Auteur : Satoshi Nakamoto ; Traduction en chinois : Li Xiaolai
Résumé : Une version purement peer-to-peer d’un système de paiement électronique qui permettra d’envoyer des paiements en ligne directement d’une partie à l’autre sans passer par une institution financière. Bien que la signature numérique offre certaines solutions, les principaux avantages des paiements électroniques sont compensés lorsqu’un tiers de confiance est toujours nécessaire pour éviter les doubles dépenses. Nous proposons une solution qui utilise un réseau peer-to-peer pour résoudre le problème de la double dépense. Le réseau peer-to-peer horodate chaque transaction en saisissant les données hachées de la transaction dans une vaste chaîne de preuve de travail basée sur le hachage qui est impossible à modifier à moins d’être complètement refaite. La chaîne la plus longue est utilisée pour prouver les événements qui ont été observés et leur ordre, et d’autre part, pour prouver qu’elle provient du plus grand pool de puissance de hachage du processeur. Tant que la grande majorité de la puissance de calcul du processeur est contrôlée par des nœuds inoffensifs, c’est-à-dire qu’ils ne coopèrent pas avec ceux qui tentent d’attaquer le réseau, les nœuds bénins généreront la plus longue chaîne et dépasseront l’attaquant. Le réseau lui-même a besoin d’une structure minimale. L’information sera diffusée sur la base des meilleurs efforts, et les nœuds vont et viennent librement ; Cependant, lors de l’adhésion, il est toujours nécessaire d’accepter la plus longue chaîne de preuve de travail comme preuve de tout ce qui s’est passé pendant la période dans laquelle ils n’ont pas été impliqués.
1. Introduction
Le commerce sur Internet repose presque entièrement sur les institutions financières en tant que tiers de confiance pour traiter les paiements électroniques. Bien que le système soit assez bon pour la plupart des transactions, il est toujours entravé par les défauts inhérents aux modèles basés sur la confiance. Une transaction totalement irréversible n’est pratiquement pas possible, car les institutions financières ne peuvent pas éviter les litiges d’arbitrage. Le coût de l’arbitrage augmente les coûts de transaction, ce qui limite la taille de la transaction minimale possible et empêche simplement de nombreuses transactions de micropaiement. En plus de cela, il y a un coût encore plus élevé : le système ne peut pas effectuer de paiements irréversibles pour des services qui ne sont pas réversibles. La possibilité d’un renversement de situation a créé un besoin de confiance omniprésent. Les commerçants doivent se méfier de leurs clients, les déranger pour qu’ils fournissent plus d’informations qui ne seraient pas nécessaires s’ils ne l’étaient pas (s’ils étaient fiables). Un certain pourcentage de fraude est considéré comme inévitable. Ces coûts et incertitudes de paiement peuvent être évités lorsque les paiements sont effectués directement entre personnes en utilisant de la monnaie physique ; Cependant, il n’existe aucun mécanisme permettant aux deux parties d’effectuer des paiements par le biais de canaux de communication sans que l’une d’entre elles ne soit digne de confiance.
Ce dont nous avons vraiment besoin, c’est d’un système de paiement électronique basé sur des preuves cryptographiques plutôt que sur la confiance, permettant à deux parties d’effectuer des transactions directement sans avoir à faire confiance à un tiers. La transaction irréversible de la garantie de hashrate peut aider les vendeurs à éviter la fraude, et le mécanisme de garantie quotidienne pour protéger les acheteurs est facile à mettre en œuvre. Dans cet article, nous proposerons une solution pour la double dépense, en utilisant un serveur d’horodatage distribué peer-to-peer pour générer des preuves basées sur le taux de hachage qui enregistrent chaque transaction dans l’ordre chronologique. Le système est sécurisé, tant que les nœuds honnêtes ont généralement plus de puissance CPU que les attaquants qui coopèrent les uns avec les autres.
2. Transactions
Nous définissons une monnaie électronique comme une chaîne de signatures numériques. Lorsqu’un propriétaire donne une pièce à une autre personne, il le fait en ajoutant la signature numérique suivante à la fin de la chaîne de signature numérique : le hachage de la transaction précédente et la clé publique du nouveau propriétaire. Le bénéficiaire peut vérifier la propriété de la chaîne de signature numérique en vérifiant la signature.
Le problème avec ce chemin est que le destinataire ne peut pas vérifier que personne n’a payé deux fois parmi les propriétaires précédents. Une solution courante consiste à faire appel à une autorité centralisée de confiance, ou « mint », et à lui demander de vérifier s’il y a des doubles dépenses sur chaque transaction. Après chaque transaction, la pièce doit être retournée à la Monnaie, qui émet une nouvelle pièce. De plus, seules les pièces émises directement par la Monnaie sont crédibles et n’ont pas fait l’objet d’un double paiement. Le problème avec cette solution est que le destin de l’ensemble du système monétaire est lié à l’entreprise qui gère la monnaie (comme une banque), et que chaque transaction doit passer par elle.
Nous avions besoin d’un moyen pour le destinataire de confirmer que l’ancien propriétaire n’avait signé aucune transaction précédente. Pour nos besoins, seules les transactions les plus anciennes comptent, nous ne nous soucions donc pas des tentatives de double dépense ultérieures. La seule façon de confirmer qu’une transaction n’existe pas est d’être informé de toutes les transactions. Dans le modèle de la monnaie, la Monnaie est au courant de toutes les transactions et est en mesure de confirmer l’ordre de ces transactions. Afin d’être en mesure d’accomplir cela sans l’intervention d’une « partie de confiance », l’enregistrement de la transaction doit être déclaré publiquement1, et nous avons besoin d’un système qui permet aux participants de s’entendre sur le même historique de transaction unique qu’ils reçoivent. Le bénéficiaire doit prouver qu’au moment de chaque transaction, la majorité des nœuds peuvent convenir qu’elle a été la première à être reçue.
3. Serveur d’horodatage
Cette solution commence par un serveur d’horodatage. Voici comment fonctionne un serveur d’horodatage : il horodate le hachage d’un ensemble d’enregistrements, puis diffuse le hachage, comme le fait un journal, ou comme un message dans un Usenet.2 3 4 5. Évidemment, un horodatage prouve que les données existaient avant ce moment, sinon le hachage n’aurait pas été généré. Chaque horodatage contient un horodatage précédent dans son hachage, formant ainsi une chaîne ; Chaque nouvel horodatage est ajouté après l’horodatage précédent.
Afin de mettre en œuvre un serveur d’horodatage distribué basé sur peer-to-peer, nous devons utiliser un système de preuve de travail comme Hash Cash 6 d’Adam Burke, plutôt que quelque chose comme un article de journal ou de groupe de discussion. Ce qu’on appelle la preuve de travail, c’est trouver une valeur ; Pour que cette valeur soit vraie : après avoir extrait une valeur de hachage pour celle-ci (par exemple, en utilisant SHA-256 pour calculer une valeur de hachage), la valeur de hachage doit commencer par un certain nombre de zéros. Chaque exigence supplémentaire de 0 augmente la quantité de travail de manière exponentielle, et la vérification de cette quantité de travail ne nécessite qu’un hachage pour être calculée.
Dans notre réseau d’horodatage, nous implémentons la preuve de travail de la manière suivante : nous continuons à ajouter un nonce à un bloc jusqu’à ce qu’une valeur qui satisfait les conditions soit trouvée ; La condition pour cela est que le hachage du bloc commence par le nombre spécifié de 0. Une fois que le résultat de la consommation de puissance de calcul du processeur satisfait à la preuve de travail, le bloc ne peut plus être modifié à moins que tout le travail précédent ne soit refait. Comme de nouveaux blocs sont ajoutés tout le temps, la modification du bloc actuel signifie la finition de tous les blocs suivants.
La preuve de travail résout également le problème de savoir qui peut prendre des décisions au nom de la majorité. Si la soi-disant « majorité » est basée sur une approche « une adresse IP, une voix », alors toute personne capable de gérer de nombreuses adresses IP peut être considérée comme une « majorité ». La preuve de travail est essentiellement « un processeur, un vote ». La soi-disant « décision majoritaire » est représentée par la chaîne la plus longue, car c’est la chaîne qui y a fait le plus d’efforts. Si la majorité de la puissance de calcul du processeur est contrôlée par des nœuds honnêtes, alors la chaîne honnête se développera le plus rapidement, et elle sera beaucoup plus rapide que les autres chaînes concurrentes. Afin de modifier un bloc qui a déjà été produit, un attaquant devrait recompléter la preuve de travail pour ce bloc et tous les blocs suivants, puis rattraper et dépasser le travail du nœud honnête. Cet article montre pourquoi la probabilité qu’un attaquant retardé rattrape son retard diminue de manière exponentielle à mesure que le nombre de blocs augmente.
Afin de faire face à l’augmentation de la puissance de calcul du matériel et au nombre de contributions de nœuds qui peuvent changer au fil du temps, la difficulté de la preuve de travail est déterminée par une moyenne mobile du nombre de blocs produits par heure en moyenne. Si le bloc est généré trop rapidement, la difficulté augmentera.
5. Réseau
Les étapes d’exécution du réseau sont les suivantes :
Toutes les nouvelles transactions sont diffusées à tous les noeuds ;
Chaque nœud regroupe les nouvelles transactions dans un bloc ;
Chaque nœud commence à trouver une preuve de travail difficile pour ce bloc ;
Lorsqu’un bloc trouve sa preuve de travail, il le diffuse à tous les nœuds ;
De nombreux autres nœuds accepteront le blocage si et seulement si les conditions suivantes sont remplies : toutes les transactions sont valides et n’ont pas été payées deux fois ;
De nombreux nœuds indiquent au réseau qu’ils acceptent le bloc en traitant le hachage du bloc accepté comme le hachage avant le nouveau bloc lorsque le bloc suivant est créé.
Le nœud pense toujours que la chaîne la plus longue est la bonne et continue d’y ajouter de nouvelles données. Si deux nœuds diffusent simultanément deux versions différentes de « Next Block » sur le réseau, certains nœuds recevront l’une d’entre elles en premier, tandis que d’autres recevront l’autre en premier. Dans ce cas, les nœuds continueront à travailler sur le bloc qu’ils ont reçu en premier, mais enregistreront également l’autre branche au cas où elle deviendrait la chaîne la plus longue. Lorsque la prochaine preuve de travail est trouvée et que l’une des branches devient plus longue, cette divergence temporaire est résolue et les nœuds travaillant sur l’autre branche passent à une chaîne plus longue.
Les nouvelles transactions ne doivent pas nécessairement être diffusées à tous les nœuds. Tant qu’un nombre suffisant de nœuds est atteint, il ne faudra pas longtemps avant que ces transactions ne soient regroupées dans un bloc. Les diffusions de blocs permettent également d’ignorer certains messages. Si un noeud ne reçoit pas de bloc, le noeud se rendra compte qu’il a manqué le bloc précédent lorsqu’il recevra le bloc suivant, et fera une demande de remplacement du bloc manquant.
6. Incitations
Par convention, la première transaction de chaque bloc est une transaction spéciale qui génère une nouvelle pièce et appartient au générateur du bloc. Cela récompense les nœuds pour leur soutien au réseau et leur capacité à mettre des pièces en circulation, dans un système où il n’y a de toute façon pas d’autorité centralisée pour émettre ces pièces. Ainsi, l’ajout constant d’un certain nombre de nouvelles pièces en circulation est comme si les mineurs d’or utilisaient constamment leurs ressources pour ajouter de l’or à la circulation. Dans notre système, les ressources consommées sont le temps de fonctionnement du processeur et l’énergie qu’il utilise.
Les récompenses peuvent également provenir des frais de transaction. Si la valeur de sortie d’une transaction est inférieure à sa valeur d’entrée, la différence est constituée par les frais de transaction ; Les frais de transaction sont utilisés pour récompenser les nœuds qui empaquetent la transaction dans ce bloc. Une fois que le nombre défini de pièces est en circulation, les récompenses seront entièrement couvertes par les frais de transaction, et il n’y aura absolument aucune inflation.
Le mécanisme de récompense peut également encourager les nœuds à être honnêtes. Si un attaquant cupide peut piéger plus de puissance CPU que tous les nœuds honnêtes, il doit faire un choix : doit-il utiliser cette puissance de calcul pour tromper les autres en volant l’argent qu’il a dépensé ? Ou utiliser cette puissance de calcul pour générer de nouvelles pièces ? Il devrait être en mesure de trouver plus rentable de jouer selon les règles, ce qui lui permet maintenant de gagner plus de pièces que tous les autres réunis, ce qui est clairement plus rentable que de détruire secrètement le système et de réduire sa richesse à néant.
7. Récupération d’espace disque
Si la transaction la plus récente d’une pièce a eu lieu avant un nombre suffisant de blocs, l’historique des transactions de dépenses de la pièce avant cette transaction peut être supprimé afin d’économiser de l’espace disque. Afin de le faire sans casser le hachage du bloc, le hachage de l’enregistrement de transaction sera inclus dans une arborescence de Merkle, et seule la racine de l’arborescence sera incluse dans le hachage du bloc. En coupant les branches, les vieux blocs peuvent être compressés. Le hachage interne n’a pas besoin d’être enregistré.
Un en-tête de bloc sans historique de transaction est d’environ 80 octets. En supposant qu’un bloc est produit toutes les dix minutes, 80 octets multipliés par 6 fois 24 fois 365 équivalent à 4,2 millions par an. En 2008, la plupart des ordinateurs en vente étaient équipés de 2 Go de RAM, et la loi de Moore prédit que 1,2 Go seront ajoutés par an, même si l’en-tête de bloc doit être stocké en mémoire.
8. Confirmation de paiement simplifiée
Il est possible de confirmer les paiements même sans avoir à exécuter un nœud de réseau complet. Tout ce dont l’utilisateur a besoin, c’est d’une copie de l’en-tête de bloc de la chaîne la plus longue avec une preuve de travail — il peut vérifier le nœud en ligne pour confirmer qu’il a la chaîne la plus longue — puis obtenir le nœud de branche de l’arbre de Merkle, qui à son tour se connecte à la transaction lorsque le bloc a été horodaté. L’utilisateur ne peut pas vérifier la transaction lui-même, mais en se connectant à un certain endroit de la chaîne, il peut voir qu’un nœud du réseau a accepté la transaction, et le bloc ajouté par la suite confirme que le réseau a accepté la transaction.
Tant que les nœuds honnêtes contrôlent toujours le réseau, la vérification est fiable. Cependant, lorsque le réseau est contrôlé par un attaquant, la vérification est moins fiable. Bien que les nœuds du réseau puissent vérifier eux-mêmes les transactions, tant que l’attaquant garde le contrôle du réseau, la méthode de vérification simplifiée peut être trompée par les enregistrements de transactions falsifiés de l’attaquant. L’une des contre-mesures est que le logiciel client accepte les avertissements des nœuds du réseau. Lorsqu’un nœud de réseau trouve un bloc non valide, il envoie une alerte et une notification s’affiche sur le logiciel de l’utilisateur pour l’informer de télécharger le bloc complet et l’avertir de confirmer la cohérence de la transaction. Les commerçants qui proposent des paiements à haute fréquence devraient toujours vouloir exécuter leur propre nœud complet pour garantir une sécurité plus indépendante et une confirmation plus rapide des transactions.
9. Combinaison et division de la valeur
Bien qu’il soit possible de traiter les pièces une par une, il est maladroit de mettre en place un enregistrement séparé pour chaque centime. Pour permettre le fractionnement et la consolidation des valeurs, les transactions contiennent plusieurs entrées et sorties. En général, il s’agit soit d’un seul intrant provenant d’une transaction antérieure relativement importante, soit d’une combinaison de nombreux intrants provenant d’un montant plus petit ; Dans le même temps, il y a au maximum deux sorties : une pour le paiement (au bénéficiaire) et une pour la monnaie (à l’expéditeur) si nécessaire.
Il est important de noter que le « fan-out » n’est pas un problème ici - « fan-out » signifie qu’une transaction dépend de plusieurs transactions, et que ces transactions dépendent de plus de transactions. Il n’est jamais nécessaire d’extraire une copie historique complète et indépendante d’une transaction.
10. Vie privée
Les modèles bancaires traditionnels permettent d’atteindre un certain degré de protection de la vie privée en restreignant l’accès aux informations sur les traders et les tiers de confiance. Cette approche a été rejetée en raison de la nécessité de rendre publics tous les registres des transactions. Cependant, le maintien de la vie privée peut être réalisé en coupant le flux d’informations à un autre endroit – l’anonymat de la clé publique. Le public peut voir qu’untel a transféré une certaine somme d’argent à untel, mais il n’y a aucune information pointant vers une certaine personne. Ce niveau de diffusion d’informations est un peu comme le trading boursier, seuls l’heure et le montant de la transaction individuelle sont annoncés, cependant, personne ne sait qui sont les deux côtés de la transaction.
Il y a une autre couche de pare-feu. Les traders doivent activer une nouvelle paire de clés publiques et privées pour chaque transaction afin que personne d’autre ne puisse retracer ces transactions jusqu’au même propriétaire. Certaines transactions à intrants multiples sont encore inévitablement rétroactives, car ces intrants seront inévitablement identifiés comme provenant du même propriétaire. Le danger est que si le propriétaire d’une clé publique est exposé, toutes les autres transactions qui y sont liées seront exposées.
11. Calculs
Imaginons un scénario dans lequel un attaquant tente de générer une chaîne alternative plus rapide que la chaîne honnête. Même s’il réussit, il ne peut pas changer le système, c’est-à-dire qu’il ne peut pas créer de la valeur à partir de rien, et il ne peut pas obtenir de l’argent qui ne lui appartient jamais. Les nœuds de réseau ne traitent pas une transaction non valide comme un paiement, et les nœuds honnêtes n’accepteront jamais un bloc contenant un tel paiement. Au mieux, l’attaquant peut modifier ses propres transactions et essayer de récupérer l’argent qu’il a déjà dépensé.
La rivalité entre la chaîne honnête et l’attaquant peut être décrite par une marche aléatoire binomiale. Un événement de réussite se produit lorsqu’un nouveau bloc vient d’être ajouté à la chaîne honnête, augmentant son avantage de 1, tandis qu’un événement d’échec se produit lorsque la chaîne de l’attaquant vient d’être ajoutée à un nouveau bloc, réduisant l’avantage de la chaîne honnête de 1.
La probabilité qu’un attaquant soit en mesure de rattraper son retard est similaire au problème d’un joueur qui fait faillite. Supposons qu’un joueur avec un nombre illimité de jetons commence avec un déficit et lui permette de miser un nombre illimité de fois, dans le but de combler le déficit qu’il a déjà. Nous pouvons calculer la probabilité qu’il soit finalement en mesure de combler le manque, c’est-à-dire la probabilité que l’attaquant puisse rattraper la chaîne honnête, comme suit :
Puisque nous avons supposé que p>,q Étant donné que l’attaquant a besoin de rattraper de plus en plus de blocs, la probabilité de succès diminue de manière exponentielle. Si l’attaquant n’a pas la chance de faire un bond en avant dès le début, son taux de victoire sera anéanti tandis qu’il prendra encore plus de retard.
Considérez maintenant combien de temps le destinataire d’une nouvelle transaction devra attendre pour être pleinement certain que l’expéditeur ne peut pas modifier la transaction. Nous supposons que l’expéditeur est un attaquant qui tente de convaincre le bénéficiaire qu’il a payé le paiement pendant un certain temps, puis de se transférer l’argent à lui-même. Lorsque cela se produit, le destinataire recevra bien sûr un avertissement, mais l’expéditeur espère que le bateau en bois est déjà dans le bateau.
Le destinataire crée une nouvelle paire de clés publiques et privées, puis communique les clés publiques à l’expéditeur peu de temps avant de signer. Cela permet d’éviter une situation où l’expéditeur prépare un bloc sur la chaîne à l’avance avec un calcul continu, et a la chance d’être suffisamment en avance pour exécuter la transaction jusque-là. Une fois que l’argent a été envoyé, l’expéditeur malhonnête commence à travailler secrètement sur une autre parachain, en essayant d’y ajouter une version inversée de la transaction.
Le bénéficiaire attend que la transaction soit emballée dans un bloc, et il y a déjà z blocs qui ont été ajoutés par la suite. Il ne sait pas exactement à quel point les attaquants s’en sortent, mais il peut supposer que les blocs honnêtes passent un temps moyen dans le processus de génération de chaque bloc ; La progression potentielle d’un attaquant est conforme à une loi de Poisson, avec une valeur attendue de :
Pour calculer la probabilité qu’un attaquant puisse encore rattraper son retard, nous devons multiplier la densité de probabilité de la distribution de Parzon pour le nombre de blocs que l’attaquant doit rattraper par la probabilité qu’il puisse rattraper son retard s’il est derrière ce nombre de blocs :
Nous proposons un système de négociation électronique qui n’a pas à reposer sur la confiance ; Le point de départ est un cadre de pièce de monnaie simple qui utilise des signatures numériques, et bien qu’il offre un contrôle de propriété robuste, il ne peut pas éviter les doubles dépenses. Pour résoudre ce problème, nous proposons un réseau peer-to-peer qui utilise un mécanisme de preuve de travail pour enregistrer un historique de transaction public, et tant que le nœud honnête peut contrôler la majorité de la puissance de calcul du processeur, il est impossible pour un attaquant de réussir à altérer le système en termes de puissance de calcul uniquement. La robustesse de ce réseau réside dans sa simplicité non structurée. Les nœuds peuvent fonctionner simultanément en un instant avec peu de collaboration. Ils n’ont même pas besoin d’être reconnus, car le chemin du message ne dépend pas d’une destination spécifique ; Les messages ne doivent être diffusés que dans la mesure du possible. Les nœuds vont et viennent librement, et lorsqu’ils se rejoignent, ils n’ont qu’à accepter la chaîne de preuve de travail comme preuve de tout ce qui s’est passé pendant qu’ils étaient hors ligne. Ils votent sur la puissance de leur processeur, et ils indiquent qu’ils acceptent les transactions valides en ajoutant constamment de nouveaux blocs valides à la chaîne et en rejetant les blocs invalides. Toutes les règles et récompenses nécessaires peuvent être appliquées par le biais de ce mécanisme de consensus.
Références
b-money Dai Wei (01/11/1998)
Conception d’un service d’horodatage sécurisé avec des exigences de confiance minimales Henri Massias, Xavier Serret-Avila, Jean-Jacques Quisquater 20ème Symposium sur la Théorie de l’Information au Benelux (1999-05)
Comment horodater un document numérique Stuart Haber, W.Scott Stornetta Journal of Cryptology (1991) DOI : 10.1007/bf00196791
Amélioration de l’efficacité et de la fiabilité de l’horodatage numérique Dave Bayer, Stuart Haber, W. Scott Stornetta Séquences II (1993) DOI : 10.1007/978-1-4613-9323-8_24
Noms sécurisés pour les chaînes de bits Stuart Haber, W. Scott Stornetta Actes de la 4e conférence de l’ACM sur la sécurité informatique et des communications - CCS '97(1997) DOI : 10.1145/266420.266430
Hashcash - Une contre-mesure contre le déni de service Adam Back (2002-08-01)
Protocoles pour les cryptos à clé publique Ralph C. Merkle 1980 IEEE Symposium on Security and Privacy (1980-04) DOI : 10.1109/sp.1980.10006
Une introduction à la théorie des probabilités et à ses applications William Feller John Wiley & Sons (1957)
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Relecture classique du 15e anniversaire : le texte intégral de la version chinoise du livre blanc Bitcoin
Auteur : Satoshi Nakamoto ; Traduction en chinois : Li Xiaolai
Résumé : Une version purement peer-to-peer d’un système de paiement électronique qui permettra d’envoyer des paiements en ligne directement d’une partie à l’autre sans passer par une institution financière. Bien que la signature numérique offre certaines solutions, les principaux avantages des paiements électroniques sont compensés lorsqu’un tiers de confiance est toujours nécessaire pour éviter les doubles dépenses. Nous proposons une solution qui utilise un réseau peer-to-peer pour résoudre le problème de la double dépense. Le réseau peer-to-peer horodate chaque transaction en saisissant les données hachées de la transaction dans une vaste chaîne de preuve de travail basée sur le hachage qui est impossible à modifier à moins d’être complètement refaite. La chaîne la plus longue est utilisée pour prouver les événements qui ont été observés et leur ordre, et d’autre part, pour prouver qu’elle provient du plus grand pool de puissance de hachage du processeur. Tant que la grande majorité de la puissance de calcul du processeur est contrôlée par des nœuds inoffensifs, c’est-à-dire qu’ils ne coopèrent pas avec ceux qui tentent d’attaquer le réseau, les nœuds bénins généreront la plus longue chaîne et dépasseront l’attaquant. Le réseau lui-même a besoin d’une structure minimale. L’information sera diffusée sur la base des meilleurs efforts, et les nœuds vont et viennent librement ; Cependant, lors de l’adhésion, il est toujours nécessaire d’accepter la plus longue chaîne de preuve de travail comme preuve de tout ce qui s’est passé pendant la période dans laquelle ils n’ont pas été impliqués.
1. Introduction
Le commerce sur Internet repose presque entièrement sur les institutions financières en tant que tiers de confiance pour traiter les paiements électroniques. Bien que le système soit assez bon pour la plupart des transactions, il est toujours entravé par les défauts inhérents aux modèles basés sur la confiance. Une transaction totalement irréversible n’est pratiquement pas possible, car les institutions financières ne peuvent pas éviter les litiges d’arbitrage. Le coût de l’arbitrage augmente les coûts de transaction, ce qui limite la taille de la transaction minimale possible et empêche simplement de nombreuses transactions de micropaiement. En plus de cela, il y a un coût encore plus élevé : le système ne peut pas effectuer de paiements irréversibles pour des services qui ne sont pas réversibles. La possibilité d’un renversement de situation a créé un besoin de confiance omniprésent. Les commerçants doivent se méfier de leurs clients, les déranger pour qu’ils fournissent plus d’informations qui ne seraient pas nécessaires s’ils ne l’étaient pas (s’ils étaient fiables). Un certain pourcentage de fraude est considéré comme inévitable. Ces coûts et incertitudes de paiement peuvent être évités lorsque les paiements sont effectués directement entre personnes en utilisant de la monnaie physique ; Cependant, il n’existe aucun mécanisme permettant aux deux parties d’effectuer des paiements par le biais de canaux de communication sans que l’une d’entre elles ne soit digne de confiance.
Ce dont nous avons vraiment besoin, c’est d’un système de paiement électronique basé sur des preuves cryptographiques plutôt que sur la confiance, permettant à deux parties d’effectuer des transactions directement sans avoir à faire confiance à un tiers. La transaction irréversible de la garantie de hashrate peut aider les vendeurs à éviter la fraude, et le mécanisme de garantie quotidienne pour protéger les acheteurs est facile à mettre en œuvre. Dans cet article, nous proposerons une solution pour la double dépense, en utilisant un serveur d’horodatage distribué peer-to-peer pour générer des preuves basées sur le taux de hachage qui enregistrent chaque transaction dans l’ordre chronologique. Le système est sécurisé, tant que les nœuds honnêtes ont généralement plus de puissance CPU que les attaquants qui coopèrent les uns avec les autres.
2. Transactions
Nous définissons une monnaie électronique comme une chaîne de signatures numériques. Lorsqu’un propriétaire donne une pièce à une autre personne, il le fait en ajoutant la signature numérique suivante à la fin de la chaîne de signature numérique : le hachage de la transaction précédente et la clé publique du nouveau propriétaire. Le bénéficiaire peut vérifier la propriété de la chaîne de signature numérique en vérifiant la signature.
! [sQZAt4qlbgm150hgxHy4ui11TxFPpIbbi5Z7GUia.jpeg] (https://img.jinse.cn/7126684_watermarknone.png « 7126684 »)
Le problème avec ce chemin est que le destinataire ne peut pas vérifier que personne n’a payé deux fois parmi les propriétaires précédents. Une solution courante consiste à faire appel à une autorité centralisée de confiance, ou « mint », et à lui demander de vérifier s’il y a des doubles dépenses sur chaque transaction. Après chaque transaction, la pièce doit être retournée à la Monnaie, qui émet une nouvelle pièce. De plus, seules les pièces émises directement par la Monnaie sont crédibles et n’ont pas fait l’objet d’un double paiement. Le problème avec cette solution est que le destin de l’ensemble du système monétaire est lié à l’entreprise qui gère la monnaie (comme une banque), et que chaque transaction doit passer par elle.
Nous avions besoin d’un moyen pour le destinataire de confirmer que l’ancien propriétaire n’avait signé aucune transaction précédente. Pour nos besoins, seules les transactions les plus anciennes comptent, nous ne nous soucions donc pas des tentatives de double dépense ultérieures. La seule façon de confirmer qu’une transaction n’existe pas est d’être informé de toutes les transactions. Dans le modèle de la monnaie, la Monnaie est au courant de toutes les transactions et est en mesure de confirmer l’ordre de ces transactions. Afin d’être en mesure d’accomplir cela sans l’intervention d’une « partie de confiance », l’enregistrement de la transaction doit être déclaré publiquement1, et nous avons besoin d’un système qui permet aux participants de s’entendre sur le même historique de transaction unique qu’ils reçoivent. Le bénéficiaire doit prouver qu’au moment de chaque transaction, la majorité des nœuds peuvent convenir qu’elle a été la première à être reçue.
3. Serveur d’horodatage
Cette solution commence par un serveur d’horodatage. Voici comment fonctionne un serveur d’horodatage : il horodate le hachage d’un ensemble d’enregistrements, puis diffuse le hachage, comme le fait un journal, ou comme un message dans un Usenet.2 3 4 5. Évidemment, un horodatage prouve que les données existaient avant ce moment, sinon le hachage n’aurait pas été généré. Chaque horodatage contient un horodatage précédent dans son hachage, formant ainsi une chaîne ; Chaque nouvel horodatage est ajouté après l’horodatage précédent.
! [IkJWI40CL5rPFbmKNx829DpApCPH8JY1zjTQ9neY.jpeg] (https://img.jinse.cn/7126685_watermarknone.png « 7126685 »)
4. Preuve de travail
Afin de mettre en œuvre un serveur d’horodatage distribué basé sur peer-to-peer, nous devons utiliser un système de preuve de travail comme Hash Cash 6 d’Adam Burke, plutôt que quelque chose comme un article de journal ou de groupe de discussion. Ce qu’on appelle la preuve de travail, c’est trouver une valeur ; Pour que cette valeur soit vraie : après avoir extrait une valeur de hachage pour celle-ci (par exemple, en utilisant SHA-256 pour calculer une valeur de hachage), la valeur de hachage doit commencer par un certain nombre de zéros. Chaque exigence supplémentaire de 0 augmente la quantité de travail de manière exponentielle, et la vérification de cette quantité de travail ne nécessite qu’un hachage pour être calculée.
Dans notre réseau d’horodatage, nous implémentons la preuve de travail de la manière suivante : nous continuons à ajouter un nonce à un bloc jusqu’à ce qu’une valeur qui satisfait les conditions soit trouvée ; La condition pour cela est que le hachage du bloc commence par le nombre spécifié de 0. Une fois que le résultat de la consommation de puissance de calcul du processeur satisfait à la preuve de travail, le bloc ne peut plus être modifié à moins que tout le travail précédent ne soit refait. Comme de nouveaux blocs sont ajoutés tout le temps, la modification du bloc actuel signifie la finition de tous les blocs suivants.
! [L5fHgxjJJ6fSYcFToKfNERzgNlhNgUwdgMiNG2N5.jpeg] (https://img.jinse.cn/7126686_watermarknone.png « 7126686 »)
La preuve de travail résout également le problème de savoir qui peut prendre des décisions au nom de la majorité. Si la soi-disant « majorité » est basée sur une approche « une adresse IP, une voix », alors toute personne capable de gérer de nombreuses adresses IP peut être considérée comme une « majorité ». La preuve de travail est essentiellement « un processeur, un vote ». La soi-disant « décision majoritaire » est représentée par la chaîne la plus longue, car c’est la chaîne qui y a fait le plus d’efforts. Si la majorité de la puissance de calcul du processeur est contrôlée par des nœuds honnêtes, alors la chaîne honnête se développera le plus rapidement, et elle sera beaucoup plus rapide que les autres chaînes concurrentes. Afin de modifier un bloc qui a déjà été produit, un attaquant devrait recompléter la preuve de travail pour ce bloc et tous les blocs suivants, puis rattraper et dépasser le travail du nœud honnête. Cet article montre pourquoi la probabilité qu’un attaquant retardé rattrape son retard diminue de manière exponentielle à mesure que le nombre de blocs augmente.
Afin de faire face à l’augmentation de la puissance de calcul du matériel et au nombre de contributions de nœuds qui peuvent changer au fil du temps, la difficulté de la preuve de travail est déterminée par une moyenne mobile du nombre de blocs produits par heure en moyenne. Si le bloc est généré trop rapidement, la difficulté augmentera.
5. Réseau
Les étapes d’exécution du réseau sont les suivantes :
Le nœud pense toujours que la chaîne la plus longue est la bonne et continue d’y ajouter de nouvelles données. Si deux nœuds diffusent simultanément deux versions différentes de « Next Block » sur le réseau, certains nœuds recevront l’une d’entre elles en premier, tandis que d’autres recevront l’autre en premier. Dans ce cas, les nœuds continueront à travailler sur le bloc qu’ils ont reçu en premier, mais enregistreront également l’autre branche au cas où elle deviendrait la chaîne la plus longue. Lorsque la prochaine preuve de travail est trouvée et que l’une des branches devient plus longue, cette divergence temporaire est résolue et les nœuds travaillant sur l’autre branche passent à une chaîne plus longue.
Les nouvelles transactions ne doivent pas nécessairement être diffusées à tous les nœuds. Tant qu’un nombre suffisant de nœuds est atteint, il ne faudra pas longtemps avant que ces transactions ne soient regroupées dans un bloc. Les diffusions de blocs permettent également d’ignorer certains messages. Si un noeud ne reçoit pas de bloc, le noeud se rendra compte qu’il a manqué le bloc précédent lorsqu’il recevra le bloc suivant, et fera une demande de remplacement du bloc manquant.
6. Incitations
Par convention, la première transaction de chaque bloc est une transaction spéciale qui génère une nouvelle pièce et appartient au générateur du bloc. Cela récompense les nœuds pour leur soutien au réseau et leur capacité à mettre des pièces en circulation, dans un système où il n’y a de toute façon pas d’autorité centralisée pour émettre ces pièces. Ainsi, l’ajout constant d’un certain nombre de nouvelles pièces en circulation est comme si les mineurs d’or utilisaient constamment leurs ressources pour ajouter de l’or à la circulation. Dans notre système, les ressources consommées sont le temps de fonctionnement du processeur et l’énergie qu’il utilise.
Les récompenses peuvent également provenir des frais de transaction. Si la valeur de sortie d’une transaction est inférieure à sa valeur d’entrée, la différence est constituée par les frais de transaction ; Les frais de transaction sont utilisés pour récompenser les nœuds qui empaquetent la transaction dans ce bloc. Une fois que le nombre défini de pièces est en circulation, les récompenses seront entièrement couvertes par les frais de transaction, et il n’y aura absolument aucune inflation.
Le mécanisme de récompense peut également encourager les nœuds à être honnêtes. Si un attaquant cupide peut piéger plus de puissance CPU que tous les nœuds honnêtes, il doit faire un choix : doit-il utiliser cette puissance de calcul pour tromper les autres en volant l’argent qu’il a dépensé ? Ou utiliser cette puissance de calcul pour générer de nouvelles pièces ? Il devrait être en mesure de trouver plus rentable de jouer selon les règles, ce qui lui permet maintenant de gagner plus de pièces que tous les autres réunis, ce qui est clairement plus rentable que de détruire secrètement le système et de réduire sa richesse à néant.
7. Récupération d’espace disque
Si la transaction la plus récente d’une pièce a eu lieu avant un nombre suffisant de blocs, l’historique des transactions de dépenses de la pièce avant cette transaction peut être supprimé afin d’économiser de l’espace disque. Afin de le faire sans casser le hachage du bloc, le hachage de l’enregistrement de transaction sera inclus dans une arborescence de Merkle, et seule la racine de l’arborescence sera incluse dans le hachage du bloc. En coupant les branches, les vieux blocs peuvent être compressés. Le hachage interne n’a pas besoin d’être enregistré.
! [GOSWSMEutHTHRctOsFIZ6l0XiCZpQDCytysccOvF.jpeg] (https://img.jinse.cn/7126687_watermarknone.png « 7126687 »)
Un en-tête de bloc sans historique de transaction est d’environ 80 octets. En supposant qu’un bloc est produit toutes les dix minutes, 80 octets multipliés par 6 fois 24 fois 365 équivalent à 4,2 millions par an. En 2008, la plupart des ordinateurs en vente étaient équipés de 2 Go de RAM, et la loi de Moore prédit que 1,2 Go seront ajoutés par an, même si l’en-tête de bloc doit être stocké en mémoire.
8. Confirmation de paiement simplifiée
Il est possible de confirmer les paiements même sans avoir à exécuter un nœud de réseau complet. Tout ce dont l’utilisateur a besoin, c’est d’une copie de l’en-tête de bloc de la chaîne la plus longue avec une preuve de travail — il peut vérifier le nœud en ligne pour confirmer qu’il a la chaîne la plus longue — puis obtenir le nœud de branche de l’arbre de Merkle, qui à son tour se connecte à la transaction lorsque le bloc a été horodaté. L’utilisateur ne peut pas vérifier la transaction lui-même, mais en se connectant à un certain endroit de la chaîne, il peut voir qu’un nœud du réseau a accepté la transaction, et le bloc ajouté par la suite confirme que le réseau a accepté la transaction.
! [ZUtmrmdPnropshOMBHizRFDwDh0pncg5VGNnzWcI.jpeg] (https://img.jinse.cn/7126688_watermarknone.png « 7126688 »)
Tant que les nœuds honnêtes contrôlent toujours le réseau, la vérification est fiable. Cependant, lorsque le réseau est contrôlé par un attaquant, la vérification est moins fiable. Bien que les nœuds du réseau puissent vérifier eux-mêmes les transactions, tant que l’attaquant garde le contrôle du réseau, la méthode de vérification simplifiée peut être trompée par les enregistrements de transactions falsifiés de l’attaquant. L’une des contre-mesures est que le logiciel client accepte les avertissements des nœuds du réseau. Lorsqu’un nœud de réseau trouve un bloc non valide, il envoie une alerte et une notification s’affiche sur le logiciel de l’utilisateur pour l’informer de télécharger le bloc complet et l’avertir de confirmer la cohérence de la transaction. Les commerçants qui proposent des paiements à haute fréquence devraient toujours vouloir exécuter leur propre nœud complet pour garantir une sécurité plus indépendante et une confirmation plus rapide des transactions.
9. Combinaison et division de la valeur
Bien qu’il soit possible de traiter les pièces une par une, il est maladroit de mettre en place un enregistrement séparé pour chaque centime. Pour permettre le fractionnement et la consolidation des valeurs, les transactions contiennent plusieurs entrées et sorties. En général, il s’agit soit d’un seul intrant provenant d’une transaction antérieure relativement importante, soit d’une combinaison de nombreux intrants provenant d’un montant plus petit ; Dans le même temps, il y a au maximum deux sorties : une pour le paiement (au bénéficiaire) et une pour la monnaie (à l’expéditeur) si nécessaire.
! [rRreBWdF8I1swfs5QtBILVrI0guXumj1ulPkbKyu.jpeg] (https://img.jinse.cn/7126689_watermarknone.png « 7126689 »)
Il est important de noter que le « fan-out » n’est pas un problème ici - « fan-out » signifie qu’une transaction dépend de plusieurs transactions, et que ces transactions dépendent de plus de transactions. Il n’est jamais nécessaire d’extraire une copie historique complète et indépendante d’une transaction.
10. Vie privée
Les modèles bancaires traditionnels permettent d’atteindre un certain degré de protection de la vie privée en restreignant l’accès aux informations sur les traders et les tiers de confiance. Cette approche a été rejetée en raison de la nécessité de rendre publics tous les registres des transactions. Cependant, le maintien de la vie privée peut être réalisé en coupant le flux d’informations à un autre endroit – l’anonymat de la clé publique. Le public peut voir qu’untel a transféré une certaine somme d’argent à untel, mais il n’y a aucune information pointant vers une certaine personne. Ce niveau de diffusion d’informations est un peu comme le trading boursier, seuls l’heure et le montant de la transaction individuelle sont annoncés, cependant, personne ne sait qui sont les deux côtés de la transaction.
! [FACNxW4jyufvrE53ONTept7HLlHzayQU9CwIg4eX.jpeg] (https://img.jinse.cn/7126690_watermarknone.png « 7126690 »)
Il y a une autre couche de pare-feu. Les traders doivent activer une nouvelle paire de clés publiques et privées pour chaque transaction afin que personne d’autre ne puisse retracer ces transactions jusqu’au même propriétaire. Certaines transactions à intrants multiples sont encore inévitablement rétroactives, car ces intrants seront inévitablement identifiés comme provenant du même propriétaire. Le danger est que si le propriétaire d’une clé publique est exposé, toutes les autres transactions qui y sont liées seront exposées.
11. Calculs
Imaginons un scénario dans lequel un attaquant tente de générer une chaîne alternative plus rapide que la chaîne honnête. Même s’il réussit, il ne peut pas changer le système, c’est-à-dire qu’il ne peut pas créer de la valeur à partir de rien, et il ne peut pas obtenir de l’argent qui ne lui appartient jamais. Les nœuds de réseau ne traitent pas une transaction non valide comme un paiement, et les nœuds honnêtes n’accepteront jamais un bloc contenant un tel paiement. Au mieux, l’attaquant peut modifier ses propres transactions et essayer de récupérer l’argent qu’il a déjà dépensé.
La rivalité entre la chaîne honnête et l’attaquant peut être décrite par une marche aléatoire binomiale. Un événement de réussite se produit lorsqu’un nouveau bloc vient d’être ajouté à la chaîne honnête, augmentant son avantage de 1, tandis qu’un événement d’échec se produit lorsque la chaîne de l’attaquant vient d’être ajoutée à un nouveau bloc, réduisant l’avantage de la chaîne honnête de 1.
La probabilité qu’un attaquant soit en mesure de rattraper son retard est similaire au problème d’un joueur qui fait faillite. Supposons qu’un joueur avec un nombre illimité de jetons commence avec un déficit et lui permette de miser un nombre illimité de fois, dans le but de combler le déficit qu’il a déjà. Nous pouvons calculer la probabilité qu’il soit finalement en mesure de combler le manque, c’est-à-dire la probabilité que l’attaquant puisse rattraper la chaîne honnête, comme suit :
! [dxwr3HPLYbHZisFnpwH6hIvaudm3FchUzRFXaD7m.jpeg] (https://img.jinse.cn/7126691_watermarknone.png « 7126691 »)
Puisque nous avons supposé que p>,q Étant donné que l’attaquant a besoin de rattraper de plus en plus de blocs, la probabilité de succès diminue de manière exponentielle. Si l’attaquant n’a pas la chance de faire un bond en avant dès le début, son taux de victoire sera anéanti tandis qu’il prendra encore plus de retard.
Considérez maintenant combien de temps le destinataire d’une nouvelle transaction devra attendre pour être pleinement certain que l’expéditeur ne peut pas modifier la transaction. Nous supposons que l’expéditeur est un attaquant qui tente de convaincre le bénéficiaire qu’il a payé le paiement pendant un certain temps, puis de se transférer l’argent à lui-même. Lorsque cela se produit, le destinataire recevra bien sûr un avertissement, mais l’expéditeur espère que le bateau en bois est déjà dans le bateau.
Le destinataire crée une nouvelle paire de clés publiques et privées, puis communique les clés publiques à l’expéditeur peu de temps avant de signer. Cela permet d’éviter une situation où l’expéditeur prépare un bloc sur la chaîne à l’avance avec un calcul continu, et a la chance d’être suffisamment en avance pour exécuter la transaction jusque-là. Une fois que l’argent a été envoyé, l’expéditeur malhonnête commence à travailler secrètement sur une autre parachain, en essayant d’y ajouter une version inversée de la transaction.
Le bénéficiaire attend que la transaction soit emballée dans un bloc, et il y a déjà z blocs qui ont été ajoutés par la suite. Il ne sait pas exactement à quel point les attaquants s’en sortent, mais il peut supposer que les blocs honnêtes passent un temps moyen dans le processus de génération de chaque bloc ; La progression potentielle d’un attaquant est conforme à une loi de Poisson, avec une valeur attendue de :
! [Go4WNHNh1YtPsMqjI2XbNCMTnITJUIl9w8LqM6yj.jpeg] (https://img.jinse.cn/7126692_watermarknone.png « 7126692 »)
Pour calculer la probabilité qu’un attaquant puisse encore rattraper son retard, nous devons multiplier la densité de probabilité de la distribution de Parzon pour le nombre de blocs que l’attaquant doit rattraper par la probabilité qu’il puisse rattraper son retard s’il est derrière ce nombre de blocs :
! [5O3ugdwP0uoNL0qOnvLbnUvNTXGMBmxJj4yS00y3.jpeg] (https://img.jinse.cn/7126694_watermarknone.png « 7126694 »)
Convertir en programme C...
! [XjwW5ZbFNIZCfiPFAnbg7b4iW4qp9A8g1LFKe2f2.jpeg] (https://img.jinse.cn/7126698_watermarknone.png « 7126698 »)
En prenant certains des résultats, nous pouvons voir que la probabilité diminue exponentiellement à mesure que z augmente :
! [452fZL5ude7CUuUz85STQEcvquwOCHxhZ3pEhKRc.jpeg] (https://img.jinse.cn/7126700_watermarknone.png « 7126700 »)
Si P est inférieur à 0,1%...
! [zfsBufXK54KjstagaZXrPOUREzaoQU7VPy9eYjjX.jpeg] (https://img.jinse.cn/7126701_watermarknone.png « 7126701 »)
12. conclusion
Nous proposons un système de négociation électronique qui n’a pas à reposer sur la confiance ; Le point de départ est un cadre de pièce de monnaie simple qui utilise des signatures numériques, et bien qu’il offre un contrôle de propriété robuste, il ne peut pas éviter les doubles dépenses. Pour résoudre ce problème, nous proposons un réseau peer-to-peer qui utilise un mécanisme de preuve de travail pour enregistrer un historique de transaction public, et tant que le nœud honnête peut contrôler la majorité de la puissance de calcul du processeur, il est impossible pour un attaquant de réussir à altérer le système en termes de puissance de calcul uniquement. La robustesse de ce réseau réside dans sa simplicité non structurée. Les nœuds peuvent fonctionner simultanément en un instant avec peu de collaboration. Ils n’ont même pas besoin d’être reconnus, car le chemin du message ne dépend pas d’une destination spécifique ; Les messages ne doivent être diffusés que dans la mesure du possible. Les nœuds vont et viennent librement, et lorsqu’ils se rejoignent, ils n’ont qu’à accepter la chaîne de preuve de travail comme preuve de tout ce qui s’est passé pendant qu’ils étaient hors ligne. Ils votent sur la puissance de leur processeur, et ils indiquent qu’ils acceptent les transactions valides en ajoutant constamment de nouveaux blocs valides à la chaîne et en rejetant les blocs invalides. Toutes les règles et récompenses nécessaires peuvent être appliquées par le biais de ce mécanisme de consensus.
Références