Qualunque sfida computazionale può essere trasformata in prova di lavoro?

L'apparente inutilità del mining di criptovaluta ha sollevato la questione delle alternative utili, vedi queste domande su Bitcoin , CST , MO . Mi chiedo se esiste un algoritmo in grado di convertire praticamente qualsiasi sfida computazionale (la cui soluzione può essere verificata in modo efficiente) in un'altra tale sfida (che viene utilizzata per la prova di lavoro) tale che Ψ ( C$\mathcal C$$\Psi(\mathcal C)$

1. La funzione è randomizzata, usando una sequenza casuale (pubblica) .$\Psi$$r$
2. Risolvere è in genere difficile quanto risolvere .$\Psi(\mathcal C)$$\mathcal C$
3. Se una soluzione si trova per , quindi una soluzione può essere calcolato in modo efficiente per la sfida originale .Ψ ( C ) Ψ - 1 ( x ) $x$$\Psi(\mathcal C)$$\Psi^{-1}(x)$$\mathcal C$
4. Conoscere una soluzione per non aiuta a trovare una soluzione per . Ψ ( C$\mathcal C$$\Psi(\mathcal C)$

$\;\:\:$ 4 '(Aggiornamento). Come sottolineato da Noah in un commento, la condizione precedente dovrebbe essere rafforzata nel richiedere che la pre-elaborazione di non dia alcun vantaggio nel risolvere . Ψ ( C$\mathcal C$$\Psi(\mathcal C)$

Quest'ultima condizione è necessaria in modo che nessuno può essere messo in una posizione vantaggiosa proprio perché sanno una soluzione di . Usando questo metodo, le persone potrebbero presentare problemi computazionali che vogliono essere risolti e un'autorità centrale potrebbe scegliere alcuni degni di risoluzione (come trovare gli alieni contro rompere le password). Nota che non sembra essere un problema se il problema richiede anche una settimana per risolverlo (immagino che quegli alieni non possano essere così bravi a nascondersi;), poiché ciò potrebbe comportare una ricompensa maggiore per una soluzione. Ad ogni modo, questi argomenti non sono collegati alla soluzione del mio problema teorico, ma ovviamente sono felice di discuterne nei commenti / sul forum.$\mathcal C$

Una possibile soluzione sarebbe la seguente: maps in , ovvero per risolvere e qualche altra sfida, computazionalmente difficile. Un problema è che conoscere una soluzione a rende la risoluzione di qualche modo più semplice (quanto più semplice dipende dalla difficoltà di ). Un altro problema è che è diventato più difficile di quanto .C ( C , H A S H r ) C C Ψ ( C ) H A S H $\Psi$$\mathcal C$$(\mathcal C,HASH_r)$$\mathcal C$$\mathcal C$$\Psi(\mathcal C)$$HASH_r$$\Psi(\mathcal C)$$\mathcal C$

( Nota : Andreas Björklund ha suggerito una soluzione nei commenti che ritengo migliore di quella descritta di seguito. Vedi http://eprint.iacr.org/2017/203 , di Ball, Rosen, Sabin e Vasudevan. In breve, forniscono prove del lavoro basate su problemi come i vettori ortogonali la cui durezza è ben compresa e ai quali molti problemi (ad esempio, k-SAT) possono essere ridotti in modo relativamente efficiente. La loro istanza PoW è dura come i vettori ortogonali nel caso peggiore, anche se l'istanza di input è semplice, in modo da evitare un grave inconveniente della soluzione descritta di seguito.$\Psi(\mathcal{C})$$\mathcal{C}$

La soluzione descritta di seguito potrebbe trarre vantaggio dalla sua semplicità --- può essere descritta da un non esperto --- ma teoricamente mi sembra molto meno interessante.)

Una soluzione è possibile se si assume che "l'algoritmo più veloce per è fondamentalmente randomizzato" (e se si modella una funzione hash crittografica come un oracolo casuale). Un modo per formalizzare questo è quello di dirlo$\mathcal{C}$

1. $\mathcal{C} \in \mathsf{TFNP} \setminus \mathsf{FP}$ (altrimenti, suppongo che non sia davvero una sfida valida);
2. l'algoritmo randomizzato più veloce per viene eseguito nel tempo previsto su un'istanza tipica; e$\mathcal{C}$$T$
3. esiste una funzione calcolabile in modo efficiente da al dominio di soluzioni a per tale che esiste sempre una con una soluzione per .{ 0 , 1 } k C k ≈ log 2 T s ∈ $f$$\{0,1\}^k$$\mathcal{C}$$k \approx \log_2 T$ f ( s ) $s \in \{0,1\}^k$$f(s)$$\mathcal{C}$

Si noti che il presupposto che implica che la ricerca della forza bruta di sia essenzialmente l'algoritmo ottimale per . Quindi, questo è un presupposto abbastanza forte. D'altra parte, se non soddisfa queste proprietà, allora è difficile per me immaginare di soddisfare entrambe le tue condizioni (2) e (4).$k \approx \log_2 T$C $\{0,1\}^k$$\mathcal{C}$$\mathcal{C}$

Quindi, data una funzione hash , che come un oracolo casuale, definiamo come segue, dove per alcuni è l'input casuale a . L'obiettivo è produrre tale che sia una soluzione a . In altre parole, dovrebbe hash a "buone monete casuali" per l'algoritmo sopra.Ψ H ( C ; r ) r ∈ { 0 , 1 } ℓ ℓ ≫ k Ψ H x ∈ { 0 , 1 } ∗ f ( H ( r , $H : \{0,1\}^* \to \{0,1\}^k$$\Psi_H(\mathcal{C}; r)$$r \in \{0,1\}^\ell$$\ell \gg k$$\Psi_H$$x \in \{0,1\}^*$C ( r , x $f(H(r,x))$$\mathcal{C}$$(r,x)$

Vediamo che questo soddisfa tutte le tue condizioni.

1. "La funzione è randomizzata, usando una sequenza casuale (pubblica) ." Dai un'occhiata!$\Psi$$r$
2. "Risolvere è in genere difficile quanto risolvere ." Si noti che il semplice algoritmo randomizzato per viene eseguito nel tempo previsto al massimo più il sovraccarico polinomiale, e supponendo che sia essenzialmente il tempo di esecuzione dell'algoritmo ottimale per .C Ψ H ( C , r ) 2 k 2 k ≈ T $\Psi(\mathcal{C})$$\mathcal{C}$$\Psi_H(\mathcal{C},r)$$2^k$$2^k \approx T$$\mathcal{C}$
3. "Se viene trovata una soluzione per , una soluzione può essere calcolata in modo efficiente per la sfida originale ." Questo può essere fatto calcolando , che è una soluzione a per ipotesi.Ψ ( C ) Ψ - 1 ( x ) C f ( H ( r , x ) ) $x$$\Psi(\mathcal{C})$$\Psi^{-1}(x)$$\mathcal{C}$$f(H(r,x))$$\mathcal{C}$
4. "Conoscere una soluzione per non aiuta a trovare una soluzione per ." Per definizione, risolvere richiede di trovare tale che sia una soluzione a . Poiché abbiamo modellato come un oracolo casuale, possiamo abbassare il tempo di esecuzione previsto di qualsiasi algoritmo che risolva questo problema dalla complessità della query prevista ottimale del problema di query in cui è dato da una scatola nera e ci viene chiesto di trovare un soluzione allo stesso problema. E, sempre perché è un oracolo casuale, la complessità della query prevista è solo l'inverso della frazione di elementi Ψ ( C ) Ψ H ( C ; r ) x f $\mathcal{C}$$\Psi(\mathcal{C})$$\Psi_H(\mathcal{C}; r)$$x$C H H H x ∈ { 0 , 1 } k C T ≈ 2 k 2 - k ℓ ≫ k r ∈ { 0 , 1 } ℓ H C r $f(H(r,x))$$\mathcal{C}$$H$$H$$H$$x \in \{0,1\}^k$ che sono soluzioni (fino a un fattore costante). Presumendo, il tempo di esecuzione previsto ottimale di qualsiasi algoritmo per è , il che implica che questa frazione non può essere molto maggiore di . Poiché e vengono scelti in modo uniforme a caso, ciò è vero anche con la preelaborazione che può dipendere da e (ma non da ) , e in particolare è vero anche se conosciamo in anticipo una soluzione a .$\mathcal{C}$$T \approx 2^{k}$$2^{-k}$$\ell \gg k$$r \in \{0,1\}^\ell$$H$$\mathcal{C}$$r$$\mathcal{C}$

La seguente semplice tecnica che chiamo la soluzione lotteria tecnica (SLT) può essere utilizzata insieme ad altre tecniche (come avere più problemi di prigionieri di guerra, la tecnica menzionata nella risposta di Noah Stephens-Davidowitz, ecc.) Per aiutare a trasformare le sfide computazionali in prove praticabili di problemi di lavoro. SLT aiuta a migliorare i problemi con i problemi di mining di criptovaluta diversi dalle condizioni 1-4.

Supponiamo che sia una sfida computazionale del modulo "trova un hash adatto insieme a una stringa tale che ".$\mathcal{C}$x ( k , x ) ∈ $k$$x$$(k,x)\in D$

Problema impostazione: Supponiamo che sia un set, sia una funzione di hash crittografica e sia una costante. Supponiamo inoltre che sia un'informazione che è facile da ottenere dopo che si determina che ma che non può essere ottenuto diversamente.D H C Dati$\Psi(\mathcal{C})$$D$$H$$C$( k , x ) ∈ $\textrm{Data}(k,x)$$(k,x)\in D$

Problema obiettivo: trovare una coppia tale che sia un hash adatto e dove e dove .( k , x ) k ( k , x ) ∈ D H ( k | $\Psi(\mathcal{C})$$(k,x)$$k$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$

Analizziamo ora in che modo il problema soddisfa i requisiti 1-4.$\Psi(\mathcal{C})$

1. Dobbiamo supporre che sia già randomizzato affinché SLT soddisfi questa proprietà.$\mathcal{C}$

2-3. in genere diventerà più difficile di e questa è una buona cosa. La difficoltà di un problema di prova di lavoro deve essere finemente sintonizzabile, ma il problema originale può o meno avere un livello di difficoltà finemente sintonizzabile (ricorda che la difficoltà nel mining di Bitcoin viene modificata ogni due settimane) . La difficoltà del problema è uguale alla difficoltà di trovare qualche adatto moltiplicato per . Pertanto, poiché la costante è finemente sintonizzabile, anche la difficoltà di è finemente sintonizzabile.C C Ψ ( C ) $\Psi(\mathcal{C})$$\mathcal{C}$$\mathcal{C}$$\Psi(\mathcal{C})$2 $(k,x)\in D$$\frac{2^{n}}{C}$Ψ ( C$C$$\Psi(\mathcal{C})$

Anche se il problema è più difficile del problema originale , quasi tutto il lavoro per risolvere il problema sarà speso semplicemente per trovare una coppia con anziché calcolare gli hash (non è possibile calcolare se oppure no fino a quando uno ha calcolato e non è possibile calcolare se non si verifica che ).C Ψ ( C ) ( k , x ) ( k , x ) ∈ D H ( k | | x | | Dati ( k , x ) ) < Dati C ( k , x ) Dati ( k , $\Psi(\mathcal{C})$$\mathcal{C}$$\Psi(\mathcal{C})$$(k,x)$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$$\textrm{Data}(k,x)$Dati ( k , x ) ∈ $\textrm{Data}(k,x)$$\textrm{Data}(k,x)\in D$

Naturalmente, il fatto che sia più difficile di presenta alcune nuove preoccupazioni. Per un problema utile, è molto probabile che si desideri memorizzare le coppie dove in alcuni database. Tuttavia, per ricevere la ricompensa in blocchi, il minatore deve rivelare solo una coppia dove e invece di tutte le coppie indipendentemente dal fatto che oppure no. Una possibile soluzione a questo problema è che i minatori rivelino semplicemente tutte le coppie doveC ( k , x ) ( k , x ) ∈ D ( k , x ) ( k , x ) ∈ D H ( k | | x | | Dati ( k , x ) ) < C ( k , x ) ∈ D H ( k | | x | $\Psi(\mathcal{C})$$\mathcal{C}$$(k,x)$$(k,x)\in D$$(k,x)$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$$(k,x)\in D$( D Ψ ( C ) $H(k||x||\textrm{Data}(k,x))<C$( k , x ) ∈ D ( k , x ) ∈ D ( k , x ) $(k,x)$$(k,x)\in D$per cortesia. I minatori avranno anche la possibilità di respingere le catene se i minatori non hanno inviato la loro giusta quota di coppie . Forse, si dovrebbe contare il numero di coppie per il calcolo su chi ha anche la catena valida più lunga. Se la maggior parte dei minatori pubblica le proprie soluzioni, il processo di risoluzione di produrrà altrettante soluzioni quanto il processo di risoluzione di .$(k,x)\in D$$(k,x)\in D$$\Psi(\mathcal{C})$$\mathcal{C}$

Nello scenario in cui i minatori pubblicano tutte le coppie , soddisferebbero lo spirito delle condizioni 2-3.Ψ ( C$(k,x)\in D$$\Psi(\mathcal{C})$

4. $\Psi(\mathcal{C})$ può o meno soddisfare la condizione seconda del problema specifico.$4$

$\textbf{Other Advantages of this technique:}$

La SLT offre altri vantaggi rispetto alle condizioni 1-4 che sono desiderabili o necessarie per un problema di prova del lavoro.

1. Miglioramento del bilancio sicurezza / efficienza: SLT aiuterà nel caso in cui potrebbe essere troppo facile da risolvere o troppo difficile da verificare. In generale, è molto più difficile da risolvere rispetto a , ma è facile da verificare quanto . Ψ ( C ) $\mathcal{C}$$\Psi(\mathcal{C})$$\mathcal{C}$$\Psi(\mathcal{C})$$\mathcal{C}$

2. Rimozione di un problema rotto / insicuro: SLT potrebbe essere usato per rimuovere algoritmicamente problemi POW difettosi in una criptovaluta con un problema POW di backup e più problemi POW. Supponiamo che un'entità trovi un algoritmo molto veloce per risolvere il problema . Quindi un tale problema non è più un problema di prova di lavoro adatto e dovrebbe essere rimosso dalla criptovaluta. La criptovaluta deve quindi avere un algoritmo che rimuove dalla criptovaluta ogni volta che qualcuno ha pubblicato un algoritmo che risolve il problema troppo rapidamente ma che non rimuove mai il problema altrimenti. Ecco uno schema di tale algoritmo di rimozione dei problemi utilizzato per rimuovere un problema che chiameremo Problema$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$A$ .

un. Alice paga una grossa commissione (la commissione coprirà i costi sostenuti dai minatori per la verifica dell'algoritmo) e quindi pubblica l'algoritmo che chiameremo Algorithm K che rompe il Problema nella blockchain. Se l'algoritmo K si basa su una grande quantità di dati pre-calcolati , Alice pubblica la radice Merkle di questo dati pre-calcolato .$A$$PC$$PC$

b. Le istanze casuali del Problema A sono prodotte dalla Blockchain. Alice quindi pubblica le parti dei dati pre-calcolati che sono necessari affinché l'algoritmo K funzioni correttamente insieme al loro ramo Merkle per dimostrare che i dati provengono effettivamente dal . Se l'algoritmo di Alice si è alimentato rapidamente con il dati pre-calcolato , il problema viene rimosso e Alice riceve una ricompensa per la pubblicazione dell'algoritmo che rimuove il problema dalla blockchain.$PC$$PC$

Questa procedura di rimozione dei problemi è computazionalmente costosa per i minatori e i validatori. Tuttavia, SLT rimuove la maggior parte delle difficoltà computazionali di questa tecnica in modo che possa essere utilizzata, se necessario, in una criptovaluta (i casi in cui questa tecnica viene utilizzata saranno probabilmente piuttosto rari).

3. I pool di data mining sono più fattibili: nelle criptovalute, spesso è molto difficile vincere la ricompensa del blocco. Poiché i premi del blocco sono molto difficili da vincere, i minatori spesso estraggono miniere in cose chiamate pool di miniere in cui i minatori uniscono le loro risorse per risolvere un problema e in cui condividono la ricompensa del blocco in proporzione alla quantità di "near miss" che hanno trovato . Un possibile problema per è che potrebbe essere difficile produrre una nozione qualitativa di ciò che costituisce un "near miss" per il problema e che l'algoritmo per trovare un near miss potrebbe essere diverso dal algoritmo per risolvere . Dal momento che i minatori della piscina cercheranno quasi mancati incidenti, potrebbero non essere molto efficienti nel risolvereC C C Ψ ( C ) ( k , x ) ( k , x ) ∈ D H ( k | | x | | Dati ( k , x ) ) ≥ C Ψ $\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$ (e quindi poche persone si uniranno ai pool di mining). Tuttavia, per , esiste una chiara nozione di near miss, vale a dire, un near miss è una coppia dove ma dove e l'algoritmo per la ricerca dei quasi incidenti per sarà lo stesso dell'algoritmo per la ricerca di soluzioni per .$\Psi(\mathcal{C})$$(k,x)$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))\geq C$Ψ ( C$\Psi(\mathcal{C})$$\Psi(\mathcal{C})$

4. Freeness di avanzamento: si dice che un problema di prova di lavoro è libero da progressi se il tempo impiegato da un'entità o un gruppo di entità per trovare il blocco successivo sulla blockchain segue la distribuzione esponenziale dove la costante è direttamente proporzionale alla quantità di potenza di calcolo tale entità utilizza per risolvere il problema . Per i problemi di mining di criptovaluta è necessaria la libertà di progresso affinché i minatori possano ricevere una ricompensa in blocco in proporzione alla loro potenza di mining per ottenere il decentramento. La SLT aiuta sicuramente i problemi di mining a realizzare progressi senza sosta.e - λ x λ $P$$e^{-\lambda x}$$\lambda$$P$