El Libro Blanco de Bitcoin 4
28 giu 2024 ·
10 min. 9 sec.
Scarica e ascolta ovunque
Scarica i tuoi episodi preferiti e goditi l'ascolto, ovunque tu sia! Iscriviti o accedi ora per ascoltare offline.
Descrizione
alcanzar desde z bloques atrás. if p=q qz ={ 1 } .q/ p.z ifp.q 6 Dada nuestra hipótesis de que p > q, la probabilidad cae exponencialmente mientras que el ...
mostra di più
alcanzar desde z bloques atrás.
if p=q
qz ={
1 }
.q/
p.z ifp.q
6
Dada nuestra hipótesis de que p > q, la probabilidad cae exponencialmente mientras que el
número de bloques el cual el atacante debe alcanzar incrementa. Con las probabilidades en
contra, si no hace una estocada afortunada desde el principio, sus chances se vuelven
extremadamente pequeños a medida que se queda más atrás.
Ahora consideramos cuánto necesita esperar el recipiente de una nueva transacción antes de
tener la certeza suficiente de que el emisor no puede cambiar la transacción. Asumimos que el
emisor es un atacante el cual quiere hacerle creer al recipiente que le pagó durante un rato, luego
cambiar la transacción para pagarse de vuelta a sí mismo una vez que ha pasado un tiempo. El
receptor será alertado cuando esto suceda, pero el emisor espera que sea demasiado tarde.
El receptor genera una nuevo par de claves y entrega la clave pública al emisor poco después
de hacer la firma. Esto previene que el emisor prepare una cadena de bloques antes de tiempo al
trabajar continuamente hasta que tenga la suerte de adelantarse lo suficiente, y luego ejecutar la
transacción en ese momento. Una vez que la transacción es enviada, el emisor deshonesto
empieza a trabajar en secreto en una cadena paralela que contiene una versión alterna de su
transacción.
El recipiente espera a que la transacción sea añadida al bloque y z bloques han sido enlazados
después de la transacción. El no necesita saber la cantidad exacta de progreso que al atacante ha
logrado, pero asumiendo que los bloques honestos se tardaron el promedio esperado por bloque,
el progreso potencial del atacante será una distribución de Poisson con un valor esperado:
q
.=z
p
Para obtener la probabilidad de que el atacante aún pueda alcanzar ahora, multiplicamos la
densidad de Poisson por cada cantidad de progreso que pudo haber hecho por la probabilidad de
que pudo alcanzar desde ese punto:
8.k -.
.q /
p..
z-k .
e ifk =
z
.
·{}
k!
if k .
z
k=01
Re-organizamos para evitar la suma de la cola infinita de la distribución...
.k -.
e
1-.
z .1-.q/
p..
z-k..
k=0 k!
Convertimos a código en C...
#include
double AttackerSuccessProbability(double q, int z)
{
double p = 1.0 - q;
double lambda = z * (q / p);
double sum = 1.0;
int i, k;
for (k = 0; k <= z; k++)
{
double poisson = exp(-lambda);
for (i = 1; i <= k; i++)
poisson *= lambda / i;
sum -= poisson * (1 - pow(q / p, z - k));
}
return sum;
}
7
Ejecutamos algunos resultados, podemos ver que la probabilidad cae exponencialmente con z.
q=0.1
z=0 P=1.0000000
z=1 P=0.2045873
z=2 P=0.0509779
z=3 P=0.0131722
z=4 P=0.0034552
z=5 P=0.0009137
z=6 P=0.0002428
z=7 P=0.0000647
z=8 P=0.0000173
z=9 P=0.0000046
z=10 P=0.0000012
q=0.3
z=0 P=1.0000000
z=5 P=0.1773523
z=10 P=0.0416605
z=15 P=0.0101008
z=20 P=0.0024804
z=25 P=0.0006132
z=30 P=0.0001522
z=35 P=0.0000379
z=40 P=0.0000095
z=45 P=0.0000024
z=50 P=0.0000006
Resolvemos para P menor que 0.1%...
P < 0.001
q=0.10 z=5
q=0.15 z=8
q=0.20 z=11
q=0.25 z=15
q=0.30 z=24
q=0.35 z=41
q=0.40 z=89
q=0.45 z=340
12. Conclusión
Hemos propuesto un sistema para transacciones electrónicas sin depender en confianza.
Comenzamos con el marco habitual de monedas hechas de firmas digitales, el cual provee un
control fuerte de propiedad, pero es incompleto sino existe una forma de prevenir doble-gasto.
Para solucionar esto, hemos propuesto una red usuario-a-usuario que utiliza prueba-de-trabajo
para registrar una historia pública de transacciones la cual rápidamente se convierte impráctica
computacionalmente para que un atacante pueda cambiar si nodos honestos controlan la mayoría
del poder de CPU. La red es robusta en su simplicidad no estructurada. Los nodos pueden
trabajar todos al mismo tiempo con poca coordinación. No necesitan ser identificados, dado que
los mensajes no son enrutados a ningún lugar en particular y solo necesitan ser entregados bajo la
base de un mejor esfuerzo. Los nodos pueden irse y volver a la red a voluntad, aceptando la
cadena de prueba-de-trabajo como prueba de lo que sucedió mientras estuvieron ausentes. Votan
con su poder de CPU, expresando su aceptación de los bloques válidos al trabajar extendiéndose
y rechazando bloques inválidos al refutar trabajar en ellos. Cualquier reglas necesarias e
incentivos se pueden hacer cumplir con este mecanismo de consenso.
8
Referencias
[1] W. Dai, "b-money," http://www.weidai.com/bmoney.txt, 1998.
[2] H. Massias, X.S. Avila, and J.-J. Quisquater, "Design of a secure timestamping service with minimal
trust requirements," In 20th Symposium on Information Theory in the Benelux, May 1999.
[3] S. Haber, W.S. Stornetta, "How to time-stamp a digital document," In Journal of Cryptology, vol 3, no
2, pages 99-111, 1991.
[4] D. Bayer, S. Haber, W.S. Stornetta, "Improving the efficiency and reliability of digital time-stamping,"
In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.
[5] S. Haber, W.S. Stornetta, "Secure names for bit-strings," In Proceedings of the 4th ACM Conference
on Computer and Communications Security, pages 28-35, April 1997.
[6] A. Back, "Hashcash - a denial of service counter-measure,"
http://www.hashcash.org/papers/hashcash.pdf, 2002.
[7]
R.C. Merkle, "Protocols for public key cryptosystems," In Proc. 1980 Symposium on Security and
Privacy, IEEE Computer Society, pages 122-133, April 1980.
[8] W. Feller, "An introduction to probability theory and its applications," 1957.
9
#Bitcoin #Blockchain #Crypto #SatoshiNakamoto #DigitalCurrency #Decentralization #Cryptographic #PeerToPeer #ElectronicCash #FinTech #novatech
mostra meno
if p=q
qz ={
1 }
.q/
p.z ifp.q
6
Dada nuestra hipótesis de que p > q, la probabilidad cae exponencialmente mientras que el
número de bloques el cual el atacante debe alcanzar incrementa. Con las probabilidades en
contra, si no hace una estocada afortunada desde el principio, sus chances se vuelven
extremadamente pequeños a medida que se queda más atrás.
Ahora consideramos cuánto necesita esperar el recipiente de una nueva transacción antes de
tener la certeza suficiente de que el emisor no puede cambiar la transacción. Asumimos que el
emisor es un atacante el cual quiere hacerle creer al recipiente que le pagó durante un rato, luego
cambiar la transacción para pagarse de vuelta a sí mismo una vez que ha pasado un tiempo. El
receptor será alertado cuando esto suceda, pero el emisor espera que sea demasiado tarde.
El receptor genera una nuevo par de claves y entrega la clave pública al emisor poco después
de hacer la firma. Esto previene que el emisor prepare una cadena de bloques antes de tiempo al
trabajar continuamente hasta que tenga la suerte de adelantarse lo suficiente, y luego ejecutar la
transacción en ese momento. Una vez que la transacción es enviada, el emisor deshonesto
empieza a trabajar en secreto en una cadena paralela que contiene una versión alterna de su
transacción.
El recipiente espera a que la transacción sea añadida al bloque y z bloques han sido enlazados
después de la transacción. El no necesita saber la cantidad exacta de progreso que al atacante ha
logrado, pero asumiendo que los bloques honestos se tardaron el promedio esperado por bloque,
el progreso potencial del atacante será una distribución de Poisson con un valor esperado:
q
.=z
p
Para obtener la probabilidad de que el atacante aún pueda alcanzar ahora, multiplicamos la
densidad de Poisson por cada cantidad de progreso que pudo haber hecho por la probabilidad de
que pudo alcanzar desde ese punto:
8.k -.
.q /
p..
z-k .
e ifk =
z
.
·{}
k!
if k .
z
k=01
Re-organizamos para evitar la suma de la cola infinita de la distribución...
.k -.
e
1-.
z .1-.q/
p..
z-k..
k=0 k!
Convertimos a código en C...
#include
double AttackerSuccessProbability(double q, int z)
{
double p = 1.0 - q;
double lambda = z * (q / p);
double sum = 1.0;
int i, k;
for (k = 0; k <= z; k++)
{
double poisson = exp(-lambda);
for (i = 1; i <= k; i++)
poisson *= lambda / i;
sum -= poisson * (1 - pow(q / p, z - k));
}
return sum;
}
7
Ejecutamos algunos resultados, podemos ver que la probabilidad cae exponencialmente con z.
q=0.1
z=0 P=1.0000000
z=1 P=0.2045873
z=2 P=0.0509779
z=3 P=0.0131722
z=4 P=0.0034552
z=5 P=0.0009137
z=6 P=0.0002428
z=7 P=0.0000647
z=8 P=0.0000173
z=9 P=0.0000046
z=10 P=0.0000012
q=0.3
z=0 P=1.0000000
z=5 P=0.1773523
z=10 P=0.0416605
z=15 P=0.0101008
z=20 P=0.0024804
z=25 P=0.0006132
z=30 P=0.0001522
z=35 P=0.0000379
z=40 P=0.0000095
z=45 P=0.0000024
z=50 P=0.0000006
Resolvemos para P menor que 0.1%...
P < 0.001
q=0.10 z=5
q=0.15 z=8
q=0.20 z=11
q=0.25 z=15
q=0.30 z=24
q=0.35 z=41
q=0.40 z=89
q=0.45 z=340
12. Conclusión
Hemos propuesto un sistema para transacciones electrónicas sin depender en confianza.
Comenzamos con el marco habitual de monedas hechas de firmas digitales, el cual provee un
control fuerte de propiedad, pero es incompleto sino existe una forma de prevenir doble-gasto.
Para solucionar esto, hemos propuesto una red usuario-a-usuario que utiliza prueba-de-trabajo
para registrar una historia pública de transacciones la cual rápidamente se convierte impráctica
computacionalmente para que un atacante pueda cambiar si nodos honestos controlan la mayoría
del poder de CPU. La red es robusta en su simplicidad no estructurada. Los nodos pueden
trabajar todos al mismo tiempo con poca coordinación. No necesitan ser identificados, dado que
los mensajes no son enrutados a ningún lugar en particular y solo necesitan ser entregados bajo la
base de un mejor esfuerzo. Los nodos pueden irse y volver a la red a voluntad, aceptando la
cadena de prueba-de-trabajo como prueba de lo que sucedió mientras estuvieron ausentes. Votan
con su poder de CPU, expresando su aceptación de los bloques válidos al trabajar extendiéndose
y rechazando bloques inválidos al refutar trabajar en ellos. Cualquier reglas necesarias e
incentivos se pueden hacer cumplir con este mecanismo de consenso.
8
Referencias
[1] W. Dai, "b-money," http://www.weidai.com/bmoney.txt, 1998.
[2] H. Massias, X.S. Avila, and J.-J. Quisquater, "Design of a secure timestamping service with minimal
trust requirements," In 20th Symposium on Information Theory in the Benelux, May 1999.
[3] S. Haber, W.S. Stornetta, "How to time-stamp a digital document," In Journal of Cryptology, vol 3, no
2, pages 99-111, 1991.
[4] D. Bayer, S. Haber, W.S. Stornetta, "Improving the efficiency and reliability of digital time-stamping,"
In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.
[5] S. Haber, W.S. Stornetta, "Secure names for bit-strings," In Proceedings of the 4th ACM Conference
on Computer and Communications Security, pages 28-35, April 1997.
[6] A. Back, "Hashcash - a denial of service counter-measure,"
http://www.hashcash.org/papers/hashcash.pdf, 2002.
[7]
R.C. Merkle, "Protocols for public key cryptosystems," In Proc. 1980 Symposium on Security and
Privacy, IEEE Computer Society, pages 122-133, April 1980.
[8] W. Feller, "An introduction to probability theory and its applications," 1957.
9
#Bitcoin #Blockchain #Crypto #SatoshiNakamoto #DigitalCurrency #Decentralization #Cryptographic #PeerToPeer #ElectronicCash #FinTech #novatech
Informazioni
| Autore | Local Trade Coins |
| Sito | - |
| Tag |
Copyright 2024 - Spreaker Inc. an iHeartMedia Company
