开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 区块链 -> Aleo的PoSW共识 -> 正文阅读

[区块链]Aleo的PoSW共识

1. 引言

Aleo系列，前序博客有：

Aleo采用Proof of Succinct Work共识。

Proof of Succinct Work为SNARK-based Proof of Work算法，旨在激励对SNARKs的硬件加速。

具体为：
Miner将pending交易打包，并计算a valid nonce来解决a Proof of Succinct Work puzzle。

puzzle的difficulty rate会动态调整，以反映Aleo上的miners在每秒贡献的proof数量。

block time：是指网络生成有效区块所用的时间。基于网络的hashrate会变化。但是由blcok difficulty控制。
block difficulty：根据最近的block times来调整，以维护整个网络的平均block time的稳定性。

解决该puzzle的miner address将的激励为：base block reward + 该区块所包含的交易的手续费。

2. Aleo中所用的曲线

Aleo中使用pairing-friendly 曲线来生成和验证proof：

*	Edwards BLS12	BLS12-377	Edwards BW6	BW6-761
Curve Type	Twisted Edwards	Barreto-Lynn-Scott	Twisted Edwards	Brezing–Weng
Scalar Field Size	251 bits	253 bits	374 bits	377 bits
Base Field Size	253 bits	377 bits	377 bits	761 bits
G1 Compressed Size*	32 bytes	48 bytes	48 bytes	96 bytes
G2 Compressed Size*	N/A	96 bytes	N/A	96 bytes

3. Proof of Succinct Work (PoSW)

PoSW为比特币SHA-based difficulty adjusting算法的变种，最关键的不同之处在于：

底层计算不是hash运算，而是proof of knowledge计算。

使得PoSW：

作为PoW来保证系统共识
提供verification of transaction inclusion in a given block

PoSW采用异步模式，假设大多数miners（Provers）是诚实的。

PoSW中对于relation $\mathcal{R}$ 的SNARK $(G, P, V)$ 流程为：

1）已知a set of (valid) transactions $T_i = { t_1, ..., t_n }$ 和当前state $\text{state}_i$ ：
$\text{NewState}(\text{state}_i, T_i) \leftarrow (\text{state}_{i+1}, w_{i+1})$
其中：
- $\text{state}_i$ ：为第 $i$ 个block的state
- $w_{i+1}$ ：为auxiliary information attesting to the validity of $\text{state}_{i+1}$
2）Sample a random nonce $n$ 并计算：【 $C R S$ 为 $G$ 的public output】
$\text{state}_{i+1}], w_{i+1}) \leftarrow \pi_n$
3）若 $PRF(\pi_n)<= d$ ，则设置 $n_{i+1}=n$ 和 $\pi_{i+1}=\pi_n$ 。否则返回步骤2）。【 $P R F$ 为a pseudorandom function used to evaluate the difficulty condition。】
$d$ 为难度系数，借鉴了Bitocoin和其他PoW链，会根据网络hashrate进行动态更新。It is iteratively updated based on the maximal and current targets every fixed number of blocks and guarantees constant block time.

4. PoSW共识security

PoSW设计为满足传统PoW guarantees，要求其具有a time-lock puzzle安全属性。

为了实现time-lock，要求PoSW满足：

Amortization Resistance：即不可摊销，不可batch操作。

4.1 Amortization Resistance（PoSW的不可batch性）

任何PoW系统的最重要特性是non-batchability，是指：

computation of many instances of the problem should not provide substantial speed-ups to miners through the reuse of information。

Aleo采用的是Generic Group Model (GGM)，其中miners have access to an oracle $O$ performing a given hard computation in the random encoding of some group $G$ 。计算难度取决于miner访问oracle $O$ 的次数。

在setup时，定义了 $\epsilon$ -amortization resistance 作为 the ratio of oracle queries performed by the optimal algorithm $A^O(P,n)$ computing $n = p o l y (n)$ proofs simultaneously versus the algorithm $A^O(P,1)$ computing each $n$ proof individually。其中 $n$ 为proof size， $Queries(A^O)$ 为the number of queries $A^O$ makes to $O$ ， $x_i$ 为the (randomly sampled) $i$ -th problem instance：
$\epsilon \leq 1 - \frac{\mathsf{Queries}(\mathcal{A}^{\mathcal{O}}_{\mathcal{P}, \ell(n)}(\{\mathbf{x_i}\}_{i = 1}^{\ell(n)}))}{\sum_{i = 1}^{\ell(n)} \mathsf{Queries}(\mathcal{A}^{\mathcal{O}}_{\mathcal{P}, 1}(\mathbf{x_i}))}.$

$\epsilon$ 为the advantage that a large miner receives due to the amortizability of the underlying puzzle。若 $\epsilon=0$ ，则没有算法可attain speedup from batching and the puzzle is perfectly amortizable。

4.2 Quantization Error & Forking Probability

与其它PoW scheme不同，PoSW底层计算可能solution (a single proof)所需时间要长于其它puzzles。因为NIZK生成proof是计算密集型的，若其与产块时间相当，会影响底层链的安全性。

4.2.1 Quantization Error

设置proof生成时间为 a significant fraction of 产块时间，slow miner可在其finish current attempt之前 hear of a new solution，然后放弃当前其所计算的部分proof，直接开始mine新的区块。这种放弃的部分算力浪费对应为quantization error $\epsilon_Q$ ：
$\epsilon_Q = 1 - \tau / (e^{\tau} - 1)$
其中产块时间normalize为 $1$ ，平均生成proof的时间设置为 $\tau$ 。

注意 $\tau\leftarrow 0$ 意味着 $\epsilon_Q\leftarrow 0$ 。即意味着miner放弃的work趋近为0。生成proof的时间 $\tau_p$ 与产块时间 $\tau_b$ 之间的ratio $r=\tau_p/\tau_b$ 应最小化。

4.2.2 Forking Probability

以上quantum effects将增加the number of observed collisions。若miner未同步，当收到一个区块时，会选择继续完成其当前effort。若所有miner都这么做，将影响整个网络同步。

一个mining round所期待的solution数量为一个随机变量 $X\sim Po(\tau)$ 。

将分叉的概率上线表示为 $\epsilon_F$ ：
$\epsilon_F <= (1 - Poisson(1, \tau)) / (1 - Poisson(0, \tau)) <= \tau / 2$
其中， $f(q)=Possion(q,\tau)$ 为the PDF of $X$ 。

对于固定的block time，任何对proving time的改进（如硬件加速，或circuit size调整），都将降低分叉概率。

5. PoSW Predicate

PoSW circuit中的predicate用于验证the inclusion of transactions in a given block。

5.1 System State

Aleo中的system state定义为：

a Merkle tree $\text{Tree}_G(h)$ of depth $h$ over a CRT function $G:\{0,1\}^{512}\rightarrow \{0,1\}^{k/2}$

其中 $G$ 为SHA-256， $k = 512$ 。

Aleo中的system state也可称为“state tree”，其每个leaf为the unique ID of a transaction to be processed，变量state为tree root。

在这里插入图片描述

PoSW circuit取 state tree中的 $q < = d$ subtree，然后计算a Merkle tree of depth $q$ 。 The leaves of the tree are the depth $q$ elements of the state tree $\text{Tree}_H(h)$ , instantiated over $k$ -bit leaves with a different CRT function $\{0, 1\}^k \rightarrow \{0, 1\}^{(k/2)}$ as a new PoSW tree $\text{Tree}_H(q)$ . This layout is illustrated in the diagram on the left. For example, for $KaTeX parse error: Expected '}', got '_' at position 16: G = \text{BLS12_?377}$ we set $H$ as the 512-bit Pedersen CRH with output truncated to 256 bits.

对 $H$ 的circuit implementation将mask the witness variables based on a pseudorandom seed，这将作为predicate statement的一部分。这需要满足non-amortization要求。Aleo中设置 $q = 3$ 。

5.2 Pedersen Primitives

$k$ -bit Pedersen hash function over $G$ CRT hash函数定义为：
$H(G,x)=\prod_{i=1}^k G_i^{x_i}$

其中 $G_i$ 为 $G$ 中的randomly sampled generator， $x_i$ 为input $x$ 的第 $i$ 个bit。

该函数的CRT security可reduce为 the hardness of the DLP over group $G$ 。

5.2.1 Symmetric Pedersen Gadget

$k$ -bit symmetric Pedersen hash定义为：
$H_{\text{sym}}(H,\rho)=\prod_{i=1}^{k}H_i^{(1-2\cdot \rho_i)}$

定义 $F_{p^2})^k$ 内的group variable $Q=(Q_x,Q_y), h_i=(h^i_x,h^i_y)$ ，check如下evaluations：

若 $\rho_i=0$ ，设 $h_i=H_i$ ；否则若 $\rho_i=1$ ，则设 $h_i=H_i^{-1}$ 。
$Q_0$ 为identity 且 $Q_i=Q_{i-1}*h_i$

这需要 $k$ Edwards multiplications (6 constraints each)，且需要a bit lookup for each of the $h_i$ in addition to $k$ booleanity checks。

具体见PedersenCRHGadget中的precomputed_base_symmetric_multiscalar_mul。

5.2.2 Masked Pedersen Gadget

$k$ -length masked Pedersen hash function over $G$ 为 CRT hash function $H_\text{mask}:\{0,1\}^k\times\{0,1\}^k\times G\rightarrow G$ ：
$H_\text{mask}^{G, H}(\rho, x, P) = P * \prod_{i=1}^{k}(1[x_i (+) \rho_i = 1] G_i^{2 * x_i - 1} H_i^{2 * \rho_i - 1} + 1[x_i (+) \rho_i = 0] H_i^{2 * \rho_i - 1})$

其中 $x_i$ 和 $\rho_i$ 分别为 $x$ 和 $\rho$ 的第 $i$ 个bit，而 $G_i$ 为randomly sampled generators of $G$ ， $(+)$ 为bitwise XOR operation。附加 $P$ 变量来实现demasking操作。

定义 $F_{p^2})^k$ 内的group variable $Q=(Q_x,Q_y), g_i=(g^i_x,g^i_y)$ 以及 $F_{p}^k$ 内布尔变量 $z$ ，执行如下evaluations：

对于 $2$ -bit lookup，for $i\in [k]$ ，设置 $g_i=$
- $H_i^{-1}$ if $\rho_i=0$ and $x_i=0$
- $H_i$ if $\rho_i=1$ and $x_i=1$
- $G_i * H_i^{-1}$ if $\rho_i=1$ and $x_i=0$
- $G_i^{-1} * H_i$ if $\rho_i=0$ and $x_i=1$
$Q_0=P$ and $Q_i=Q_{i-1} * g_i$

这需要 $k$ Edwards multiplications (6 constraints each)，且需要a $2$ -bit lookup for each of the $g_i$ (2 constraints each) in addition to $k$ booleanity checks。

具体见PedersenCRHGadget中的precomputed_base_scalar_mul_masked。

5.2.3 Pedersen Hash Gadget

Aleo instantiate a circuit verifying $M$ evaluations of $H^G$ using circuit for $H_{\text{mask}}^{G,H}$ and $H_{\text{sym}^H}$ over $G$ 。注意，这些变量在 $F_p$ 内，而 $z_x,z_y)$ 变量在 $F_{p^2}$ 域，可解析为elliptic curve point in $G$ 。
假设 $G$ 中的 $G_i,H_i$ 已预计算，可作为constant被访问。

1）Inputs：
$k$ -length masked evaluation of $M$ Pedersen hashes的输入为：
- for $i\in[M]$ ，布尔变量 $x^i=\{x^i_1,\cdots,x^i_k\}$
- boolean seed $\rho\in \{0,1\}^k$ 为a subset of $F^k_p$
2）Evaluation：
- 设置 $z\leftarrow H_{\text{sym}}^{H}(\rho)$
- for $i\in [M]$ ，设置 $(o^i_x,o^i_y)=H_{\text{mask}}^{G,H}(\rho,x^i,z)$
3）Output：
The $k / 2$ length set of variables $\{o^1_x,\cdots,o^k_x\}$ in $F_p)^k$ as the truncated outputs。

5.2.4 实例化

Aleo中的Pedersen Primitives采用BLS12-377作为底层group，相应的output length（point压缩格式）为 $256 + 1 = 257$ ，Aleo 将其truncate为 $256$ bits。基于的安全假设为ECDLP，相应的security level 为 $\lambda\sim=128$ bits。
input length $k = 512$ bits。

5.3 PoSW Circuit

PoSW tree $\text{Tree}_H(q)$ 的叶子为：subroots of the state tree’s $q$ -depth nodes。
PoSW tree $\text{Tree}_H(q)$ 使用 $k$ -bit Pedersen hash gadget 和 seed $\rho$ 来计算root $\text{state}_i$ 。
seed 参数 $\rho=PRF(state_i||n)$ 为伪随机函数 $P R F$ 的输出，输入为nonce $n$ 和 tree root。

5.3.1 Seed Generation

在每个Predicate 生成seed的流程为：
1）已知输入：nonce $n\in \{0,1\}^{256}$ 和 $\text{stae}_i\in \{0,1\}^{256}$ ，输出 $\rho_0\in \{0,1\}^{256}$ as $\rho_0=BLAKE(n||\text{state}_i)$ ，其中 $∣ ∣$ 表示string拼接。
2）若 $\rho_0$ 的第 $i$ 个bit $\rho_{0,i}$ 为 $0$ 或 $1$ ，设置 $\rho$ 的第 $(2 i ? 1)$ 或第 $2 i$ 个bit分别为 $10$ 或 $01$ 。使得 $\rho\in\{0,1\}^{512}$ 具有constant Hamming distance $256$ 。

这些都是在circuit之外完成的。且需要input format for every valid instance。

5.3.2 Circuit Size

5.3.2.1 Statement-Witness Definition

a valid statement $\phi=<\text{state}_i,n>\in\{0,1\}^{512}$ 为 a subset of $F_p^{512}$ ，其中：
1） $\text{state}_i\in\{0,1\}^{256}$ 为bitwise representation of the PoSW root node of the updated state variable。
2） $n\in\{0,1\}^{256}$ 为the bitwise representation of the nonce。

以上statement的witness $w$ 包含：

1）A boolean representation of $\rho\in \{0,1\}^{512}$
2）The subroot leaves $\{x_i\}_{i=1}^{2^q}\in\{0,1\}^{512}$ corresponding to $\text{state}_i$
3）Boolean representations of the intermediate node values of $\text{Tree}_H(q)$

5.3.2.2 Evaluations

对于root $\text{state}_i$ 和 $\text{Tree}_H(q)$ 的所有内部nodes，运行a computation of the $H$ gadget with the node value as output and its children as inputs。

PoSW circuit会验证 $\text{Tree}_H(q)$ 正确生成的。需要的计算量为 $2^{q-1}+1$ instances of $H$ 。

6. Aleo的mining流程

PoSW共识中的mining算法为：modular exponentiation over some group $G$ 。
以 $R$ 来表示代表PoSW circuit的relation，NIZK $(G, P, V)$ ，生成common reference string $C R S = G (R)$ 。
兴趣点在于为 $P$ 定义一种算法，该算法具有a size $S$ precomputation string that minimizes the number of multiplications performed in $G$ 。

6.1 Modular Multiexponentiation

PoSW将PoW process reduce为 the hardness of exponentiation，需要计算 $q$ instances of exponentiating $k$ random indices $x_{i,j}$ in $Z_p$ ， $(i,j)\in[q]\times [k]$ for prime $p$ of size $n = l o g (p)$ by some random bases $G_i$ in $G$ ：
$\text{MultiExp}({G_1, ..., G_k}, {x_1, ..., x_q}) = (∏_{i = 1..k} G_i^{x_{1,i}}, ..., ∏_{i = 1..k} G_i^{x_{q,i}})$

算法 $A=(A_1,A_2)$ 分为2个阶段：

1） $A_1$ ：precompute a string of $S$ group elements in $G$ from the common reference string $SRS=\{G_1,\cdots,G_k\}$ 。
2） $A_2$ ：输入有 $q$ sets of $k$ elements in $Z_p$ ，输出为 $q$ outputs $\{\pi_1,\cdots,\pi_q\}$ 。

对于每个bases $G_i$ ，计算 $S / k$ exponents，并将其存入precomputation string中。这些exponents为the radix decomposition bases for $Z_p$ at the maximal permissible depth $c$ 。
平均来说，每个index最多需要 $n/(3_log(S)-log(k)-log(n))$ 次multiplications for a total of $q ? k ? n / (l o g (S) ? l o g (k) ? l o g (n))$ 。这意味着the size of the precomputation string $s$ grows exponentially with a linear improvement in proving time。

6.2 Security & Miner Size

对于具有 $S=k*(n/c)*(2^c-1)$ 个group elements的precomputation table，每个exponentiation平均计算量为 $n / c$ 次multiplication。但是，某些point a maximal $c^*$ is obtained that balances the communication cost of sending more precomputed elements with the cost of performing additional multiplications。因此，可假设miners work at around the level, and look at the security it implies。

Aleo评估了不同values of $c\in {N_+}$ 的proof生成时间。在constant block frequency场景下，可用于project what the minimal table size $S$ is for a predicate involving $k$ exponentiations to achieve sufficiently low quantization error and collision probability。

We fix $S$ and $k$ and investigate proof generation times for fixed table size. Proving times in the GM17 and Marlin provers alongside the corresponding quantization error and collision probabilities are provided below for a single-threaded desktop machine. Security is with respect to 1 minute blocks and a circuit with $k\approx 2^{13}$ exponentiations per proof.

Proof System	Proof Generation Time (s)	Quantization Error (%)	Collision Probability (%)
Marlin	4.65	3.82	3.87
GM17	0.91	0.758	0.76

6.2.1 Security Implications of Hardware Acceleartion

采用硬件加速的miner的proof生成时间将大幅缩短，因此，更多更快的miner将有助于降低quantization error和collision probabilities。也有助于网络更安全的运行。

7. PoSW 实例化

Aleo的PoSW中的proof system采用的Marlin架构。Marlin架构与non-interactive Random Oracle setting下的属性一致。

7.1 Simulation Extractability

simulation-extractable (SE) proof system 具有 a unique encoding for every valid instance-witness pair $\langle \phi, w\rangle$ 。即意味着valid proofs cannot be rerandomized without explicit knowledge of a different witness for $\phi$ 。否则an adversarial prover would be able to change the encoding of a proof after computation until it satisfies difficulty, which would violate the non-amortization requirement。

7.2 Reduction to an Average-Case Hard Problem

A non-amortizable prover should reduce in difficulty to a problem known (or postulated) to be non-batchable (or ‘hard’) on average。

由于当前大多数proof system采用的都是Kate commitment。因此Aleo中致力于 reduce proof computation to the problem of multi-exponentiation of a set of given (random) bases ${G_i}_{i = 1}^m \in \mathbb{G}^m$ by a set of random indices ${x_i}_{i =1}^m \in \mathbb{Z}_p^m$ 。此时，hardness is measured in the number of queries to a multiplication oracle $\mathcal{O}_m$ in the given group’s encoding。
尽管该问题在unbounded space下并 non-amortizable的，但是，miners具有fixed size precomputation string，可认为其是non-amortizable的。

7.3 Predicate Design

predicate的选择对于确保以上security也至关重要。
$\mathcal{R}$ relation应满足如下属性：

1）Usefulness：The proof is a proof of knowledge for a statement providing inherent value to the protocol. We opt for a relation that verifies the inclusion of a set of transactions in the given block.
2）Computational Uniqueness：An adversary cannot find a new witness $w_2$ for $\phi$ given knowledge of a valid instance-witness pair $\langle \phi, w\rangle$ . This ensures that the miner cannot resample witnesses for $\phi$ to reduce computational burden.
3）Non-Amortization：Valid witnesses for $\mathcal{R}$ need to “look” sufficiently random to reduce to the average-case hardness of multiexponentiation. The chosen predicate achieves $\epsilon = 0$ (or perfect) non-amortization in this context.

7.4 Error Bounds

We set the desirable error bounds for quantization and forking error to $3\%$ and $1.5\%$ respectively. For a protocol with $1$ -minute block times, this implies that average proof generation times need to be upper bounded by $\tau = 1.8 \approx 2$ seconds.

8. PoSW并行化

PoSW circuit支持并行化 in each of the bases that need to be exponentiated。即意味着使用并行硬件可降低proving time，也意味着更高的chain security。但是带来的问题是需要能支持large parallel computing instances的larger miners。
若底层circuit computation为inherently sequential的，则可实现Verifiable Delay Function(VDF)。

8.1 Recursion

Recursion computation可将PoSW circuit转换为sequential computation。将circuit切分为sequential proofs that ‘pass’ an intermediate set of witnesses through many sub-circuit：
每个仅需运行一小部分计算。

通过recursion，每个proof都是下一proof的输入，让subcircuit足够小，将保证最终生成的proof为几乎sequential。

8.2 Towards a VDF Construction

尽管当前的设计倾向于non-parallelizabilit，这将带来high efficiency costs due to the requirement for recursive computation。

但是，需要设计a parallelizable instance，使得可开发相应的硬件，来提供有意义的security guarantee（low collision probability due to lower proof generation times）。
随着硬件和密码学优化，recursive composition就足够了，整个协议可简单过渡为a state where the underlying proof generation is inherently sequential。