By Bitcoin Magazine - il y a 1 an - Temps de lecture : 14 minutes
La preuve de travail est objective, la preuve de participation ne l'est pas
Le mécanisme de consensus de preuve de travail utilisé dans Bitcoin est une mesure objective de l'histoire qui ne peut être modifiée au gré des validateurs.
Alan Szepieniec est titulaire d'un doctorat en cryptographie post-quantique de la KU Leuven. Ses recherches portent sur la cryptographie, en particulier le type de cryptographie qui est utile pour Bitcoin.
La preuve de participation est un mécanisme de consensus alternatif proposé à la preuve de travail qui Bitcoinutilise le mécanisme de consensus. Au lieu d'exiger la consommation d'énergie, la preuve de participation oblige les mineurs (généralement appelés validateurs) à mettre en jeu des actifs numériques afin de contribuer au processus de production de blocs. Le jalonnement les incite à se comporter honnêtement, afin d'éviter de perdre leur mise. En théorie, avec uniquement des validateurs honnêtes, le réseau parviendra rapidement à un consensus sur l'ordre des transactions et, par conséquent, sur les transactions qui sont des doubles dépenses non valides.
La preuve de participation a fait l'objet de nombreux débats. La plupart des critiques portent sur la sécurité : diminue-t-elle le coût des attaques ? De nombreuses personnes articulent également des préoccupations sociologiques : centralisation du pouvoir, concentration des richesses, ploutocratie, etc.
Dans cet article, j'articule une critique beaucoup plus fondamentale : la preuve de participation est intrinsèquement subjective. La vue correcte d'une blockchain de preuve de participation dépend de qui vous demandez. En conséquence, le coût d'une attaque ne peut pas être calculé en unités internes à la blockchain, rendant les analyses de sécurité nulles ; les dettes ne peuvent pas être réglées entre des parties qui ne s'accordent pas déjà sur les tiers dignes de confiance ; et la résolution finale des différends doit venir des tribunaux.
En revanche, la preuve de travail est un mécanisme de consensus objectif où tout ensemble de parties liées ou non liées peut s'entendre sur l'état exact de la blockchain. En conséquence, deux acteurs économiques peuvent s'entendre sur le fait qu'un paiement a été effectué, indépendamment des tribunaux ou des membres influents de la communauté. Cette distinction rend la preuve de travail appropriée – et la preuve de participation inadaptée – en tant que mécanisme de consensus pour les monnaies numériques.
Monnaie numérique et consensus
Le problème à résoudre
L'une des opérations les plus élémentaires effectuées par les ordinateurs consiste à copier des informations. Cette opération laisse la copie originale intacte et produit une réplique exacte pratiquement sans frais. Les ordinateurs peuvent copier à peu près n'importe quoi, tant que c'est numérique.
Cependant, certaines choses existent uniquement dans le domaine numérique et ne peuvent pas être copiées. Des choses à la fois numériques et rares. Ce descriptif s'applique à bitcoin par exemple, ainsi qu'à d'autres actifs numériques basés sur la blockchain. Ils peuvent être envoyés, mais après leur envoi, la copie originale a disparu. On peut ne pas être d'accord avec la raison pour laquelle le marché demande ces actifs, mais le fait que cette demande existe signifie que ces actifs numériques sont utiles comme contrepartie pour équilibrer les échanges. Lorsqu'ils sont condensés en un seul mot: ils sont de l'argent.
Pour atteindre la rareté numérique, le protocole blockchain réplique un grand livre sur un réseau. Le registre peut être mis à jour, mais uniquement avec des transactions où les propriétaires des fonds dépensés sont d'accord ; la somme nette est nulle ; et les sorties sont positives.
Toute mise à jour invalide sera rejetée. Tant qu'il existe un consensus sur l'état du grand livre entre tous les participants au protocole, la rareté numérique est garantie.
Il s'avère que parvenir à un consensus est une tâche difficile. Des conditions de réseau imparfaites génèrent des vues distinctes de l'histoire. Les paquets sont abandonnés ou livrés dans le désordre. Le désaccord est endémique aux réseaux.
La règle du choix de fourchette
Les blockchains résolvent ce problème de deux manières. Tout d'abord, ils imposent un ordre complet à toutes les transactions, ce qui génère un arbre de vues alternatives de l'historique. Deuxièmement, ils définissent le canon pour les historiques, ainsi qu'une règle de choix de fourchette qui sélectionne la branche canonique dans l'arbre des historiques.
Il est facile de dériver la canonicité d'autorités de confiance ou, selon certains, d'un schéma de vote numérique soutenu par un schéma d'identité citoyenne. Cependant, les autorités de confiance sont Trous de sécurité, et compter sur le gouvernement pour fournir des services d'identification fiables devient un outil politique plutôt qu'un outil indépendant de celui-ci. De plus, les deux solutions supposent un accord sur les identités et la fiabilité des tiers. Nous voulons réduire les hypothèses de confiance ; idéalement, nous avons une solution qui dérive entièrement des mathématiques.
Une solution pour décider de la canonicité qui dérive entièrement des mathématiques génère la propriété remarquable que la réponse est indépendante de celui qui la calcule. C'est en ce sens qu'un mécanisme de consensus est susceptible d'être objectif. Il y a cependant une mise en garde importante : il faut supposer que toutes les parties s'accordent sur un point de référence unique, tel que le bloc de genèse ou son résumé de hachage. Un mécanisme de consensus objectif est celui qui permet à toute partie d'extrapoler la vision canonique de l'histoire à partir de ce point de référence.
Quelle branche de l'arbre est sélectionnée pour être canonique n'est pas importante ; l'important est que tous les participants soient d'accord sur ce choix. De plus, l'arbre entier n'a pas besoin d'être représenté explicitement sur un seul ordinateur. Au lieu de cela, il suffit que chaque nœud ne contienne qu'une poignée de branches. Dans ce cas, la règle de choix de fourchette ne teste jamais que deux vues candidates de l'histoire à la fois. Strictement parlant, l'expression la vision canonique de l'histoire est trompeuse : une vision de l'histoire ne peut être que plus ou moins canonique par rapport à une autre vision. Les nœuds suppriment la branche la moins canonique et propagent celle qui l'est le plus. Chaque fois qu'une vue de l'historique est étendue avec un lot de nouvelles transactions, la nouvelle vue est plus canonique que l'ancienne.
Pour que le réseau converge rapidement vers un consensus sur la vision canonique de l'histoire, la règle du choix de la fourchette doit satisfaire deux propriétés. Tout d'abord, il doit être bien défini et efficacement évaluable pour n'importe quelle vision de l'histoire de deux paires. Deuxièmement, il doit être transitif pour tout triplet de vues de l'histoire. Pour ceux qui ont un penchant pour les mathématiques : soit U,V,W trois vues quelconques de l'histoire, et l'infixe « < » désigne la règle de choix de fourchette favorisant le côté droit par rapport au côté gauche.
Alors [deux conditions sont remplies] :
tu
Pour que le grand livre puisse prendre en charge les mises à jour, les vues de l'historique doivent être extensibles d'une manière compatible avec la règle de choix de fourchette. Par conséquent, deux autres propriétés sont requises. Tout d'abord, lorsqu'elle est évaluée sur deux vues où l'une est une extension de l'autre, la règle de choix de fourchette doit toujours favoriser la vue étendue. Deuxièmement, les extensions d'une vue (anciennement) canonique sont plus susceptibles d'être canoniques que les extensions de vues non canoniques. Symboliquement, laissez « E » désigner une extension et « ‖ » l'opération qui l'applique. Alors:
tu 0.5La dernière propriété incite les extenseurs honnêtes à se concentrer sur l'extension des vues canoniques par opposition aux vues dont ils savent qu'elles ne sont pas canoniques. En raison de cette incitation, des visions distinctes de l'histoire qui naissent simultanément d'extensions honnêtes mais contradictoires ont tendance à ne différer que par leurs pointes, en ce qui concerne les événements récents. Plus un événement est enregistré en arrière, moins il est susceptible d'être renversé par la réorganisation imposée par une autre vision de l'histoire, plus canonique, qui diverge à un point antérieur. De ce point de vue, la vision canonique de l'histoire est bien définie en termes de limite de vues de l'histoire vers laquelle converge le réseau.
Le disqualifiant évident dans le paragraphe précédent est la nécessité pour les prolongateurs de se comporter honnêtement. Qu'en est-il des extenseurs malhonnêtes ? Si l'adversaire peut contrôler la variable aléatoire implicite dans l'expression de probabilité, alors il peut la manipuler à son avantage et lancer des réorganisations profondes avec une probabilité de succès élevée. Même s'il ne peut pas contrôler la variable aléatoire, mais peut produire des extensions candidates à moindre coût, il peut alors évaluer la règle de choix de fourche localement et indéfiniment jusqu'à ce qu'il trouve un point de divergence précoce avec une extension qui génère un plus canonique branche que tout autre qui circule.
La pièce manquante du puzzle n'est pas un mécanisme qui empêche les extensions malhonnêtes. Dans un environnement de conditions de réseau imparfaites, il est impossible de délimiter un comportement malhonnête. Un attaquant peut toujours ignorer les messages qui ne lui plaisent pas, ou retarder leur propagation et prétendre que la connexion réseau est à blâmer. Au lieu de cela, la pièce manquante du puzzle est un mécanisme qui rend les réorganisations profondes plus coûteuses que les réorganisations superficielles, et plus elles sont profondes.
Preuve de travail cumulative
Le mécanisme de consensus de Satoshi Nakamoto réalise précisément cela. Afin de proposer un nouveau lot de transactions (appelés blocs), et ainsi d'étendre certaines branches, les extensions potentielles (appelées mineurs) doivent d'abord résoudre un casse-tête informatique. Ce puzzle est coûteux à résoudre mais facile à vérifier, et porte donc bien son nom de preuve de travail. Ce n'est qu'avec la solution à ce casse-tête que le nouveau lot de transactions (et l'historique auquel il s'engage) est un concurrent valable pour canon. Le puzzle est livré avec une molette de réglage de sa difficulté, qui se tourne automatiquement afin de régulariser le temps attendu avant qu'une nouvelle solution ne soit trouvée, quel que soit le nombre de participants ou les ressources qu'ils consacrent au problème. Ce bouton a une fonction secondaire en tant qu'indicateur impartial de l'effort de résolution d'énigmes dans une unité qui mesure la difficulté.
Le processus est ouvert à la participation de tous. Le facteur limitant n'est pas l'autorité ou le matériel de clé cryptographique ou les exigences matérielles, mais plutôt les ressources que l'on est prêt à dépenser pour avoir une chance de trouver un bloc valide. La nature probabiliste et parallèle du puzzle récompense le mineur rentable qui maximise le nombre de calculs par joule, même au prix d'un nombre inférieur de calculs par seconde.
Étant donné le paramètre de difficulté cible (le bouton) pour chaque bloc, il est facile de calculer une estimation impartiale de la quantité totale de travail qu'une branche donnée de l'histoire représente. La règle de la preuve de travail et du choix de fourchette favorise la branche où ce nombre est le plus élevé.
Les mineurs font la course les uns contre les autres pour trouver le bloc suivant. Le premier mineur à le trouver et à le propager avec succès gagne. En supposant que les mineurs ne sont pas assis sur de nouveaux blocs valides mais non propagés, lorsqu'ils reçoivent un nouveau bloc de mineurs concurrents, ils l'adoptent comme nouveau chef de la branche canonique de l'histoire, car ne pas le faire les désavantage. Construire au-dessus d'un bloc connu pour être ancien est irrationnel car le mineur doit rattraper le reste du réseau et trouver deux nouveaux blocs pour réussir - une tâche qui est, en moyenne, deux fois plus difficile que passer à la nouvelle branche plus longue et l'étendre. Dans une blockchain de preuve de travail, les réorganisations ont tendance à être isolées jusqu'à la pointe de l'arbre de l'histoire, non pas parce que les mineurs sont honnêtes, mais parce que le coût de génération des réorganisations augmente avec la profondeur de la réorganisation. Exemple : d'après ceci réponse d'échange de pile, hors forks suite à des mises à jour logicielles, le fork le plus long du Bitcoin blockchain avait une longueur de 4, soit 0.0023% de la hauteur du bloc à l'époque.
La « solution » de la preuve de participation
La preuve de participation est une alternative proposée à la preuve de travail dans laquelle la vision correcte de l'histoire n'est pas définie en termes de la plus grande quantité de travail consacrée à la résolution d'énigmes cryptographiques, mais plutôt définie en termes de clés publiques d'informations spéciales. nœuds appelés validateurs. Plus précisément, les validateurs signent de nouveaux blocs. Un nœud participant vérifie la vue correcte de l'historique en vérifiant les signatures sur les blocs constitutifs.
Le nœud n'a pas les moyens de distinguer les vues valides de l'historique des vues invalides. Le fait est qu'un bloc concurrent n'est un concurrent sérieux pour la pointe de la vue correcte de l'histoire que s'il a une signature de soutien (ou plusieurs signatures de soutien). Il est peu probable que les validateurs signent des blocs alternatifs car cette signature prouverait leur comportement malveillant et entraînerait la perte de leur participation.
Le processus est ouvert au public. N'importe qui peut devenir un validateur en mettant une certaine quantité de crypto-monnaie dans un compte séquestre spécial. Cet argent bloqué est la «mise» qui est réduite si le validateur se comporte mal. Les nœuds vérifient que les signatures sur les nouveaux blocs correspondent aux clés publiques fournies par les validateurs lorsqu'ils mettent leurs mises sous séquestre.
Formellement, dans les blockchains de preuve de participation, la définition de la vision correcte de l'histoire est entièrement récursive. Les nouveaux blocs ne sont valides que s'ils contiennent les bonnes signatures. Les signatures sont valides par rapport aux clés publiques des validateurs. Ces clés publiques sont déterminées par d'anciens blocs. La règle du choix de fourchette n'est pas définie pour les vues concurrentes de l'histoire, tant que les deux vues sont cohérentes.
En revanche, la vue correcte de l'historique dans les blockchains de preuve de travail est également définie de manière récursive, mais pas à l'exclusion des entrées externes. Plus précisément, la règle du choix de fourchette dans la preuve de travail repose également sur le caractère aléatoire dont l'impartialité est objectivement vérifiable.
Cette entrée externe est la principale différence. Dans la preuve de travail, la règle du choix de fourchette est définie pour n'importe quelle paire de vues concurrentes différentes de l'histoire, c'est pourquoi il est possible de parler de canon en premier lieu. Dans la preuve de participation, il n'est possible de définir l'exactitude que par rapport à un historique antérieur.
La preuve de participation est subversible
Est-ce important? En théorie, pour que deux visions de l'histoire cohérentes mais mutuellement incompatibles se produisent, il faut que quelque part quelqu'un ait été malhonnête, et s'il s'est comporté malhonnêtement, il est possible de savoir où, de le prouver et de réduire sa mise. Étant donné que le validateur défini à ce premier point de divergence n'est pas contesté, il est possible de récupérer à partir de là.
Le problème avec cet argument est qu'il ne tient pas compte du temps. Si un validateur d'il y a dix ans double-signe des blocs mutuellement en conflit - c'est-à-dire publie une contrepartie contradictoire nouvellement signée au bloc qui a été confirmé il y a dix ans - alors l'histoire devra être réécrite à partir de ce moment. La mise du validateur malveillant est réduite. Les transactions qui dépensent les récompenses de mise sont désormais invalides, tout comme les transactions en aval de là. Avec suffisamment de temps, les récompenses du validateur peuvent s'infiltrer dans une grande partie de l'économie de la blockchain. Un destinataire de pièces ne peut pas être sûr que toutes les dépendances resteront valides à l'avenir. Il n'y a pas de finalité car il n'est pas plus difficile ou coûteux de réorganiser le passé lointain que le passé proche.
La preuve de participation est subjective
La seule façon de résoudre ce problème est de restreindre la profondeur à laquelle les réorganisations sont admises. Les visions conflictuelles de l'histoire dont le premier point de divergence est antérieur à un certain seuil d'âge sont ignorées. Les nœuds qui sont présentés avec une autre vue dont le premier point de divergence est plus ancien, la rejettent d'emblée sans tester ce qui est correct. Tant que certains nœuds sont actifs à un moment donné, la continuité est garantie. Il n'y a qu'une seule façon dont la blockchain peut évoluer si des réorganisations trop profondes sont interdites.
Cette solution fait de la preuve d'enjeu un mécanisme de consensus subjectif. La réponse à la question « quel est l'état actuel de la blockchain ? dépend de qui vous demandez. Ce n'est pas objectivement vérifiable. Un attaquant peut produire une vue alternative de l'historique qui est tout aussi cohérente que la bonne. La seule façon pour un nœud de savoir quelle vue est correcte est de sélectionner un ensemble de pairs et de se fier à leur parole.
On peut soutenir que cette attaque hypothétique n'est pas pertinente si le coût de production de cette vision alternative de l'histoire est trop élevé. Bien que ce contre-argument puisse être vrai, le coût est une mesure objective et donc sa véracité dépend de facteurs externes qui ne sont pas représentés sur la blockchain. Par exemple, l'agresseur peut perdre tout son intérêt dans une vision de l'histoire, mais s'en moque parce qu'il peut garantir par des moyens légaux ou sociaux que la vision alternative sera acceptée. Toute analyse de sécurité ou tout calcul de coût d'attaque qui se concentre sur ce qui se passe sur "la" blockchain, et ne prend pas en compte le monde objectif dans lequel elle vit, est fondamentalement défectueux.
À l'intérieur d'une crypto-monnaie de preuve de participation, non seulement le coût est subjectif, mais la récompense l'est aussi. Pourquoi un attaquant déploierait-il son attaque si le résultat final n'est pas un paiement mécaniquement déterminé par son ingéniosité, mais une émission de l'équipe officielle de développeurs de la crypto-monnaie expliquant pourquoi ils ont choisi en faveur de l'autre branche ? Il peut y avoir des paiements externes - par exemple, des options financières qui s'attendent à ce que le prix baisse ou de la pure joie de provoquer le chaos - mais le fait est que la faible probabilité de paiements internes sape l'argument selon lequel la capitalisation boursière des preuves de - les crypto-monnaies de mise constituent une prime d'attaque efficace.
Argent et objectivité
L'argent est, par essence, l'objet avec lequel une dette est réglée. Le règlement de la dette nécessite effectivement un consensus entre les parties à l'échange - en particulier, la devise et le montant d'argent. Un différend conduira à la perpétuation des créances en suspens et au refus de faire des affaires répétées à des conditions égales ou similaires.
Un règlement efficace de la dette n'exige pas que le monde entier s'entende sur le type spécifique d'argent. Par conséquent, une monnaie subjective peut être utile dans les poches de l'économie mondiale où il se trouve qu'il y a consensus. Cependant, afin de combler le fossé entre deux poches de micro-économies, ou plus généralement entre deux personnes dans le monde, un consensus mondial est nécessaire. Un mécanisme de consensus objectif y parvient; un subjectif ne le fait pas.
Les crypto-monnaies de preuve de participation ne peuvent pas fournir une nouvelle base pour l'épine dorsale financière mondiale. Le monde est composé d'États qui ne reconnaissent pas les tribunaux les uns des autres. Si un différend surgit au sujet de la vision correcte de l'histoire, le seul recours est la guerre.
Les fondations qui développent et prennent en charge des blockchains de preuve de participation, ainsi que les développeurs indépendants qui travaillent pour eux - et même les influenceurs qui n'écrivent pas de code - s'exposent à une responsabilité légale pour avoir arbitrairement choisi une vision défavorable de l'histoire (au demandeur). Que se passe-t-il lorsqu'un échange de crypto-monnaie permet un retrait important en aval d'un dépôt dans une crypto-monnaie de preuve de participation dont la transaction n'apparaît que dans une seule branche de deux vues concurrentes de l'histoire ? L'échange peut sélectionner la vue qui profite à leurs résultats, mais si le reste de la communauté - incité par les signatures et les tweets PGP et les messages moyens des fondations, des développeurs et des influenceurs - sélectionne la vue alternative, alors l'échange est laissé sur le pied. facture. Ils ont toute responsabilité incitative et fiduciaire de récupérer leurs pertes auprès des personnes qui en sont responsables.
En fin de compte, un tribunal rendra une décision sur la vision de l'histoire qui est la bonne.
Conclusion
Les partisans de la preuve de participation affirment qu'elle sert le même objectif que la preuve de travail, mais sans tout le gaspillage d'énergie. Trop souvent, leur soutien ignore les compromis présents dans tout dilemme d'ingénierie. Oui, la preuve de participation élimine la dépense énergétique, mais cette élimination sacrifie l'objectivité du mécanisme de consensus qui en résulte. C'est acceptable pour les situations où seules des poches de consensus local suffisent, mais ce contexte soulève la question : à quoi bon éliminer l'autorité de confiance ? Pour une colonne vertébrale financière mondiale, un mécanisme objectif est nécessaire.
La nature autoréférentielle de la preuve d'enjeu la rend intrinsèquement subjective : quelle vision de l'histoire est correcte dépend de qui vous demandez. La question « la preuve de participation est-elle sécurisée ? » tente de réduire l'analyse à une mesure objective du coût qui n'existe pas. À court terme, quel fork est correct dépend du fork qui est populaire parmi les membres influents de la communauté. À long terme, les tribunaux assumeront le pouvoir de décider quelle bifurcation est correcte, et les poches de consensus local coïncideront avec les frontières qui marquent la fin de la juridiction d'un tribunal et le début du suivant.
L'énergie dépensée par les mineurs dans les blockchains de preuve de travail n'est pas plus gaspillée que le diesel n'est gaspillé pour alimenter les voitures. Au lieu de cela, il est échangé contre un caractère aléatoire vérifiable par cryptographie et non biaisé. Nous ne savons pas comment générer un mécanisme de consensus objectif sans cet ingrédient clé.
Ceci est un article invité par Alan Szepieniec. Les opinions exprimées sont entièrement les leurs et ne reflètent pas nécessairement celles de BTC Inc. ou Bitcoin Magazine.
Source primaire: Bitcoin Magazine