作業証明は確率論的にチェック可能ですか？

私はしばらく潜んでいます。これは私の最初の投稿です。質問の形式や形式が適切でない場合は、申し訳ありません。この質問は、姉妹サイトからの別の質問のアイデアから生まれました。

質問

ブロックチェーンの性質上、公に同意できる多数のコインフリップが生成される可能性があります。つまり、以前のブロックのハッシュは、ネットワークによってからランダムに引き出されることに同意する場合があります。 $\{0,1\}$

したがって、誰かがブロックチェーンのビザンチン将軍の問題の解決策を作成しようとしましたが、作業証明はまたはでの決定問題であり、証明は、以前のブロックのハッシュをパブリックコインとして使用して確率論的にチェックされます。反転？ $NEXP$ $PSPACE$

動機

たとえば、問題の目撃者を見つけることによって、暗号通貨の作業証明を「より良く」しようとするオンラインでの議論を見てきました。 $NP$

問題の目撃者を見つけた証明者は、彼女が仕事をしたことを証明するために目撃者を公に発表することができます。 $NP$

一般的な静的な問題のプールがあった場合、たとえば地球上で最大のの都市のサブセットのと言った、ブロックを保護するために証人を発表すると、誰もが同じ証人を使用して作業を別のチェーンにアタッチでき、チェーンを固定しないでください。 $NP$ $TSPs$ $n$ $i$

検証が知識ゼロの証明である場合、世界（証明者は別として）は、証人が実際に何であったかを知る必要はありません。

ただし、他の人が指摘しているように、暗号通貨は信頼できないピアツーピアシステムであるため、そのような証人のゼロ知識を維持しようとすることは、信頼できないピアツーピアシステムでは困難な場合があります。

たとえば、証明者がいずれかの解決策を見つけた場合 $TSP$ 静的プールからの問題、および $ZKP$ 証拠として、価格が正しければ、彼女は依然として証人を詐欺師に売ろうとするかもしれません。その詐欺師は、別の詐欺チェーンに作品を添付する可能性があります。

の証人 $NP$ 問題は、証明の目的の1つであるブロックチェーンを保護しない可能性があります。

同様の提案

の静的プールから問題空間を変換する $NP$ 問題の動的プールへの問題が役立つ可能性があり、私は作業証明としてサブグラフ同型問題を動的に生成するという提案を見てきました。しかし、私が知る限り、上記の提案は証人を決定論的に検証します。

また、PCPを使用してアウトソーシングされた計算を検証しようとする試みも見ましたが、アウトソーシングされた作業が暗号通貨ブロックチェーンに接続されているとは思いません。たぶんその仕事は近づいています。

歴史

で[GMR85] 、著者は、対話型証明系を紹介します。で[GS86] 、著者らは、グラフnonisomorphismのパブリックコインプロトコルを示します。で[Sha91] 、著者は証明しています $IP=PSPACE$ 。

で[BFL91] 、筆者はあることを証明します $MIP=NEXP$ 。で[BFLS91] 、作者はに正式な証明を変換するこれらのアイデアを拡張する構想透明な証明対数多項式時間でチェック可能。

で[AS92] 、著者は、数学的な文だけ読んで対数多項式時間で確認することができることを意味しているとして、上記の作品を特徴づけ $poly(logn)$ ペアノ算術の定理の証明のビット、サイズの証明 $n$ （それらはビットのサブ対数の数に減少し、同時に $O(1)$ 神聖なPCP定理のクエリ）。

たとえば、[AS92]から引用して、彼らはステートメントを想定しています：

{（ T 、 1^{ん} ） ： T 私 s a t h e o r e メートル o f P e a ん o a r 私 t h メートル e t 私 c w 私 t h a p r o o f o f s 私 z e \leq ん}

$\{(T,1^n):T\:is\:a\:theorem\:of\:Peano\:arithmetic\:with\:a\:proof\:of\:size\:\leq n\}$

言語として $NP$ 、ビットの対数以下の数で確率論的にチェックできる証人。

の間の簡単な関係を見つけることは決定できないことに注意してください $|T|$ 、定理の長さが証明され、 $|\pi|=n$ 、証明のサイズ。単純な証明可能なステートメントには長い証明があるか、長い証明可能なステートメントには短い証明がある場合があります。

つまり、不完全性定理により、 $n$ の計算可能な関数よりも速く成長します $|T|$ 。したがって、上記の制限付きバージョンを検討できます。 $n=O(exp |T|)$ 、小さな定理の指数サイズの証明を見つけます。したがって、次のようなステートメント：

{（ T 、 1^{ん} ） ： T 私 s a t h e o r e メートル o f P e a ん o a r 私 t h メートル e t 私 c w 私 t h a p r o o f o f s 私 z e O （ e バツ p （ | T | ） ）}

$\{(T,1^n):T\:is\:a\:theorem\:of\:Peano\:arithmetic\:with\:a\:proof\:of\:size\:O(exp(|T|))\}$

の言語として表示される場合があります $NEXP$ 、サイズの入力あり $|T|$ 。

[AS92]は、「この結果は主に理論的（実用的ではない）の関心事であると思われる」と述べています（強調が追加されています）。

で[Kil92]著者は、の確率チェック可能な証拠にコミットする証明を記述します $\pi$ 木のメルクルの根として、そしてビットについての一般的な質問に答える $i$ のパスを明らかにすることによる証明の $i$ 公的にコミットされたマークルルートに。

で[Nak08]ビザンチン将軍問題の著者のソリューションは、証明-の作業を必要とすることを伴います。

[Nak08]での作業証明には、暗号化ハッシュが与えられた場合など、暗号化ハッシュの部分的な反転が含まれます $h(x)\in\{0,1\}^N,x\in\{0,1\}^*$ 、ブロック $i\in\mathbb{N}$ 、および（金融の（メルクルルート））金融取引 $B_i\in\{0,1\}^N$ 、ナンスを見つける $n$ そのような

h （ ん ‖ B_{私} ）

$h(n\Vert B_i)$ 数字で始まる

d

$d$ 主導の

0 s

$0s$ 。

[Nak08]の作業証明にはいくつかの利点があります。これは、確立されたSHA256ハッシュ（ $N=256$ ）など。ノンスを見つけることの難しさは $O(2^{kd})$ いくつかのための $k$ 。[Nak08]の作業証明は、すべてのノードがすぐにチェック可能です $O(d)$ 、検証は非常に高速です。

同様に、SHA256を部分的に反転することには欠点がある可能性があります。本質的にランダムでやや人工的なパズルである問題に多くのエネルギーが費やされます。さらに、作業証明を試みるすべての人が同じ問題に取り組んでいますが、「勝者」は1人です。

例

NEXP

検討、ブロック $i$ 、[Kil92]のように、証明のマークルルートにコミットしている証明者 $\pi$ 一部のステートメントの $T$ [AS92]のように、確率的にチェック可能な形式でのペアノ算術の。彼女はペアノの公理と他の推論規則を証明に使用するかもしれません。彼女は、前のブロックで証明された他の定理を補題として使用して、自分の定理の証明を高速化することもできます。声明の証明を発表した最初の鉱夫 $\sum2^{-|T|}>d$ 難易度のしきい値 $d$ ブロックを「勝ち取り」ます。

その後、ブロックのハッシュを使用します $i-1$ [Kil92]の検証者がクエリに使用するランダムなコイン投げとして $O(1)$ のビット $\pi$ 。

鉱業に対する報酬として、彼女は $\sum2^{-|T|}$ 通貨の単位。したがって、彼女は小さな定理の証明を見つけることをお勧めします（より価値があるため）。

これはまた、造られた通貨の総量を有限に保ち、以下のように私は思う $1/2$ （なぜなら $1/2$ すべての整形式の真であり、 $1/2$ は誤りであり、それらすべてを証明できるわけではありません。）

これは $|T|$ としてのみ成長する $O(log\:i)$ 、どこ $i$ マイナーはより小さなステートメントのみを見ているため、ブロック番号です。

これはまた、声明を証明する鉱山労働者が $T$ 発表もできる $\sim\sim T$ 、および $\sim\sim\sim\sim T$ 、など、まだ報酬のみ $2^{-O(|T|)}$ 通貨の単位。

結局、世界はペアノ算術のいくつかの小さな声明が真実であることを知るかもしれませんが、誰も鉱山労働者が証明全体にアクセスすることはできません。一部の鉱山労働者は、証明を完成させるために他の人が使用する個々の補題を証明した可能性があります。これらの他の鉱山労働者は、証拠を確定的に検証する必要がない場合があります。

PSPACE

作業証明の別の例として、ランダムに生成された数値化ブール式（ $QBF$ ）未解決の問題の「プール」に。言う、鉱山のブロックに $i$ 、 $O(1)$ $QBF$ 平均の問題 $l=O(log\:i)$ リテラルが生成され、「プール」に追加されます。

プールに追加された問題は、前のブロックのハッシュに基づいてランダムに生成される場合があります。

証明者（マイナー）は、「プール」内の1つ以上の問題が真か偽かを示す証拠を見つけるために競います。数を見つける最初の証明者 $d$ 「プール」内のステートメントの数がマイニング利益を獲得します。証明を見つけると、証明者は、証明した声明の真実または虚偽の公的コインによるインタラクティブな証明を行います。彼らは、発表された証明でフィアットシャミルのヒューリスティックに従事できると思います。

証明者は、必ずしも、最近生成された問題が真または偽であることを証明する必要はありません。プール内の問題の一部が真または偽であることを証明するだけです。たとえば、追加された問題 $10$ または $100$ ブロック前はまだ作業されており、このブロックで証明されている可能性があります。

したがって、長期間「プール内」にあった問題は、「プール内」に長く存在するため、より難しい問題として現れます。

証明者は報酬を受けることができます $2^{-l}$ 通貨の単位。したがって、リテラルの数が少ない真のQBFを見つけることをお勧めします。これにより、合計通貨も一定に保たれます。リテラルの数が多いQBFは、リテラルの数が少ない他のQBFよりも簡単な場合があるため、マイナーは、新しく追加されたリテラルの数が多い問題よりも簡単で、古いリテラルよりも問題が少なく、数が少ない難しい問題があります。リテラルの、しかしより低い利益かもしれないが。

反転SHAとは異なり、証明者 $P_1$ そして $P_2$ 同時に同じポジションで作業する必要はありません。証明を最初に見つけた人は、前のブロックのハッシュからのランダムなビットを確率論的に検証することに頼って、証明を発表するだけです。このブロックの敗者は、引き続き証拠を探し続け、次のラウンドに勝つ可能性があります。

なぜなら $PSPACE$ 間のゲームと見なすことができます $\exists$ そして $\forall$ 、採掘はゲームを解くものと見なすことができます。やがて、世界はチェス（またはその他のゲーム）が解決されることを発見するかもしれません。ただし、証明全体を保存できる証明者はいないため、証明全体にアクセスできる証明者は誰もいません。

参考文献

[AS92] S.アローラ、S。サフラ。証明の確率的チェック：NPの新しい特性。リンク

[BFL91] L.ババイ、L。フォートナウ、C。ルンド。非決定論的指数時間には、2つの証明者の対話型証明があります。リンク

[BFLS91] L.ババイ、L。フォーナウ、L。レビン、およびM.セゲディ。多対数時間での計算のチェック。リンク

[GMR85] S.ゴールドワッサー、S。ミカリ、C。ラックオフ。インタラクティブな証明の知識の複雑さ。リンク

[GS86] S.ゴールドワッサー、M。シプサー。インタラクティブなプルーフシステムでのプライベートコインとパブリックコインの比較。リンク

[Kil92] J.キリアン。効率的なゼロ知識証明と議論に関するメモ。リンク

[Nak08] S. なこもと。ビットコイン：ピアツーピアの電子キャッシュシステム。リンク

[Sha92] IP = PSPACE リンク

complexity-theory np hash proof-of-work

— マークS
ソース

動機の部分がよくわかりません（証人が非常に大きくなり、許可されていない受信者に転送するのに長い時間がかかる場合、正当な受信者に転送するのにも長い時間がかかるため、誰もが失うようです）。譲渡不可能な証明が必要な場合は、インタラクティブな証明、ゼロ知識の証明などについて読むことをお勧めします。とはいえ、確率論的にチェック可能であるか決定論的にチェック可能であることが転送可能性の問題に必ずしも役立つのかわかりません。そのため、これはXY問題のように聞こえます。

— DW

私はここのいくつかの発言に少し混乱しています。「証人のゼロ知識を維持しようとするのは難しいかもしれません」、またはそれが何を意味するかを解釈する方法がわからない（何も秘密にしておくことができない場合、暗号化の多くは役に立たない）。最初のステップは、解決しようとしている特定の問題を定義し、脅威モデルを特定することだと思います（ハンマーの買い物に行く前に、釘やネジがあるかどうかを調べてください）。作業証明の文脈で「補題」への言及をどのように解釈するかについても、私は完全にはわかりませんが、おそらくそれは私の想像力の欠如にすぎません。

— DW

お時間を割いて質問を読んでいませんが、この論文に興味があるかもしれません。 delivery.acm.org/10.1145/3140000/3132757/...

— Jalexスターク

この質問に対する答えは、あらゆる意図と目的のために、「はい、このアイデアは[BRSV17]で検討されています（リンク）」。

たとえば、2つのセットがあるとします。 $S$ そして $T$ の $d$ 次元ベクトル $|S|=|T|=n$ 、 $2$ 直交ベクトル $\text{(2OV)}$ 問題はベクトルを見つけることです $\sigma\in S$ そして $\tau\in T$ そのような $\langle\sigma,\tau\rangle=0$ 。これは、 $\text{kOV}$ 問題。

で[BRSV17]、著者は、変換する方法を示して $\text{2-OV}$ 問題をProof of Useful Workに拡張できるMerlin-Arthurプロトコルに変換し、問題を $k$ -roundインタラクティブプルーフ。

著者は、問題をSum Checkプロトコルに変換して多項式の値を決定することでこれを行います $\text{GOV}$ フィールドの上 $\mathbb{F}$ ランダムなポイントで $x\in\mathbb{F}$ 。サムチェックプロトコルは、[Sha92]、[BFL91]、および[BFLS91]プロトコルの前身です。

著者はさらに、Posersが追加するProof of Useful Workを含むブロックチェーンを開示しています。 $\text{kOV}$ 共通のプールに問題があり、鉱山労働者はインタラクティブな証明の筆記録を作成するためにフィアット-シャミルのヒューリスティックに従います。鉱夫はランダムなポイントを決定します $x$ 前のブロックのハッシュをSum Checkプロトコルの係数でソルトすることにより。

著者たちは、 $\text{kOV}$ 問題はに関連しています $\text{APSP}$ 問題と $\text{3SUM}$ 問題。

この作品は他のアイデアへの踏み台になるのではないかと思いますか？

参照

[BRSV17] M.ボール、A。ローゼン、M。サビン、PNヴァセデヴァン。有用な作業の証明。2017年

PS私のLaTeXがKOV、APSP、3SUMなどに適しているかどうかはわかりません。

— マークS
ソース