Чи можна будь-який обчислювальний виклик перетворити на перевірку роботи?

Начебто безглуздість видобутку криптовалют поставила питання про корисні альтернативи, див. Ці питання на Bitcoin , CST , MO . Цікаво, чи існує алгоритм, який може перетворити практично будь-який обчислювальний виклик (рішення якого можна перевірити ефективно) в інший такий виклик (який використовується для перевірки роботи) таким, що$\mathcal C$$\Psi(\mathcal C)$

1. Функція рандомізована, використовуючи деяку (загальнодоступну) випадкову послідовність .$\Psi$$r$
2. Рішення є , як правило , настільки ж важко , як рішення .$\Psi(\mathcal C)$$\mathcal C$
3. Якщо рішення буде знайдено , то рішення може бути ефективно обчислено для вихідної завдання .$x$$\Psi(\mathcal C)$$\Psi^{-1}(x)$$\mathcal C$
4. Знання рішення для не допомагає знайти рішення для .$\mathcal C$$\Psi(\mathcal C)$

$\;\:\:$ 4 '(оновлення). Як вказує Ной у коментарі, попередня умова повинна бути посилена до того, щоб вимагати, щоб попередня обробка також не повинна давати переваги у вирішенні .$\mathcal C$$\Psi(\mathcal C)$

Це остання умова необхідно для того , що ніхто не може бути введений в вигідне становище тільки тому , що вони знають рішення . Використовуючи цей метод, люди могли подавати обчислювальні проблеми, які вони хочуть вирішити, а центральний орган може обрати деякі варті вирішення (наприклад, пошук прибульців проти зламу паролів). Зауважте, що це, мабуть, не є проблемою, якщо для вирішення проблеми потрібен навіть тиждень (я думаю, що ці прибульці не можуть так добре ховатися;), оскільки це може призвести до більшої винагороди за рішення. У будь-якому випадку ці теми не пов'язані з вирішенням моєї теоретичної проблеми, але, звичайно, я радий обговорити їх у коментарях / на форумі.$\mathcal C$

Можливим рішенням буде наступне: карти в , тобто до вирішення \ mathcal C і деяких інших, обчислювально жорсткий виклик. Одна з проблем полягає в тому, що знання рішення \ mathcal C робить рішення \ Psi (\ mathcal C) дещо простішим (наскільки простіше залежить від складності HASH_r ). Інша проблема полягає в тому , що \ Psi (\ mathcal C) став більш складним , ніж \ mathcal C .$\Psi$$\mathcal C$$(\mathcal C,HASH_r)$$\mathcal C$$\mathcal C$$\Psi(\mathcal C)$$HASH_r$$\Psi(\mathcal C)$$\mathcal C$

( Примітка : Андреас Бьорклунд запропонував рішення у коментарях, які, на мою думку, є кращими, ніж описано нижче. Див. Http://eprint.iacr.org/2017/203 , Бал, Розен, Сабін та Васудеван. Коротше кажучи, вони дають докази роботи, заснованої на таких проблемах, як Ортогональні Вектори, твердість яких добре зрозуміла і до яких багато проблем (наприклад, k-SAT) можна порівняно ефективно зменшити. Їх екземпляр PoW такий же важкий, як в гіршому випадку ортогональні вектори, навіть якщо вхідний екземпляр простий, так що вони уникають серйозного недоліку рішення, описаного нижче.$\Psi(\mathcal{C})$$\mathcal{C}$

Описане нижче рішення може отримати користь від його простоти --- його можна описати неексперту ---, але мені теоретично це здається набагато менш цікавим.)

Рішення можливе, якщо можна зробити чітке припущення, що "найшвидший алгоритм для є принципово рандомізованим" (і якщо ми змоделюємо криптографічну хеш-функцію як випадковий оракул). Один із способів формалізувати це - сказати це$\mathcal{C}$

1. $\mathcal{C} \in \mathsf{TFNP} \setminus \mathsf{FP}$ (інакше, я думаю, це насправді не є дійсним викликом);
2. найшвидший рандомізований алгоритм для працює у очікуваний час у типовому випадку; і$\mathcal{C}$$T$
3. існує ефективно обчислювана функція від до області розв’язків до для така, що завжди існує з рішення .{ 0 , 1 } k C k ≈ log 2 T s ∈ { 0 , 1 } k f ( s ) $f$$\{0,1\}^k$$\mathcal{C}$$k \approx \log_2 T$$s \in \{0,1\}^k$$f(s)$$\mathcal{C}$

Зауважимо, що припущення, що означає, що пошук грубої сили , по суті, є оптимальним алгоритмом для . Отже, це досить сильне припущення. З іншого боку, якщо не задовольняє цим властивостям, мені важко уявити, щоб вони задовольнили і ваші умови (2), і (4).{ 0 , 1 } k C $k \approx \log_2 T$$\{0,1\}^k$$\mathcal{C}$$\mathcal{C}$

Тоді, задавши хеш-функцію , яку ми як випадковий оракул, визначимо наступним чином, де для деякого є випадковим входом до . Мета - вивести так, що є рішенням . Іншими словами, має бути хеш для "хороших випадкових монет" для вищевказаного алгоритму.Ψ H ( C ; r ) r ∈ { 0 , 1 } ℓ ℓ ≫ $H : \{0,1\}^* \to \{0,1\}^k$$\Psi_H(\mathcal{C}; r)$$r \in \{0,1\}^\ell$$\ell \gg k$ x ∈ { 0 , 1 } ∗ f ( H ( r , x ) ) C ( r , x $\Psi_H$$x \in \{0,1\}^*$$f(H(r,x))$$\mathcal{C}$$(r,x)$

Давайте подивимось, що це задовольняє всі ваші умови.

1. "Функція рандомізована, використовуючи деяку (загальнодоступну) випадкову послідовність ." Перевір!$\Psi$$r$
2. "Розв’язування як правило, таке ж важке, як і рішення ." Зауважте, що простий рандомізований алгоритм для працює в очікуваний час не більше ніж плюс поліном накладних витрат, і, за припущенням, є по суті час роботи оптимального алгоритму для .C Ψ H ( C , r ) 2 k 2 k ≈ T $\Psi(\mathcal{C})$$\mathcal{C}$$\Psi_H(\mathcal{C},r)$$2^k$$2^k \approx T$$\mathcal{C}$
3. "Якщо для знайдено рішення , то рішення може бути ефективно обчислено для початкового завдання ." Це можна зробити за допомогою обчислення , що є рішенням за припущенням.$x$Ψ - 1 ( x ) C f ( H ( r , x ) ) $\Psi(\mathcal{C})$$\Psi^{-1}(x)$$\mathcal{C}$$f(H(r,x))$$\mathcal{C}$
4. "Знання рішення для не допомагає знайти рішення для ." За визначенням, розв’язання вимагає знаходження такого, що є рішенням . Оскільки ми моделювали як випадковий оракул, ми можемо знизити очікуваний час роботи будь-якого алгоритму, який вирішує цю проблему оптимальною очікуваною складністю запиту задачі, в якій задається чорним полем, і нам пропонується знайти рішення тієї ж проблеми. І знову ж таки тому, що - випадковий оракул, очікувана складність запиту - це просто обернена частка елементів Ψ ( C ) Ψ H ( C ; r ) x f ( H ( r , x ) ) C H H H x ∈ { 0 $\mathcal{C}$$\Psi(\mathcal{C})$$\Psi_H(\mathcal{C}; r)$$x$$f(H(r,x))$$\mathcal{C}$$H$$H$$H$C T ≈ 2 k 2 - k ℓ ≫ k r ∈ { 0 , 1 } ℓ H C r $x \in \{0,1\}^k$ це рішення (до постійного коефіцієнта). За припущенням, оптимальним очікуваним часом виконання будь-якого алгоритму для є , з чого випливає, що ця частка не може бути значно більшою за . Оскільки і вибрано рівномірно рівномірно, це навіть вірно з попередньою обробкою, дозволеною залежати від та (але не ) , і зокрема це правда, навіть якщо ми знаємо рішення заздалегідь.$\mathcal{C}$$T \approx 2^{k}$$2^{-k}$$\ell \gg k$$r \in \{0,1\}^\ell$$H$$\mathcal{C}$$r$$\mathcal{C}$

Наступна проста техніка, яку я називаю технікою лотереї рішення (SLT), може бути використана разом з іншими методами (наприклад, з численними проблемами військовополонених, технікою, згаданою у відповіді Ноя Стівенса-Давидовиця тощо), щоб допомогти перетворити обчислювальні завдання у життєздатні докази проблем з роботою. SLT допомагає вирішити проблеми з проблемами видобутку криптовалют, крім умов 1-4.

Припустимо, що є обчислювальним викликом форми "знайти підходящий хеш разом із рядком таким, що ". k x ( k , x ) ∈ $\mathcal{C}$$k$$x$$(k,x)\in D$

Налаштування проблеми : Припустимо, що - це множина, - криптографічна хеш-функція, а - деяка константа. Припустимо також, що - це інформація, яку легко отримати після того, як буде визначено, що але яку не можна отримати інакше.D H C Дані ( k , x ) ( k , x ) ∈ $\Psi(\mathcal{C})$$D$$H$$C$$\textrm{Data}(k,x)$$(k,x)\in D$

Завдання мета: Знайдіть пару таку, що - підходящий хеш і де , а де .( k , x $\Psi(\mathcal{C})$$(k,x)$( k , x ) ∈ D H ( k | | x | | Дані ( k , x ) ) < $k$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$

Давайте дослідимо, як проблема відповідає вимогам 1-4.$\Psi(\mathcal{C})$

1. Ми повинні припустити, що вже рандомізований, щоб SLT задовольнив цю властивість.$\mathcal{C}$

2-3. зазвичай стане складніше, ніж і це добре. Складність проблеми з підтвердженням роботи повинна бути чітко відрегульована, але початкова проблема може мати або не мати тонко налаштованого рівня складності (пам’ятайте, що складність у видобутку Bitcoin коректується кожні два тижні) . Складність задачі дорівнює складності пошуку деякого придатного помноженого на . Тому, оскільки константа тонко налаштована, складність також тонко налаштована.C C Ψ ( C ) ( k , x ) ∈ D 2 $\Psi(\mathcal{C})$$\mathcal{C}$$\mathcal{C}$$\Psi(\mathcal{C})$$(k,x)\in D$ CΨ(C$\frac{2^{n}}{C}$$C$$\Psi(\mathcal{C})$

Навіть незважаючи на те, що проблема є складнішою за початкову задачу , майже вся робота з вирішення проблеми буде витрачена на просто пошук пара з а не обчислення хешей (не можна обчислити, чи чи ні до одного обчислює і не може обчислити якщо не перевірити, що ).C Ψ ( C ) ( k , x ) ( k , x ) ∈ D H ( k | | x | | Дані ( k , x ) $\Psi(\mathcal{C})$$\mathcal{C}$$\Psi(\mathcal{C})$$(k,x)$$(k,x)\in D$Дані ( k , x ) Дані ( k , x ) Дані ( k , x ) ∈ $H(k||x||\textrm{Data}(k,x))<C$$\textrm{Data}(k,x)$$\textrm{Data}(k,x)$$\textrm{Data}(k,x)\in D$

Звичайно, той факт, що складніше, ніж викликає нові проблеми. Для корисної проблеми, найімовірніше, випадок, коли б хотілося зберігати пари де в якійсь базі даних. Однак, щоб отримати винагороду блоку, шахтар повинен виявити лише пару де і замість усіх пар незалежно від того, чи ні. Одне можливе рішення цієї проблеми полягає в тому, щоб шахтарі просто розкрили всі пари деC ( k , x ) ( k , x ) ∈ D ( k , x ) ( k , x ) ∈ D H ( k | | x | | Дані ( k , x ) ) < C ( k , x ) ∈ D H ( k | | x | $\Psi(\mathcal{C})$$\mathcal{C}$$(k,x)$$(k,x)\in D$$(k,x)$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$$(k,x)\in D$( k , x ) ( k , x ) ∈ D ( k , x ) ∈ D ( k , x ) ∈ D Ψ ( C ) $H(k||x||\textrm{Data}(k,x))<C$$(k,x)$$(k,x)\in D$з ввічливості. Шахтарі також матимуть можливість відхиляти ланцюга , якщо шахтарі не відправили свою справедливу частку пара . Можливо, слід порахувати кількість пар для обчислення того, хто також має найдовший дійсний ланцюг. Якщо більшість шахтарів розміщують свої рішення, тоді процес розв’язування дасть стільки ж рішень, скільки і процес розв’язання .$(k,x)\in D$$(k,x)\in D$$\Psi(\mathcal{C})$$\mathcal{C}$

У сценарії, коли шахтарі розміщують усі пари , задовольняє духу умов 2-3.Ψ ( C$(k,x)\in D$$\Psi(\mathcal{C})$

4. $\Psi(\mathcal{C})$ може або не може задовольнити умову залежно від конкретної проблеми.$4$

$\textbf{Other Advantages of this technique:}$

SLT пропонує інші переваги, ніж умови 1-4, які бажані або необхідні для проблеми з підтвердженням роботи.

1. Поліпшення балансу безпеки / ефективності: SLT допоможе в тому випадку, якщо може бути занадто простим для вирішення або занадто складним для перевірки. Взагалі вирішити набагато складніше, ніж , але приблизно так само легко перевірити, як . Ψ ( C ) C Ψ ( C ) $\mathcal{C}$$\Psi(\mathcal{C})$$\mathcal{C}$$\Psi(\mathcal{C})$$\mathcal{C}$

2. Усунення зламаної / небезпечної проблеми: SLT може використовуватися для алгоритмічного усунення поганих проблем з військовополоненими в криптовалюті з резервною проблемою POW та кількома проблемами військовополонених. Припустимо, що сутність знаходить дуже швидкий алгоритм для вирішення задачі . Тоді така проблема вже не є підходящою проблемою з підтвердженням роботи, і її слід видалити з криптовалюти. Тому криптовалюта повинна мати алгоритм, який видаляє з криптовалюти, коли хтось опублікував алгоритм, який занадто швидко вирішує проблему але ніколи не усуває проблему іншому випадку. Ось контур такого алгоритму усунення проблеми, який використовується для видалення проблеми, яку ми будемо називати проблемоюC C C$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$A$.

а. Аліса сплачує велику плату (плата покриє витрати, які несуть шахтарі за перевірку алгоритму), а потім розміщує алгоритм, який ми будемо називати алгоритмом K, який порушує проблему в блокчейн. Якщо алгоритм K спирається на велику кількість , що попередньо обчислюються , то Аліса розміщує корінь Меркле цього .P C P $A$$PC$$PC$

б. Випадкові випадки проблеми A створюються Blockchain. Потім Аліса розміщує частини попередньо обчислених даних, необхідних для алгоритму K для коректної роботи разом із їхньою гілкою Меркле, щоб довести, що дані насправді надходили з . Якщо алгоритм Аліси швидко подається за допомогою попередньо обчислених даних , проблема усувається, і Аліса отримує винагороду за розміщення алгоритму, який видаляє проблему з блокчейна.P $PC$$PC$

Ця процедура усунення проблеми є обчислювально дорогою для шахтарів та валідаторів. Однак, SLT усуває більшість обчислювальних труднощів цієї методики, так що її можна буде використовувати при необхідності в криптовалюті (випадки, в яких використовується ця методика, ймовірно, є досить рідкісними).

3. Видобуток басейнів є більш здійсненним: у криптовалютах часто дуже важко виграти блок-винагороду. Оскільки виграшів у блоках дуже важко здобути, шахтарі часто шахтують у речах, що називаються майнінг-пулами, в яких шахтарі об'єднують свої ресурси для вирішення проблеми, і в яких вони ділять блок-винагороду пропорційно кількості знайдених «близьких промахів». . Можливою проблемою для є те, що може бути важко скласти якісне уявлення про те, що є "близьким промахом" для проблеми і алгоритм пошуку близької пропуски може відрізнятися від алгоритм розв’язування . Оскільки шахтарі басейну будуть шукати близьких промахів, вони можуть бути не дуже ефективними у вирішенніC C C Ψ ( C ) ( k , x ) ( k , x ) ∈ D H ( k | | x | | | $\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$ (і, отже, мало людей приєднається до видобувних басейнів). Однак для існує чітке поняття про скорочення пропуску, а саме: близька міс - пара де але де , а алгоритм пошуку близьких пропусків для буде таким самим, як алгоритм пошуку рішень для .$\Psi(\mathcal{C})$$(k,x)$$(k,x)\in D$Ψ ( C ) Ψ ( C$H(k||x||\textrm{Data}(k,x))\geq C$$\Psi(\mathcal{C})$$\Psi(\mathcal{C})$

4. Свобода прогресу: Проблема з підтвердженням роботи як вважається, не є прогресом, якщо кількість часу, яке потрібне суб'єкту чи групі об'єктів, щоб знайти наступний блок на блокчейні, слід за експоненціальним розподілом де константа прямо пропорційний кількості обчислювальної потужності , що підприємство використовує для вирішення завдання . Для проблем з видобутком криптовалют необхідна свобода прогресу для того, щоб шахтарі отримали блок-винагороду пропорційно їх потужності для видобутку для досягнення децентралізації. SLT, безумовно, допомагає гірничим проблемам досягти прогресу.e - λ x λ $P$$e^{-\lambda x}$$\lambda$$P$