계산 과제를 작업 증명으로 전환 할 수 있습니까?

cryptocurrency 마이닝의 겉보기 무의미 함은 유용한 대안에 대한 질문을 제기했습니다 .Bitcoin , CST , MO 에 대한 이러한 질문을 참조하십시오 . 실질적으로 모든 계산 문제 (이 솔루션을 효율적으로 확인할 수 있음)를 다른 도전 과제 (작업 증명에 사용되는 )로 변환 할 수있는 알고리즘이 있는지 궁금합니다. Ψ ( C$\mathcal C$$\Psi(\mathcal C)$

1. 함수 는 일부 (공개) 랜덤 시퀀스 사용하여 랜덤 화 됩니다.$\Psi$$r$
2. 해결 이며 일반적으로 해결 한 하드 .$\Psi(\mathcal C)$$\mathcal C$
3. 대한 솔루션 가 발견 되면 원래 도전 대해 솔루션 를 효율적으로 계산할 수 있습니다 .Ψ ( C ) Ψ - 1 ( x ) $x$$\Psi(\mathcal C)$$\Psi^{-1}(x)$$\mathcal C$
4. 대한 솔루션을 아는 것은 대한 솔루션을 찾는 데 도움이되지 않습니다 . Ψ ( C$\mathcal C$$\Psi(\mathcal C)$

$\;\:\:$ 4 '(업데이트). 언급에서 노아가 지적한 바와 같이, 전처리 도 를 해결하는 데 아무런 이점이 없어야 한다는 조건으로 강화되어야한다 . Ψ ( C$\mathcal C$$\Psi(\mathcal C)$

이 마지막 조건은 의 해를 알고 있기 때문에 아무도 유리한 입장을 취할 수 없도록 요구 됩니다. 이 방법을 사용하면 사람들은 해결하고자하는 계산 문제를 제출할 수 있고 중앙 기관은 해결할만한 가치가있는 사람을 선택할 수 있습니다 (예 : 외계인 찾기 및 암호 깨기). 문제를 해결하는 데 일주일이 걸리더라도 문제가 아닌 것 같습니다. 어쨌든,이 주제는 내 이론적 문제의 해결책과 관련이 없지만 물론 의견 / 포럼에서 논의하게되어 기쁩니다.$\mathcal C$

가능한 해결책은 다음과 같습니다. 는 를 에 . 즉, 및 기타 계산상의 어려운 문제를 해결하는 것입니다. 이것에 대한 한 가지 문제는 대한 해결책을 알면 해결이 다소 쉬워진다는 것입니다 ( 의 어려움에 따라 훨씬 ). 또 다른 문제는 점이다 보다 더 어려워졌다 .C ( C , H A S H r ) C C Ψ ( C ) H A S H r Ψ ( C ) $\Psi$$\mathcal C$$(\mathcal C,HASH_r)$$\mathcal C$$\mathcal C$$\Psi(\mathcal C)$$HASH_r$$\Psi(\mathcal C)$$\mathcal C$

( 참고 : Andreas Björklund는 아래 설명 된 것보다 낫다고 생각하는 의견에 대한 해결책을 제안했습니다. http://eprint.iacr.org/2017/203 , Ball, Rosen, Sabin 및 Vasudevan 참조. 이들은 경도 잘 이해되고있는 많은 문제들이 (예 K-SAT)이 비교적 효율적으로 저감 할 수 직교 벡터 같은 문제에 기초하여 일의 증거를 제공한다. 그들의 포로 인스턴스 하드 같다 입력 인스턴스 가 쉬운 경우에도 최악의 직교 벡터 는 아래 설명 된 솔루션의 주요 단점을 피합니다.$\Psi(\mathcal{C})$$\mathcal{C}$

아래 설명 된 솔루션은 단순성 (비전문가라고 할 수 있음)의 이점을 얻을 수 있지만 이론적으로는 훨씬 덜 흥미로워 보입니다.)

" 대한 가장 빠른 알고리즘 이 기본적으로 무작위 화된다" 는 강력한 가정을 하고 (암호화 해시 함수를 임의 오라클로 모델링하는 경우) 해결책이 가능합니다 . 이것을 공식화하는 한 가지 방법은$\mathcal{C}$

1. $\mathcal{C} \in \mathsf{TFNP} \setminus \mathsf{FP}$ (그렇지 않으면 실제로 유효한 도전은 아닌 것 같습니다);
2. 대한 가장 빠른 무작위 알고리즘 은 일반적인 인스턴스 에서 예상 시간 에서 실행됩니다 . 과$\mathcal{C}$$T$
3. 대해 에서 대한 솔루션 도메인 까지 효율적으로 계산 가능한 함수 가 존재하므로 항상 가 존재합니다. 와 용액 .{ 0 , 1 } k C k ≈ log 2 T s ∈ { 0 , 1 } k f ( s ) $f$$\{0,1\}^k$$\mathcal{C}$$k \approx \log_2 T$$s \in \{0,1\}^k$$f(s)$$\mathcal{C}$

라는 가정 은 의 무차별 검색 이 본질적으로 대한 최적의 알고리즘 임을 암시합니다 . 따라서 이것은 매우 강력한 가정입니다. 반면, 이 이러한 특성을 만족시키지 않으면 조건 (2)와 (4)를 모두 만족시키는 것으로 상상하기 어렵습니다.{ 0 , 1 } k C $k \approx \log_2 T$$\{0,1\}^k$$\mathcal{C}$$\mathcal{C}$

그런 다음 해시 함수 가 , 우리는 임의 오라클로 모델링하고 여기서 대한 은 대한 임의의 입력 입니다. 목표 출력 인 되도록 용액되는 . 다시 말해, 는 위 알고리즘에서 "좋은 랜덤 코인"으로 해시해야합니다.Ψ H ( C ; r ) r ∈ { 0 , 1 } ℓ ℓ ≫ k Ψ H x ∈ { 0 , 1 } ∗ f ( H ( r , x ) ) C ( r , x $H : \{0,1\}^* \to \{0,1\}^k$$\Psi_H(\mathcal{C}; r)$$r \in \{0,1\}^\ell$$\ell \gg k$$\Psi_H$$x \in \{0,1\}^*$$f(H(r,x))$$\mathcal{C}$$(r,x)$

이것이 모든 조건을 만족시키는 것을 보자.

1. " 함수 는 임의의 공개 시퀀스 사용하여 무작위 화 됩니다." 검사!$\Psi$$r$
2. " 해결은 일반적으로 해결만큼 어렵습니다 ." 대한 단순 무작위 알고리즘 은 최대 + 다항식 오버 헤드 에서 예상 시간에 실행 되며 가정에 따르면 는 기본적으로 최적 알고리즘의 실행 시간입니다. .C Ψ H ( C , R ) 2 K (2) K ≈ T $\Psi(\mathcal{C})$$\mathcal{C}$$\Psi_H(\mathcal{C},r)$$2^k$$2^k \approx T$$\mathcal{C}$
3. " 대한 솔루션 가 발견 되면 원래 도전 대해 솔루션 를 효율적으로 계산할 수 있습니다 ." 이것은 의 해결책 인 를 계산하여 수행 할 수 있습니다 .Ψ ( C ) Ψ − 1 ( x ) C f ( H ( r , x ) ) $x$$\Psi(\mathcal{C})$$\Psi^{-1}(x)$$\mathcal{C}$$f(H(r,x))$$\mathcal{C}$
4. " 대한 솔루션을 아는 것은 대한 솔루션을 찾는 데 도움이되지 않습니다 ." 정의에 의해, 해결 찾을 필요 되도록 용액되는 . 를 랜덤 오라클 로 모델링했기 때문에 블랙 박스로 가 제공되는 쿼리 문제의 최적의 예상 쿼리 복잡성으로이 문제를 해결하는 알고리즘의 예상 실행 시간을 낮출 수 있습니다. 같은 문제에 대한 해결책. 그리고 는 랜덤 오라클 이기 때문에 예상되는 쿼리 복잡도는 요소의 일부와 반비례합니다. Ψ ( C ) Ψ H ( C ; r ) x f ( H ( r , x ) ) C H H H x ∈ { 0 , 1 } k C T ≈ 2 k 2 - k ℓ ≫ k r ∈ { 0 , 1 } ℓ H C r $\mathcal{C}$$\Psi(\mathcal{C})$$\Psi_H(\mathcal{C}; r)$$x$$f(H(r,x))$$\mathcal{C}$$H$$H$$H$$x \in \{0,1\}^k$ (최대 상수). 가정하여 에 대한 알고리즘의 최적 예상 실행 시간 은 이므로이 분수는 보다 훨씬 클 수 없습니다 . 이후 과 임의로 선택되고, 이것에 의존하는 것이 허용되는 전처리 심지어 사실 및 (그러나 ) , 특히 에 대한 솔루션을 미리 알고있는 경우에도 마찬가지 입니다.$\mathcal{C}$$T \approx 2^{k}$$2^{-k}$$\ell \gg k$$r \in \{0,1\}^\ell$$H$$\mathcal{C}$$r$$\mathcal{C}$

솔루션 복권 기술 (SLT)이라고하는 다음의 간단한 기술은 다른 기술 (예 : 다중 POW 문제, Noah Stephens-Davidowitz의 답변에 언급 된 기술 등)과 함께 사용하여 계산 문제를 실행 가능한 증거로 변환 할 수 있습니다. 작업 문제. SLT는 조건 1-4 이외의 cryptocurrency 마이닝 문제와 관련된 문제를 개선하는 데 도움이됩니다.

가 " 와 같이 문자열 와 함께 적절한 해시 를 찾는"형식의 계산 문제 라고 가정합니다 . k x ( k , x ) ∈ $\mathcal{C}$$k$$x$$(k,x)\in D$

문제 설정 : 가 집합이고 가 암호화 해시 함수이고 가 일정 하다고 가정합니다 . 는 결정한 후에는 쉽게 얻을 수 있지만 다른 방법으로는 얻을 수없는 정보 라고 가정하자 .D H C 데이터 ( k , x ) ( k , x ) ∈ $\Psi(\mathcal{C})$$D$$H$$C$$\textrm{Data}(k,x)$$(k,x)\in D$

문제 목적 : 쌍 찾기 되도록 적합한 해시 곳인 , 및 .( K , X ) (K) ( K , X ) ∈ D H ( K | | X | | 데이터 ( K , X ) ) < $\Psi(\mathcal{C})$$(k,x)$$k$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$

이제 문제 가 요구 사항 1-4를 어떻게 충족시키는 지 조사해 보겠습니다 .$\Psi(\mathcal{C})$

1. SLT가이 속성을 만족시키기 위해서는 이 이미 랜덤 화 되어 있다고 가정해야 합니다.$\mathcal{C}$

2-3. 일반적으로보다 더 어려워 질 것 이 좋은 것입니다. 작업 증명 문제의 난이도는 미세 조정 가능해야하지만 원래 문제 는 미세 조정 가능 난이도를 갖거나 갖지 않을 수 있습니다 (비트 코인 채굴의 난이도는 2 주마다 조정됨을 기억하십시오) . 문제 의 어려움은 에 곱한 적절한 를 찾는 어려움과 같습니다 . 따라서 상수 는 미세 조정 가능하므로 의 난이도 미세 조정 가능합니다.C C Ψ ( C ) ( K , X ) ∈ D 2 $\Psi(\mathcal{C})$$\mathcal{C}$$\mathcal{C}$$\Psi(\mathcal{C})$$(k,x)\in D$ CΨ(C$\frac{2^{n}}{C}$$C$$\Psi(\mathcal{C})$

문제에도 불구하고 원래의 문제보다 더 어려운 거의 모든 문제를 해결하기위한 작업으로, 단순히 발견에 소요됩니다 쌍 와 오히려 해시를 계산하는 것보다 (한 계산할 수 있는지 여부까지 한 는 계산 했으며 확인하지 않으면 계산할 수 없습니다 .C Ψ ( C ) ( K , X ) ( K , X ) ∈ D H ( K | | X | | 데이터 ( K , X ) ) < C 데이터 ( K , X ) 의 데이터 ( K , X ) 데이터 ( k , x ) ∈ $\Psi(\mathcal{C})$$\mathcal{C}$$\Psi(\mathcal{C})$$(k,x)$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$$\textrm{Data}(k,x)$$\textrm{Data}(k,x)$$\textrm{Data}(k,x)\in D$

물론, 사실은 보다 더 어렵다 선물 몇 가지 새로운 문제. 유용한 문제의 경우 일부 데이터베이스 에서 쌍 을 저장하려는 경우가 많습니다 . 그러나, 블록 상을 수신하기 위해 상기 광부 쌍 공개 만한다 및 대신 모든 쌍 의 여부에 관계없이 여부. 이 문제에 대한 한가지 가능한 해결책은 단순히 모든 광부 쌍 공개위한C ( K , X ) ( K , X ) ∈ D ( K , X ) ( K , X ) ∈ D H ( K | | X | | 데이터 ( K , X ) ) < C ( K , X ) ∈ D H ( k | | x | $\Psi(\mathcal{C})$$\mathcal{C}$$(k,x)$$(k,x)\in D$$(k,x)$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$$(k,x)\in D$( k , x ) ( k , x ) ∈ D ( k , x ) ∈ D ( k , x ) ∈ D Ψ ( C ) $H(k||x||\textrm{Data}(k,x))<C$$(k,x)$$(k,x)\in D$의례에서. 채굴자가 공정한 몫 게시하지 않은 경우 채굴자는 체인을 거부 할 수도 있습니다 . 아마도 가장 긴 유효 체인을 가진 사람에 대한 계산을 위해 의 쌍 수 계산해야 할 것입니다. 대부분의 광부가 솔루션을 게시하면 해결 프로세스는 해결 프로세스만큼 많은 솔루션을 생성 합니다.$(k,x)\in D$$(k,x)\in D$$\Psi(\mathcal{C})$$\mathcal{C}$

광부는 쌍 모든 배치 시나리오에서 , 조건 2-3의 사상을 만족하는 것이다.Ψ ( C$(k,x)\in D$$\Psi(\mathcal{C})$

4. $\Psi(\mathcal{C})$ 는 특정 문제에 따라 조건 충족시킬 수도 있고 충족하지 않을 수도 있습니다.$4$

$\textbf{Other Advantages of this technique:}$

SLT는 작업 증명 문제에 바람직하거나 필요한 조건 1 ~ 4 이외의 다른 장점을 제공합니다.

1. 보안 / 효율성 균형 개선 : SLT는 가 해결하기 쉽지 않거나 검증하기 어려운 경우에 도움이됩니다 . 일반적 보다 훨씬 더 어려운 해결하고자 하지만 으로 확인하기 쉬운 등 관한 . Ψ ( C ) C Ψ ( C ) $\mathcal{C}$$\Psi(\mathcal{C})$$\mathcal{C}$$\Psi(\mathcal{C})$$\mathcal{C}$

2. 손상되거나 안전하지 않은 문제 제거 : SLT를 사용하여 백업 POW 문제 및 여러 POW 문제가있는 암호 화폐의 잘못된 POW 문제를 알고리즘 적으로 제거 할 수 있습니다. 엔티티가 문제를 해결하기위한 매우 빠른 알고리즘을 찾는다고 가정하십시오 . 그런 문제는 더 이상 적합한 작업 증명 문제가 아니므로 암호 화폐에서 제거해야합니다. 따라서 cryptocurrency 에는 누군가 문제를 너무 빨리 해결하지만 그렇지 않은 경우 문제를 제거하지 않는 알고리즘을 게시 할 때마다 cryptocurrency에서 를 제거하는 알고리즘이 있어야합니다 . 다음은 문제라고 부르는 문제를 제거하는 데 사용되는 문제 제거 알고리즘에 대한 개요입니다.C C C$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$A$.

에이. Alice는 큰 비용을 지불하고 (이 비용은 알고리즘을 확인하기 위해 채굴자가 부담하는 비용을 부담합니다) 그런 다음 문제 를 중단시키는 알고리즘 K라고하는 알고리즘 을 블록 체인에 게시합니다 . 알고리즘 K가 대량의 사전 계산 된 데이터 의존하는 경우 Alice는이 사전 계산 된 데이터 의 Merkle 루트를 게시합니다 .P C P $A$$PC$$PC$

비. 문제 A의 무작위 인스턴스는 블록 체인에 의해 생성됩니다. 그런 다음 Alice는 데이터가 실제로 에서 온 것임을 증명하기 위해 알고리즘 K가 Merkle 분기와 함께 올바르게 작동하는 데 필요한 사전 계산 된 데이터 부분을 게시합니다 . Alice의 알고리즘이 사전 계산 된 데이터 빠르게 공급 된 경우 문제가 제거되고 Alice는 문제를 블록 체인에서 제거하는 알고리즘 게시에 대한 보상을받습니다.P $PC$$PC$

이 문제 제거 절차는 광부와 유효성 검사기에서 계산 비용이 많이 듭니다. 그러나 SLT는이 기술의 계산상의 어려움을 대부분 제거하여 cryptocurrency에 필요한 경우 사용할 수 있습니다 (이 기술이 사용되는 인스턴스는 아마도 드 rare니다).

3. 채굴 풀이 더 실현 가능합니다. 암호 화폐에서는 종종 블록 보상을 얻는 것이 매우 어렵습니다. 블록 보상은 승리하기가 매우 어렵 기 때문에, 광부 는 문제를 해결하기 위해 자원을 결합하고 발견 한“미스 누락”량에 비례하여 블록 보상을 공유하는 마이닝 풀이 라는 것을 채굴 합니다. . 대한 가능한 문제 이 문제에 대해 "위기 일발"로 구성하는 것에 대한 질적 개념을 생산하기 어려울 수 있다는 것이다 로부터 상이 할 수 있으며, 가까운 미스를 찾기위한 알고리즘을 해결을위한 알고리즘 . 수영장 광부들은 미스에 가까운 곳을 찾고 있기 때문에 해결에 그다지 효율적이지 않을 수 있습니다C C C Ψ ( C ) ( k , x ) ( k , x ) ∈ D H ( k | | x | | 데이터 ( k , x ) ) ≥ C Ψ ( C ) Ψ ( C$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$ (따라서 소수의 사람들이 마이닝 풀에 참여할 것입니다). 그러나 대한 , 가까운 양의 명확한 개념이있다, 즉, 거의 미스 한 쌍 그러나 이며 대한 근사값을 찾는 알고리즘은 대한 해답을 찾는 알고리즘과 같습니다. .$\Psi(\mathcal{C})$$(k,x)$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))\geq C$$\Psi(\mathcal{C})$$\Psi(\mathcal{C})$

4. 무 진행 : 엔티티 또는 엔티티 그룹이 블록 체인에서 다음 블록을 찾는 데 걸리는 시간이 지수 분포 따르는 경우 작업 증명 문제 는 무 진행이라고합니다. 여기서 상수 는 엔티티가 문제 를 해결하기 위해 사용하는 계산 능력의 양에 직접 비례합니다 . 채굴자가 분산화를 달성하기 위해 채굴 능력에 비례하여 블록 보상을 받으려면 cryptocurrency 채굴 문제에 무 진행이 필요합니다. SLT는 채굴 문제가 진행 상황을 달성하도록 확실히 도와줍니다.전자 - λ X λ $P$$e^{-\lambda x}$$\lambda$$P$