Hi 游客

更多精彩,请登录!

比特池塘 区块链技术 正文
随机数对于区块链技术来说很关键。本质上,分布式账本的核心问题就是随机选择出块人的问题,这个随机性要能被全网确认,并且不能被操控,也不能被预测,否则恶意节点通过操控这个随机数就可以操控长链,从而实现双花攻击。
- O5 y. H% n  `' v$ E: A0 S1 y0 y. t1 B! i/ K3 t! c* X, B
    PoW的方案是让大家进行算力竞赛,设置一个计算哈希的难题,谁先算出来谁赢,算力高的赢的概率高,算力低的赢的概率低,以这样的方式保证胜出者是随机的。投入的算力能够体现在哈希值上,这样全网能够验证,并选择包含最多算力的那条链。恶意节点只能通过提升自己的算力来增加攻击成功的概率。" J: {. e2 {8 _, e
1 ~, w2 B2 ^: J! a1 q1 K
    PoS的方案是选举,大家不用浪费电力去进行算力竞赛,而是文明一点,随机选举一个节点来出块,并且被选中的概率和它拥有的份额相关。如果“随机”这一步没有问题的话,恶意节点只能通过增加自己的份额,增加自己被选中的概率,从而增加双花攻击的成功概率。这里有一点比PoW的方案要好就是,要实现攻击,先得成为持币大户,如果攻击成功币价大跌,攻击者也会承受最大的损失。而PoW方案中虽然算力要花钱,但是如果攻击者没有持币,那么他的利益和币价不一定是正相关的,不能排除仍然存在攻击的动力。
! ^% C2 l% z1 j) F" ]/ d: D$ f; ]$ w9 Y) j) y$ c& I3 F) t' w
    那么接下来的核心问题就是,这个不能被操控不能被预测的随机数从哪来。
: w+ A# v% h0 J  h
& m, E8 N6 S+ C3 X% w7 s, A& e# v    传统地PoS方案尝试从链上现有的数据入手,比如使用上一个区块的哈希值,上一个区块的时间戳等等来作为随机数的来源,但这些会带来额外的安全风险。因为区块本身的信息就是节点写进去的,然后又要根据里面的信息来选举后续的出块者,存在循环论证的嫌疑,安全性不会太好。这也是传统地认为PoS方案不如PoW可靠的部分原因。& P, n6 w4 l0 m! e0 H: z
/ d* I: ?; a! T3 n; `+ ~3 l
    Cardano项目采用的Ouroboros协议是被密码学界证明安全的一个PoS协议,也是唯一一个被工业界采用的可证明安全性的PoS协议。它采用密码学的手段来生成这个随机数。为了弄清楚这个过程,我们先从更基础的密码学工具开始:2 x( ]- q% G# J9 p0 _9 W/ Q
3 Y5 j$ g, b. v7 `
    1.承诺(Commitment)和打开(Open)
3 T  z- d, l+ L4 Q
% B4 R# D3 s0 ?; z5 |5 ^    假设张三李四要玩剪刀石头布,用传统方式作弊者如果稍微出的晚一点,可以等看到对方的手势后再做选择。为了防止这种情况,他们:3 l  r& O7 C+ H; r( E. b

: Q6 Z0 ?9 H; M8 n, |    先各自做出选择,然后把自己的选择做个哈希;
  m# w) G$ Z4 w* P
9 z2 s; f# i! a5 y( u. X    交换这个哈希;
( b; n8 t, ~7 s- A+ X* ^  z; l
4 Q* }  s& k1 t& p3 [8 e8 R2 @6 r    等双方都收到对方的哈希后,再交换双方的选择;
6 c$ ]6 r1 e$ J! F* g/ y
- N! X# ]9 d& r0 ]5 I% l    验证对方的选择和之前的哈希一致;" \4 D" u; T8 F# B

4 Y  f( w3 _( O! X: ]3 |    这样双方都知道了对方的选择,也能确认对方的选择是提前就做好的。这个哈希值就叫做承诺,因为它里面包含了保密信息,但又没有泄漏保密信息,而最终发送对应的保密信息,就叫做打开承诺。
) g6 P& ?* K3 f2 `" G5 Z4 y, f$ J$ f$ Z* @0 c6 [
    承诺和打开是一种模式,哈希只是实现手段之一。7 q$ d2 \9 c; M! s  R# O4 o  u
0 D1 j; W0 w: t
    简单随机数协议(Coin-Tossing)5 Y% l+ `( I5 Z( L$ W6 ~* H& _

$ y8 p, d; z  h( G$ w1 }    现在我们可以设计一个多方生成随机数的协议:
# {' \3 Y) l+ P5 `
) X5 y  p: b: V  g5 H    每个节点在本地产生一个随机数,并把它的承诺广播给其他人
) ^6 P. w' [! }" q  q5 Y0 V$ K, K8 n* f  F" ]- I; x; T
    当它收到所有人广播的承诺后,再把打开也广播给其他人。( H; f- G& }7 q1 ~

5 L7 g, \! D2 U. O- ]4 T1 N4 x5 k$ X    最后大家把得到的随机数异或到一起,因为异或操作满足交换律和结合律,所以操作顺序不影响结果。
! ?) L1 u; T. p/ f3 [' J  p- U
6 `. ]% P0 F' B" y# y, P    最终大家都得到了一个一致的无法被操纵的随机数。但这个简单协议的问题在于,恶意节点可以选择终止协议,也就是不发送自己的打开,会使得其他人无法进行下去。要解决这个问题,我们还需要另一个工具。
1 I7 G2 h6 Z# D! B2 P" q) r- v/ r
    2.可验证秘密共享(VerifiableSecretSharing)
) F  m' c0 \8 y) P# y
& q: b  \: A/ V2 Q) ]    秘密共享是说,一个人可以把一个需要保密的信息,拆分成n份,分别发送给n个人,只要恶意节点不超过一定数量,最终大家可以综合各自的信息片段把原始信息还原出来。并且就算分发者如果作弊,大家也可以检查出来。具体的实现方式也有多种,这里就不深入了。2 B7 g) Q2 d+ S$ }% q4 {
1 c9 R) U( M6 T5 D
    有了这个工具,就算恶意节点不发送打开,我们也能根据拆分信息还原出他的随机数,如果他想在拆分信息上作弊,大家也能检查出来并把他踢掉。
1 }' `, d$ |1 z- j
' y2 |* ?/ a# m0 ?; f. f" ?    结合这几个技术,我们就可以有一个完整的随机数生成协议了。最后,因为我们本来就是个区块链,所以协议过程中需要广播的信息,我们可以直接写到链上去,这样可以简化实现,并且也不需要所有投票节点同时在线,并且如果有人作弊,作弊的记录将会永远保存在链上。0 x" ]; x9 w- r* F& j( T, s

; R* y4 u3 X8 I6 q% m3 l    最后综合一下整个协议流程:+ s) K5 q" V8 y3 |. S" H0 P' T. B9 Y
0 A- p$ k1 o/ \) j. K
    在提交阶段,每个节点本地生成随机数和对应的承诺,同时把随机数拆成n份匹配其他的投票节点,并且用相应投票节点的公钥对每一份信息进行加密,保证它只能被对应的节点解密,然后把承诺和加密后的拆分信息一起广播给区块链。
: x& h1 m1 Y4 h' z& ?" D, Q8 }
    当大家收到大部分节点的承诺和拆分信息后,就进入打开阶段,每个节点把自己的打开发到链上。8 a5 z. W* v, L5 c

( y( I6 i% r0 @1 u6 m9 w    然后是恢复阶段,每个节点检查是否有节点发送了承诺但没有发送打开,如果有,则解密自己对应的那份拆分信息并发布,然后根据大家发布的拆分信息恢复出该节点的随机数。) Y) b" B& @5 n7 d# j5 G

: B/ {' \7 \1 Y    现在大家就有了所有节点的随机数,把它们异或到一起,最终得到了一个一致的随机数,并用它来选择下一轮的出块人。
; O# @- f- \; F; U8 c/ p. D8 ~
" ?0 u9 g$ x) z! w5 E& R% u- g. f    最后,这个随机数不光可以用来选择出块人,也可以给智能合约用,这是PoS另一个好处;而PoW体系虽然出块人是随机的,但并没有产生一个具体的随机数,所以智能合约要用随机数,还是得从区块链本身的数据里面去获取了。
BitMere.com 比特池塘系信息发布平台,比特池塘仅提供信息存储空间服务。
声明:该文观点仅代表作者本人,本文不代表比特池塘立场,且不构成建议,请谨慎对待。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

成为第一个吐槽的人

刘艳琴 小学生
  • 粉丝

    0

  • 关注

    0

  • 主题

    3