ビットコイン：分散型電子マネーシステム

中本S氏によるオリジナル記事「ビットコイン：ピアツーピア電子キャッシュシステム」の 無料翻訳をコミュニティの注目を集めています。



翻訳者から：

私はプロの翻訳者ではなく、暗号技術も得意ではありませんが、最近ビットコインテクノロジーに興味を持ち、基礎から勉強を始めたいと思いました。 簡単なインターネット検索では、中本Sの創立記事の翻訳は得られなかったので、自分で翻訳してみることにしました。

翻訳が開始されて間もなく、私は英語が記事の著者の母国語ではない可能性が高いことに気付きました。 しかし、ほとんどの困難は克服され、私はこの最終製品を公開することにしました。





まもなく。

    電子決済の完全分散バージョン
    財政なしで直接オンライン支払いを許可します
    組織。 デジタル署名はソリューションの一部に過ぎず、すべての利点があります
    あなたはまだ信頼が必要であるという事実のために失われます
    同じ資金を使うことができないようにセンター
    数回（再利用可能な問題）。 私たちは
    再利用の問題に対する解決策を提供する
    分散ネットワーク技術を使用します。 そのような決定
    トランザクションを（ネットワークタイムスタンプとともに）に送信しています
    レコードを形成する困難なハッシュチェーンの形で
    ハッシュチェーンを計算せずに変更することはできません。 最長 
    チェーンは最も信頼できる証拠です 
    その作成時の事実によるイベントのシーケンス
    最も多くの計算能力を費やしました。 以来
    主な処理能力はノードによって制御されます
    侵入者に関連しないネットワーク、これらのノードは
    攻撃者よりも速く、長いチェーンを生成します。 彼女自身
    ネットワーク自体には最小限の構造が必要です。 最高の
    パフォーマンスメッセージがブロードキャストされる、
    ノードはネットワークを離れて再び参加し、受け入れ、
    生成された最長のハッシュチェーンを記録しながら
    ノードがない場合。

1.はじめに

インターネット上の電子決済は、支払いを行うための信頼できる第三者である金融機関にほぼ完全に依存しています。 このシステムはほとんどのトランザクションでうまく機能しますが、先天的な欠陥、つまり信頼ベースのモデルに悩まされています。



金融機関は仲介業者との紛争を避けることができないため、完全に返金不可の支払いは不可能です。 仲介業者に関連する費用は取引費用を増加させ、これは最小取引規模の制限につながり、毎日の小額の支払いを不適切にします。 さらに、取消不能なサービスを提供するサービスに対して取消不能な支払いを行うことができないため、価格が上昇します。 戻る能力には信頼できる仲介者が必要です。 売り手は顧客に注意を払わざるを得ず、取り消せない支払いの可能性がある場合に必要とされるよりも多くの情報を顧客に要求します。 リターンの一定の割合は避けられないと想定されます。 買い手が普通のお金を使用すれば、これらのコストと疑念を避けることができますが、信頼できる仲介者なしでインターネット上で支払いを行うメカニズムはありません。



そのため、信頼ではなく暗号の複雑さに基づいて、2つの当事者が信頼できる仲介者なしで相互に転送できるようにする電子決済システムが必要です。 取り消すことがほとんど不可能な取引は、売り手を詐欺師から保護し、定期的なエスクローメカニズムを簡単に実装して、買い手を保護できます。 この記事では、複雑なトランザクションを時系列で生成する分散型タイムスタンプサーバーを使用して、資金の再利用の問題に対するソリューションを提案します。 フレンドリーノードが攻撃者のどのグループよりも多くのコンピューティングパワーを同時に制御している限り、システムは安全です。

2.トランザクション

デジタル署名のチェーンを電子コインと呼びます。 各所有者はコインを次のコインに送信し、前のトランザクションのハッシュをデジタル署名し、チェーンの最後に公開キーを追加します。 受取人は、所有者のチェーンを確認することで署名（コイン）を確認できます。







もちろん、問題は、以前の所有者の誰かが同じお金を2回使ったかどうかを受取人が知ることができないことです。 通常、この問題は、信頼できる一元化された組織、つまり各トランザクションの二重支出をチェックする仲介者を使用することで解決されます。 各トランザクションの後、コインは古いコインの代わりに新しいコインを発行する仲介者に戻らなければならず、仲介者によって発行されたコインのみが2回使用されないことが保証されます。

このアプローチの問題は、金融システム全体の運命が仲介会社に依存していることです。なぜなら、すべての取引は銀行を介して行われるためです。



したがって、受取人が送信者が他の誰かに同じコインを支払っていないことを知る方法が必要です。 私たちの場合、以前の取引履歴のみが重要であり、コインを二重に使用しようとする次の試みは気にしません。 トランザクションが存在しないことを確認する唯一の方法は、すべてのトランザクションを知ることです。 仲介者を含むモデルでは、仲介者はすべてのトランザクションとその順序を知っています。 信頼できる仲介者なしでこれを達成するには、すべてのトランザクションが全員に知られている必要があります。 すべての支払いの単一の履歴について参加者が同意するシステムが必要です。 受取人は、取引中に、ほとんどの参加者が初めて受領したことに同意することを確認する必要があります。

3.タイムスタンプサーバー

当社が提供するソリューションは、タイムスタンプサーバーに基づいています。 タイムスタンプサーバーの操作は、レコードのブロックをハッシュし、時間を記憶し、ハッシュを公開することです。 タイムスタンプは、データがその時点で存在し、ハッシュのために到着した順序で存在したことの証拠として機能します。 各タイムスタンプのハッシュには前のタイムスタンプが含まれ、後続の各タイムスタンプが前のタイムスタンプを確認するチェーンを形成します。

4.複雑な計算。

分散ネットワークに基づいてタイムスタンプサーバーを実装するには、Hashcashなどの複雑な計算アルゴリズムを使用する必要があります。 複雑な計算には、SHA-256アルゴリズムでハッシュされたときに、多数のゼロビットで始まるハッシュを与える値を見つけることが含まれます。 平均計算時間は、ゼロビットの数が増えると指数関数的に増加し、単一のハッシュを計算することで結果を検証できます。



タイムスタンプサーバーでは、ブロック内の特別な変数（nonce）によって単位を増やして、希望する数のゼロビットのハッシュが見つかるまで、複雑な計算を実装します。 複雑な計算を実行する時間が費やされると、ブロックを変更するには、計算をやり直す必要があります。 次のブロックはチェーンを形成するため、ブロックを変更する作業には、その後のすべてのブロックを変更する作業が含まれます。





検証可能な複雑な計算は、ほとんどの参加者から確認を取得する問題も解決します。 「1つのIPアドレス-1つの投票」の原則に基づく確認は、多くのIPアドレスを管理している人なら誰でも信用を失う可能性があります。 チェックコンピューティングは基本的に「1プロセッサ-1票」です。 大多数からの確認は最長のチェーンであり、その作成には最大の計算能力が費やされました。 コアコンピューティングパワーが正直な参加者によって制御されている場合、正直なチェーンは悪意のある参加者のチェーンよりも速く成長します。 ブロックを変更するには、攻撃者はこのブロックに関連付けられた複雑な計算を実行する必要があります。その後のすべてのブロックと同様に、正直なブロックビルダーに追いついて追い越す必要があります。 さらに、遅い攻撃者では、新しいブロックが追加されると、追いつく能力が指数関数的に減少することを示します。

5.ネットワーク

次の手順では、ネットワークの動作について説明します。

1）新しいトランザクションがすべてのノードにブロードキャストされます

2）各ノードは新しいトランザクションをブロックに入れます

3）各ノードは複雑な計算を実行してブロックを見つけます

4）ノードがそのブロックのソリューションを見つけると、このブロックをすべてのノードにブロードキャストします。

5）ノードは、ブロック内のすべてのトランザクションが正しく期限切れでない場合にのみブロックを受け入れます。

6）ブロックを受け入れるノードの同意は、受信したブロックのハッシュを前のハッシュとして使用して、ノードがチェーン内の次のブロックの作成作業を開始するという事実で表されます。



ノードは常に最も長いチェーンを正しいと認識し、それを増やすことに取り組んでいます。 2つのノードが次のブロックの異なるバージョンを同時にブロードキャストする場合、ノードは異なるバージョンで各バージョンを受信できます。 この場合、ノードは以前に受信したブロックで作業を開始しますが、後でより長いチェーンになる場合に備えて別のバージョンを保存する必要があります。 計算の次の段階が完了し、分岐の1つが他の分岐より長くなると、分岐は無視できます。 他のブランチと連携するノードは、最も長いノードに切り替わります。



新しいトランザクションのブロードキャストは、すべてのノードに到達する必要はありません。 多くのノードに到達するとすぐにユニットに含まれます。 ブロックブロードキャストがすべての人に届かない場合もあります。 ノードがブロックを受信して​​いない場合、チェーン内の欠落しているリンクを埋めるために次のブロックを受信したときにノードが要求します。

6.インセンティブ

ブロック内の最初のトランザクションは、ブロックの作成者に属する新しいコインを開始する特別なトランザクションになることに同意します。 これにより、ノードにネットワークを維持するインセンティブが追加され、コインを発行する中心的な権限がないため、最初にコインを流通させる方法が提供されます。 新しいコインの絶え間ない追加は、循環に金を追加するためにリソースが消費されるときの金採掘のようなものです。 この場合、プロセッサの時間と電力が消費されます。



インセンティブもトランザクションに存在する場合があります。 トランザクションの出力の値が入力の値よりも小さい場合、この差はトランザクションを含むブロックのインセンティブ値に加算されます。 所定の数のコインが発行されると、取引を通じてのみ刺激が実行されます。つまり、インフレは完全になくなります。



インセンティブは、ノードが正直でいることを奨励します。 貪欲な攻撃者がすべての正直なノードよりも多くのコンピューティングパワーを集めることができる場合、彼は選択を迫られます。コインを盗むことで人を欺くか、自分で新しいコインを生成するかです。 彼は、ルール、他のどの組み合わせよりも多くのコインを手に入れることができ、システムを損なうことのないルール、そしてそれ自身の状態でプレーする方が有益だと思うでしょう。

7.ディスク容量の使用

最近のトランザクションはブロックに書き込まれますが、拒否されたトランザクションもディスク領域を占有します。 ブロックハッシュを変更せずにこれを修正するために、トランザクションはマークルツリーでハッシュ化され、ルートのみがブロックハッシュに含まれます。 古いブロックは、木の枝をトリミングすることでパックできます。 内部ハッシュは保存できません。





非トランザクションブロックヘッダーは約80バイトかかります。 ブロックが10分ごとに生成される場合、80バイト* 6 * 24 * 365 = 4.2MB /年。 2008年、コンピューターは主に2GBのRAMで販売され、ムーアの法則により年間1.2GBの増加が予測されているため、ブロックヘッダーがメモリに保存されていてもディスク領域は問題になりません。

8.簡単な支払い確認

ノードには、ネットワーク全体に関する情報がない場合でも、支払いを確認する機能があります。 ユーザーは、最長のチェーンのブロックヘッダーのコピーを持っているだけで十分です。これは、最長のチェーンを受信したと判断するまで、ネットワークノードに問い合わせることによって取得できます。 その後、ユーザーはMerklブランチを受け取り、トランザクションを、トランザクションと同じタイムスタンプを持つブロックと照合します。 トランザクション自体を検証することはできませんが、チェーン内の場所と比較することで、ノードがそれを受け入れたこと、およびネットワークがこのトランザクションを受け入れたことを確認した後に追加されたブロックを確認できます。





もちろん、ネットワーク内のほとんどのノードが正直であれば、このようなチェックは可能ですが、ネットワークが攻撃者によって制御されている場合は脆弱です。 ホストは互いのトランザクションを検証できますが、攻撃者がネットワークを制御している場合、攻撃者は簡単な方法を使用してトランザクションを偽造できます。 これを防ぐ1つの方法は、ホストが間違ったブロックを検出したときに、ホストからのメッセージを処理することです。 メッセージを受信すると、ユーザープログラムはブロック全体と疑わしいトランザクションをロードして、通常の方法で検証できます。 支払いが頻繁に行われるビジネスの場合、最善の解決策は、トランザクションのより安全で高速な検証のための本格的なネットワークノードを持つことです。

9.金額を組み合わせて共有する

コインを個別に転送することはできますが、転送されるセントごとに個別のトランザクションを作成するのは面倒です。 金額を分割および結合できるようにするために、トランザクションには多くの入力と出力が含まれます。 通常、それらには、以前の大きなトランザクションからの1つの入力、または少量を組み合わせた多くの入力、および少なくとも2つの出力があります。1つは支払い用で、もう1つは変更がある場合は送信者に返送します。





すべてのトランザクションの履歴を復元する必要がないので、複数のトランザクションに依存するトランザクションのファンは、ここでは問題にならないことに注意してください。

10.守秘義務

従来の銀行モデルでは、関係するすべての関係者の情報へのアクセスを制限することにより、機密性が実現されます。 すべてのトランザクションを公表する必要があるため、このアプローチは不要になりますが、公開キーの匿名性により、機密性を維持できます。 誰もが誰かが特定の金額を誰かに送金したことを見ることができますが、この情報を特定の人と比較することはできません。 これは、取引の時間と規模は誰にも知られているが、取引の当事者は明らかにされていない取引所取引のようなものです。





追加のセキュリティシールドとして、共通の所有者にマッピングできないトランザクションごとに新しいキーペアを使用する必要があります。 すべての入力は同じ所有者に属すると見なされるため、多くの入力があるトランザクションでは、依然としていくつかの比較は避けられません。 リスクは、キーの所有者が特定されると、所有者の他のトランザクションを見つけることが可能になることです。

11.計算

攻撃者が正直なノードよりも速く代替チェーンを生成しようとするシナリオを考えてみてください。 これが成功しても、彼はシステムを変更することはできません。たとえば、空からコインを作成したり、誰にも転送されていないコインを受け取ったりすることはできません。 ノードは間違ったトランザクションを支払いとして受け入れず、正直なノードは間違ったトランザクションのブロックを受け入れません。 攻撃者は、最近行った支払いを自分自身に戻すことによって、自分のトランザクションの1つのみを変更できます。



正直なチェーンと攻撃者のチェーンの間の競争は、二項ランダムウォークの観点から説明できます。 成功したイベントとは、ターゲットに+1で近づくと正直なチェーンが1ブロック増加することであり、失敗したイベントとは、攻撃者のチェーンで1ブロック増加し、リードが-1減少することです。



制約された環境で攻撃する攻撃者の能力は、ギャンブラーの破滅問題（ギャンブラーの胸像）の説明に似ています。 クレジットが無制限のギャンブラーが制約条件の下でゲームを開始し、無制限の数のゲームを保持して勝ち取ろうとするとします。 偶然の確率、または攻撃者が正直なチェーンビルダーを追い抜く確率を計算できます。



p =正直なホストが次のブロックを見つける確率

q =攻撃者が次のブロックを見つける確率

q _z =攻撃者がzブロック遅れている場合にレースに勝つ確率







p> qとすると、攻撃者が遅れているブロックの数が増えると、確率は指数関数的に減少します。 したがって、もし彼が最初の段階で前進することができなければ、将来勝つ可能性はほとんどなくなります。



次に、送信者がトランザクションを変更できないことを確認するために、受取人が待機する時間を検討します。 送信者が攻撃者であり、受信者に支払いが行われたと信じてもらいたいが、しばらくして支払いを自分に戻すと仮定します。 これが発生すると受信者に通知されますが、送信者は手遅れになることを望んでいます。



受信者は新しいキーペアを生成し、署名後すぐに送信者に公開キーを渡します。 これにより、送信者は、ブロックチェーンを事前に準備して、その時点でトランザクションを完了するためにスケジュールよりも前に作業することはできません。 不正な送信者は、トランザクションが送信されたときにのみ、このトランザクションの代替バージョンを含む並列チェーンで密かに作業を開始できます。



受信者は、トランザクションがブロックに追加され、その後Zブロックが追加されるまで待機します。 彼は、攻撃者がどのような構築段階にあるかを知りませんが、正直なブロックがブロックごとに同じ平均時間で構築されたと仮定すると、攻撃者の進捗の期待値はポアソン分布から見つけることができます





攻撃者がまだ前進できる確率を得るために、攻撃者の進行状況の各値のポアソン分布の密度に、攻撃者がこのポイントから前進する確率を掛けます。





または再グループ化後：





Cコードで変換：

#include <math.h> double AttackerSuccessProbability(double q, int z) { double p = 1.0 - q; double lambda = z * (q / p); double sum = 1.0; int i, k; for (k = 0; k <= z; k++) { double poisson = exp(-lambda); for (i = 1; i <= k; i++) poisson *= lambda / i; sum -= poisson * (1 - pow(q / p, z - k)); } return sum; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このプログラムを実行すると、確率がzとともに指数関数的に減少することを簡単に検証できます。

q = 0.1

z = 0 P = 1.0000000

z = 1 P = 0.2045873

z = 2 P = 0.0509779

z = 3 P = 0.0131722

z = 4 P = 0.0034552

z = 5 P = 0.0009137

z = 6 P = 0.0002428

z = 7 P = 0.0000647

z = 8 P = 0.0000173

z = 9 P = 0.0000046

z = 10 P = 0.0000012

q = 0.3

z = 0 P = 1.0000000

z = 5 P = 0.1773523

z = 10 P = 0.0416605

z = 15 P = 0.0101008

z = 20 P = 0.0024804

z = 25 P = 0.0006132

z = 30 P = 0.0001522

z = 35 P = 0.0000379

z = 40 P = 0.0000095

z = 45 P = 0.0000024

z = 50 P = 0.0000006



P <0.001のソリューション



P <0.001

q = 0.10 z = 5

q = 0.15 z = 8

q = 0.20 z = 11

q = 0.25 z = 15

q = 0.30 z = 24

q = 0.35 z = 41

q = 0.40 z = 89

q = 0.45 z = 340

12.結論

信頼できる仲介者のいない電子決済システムを提案しました。 これは、デジタル署名で構成されるコインを使用するという原則に基づいています。コインは、信頼性の高い制御を提供しますが、二重使用の問題を防ぐことはできません。 解決策は、複雑な計算を使用する分散ネットワークを使用して公開トランザクション履歴を記録することです。正直なノードが計算能力の大部分を制御している場合、攻撃者はすぐに変更できなくなります。 構造化されていないシンプルなネットワークの信頼性。 各ノードは最小限の調整で独立して動作します。 メッセージは特定のルートを通るのではなく、最速のパスを通るので、ノードは自身を識別する必要はありません。 ノードはネットワークを離れて再参加し、過去に作成されたチェーンを受け入れて新しいトランザクションを検証できます。 ノードは計算時間で投票し、さらなる作業のためにチェーンに接続するか、間違ったブロックを無視することにより、ブロックの正確性に同意します。 このような同意メカニズムにより、必要なルールとインセンティブを実装できます。