VRF在区块链中的应用

最近区块链领域流行了一种“怪病”,许多区块链项目或者设计方案都加入了一个叫做VRFs的算法。那么,
(1) 什么是VRFs?
(2) VRFs在区块链中解决了什么问题?
本文旨在介绍VRFs的原理以及在区块链中的用途,不涉及复杂的VRFs的详细设计实现以及安全性证明。

VRFs介绍

VRFs全称Verifiable Random Functions,也就是可验证随机函数。从名字上可以看出VRFs有三个重要的特点:

  • 可验证
  • 随机性
  • 函数组

实际上,VRFs是hash函数构造的公钥密码方案,因此VRFs包含了hash函数和公钥密码算法两者的特性和功能(hash函数和公钥密码参考wiki,这里不在赘述)。功能上简单来讲,hash函数用来保证信息完整性,公钥密码用来进行数据鉴权。
VRFs介绍内容:

  1. 关键术语介绍
  2. VRFs之函数组
  3. VRFs之随机性
  4. VRFs之可验证
  5. VRFs之确定性

关键术语

VRFs涉及的一些关键术语:

  • SK, PK: VRF中使用的公私钥对,SK为私钥,PK为公钥。PK默认为公开参数(比如说已经记录在区块链上)
  • M: 输入数据
  • R:VRF哈希输出
  • P:VRF证明
  • Prover:证明者,拥有VRF公私钥PK和SK的一方
  • Verifier:验证着,拥有VRF中的公钥PK

VRFs之函数组

VRFs中涉及到四个重要的函数
383528-20180929111238786-1823997899.png

这四个函数可以分为两类,

  • 生成函数:
R=VRF_Hash(SK,M)
P=VRF_Proof(SK,M)
  • 验证函数:
R=VRF_P2H(P)
VRF_Verify(PK,M,P)

应用上,(1)首先生成一对公私钥;(2)然后使用生成函数分别生成哈希值R和哈希值的证明P;(3)使用验证函数分别验证RP

VRFs之随机性

像每个密码算法一样,首先VRF需要一个密钥生成算法,用来生成公私钥对(SK,PK)。这里的SK的产生需要复杂的随机数产生函数(高端一点的需要特制的硬件随机数发生源)来保证密钥的随机性。
当然,VRFs之随机性实际上并不是指的上述随机性,VRFs的随机性指的是,在不给定证明P的情况下,VRF_Hash的输出R与随机数两者之间是敌手不可区分的,这是比较正式或者说学术上的说法,可以认为VRF_Hash输出的R就是个随机数。

VRFs之可验证

VRF的可验证性,有两层意思:
一是PR的验证;
二是PKP的验证。
前者是VRF证明对VRF哈希的验证,后者是公钥对VRF证明的验证。有点类似验证链:拥有公钥PK可以通过VRF_Verify(PK,M,P)验证证明P的合法性;拥有P可以通过R=VRF_P2H(P)来验证R的合法性。

VRFs之确定性

VRFs的确定性比较简单,就是对相同的SKM,多次计算R=VRF_Hash(SK,M),得到的R是相同的。

VRFs在区块链中的应用

区块链技术包含了密码学、P2P协议以及共识算法等,是多种技术的巧妙组合,同时加入了经济激励机制。其中,共识算法可谓是区块链技术的灵魂。区块链技术从2009年至今发展了接近十年的时间,共识算法也一直围绕着安全性、去中心化以及高效低能者三个要求不断探索,从中本聪共识(POW类),到POS和DPOS共识,再到各种BFT共识等。

在区块链世界中,矿工的工作是区块链安全运行的基础,而他们的工作就是 挖矿⚒️ ,矿工挖到矿(区块)会获得一笔奖励金和一部分交易手续费。同一时间会有许多矿工进行挖矿,但最终只会有一个区块进入到主链上。

POW挖矿算法Hash(Hash(block, nonce)) < D
矿工挖矿的过程就是为了找到一个以上条件的nonce,谁先算出来谁就是本轮的获胜者。根据Hash算法的特点,其他矿工可以很容易验证上面不等式的有效性。众所周知这类算法:实现简单,易于理解,但低效高能。
为了解决POW共识低效高能的缺点,出现了POS类共识,而这类共识首先要解决的问题就是 谁来出块 的问题,VRFs最初被引入区块链就是为了解决这个问题。

VRFs如何决定出块者

像选美大赛一样,评委和观众会有一个评选标准,比如说身材、相貌或者多才多艺。用VRF选择出块者也需要一个标准,跟POW挖矿算法中的难度D一样,VRFs也需要类似的D
VRFs挖矿算法R = VRF_Hash(SK,block) < D
为了统一暂且也叫做挖矿算法。给定自己的私钥SK和block信息,可以很快的验证自己是否成为下一轮的出块者,不需要进行大量的Hash计算。

这类算法特点:离线验证,高效低能,但实现复杂

VRFs的十万个为什么

(1)不过聪明的人可能一下就能看出其中的问题:SK是矿工私钥不会公开,其他矿工如何证明R不是随便选取的小于D的数。

因此需要有个对于R有效性的证明,也就是上文中的PP=VRF_Proof(SK,M),然后通过R'=VRF_P2H(P),从P中恢复出一个R',只要 R == R',就可以证明R的有效性。然后用公钥PK通过VRF_Verify(PK,M,P)来对P进行公开验证。

(2)当然聪明的你可能又问了:看了半天,我感觉直接用签名算法不就可以了,干嘛整的这么复杂,比如说矿工直接对block签名,如果Sign(SK, block) < D,那么矿工就有出块的权利。

在密码学签名算法中,大都会引入随机性,也就是对相同信息的多次签名会得到不同的签名值,因此矿工可以不断对相同的输入SKblock,计算签名,以满足结果小于D。那么理论上任何人都会成为出块者,只要计算足够多次的签名。

(3)可是,对于RSA签名方案每次得到的签名不就都是确定值么!

对。其实不管使用确定性签名还是随机性签名,都存在个安全隐患。就是一旦将自己的出块凭证公布,任何人都可以公开验证,包括攻击者。那么攻击者可以对出块节点进行攻击,使其不能出块。
使用VRFs的方式,矿工只需要公布自己的R表明自己的出块权,当出完块的时候再公布P,那么攻击者就无法在出块之前知道谁具有出块权,因此也就无法实施针对性的攻击。
当然在这种异步公布RP的情况下,R存在作假的可能。POS共识研究中有个比较有名的问题:"Nothing At Risk",翻译过来叫无利害关系。之所以存在这种攻击,是因为出块者可以无代价的恶意出块,进行双花。对于这类攻击的解决方法,一般都会使用 "保证金+惩罚机制" 的方式。


以上的公式都为简化形式,实际应用中会有差别。比如VRFs挖矿算法的输入参数等…

个人思考

  1. 共识不是一个简单的算法问题,更像一个社会治理问题。
  2. 共识算法的设计需要关注性能和安全性,以达到性能和安全性的平衡。
  3. 区块链技术”不可能三角问题“中的 去中心化,个人认为应该叫做 公平性,因为去中心化不是区块链的目的,优秀的区块链应该是高性能,高安全性,参与者相对平等。而去中心化只是实现上的效果。公平性不单指的是公平的出块权,未来也可能代表公平的获取信息的权利(当然可能只是借助了区块链技术的创新项目)。
  4. VRFs可以用来选出块者,也可以用来分组,通过分组,提高交易并行处理性能。

------------------------------------------------完美的分割线-------------------------------------------------------

个人思考,有感而发,欢迎批评指正~~

Cryptoeconomics isn't magic – it's just interdisciplinary.

转载于:https://www.cnblogs.com/informatics/p/9721295.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值