Können Arbeitsnachweise wahrscheinlich überprüfbar sein?

Ich habe eine Weile gelauert; Dies ist mein erster Beitrag hier. Es tut mir leid, wenn meine Frage schlecht formuliert oder schlecht formatiert ist. Diese Frage entstand aus einigen Ideen in einer anderen Frage von einer Schwesterseite.

Frage

Aufgrund der Natur einer Blockchain kann eine große Anzahl von öffentlich akzeptablen Münzwürfen erzeugt werden - nämlich, dass die Hashes der vorherigen Blöcke vom Netzwerk vereinbart werden können, aus dem zufällig gezogen wird $\{0,1\}$ .

Dementsprechend hat jemand versucht, eine Lösung für das Problem der byzantinischen Generäle für eine Blockchain zu schaffen, bei der ein Arbeitsnachweis ein Entscheidungsproblem darstellt $NEXP$ oder $PSPACE$ und der Beweis wird probabilistisch überprüft , wobei Hashes früherer Blöcke als öffentliche Münzwürfe verwendet werden?

Motivation

Ich habe Online-Diskussionen gesehen, in denen versucht wurde, einen Arbeitsnachweis für Kryptowährungen "besser" zu machen, indem beispielsweise Zeugen gefunden wurden $NP$ Probleme.

Ein Prüfer, der einen Zeugen für einen findet $NP$ Das Problem kann die Zeugin öffentlich bekannt geben, um zu beweisen, dass sie die Arbeit getan hat.

Wenn es einen gemeinsamen statischen Pool von $NP$ Probleme, sagen wir $TSPs$ von Teilmengen der $n$ größte Städte der Erde, dann kündigt der Zeuge an, Block zu sichern $i$ bedeutet, dass jeder denselben Zeugen nehmen und die Arbeit an einer anderen Kette befestigen kann, die die Kette nicht sichert.

Wenn die Überprüfung ein Beweis ohne Wissen wäre, müsste die Welt (abgesehen vom Prüfer) möglicherweise nie wissen, was der Zeuge tatsächlich war.

Wie von anderen angemerkt, kann es in einem vertrauenswürdigen Peer-to-Peer-System schwierig sein, einen solchen Zeugen ohne Wissen zu halten, da Kryptowährungen vertrauenswürdige Peer-to-Peer-Systeme sind.

Zum Beispiel, wenn ein Prüfer eine Lösung für eine der folgenden Fragen findet $TSP$ Probleme aus einem statischen Pool und kündigt a $ZKP$ Als Beweis könnte sie immer noch versucht sein, ihr Zeugnis an einen Betrüger zu verkaufen, wenn der Preis stimmt. Dieser Betrüger kann die Arbeit an eine andere betrügerische Kette anhängen.

Der Zeuge eines $NP$ Das Problem sichert möglicherweise keine Blockchain, was einer der Zwecke eines Arbeitsnachweises ist.

Geschichte

In [GMR85] stellen die Autoren interaktive Proofsysteme vor . In [GS86] zeigen die Autoren ein öffentliches Münzprotokoll für Graph-Nonisomorphismus. In [Sha91] beweist der Autor $IP=PSPACE$ .

In [BFL91] beweisen die Autoren dies $MIP=NEXP$ . In [BFLS91] wollten die Autoren diese Ideen dahingehend erweitern, dass formale mathematische Beweise in transparente Beweise umgewandelt werden, die in polylogarithmischer Zeit überprüfbar sind.

In [AS92] charakterisierten die Autoren die obigen Arbeiten als implizierend, dass mathematische Aussagen in polylogarithmischer Zeit nur durch Lesen überprüft werden können $poly(logn)$ Bits in einem Beweis eines Satzes der Peano-Arithmetik mit einem Beweis der Größe $n$ (die sie auf eine sublogarithmische Anzahl von Bits reduzierten und gleichzeitig auf reduzierten $O(1)$ Abfragen im heiligen PCP-Theorem).

EG, zitiert aus [AS92] , stellen sie sich Aussagen vor:

{(T, 1^{n}) : T i s a t h e o r e m o f P e a n o a r i t h m e t i c w i t h a p r o o f o f s i z e \leq n}

$\{(T,1^n):T\:is\:a\:theorem\:of\:Peano\:arithmetic\:with\:a\:proof\:of\:size\:\leq n\}$

als Sprachen in $NP$ mit Zeugen, die mit einer sublogarthmischen Anzahl von Bits probabilistisch überprüft werden können.

Beachten Sie, dass es unentscheidbar ist, eine einfache Beziehung zwischen zu finden $|T|$ bewies die Länge des Satzes mit $|\pi|=n$ , die Größe des Beweises. Einfache nachweisbare Aussagen können lange Beweise haben, oder lange nachweisbare Aussagen können kurze Beweise haben.

Das heißt, nach dem Unvollständigkeitssatz, $n$ wächst schneller als jede berechenbare Funktion von $|T|$ . Dementsprechend kann man beispielsweise eine beschränkte Version des Obigen betrachten $n=O(exp |T|)$ und finde exponentielle Größenbeweise kleiner Theoreme. Aussagen wie:

{(T, 1^{n}) : T i s a t h e o r e m o f P e a n o a r i t h m e t i c w i t h a p r o o f o f s i z e O (e x p (| T |))}

$\{(T,1^n):T\:is\:a\:theorem\:of\:Peano\:arithmetic\:with\:a\:proof\:of\:size\:O(exp(|T|))\}$

kann als Sprachen in angesehen werden $NEXP$ , mit Eingaben von Größe $|T|$ .

[AS92] stellt fest, dass „wir vermuten, dass dieses Ergebnis größtenteils von theoretischem (im Gegensatz zu praktischem) Interesse ist“ (Hervorhebung hinzugefügt).

In [Kil92] beschreibt der Autor einen Prüfer, der sich zu einem wahrscheinlich überprüfbaren Beweis verpflichtet $\pi$ als Merkle-Wurzel eines Baumes und Beantwortung öffentlicher Fragen zu Bit $i$ des Beweises durch Aufdeckung des Weges von $i$ an die öffentlich engagierte Merkle-Wurzel.

In [Nak08] erfordert die Lösung des Problems der byzantinischen Generäle durch den Autor die Anforderung von Arbeitsnachweisen.

Der Proof-of-Work in [Nak08] beinhaltet das teilweise Invertieren kryptografischer Hashes - beispielsweise bei einem kryptografischen Hash $h(x)\in\{0,1\}^N,x\in\{0,1\}^*$ , Ein Block $i\in\mathbb{N}$ und (eine Merkle-Wurzel von) Finanztransaktionen $B_i\in\{0,1\}^N$ , eine Nonce finden $n$ so dass

h (n ‖ B_{i})

$h(n\Vert B_i)$ beginnt mit einer Zahl führender .

d

$d$

0 s

$0s$

Der Arbeitsnachweis in [Nak08] hat einige Vorteile: Er sichert die Transaktionen, indem er sich auf den gut etablierten SHA256-Hash ( ) usw. stützt . Die Schwierigkeit, eine Nonce zu finden, wächst mit für einige . Die Proof-of-Arbeit in [Nak08] ist sofort überprüfbar von allen Knoten in der Zeit und die Überprüfung ist sehr schnell. $N=256$ $O(2^{kd})$ $k$ $O(d)$

Ebenso kann das teilweise Invertieren von SHA256 Nachteile haben - es wird viel Energie für ein Problem aufgewendet, das im Wesentlichen ein zufälliges, etwas künstliches Rätsel ist. Darüber hinaus arbeiten alle , die den Proof-of-Work versuchen, an demselben Problem , während es einen "Gewinner" gibt.

Beispiele

NEXP

Betrachten Sie für Block einen Beweis , der sich wie in [Kil92] auf eine Merkle-Wurzel einlässt , für einen Beweis einer Aussage der Peano-Arithmetik in einem probabilistisch überprüfbaren Format wie in [AS92] . Sie kann im Beweis die Peano-Axiome und andere Folgerungsregeln verwenden. Sie kann auch andere Theoreme verwenden, die in früheren Blöcken als Deckspelzen bewiesen wurden, um den Beweis ihres eigenen Theorems zu beschleunigen. Der erste Bergmann, der Beweise für Aussagen ankündigt, bei denen für einen Schwierigkeitsschwellenwert den Block "gewinnt". $i$ $\pi$ $T$ $\sum2^{-|T|}>d$ $d$

Sie verwendet dann den Hash von Block als zufällige Münzwürfe, die vom Verifizierer in [Kil92] verwendet werden , um Bits von abzufragen . $i-1$ $O(1)$ $\pi$

Als Belohnung für den Bergbau erhält sie einen Gewinn von Währungseinheiten. Daher wird sie ermutigt, Beweise für kleine Theoreme zu finden (da sie mehr wert sind). $\sum2^{-|T|}$

Dies hält auch den Gesamtbetrag der geprägten Währung endlich und wird unten durch (weil aller wohlgeformten Formeln wahr und falsch sind und nicht alle bewiesen werden können). $1/2$ $1/2$ $1/2$

Ich denke auch, dass dies ermutigt nur als wachsen , wobei die Blocknummer ist, da Bergleute nur kleinere Anweisungen betrachten. $|T|$ $O(log\:i)$ $i$

Dies zeigt auch, dass ein Bergmann, der eine Aussage beweist, auch und usw. ankündigen kann und trotzdem nur belohnt wird Währungseinheiten. $T$ $\sim\sim T$ $\sim\sim\sim\sim T$ $2^{-O(|T|)}$

Schließlich kann die Welt erfahren, dass eine kleine Aussage der Peano-Arithmetik wahr ist, obwohl möglicherweise keine Person oder kein Bergmann Zugriff auf den gesamten Beweis hat. Einige Bergleute haben möglicherweise einzelne Deckspelzen nachgewiesen, die von anderen verwendet werden, um den Beweis abzuschließen. Diese anderen Bergleute müssen ihre Beweise möglicherweise nie deterministisch überprüfen lassen.

PSPACE

Als weiteres Beispiel für einen Arbeitsnachweis sollten Sie eine Reihe zufällig erzeugter quantifizierter Boolescher Formeln ( ) zu einem „Pool“ offener Probleme hinzufügen . Angenommen, beim Mining von Block werden Probleme mit einem Durchschnitt von -Literalen erzeugt und dem "Pool" hinzugefügt. $QBF$ $i$ $O(1)$ $QBF$ $l=O(log\:i)$

Die dem Pool hinzugefügten Probleme können basierend auf dem Hash der vorherigen Blöcke zufällig generiert werden.

Prüfer (Bergleute) konkurrieren um Beweise dafür, dass eines oder mehrere der Probleme im „Pool“ wahr oder falsch sind. Der erste Prüfer, der eine Anzahl von Aussagen im "Pool" findet, gewinnt den Bergbaugewinn. Wenn ein Prüfer einen Beweis gefunden hat, führt er einen interaktiven öffentlichen Beweis der Wahrheit oder Falschheit der Aussagen durch, die er bewiesen hat. Ich denke, sie können sich in ihrem angekündigten Beweis auf die Fiat-Shamir-Heuristik einlassen. $d$

Prüfer müssen nicht unbedingt nachweisen, dass die zuletzt aufgetretenen Probleme wahr oder falsch sind, sondern nur, dass einige der Probleme im Pool wahr oder falsch sind. Beispielsweise kann ein Problem, das vor oder Blöcken hinzugefügt wurde, noch bearbeitet und für diesen Block bewiesen werden. $10$ $100$

Daher wird sich ein Problem, das lange Zeit „im Pool“ war, als schwierigeres Problem manifestieren, da es länger „im Pool“ war.

Die Prüfer können mit Währungseinheiten belohnt werden . Daher gibt es eine Ermutigung, echte QBFs mit einer geringeren Anzahl von Literalen zu finden. Dies hält auch die Gesamtwährung endlich. Da einige QBFs mit einer großen Anzahl von Literalen möglicherweise einfacher sind als andere mit einer kleinen Anzahl von Literalen, ist es für Bergleute möglicherweise einfacher, an neu hinzugefügten, einfacheren Problemen mit einer größeren Anzahl von Literalen zu arbeiten als ältere, schwierigere Probleme mit einer geringeren Anzahl von Literalen, obwohl der Gewinn niedriger sein kann. $2^{-l}$

Im Gegensatz zum Invertieren von SHA müssen die Prüfer und nicht gleichzeitig an derselben Position arbeiten. Wer zuerst einen Beweis findet, kündigt lediglich seinen Beweis an und verlässt sich auf die zufälligen Bits aus dem Hash des vorherigen Blocks, um die Wahrscheinlichkeit zu überprüfen. Die Verliererin für diesen Block kann weiterhin nach ihrem Beweis suchen und die nächste Runde gewinnen. $P_1$ $P_2$

Da als Spiele zwischen und , kann Mining als Lösen von Spielen betrachtet werden. Schließlich kann die Welt herausfinden, dass Schach (oder welches Spiel auch immer) gelöst ist. Kein Prüfer hat jedoch Zugriff auf den gesamten Beweis, da kein Prüfer den gesamten Beweis speichern kann. $PSPACE$ $\exists$ $\forall$

Verweise

[AS92] S. Arora, S. Safra. Probabilistische Überprüfung von Beweisen: Eine neue Charakterisierung von NP. Verknüpfung

[BFL91] L. Babai, L. Fortnow und C. Lund. Die nicht deterministische Exponentialzeit hat interaktive Beweise mit zwei Beweisen. Verknüpfung

[BFLS91] L. Babai, L. Fornow, L. Levin und M. Szegedy. Überprüfen von Berechnungen in polylogarithmischer Zeit. Verknüpfung

[GMR85] S. Goldwasser, S. Micali, C. Rackoff. Die Wissenskomplexität interaktiver Beweise. Verknüpfung

[GS86] S. Goldwasser, M. Sipser. Private Münzen gegen öffentliche Münzen in interaktiven Proofsystemen. Verknüpfung

[Kil92] J. Killian. Ein Hinweis zu effizienten, wissensfreien Beweisen und Argumenten. Verknüpfung

[Nak08] S. Nakomoto. Bitcoin: ein elektronisches Peer-to-Peer-Geldsystem. Verknüpfung

[Sha92] IP = PSPACE- Verbindung

complexity-theory np hash proof-of-work

— Mark S.
quelle

Ich verstehe den Motivationsteil nicht ganz (wenn der Zeuge sehr groß ist, so dass es lange dauert, bis er an einen nicht autorisierten Empfänger weitergeleitet wird, dauert es auch lange, bis er an den legitimen Empfänger weitergeleitet wird, sodass anscheinend jeder verliert ). Wenn Sie einen nicht übertragbaren Beweis wünschen, empfehle ich, über interaktive Beweise, wissensfreie Beweise und dergleichen zu lesen. Trotzdem verstehe ich nicht, warum probabilistisch überprüfbar oder deterministisch überprüfbar notwendigerweise bei dem Problem der Übertragbarkeit helfen würde, daher klingt dies für mich wie ein XY-Problem .

— DW

Ich bin ein bisschen verwirrt von einigen der Bemerkungen hier. Ich bin mir nicht sicher, wie ich interpretieren soll, dass der Versuch, einen Zeugen ohne Wissen zu halten, schwierig sein kann oder was dies bedeutet (wenn nichts geheim gehalten werden kann, ist ein Großteil der Kryptographie nutzlos). Ich vermute, Ihr erster Schritt sollte darin bestehen, ein bestimmtes Problem zu definieren, das Sie lösen möchten, und das Bedrohungsmodell zu identifizieren (stellen Sie fest, ob Sie einen Nagel oder eine Schraube haben, bevor Sie einen Hammer kaufen). Ich bin mir auch nicht ganz sicher, wie ich den Verweis auf "Deckspelzen" im Kontext eines Arbeitsnachweises interpretieren soll, obwohl das vielleicht nur meine mangelnde Vorstellungskraft ist.

— DW

Ich habe mir nicht die Zeit genommen, Ihre Frage durchzulesen, aber Sie könnten an diesem Artikel interessiert sein. Delivery.acm.org/10.1145/3140000/3132757/…

— Jalex Stark

Ich glaube, die Antwort auf die Frage lautet in jeder Hinsicht: "Ja, diese Idee wird in [BRSV17] ( Link ) untersucht."

Wenn beispielsweise zwei Mengen und von dimensionalen Vektoren mit , besteht das Problem der orthogonalen Vektoren darin, einen Vektor und so, dass . Dies kann auf ein -Problem erweitert werden. $S$ $T$ $d$ $|S|=|T|=n$ $2$ $\text{(2OV)}$ $\sigma\in S$ $\tau\in T$ $\langle\sigma,\tau\rangle=0$ $\text{kOV}$

In [BRSV17] zeigen die Autoren, wie das -Problem in ein Merlin-Arthur-Protokoll konvertiert wird, das zu einem Beweis nützlicher Arbeit erweitert werden kann , und das Problem zu einem runden interaktiven Beweis erweitert wird. $\text{2-OV}$ $k$

Die Autoren konvertieren dazu das Problem in ein Summenprüfprotokoll, um den Wert eines Polynoms über einem Feld an einem zufälligen Punkt zu bestimmen . Das Sum Check-Protokoll ist ein Vorgänger der Protokolle [Sha92] , [BFL91] und [BFLS91] . $\text{GOV}$ $\mathbb{F}$ $x\in\mathbb{F}$

Die Autoren offenbaren ferner eine Blockchain, die den Beweis nützlicher Arbeit enthält, wobei Poser einem gemeinsamen Pool -Probleme hinzufügen und Bergleute der Fiat-Shamir-Heuristik folgen, um eine Abschrift des interaktiven Beweises zu . Bergleute bestimmen den Zufallspunkt indem sie den Hash des vorherigen Blocks mit den Koeffizienten des Summenprüfprotokolls salzen. $\text{kOV}$ $x$

Die Autoren beschreiben weiter, dass das Problem Problem und dem Problem . $\text{kOV}$ $\text{APSP}$ $\text{3SUM}$

Ich vermute, diese Arbeit könnte ein Sprungbrett für andere Ideen sein?

Referenz

[BRSV17] M. Ball, A. Rosen, M. Sabin und PN Vasedevan. Beweise für nützliche Arbeit. 2017

PS Ich bin mir nicht sicher, ob mein LaTeX für KOV, APSP, 3SUM usw. geeignet ist.