区块链共识协议中的密码学敌手
哦也X5
发表于 2022-12-23 12:02:00
97
0
0
/ S9 X' C/ r. l. v' ]
人类本质上是复杂的,我们的行为也是如此。因此,要创建多人交互的协议是个极具挑战性的任务。每个人都会受到一组特定因素的激励,因此对激励的反应也不同。因此,要设计一种能够符合普遍世界观的算法(即共识协议),最关键的是找到一组适用于绝大多数人的正确设想。
在共识协议中,凡是非预期的节点行为或是违反协议的行为都被认为是恶意的。破坏力较高的恶意行为有可能会打破协议的基本设想,并阻碍参与者达成共识。这会导致共识协议或区块链协议会停留在极端状态(有时被称为活性失败(livenessfailure))。最坏的情况是,作恶者可能导致全网在多个不一致的视角达成伪共识,甚至推翻之前已经达成的共识,即安全性失败(safetyfailures)。如果遇到这类情况,就需要通过外部干预来重启共识算法,这会带来高昂的成本。因此,为了将运行成本降到最低,最关键的是要在一组正确设想的基础上创建协议。6 f; l0 H) G: B' Q9 G1 l
+ {) P \5 V, t9 Z) R! Q. n( h- D
###敌手类型
# J6 k% H* j+ B0 i+ x6 _
第一类对敌手进行分类方法是基于它们的最高破坏力。最简单的一类敌手是永久离线的节点。这种脱离协议的节点行为被称为宕机故障(crashfault)。每当网络连接中断或终止的时候,就会出现节点掉线的问题。要指望全世界的节点都永久保持在线是不现实的,因为一旦停电,节点就会掉线。如果数据包在传播过程中出现延时或丢包的情况,节点也会在这几秒钟内失去同步。网络本身就缺乏足够的安全性,一直都是以“尽力而为”的方式在运行。因此,希望所有信息都能及时交换且节点始终保持在线是不合理的。因此,在实用型共识算法的发展过程中,能够容忍宕机故障的协议起到了重要作用,因为这类算法能在互联网上部署了。: }/ }& L' z8 {+ T, ?+ v2 b
% U. I+ W$ y _' ~
下一代共识协议对付的是监听用户之间消息的敌手。这类敌手会读取通信方之间私密消息,从而侵犯它们的隐私性。这类敌手被称为被动式敌手(passiveadversaries)。其目的是在对协议进行数轮监听之后伪装成诚实的参与方。这类敌手对于私密信息传输协议构成了威胁,因为通过伪装成诚实的参与方,少数恶意者可以影响多数诚实的参与方之间的共识。在20世纪70和80年代,人们对这类敌手进行了研究,使用了加密和公钥基础设施等技术保护被动式敌手模型中参与方的隐私性、数据完整性和安全性。7 w; K. q4 l; ^
2 B9 Y) A. h# j
接下来,共识协议要对付的就是能够利用收集到的信息肆意妄为的敌手,这类敌手的行为包括发送错误或冲突的消息。这类敌手被称为拜占庭敌手(Byzantineadversaries)或主动式敌手(activeadversaries)。其中,“拜占庭”一词源自LeslieLamport在1982年发表的标志性论文《拜占庭将军问题》。这篇论文阐述的共识问题有如下设定,假设有几支拜占庭军队围城,试图就一起进攻还是撤退的作战策略达成共识。在达成协议的过程中,他们面临消息丢失、消息被复制和被篡改的问题。可能还会有不靠谱的信差将消息传错顺序,也可能会有叛将向其它队伍发送冲突的消息。叛将会向一些将军中传递进攻的命令,向另一些传递撤退或原地待命的消息,从而确保拜占庭军队输掉这场战役。尽管存在上述挑战,所有忠将的目标是行动一致。2 l- k3 q( ?8 J% B
-打还是不打?-. L" m0 L3 [7 H3 s8 y9 I& Y; f
同样地,无论会遭遇什么样的攻击,所有公链共识协议必须不断发展,并且始终如一。有些应用的用户可能不想让某些交易上链,从而会做出恶意行为,设法审查这些交易。这类恶意行为包括抢先交易(Front-running)攻击、双花攻击,还有阻碍支付结算的交易审查攻击等等。凡是搭建在区块链之上的大型金融生态系统都会面临这些攻击,其共识协议要能够容忍这些攻击,从而实现大规模的应用。因此,公链共识协议必须实现拜占庭容错。9 u- K, k! w- B& N/ Z$ s9 w
0 x: J8 R% j l
然而,敌手的威力不仅在于恶意攻击的力度,还在于攻击生效或拉拢其他网络参与者所需的时间长短。 Y! u- k) B- R. T* F6 a2 g
; o0 p. c" J- Z
另一种对敌手进行分类的方法是基于成功拉拢某个选定节点所需的时间长短。能够瞬时拉拢参与者的敌手被称为“强适应型敌手”。在“静态”敌手模型中,敌手在协议开始执行之前就可以选定他想要拉拢的参与者。之后就回天乏术了。能够在少许时间内拉拢参与者的敌手被称为“温和适应型敌手”。对于敌手来说,拉拢参与者所需的时间跟验证者和委员的选举流程有关。6 U: \, w$ \( L
. N" R( z) H1 I
敌手的威力也与其算力和存储限制紧密相关。如果敌手拥有的资源量是固定的,我们就可以设想出一种计算上安全的模型。大多数协议的常见设想是存在一种多项式有界敌手。也就是说,敌手无法在一个多项式值的步骤/时间/空间内破坏协议内的任何原语。再说白点,敌手能够破坏协议安全性的概率非常小。通常来说,敌手得花上50到60年以上的时间才能破坏协议内的原语,这种程度的安全性才足够高。另一方面,如果敌手具有极其强大的财力和权力,这个协议必须在统计学层面上是安全的。也就是说,即使敌手拥有无尽的算力,花上10亿年也无法破坏协议。实际使用的密码学原语大多数仅仅实现了计算层面上的安全。这种程度的安全性在量子计算机普及之前都是足够高的。
: `2 Y# S5 w: B$ M" i3 J, a3 Z
###经济敌手
我们已经在算力和存储方面做出了设想。这些设想都着眼于已经决定进行攻击的作恶者。所有的公链共识协议都要复杂得多,而且它们对付的敌手通常不仅限于有意作恶者。对于那些想要持久发展的公链协议来说,从经济角度设想参与者对激励机制的反应也是很重要的一点。这些经济设想非常重要,因为这是激励参与者诚实行事并遵守协议规则的首要因素。所有系统都含有三类参与者。第一类是经济理性参与者,第二类是利他主义参与者,而第三类是非理性恶意参与者。大多数区块链协议在经济激励机制的设计上有所欠缺,无法促使经济理性的参与者永远遵守协议(校注:也就是说某个设计不良的激励机制导致理性参与者破坏协议反而更能获利),使得一些攻击手段无法仅仅归咎于协议的技术层面。+ l9 o1 h" u6 k6 b
接下来,在本文的第二部分,我们会对一些协议进行分析,我们之前已经发表过《除中本聪共识外的其他共识协议的元分析》一文,从每个协议应对敌手的适应性出发,对这些协议进行了研究。如果你想要更详细地了解这些敌手模型的由来,不妨阅读一下每个协议的随机数生成方案(编者注:中译本见文末超链接《区块链中的随机数》)。
要想设计出安全的系统,了解敌手模型至关重要。在人类行为的建模和区块链协议的创建方面,我们仍需付出很多努力。虽然我们已经取得了很多成果,但是仍然存在一些敌手未得到解决,它们对我们所创建的系统有致命的威胁。正如Vitalik所说:“密码经济学就好像一群智商为5的人想要控制一群智商为150的人”。人类行为总是很难建模,不过随着密码经济学之类的领域出现,我们在设计系统之时更能捕捉到人类复杂性的多个层次。即便如此,在密码经济学领域之外,依然存在很多解决方案。将新领域的开发和旧概念的复用巧妙结合起来,将产生一些新的敌手建模方法,并有助于设计出更安全的系统。
成为第一个吐槽的人