Bằng chứng công việc có thể kiểm tra được xác suất không?

Tôi đã rình rập một lúc; Đây là bài viết đầu tiên của tôi ở đây. Tôi xin lỗi nếu câu hỏi của tôi không đúng định dạng hoặc định dạng kém. Câu hỏi này xuất phát từ một số ý tưởng trong một câu hỏi khác từ một trang web chị em.

Câu hỏi

Do bản chất của blockchain, một số lượng lớn các đồng xu có thể được công khai có thể được tạo ra - cụ thể là, các giá trị băm của các khối trước đó có thể được mạng đồng ý rút ra ngẫu nhiên từ . $\{0,1\}$

Theo đó, có ai đã cố gắng tạo ra một giải pháp cho Vấn đề của các tướng của Byzantine cho một blockchain, trong đó một bằng chứng công việc là một vấn đề quyết định trong hoặc , và bằng chứng được kiểm tra một cách xác suất , sử dụng băm của các khối trước đó làm đồng xu công khai lật? $NEXP$ $PSPACE$

Động lực

Tôi đã thấy các cuộc thảo luận trực tuyến đang cố gắng làm cho một bằng chứng hoạt động cho tiền điện tử "tốt hơn", ví dụ, bằng cách tìm kiếm các nhân chứng cho các vấn đề . $NP$

Một người hoạt động tìm thấy một nhân chứng cho một vấn đề có thể công khai công khai nhân chứng để chứng minh rằng cô ấy đã làm việc. $NP$

Nếu có một nhóm vấn đề chung, tĩnh , ví dụ của các tập hợp con của thành phố lớn nhất trên trái đất, sau đó thông báo nhân chứng cho khối an toàn có nghĩa là bất kỳ ai cũng có thể lấy nhân chứng đó và gắn tác phẩm vào chuỗi khác, điều này không bảo đảm chuỗi. $NP$ $TSPs$ $n$ $i$

Nếu xác minh là bằng chứng không có kiến thức, thế giới (ngoài người hoạt ngôn) có thể không bao giờ cần biết nhân chứng thực sự là gì.

Tuy nhiên, như những người khác lưu ý, vì tiền điện tử là hệ thống ngang hàng không đáng tin cậy, cố gắng giữ cho nhân chứng không có kiến thức như vậy có thể khó khăn trong một hệ thống ngang hàng không tin cậy.

Ví dụ: nếu một người hoạt động tìm ra giải pháp cho một trong những vấn đề từ nhóm tĩnh và thông báo bằng chứng , cô ấy vẫn có thể bị cám dỗ bán nhân chứng của mình cho kẻ lừa đảo nếu giá cả phù hợp. Kẻ lừa đảo đó có thể gắn công việc vào một chuỗi lừa đảo khác. $TSP$ $ZKP$

Nhân chứng cho một vấn đề có thể không bảo mật một blockchain, đó là một trong những mục đích của một bằng chứng công việc. $NP$

Đề xuất tương tự

Chuyển đổi không gian vấn đề từ nhóm vấn đề tĩnh sang nhóm vấn đề động có thể giúp ích và tôi đã thấy một đề xuất rằng, tôi nghĩ, tự động tạo ra các vấn đề đẳng cấu đồ thị dưới dạng chứng minh công việc. Tuy nhiên, theo như tôi có thể nói, đề xuất trên xác minh nhân chứng một cách xác định. $NP$

Tôi cũng đã thấy những nỗ lực sử dụng PCP để xác minh các tính toán thuê ngoài, mặc dù tôi không nghĩ rằng công việc thuê ngoài được kết nối với một blockchain tiền điện tử. Có lẽ công việc đó đến gần.

Lịch sử

Trong [GMR85] , các tác giả giới thiệu các hệ thống bằng chứng tương tác. Trong [GS86] , các tác giả cho thấy một giao thức tiền công khai cho biểu đồ không biến dạng. Trong [Sha91] , tác giả chứng minh . $IP=PSPACE$

Trong [BFL91] , các tác giả chứng minh rằng . Trong [BFLS91] , các tác giả đã hình dung việc mở rộng những ý tưởng đó để chuyển đổi các bằng chứng toán học chính thức thành các bằng chứng minh bạch có thể kiểm tra được trong thời gian đa thê. $MIP=NEXP$

Trong [AS92] , các tác giả đã mô tả các tác phẩm trên là ngụ ý rằng các báo cáo toán học có thể được kiểm tra theo thời gian đa bội bằng cách chỉ đọc các bit trong một bằng chứng về định lý số học Peano, với một bằng chứng về kích thước (chúng đã giảm đến số bit sublogarithmic và được giảm đồng thời thành các truy vấn trong định lý PCP được sắp xếp sẵn). $poly(logn)$ $n$ $O(1)$

EG, trích dẫn từ [AS92] , họ hình dung các tuyên bố:

{(T, 1^{n}) : T i s a t h e o r e m o f P e a n o a r i t h m e t i c w i t h a p r o o f o f s i z e \leq n}

$\{(T,1^n):T\:is\:a\:theorem\:of\:Peano\:arithmetic\:with\:a\:proof\:of\:size\:\leq n\}$

như các ngôn ngữ trong , với các nhân chứng có thể được kiểm tra xác suất với số lượng bit con. $NP$

Lưu ý rằng không thể xác định được mối quan hệ dễ dàng giữa, độ dài của định lý đã chứng minh, với , kích thước của chứng minh. Báo cáo chứng minh đơn giản có thể có bằng chứng dài, hoặc tuyên bố chứng minh dài có thể có bằng chứng ngắn. $|T|$ $|\pi|=n$

Đó là, theo Định lý không đầy đủ, phát triển nhanh hơn bất kỳ hàm tính toán nào của. Theo đó, người ta có thể xem xét một phiên bản giới hạn ở trên, giả sử và tìm các bằng chứng kích thước theo cấp số nhân của các định lý nhỏ. Do đó, các tuyên bố như: $n$ $|T|$ $n=O(exp |T|)$

{(T, 1^{n}) : T i s a t h e o r e m o f P e a n o a r i t h m e t i c w i t h a p r o o f o f s i z e O (e x p (| T |))}

$\{(T,1^n):T\:is\:a\:theorem\:of\:Peano\:arithmetic\:with\:a\:proof\:of\:size\:O(exp(|T|))\}$

có thể được xem là ngôn ngữ trong , với đầu vào có kích thước. $NEXP$ $|T|$

[AS92] tuyên bố, chúng tôi nghi ngờ kết quả này phần lớn là về lợi ích lý thuyết (trái ngược với thực tế) (nhấn mạnh thêm.)

Trong [Kil92] , tác giả mô tả một người hoạt động cam kết bằng chứng xác thực có thể kiểm tra được là gốc Merkle của cây và trả lời các câu hỏi công khai về bit của bằng chứng bằng cách tiết lộ đường dẫn của đến gốc Merkle được cam kết công khai. $\pi$ $i$ $i$

Trong [Nak08] giải pháp của tác giả về vấn đề của các tướng Byzantine đòi hỏi phải có bằng chứng công việc.

Bằng chứng công việc trong [Nak08] liên quan đến việc đảo ngược một phần băm mật mã - ví dụ, được đưa ra một hàm băm mật mã , một khối và (gốc Merkle của) giao dịch tài chính , tìm một số non sao cho bắt đầu bằng một số hàng đầu . $h(x)\in\{0,1\}^N,x\in\{0,1\}^*$ $i\in\mathbb{N}$ $B_i\in\{0,1\}^N$ $n$

h (n ‖ B_{i})

$h(n\Vert B_i)$

d

$d$

0 s

$0s$

Các proof-of-làm việc tại [Nak08] có một số lợi thế - nó đóng chặt các giao dịch, dựa trên băm SHA256 cũng như thành lập ( ), vv Các khó khăn trong việc tìm kiếm một nonce phát triển như cho một số . Các proof-of-làm việc tại [Nak08] là ngay lập tức checkable bởi tất cả các nút trong thời gian , và xác minh là rất nhanh. $N=256$ $O(2^{kd})$ $k$ $O(d)$

Tương tự như vậy, có thể có những bất lợi khi đảo ngược một phần SHA256 - rất nhiều năng lượng được dành cho một vấn đề thực chất là một câu đố ngẫu nhiên, hơi giả tạo. Ngoài ra, tất cả những người cố gắng chứng minh công việc đều đang làm việc với cùng một vấn đề , trong khi đó sẽ có một "người chiến thắng".

Ví dụ

NEXP

Hãy xem xét, đối với khối , một người hoạt động cam kết với một gốc Merkle, như trong [Kil92] , bằng chứng của một số câu của số học Peano ở định dạng có thể kiểm tra được, như trong [AS92] . Cô ấy có thể sử dụng trong chứng minh các tiên đề Peano và các quy tắc suy luận khác. Cô cũng có thể sử dụng các định lý khác đã được chứng minh trong các khối trước đó như các bổ đề để tăng tốc độ chứng minh định lý của chính mình. Công cụ khai thác đầu tiên công bố bằng chứng về các tuyên bố trong đó cho một số ngưỡng khó "thắng" khối. $i$ $\pi$ $T$ $\sum2^{-|T|}>d$ $d$

Sau đó, cô sử dụng hàm băm của khối làm các đồng xu ngẫu nhiên được sử dụng bởi trình xác minh trong [Kil92] để truy vấn các bit của . $i-1$ $O(1)$ $\pi$

Là phần thưởng cho việc khai thác của cô, cô được cấp một khoản tiền lãi là đơn vị tiền tệ. Do đó, cô được khuyến khích tìm ra bằng chứng về các định lý nhỏ (vì chúng có giá trị hơn). $\sum2^{-|T|}$

Điều này cũng giữ cho tổng số tiền tệ được đúc hữu hạn, và giới hạn dưới đây tôi nghĩ là (vì tất cả các công thức được hình thành tốt là đúng và là sai và không phải tất cả chúng đều có thể được chứng minh.) $1/2$ $1/2$ $1/2$

Tôi cũng nghĩ rằng điều này khuyến khíchchỉ phát triển dưới dạng , trong đó là số khối, bởi vì các thợ mỏ chỉ nhìn vào các câu lệnh nhỏ hơn. $|T|$ $O(log\:i)$ $i$

Điều này cũng cho thấy rằng một người khai thác chứng minh tuyên bố cũng có thể thông báo và , v.v., và vẫn chỉ được thưởng đơn vị tiền tệ. $T$ $\sim\sim T$ $\sim\sim\sim\sim T$ $2^{-O(|T|)}$

Cuối cùng, thế giới có thể biết rằng một số tuyên bố nhỏ về số học Peano là đúng, mặc dù không ai hoặc người khai thác có thể có quyền truy cập vào toàn bộ bằng chứng. Một số thợ mỏ có thể đã chứng minh các bổ đề cá nhân, được sử dụng bởi những người khác để kết thúc bằng chứng. Những người khai thác khác có thể không bao giờ cần phải xác minh bằng chứng của họ một cách xác định.

PSPACE

Một ví dụ khác cho một bằng chứng công việc, hãy xem xét thêm một số công thức Boolean được định lượng ngẫu nhiên ( ) vào một nhóm các vấn đề mở. Giả sử, khi khai thác khối , gặp sự cố với trung bình đen được sinh ra và thêm vào nhóm pool. $QBF$ $i$ $O(1)$ $QBF$ $l=O(log\:i)$

Các vấn đề được thêm vào nhóm có thể được tạo ngẫu nhiên dựa trên hàm băm của các khối trước đó.

Các máy chủ (thợ mỏ) cạnh tranh để tìm ra bằng chứng chứng minh rằng một hoặc nhiều vấn đề trong hồ bơi trực tuyến là đúng hay sai. Câu tục ngữ đầu tiên tìm thấy một số báo cáo trong "nhóm" sẽ giành được lợi nhuận khai thác. Khi tìm thấy một bằng chứng, một người hoạt động tham gia vào một bằng chứng tương tác tiền công khai về sự thật hoặc giả dối của các tuyên bố mà họ đã chứng minh. Tôi nghĩ rằng họ có thể tham gia vào heuristic Fiat-Shamir trong bằng chứng được công bố của họ. $d$

Các nhà cung cấp không nhất thiết phải chứng minh rằng các vấn đề được sinh ra gần đây nhất là đúng hay sai, chỉ có một số vấn đề trong nhóm là đúng hoặc sai. Ví dụ, một vấn đề được thêm hoặc khối trước đây vẫn có thể được xử lý và chứng minh cho khối này. $10$ $100$

Do đó, một vấn đề đã xảy ra trong nhóm pool trong một thời gian dài sẽ biểu hiện thành một vấn đề khó khăn hơn bởi vì đó là vấn đề trong hồ bơi vì lâu hơn.

Các provers có thể được thưởng đơn vị tiền tệ. Do đó, có một sự khuyến khích để tìm QBF thực sự với số lượng chữ ít hơn. Điều này cũng giữ cho tổng số tiền tệ hữu hạn. Bởi vì một số QBF có số lượng lớn chữ có thể dễ hơn các chữ khác với số lượng chữ nhỏ, nên các thợ mỏ có thể dễ dàng xử lý các vấn đề mới được thêm vào, dễ dàng hơn với số lượng lớn hơn so với các vấn đề cũ hơn, khó hơn với số lượng ít hơn bằng chữ, mặc dù lợi nhuận có thể thấp hơn. $2^{-l}$

Không giống như đảo ngược SHA, và không cần phải làm việc trên cùng một vị trí cùng một lúc. Bất cứ ai tìm thấy bằng chứng trước tiên chỉ công bố bằng chứng của mình, dựa vào các bit ngẫu nhiên từ hàm băm của khối trước để xác minh xác suất. Người thua cuộc cho khối này vẫn có thể tiếp tục tìm kiếm bằng chứng của mình và có thể giành chiến thắng trong vòng tiếp theo. $P_1$ $P_2$

Vì có thể được coi là trò chơi giữa và , khai thác có thể được coi là trò chơi giải quyết. Cuối cùng, thế giới có thể phát hiện ra rằng cờ vua (hoặc bất kỳ trò chơi nào) đã được giải quyết. Tuy nhiên, không ai prover có quyền truy cập vào toàn bộ bằng chứng, bởi vì không ai prover sẽ có thể lưu trữ toàn bộ bằng chứng. $PSPACE$ $\exists$ $\forall$

Người giới thiệu

[AS92] S. Arora, S. Safra. Kiểm tra bằng chứng xác suất: Một đặc tính mới của NP. liên kết

[BFL91] L. Babai, L. Fortnow và C. Lund. Thời gian theo cấp số nhân không xác định có bằng chứng tương tác hai prover. liên kết

[BFLS91] L. Babai, L. Fornow, L. Levin và M. Szegedy. Kiểm tra tính toán trong thời gian polylogarithmic. liên kết

[GMR85] S. Goldwasser, S. Micali, C. Rackoff. Sự phức tạp về kiến thức của bằng chứng tương tác. liên kết

[GS86] S. Goldwasser, M. Sipser. Tiền riêng so với tiền công trong hệ thống bằng chứng tương tác. liên kết

[Kil92] J. Killian. Một lưu ý về bằng chứng và lập luận không kiến thức hiệu quả. liên kết

[Nak08] S. Nakomoto. Bitcoin: một hệ thống tiền mặt điện tử ngang hàng. liên kết

[Sha92] IP = liên kết PSPACE

complexity-theory np hash proof-of-work

— Điểm
nguồn

Tôi hoàn toàn không hiểu phần động lực (nếu nhân chứng được thực hiện rất lớn nên phải mất một thời gian dài để chuyển cho người nhận trái phép, sẽ mất nhiều thời gian để chuyển cho người nhận hợp pháp, vì vậy dường như mọi người đều mất ). Nếu bạn muốn một bằng chứng không thể chuyển nhượng, tôi khuyên bạn nên đọc về bằng chứng tương tác, bằng chứng không có kiến thức và những thứ tương tự. Điều đó nói rằng, tôi không thấy lý do tại sao có thể kiểm tra xác suất so với kiểm tra xác định nhất thiết sẽ giúp giải quyết vấn đề về khả năng chuyển nhượng, vì vậy điều này nghe có vẻ như là một vấn đề XY đối với tôi.

— DW

Tôi có một chút bối rối bởi một số nhận xét ở đây. Tôi không chắc làm thế nào để diễn giải "cố gắng giữ nhân chứng bằng không - kiến thức có thể khó khăn", hoặc điều đó có nghĩa là gì (nếu không có gì có thể được giữ bí mật, phần lớn mật mã là vô dụng). Tôi nghi ngờ bước đầu tiên của bạn là xác định một vấn đề cụ thể mà bạn đang cố gắng giải quyết và xác định mô hình mối đe dọa (tìm hiểu xem bạn đã có đinh hay ốc vít, trước khi đi mua búa). Tôi cũng không hoàn toàn chắc chắn làm thế nào để diễn giải các tham chiếu đến "bổ đề" trong bối cảnh bằng chứng công việc, mặc dù có lẽ đó chỉ là sự thiếu trí tưởng tượng của tôi.

— DW

Tôi đã không dành thời gian để đọc qua câu hỏi của bạn, nhưng bạn có thể quan tâm đến bài viết này. giao

— hàng.acm.org / 10.1145/3140000/3132757 / từ

Tôi tin rằng câu trả lời cho câu hỏi là, cho tất cả ý định và mục đích, "vâng, ý tưởng này đang được khám phá trong [BRSV17] ( liên kết )."

Ví dụ: đưa ra hai tập hợp và của vectơ -chiều với , bài toán Orthogonal vectơ là tìm một vectơ và sao cho . Điều này có thể được mở rộng cho một vấn đề . $S$ $T$ $d$ $|S|=|T|=n$ $2$ $\text{(2OV)}$ $\sigma\in S$ $\tau\in T$ $\langle\sigma,\tau\rangle=0$ $\text{kOV}$

Trong [BRSV17] , các tác giả chỉ ra cách chuyển đổi vấn đề thành giao thức Merlin-Arthur có thể được mở rộng thành Bằng chứng công việc hữu ích và mở rộng vấn đề sang Bằng chứng tương tác -round. $\text{2-OV}$ $k$

Các tác giả thực hiện điều này bằng cách chuyển đổi vấn đề thành giao thức Sum Check để xác định giá trị của đa thức trên một trường tại một điểm ngẫu nhiên . Giao thức Sum Check là tiền thân của các giao thức [Sha92] , [BFL91] và [BFLS91] . $\text{GOV}$ $\mathbb{F}$ $x\in\mathbb{F}$

Các tác giả tiếp tục tiết lộ một blockchain bao gồm Proof of Work Work, trong đó các nhà cung cấp thêm các vấn đề vào một nhóm chung và các thợ mỏ theo dõi heuristic Fiat-Shamir để xây dựng bản sao bằng chứng tương tác. Các công cụ khai thác xác định điểm ngẫu nhiên bằng cách tạo muối băm của khối trước đó với các hệ số của giao thức Sum Check. $\text{kOV}$ $x$

Các tác giả tiếp tục mô tả rằng vấn đề có liên quan đến vấn đề và vấn đề . $\text{kOV}$ $\text{APSP}$ $\text{3SUM}$

Tôi nghi ngờ công việc này có thể là một bàn đạp cho những ý tưởng khác?

Tài liệu tham khảo

[BRSV17] M. Ball, A. Rosen, M. Sabin và PN Vasedevan. Bằng chứng về công việc hữu ích. 2017

PS Tôi không chắc liệu LaTeX của tôi có phù hợp với KOV, APSP, 3SUM, v.v.

— Điểm
nguồn