Bitcoin: sistema di moneta elettronica in peer-to-peer.
Satoshi Nakamoto -
satoshin@gmx.com -
http://www.bitcoin.org(Traduttori: Benkebab, Grondilu, Mackila)
Riassunto. Un sistema di moneta elettronica totalmente peer-to-peer effettuerebbe pagamenti online direttamente da una parte all'altra senza passare attraverso un istituto finanziario. Le firme digitali offrono tale soluzione, ma perdono il loro interesse quando è richiesta una terza parte fidata per evitare il doppio pagamento. Proponiamo una soluzione al problema del doppio pagamento utilizzando una rete peer-to-peer. Il timestamp di rete esegue la transazione utilizzando una funzione hash che li traduce in una catena continua di prove di lavoro (impronte digitali), formando un record che non può essere modificato senza ripetere la prova di lavoro. La catena più lunga (impronte digitali) serve non solo come prova del progresso degli eventi osservati, ma anche come prova che proviene dal più grande gruppo di potenza di calcolo. Finché la maggior parte della potenza di calcolo (CPU) è controllata da nodi che non cooperano per attaccare la rete, genereranno la stringa più lunga e supereranno gli attaccanti. La stessa rete richiede solo una struttura ridotta. I messaggi vengono trasmessi al meglio e i nodi possono lasciare o unirsi alla rete a piacimento, accettando la prova più lunga di lavoro come prova di ciò che è accaduto durante la loro assenza.
1. introduzione
Oggi il commercio via Internet dipende quasi esclusivamente da istituti finanziari che fungono da terzi fidati per elaborare i pagamenti elettronici. Sebbene questo sistema funzioni abbastanza bene per la maggior parte delle transazioni, presenta ancora punti deboli inerenti al suo modello basato sulla fiducia. Transazioni totalmente irreversibili non sono realmente possibili, dal momento che gli istituti finanziari devono gestire la mediazione dei conflitti. Il costo di questa mediazione aumenta i costi di transazione, in pratica limitando le dimensioni minime di una transazione e impedendo la possibilità di avere transazioni di piccole dimensioni e poco costose. L'impossibilità di disporre di pagamenti non reversibili per servizi non reversibili genera un costo ancora maggiore. Con la possibilità di annullare le transazioni, aumenta la necessità di fiducia. I commercianti devono diffidare dei propri clienti, molestandoli per avere più informazioni del necessario. Alcune frodi sono accettate come inevitabili. Tutti questi costi e le incertezze di pagamento possono essere evitati mediante l'uso di una valuta fisica, ma non esiste alcun meccanismo per effettuare pagamenti attraverso un sistema di comunicazione senza ricorrere a terzi di fiducia.
Ciò di cui abbiamo bisogno è un sistema di pagamento elettronico basato su prove crittografiche anziché su un modello basato sulla fiducia, che consentirebbe a due parti che desiderano farlo di negoziare direttamente tra loro senza ricorso. a una terza parte fidata. Le transazioni impossibili da annullare per computer proteggerebbero i venditori da potenziali frodi e potrebbe essere facilmente implementato un sistema di account di deposito a garanzia per proteggere gli acquirenti. In questo documento, proponiamo una soluzione al problema della doppia spesa utilizzando un server con timestamp peer-to-peer per generare prove IT dell'ordine cronologico delle transazioni. Il sistema è sicuro poiché i nodi onesti controllano insieme più potenza computazionale di un gruppo di nodi che coopererebbero per eseguire un attacco.
2.Transactions
Definiamo una parte elettronica come una catena di firme digitali. Qualsiasi proprietario trasferisce questo pezzo a un altro firmando digitalmente un'impronta digitale della transazione precedente, nonché la chiave pubblica del nuovo proprietario e aggiungendoli alla fine del pezzo. Qualsiasi destinatario può rivedere le firme per verificare la catena di proprietà.
libro bianco 1
Il problema ovviamente è che il beneficiario non può verificare che uno dei precedenti proprietari non abbia effettuato una "doppia spesa" con la stanza. Una soluzione comune è quella di introdurre un'autorità fidata centrale o Mint, che verificherebbe ogni transazione per evitare una "doppia spesa". Dopo ogni transazione, le monete devono essere restituite alla zecca che ne crea una nuova e si considera che solo le monete direttamente dalla zecca non siano state spese due volte. Il problema con questa soluzione è che il destino dell'intero sistema monetario sta nella società che gestisce la zecca e che ogni transazione deve attraversarle, come una banca.
Abbiamo bisogno di un metodo affinché il destinatario sappia se i precedenti proprietari non hanno firmato transazioni precedenti. Per questo, la transazione più vecchia deve essere quella che conta, non dobbiamo preoccuparci dei tentativi successivi di spendere la moneta duplicata. L'unico modo per confermare l'assenza di una transazione precedente è essere a conoscenza di tutte le transazioni. Nel modello basato su una zecca, quest'ultima era a conoscenza di tutte le transazioni e decise quale era la prima. Per fare lo stesso senza una terza parte, le transazioni devono essere annunciate pubblicamente [1] e abbiamo bisogno di un sistema affinché tutti i partecipanti possano concordare una singola cronologia dell'ordine in cui le transazioni vengono ricevute. . Il destinatario deve provare che, ad ogni momento di una transazione, la maggior parte dei nodi concorda sul fatto che è stata la prima ricevuta.
3. Timestamp Server
La base della soluzione proposta è un server timestamp. Un server timestamp prende l'impressione di un insieme di elementi per timestamp e pubblica questo footprint, come un annuncio su un giornale o un messaggio su un forum Usenet [2-5]. Il timestamp dimostra che i dati esistevano, da prendere in considerazione nella stampa. Ogni timestamp include il timestamp precedente nella sua impronta, formando una stringa che ogni nuovo elemento conferma quelli precedenti.
libro bianco 2
4. Prova del lavoro
Per implementare un server timestamp distribuito su una rete peer-to-peer, un sistema basato sul lavoro come il sistema [Hashcash] di Adam Back, piuttosto che un giornale o un messaggio su un forum Usenet. La prova del lavoro richiede la ricerca di un valore tale che la sua impronta, calcolata ad esempio utilizzando SHA-256, inizi con un numero di bit su 0. Il lavoro richiesto dipende in modo esponenziale dal numero di bit richiesti da 0 e può essere convalidato eseguendo un singolo calcolo dell'impronta.
Per la nostra rete di data e ora, implementiamo la prova del lavoro incrementando una variabile nel blocco fino a quando non viene trovato un valore che fornisce un'impronta digitale con abbastanza bit su 0. Una volta effettuato lo sforzo computazionale necessario per ottenere la prova del lavoro, non è più possibile modificare il blocco senza ripetere questo sforzo di calcolo. Poiché i nuovi blocchi vengono concatenati dopo di esso, lo sforzo computazionale richiesto per modificare un blocco include tutto lo sforzo computazionale richiesto per modificare tutti i blocchi successivi.
libro bianco 3
La prova del lavoro risolve il problema della scelta della rappresentatività del voto. Se la maggioranza fosse basata sui voti assegnati dall'indirizzo IP, il voto potrebbe essere annullato da qualcuno in grado di prendere molti indirizzi. La prova del lavoro si basa essenzialmente sulla potenza di calcolo (un processore, una voce). La decisione della maggioranza è rappresentata dalla catena più lunga, quella che ha richiesto il maggior numero di calcoli a prova di lavoro. Se la maggior parte della potenza di calcolo della rete è controllata da nodi onesti, la catena legittima fa avanzare i canali concorrenti più veloci ea distanza. Per modificare un vecchio blocco, un utente malintenzionato dovrebbe ricalcolare le prove di lavoro del blocco modificato e di tutti i blocchi successivi, per recuperare e superare il lavoro svolto dai nodi onesti. Dimostreremo quindi che la probabilità che un attaccante con meno potenza di calcolo possa raggiungere diminuisce esponenzialmente con ogni nuovo blocco aggiunto.
Al fine di compensare il miglioramento della potenza di calcolo dell'hardware e l'interesse crescente nei nodi operativi nella rete, la difficoltà della prova di lavoro è determinata da un numero medio di blocchi che si trovano all'ora. Se questi blocchi vengono generati troppo rapidamente, la difficoltà aumenta.
5. rete
I passaggi implementati per il funzionamento della rete sono i seguenti:
Le nuove transazioni vengono trasmesse a tutti i nodi.
Ogni nodo raggruppa le nuove transazioni in un blocco.
Ogni nodo sta lavorando per risolvere la prova del lavoro sul suo blocco.
Quando un nodo trova prova di lavoro, trasmette questo blocco a tutti i nodi.
I nodi accettano il blocco solo se tutte le transazioni in esso contenute sono valide e non sono già state spese.
I nodi esprimono l'accettazione del blocco lavorando su un nuovo blocco nella catena, questo nuovo blocco ha come impronta precedente quello del blocco accettato.
I nodi considerano sempre la stringa più lunga come la stringa legittima e lavorano per estenderla. Se due nodi trasmettono contemporaneamente due diverse versioni del blocco successivo, alcuni nodi riceveranno prima l'uno o l'altro. In questa situazione, tutti lavorano sul blocco ricevuto per primo, ma mantiene l'altro ramo nel caso diventi il più lungo. Questo collegamento verrà interrotto quando viene trovata la prova di lavoro successiva e un ramo diventa più lungo dell'altro; i nodi che stavano quindi lavorando sull'altro ramo cambieranno per il più lungo.
Le distribuzioni di nuove transazioni non devono raggiungere tutti i nodi. Dal momento in cui raggiungono abbastanza nodi, si ritroveranno in un blocco in breve tempo. Le trasmissioni a blocchi tollerano la perdita di messaggi. Se un nodo non riceve un blocco, lo richiederà quando riceve il blocco successivo, quando si rende conto che ne manca uno.
6. incitamento
Per convenzione, la prima transazione di un blocco è una transazione speciale che crea una nuova parte appartenente al creatore del blocco. Ciò incoraggia i nodi a partecipare alla rete e consente la distribuzione iniziale della valuta, poiché non esiste un'autorità centralizzata per farlo. Questa aggiunta regolare di una quantità costante di denaro è simile allo sforzo che i minatori fanno per aggiungere oro in circolazione. Nel nostro caso, lo sforzo consiste nella potenza e nel tempo di elaborazione.
L'incentivo può anche essere finanziato con commissioni di transazione. Se il valore di output di una transazione è inferiore al suo valore di input, la differenza è la commissione di transazione che viene aggiunta al valore di incentivo del blocco contenente quella transazione. Una volta che la predeterminata quantità di denaro è entrata in circolazione, l'incentivo può passare a un finanziamento interamente basato sulle commissioni di transazione e non causare inflazione.
L'incitamento può incoraggiare i nodi a rimanere onesti. Se un aggressore avido ha i mezzi per ottenere più potenza di calcolo di tutti i nodi onesti, può scegliere tra frodare le persone recuperando i pagamenti o usando il suo potere per generare nuova valuta. Deve trovare più interessante il gioco, il che lo favorisce chiaramente perché genererà quindi più denaro di tutti gli altri nodi, piuttosto che minare il sistema e il valore della propria ricchezza.
7. Risparmia spazio su disco
Una volta che l'ultima transazione per una parte è sepolta in blocchi sufficienti, è possibile eliminare le transazioni passate per risparmiare spazio su disco. Per consentire ciò senza invalidare l'impronta del blocco, le transazioni vengono riepilogate in un albero Merkle [7] [2] [5], di cui solo l'impronta del blocco include solo la radice. I vecchi blocchi possono essere compressi tagliando i rami dell'albero. Le impronte digitali intermedie non devono essere archiviate.
Un'intestazione del blocco non di transazione pesa circa 80 byte. Se assumiamo che i blocchi vengano generati ogni 10 minuti, ciò rappresenta i byte 80 * 6 * 24 * 365 = 4.2Mo all'anno. In 2008, i sistemi informatici sono venduti con una media della capacità della RAM 2Go e con la legge di Moore che prevede la crescita di 1.2Go all'anno, lo storage non dovrebbe essere un problema, anche se tutti le teste dei blocchi dovevano essere mantenute nella RAM.
8. Verifica del pagamento semplificata
È possibile controllare i pagamenti senza eseguire un nodo di rete completo. Un utente deve solo conservare una copia della più lunga catena di intestazioni delle prove, che può ottenere tramite query sui nodi della rete fino a quando non è soddisfatto per avere la catena più lunga, quindi recuperare il ramo dell'albero Merkle che collega la transazione con il blocco in cui è timestamp. L'utente non può verificare la transazione stessa, ma collegandola nella catena, può vedere che un nodo nella rete l'ha accettata e i blocchi seguenti confermano ulteriormente l'accettazione della rete.
Pertanto, la verifica è affidabile fintanto che nodi onesti controllano la rete, ma è più vulnerabile se la rete è compromessa da un utente malintenzionato con maggiore potenza di calcolo. Sebbene i nodi della rete possano verificare le transazioni stesse, il metodo semplificato può essere ingannato dalle transazioni forgiate dall'aggressore, purché l'attaccante abbia i mezzi per superare la potenza di calcolo della rete. Una strategia per proteggersi da un simile attacco potrebbe essere quella di ricevere avvisi dai nodi di rete quando rilevano un blocco non valido, chiedendo al software dell'utente di scaricare il blocco completo e transazioni sospette per verificare l'incoerenza. Le aziende che ricevono frequentemente pagamenti trarranno sicuramente beneficio dall'esecuzione dei propri nodi per ottenere una sicurezza più indipendente e controlli più rapidi.
9. Combinazione e divisione del valore
Sebbene sia possibile elaborare le parti separatamente, non sarebbe pratico generare una transazione diversa per ogni centesimo durante un trasferimento. Al fine di consentire la combinazione e la suddivisione della valuta, le transazioni includono più voci ed uscite. Normalmente, esiste una singola voce da una precedente transazione di grandi dimensioni o più voci che combinano importi inferiori e un massimo di due uscite: una per il pagamento e l'altra per restituire lo scambio, se esiste, a il trasmettitore.
Va notato che la dispersione, quando una transazione dipende da più transazioni, e che queste stesse transazioni dipendono da molte più transazioni, non è un problema. Non è mai necessario ripristinare la cronologia completa di una transazione.
10. riservatezza
Il sistema bancario tradizionale garantisce un certo livello di riservatezza limitando l'accesso alle informazioni alle parti interessate e alla terza parte fidata. La necessità di pubblicare tutte le transazioni esclude questo metodo, ma la riservatezza può essere raggiunta interrompendo il flusso di informazioni a un altro livello: mantenendo le chiavi pubbliche anonime. È possibile vedere che qualcuno invia un determinato importo a qualcun altro, ma senza alcun collegamento con le persone. Ciò è simile al livello di informazioni disponibili sui mercati degli scambi, o la data e l'ammontare di ogni scambio, il "corso", è pubblico, ma senza rivelare l'identità delle parti.
Come ulteriore barriera, una nuova coppia di chiavi può essere utilizzata per ogni transazione, per evitare di essere connessa a un proprietario comune. Una certa relazione è, tuttavia, inevitabile con transazioni a più voci, che rivelano necessariamente che le loro voci erano di proprietà dello stesso proprietario. L'evento temuto è che se viene rivelato il proprietario di una delle chiavi, i collegamenti consentono la rivelazione di altre transazioni dello stesso proprietario.
11. calcoli
Considera il caso di un utente malintenzionato che tenta di generare una stringa alternativa più velocemente della stringa legittima. Anche se avesse successo, ciò non renderebbe il sistema vulnerabile a cambiamenti arbitrari, come la creazione di denaro da zero o l'appropriazione di denaro che non è mai appartenuto all'attaccante. I nodi non accettano transazioni non valide come pagamento e i nodi onesti non accetteranno mai un blocco contenente una di queste transazioni. Un utente malintenzionato può modificare solo una delle proprie transazioni per recuperare i soldi che ha appena speso.
La corsa tra la catena legittima e la catena dell'attaccante può essere caratterizzata come una camminata casuale binaria. L'evento di successo è l'allungamento della catena legittima, aumentando il suo vantaggio di + 1, e l'evento di fallimento è l'allungamento della catena dell'attaccante, riducendo il ritardo di -1.
La probabilità che un attaccante lo raggiunga è analoga al problema di rovina del giocatore. Immagina un giocatore con crediti illimitati, iniziando in negativo e giocando un numero infinito di partite per cercare di raggiungere il pareggio. La probabilità che arrivi lì o che un attaccante riesca a catturare la catena legittima, viene calcolata in questo modo [8]:
p = probabilità che un nodo onesto trovi il blocco successivo
q = probabilità che l'attaccante trovi il blocco successivo
qz = probabilità che l'attaccante riesca a catturare la catena con z blocchi di ritardo
Data la nostra ipotesi p> q, la probabilità diminuisce esponenzialmente a seconda del numero di blocchi che l'attaccante deve catturare. Con le probabilità contro di lui, se non ha una serie fortunata all'inizio, le sue possibilità diventano scarse man mano che è indietro.
Siamo ora interessati al momento in cui il destinatario di una nuova transazione deve attendere prima di essere sufficientemente rassicurato che l'emittente non sarà in grado di modificare la transazione. Partiamo dal presupposto che il mittente è un utente malintenzionato che desidera far credere al destinatario di essere stato pagato per un po 'di tempo, quindi desidera modificare la transazione per recuperare i soldi dalla transazione dopo un certo periodo di tempo. Il destinatario verrà avvisato quando ciò accade, ma il trasmettitore spera che sia troppo tardi.
Il destinatario genera una nuova coppia di chiavi e fornisce la chiave pubblica al mittente poco prima della firma. Ciò impedisce al mittente di preparare in anticipo una catena di blocchi lavorando su di essa fino a quando non ottiene un anticipo sufficiente e effettua la transazione in quel momento. Una volta emessa la transazione, l'emittente disonesto inizia a lavorare su un canale alternativo contenente una versione modificata della transazione.
Il destinatario attende che la transazione venga aggiunta a un blocco e blocchi z aggiunti dopo di essa. Non sa esattamente quale sia il progresso dell'attaccante, ma supponendo che i blocchi legittimi abbiano messo il tempo medio previsto per blocco da generare, il potenziale avanzamento dell'attaccante è una distribuzione di Poisson. avendo come valore atteso:
Al fine di ottenere la probabilità che l'attaccante riesca ancora a recuperare, moltiplichiamo la densità di Poisson per ciascuna quantità di progressione che potrebbe ottenere per la probabilità che raggiunga da questo punto:
Riorganizzando per evitare la somma all'infinito ...
Convertito in codice C ...
#includere
double AttackerSuccessProbability (double q, int z)
{
doppia p = 1.0 - q;
double lambda = z * (q / p);
doppia somma = 1.0;
int i, k;
per (k = 0; k <= z; k ++)
{
doppio pesce = exp (-lambda);
per (i = 1; i <= k; i ++)
pesce * = lambda / i;
somma - = pesce * (1 - pow (q / p, z - k));
}
somma di ritorno;
}
Eseguendo alcuni test, osserviamo che la probabilità diminuisce esponenzialmente secondo z:
q = 0.1
z = 0p = 1.0000000
z = 1p = 0.2045873
z = 2p = 0.0509779
z = 3p = 0.0131722
z = 4p = 0.0034552
z = 5p = 0.0009137
z = 6p = 0.0002428
z = 7p = 0.0000647
z = 8p = 0.0000173
z = 9p = 0.0000046
z = 10 p = 0.0000012
q = 0.3
z = 0p = 1.0000000
z = 5p = 0.1773523
z = 10 p = 0.0416605
z = 15 p = 0.0101008
z = 20 p = 0.0024804
z = 25 p = 0.0006132
z = 30 p = 0.0001522
z = 35 p = 0.0000379
z = 40 p = 0.0000095
z = 45 p = 0.0000024
z = 50 p = 0.0000006
Soluzioni per P inferiore a 0.1% ...
P <0.001
q = 0.10 z = 5
q = 0.15 z = 8
q = 0.20 z = 11
q = 0.25 z = 15
q = 0.30 z = 24
q = 0.35 z = 41
q = 0.40 z = 89
q = 0.45 z = 340
12. CONCLUSIONE
Abbiamo proposto un sistema di transazioni elettroniche che non si basa sulla fiducia. Abbiamo iniziato con un normale set di pezzi di firma digitale, che fornisce un forte controllo della proprietà, ma rimane incompleto senza un modo per prevenire la doppia spesa. Per risolvere questo problema, abbiamo proposto una rete peer-to-peer che utilizza la prova del lavoro per registrare un registro delle transazioni pubbliche, che diventa rapidamente non disponibile dal calcolo se i nodi onesti controllano la maggior parte della potenza di calcolo. La rete è robusta nella sua semplicità non strutturata. I nodi lavorano insieme con pochissima coordinazione. Non è necessario che siano autenticati, poiché i messaggi non vengono inviati a un determinato destinatario e devono essere consegnati al meglio. I nodi possono lasciare e unirsi alla rete a piacimento, accettando la catena di prove del lavoro come prova di ciò che è accaduto durante la loro assenza. Votano usando la loro potenza di calcolo, esprimendo il loro accordo con blocchi validi lavorando per estenderli e rifiutando blocchi non validi rifiutando di lavorare su di essi. Tutte le regole e gli incentivi necessari possono essere applicati con questo meccanismo di consenso.
riferimenti
[1] W. Dai, "b-money"
http://www.weidai.com/bmoney.txt 1998.
[2] H. Massias, XS Avila e J.-J. Quisquater, "La progettazione di un servizio di timestamp sicuro con requisiti minimi di fiducia", in 20th Symposium on Information Theory in Benelux, maggio 1999.
[3] S. Haber, WS Stornetta, "Come timestamp di un documento digitale", In Journal of Cryptology, 3 vol., No. 2, pagine 99-111, 1991.
[4] D. Bayer, S. Haber, WS Stornetta, "Migliorare l'efficienza e l'affidabilità del timestamp digitale", In Sequenze II: Metodi di comunicazione, sicurezza e informatica, pagine 329-334, 1993.
[5] S. Haber, WS Stornetta, "Nomi sicuri per bit-string", In Atti della conferenza 4th ACM sulle comunicazioni informatiche e di sicurezza, pagine 28-35, aprile 1997.
[6] A. Indietro, "Hashcash - una contromisura di negazione del servizio",
http://www.hashcash.org/papers/hashcash.pdf 2002.
[7] RC Merkle, "Protocolli per sistemi crittografici a chiave pubblica", in Proc. Simposio 1980 su sicurezza e privacy, IEEE Computer Society, pagine 122-133, aprile 1980.
[8] W. Feller, "Un'introduzione alla teoria della probabilità e alle sue applicazioni", 1957.
