben = 3,7 milyon. Sonra, K = 103 $\cdot$ (3,7 $\cdot$ 106) 109 = ⌊3,7⌋= 3 . Doğrulayıcılar ve Kimlik Bilgileri PKr−k'de K+1 kopyaya sahip bir kullanıcı olayım. Her v = 1 için, . . . , K, kopya (i, v) otomatik olarak SV r,s'ye aittir. Yani, kimlik bilgilerim $\sigma$r,s i,v $\triangleq$SIGi((i, v), r, s, Qr−1), ancak karşılık gelen koşul .H($\sigma$r,s) olur i,v) $\leq$1, yani her zaman doğrudur. (i, K + 1) kopyası için, r turunun her Adımı için, i kontrol eder: .H SIGI (i, K + 1), r, s, Qr−1 $\leq$a(r) ben n Ar −K .

Eğer öyleyse, (i, K + 1) kopyası SV r,s'ye aittir. Bunu kanıtlamak için kimlik bilgisini yayıyorum $\sigma$r,1 i,K+1 = SIGI (i, K + 1), r, s, Qr−1 . Örnek. Önceki örnekte olduğu gibi n = 1K olsun, a(r) ben = 3,7M, Ar = 1B ve i'de 4 var kopyalar: (i, 1), . . . , (i, 4). Daha sonra ilk 3 kopya otomatik olarak SV r,s'ye ait olur. 4'üncüsü için, kavramsal olarak, Algorand ′ bağımsız olarak tura olasılığı 0,7 olan önyargılı bir parayı atar. Kopyala (i, 4) ancak ve ancak yazı tura atışının Tura olması durumunda seçilir. (Elbette, bu önyargılı yazı tura atma işlemi hashing, imza atma ve karşılaştırma yoluyla gerçekleştirilir — bizim yaptığımız gibi Bu makalede baştan sona bunu yaptım - sonucunu kanıtlayabilmemi sağlamak için.) Her zamanki gibi iş Doğrulayıcıların nasıl seçildiğini ve kimlik bilgilerinin nasıl elde edildiğini açıklayarak Bir turun her adımında hesaplanan r, bir turun yürütülmesi daha önce açıklanana benzer.

Fork İşleme

Çatallanma olasılığını 10−12 veya 10−18'e düşürdükten sonra, elle müdahale etmek neredeyse gereksizdir. gerçekleşmeleri çok uzak bir ihtimal. Algorand ancak çeşitli çatallar da kullanabilir Çalışma kanıtı olsun ya da olmasın çözüm prosedürleri. Kullanıcılara çatallanmaları çözme talimatı vermenin olası bir yolu şöyledir: • Kullanıcı birden fazla zincir görürse en uzun zinciri takip edin. • Birden fazla en uzun zincir varsa, sonunda boş olmayan blok olanı takip edin. Eğer hepsinin sonunda boş bloklar var, sondan ikinci blokları düşünün. • Sonunda boş olmayan bloklar bulunan birden fazla en uzun zincir varsa, diyelim ki zincirler uzunluğu r ise, blok r'nin lideri en küçük kimlik bilgisine sahip olanı takip edin. Eğer bağlar varsa r bloğunun kendisi en küçük hash değerine sahip olanı takip edin. Hala bağlar varsa aşağıdaki adımları izleyin. r bloğu sözlükbilimsel olarak ilk sırada sıralanan blok.

Ağ Bölümlerini Yönetme

Daha önce de belirtildiği gibi, mesajların ağdaki tüm kullanıcılar arasında yayılma sürelerinin $\lambda$ ve Λ ile üst sınırlandığını varsayıyoruz. Günümüzün interneti hızlı ve sağlam olduğundan bu güçlü bir varsayım değildir. Bu parametrelerin gerçek değerleri oldukça makuldür. Burada şunu belirtelim ki Algorand ′ 2 İnternet ara sıra ikiye bölünse de çalışmaya devam ediyor. Durum ne zaman İnternet benzer şekilde ikiden fazla parçaya bölünmüştür. 10.1 Fiziksel Bölümler Öncelikle bölünme fiziksel sebeplerden kaynaklanıyor olabilir. Örneğin çok büyük bir deprem olabilir. Avrupa ile Amerika arasındaki bağlantıyı tamamen koparmak. Bu durumda, kötü niyetli kullanıcılar da bölümlendirilmiştir ve iki bölüm arasında iletişim yoktur. Böylece

biri 1. bölüm, diğeri 2. bölüm için iki Düşman olacak. Her Düşman hâlâ protokolü kendi kısmında ihlal etmek. Bölmenin r turunun ortasında gerçekleştiğini varsayalım. Daha sonra her kullanıcı hala bir kullanıcı olarak seçilmektedir. doğrulayıcı PKr−k'ye dayalıdır ve öncekiyle aynı olasılıkladır. HSV r,s olsun ben ve MSV r,s ben sırasıyla i $\in${1, 2} şıkkındaki s adımındaki dürüst ve kötü niyetli doğrulayıcıların kümesi olsun. bizde |HSV r,s 1 | + |MSV r,s 1 | + |HSV r,s 2 | + |MSV r,s 2 | = |HSV r,s| + |MSV r,s|. |HSV r,s|'ye dikkat edin. + |MSV r,s| < |HSV r,s| + 2|MSV r,s| < 2tH çok büyük olasılıkla. Eğer i'nin bir kısmı |HSV r,s'ye sahipse ben | + |MSV r,s ben | $\geq$tH ihmal edilemeyecek bir olasılıkla, örneğin %1, o zaman |HSV r,s olasılığı 3−i| + |MSV r,s 3−i| $\geq$tH çok düşüktür, örneğin F = 10−18 olduğunda 10−16. Bu durumda, Küçük kısmı çevrimdışı olarak ele alabiliriz çünkü yeterli sayıda doğrulayıcı olmayacak Bu kısım bir bloğu onaylamak için imzalar oluşturmak içindir. Genelliği kaybetmeden daha büyük kısmı, örneğin 1. kısmı ele alalım. Rağmen |HSV r,s| < Ağ bölümlendiğinde, her s adımında ihmal edilebilir olasılıkla tH, |HSV r,s 1 | olabilir ihmal edilemeyecek bir olasılıkla tH'den daha azdır. Bu durumda, Düşman bazı durumlarda diğer ihmal edilemeyecek olasılık, ikili BA protokolünü boş olmayan bir Br bloğu ve boş Br bloğu ile r turunda bir çatala zorlayın ǫ her ikisinin de geçerli imzaları var.25 Örneğin, 0'a Sabitlenmiş Para Adımları, tüm doğrulayıcılar HSV r,s'dedir 1 bit 0 ve H(Br) için imzalandı ve bunların yayılması sağlandı. mesajlar. MSV r,s'deki tüm doğrulayıcılar 1 ayrıca 0 ve H(Br)'yi imzaladı ancak mesajlarını sakladı. Çünkü |HSV r,s 1 | + |MSV r,s 1 | $\geq$tH, sistem Br'yi sertifikalandırmak için yeterli imzaya sahiptir. Ancak tarihten bu yana Kötü niyetli doğrulayıcılar imzalarını gizlediğinde, kullanıcılar Coin-Fixed-To1 adımı olan s + 1 adımına girerler. Çünkü |HSV r,s 1 | < tH, bölüm nedeniyle, HSV'deki doğrulayıcılar r,s+1 1 onu görmedim bit 0 için imzalar vardır ve hepsi bit 1 için imzalanmıştır. MSV r,s+1'deki tüm doğrulayıcılar 1 aynısını yaptı. Çünkü |HSV r,s+1 1 | + |MSV r,s+1 1 | $\geq$tH, sistemin Br'yi sertifikalandırmak için yeterli imzası var ǫ. Düşman daha sonra MSV r,s'nin imzalarını serbest bırakarak bir çatal oluşturur 1 0 ve H(Br) için. Buna göre, r yuvarlaktaki karşılık gelen bloklarla tanımlanan iki Qr olacaktır. Ancak, çatal devam etmeyecek ve r + 1 turunda iki daldan yalnızca biri büyüyebilir. Algorand ′ için Ek Talimatlar 2. Boş olmayan bir Br bloğunu ve boş olanı gördüğünüzde Br'yi engelle ǫ , boş olmayanı (ve onun tarafından tanımlanan Qr'yi) takip edin. Aslında, eğer büyük bir blok varsa, kullanıcılara protokoldeki boş olmayan bloğa gitmeleri talimatını vererek PKr+1−k'deki dürüst kullanıcıların sayısı r +1 turunun başında bir çatal olduğunu fark eder, sonra boş bloğun yeterli takipçisi olmayacak ve büyümeyecektir. Düşmanın bunu başardığını varsayalım dürüst kullanıcıları bölümlere ayırın, böylece bazı dürüst kullanıcılar Br'yi (ve belki de Br'yi) görebilir ǫ) ve bazıları yalnızca görüyor kardeşim ǫ. Çünkü Düşman, Br'yi takip ederek hangisinin doğrulayıcı olacağını ve hangisinin doğrulayıcı olacağını bilemez. Br'yi takip eden bir doğrulayıcı olacak ǫ , dürüst kullanıcılar rastgele olarak bölümlere ayrılmıştır ve her biri hala doğrulayıcı olur (ya Br ile ilgili olarak ya da Br ile ilgili olarak) ϫ) s > 1 adımında olasılıkla s. Kötü niyetli kullanıcılar için her birinin doğrulayıcı olmak için iki şansı olabilir; Br ve diğeri Br ile ǫ, her biri bağımsız olarak p olasılığına sahiptir. HSV r+1,s olsun 1;Br Br'yi takip eden r+1 turunun s adımlarındaki dürüst doğrulayıcılar kümesi olsun. Diğer gösterimler HSV r+1,s gibi 1;Brǫ , MSV r+1,s 1;Br ve MSV r+1,s 1;Br| benzer şekilde tanımlanır. Chernoff'a bağlı olmak çok kolay 25İki boş olmayan bloktan oluşan bir çatala sahip olmak, ihmal edilebilir durumlar dışında, bölmeli veya bölmesiz mümkün değildir. olasılık.bunu çok büyük bir olasılıkla görmek için, |HSV r+1,s 1;Br | + |HSV r+1,s 1;Br| + |MSV r+1,s 1;Br | + |MSV r+1,s 1;Br| < 2tH. Buna göre, iki dalın her ikisinin de yuvarlak bloku onaylayan uygun imzaları olamaz. r + 1 aynı adımda s. Ayrıca, s ve s' adımlarının seçim olasılıkları aynı ve seçimler bağımsız, üstelik çok büyük olasılıkla |HSV r+1,s 1;Br | + |MSV r+1,s 1;Br | + |HSV r+1,s′ 1;Br| | + |MSV r+1,s′ 1;Br| | < 2tH, herhangi iki adım için s ve s′. F = 10−18 olduğunda, birlik sınırına göre, Düşman bunu yapamadığı sürece dürüst kullanıcıları uzun bir süre boyunca bölümlere ayırın (örneğin 104 adım, $\lambda$ = 10 ile 55 saatten fazla) saniye26), yüksek olasılıkla (örneğin 1−10−10) en fazla bir dalın uygun imzaları olacaktır r + 1 turundaki bir bloğu onaylamak için. Son olarak, fiziksel bölüm kabaca aynı boyutta iki parça oluşturduysa, o zaman |HSV r,s olasılığı ben | + |MSV r,s ben | $\geq$tH her i parçası için küçüktür. Benzer bir analizin ardından, Rakip her parçada göz ardı edilemeyecek bir olasılıkla bir çatal yaratmayı başarsa bile r turu için dört daldan en fazla biri r + 1 turunda büyüyebilir. 10.2 Çelişkili Bölme İkincisi, bölünmeye Düşman neden olmuş olabilir, böylece mesajlar yayılır. Bir taraftaki dürüst kullanıcılar diğer taraftaki dürüst kullanıcılara doğrudan ulaşamayacak, ancak Düşman iki taraf arasında mesaj iletebilir. Yine de birinden bir mesaj geldi Bir kısmı dürüst bir kullanıcıya ulaşırken, diğer kısmı her zamanki gibi ikincisinde yayılacaktır. Eğer Düşman çok para harcamaya istekliyse, hacklemesi mümkün olabilir. İnterneti açın ve bir süre bu şekilde bölün. Analiz, yukarıdaki fiziksel bölümün daha büyük kısmı için yapılan analize benzer (daha küçük olan kısım) kısmı 0 nüfusa sahip olarak kabul edilebilir): Düşman bir çatal oluşturabilir ve her dürüst kullanıcı dallardan yalnızca birini görür, ancak en fazla bir dal büyüyebilir. 10.3 Toplamda Ağ Bölümleri Ağ bölümleri olabilmesine ve bölümlerin altında bir turda çatallanma meydana gelebilmesine rağmen, Bu kalıcı bir belirsizlik değildir: çatal çok kısa ömürlüdür ve aslında en fazla tek bir tur sürer. içinde bölümün en fazla biri hariç tüm bölümleri, kullanıcılar yeni bir blok oluşturamaz ve dolayısıyla (a) ağda bir bölüm olduğunun farkına varın ve (b) asla "yok olacak" bloklara güvenmeyin. Teşekkür Öncelikle adı geçen Democoin sisteminin ortak yazarı Sergey Gorbunov'a teşekkür etmek istiyoruz. Birçok aydınlatıcı tartışma ve işaret ettiği için Maurice Herlihy'ye en içten teşekkürlerimi sunuyorum. ardışık düzen oluşturmanın Algorand'nin üretim performansını artıracağını ve 26 Bir kullanıcının bir adımı 2$\lambda$ süresini beklemeden ancak en az tH imzasını görmesi durumunda tamamladığını unutmayın. aynı mesaj. Yeterli imza olmadığında her adım 2$\lambda$ süre sürecektir.

bu makalenin daha önceki bir versiyonunun açıklaması. Sergio Rajsbaum'a yorumları için çok teşekkürler. bu makalenin daha önceki bir versiyonu. Derin tartışmalar için Vinod Vaikuntanathan'a çok teşekkürler ve içgörüler. Yossi Gilad, Rotem Hamo, Georgios Vlachos ve Nickolai Zeldovich'e çok teşekkürler Bu fikirleri test etmeye başladığınız ve birçok faydalı yorum ve tartışma için teşekkür ederiz. Silvio Micali, sayısız tartışma ve rehberlik için Ron Rivest'e kişisel olarak teşekkür eder. Bahsi geçen mikro ödeme sisteminin ortak yazarlığı için 30 yılı aşkın süredir kriptografik araştırmalarda bu, Algorand doğrulayıcı seçim mekanizmalarından birine ilham kaynağı olmuştur. Bu teknolojiyi bir sonraki seviyeye taşımayı umuyoruz. Bu arada seyahat ve arkadaşlık çok eğlenceliler ve bunun için minnettarız.

Algorand: Kripto Para Birimleri İçin Bizans Anlaşmalarını Ölçeklendirme

Özet

giriiş

Ön Hazırlıklar

Geleneksel Bir Ortamda BA Protokolü BA⋆

s

Algorand'nin İki Düzenlemesi

Algorand ′

Algorand ′

Çevrimdışı Dürüst kullanıcılarla ilgilenme

Paranın Dürüst Çoğunluğuyla Algorand ′ Protokolü

Fork İşleme

Ağ Bölümlerini Yönetme

Related Stories

Algorand: Pure Proof of Stake and Cryptographic Sortition

Sık Sorulan Sorular