Recommended
More Related Content
Similar to Cryptocurrency2
Recently uploaded
Recently uploaded (12)
Cryptocurrency2
- 6. Bitcoinにおける分散型合意形成 • ビットコインネットワークでは様々な利用者がネットワークに 取引をブロードキャストしている • どの取引が、どのような順序で発生しているのかについて ノードは正確に合意できなければならない • 上記について合意が取れればシステムには単一のグローバルな 元帳が形成される • ビットコインではブロック単位で合意が形成される
- 8. Bitcoinにおける分散型合意形成 • 各ノードは台帳だけではなく、まだブロックチェーンに 取り込まれていない取引のプールも持っている • ピアツーピアネットワークは不完全であるためノード毎に プールされている取引が異なることもある • ノードによって取引についての情報が届くタイミングがずれるため
- 9. Bitcoinにおける分散型合意形成 • どのようにすれば全ノードがブロックについて合意を 形成することができるのか • 以下のようなプロセスを考える 1. 一定間隔ですべてのノードが取引プールを次のブロックに 取り込むように提案 2. 全ノードでそれぞれの提案を入力として合意形成プロトコル を実行 (一部のノードは悪意があるかもしれない) 3. 合意形成プロトコルが成功したら出力として有効なブロック が選択される
- 11. 技術的問題点 1. 故障しているノードや悪意のあるノードが存在する可能性が あるため合意形成問題を解くことが難しい 2. ピアツーピアシステムによるネットワークの不完全性 すべてのノードが参加して合意形成プロトコルを実行する ことが不可能な場合がある 3. システムがインターネット全体に分散しているため レイテンシーが大きい
- 12. 技術的問題点 1. 故障しているノードや悪意のあるノードが存在する可能性が あるため合意形成問題を解くことが難しい 2. ピアツーピアシステムによるネットワークの不完全性 すべてのノードが参加して合意形成プロトコルを実行する ことが不可能な場合がある 3. システムがインターネット全体に分散しているため レイテンシーが大きい 同期モデル上のアルゴリズムを 利用することはできない
- 13. 不可能性 • ビザンチン将軍問題 • 1 3 以上のノードがビザンチン故障ノードであるとき解くことができない • ELP不可能性 • 一定の条件のもとではノードが決定論的に動作している場合でも たった一つの欠陥があるだけで合意形成は不可能になる • これらの不可能性は特定のモデルに対するもの • Bitcoinには当てはまらない前提条件がある
- 14. 不可能性 • ビザンチン将軍問題 • 1 3 以上のノードがビザンチン故障ノードであるとき解くことができない • ELP不可能性 • 一定の条件のもとではノードが決定論的に動作している場合でも たった一つの欠陥があるだけで合意形成は不可能になる • これらの不可能性は特定のモデルに対するもの • Bitcoinには当てはまらない前提条件がある 現状ビットコインにおける合意形成は理論よりも 実践のほうが上手く機能している。 なぜ機能しているかを完全に説明する理論はない
- 16. ブロックチェーンを使った身元不明の 人々の合意形成 • ビットコインのノードは永続的、長期的な人格ではない • ノードは識別情報を持たない • これも伝統的な分散型合意形成アルゴリズムとの違い • 永続的な人格がない理由の一つは偽名を使えることが ビットコインの本来の目標であるから
- 17. 識別情報がないことのデメリット • プロトコルで利用できる命令の種類が限られる • 「もっとも小さな値の識別情報をもつノードが処理𝐴を行う」 といった命令を利用できない • 悪意のあるノードの数を想定できない • ノードが識別可能で新しいノードの識別情報をつくることが容易 でなければ悪意のあるノード数を想定してセキュリティ属性を 考えることができる
- 18. 代わりの前提条件 • 識別情報の代わりに識別情報ほど強くない前提条件を設けて 穴埋めをする • ビットコインネットワークから無作為にノードを選択できる ものとする • さらに敵が大量のシビルノードを作っても、それらのシビル全体で 一つのノードしか選択されないものとする • 50%の確率で健全なノードを選択できるものとする
- 19. 暗黙の合意 • ノードを無作為に選択できることを前提にすると暗黙の合意 が可能になる • 暗黙の合意では無作為に選ばれたノードが新しく追加する ブロックを提案する • ブロックの選択には合意形成アルゴリズムはなく、いかなる形の 投票もない • 他のノードはその提案を暗黙のうちに受け入れまたは拒否する • 受け入れる場合はチェーンにブロックを追加し、拒否する場合は 追加しない
- 20. ビットコイン同意形成アルゴリズム𝛼 • このアルゴリズムはシビルに攻撃に負けない形でノードを 選択できるという前提に基づく 1. 新しい取引がすべてのノードにブロードキャストされる 2. 各ノードが新しい取引をブロックにまとめる 3. ラウンドごとに無作為に選ばれたノードが次のブロックを ブロードキャストする 4. 他のノードは、ブロックに含まれるすべての取引が有効 (二重払いでなく有効な署名がある)なときに限り、ブロック を受け入れる
- 22. 𝛼の分析 • 上記のアルゴリズムが上手く機能する理由を分析する 1. ビットコインの盗み 2. DoS攻撃 3. 二重払い攻撃
- 23. ビットコインの盗み • 無作為に選択されたアリスが他の利用者のビットコインを 盗めるか? • 盗むためには他人のコインで支払いをする有効な取引を 作らなければならない • しかし署名を偽造することはできないため不可能
- 24. DoS攻撃 • アリスがボブに対するサービスを妨害することはできるか? • アリスが提案するブロックにボブのアドレスからの取引を含めない • 実際に可能な攻撃だがあまり意味がない • ボブの取引はアリスの提案するブロックには含まれないかも しれないが他のブロックには含まれる
- 25. 二重払い攻撃 • 最初にシナリオを作る • アリスはボブが運営しているオンラインショップの顧客 • ボブはビットコインの支払いと引き換えに何らかのオンライン サービスを提供する • ボブのサービスでは何らかのソフトウェアをダウンロード可能
- 37. 二重払い攻撃 • この攻撃が成功するかどうかはどちらの取引が長期的な 合意チェーンに残るかによって決まる • 健全なノードはもっとも長い有効ブランチを伸ばしていく ポリシーに従う • しかしシナリオでは2つのブランチの長さは等しいため 健全なノードがどちらを伸ばすかはわからない • 通常ノードは最初に検出したブロックを伸ばす経験則にしたがうこと が多い
- 38. 二重払い攻撃 • この攻撃が成功するかどうかはどちらの取引が長期的な 合意チェーンに残るかによって決まる • 健全なノードはもっとも長い有効ブランチを伸ばしていく ポリシーに従う • しかしシナリオでは2つのブランチの長さは等しいため 健全なノードがどちらを伸ばすかはわからない • 通常ノードは最初に検出したブロックを伸ばす経験則にしたがうこと が多い レイテンシのため順番は保証されない
- 40. 二重払い攻撃 • ボブはアリスの二重払い攻撃をどうすれば防げるか? • アリスからボブへの取引が含まれたブロックが長期的な 合意チェーンに残ることが十分に確信できてからダウンロード を許可すれば良い • ビットコインでは一般に対象のブロックから6回ブロックが 伸ばされたら合意チェーンに残ると判断する
- 41. 二重払い攻撃 • ボブはアリスの二重払い攻撃をどうすれば防げるか? • アリスからボブへの取引が含まれたブロックが長期的な 合意チェーンに残ることが十分に確信できてからダウンロード を許可すれば良い • ビットコインでは一般に対象のブロックから6回ブロックが 伸ばされたら合意チェーンに残ると判断する この数字は経験則であり理論的 な根拠があるわけではない
- 42. 二重払い攻撃 • あるノードによって取引𝑋がブロックに組み込まれチェーンに 追加されたとき𝑋は1の承認を得ていると表現する • 取引𝑋を含むブロック𝐵から𝑘個のブロック(𝐵も含む) が伸びているとき𝑋は𝑘の承認を得ていると表現する • 一般にある取引が𝑘の承認を得ているとき、二重払い 取引が長期的な合意チェーンに残る確率は𝑘の関数として 指数的に下がっていく
- 46. 分析のまとめ • 無効取引に対する防御は完全に暗号学的なもの • ノードの多数派が健全であるかぎり無効取引は合意チェーンに 含まれない • 防御は暗号学的なものだが合意が前提 • 二重払いに対する防御は純粋に合意に依る • 暗号学的には二重払いに対して何もできない • 暗号学的には2つの取引の違いを判断できない
- 48. インセンティブとPoW • アルゴリズム𝛼ではノードが無作為に選択できることと 50%の確率で健全なプロセスを選択できることを前提とした • しかし参加者がプロセスを破壊する動機として金銭的な ものがあるためノードが健全という前提を持つことができない • 健全なノードが多いという前提条件はさらに無理がある • そこで健全なノードになるためのインセンティブを与えられる かということが問題になる
- 49. インセンティブとPoW • 承認を1つもらったあとの二重払い取引について考える • 二重払い取引を持つブロックを作ったノードを処罰できるか? • 技術的にどれが道徳的に正しい取引かを見分けることは難しい • そこで長期的に合意されたブロックチェーンに残ったブロック を作ったノードに報酬を与えることを考える
- 50. インセンティブとPoW • どのように報酬を与えるか? • 身元が分からないため現金を送る等はできない • そこでインセンティブにビットコインを用いる • これまでに説明したアルゴリズムは分散型合意形成を 実現するための抽象的なアルゴリズムであった • ここからは応用が通貨であるという特性を利用する
- 52. ブロック作成報酬 • ビットコインではブロックを作るノードは特別なコイン作成 取引を組み込む • ScroogeCoinのCreateCoinsのコイン作成取引に似ている • 送り先に自分自身のアドレスを選ぶ • これは合意チェーンのブロックを作成するというサービスを 提供するのと交換にノードが手に入れる報酬と考えることが できる
- 53. ブロック作成報酬 • 2015年時点でブロック作成報酬の価格は25ビットコインで 固定されている • 実際には21万ブロックが作成されるたびに半額に減っていく • ブロック作成のペースから考えると価格は約4年毎に半減する • 現在は第二期
- 55. 取引手数料 • ビットコインでは新しいビットコインを作成する方法は ブロック作成報酬のみである • 作成報酬は半減していくため作成されるビットコインの総額は 2100万ビットコインである • 条件が変わらなければブロック作成報酬は2140年にはなくなる • ビットコインは2140年以降セキュアなシステムではなくなるのか?
- 56. 取引手数料 • ビットコインでは新しいビットコインを作成する方法は ブロック作成報酬のみである • 作成報酬は半減していくため作成されるビットコインの総額は 2100万ビットコインである • 条件が変わらなければブロック作成報酬は2140年にはなくなる • ビットコインは2140年以降セキュアなシステムではなくなるのか? 第二の報酬メカニズム 取引手数料
- 57. 取引手数料
- 58. 取引手数料 • 取引の作成者は取引の出力額を入力額よりも低くすることが できる • 最初にブロックを作成しチェーンに追加したノードは差額を 取引手数料として受け取ることができる • 取引手数料は義務的なものではなく自発的なもの • ブロック作成報酬が低くなると相対的に取引手数料の重要性が増し サービスを維持するために自発的に行われるようになる
- 59. 取引手数料 • 取引手数料はある程度実際に始まっている • しかし、現在のところこのシステムがどのように発展していく かははっきりと分かっていない • これは誰にでも開かれているビットコインの面白い研究分野
- 60. 合意形成メカニズムの問題点 • これまでの説明してきた合意形成メカニズムにはまだ問題が 存在する 1. 何らかの方法で無作為にノードを選択できるという前提 2. インセンティブが混乱のもととなりシステムが不安定になる 危険性 3. 合意形成プロセスを破壊するために大量のシビルノードを 作る敵への対処方法
- 61. PoWは誰も独占できないリソースの割合に基づいてノードを 選択することによって無作為なノード選択を近似的に実現する マイニングとPoW • これらの問題はPoWで解決可能 • リソースの種類によって様々なバリエーションがある • 計算能力ならPoW • 通貨の所有割合ならProof of Stake PoWの基本概念
- 62. マイニングとPoW • 計算能力に比例してノードを選択する ノードがそれぞれの計算能力を使って他のノードと競い合い、能力の 割合に応じてノードが自動的に選択されること • ビットコインはハッシュパズルを使ってPoWを実現している • ブロックを提案するノードはブロックを作るためにナンスを を見つければならない ナンスとハッシュポインタ、ブロックを構成するメッセージを連結し ハッシュを計算したときに出力がターゲット空間に含まれれば合格
- 63. マイニングとPoW • 具体的にはナンスは次の不等式を満たさなければならない 𝐻 𝑛𝑜𝑛𝑐𝑒 ∥ 𝑝𝑟𝑒𝑣_ℎ𝑎𝑠ℎ ∥ 𝑡𝑥 ∥ 𝑡𝑥 ∥ … ∥ 𝑡𝑥 < target • ターゲット空間は𝑡𝑎𝑟𝑔𝑒𝑡より小さい値 • ナンスの発見をほどほどに難しくするためにブロックは ナンスを含んでいなければならないものとする
- 64. マイニングとPoW • ハッシュ関数がパズル親和性を満たすならばハッシュパズルを 解く方法はナンスを一つずつ試すしかない • 各ノードは常にハッシュパズルを解くために独立に競い合う • たまたま性質を満たすナンスを見つけたノードが次のブロック を提案する システムは完全に非中央集権的になり、どのノードが次のブロックを 提案するかを決める者はいない
- 65. マイニングとPoW
- 67. マイニングとPoW
- 69. マイニングとPoW 解を発見!
- 71. マイニングとPoW
- 72. マイニングとPoW
- 73. PoW関数に必要な属性 • PoW関数には3つの重要な属性が必要とされる 1. 計算困難性 2. コストのパラメータ化可能性 3. 確認の容易さ
- 74. 計算困難性 • PoW関数は計算が困難である必要がある • 実際の難易度は時間の経過とともに変わる • 2015年時点で出力空間のサイズは 1 1020未満 • 通常のPCでは性能が足りない • 技術的には誰でもマイニング(繰り返しハッシュパズルを解く プロセス)可能だが実際にはごく少数に限られる
- 75. コストのパラメータ化可能性 • PoWの難易度に対して参加ノードの計算能力が高まると 短期間に複数のブロックが次々とネットワークに送られる 一つのブロックに含まれる取引の数が減り最適化効果が失われる ブランチの分岐が多くなる等の問題がある • これを防ぐためにPoWの難易度を自動で再調整できるように する必要がある • ビットコインでは2016ブロックごとに自動的に難易度を 調整する
- 76. コストのパラメータ化可能性 • ノードはビットコインネットワーク内に連続的に作られる ブロックの平均的な間隔が約10分になるように調整する • つまり難易度の調整は約2週間に一度行われる • あるマイナー(マイニングを行うノード)が次のブロックを 獲得する確率は自身のハッシュパワーがグローバルハッシュ パワーに占める割合と等しくなる
- 78. 確認の容易さ • マイナーが正しく仕事を行っていることを非中央集権的に 確認する必要がある • そのためにはどのノードでも、どのマイナーでも他のマイナー が見つけたブロックがPoWの属性を満足することを瞬時に 確認できる必要がある • ハッシュパズルはブロックのハッシュを計算するだけで容易に 確認可能
- 80. 確率過程としてのPoW • どのナンスがハッシュパズルを解決できるかを予測できる人は いないため、ハッシュパズルを解けるかどうかは確率的な問題 • ハッシュ関数がrandom関数として振る舞うなら𝑝 = 0.5の ベルヌーイ試行とみなせる • 一般にノードは非常に多くのナンスを試すためベルヌーイ試行 はポアソン過程で十分に近似することができる
- 82. 確率過程としてのPoW • 特定のマイナーが次のブロックを見つけるまでの平均時間𝑇は 以下の公式で計算可能 𝑇 = 10分 ハッシュパワーの割合 • ネットワーク全体のハッシュパワーの0.1%をもっているなら ブロックは1万分(約一週間)に一度ずつ見つかる • 次のブロックが見つかるまでの平均的な時間が長くなるだけ ではなく間隔の分散も大きくなることが重要(5章で説明)
- 83. マイナーのふるまいのモデル • 分散システムやコンピュターセキュリティの分野では ノードの一部が健全だと想定し、他のノードが好き勝手に 振る舞ってもシステムが機能することを示すのが一般的 • 多数派を計算する際にハッシュパワーで重みを付けたのが ビットコインの違い • ゲーム理論ではノードを健全、悪意のあるものに分けない
- 84. マイナーのふるまいのモデル • ゲーム理論では健全というのはノードが取れる戦略の一つ • 適切なプロトコルとインセンティブが設計されていれば ほとんどのノードがほとんどのときにルールに従う • ゲーム理論的な考えから見た大きな問題はデフォルトの マイナーの振る舞いがナッシュ均衡かどうか
- 85. マイナーのふるまいのモデル • ゲーム理論では健全というのはノードが取れる戦略の一つ • 適切なプロトコルとインセンティブが設計されていれば ほとんどのノードがほとんどのときにルールに従う • ゲーム理論的な考えから見た大きな問題はデフォルトの マイナーの振る舞いがナッシュ均衡かどうか まだ決着がついておらず 未解決
- 89. 51%攻撃 • ハッシュパワー全体の過半数を支配する攻撃者からの攻撃が 発生したときに何が起こるかを考える • 攻撃者は既存のアドレスからコインを盗めるか? 暗号を破らない限りできない 無効な取引を含むブランチを伸ばす事はできるが他のノードは拒否可能 • 攻撃者は一部の取引をなかったことにできるか? 合意形成プロセスを支配しているため一部の取引を拒否することは可能 取引自体はブロードキャストされるため他のノードは検知可能