Sách trắng Bài viết Hình ảnh Thuật ngữ đồ thị Tìm kiếm

ビットコイン:ピアツーピア電子キャッシュシステム

Tác giả Satoshi Nakamoto · 2008

Chế độ một trang PDF bitcoin.org
🇺🇸 English (Bản gốc)
🇯🇵 日本語 (Bản dịch)

Abstract

Một phiên bản hoàn toàn ngang hàng (peer-to-peer) của tiền mặt điện tử sẽ cho phép các khoản thanh toán trực tuyến được gửi trực tiếp từ bên này sang bên kia mà không cần thông qua một tổ chức tài chính. Chữ ký số cung cấp một phần của giải pháp, nhưng những lợi ích chính sẽ bị mất nếu vẫn cần một bên thứ ba đáng tin cậy để ngăn chặn chi tiêu kép (double-spending). Chúng tôi đề xuất một giải pháp cho vấn đề chi tiêu kép bằng cách sử dụng mạng ngang hàng. Mạng đánh dấu thời gian các giao dịch bằng cách hash chúng vào một chuỗi liên tục của proof-of-work dựa trên hash, tạo thành một bản ghi không thể thay đổi mà không thực hiện lại proof-of-work. Chuỗi dài nhất không chỉ đóng vai trò là bằng chứng về trình tự các sự kiện được chứng kiến, mà còn là bằng chứng rằng nó đến từ nhóm sức mạnh CPU lớn nhất. Miễn là phần lớn sức mạnh CPU được kiểm soát bởi các nút không hợp tác để tấn công mạng, chúng sẽ tạo ra chuỗi dài nhất và vượt qua những kẻ tấn công. Bản thân mạng yêu cầu cấu trúc tối thiểu. Các thông điệp được phát sóng trên cơ sở nỗ lực tốt nhất, và các nút có thể rời khỏi và tái gia nhập mạng theo ý muốn, chấp nhận chuỗi proof-of-work dài nhất làm bằng chứng về những gì đã xảy ra khi chúng vắng mặt.

Abstract

純粋なpeer-to-peerの電子キャッシュにより、金融機関を介さずに一方の当事者からもう一方へ直接オンライン決済を行うことが可能になる。デジタル署名はその解決策の一部を提供するが、二重支払いを防ぐために信頼できる第三者が依然として必要であれば、主な利点は失われてしまう。我々はpeer-to-peerネットワークを用いた二重支払い問題への解決策を提案する。このネットワークは、トランザクションをhashベースのproof-of-workの連鎖にhash化することでタイムスタンプを付与し、proof-of-workをやり直さない限り変更できない記録を形成する。最長のチェーンは、目撃されたイベントの順序の証明としてのみならず、それが最大のCPUパワーのプールから生まれたことの証明としても機能する。CPUパワーの過半数がネットワークへの攻撃に協力していないノードによって制御されている限り、それらのノードが最長のチェーンを生成し、攻撃者を凌駕する。ネットワーク自体は最小限の構造しか必要としない。メッセージはベストエフォートで配信され、ノードは自由にネットワークから離脱・再参加でき、不在中に何が起こったかの証明として最長のproof-of-workチェーンを受け入れる。

Introduction

Thương mại trên Internet đã phụ thuộc gần như hoàn toàn vào các tổ chức tài chính đóng vai trò là bên thứ ba đáng tin cậy để xử lý các khoản thanh toán điện tử. Mặc dù hệ thống hoạt động đủ tốt cho hầu hết các giao dịch, nó vẫn chịu những điểm yếu cố hữu của mô hình dựa trên sự tin tưởng. Các giao dịch hoàn toàn không thể đảo ngược thực sự không khả thi, vì các tổ chức tài chính không thể tránh khỏi việc hòa giải tranh chấp. Chi phí hòa giải làm tăng chi phí giao dịch, giới hạn quy mô giao dịch tối thiểu thực tế và loại bỏ khả năng thực hiện các giao dịch nhỏ lẻ thông thường, và có một chi phí rộng hơn trong việc mất khả năng thực hiện các khoản thanh toán không thể đảo ngược cho các dịch vụ không thể đảo ngược. Với khả năng đảo ngược, nhu cầu về sự tin tưởng lan rộng. Người bán phải cảnh giác với khách hàng của mình, yêu cầu họ cung cấp nhiều thông tin hơn mức cần thiết. Một tỷ lệ gian lận nhất định được chấp nhận là không thể tránh khỏi. Những chi phí và sự không chắc chắn về thanh toán này có thể được tránh khi giao dịch trực tiếp bằng tiền mặt vật lý, nhưng không tồn tại cơ chế nào để thực hiện thanh toán qua kênh liên lạc mà không có bên đáng tin cậy.

Điều cần thiết là một hệ thống thanh toán điện tử dựa trên bằng chứng mật mã thay vì sự tin tưởng, cho phép hai bên sẵn lòng giao dịch trực tiếp với nhau mà không cần bên thứ ba đáng tin cậy. Các giao dịch mà về mặt tính toán không thực tế để đảo ngược sẽ bảo vệ người bán khỏi gian lận, và các cơ chế ký quỹ (escrow) thông thường có thể dễ dàng được triển khai để bảo vệ người mua. Trong bài viết này, chúng tôi đề xuất một giải pháp cho vấn đề chi tiêu kép bằng cách sử dụng máy chủ đánh dấu thời gian phân tán ngang hàng để tạo bằng chứng tính toán về thứ tự thời gian của các giao dịch. Hệ thống an toàn miễn là các nút trung thực cùng kiểm soát nhiều sức mạnh CPU hơn bất kỳ nhóm nút tấn công hợp tác nào.

Introduction

インターネット上の商取引は、電子決済を処理する信頼できる第三者として機能する金融機関にほぼ全面的に依存するようになった。このシステムはほとんどのトランザクションに対して十分に機能しているが、信頼ベースモデルに固有の弱点を依然として抱えている。金融機関は紛争の仲裁を避けることができないため、完全に不可逆なトランザクションは実質的に不可能である。仲裁コストはトランザクションコストを増大させ、実用的な最小トランザクションサイズを制限し、小規模なカジュアルトランザクションの可能性を断つ。さらに、不可逆なサービスに対して不可逆な支払いができないことによる、より広範なコストも存在する。取消しの可能性がある限り、信頼の必要性が広がる。商人は顧客を警戒し、本来不要な情報まで求めなければならない。一定割合の詐欺は不可避として受け入れられている。これらのコストと支払いの不確実性は、物理的な通貨を使用すれば対面で回避できるが、信頼できる当事者なしに通信チャネルを通じて支払いを行うメカニズムは存在しない。

必要とされているのは、信頼ではなく暗号学的証明に基づく電子決済システムであり、信頼できる第三者を必要とせずに任意の二者が直接取引できるようにするものである。計算上取消しが実質的に不可能なトランザクションは売り手を詐欺から保護し、日常的なエスクローメカニズムで買い手を容易に保護できる。本論文では、peer-to-peer分散タイムスタンプサーバーを用いてトランザクションの時系列順序の計算的証明を生成することで、二重支払い問題への解決策を提案する。このシステムは、正直なノードが協力する攻撃者ノードの集団よりも多くのCPUパワーを集合的に制御している限り安全である。

Transactions

Chúng tôi định nghĩa một đồng tiền điện tử là một chuỗi chữ ký số. Mỗi chủ sở hữu chuyển đồng tiền cho người tiếp theo bằng cách ký số vào hash của giao dịch trước đó và khóa công khai (public key) của chủ sở hữu tiếp theo, rồi thêm chúng vào cuối đồng tiền. Người nhận thanh toán có thể xác minh các chữ ký để kiểm tra chuỗi sở hữu.

Bitcoin transaction chain showing the signature-linked ownership transfer model

Vấn đề tất nhiên là người nhận không thể xác minh rằng một trong các chủ sở hữu đã không chi tiêu kép đồng tiền. Một giải pháp phổ biến là giới thiệu một cơ quan trung ương đáng tin cậy, hay nhà đúc tiền, kiểm tra mọi giao dịch về chi tiêu kép. Sau mỗi giao dịch, đồng tiền phải được trả về nhà đúc tiền để phát hành đồng tiền mới, và chỉ những đồng tiền được phát hành trực tiếp từ nhà đúc tiền mới được tin là không bị chi tiêu kép. Vấn đề của giải pháp này là số phận của toàn bộ hệ thống tiền tệ phụ thuộc vào công ty điều hành nhà đúc tiền, với mọi giao dịch phải đi qua họ, giống như một ngân hàng.

Chúng ta cần một cách để người nhận biết rằng các chủ sở hữu trước đó không ký bất kỳ giao dịch nào sớm hơn. Đối với mục đích của chúng ta, giao dịch sớm nhất là giao dịch được tính, vì vậy chúng ta không quan tâm đến các lần chi tiêu kép sau đó. Cách duy nhất để xác nhận sự vắng mặt của một giao dịch là nhận biết tất cả các giao dịch. Trong mô hình dựa trên nhà đúc tiền, nhà đúc tiền nhận biết tất cả các giao dịch và quyết định giao dịch nào đến trước. Để thực hiện điều này mà không cần bên thứ ba đáng tin cậy, các giao dịch phải được công bố công khai [^1], và chúng ta cần một hệ thống để các thành viên đồng ý về một lịch sử duy nhất về thứ tự mà chúng được nhận. Người nhận cần bằng chứng rằng tại thời điểm của mỗi giao dịch, đa số các node đồng ý rằng nó là giao dịch được nhận đầu tiên.

Transactions

我々は電子コインをデジタル署名のチェーンとして定義する。各所有者は、前のトランザクションのhashと次の所有者の公開鍵にデジタル署名し、これらをコインの末尾に追加することで、次の所有者にコインを転送する。受取人は署名を検証することで所有権のチェーンを検証できる。

Bitcoin transaction chain showing the signature-linked ownership transfer model

もちろん問題は、受取人が所有者の一人がコインを二重支払いしていないことを検証できないことである。一般的な解決策は、すべてのトランザクションの二重支払いをチェックする信頼できる中央機関、つまり造幣局を導入することである。各トランザクションの後、コインは新しいコインを発行するために造幣局に返却されなければならず、造幣局から直接発行されたコインのみが二重支払いされていないと信頼される。この解決策の問題は、銀行と同様に、すべてのトランザクションがそこを経由しなければならず、貨幣システム全体の運命が造幣局を運営する企業に依存することである。

我々は、受取人が以前の所有者がそれ以前のトランザクションに署名していないことを知る方法を必要とする。我々の目的においては、最も早いトランザクションが有効であり、それ以降の二重支払いの試みは問題としない。トランザクションが存在しないことを確認する唯一の方法は、すべてのトランザクションを認識することである。造幣局ベースのモデルでは、造幣局がすべてのトランザクションを認識し、どれが最初に到着したかを決定していた。信頼できる当事者なしにこれを達成するためには、トランザクションは公開で通知されなければならず[^1]、参加者がトランザクションの受信順序の単一の履歴に合意するシステムが必要である。受取人は、各トランザクションの時点で、ノードの過半数がそれを最初に受信したものとして合意したことの証明を必要とする。

Timestamp Server

Giải pháp chúng tôi đề xuất bắt đầu với một máy chủ đánh dấu thời gian. Máy chủ đánh dấu thời gian hoạt động bằng cách lấy hash của một khối các mục cần đánh dấu thời gian và công bố rộng rãi hash đó, chẳng hạn trên báo chí hoặc bài đăng Usenet [^2] [^3] [^4] [^5]. Dấu thời gian chứng minh rằng dữ liệu phải đã tồn tại vào thời điểm đó, hiển nhiên, để có thể được đưa vào hash. Mỗi dấu thời gian bao gồm dấu thời gian trước đó trong hash của nó, tạo thành một chuỗi, với mỗi dấu thời gian bổ sung củng cố các dấu trước đó.

Bitcoin timestamp server hash-chain diagram linking blocks and items

Timestamp Server

我々が提案する解決策はタイムスタンプサーバーから始まる。タイムスタンプサーバーは、タイムスタンプを付与するアイテムのブロックのhashを取得し、新聞やUsenetへの投稿のようにそのhashを広く公開することで機能する[^2] [^3] [^4] [^5]。タイムスタンプは、hashに含まれるためにそのデータがその時点で存在していたことを明らかに証明する。各タイムスタンプはそのhash内に前のタイムスタンプを含み、チェーンを形成し、追加のタイムスタンプごとにそれ以前のものを強化する。

Bitcoin timestamp server hash-chain diagram linking blocks and items

Proof-of-Work

Để triển khai một máy chủ đánh dấu thời gian phân tán trên cơ sở ngang hàng, chúng ta sẽ cần sử dụng một hệ thống proof-of-work tương tự như Hashcash của Adam Back [^6], thay vì báo chí hoặc bài đăng Usenet. Proof-of-work bao gồm việc quét tìm một giá trị mà khi được hash, chẳng hạn với SHA-256, hash bắt đầu bằng một số bit không. Công việc trung bình cần thiết tăng theo hàm mũ với số bit không yêu cầu và có thể được xác minh bằng cách thực thi một hash duy nhất.

Đối với mạng đánh dấu thời gian của chúng tôi, chúng tôi triển khai proof-of-work bằng cách tăng dần một nonce trong khối cho đến khi tìm được giá trị cho hash của khối số bit không yêu cầu. Một khi nỗ lực CPU đã được bỏ ra để đáp ứng proof-of-work, khối không thể bị thay đổi mà không làm lại công việc. Khi các khối sau được nối tiếp sau nó, công việc để thay đổi khối sẽ bao gồm việc làm lại tất cả các khối sau nó.

Bitcoin proof-of-work block chain diagram with previous hash transaction set and nonce

Proof-of-work cũng giải quyết vấn đề xác định đại diện trong việc ra quyết định theo đa số. Nếu đa số dựa trên cơ sở một-địa-chỉ-IP-một-phiếu, nó có thể bị phá hoại bởi bất kỳ ai có khả năng phân bổ nhiều IP. Proof-of-work về cơ bản là một-CPU-một-phiếu. Quyết định đa số được đại diện bởi chuỗi dài nhất, là chuỗi có nỗ lực proof-of-work lớn nhất được đầu tư vào. Nếu đa số sức mạnh CPU được kiểm soát bởi các nút trung thực, chuỗi trung thực sẽ phát triển nhanh nhất và vượt qua bất kỳ chuỗi cạnh tranh nào. Để sửa đổi một khối trong quá khứ, kẻ tấn công sẽ phải làm lại proof-of-work của khối đó và tất cả các khối sau nó, rồi bắt kịp và vượt qua công việc của các nút trung thực. Chúng tôi sẽ chỉ ra sau rằng xác suất của một kẻ tấn công chậm hơn bắt kịp giảm theo hàm mũ khi các khối tiếp theo được thêm vào.

Để bù đắp cho tốc độ phần cứng ngày càng tăng và sự quan tâm thay đổi trong việc vận hành các nút theo thời gian, độ khó proof-of-work được xác định bởi một trung bình động nhắm mục tiêu số khối trung bình mỗi giờ. Nếu chúng được tạo ra quá nhanh, độ khó sẽ tăng lên.

Proof-of-Work

peer-to-peerベースで分散タイムスタンプサーバーを実装するには、新聞やUsenetの投稿ではなく、Adam BackのHashcash [^6]に類似したproof-of-workシステムを使用する必要がある。proof-of-workは、hash化した際に(例えばSHA-256で)hashが一定数のゼロビットで始まる値を探索することを含む。必要な平均作業量はゼロビット数に対して指数関数的であり、単一のhashを実行することで検証できる。

我々のタイムスタンプネットワークでは、ブロック内のnonceをインクリメントし、ブロックのhashに必要なゼロビットを与える値が見つかるまで繰り返すことでproof-of-workを実装する。proof-of-workを満たすためにCPUの労力が費やされると、その作業をやり直さない限りブロックを変更することはできない。後続のブロックがその後にチェーンされるため、ブロックを変更するための作業にはそれ以降のすべてのブロックをやり直すことが含まれる。

Bitcoin proof-of-work block chain diagram with previous hash transaction set and nonce

proof-of-workは、多数決における代表性の決定問題も解決する。もし多数決が1つのIPアドレスにつき1票に基づいていたならば、多数のIPを割り当てられる者によって覆される可能性がある。proof-of-workは本質的に1つのCPUにつき1票である。多数決は最長のチェーン、すなわち最大のproof-of-work労力が投入されたチェーンによって表される。CPUパワーの過半数が正直なノードによって制御されていれば、正直なチェーンが最も速く成長し、競合するいかなるチェーンも凌駕する。過去のブロックを改変するには、攻撃者はそのブロックとそれ以降のすべてのブロックのproof-of-workをやり直し、さらに正直なノードの作業に追いつき追い越さなければならない。遅い攻撃者が追いつく確率は、後続のブロックが追加されるにつれて指数関数的に減少することを後に示す。

ハードウェア速度の向上と、時間の経過に伴うノード運用への関心の変動を補うため、proof-of-workの難易度は1時間あたりの平均ブロック数を目標とする移動平均によって決定される。生成速度が速すぎる場合、難易度は上昇する。

Network

Các bước để vận hành mạng như sau:

  1. Các giao dịch mới được phát sóng đến tất cả các nút.
  2. Mỗi nút thu thập các giao dịch mới vào một khối.
  3. Mỗi nút làm việc để tìm một proof-of-work khó cho khối của mình.
  4. Khi một nút tìm thấy proof-of-work, nó phát sóng khối đến tất cả các nút.
  5. Các nút chấp nhận khối chỉ khi tất cả các giao dịch trong đó hợp lệ và chưa được chi tiêu.
  6. Các nút thể hiện sự chấp nhận khối bằng cách làm việc tạo khối tiếp theo trong chuỗi, sử dụng hash của khối được chấp nhận làm hash trước đó.

Các nút luôn coi chuỗi dài nhất là chuỗi đúng và sẽ tiếp tục làm việc để mở rộng nó. Nếu hai nút phát sóng các phiên bản khác nhau của khối tiếp theo cùng lúc, một số nút có thể nhận được phiên bản này hoặc phiên bản kia trước. Trong trường hợp đó, chúng làm việc trên phiên bản nhận được đầu tiên, nhưng lưu nhánh kia trong trường hợp nó trở nên dài hơn. Tình trạng hòa sẽ bị phá vỡ khi proof-of-work tiếp theo được tìm thấy và một nhánh trở nên dài hơn; các nút đang làm việc trên nhánh kia sẽ chuyển sang nhánh dài hơn.

Việc phát sóng giao dịch mới không nhất thiết phải đến tất cả các nút. Miễn là chúng đến được nhiều nút, chúng sẽ được đưa vào một khối trong thời gian ngắn. Việc phát sóng khối cũng chịu được tin nhắn bị mất. Nếu một nút không nhận được một khối, nó sẽ yêu cầu khối đó khi nhận được khối tiếp theo và nhận ra nó đã bỏ lỡ một khối.

Network

ネットワークを運用する手順は以下の通りである:

  1. 新しいトランザクションがすべてのノードにブロードキャストされる。
  2. 各ノードが新しいトランザクションをブロックに収集する。
  3. 各ノードがそのブロックに対する困難なproof-of-workの発見に取り組む。
  4. ノードがproof-of-workを発見すると、そのブロックをすべてのノードにブロードキャストする。
  5. ノードは、ブロック内のすべてのトランザクションが有効であり、まだ使用されていない場合にのみ、そのブロックを承認する。
  6. ノードは、承認されたブロックのhashを前のhashとして使用し、チェーンの次のブロックの作成に取り組むことで、そのブロックの承認を表明する。

ノードは常に最長のチェーンを正しいものとみなし、その延長に取り組み続ける。2つのノードが異なるバージョンの次のブロックを同時にブロードキャストした場合、一部のノードはどちらか一方を先に受信する可能性がある。その場合、ノードは最初に受信した方に取り組むが、もう一方のブランチがより長くなった場合に備えて保存しておく。次のproof-of-workが発見され、一方のブランチがより長くなった時点で決着がつき、もう一方のブランチで作業していたノードはより長い方に切り替える。

新しいトランザクションのブロードキャストは、必ずしもすべてのノードに到達する必要はない。多くのノードに到達すれば、やがてブロックに取り込まれる。ブロックのブロードキャストもメッセージの欠落に対して寛容である。ノードがブロックを受信しなかった場合、次のブロックを受信した際に欠落に気づき、そのブロックを要求する。

Incentive

Theo quy ước, giao dịch đầu tiên trong một khối là một giao dịch đặc biệt tạo ra một đồng tiền mới thuộc về người tạo khối. Điều này thêm động lực cho các nút hỗ trợ mạng, và cung cấp cách để phân phối ban đầu các đồng tiền vào lưu thông, vì không có cơ quan trung ương nào để phát hành chúng. Việc bổ sung đều đặn một lượng đồng tiền mới không đổi tương tự như các thợ đào vàng tiêu tốn tài nguyên để thêm vàng vào lưu thông. Trong trường hợp của chúng ta, đó là thời gian CPU và điện năng được tiêu tốn.

Động lực cũng có thể được tài trợ bằng phí giao dịch. Nếu giá trị đầu ra của một giao dịch nhỏ hơn giá trị đầu vào, sự chênh lệch là phí giao dịch được cộng vào giá trị động lực của khối chứa giao dịch đó. Một khi một số lượng đồng tiền đã định trước đã đi vào lưu thông, động lực có thể chuyển hoàn toàn sang phí giao dịch và hoàn toàn không có lạm phát.

Động lực có thể giúp khuyến khích các nút duy trì sự trung thực. Nếu một kẻ tấn công tham lam có thể tập hợp được nhiều sức mạnh CPU hơn tất cả các nút trung thực, hắn sẽ phải lựa chọn giữa việc sử dụng nó để lừa đảo mọi người bằng cách lấy lại các khoản thanh toán của mình, hoặc sử dụng nó để tạo đồng tiền mới. Hắn nên thấy rằng chơi theo luật sẽ có lợi hơn, những luật cho phép hắn nhận được nhiều đồng tiền mới hơn tất cả mọi người cộng lại, thay vì phá hoại hệ thống và giá trị tài sản của chính mình.

Incentive

慣例により、ブロック内の最初のトランザクションは、ブロックの作成者が所有する新しいコインを生成する特別なトランザクションである。これはノードがネットワークを支援するインセンティブを追加し、発行する中央機関が存在しないため、コインを流通させる初期分配の方法を提供する。一定量の新しいコインの着実な追加は、金鉱夫が資源を費やして金を流通に追加することに類似している。我々の場合、費やされるのはCPU時間と電力である。

インセンティブはトランザクション手数料でも賄うことができる。トランザクションの出力値がその入力値よりも小さい場合、差額はそのトランザクションを含むブロックのインセンティブ値に加算されるトランザクション手数料となる。所定の数のコインが流通に入った後、インセンティブは完全にトランザクション手数料に移行し、完全にインフレーションフリーとなることができる。

インセンティブはノードが正直であり続けることを促す助けとなりうる。貪欲な攻撃者がすべての正直なノードよりも多くのCPUパワーを集めることができた場合、その力を使って自身の支払いを取り戻す詐欺を行うか、新しいコインの生成に使用するかを選択しなければならない。ルールに従って行動する方がより収益性が高いと判断するはずであり、そのようなルールは他の全員を合わせたよりも多くの新しいコインを彼に有利に与えるのであって、システムと自身の富の正当性を損なうよりもましである。

Reclaiming Disk Space

Một khi giao dịch mới nhất trong một đồng tiền được chôn dưới đủ số khối, các giao dịch đã chi tiêu trước đó có thể bị loại bỏ để tiết kiệm dung lượng đĩa. Để tạo điều kiện cho việc này mà không phá vỡ hash của khối, các giao dịch được hash trong một Merkle Tree [^7] [^2] [^5], chỉ có gốc được bao gồm trong hash của khối. Các khối cũ sau đó có thể được nén bằng cách cắt tỉa các nhánh của cây. Các hash bên trong không cần phải được lưu trữ.

Bitcoin Merkle Tree diagram showing transaction hashing and block pruning by stubbing off branches

Một tiêu đề khối không có giao dịch sẽ khoảng 80 byte. Nếu chúng ta giả sử các khối được tạo ra mỗi 10 phút, 80 byte * 6 * 24 * 365 = 4,2MB mỗi năm. Với các hệ thống máy tính thường được bán với 2GB RAM tính đến năm 2008, và Định luật Moore dự đoán tăng trưởng hiện tại là 1,2GB mỗi năm, việc lưu trữ sẽ không phải là vấn đề ngay cả khi các tiêu đề khối phải được giữ trong bộ nhớ.

Reclaiming Disk Space

コイン内の最新のトランザクションが十分な数のブロックの下に埋まれば、それ以前の使用済みトランザクションはディスクスペースを節約するために破棄できる。ブロックのhashを壊さずにこれを実現するため、トランザクションはMerkle Tree [^7] [^2] [^5]にhash化され、ルートのみがブロックのhashに含まれる。古いブロックはツリーの枝を切り落とすことでコンパクトにできる。内部のhashは保存する必要がない。

Bitcoin Merkle Tree diagram showing transaction hashing and block pruning by stubbing off branches

トランザクションを含まないブロックヘッダーは約80バイトとなる。ブロックが10分ごとに生成されると仮定すると、80バイト * 6 * 24 * 365 = 年間4.2MBとなる。2008年時点でコンピュータシステムが一般的に2GBのRAMを搭載して販売されており、ムーアの法則が年間1.2GBの現在の成長を予測していることを考えると、ブロックヘッダーをメモリに保持しなければならないとしてもストレージは問題とはならない。

Simplified Payment Verification

Có thể xác minh các khoản thanh toán mà không cần chạy một nút mạng đầy đủ. Người dùng chỉ cần giữ một bản sao các tiêu đề khối của chuỗi proof-of-work dài nhất, mà họ có thể lấy bằng cách truy vấn các nút mạng cho đến khi tin rằng mình có chuỗi dài nhất, và lấy nhánh Merkle liên kết giao dịch với khối mà nó được đánh dấu thời gian. Người dùng không thể tự kiểm tra giao dịch, nhưng bằng cách liên kết nó với một vị trí trong chuỗi, họ có thể thấy rằng một nút mạng đã chấp nhận nó, và các khối được thêm sau đó càng xác nhận thêm rằng mạng đã chấp nhận nó.

Bitcoin simplified payment verification showing the longest proof-of-work chain with Merkle branch linking to a transaction

Như vậy, việc xác minh đáng tin cậy miễn là các nút trung thực kiểm soát mạng, nhưng dễ bị tổn thương hơn nếu mạng bị kẻ tấn công áp đảo. Trong khi các nút mạng có thể tự xác minh giao dịch, phương pháp đơn giản hóa có thể bị lừa bởi các giao dịch giả mạo của kẻ tấn công miễn là kẻ tấn công có thể tiếp tục áp đảo mạng. Một chiến lược để bảo vệ chống lại điều này là chấp nhận cảnh báo từ các nút mạng khi chúng phát hiện một khối không hợp lệ, nhắc phần mềm của người dùng tải xuống khối đầy đủ và các giao dịch được cảnh báo để xác nhận sự không nhất quán. Các doanh nghiệp nhận thanh toán thường xuyên có lẽ vẫn muốn chạy các nút riêng để có bảo mật độc lập hơn và xác minh nhanh hơn.

Simplified Payment Verification

完全なネットワークノードを稼働させずに支払いを検証することが可能である。ユーザーは最長のproof-of-workチェーンのブロックヘッダーのコピーのみを保持すればよく、最長のチェーンを持っていると確信するまでネットワークノードに問い合わせることで取得でき、トランザクションをそれがタイムスタンプされたブロックにリンクするMerkleブランチを取得できる。ユーザー自身がトランザクションを確認することはできないが、チェーン内の場所にリンクすることで、ネットワークノードがそれを承認したことを確認でき、その後に追加されたブロックがネットワークがそれを承認したことをさらに裏付ける。

Bitcoin simplified payment verification showing the longest proof-of-work chain with Merkle branch linking to a transaction

そのため、正直なノードがネットワークを制御している限り検証は信頼できるが、ネットワークが攻撃者に圧倒された場合はより脆弱になる。ネットワークノードはトランザクションを自ら検証できるが、この簡易的な方法は、攻撃者がネットワークを圧倒し続けられる限り、攻撃者が捏造したトランザクションに欺かれる可能性がある。これに対する防御戦略の一つは、ネットワークノードが無効なブロックを検出した際にアラートを受け入れ、ユーザーのソフトウェアに完全なブロックとアラートされたトランザクションをダウンロードさせ、不整合を確認することである。頻繁に支払いを受ける企業は、より独立したセキュリティと迅速な検証のために、おそらく自社のノードを運用することを望むだろう。

Combining and Splitting Value

Mặc dù có thể xử lý các đồng tiền riêng lẻ, việc tạo một giao dịch riêng cho mỗi cent trong một lần chuyển khoản sẽ rất cồng kềnh. Để cho phép giá trị được chia nhỏ và kết hợp, các giao dịch chứa nhiều đầu vào và đầu ra. Thông thường sẽ có một đầu vào duy nhất từ một giao dịch lớn hơn trước đó hoặc nhiều đầu vào kết hợp các khoản nhỏ hơn, và tối đa hai đầu ra: một cho khoản thanh toán, và một trả lại tiền thừa, nếu có, cho người gửi.

Bitcoin transaction combining and splitting value with multiple inputs and outputs

Cần lưu ý rằng fan-out, khi một giao dịch phụ thuộc vào nhiều giao dịch, và các giao dịch đó phụ thuộc vào nhiều giao dịch khác, không phải là vấn đề ở đây. Không bao giờ cần trích xuất một bản sao độc lập hoàn chỉnh của lịch sử giao dịch.

Combining and Splitting Value

コインを個別に扱うことは可能であるが、送金の1セントごとに別々のトランザクションを作成するのは扱いにくい。価値の分割と結合を可能にするため、トランザクションには複数の入力と出力が含まれる。通常、より大きな前のトランザクションからの単一の入力か、より小さな金額を結合する複数の入力があり、出力は最大で2つ:支払い用の1つと、もしあればお釣りを送信者に返す1つである。

Bitcoin transaction combining and splitting value with multiple inputs and outputs

あるトランザクションが複数のトランザクションに依存し、それらのトランザクションがさらに多くのトランザクションに依存するファンアウトは、ここでは問題にならないことに注意すべきである。トランザクションの完全な独立したコピーを抽出する必要は決してない。

Privacy

Mô hình ngân hàng truyền thống đạt được một mức độ quyền riêng tư bằng cách giới hạn quyền truy cập thông tin cho các bên liên quan và bên thứ ba đáng tin cậy. Sự cần thiết phải công bố tất cả các giao dịch công khai loại trừ phương pháp này, nhưng quyền riêng tư vẫn có thể được duy trì bằng cách cắt đứt luồng thông tin ở một nơi khác: bằng cách giữ các khóa công khai ẩn danh. Công chúng có thể thấy rằng ai đó đang gửi một khoản tiền cho người khác, nhưng không có thông tin liên kết giao dịch với bất kỳ ai. Điều này tương tự với mức độ thông tin được công bố bởi các sàn giao dịch chứng khoán, nơi thời gian và quy mô của các giao dịch cá nhân, tức "băng ghi", được công khai, nhưng không tiết lộ các bên là ai.

Bitcoin privacy model comparison showing traditional model with trusted third party versus new model with anonymous public keys

Như một bức tường lửa bổ sung, một cặp khóa mới nên được sử dụng cho mỗi giao dịch để ngăn chúng bị liên kết với một chủ sở hữu chung. Một số liên kết vẫn không thể tránh khỏi với các giao dịch đa đầu vào, vốn nhất thiết tiết lộ rằng các đầu vào của chúng thuộc cùng một chủ sở hữu. Rủi ro là nếu chủ sở hữu của một khóa bị tiết lộ, việc liên kết có thể tiết lộ các giao dịch khác cũng thuộc về cùng chủ sở hữu đó.

Privacy

従来の銀行モデルは、関係当事者と信頼できる第三者に情報へのアクセスを制限することで一定レベルのプライバシーを実現している。すべてのトランザクションを公開で通知する必要性はこの方法を不可能にするが、別の場所で情報の流れを断ち切ることでプライバシーを維持することは可能である:公開鍵を匿名に保つことによってである。誰かが他の誰かに金額を送金していることは公開で見ることができるが、そのトランザクションを個人に結びつける情報はない。これは、証券取引所が公開する情報レベルに類似しており、個々の取引の時間と規模、すなわち「ティッカーテープ」は公開されるが、当事者が誰であるかは明かされない。

Bitcoin privacy model comparison showing traditional model with trusted third party versus new model with anonymous public keys

追加のファイアウォールとして、各トランザクションに新しいキーペアを使用し、共通の所有者にリンクされることを防ぐべきである。複数入力のトランザクションでは、一部のリンクは依然として不可避であり、それらの入力が同一の所有者のものであったことが必然的に明らかになる。リスクは、鍵の所有者が明らかになった場合、リンクによって同一の所有者に属する他のトランザクションが明らかになる可能性があることである。

Calculations

Chúng ta xem xét kịch bản một kẻ tấn công cố gắng tạo ra một chuỗi thay thế nhanh hơn chuỗi trung thực. Ngay cả khi điều này được thực hiện, nó không mở ra hệ thống cho các thay đổi tùy ý, chẳng hạn như tạo giá trị từ hư không hoặc lấy tiền chưa bao giờ thuộc về kẻ tấn công. Các nút sẽ không chấp nhận một giao dịch không hợp lệ làm thanh toán, và các nút trung thực sẽ không bao giờ chấp nhận một khối chứa chúng. Kẻ tấn công chỉ có thể cố gắng thay đổi một trong các giao dịch của chính mình để lấy lại tiền mà hắn đã chi tiêu gần đây.

Cuộc đua giữa chuỗi trung thực và chuỗi tấn công có thể được đặc trưng như một Bước Đi Ngẫu Nhiên Nhị Thức. Sự kiện thành công là chuỗi trung thực được mở rộng thêm một khối, tăng khoảng cách dẫn đầu thêm +1, và sự kiện thất bại là chuỗi của kẻ tấn công được mở rộng thêm một khối, giảm khoảng cách đi -1.

Xác suất kẻ tấn công bắt kịp từ một khoảng cách cho trước tương tự như bài toán Sự Phá Sản của Người Đánh Bạc. Giả sử một người đánh bạc với tín dụng không giới hạn bắt đầu ở mức thâm hụt và chơi có khả năng vô hạn lần thử để cố gắng đạt được hòa vốn. Chúng ta có thể tính xác suất người đó đạt được hòa vốn, hoặc kẻ tấn công bắt kịp chuỗi trung thực, như sau [^8]:

p = xác suất một nút trung thực tìm thấy khối tiếp theo
q = xác suất kẻ tấn công tìm thấy khối tiếp theo
q = xác suất kẻ tấn công sẽ bắt kịp từ z khối phía sau
``````

\[
qz =
\begin{cases}
1 & \text{if } p \leq q \\
\left(\frac{q}{p}\right) z & \text{if } p > q
\end{cases}
\]

Với giả định rằng p  q, xác suất giảm theo hàm mũ khi số khối mà kẻ tấn công phải bắt kịp tăng lên. Với tỷ lệ bất lợi, nếu hắn không thực hiện được một bước nhảy may mắn về phía trước sớm, cơ hội của hắn trở nên cực kỳ nhỏ khi hắn tụt lại phía sau.

Bây giờ chúng ta xem xét người nhận giao dịch mới cần đợi bao lâu trước khi đủ chắc chắn rằng người gửi không thể thay đổi giao dịch. Chúng ta giả sử người gửi là kẻ tấn công muốn làm cho người nhận tin rằng hắn đã thanh toán trong một thời gian, sau đó chuyển lại thanh toán cho chính mình sau khi một thời gian đã trôi qua. Người nhận sẽ được cảnh báo khi điều đó xảy ra, nhưng người gửi hy vọng rằng lúc đó đã quá muộn.

Người nhận tạo một cặp khóa mới và đưa khóa công khai cho người gửi ngay trước khi ký. Điều này ngăn người gửi chuẩn bị một chuỗi khối trước bằng cách liên tục làm việc trên đó cho đến khi đủ may mắn để tiến xa đủ, rồi thực hiện giao dịch vào lúc đó. Một khi giao dịch được gửi, người gửi không trung thực bắt đầu bí mật làm việc trên một chuỗi song song chứa phiên bản thay thế của giao dịch.

Người nhận đợi cho đến khi giao dịch được thêm vào một khối và z khối đã được liên kết sau nó. Người nhận không biết chính xác lượng tiến triển mà kẻ tấn công đã đạt được, nhưng giả sử các khối trung thực mất thời gian trung bình dự kiến cho mỗi khối, tiến triển tiềm năng của kẻ tấn công sẽ là phân phối Poisson với giá trị kỳ vọng:

\[
\lambda = z\frac{q}{p}
\]

Để có xác suất kẻ tấn công vẫn có thể bắt kịp, chúng ta nhân mật độ Poisson cho mỗi lượng tiến triển hắn có thể đã đạt được với xác suất hắn có thể bắt kịp từ điểm đó:

\[
\sum_{k=0}^{\infty} \frac{\lambda^k e^{-\lambda}}{k!} \cdot \left\{
\begin{array}{cl}
\left(\frac{q}{p}\right)^{(z-k)} & \text{if } k \leq z \\
1 & \text{if } k > z
\end{array}
\right.
\]

Sắp xếp lại để tránh cộng đuôi vô hạn của phân phối...

\[
1 - \sum_{k=0}^{z} \frac{\lambda^k e^{-\lambda}}{k!} \left(1-\left(\frac{q}{p}\right)^{(z-k)}\right)
\]

Chuyển đổi sang mã C...

```c
#include math.h

double AttackerSuccessProbability(double q, int z)
{
    double p = 1.0 - q;
    double lambda = z * (q / p);
    double sum = 1.0;
    int i, k;
    for (k = 0; k = z; k++)
    {
        double poisson = exp(-lambda);
        for (i = 1; i = k; i++)
            poisson *= lambda / i;
        sum -= poisson * (1 - pow(q / p, z - k));
    }
    return sum;
}

Chạy một số kết quả, chúng ta có thể thấy xác suất giảm theo hàm mũ với z.

q=0.1
z=0 P=1.0000000
z=1 P=0.2045873
z=2 P=0.0509779
z=3 P=0.0131722
z=4 P=0.0034552
z=5 P=0.0009137
z=6 P=0.0002428
z=7 P=0.0000647
z=8 P=0.0000173
z=9 P=0.0000046
z=10 P=0.0000012

q=0.3
z=0 P=1.0000000
z=5 P=0.1773523
z=10 P=0.0416605
z=15 P=0.0101008
z=20 P=0.0024804
z=25 P=0.0006132
z=30 P=0.0001522
z=35 P=0.0000379
z=40 P=0.0000095
z=45 P=0.0000024
z=50 P=0.0000006

Giải cho P nhỏ hơn 0,1%...

P  0.001
q=0.10 z=5
q=0.15 z=8
q=0.20 z=11
q=0.25 z=15
q=0.30 z=24
q=0.35 z=41
q=0.40 z=89
q=0.45 z=340

Calculations

攻撃者が正直なチェーンよりも速く代替チェーンを生成しようとするシナリオを考える。これが達成されたとしても、無から価値を創造したり、攻撃者に属さない金銭を奪うなど、システムが恣意的な変更に開かれるわけではない。ノードは無効なトランザクションを支払いとして受け入れず、正直なノードはそれを含むブロックを決して受け入れない。攻撃者は、自分自身のトランザクションの1つを変更して最近使った金銭を取り戻すことしか試みることができない。

正直なチェーンと攻撃者のチェーンの競争は二項ランダムウォークとして特徴づけることができる。成功事象は正直なチェーンが1ブロック延長されリードが+1増加すること、失敗事象は攻撃者のチェーンが1ブロック延長され差が-1縮小することである。

攻撃者が所定の不足分から追いつく確率は、ギャンブラーの破産問題に類似している。無限の信用を持つギャンブラーが不足分から出発し、損益分岐点に達しようと無限の試行を行うと仮定する。損益分岐点に達する確率、つまり攻撃者が正直なチェーンに追いつく確率は以下のように計算できる[^8]:

p = probability an honest node finds the next block
q = probability the attacker finds the next block
q = probability the attacker will ever catch up from z blocks behind
``````

\[
qz =
\begin{cases}
1 & \text{if } p \leq q \\
\left(\frac{q}{p}\right) z & \text{if } p > q
\end{cases}
\]

p  qという我々の仮定の下では、攻撃者が追いつかなければならないブロック数が増加するにつれて確率は指数関数的に低下する。不利な状況において、早い段階で幸運にも前進できなければ、遅れるにつれてその可能性は極めて小さくなる。

次に、新しいトランザクションの受取人が、送信者がトランザクションを変更できないと十分に確信するまでにどのくらい待つ必要があるかを考える。送信者は、受取人にしばらくの間支払ったと信じさせた後、一定時間の経過後に自分自身への支払いに切り替えたい攻撃者であると仮定する。受信者はそれが起こった時にアラートを受けるが、送信者はそれが手遅れであることを望んでいる。

受信者は新しいキーペアを生成し、署名の直前に送信者に公開鍵を渡す。これにより、送信者が十分先行できるほどの幸運を得るまで継続的にブロックのチェーンを事前に準備し、そのタイミングでトランザクションを実行することを防ぐ。トランザクションが送信されると、不正な送信者は自分のトランザクションの代替バージョンを含む並行チェーンを秘密裏に作成する作業を開始する。

受取人はトランザクションがブロックに追加され、その後にzブロックがリンクされるまで待つ。攻撃者が正確にどの程度進んでいるかは分からないが、正直なブロックがブロックあたりの平均予想時間を要したと仮定すると、攻撃者の潜在的な進捗は期待値が次のPoisson分布となる:

\[
\lambda = z\frac{q}{p}
\]

攻撃者が今なお追いつける確率を求めるために、攻撃者が到達しうる各進捗量のPoisson密度に、その地点から追いつける確率を乗じる:

\[
\sum_{k=0}^{\infty} \frac{\lambda^k e^{-\lambda}}{k!} \cdot \left\{
\begin{array}{cl}
\left(\frac{q}{p}\right)^{(z-k)} & \text{if } k \leq z \\
1 & \text{if } k > z
\end{array}
\right.
\]

分布の無限の裾を合計することを避けるために整理すると...

\[
1 - \sum_{k=0}^{z} \frac{\lambda^k e^{-\lambda}}{k!} \left(1-\left(\frac{q}{p}\right)^{(z-k)}\right)
\]

C言語コードに変換すると...

```c
#include math.h

double AttackerSuccessProbability(double q, int z)
{
    double p = 1.0 - q;
    double lambda = z * (q / p);
    double sum = 1.0;
    int i, k;
    for (k = 0; k = z; k++)
    {
        double poisson = exp(-lambda);
        for (i = 1; i = k; i++)
            poisson *= lambda / i;
        sum -= poisson * (1 - pow(q / p, z - k));
    }
    return sum;
}

いくつかの結果を実行すると、確率がzに対して指数関数的に低下することが分かる。

q=0.1
z=0 P=1.0000000
z=1 P=0.2045873
z=2 P=0.0509779
z=3 P=0.0131722
z=4 P=0.0034552
z=5 P=0.0009137
z=6 P=0.0002428
z=7 P=0.0000647
z=8 P=0.0000173
z=9 P=0.0000046
z=10 P=0.0000012

q=0.3
z=0 P=1.0000000
z=5 P=0.1773523
z=10 P=0.0416605
z=15 P=0.0101008
z=20 P=0.0024804
z=25 P=0.0006132
z=30 P=0.0001522
z=35 P=0.0000379
z=40 P=0.0000095
z=45 P=0.0000024
z=50 P=0.0000006

Pが0.1%未満となるzを求めると...

P  0.001
q=0.10 z=5
q=0.15 z=8
q=0.20 z=11
q=0.25 z=15
q=0.30 z=24
q=0.35 z=41
q=0.40 z=89
q=0.45 z=340

Conclusion

Chúng tôi đã đề xuất một hệ thống cho các giao dịch điện tử mà không dựa vào sự tin tưởng. Chúng tôi bắt đầu với khung thông thường của các đồng tiền được tạo từ chữ ký số, cung cấp sự kiểm soát mạnh mẽ về quyền sở hữu, nhưng không hoàn chỉnh nếu thiếu cách ngăn chặn chi tiêu kép. Để giải quyết điều này, chúng tôi đề xuất một mạng ngang hàng sử dụng proof-of-work để ghi lại lịch sử công khai của các giao dịch, mà nhanh chóng trở nên không thực tế về mặt tính toán để kẻ tấn công thay đổi nếu các nút trung thực kiểm soát phần lớn sức mạnh CPU. Mạng mạnh mẽ trong sự đơn giản phi cấu trúc của nó. Các nút hoạt động cùng lúc với rất ít sự phối hợp. Chúng không cần được nhận dạng, vì các thông điệp không được định tuyến đến bất kỳ nơi cụ thể nào và chỉ cần được chuyển giao trên cơ sở nỗ lực tốt nhất. Các nút có thể rời đi và tham gia lại mạng theo ý muốn, chấp nhận chuỗi proof-of-work làm bằng chứng về những gì đã xảy ra khi chúng vắng mặt. Chúng bỏ phiếu bằng sức mạnh CPU của mình, thể hiện sự chấp nhận các khối hợp lệ bằng cách làm việc mở rộng chúng và từ chối các khối không hợp lệ bằng cách từ chối làm việc trên chúng. Bất kỳ quy tắc và động lực cần thiết nào đều có thể được thực thi với cơ chế đồng thuận này.

Conclusion

我々は信頼に依存しない電子取引のシステムを提案した。デジタル署名から作られるコインの通常のフレームワークから出発した。これは所有権の強力な管理を提供するが、二重支払いを防ぐ方法がなければ不完全である。これを解決するために、proof-of-workを用いてトランザクションの公開履歴を記録するpeer-to-peerネットワークを提案した。正直なノードがCPUパワーの過半数を制御していれば、攻撃者がそれを変更することは計算上急速に非現実的となる。ネットワークはその非構造的な単純さにおいて頑健である。ノードはほとんど協調なしに一斉に作業する。メッセージは特定の場所にルーティングされるのではなくベストエフォートで配信されるだけでよいため、ノードは識別される必要がない。ノードは自由にネットワークから離脱・再参加でき、不在中に何が起こったかの証明としてproof-of-workチェーンを受け入れる。ノードはCPUパワーで投票し、有効なブロックの延長に取り組むことでその承認を表明し、無効なブロックに対しては作業を拒否することで拒絶する。必要なルールとインセンティブはすべてこの合意メカニズムによって施行できる。

References

  1. W. Dai, "b-money," http://www.weidai.com/bmoney.txt, 1998.

  2. H. Massias, X.S. Avila, and J.-J. Quisquater, "Design of a secure timestamping service with minimal trust requirements," In 20th Symposium on Information Theory in the Benelux, May 1999.

  3. S. Haber, W.S. Stornetta, "How to time-stamp a digital document," In Journal of Cryptology, vol 3, no 2, pages 99-111, 1991.

  4. D. Bayer, S. Haber, W.S. Stornetta, "Improving the efficiency and reliability of digital time-stamping," In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.

  5. S. Haber, W.S. Stornetta, "Secure names for bit-strings," In Proceedings of the 4th ACM Conference on Computer and Communications Security, pages 28-35, April 1997.

  6. A. Back, "Hashcash - a denial of service counter-measure," http://www.hashcash.org/papers/hashcash.pdf, 2002.

  7. R.C. Merkle, "Protocols for public key cryptosystems," In Proc. 1980 Symposium on Security and Privacy, IEEE Computer Society, pages 122-133, April 1980.

  8. W. Feller, "An introduction to probability theory and its applications," 1957.

References

  1. W. Dai, "b-money," http://www.weidai.com/bmoney.txt, 1998.

  2. H. Massias, X.S. Avila, and J.-J. Quisquater, "Design of a secure timestamping service with minimal trust requirements," In 20th Symposium on Information Theory in the Benelux, May 1999.

  3. S. Haber, W.S. Stornetta, "How to time-stamp a digital document," In Journal of Cryptology, vol 3, no 2, pages 99-111, 1991.

  4. D. Bayer, S. Haber, W.S. Stornetta, "Improving the efficiency and reliability of digital time-stamping," In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.

  5. S. Haber, W.S. Stornetta, "Secure names for bit-strings," In Proceedings of the 4th ACM Conference on Computer and Communications Security, pages 28-35, April 1997.

  6. A. Back, "Hashcash - a denial of service counter-measure," http://www.hashcash.org/papers/hashcash.pdf, 2002.

  7. R.C. Merkle, "Protocols for public key cryptosystems," In Proc. 1980 Symposium on Security and Privacy, IEEE Computer Society, pages 122-133, April 1980.

  8. W. Feller, "An introduction to probability theory and its applications," 1957.

Whitepaper liên quan

$DOGE

15 khái niệm chung · 2013

$ETH

20 khái niệm chung · 2013

$USDT

14 khái niệm chung · 2016

$SOL

13 khái niệm chung · 2017

$BCH

14 khái niệm chung · 2017