Bitcoin: Eşler Arası Elektronik Nakit Sistemi

Abstract

Tamamen eşler arası (peer-to-peer) bir elektronik nakit sistemi, çevrimiçi ödemelerin bir finansal kurum aracılığına gerek kalmadan doğrudan bir taraftan diğerine gönderilmesine olanak tanıyacaktır. Dijital imzalar çözümün bir kısmını sağlar, ancak çifte harcamayı (double-spending) önlemek için güvenilir bir üçüncü tarafa hâlâ ihtiyaç duyuluyorsa temel faydalar kaybolur. Çifte harcama sorununa eşler arası bir ağ kullanarak bir çözüm öneriyoruz. Ağ, işlemleri hash tabanlı proof-of-work'ün devam eden bir zincirine hash'leyerek zaman damgası ekler ve proof-of-work yeniden yapılmadan değiştirilemeyen bir kayıt oluşturur. En uzun zincir yalnızca tanıklık edilen olayların sırasının kanıtı olarak değil, aynı zamanda en büyük CPU gücü havuzundan geldiğinin kanıtı olarak da hizmet eder. CPU gücünün çoğunluğu, ağa saldırmak için işbirliği yapmayan düğümler tarafından kontrol edildiği sürece, en uzun zinciri üretecek ve saldırganları geride bırakacaklardır. Ağın kendisi minimum düzeyde yapı gerektirir. Mesajlar en iyi çaba esasına göre yayınlanır ve düğümler ağdan istedikleri zaman ayrılıp yeniden katılabilir; yokluklarında olanların kanıtı olarak en uzun proof-of-work zincirini kabul ederler.

Introduction

İnternet üzerindeki ticaret, elektronik ödemeleri işlemek için güvenilir üçüncü taraflar olarak hizmet veren finansal kurumlara neredeyse tamamen bağımlı hale gelmiştir. Sistem çoğu işlem için yeterince iyi çalışsa da, güvene dayalı modelin doğasında var olan zayıflıklardan hâlâ muzdariptir. Finansal kurumlar uyuşmazlıklarda arabuluculuk yapmaktan kaçınamadığından, tamamen geri dönüşü olmayan işlemler gerçekten mümkün değildir. Arabuluculuk maliyeti, işlem maliyetlerini artırır, minimum pratik işlem boyutunu sınırlar ve küçük gündelik işlemler olasılığını ortadan kaldırır; geri dönüşü olmayan hizmetler için geri dönüşü olmayan ödemeler yapma yeteneğinin kaybedilmesinde daha geniş bir maliyet de vardır. Geri dönüş olasılığı ile güven ihtiyacı yayılır. Tüccarlar müşterilerine karşı temkinli olmak zorundadır ve normalde ihtiyaç duyacaklarından daha fazla bilgi talep ederek onları rahatsız eder. Belirli bir yüzde dolandırıcılık kaçınılmaz olarak kabul edilir. Bu maliyetler ve ödeme belirsizlikleri, fiziksel para birimi kullanılarak yüz yüze ortadan kaldırılabilir, ancak güvenilir bir taraf olmadan bir iletişim kanalı üzerinden ödeme yapmak için hiçbir mekanizma mevcut değildir.

İhtiyaç duyulan şey, güven yerine kriptografik kanıta dayalı, istekli iki tarafın güvenilir bir üçüncü tarafa ihtiyaç duymadan doğrudan birbirleriyle işlem yapmasına olanak tanıyan bir elektronik ödeme sistemidir. Hesaplama açısından geri döndürülmesi pratik olmayan işlemler satıcıları dolandırıcılığa karşı koruyacak ve rutin emanet (escrow) mekanizmaları alıcıları korumak için kolayca uygulanabilecektir. Bu makalede, işlemlerin kronolojik sırasının hesaplamalı kanıtını oluşturmak için eşler arası dağıtık bir zaman damgası sunucusu kullanan çifte harcama sorununa bir çözüm öneriyoruz. Sistem, dürüst düğümler toplu olarak herhangi bir işbirliği yapan saldırgan düğüm grubundan daha fazla CPU gücünü kontrol ettiği sürece güvenlidir.

Transactions

Elektronik bir parayı dijital imzalar zinciri olarak tanımlıyoruz. Her sahip, bir önceki işlemin hash'ini ve bir sonraki sahibin açık anahtarını (public key) dijital olarak imzalayarak ve bunları paranın sonuna ekleyerek parayı bir sonraki sahibine aktarır. Alacaklı, sahiplik zincirini doğrulamak için imzaları doğrulayabilir.

Sorun elbette alacaklının, sahiplerden birinin parayı çifte harcamadığını doğrulayamamasıdır. Yaygın bir çözüm, her işlemi çifte harcama açısından kontrol eden güvenilir bir merkezi otorite veya darphane tanıtmaktır. Her işlemden sonra, para yeni bir para basmak için darphaneye iade edilmelidir ve yalnızca doğrudan darphaneden basılan paralara çifte harcanmamış olarak güvenilir. Bu çözümün sorunu, tüm para sisteminin kaderinin darphaneyi işleten şirkete bağlı olması ve her işlemin tıpkı bir banka gibi onlardan geçmek zorunda olmasıdır.

Alacaklının, önceki sahiplerin daha erken işlemleri imzalamadığını bilmesi için bir yola ihtiyacımız var. Bizim amacımız için en erken işlem geçerli sayılandır, bu yüzden sonraki çifte harcama girişimlerini umursamıyoruz. Bir işlemin yokluğunu doğrulamanın tek yolu tüm işlemlerden haberdar olmaktır. Darphane tabanlı modelde, darphane tüm işlemlerden haberdardı ve hangisinin önce geldiğine karar veriyordu. Bunu güvenilir bir taraf olmadan başarmak için işlemler kamuya duyurulmalıdır [^1] ve katılımcıların alındıkları sıranın tek bir geçmişi üzerinde anlaşmaları için bir sisteme ihtiyacımız var. Alacaklı, her işlem anında düğümlerin çoğunluğunun ilk alınan olarak kabul ettiğine dair kanıta ihtiyaç duyar.

Timestamp Server

Önerdiğimiz çözüm bir zaman damgası sunucusu ile başlar. Zaman damgası sunucusu, zaman damgası uygulanacak bir öğeler bloğunun hash'ini alarak ve bu hash'i bir gazete veya Usenet gönderisi gibi geniş çapta yayınlayarak çalışır [^2] [^3] [^4] [^5]. Zaman damgası, hash'e dahil olabilmesi için verinin o anda var olmuş olması gerektiğini kanıtlar. Her zaman damgası, hash'inde bir önceki zaman damgasını içerir ve bir zincir oluşturur; her ek zaman damgası kendisinden önceki damgaları güçlendirir.

Proof-of-Work

Eşler arası bir temelde dağıtık bir zaman damgası sunucusu uygulamak için, gazete veya Usenet gönderileri yerine Adam Back'in Hashcash'ine [^6] benzer bir proof-of-work sistemi kullanmamız gerekecektir. Proof-of-work, hash'lendiğinde (örneğin SHA-256 ile) hash'in belirli sayıda sıfır bit ile başladığı bir değer taramayı içerir. Gereken ortalama iş, gereken sıfır bit sayısında üstel olarak artar ve tek bir hash çalıştırılarak doğrulanabilir.

Zaman damgası ağımız için, bloktaki bir nonce'u artırarak proof-of-work'ü uyguluyoruz; ta ki bloğun hash'ine gereken sıfır bitleri veren bir değer bulunana kadar. CPU çabası proof-of-work'ü karşılamak için harcanıldıktan sonra, blok işi yeniden yapmadan değiştirilemez. Sonraki bloklar onun ardına zincirlendiğinde, bloğu değiştirmek için gereken iş, ondan sonraki tüm blokları yeniden yapmayı da içerecektir.

Proof-of-work aynı zamanda çoğunluk karar alma sürecinde temsil belirleme sorununu da çözer. Çoğunluk bir-IP-adresi-bir-oy temelinde olsaydı, çok sayıda IP tahsis edebilen herkes tarafından alt edilebilirdi. Proof-of-work esasen bir-CPU-bir-oy'dur. Çoğunluk kararı, en büyük proof-of-work çabasının yatırıldığı en uzun zincir tarafından temsil edilir. CPU gücünün çoğunluğu dürüst düğümler tarafından kontrol ediliyorsa, dürüst zincir en hızlı şekilde büyüyecek ve rakip zincirleri geride bırakacaktır. Geçmişteki bir bloğu değiştirmek için, bir saldırganın o bloğun ve sonrasındaki tüm blokların proof-of-work'ünü yeniden yapması ve ardından dürüst düğümlerin çalışmasını yakalayıp geçmesi gerekecektir. Daha yavaş bir saldırganın yetişme olasılığının sonraki bloklar eklendikçe üstel olarak azaldığını daha sonra göstereceğiz.

Artan donanım hızını ve zaman içinde düğüm çalıştırmaya olan değişen ilgiyi telafi etmek için, proof-of-work zorluğu saat başına ortalama blok sayısını hedefleyen hareketli bir ortalama ile belirlenir. Çok hızlı üretiliyorlarsa, zorluk artar.

Network

Ağı çalıştırma adımları şunlardır:

1. Yeni işlemler tüm düğümlere yayınlanır.
2. Her düğüm yeni işlemleri bir blokta toplar.
3. Her düğüm, bloğu için zor bir proof-of-work bulmak üzere çalışır.
4. Bir düğüm proof-of-work bulduğunda, bloğu tüm düğümlere yayınlar.
5. Düğümler, bloğu yalnızca içindeki tüm işlemler geçerli ve henüz harcanmamışsa kabul eder.
6. Düğümler, kabul edilen bloğun hash'ini önceki hash olarak kullanarak zincirdeki bir sonraki bloğu oluşturmak üzere çalışarak bloğu kabul ettiklerini ifade ederler.

Düğümler her zaman en uzun zinciri doğru olan olarak kabul eder ve onu uzatmak için çalışmaya devam eder. İki düğüm aynı anda bir sonraki bloğun farklı sürümlerini yayınlarsa, bazı düğümler birini veya diğerini önce alabilir. Bu durumda, ilk aldıklarında çalışırlar, ancak uzaması ihtimaline karşı diğer dalı saklarlar. Bir sonraki proof-of-work bulunduğunda ve bir dal uzadığında berabere durum bozulacaktır; diğer dalda çalışan düğümler daha uzun olana geçecektir.

Yeni işlem yayınlarının mutlaka tüm düğümlere ulaşması gerekmez. Birçok düğüme ulaştıkları sürece, kısa sürede bir bloğa gireceklerdir. Blok yayınları da düşen mesajlara karşı toleranslıdır. Bir düğüm bir bloğu almadıysa, sonraki bloğu aldığında ve birini kaçırdığını fark ettiğinde onu talep edecektir.

Incentive

Geleneksel olarak, bir bloktaki ilk işlem, bloğun yaratıcısına ait yeni bir para başlatan özel bir işlemdir. Bu, düğümlerin ağı desteklemesi için bir teşvik ekler ve onları basacak merkezi bir otorite olmadığından, paraların dolaşıma başlangıçta dağıtılması için bir yol sağlar. Sabit miktarda yeni paranın düzenli olarak eklenmesi, altın madencilerinin altını dolaşıma katmak için kaynak harcamasına benzerdir. Bizim durumumuzda, harcanan CPU zamanı ve elektrik enerjisidir.

Teşvik, işlem ücretleriyle de finanse edilebilir. Bir işlemin çıktı değeri girdi değerinden az ise, aradaki fark, işlemi içeren bloğun teşvik değerine eklenen bir işlem ücretidir. Önceden belirlenmiş sayıda para dolaşıma girdiğinde, teşvik tamamen işlem ücretlerine geçebilir ve tamamen enflasyondan bağımsız olabilir.

Teşvik, düğümlerin dürüst kalmasını teşvik etmeye yardımcı olabilir. Açgözlü bir saldırgan tüm dürüst düğümlerden daha fazla CPU gücü toplamayı başarırsa, bunu ödemelerini geri çalarak insanları dolandırmak için mi yoksa yeni paralar üretmek için mi kullanacağı arasında seçim yapmak zorunda kalacaktır. Kuralları bozmaktansa, kendisine herkesten daha fazla yeni para veren kurallarla oynamanın daha kârlı olduğunu bulması gerekir; böylece sistemi ve kendi servetinin geçerliliğini baltalamamış olur.

Reclaiming Disk Space

Bir paradaki en son işlem yeterli sayıda bloğun altına gömüldüğünde, önceki harcanmış işlemler disk alanı kazanmak için atılabilir. Bloğun hash'ini bozmadan bunu kolaylaştırmak için, işlemler bir Merkle Ağacında [^7] [^2] [^5] hash'lenir ve blok hash'ine yalnızca kök dahil edilir. Eski bloklar, ağacın dalları budanarak sıkıştırılabilir. İç hash'lerin saklanması gerekmez.

İşlem içermeyen bir blok başlığı yaklaşık 80 byte olacaktır. Blokların her 10 dakikada bir üretildiğini varsayarsak, 80 byte * 6 * 24 * 365 = yılda 4,2MB. 2008 itibarıyla bilgisayar sistemlerinin genellikle 2GB RAM ile satıldığını ve Moore Yasasının yıllık 1,2GB büyüme öngördüğünü göz önüne alırsak, blok başlıklarının bellekte tutulması gerekse bile depolama bir sorun olmamalıdır.

Simplified Payment Verification

Tam bir ağ düğümü çalıştırmadan ödemeleri doğrulamak mümkündür. Bir kullanıcının yalnızca en uzun proof-of-work zincirinin blok başlıklarının bir kopyasını tutması yeterlidir; ağ düğümlerini en uzun zincire sahip olduğuna ikna olana kadar sorgulayarak ve işlemi zaman damgası uygulandığı bloğa bağlayan Merkle dalını elde ederek bunu yapabilir. İşlemi kendisi kontrol edemez, ancak zincirdeki bir yere bağlayarak bir ağ düğümünün onu kabul ettiğini görebilir ve sonrasında eklenen bloklar ağın onu kabul ettiğini daha da doğrular.

Bu nedenle, doğrulama dürüst düğümler ağı kontrol ettiği sürece güvenilirdir, ancak ağ bir saldırgan tarafından ele geçirilirse daha savunmasızdır. Ağ düğümleri işlemleri kendileri doğrulayabilirken, basitleştirilmiş yöntem saldırganın ağı ele geçirmeye devam edebildiği sürece saldırganın uydurma işlemleriyle kandırılabilir. Buna karşı korunmak için bir strateji, ağ düğümlerinden geçersiz bir blok tespit ettiklerinde uyarılar almak ve kullanıcının yazılımını tutarsızlığı doğrulamak üzere tam bloğu ve uyarılan işlemleri indirmeye yönlendirmek olabilir. Sık ödeme alan işletmeler muhtemelen daha bağımsız güvenlik ve daha hızlı doğrulama için kendi düğümlerini çalıştırmak isteyeceklerdir.

Combining and Splitting Value

Paraları tek tek işlemek mümkün olsa da, bir transferdeki her kuruş için ayrı bir işlem yapmak kullanışsız olurdu. Değerin bölünüp birleştirilebilmesi için işlemler birden fazla girdi ve çıktı içerir. Normal olarak, daha büyük bir önceki işlemden tek bir girdi veya daha küçük miktarları birleştiren birden fazla girdi ve en fazla iki çıktı olacaktır: biri ödeme için, diğeri varsa üstü göndericiye iade etmek için.

Bir işlemin birçok işleme bağlı olduğu ve bu işlemlerin çok daha fazlasına bağlı olduğu yayılma (fan-out) durumunun burada bir sorun olmadığı belirtilmelidir. Bir işlemin geçmişinin tam bir bağımsız kopyasını çıkarmaya asla gerek yoktur.

Privacy

Geleneksel bankacılık modeli, bilgiye erişimi ilgili taraflar ve güvenilir üçüncü tarafla sınırlayarak belirli bir gizlilik düzeyi sağlar. Tüm işlemlerin kamuya duyurulması gerekliliği bu yöntemi engeller, ancak bilgi akışını başka bir noktada keserek gizlilik yine de korunabilir: açık anahtarları anonim tutarak. Halk, birisinin bir başkasına bir miktar gönderdiğini görebilir, ancak işlemi herhangi biriyle ilişkilendiren bilgi olmadan. Bu, borsaların yayınladığı bilgi düzeyine benzer; bireysel işlemlerin zamanı ve boyutu, yani "bant," kamuya açıklanır, ancak tarafların kim olduğu söylenmez.

Ek bir güvenlik duvarı olarak, her işlem için yeni bir anahtar çifti kullanılmalıdır; böylece ortak bir sahiple ilişkilendirilmeleri önlenir. Çoklu girdili işlemlerde hâlâ kaçınılmaz bazı bağlantılar vardır; bu işlemler girdilerinin aynı sahibe ait olduğunu zorunlu olarak ortaya koyar. Risk, bir anahtarın sahibi ortaya çıkarsa, bağlantının aynı sahibe ait diğer işlemleri ifşa edebilmesidir.

Calculations

Bir saldırganın dürüst zincirden daha hızlı alternatif bir zincir üretmeye çalıştığı senaryoyu düşünüyoruz. Bu başarılsa bile, sistemi havadan değer yaratma veya saldırgana hiç ait olmayan parayı alma gibi keyfi değişikliklere açmaz. Düğümler geçersiz bir işlemi ödeme olarak kabul etmeyecek ve dürüst düğümler bunları içeren bir bloğu asla kabul etmeyecektir. Bir saldırgan yalnızca yakın zamanda harcadığı parayı geri almak için kendi işlemlerinden birini değiştirmeye çalışabilir.

Dürüst zincir ile saldırgan zinciri arasındaki yarış bir Binom Rastgele Yürüyüş olarak karakterize edilebilir. Başarı olayı, dürüst zincirin bir blok uzatılarak liderliğini +1 artırmasıdır ve başarısızlık olayı, saldırganın zincirinin bir blok uzatılarak farkı -1 azaltmasıdır.

Bir saldırganın belirli bir açıktan yetişme olasılığı, Kumarcının İflası problemine benzer. Sınırsız krediye sahip bir kumarcının açıkta başladığını ve başa baş noktasına ulaşmak için potansiyel olarak sonsuz sayıda deneme yaptığını varsayalım. Başa baş noktasına ulaşma olasılığını veya bir saldırganın dürüst zincire yetişme olasılığını aşağıdaki gibi hesaplayabiliriz [^8]:

p = dürüst bir düğümün bir sonraki bloğu bulma olasılığı
q = saldırganın bir sonraki bloğu bulma olasılığı
q = saldırganın z blok geriden yetişme olasılığı
``````

\[
qz =
\begin{cases}
1 & \text{if } p \leq q \\
\left(\frac{q}{p}\right) z & \text{if } p > q
\end{cases}
\]

p  q olduğu varsayımımız göz önüne alındığında, saldırganın yetişmesi gereken blok sayısı arttıkça olasılık üstel olarak düşer. Oran aleyhine olduğunda, erken dönemde şanslı bir hamle yapmadıysa, geride kaldıkça şansı giderek küçülür.

Şimdi yeni bir işlemin alıcısının, göndericinin işlemi değiştiremeyeceğinden yeterince emin olmadan önce ne kadar beklemesi gerektiğini düşünüyoruz. Göndericinin, alıcıya bir süre ödeme yaptığına inandırmak isteyen bir saldırgan olduğunu ve ardından bir süre geçtikten sonra ödemeyi kendisine geri çevirmek istediğini varsayıyoruz. Alıcı bu olduğunda uyarılacaktır, ancak gönderici bunun çok geç olacağını umar.

Alıcı yeni bir anahtar çifti üretir ve imzalamadan kısa süre önce açık anahtarı göndericiye verir. Bu, göndericinin şanslı olup yeterince ilerleyene kadar sürekli çalışarak önceden bir blok zinciri hazırlamasını ve ardından o anda işlemi gerçekleştirmesini önler. İşlem gönderildikten sonra, dürüst olmayan gönderici işleminin alternatif bir sürümünü içeren paralel bir zincir üzerinde gizlice çalışmaya başlar.

Alıcı, işlem bir bloğa eklenene ve z blok ondan sonra bağlanana kadar bekler. Saldırganın ne kadar ilerleme kaydettiğini tam olarak bilmez, ancak dürüst blokların blok başına beklenen ortalama süreyi aldığını varsayarsak, saldırganın potansiyel ilerlemesi beklenen değeri olan bir Poisson dağılımı olacaktır:

\[
\lambda = z\frac{q}{p}
\]

Saldırganın hâlâ yetişebilme olasılığını elde etmek için, yapmış olabileceği her ilerleme miktarı için Poisson yoğunluğunu o noktadan yetişebilme olasılığıyla çarpıyoruz:

\[
\sum_{k=0}^{\infty} \frac{\lambda^k e^{-\lambda}}{k!} \cdot \left\{
\begin{array}{cl}
\left(\frac{q}{p}\right)^{(z-k)} & \text{if } k \leq z \\
1 & \text{if } k > z
\end{array}
\right.
\]

Dağılımın sonsuz kuyruğunu toplamaktan kaçınmak için yeniden düzenliyoruz...

\[
1 - \sum_{k=0}^{z} \frac{\lambda^k e^{-\lambda}}{k!} \left(1-\left(\frac{q}{p}\right)^{(z-k)}\right)
\]

C koduna dönüştürüyoruz...

```c
#include math.h

double AttackerSuccessProbability(double q, int z)
{
    double p = 1.0 - q;
    double lambda = z * (q / p);
    double sum = 1.0;
    int i, k;
    for (k = 0; k = z; k++)
    {
        double poisson = exp(-lambda);
        for (i = 1; i = k; i++)
            poisson *= lambda / i;
        sum -= poisson * (1 - pow(q / p, z - k));
    }
    return sum;
}

Bazı sonuçları çalıştırdığımızda, olasılığın z ile üstel olarak düştüğünü görebiliriz.

q=0.1
z=0 P=1.0000000
z=1 P=0.2045873
z=2 P=0.0509779
z=3 P=0.0131722
z=4 P=0.0034552
z=5 P=0.0009137
z=6 P=0.0002428
z=7 P=0.0000647
z=8 P=0.0000173
z=9 P=0.0000046
z=10 P=0.0000012

q=0.3
z=0 P=1.0000000
z=5 P=0.1773523
z=10 P=0.0416605
z=15 P=0.0101008
z=20 P=0.0024804
z=25 P=0.0006132
z=30 P=0.0001522
z=35 P=0.0000379
z=40 P=0.0000095
z=45 P=0.0000024
z=50 P=0.0000006

P'nin %0,1'den küçük olması için çözüyoruz...

P  0.001
q=0.10 z=5
q=0.15 z=8
q=0.20 z=11
q=0.25 z=15
q=0.30 z=24
q=0.35 z=41
q=0.40 z=89
q=0.45 z=340

Conclusion

Güvene dayanmadan elektronik işlemler için bir sistem önerdik. Dijital imzalardan yapılmış paraların olağan çerçevesiyle başladık; bu, sahiplik üzerinde güçlü kontrol sağlar ancak çifte harcamayı önlemenin bir yolu olmadan eksik kalır. Bunu çözmek için, dürüst düğümler CPU gücünün çoğunluğunu kontrol ettiğinde bir saldırganın değiştirmesinin hesaplama açısından hızla pratik olmaktan çıkan işlemlerin kamuya açık geçmişini kaydetmek için proof-of-work kullanan eşler arası bir ağ önerdik. Ağ, yapılandırılmamış basitliğinde sağlamdır. Düğümler çok az koordinasyonla hep birlikte çalışır. Mesajlar herhangi belirli bir yere yönlendirilmediğinden ve yalnızca en iyi çaba temelinde iletilmesi gerektiğinden, tanımlanmaları gerekmez. Düğümler, yokluklarında olanların kanıtı olarak proof-of-work zincirini kabul ederek ağdan istedikleri zaman ayrılıp yeniden katılabilirler. Geçerli blokları uzatarak çalışarak kabullerini ifade eder ve geçersiz blokları üzerlerinde çalışmayı reddederek reddederler. Gerekli tüm kurallar ve teşvikler bu konsensüs mekanizması ile uygulanabilir.

References