ความท้าทายในการคำนวณใด ๆ สามารถเปลี่ยนเป็นหลักฐานการทำงานได้หรือไม่?

ปราศจากจุดหมายดูเหมือนของการทำเหมืองแร่ cryptocurrency ยกคำถามของทางเลือกที่มีประโยชน์ให้ดูที่คำถามเหล่านี้บนBitcoin , CST , มิสซูรี่ ฉันสงสัยว่ามีอัลกอริทึมที่สามารถแปลงความท้าทายการคำนวณใด ๆ ในทางปฏิบัติ$\mathcal C$ (ซึ่งวิธีการแก้ปัญหาสามารถตรวจสอบได้อย่างมีประสิทธิภาพ) ไปสู่ความท้าทายอีกเช่นนั้น$\Psi(\mathcal C)$ (ซึ่งจะใช้สำหรับหลักฐานของการทำงาน) ดังกล่าวว่า

1. ฟังก์ชัน$\Psi$ถูกสุ่มโดยใช้ลำดับสุ่ม (สาธารณะ) บางส่วน$r$R
2. การแก้$\Psi(\mathcal C)$คือมักจะเป็นเรื่องยากที่การแก้$\mathcal C$ C
3. หากการแก้ปัญหา$x$พบสำหรับ$\Psi(\mathcal C)$จากนั้นเป็นวิธีการแก้ปัญหา$\Psi^{-1}(x)$สามารถคำนวณได้อย่างมีประสิทธิภาพสำหรับต้นฉบับท้าทาย$\mathcal C$ C
4. รู้วิธีการแก้ปัญหาสำหรับ$\mathcal C$ไม่ได้ช่วยในการหาวิธีการแก้ปัญหาสำหรับ$\Psi(\mathcal C)$ )

$\;\:\:$4 '(อัปเดต) ตามที่โนอาห์ชี้ให้เห็นในความคิดเห็นเงื่อนไขก่อนหน้านี้ควรได้รับการเสริมสร้างความเข้มแข็งเพื่อกำหนดให้การประมวลผลล่วงหน้า$\mathcal C$ไม่ควรให้ประโยชน์ใด ๆ ในการแก้ไข$\Psi(\mathcal C)$)

สภาพล่าสุดนี้เป็นสิ่งจำเป็นเพื่อให้ไม่มีใครสามารถใส่ลงในตำแหน่งที่ได้เปรียบเพียงเพราะพวกเขารู้วิธีการแก้ปัญหาของC$\mathcal C$การใช้วิธีการนี้ผู้คนสามารถส่งปัญหาการคำนวณที่พวกเขาต้องการแก้ไขและผู้มีอำนาจส่วนกลางสามารถเลือกที่สมควรในการแก้ปัญหา (เช่นการค้นหาเอเลี่ยนกับการทำลายรหัสผ่าน) โปรดทราบว่าดูเหมือนจะไม่เป็นปัญหาหากปัญหาใช้เวลาถึงหนึ่งสัปดาห์ในการแก้ปัญหา (ฉันเดาว่ามนุษย์ต่างดาวเหล่านั้นไม่สามารถซ่อนตัวได้ดี) เพราะนี่อาจส่งผลให้ได้รับรางวัลมากขึ้นสำหรับการแก้ปัญหา อย่างไรก็ตามหัวข้อเหล่านี้ไม่เกี่ยวข้องกับการแก้ปัญหาเชิงทฤษฎีของฉัน แต่แน่นอนว่าฉันยินดีที่จะพูดคุยในข้อคิดเห็น / ในฟอรัม

วิธีการแก้ปัญหาที่เป็นไปได้ที่จะเป็นต่อไปนี้: $\Psi$แผนที่$\mathcal C$เข้า$(\mathcal C,HASH_r)$ , ที่อยู่, การแก้$\mathcal C$และอื่น ๆ ความท้าทายที่ยากคอมพิวเตอร์ หนึ่งปัญหากับเรื่องนี้ก็คือการรู้วิธีการแก้$\mathcal C$ไม่แก้ให้$\Psi(\mathcal C)$ค่อนข้างง่าย (วิธีที่ง่ายมากขึ้นอยู่กับความยากลำบากของ$HASH_r$ ) ปัญหาก็คือว่า$\Psi(\mathcal C)$กลายเป็นเรื่องยากมากขึ้นกว่าC$\mathcal C$

( หมายเหตุ : Andreas Björklundแนะนำวิธีแก้ปัญหาในความคิดเห็นที่ฉันเชื่อว่าดีกว่าที่อธิบายไว้ด้านล่างดูhttp://eprint.iacr.org/2017/203โดย Ball, Rosen, Sabin และ Vasudevan ในระยะสั้น พวกเขาให้หลักฐานการทำงานบนพื้นฐานของปัญหาเช่น Orthogonal Vectors ซึ่งความแข็งเป็นที่เข้าใจกันดีและปัญหามากมาย (เช่น k-SAT) สามารถลดลงได้อย่างมีประสิทธิภาพค่อนข้างตัวอย่าง PoW ของพวกเขาΨ ( C )นั้นยากพอ ๆ กับ Orthogonal case ที่แย่ที่สุด เวกเตอร์แม้ว่าอินสแตนซ์อินพุตCนั้นง่ายดังนั้นพวกเขาจึงหลีกเลี่ยงข้อเสียเปรียบหลักของการแก้ปัญหาที่อธิบายไว้ด้านล่าง$\Psi(\mathcal{C})$$\mathcal{C}$

วิธีการแก้ปัญหาที่อธิบายไว้ด้านล่างอาจได้รับประโยชน์จากความเรียบง่าย --- มันสามารถอธิบายให้กับผู้ที่ไม่ใช่ผู้เชี่ยวชาญ --- แต่ดูเหมือนว่าฉันจะน่าสนใจน้อยลงในทางทฤษฎี)

วิธีการแก้ปัญหาที่เป็นไปได้ถ้ามีข้อสันนิษฐานว่า "อัลกอริธึมที่เร็วที่สุดสำหรับCคือการสุ่มแบบพื้นฐาน" (และถ้าเราจำลองฟังก์ชันแฮชการเข้ารหัสเป็นแบบพยากรณ์แบบสุ่ม) วิธีหนึ่งในการทำให้เป็นระเบียบแบบนี้คือการพูดแบบนั้น$\mathcal{C}$

1. $\mathcal{C} \in \mathsf{TFNP} \setminus \mathsf{FP}$ (ไม่อย่างนั้นฉันคิดว่ามันไม่ใช่การท้าทายที่ถูกต้อง)
2. อัลกอริทึมแบบสุ่มที่เร็วที่สุดสำหรับCทำงานในเวลาที่คาดหวัง$\mathcal{C}$$T$บนอินสแตนซ์ทั่วไป และ
3. มีฟังก์ชันที่คำนวณได้อย่างมีประสิทธิภาพfจาก{ 0 , 1 } kไปยังโดเมนของโซลูชันสำหรับCสำหรับk ≈ log 2 Tเช่นที่มีอยู่เสมอs ∈ { 0 , 1 } kกับf ( s )โซลูชันสำหรับ$f$$\{0,1\}^k$$\mathcal{C}$$k \approx \log_2 T$$s \in \{0,1\}^k$$f(s)$$\mathcal{C}$ .

ขอให้สังเกตว่าสมมติฐานที่ว่าk ≈ เข้าสู่ระบบ2 Tหมายความว่าการค้นหาของแรงเดรัจฉาน{ 0 , 1 } kเป็นหลักขั้นตอนวิธีการที่ดีที่สุดสำหรับC ดังนั้นนี่เป็นข้อสมมติฐานที่ค่อนข้างแข็งแกร่ง ในทางกลับกันถ้าCไม่พอใจคุณสมบัติเหล่านี้มันก็ยากที่จะจินตนาการว่าคุณพอใจทั้งเงื่อนไข (2) และ (4)$k \approx \log_2 T$$\{0,1\}^k$$\mathcal{C}$$\mathcal{C}$

จากนั้นได้รับฟังก์ชันแฮชH : { 0 , 1 } * → { 0 , 1 } kซึ่งเราจำลองเป็น oracle สุ่มเรากำหนดΨ H ( C ; R )ดังต่อไปนี้ที่R ∈ { 0 , 1 } ℓสำหรับบางℓ » kคือการป้อนข้อมูลแบบสุ่มไปยังΨ H เป้าหมายคือการส่งออกx ∈ { 0 , 1 } ∗เช่นนั้น$H : \{0,1\}^* \to \{0,1\}^k$$\Psi_H(\mathcal{C}; r)$$r \in \{0,1\}^\ell$$\ell \gg k$$\Psi_H$$x \in \{0,1\}^*$ f ( H ( r , x ) )เป็นวิธีการแก้ไปยังC กล่าวอีกนัยหนึ่ง ( r , x )ควรแฮชถึง "เหรียญสุ่มดี" สำหรับอัลกอริทึมด้านบน$f(H(r,x))$$\mathcal{C}$$(r,x)$

มาดูกันว่าสิ่งนี้เป็นไปตามเงื่อนไขทั้งหมดของคุณ

1. "ฟังก์ชั่นΨถูกสุ่มโดยใช้ลำดับสุ่ม (สาธารณะ) บางตัวr " ตรวจสอบ!$\Psi$$r$
2. "การแก้Ψ ( C )โดยทั่วไปนั้นยากพอ ๆ กับการแก้C " ขอให้สังเกตว่าที่เรียบง่ายแบบสุ่มอัลกอริทึมสำหรับΨ H ( C , R )วิ่งในเวลาที่คาดว่าจะมากที่สุด2 kบวกค่าใช้จ่ายพหุนามและสมมติฐาน2 k ≈ Tเป็นหลักเวลาทำงานของอัลกอริทึมที่ดีที่สุดสำหรับ$\Psi(\mathcal{C})$$\mathcal{C}$$\Psi_H(\mathcal{C},r)$$2^k$$2^k \approx T$$\mathcal{C}$ C
3. "หากพบโซลูชันxสำหรับΨ ( C )แสดงว่าโซลูชันΨ - 1 ( x )สามารถคำนวณได้อย่างมีประสิทธิภาพสำหรับความท้าทายดั้งเดิมC " สิ่งนี้สามารถทำได้โดยการคำนวณf ( H ( r , x ) )ซึ่งเป็นทางออกสำหรับ$x$$\Psi(\mathcal{C})$$\Psi^{-1}(x)$$\mathcal{C}$$f(H(r,x))$$\mathcal{C}$โดยสมมติฐาน
4. "รู้วิธีการแก้ปัญหาสำหรับCไม่ได้ช่วยในการหาวิธีการแก้ปัญหาสำหรับΨ ( C ) ." ตามคำนิยามการแก้Ψ H ( C ; R )ต้องมีการค้นพบxดังกล่าวว่าF ( H ( R , x ) )เป็นวิธีการแก้ไปยังC เนื่องจากเราสร้างแบบจำลองHเป็น oracle แบบสุ่มเราสามารถลดขอบเขตเวลาทำงานที่คาดหวังของอัลกอริทึมใด ๆ ที่สามารถแก้ปัญหานี้ได้ด้วยความซับซ้อนของแบบสอบถามที่เหมาะสมที่สุดของปัญหาแบบสอบถามที่$\mathcal{C}$$\Psi(\mathcal{C})$$\Psi_H(\mathcal{C}; r)$$x$$f(H(r,x))$$\mathcal{C}$$H$$H$ is given by a black box and we are asked to find a solution to the same problem. And, again because $H$ is a random oracle, the expected query complexity is just the inverse of the fraction of elements $x \in \{0,1\}^k$ that are solutions (up to a constant factor). By assumption, the optimal expected running time of any algorithm for $\mathcal{C}$ is $T \approx 2^{k}$, which implies that this fraction cannot be much larger than $2^{-k}$. Since $\ell \gg k$ and $r \in \{0,1\}^\ell$ is chosen uniformly at random, this is even true with preprocessing that is allowed to depend on $H$ and $\mathcal{C}$ (but not $r$), and in particular it is true even if we know a solution to $\mathcal{C}$ in advance.

The following simple technique which I call the solution lottery technique (SLT) can be used in conjunction with other techniques (such as having multiple POW problems, the technique mentioned in Noah Stephens-Davidowitz's answer, etc) to help transform computational challenges into viable proof of work problems. The SLT helps ameliorate issues with cryptocurrency mining problems other than conditions 1-4.

Suppose that $\mathcal{C}$ is a computational challenge of the form “find a suitable hash $k$ along with a string $x$ such that $(k,x)\in D$.”

Problem $\Psi(\mathcal{C})$ setup: Suppose that $D$ is a set, $H$ is a cryptographic hash function, and $C$ is some constant. Suppose furthermore that $\textrm{Data}(k,x)$ is a piece of information that is easy to obtain after one determines that $(k,x)\in D$ but which cannot be obtained otherwise.

Problem $\Psi(\mathcal{C})$ objective: Find a pair $(k,x)$ such that $k$ is a suitable hash and where $(k,x)\in D$, and where $H(k||x||\textrm{Data}(k,x))<C$.

Let us now investigate how problem $\Psi(\mathcal{C})$ satisfies requirements 1-4.

1. We have to assume $\mathcal{C}$ is already randomized for the SLT to satisfy this property.

2-3. $\Psi(\mathcal{C})$ will typically become more difficult than $\mathcal{C}$ and this is a good thing. The difficulty of a proof-of-work problem needs to be finely tunable, but the original problem $\mathcal{C}$ may or may not have a finely tunable level of difficulty (remember that the difficulty in mining Bitcoin is adjusted every two weeks). The difficulty of problem $\Psi(\mathcal{C})$ is equal to the difficulty of finding some suitable $(k,x)\in D$ multiplied by $\frac{2^{n}}{C}$. Therefore, since the constant $C$ is finely tunable, the difficulty of $\Psi(\mathcal{C})$ is also finely tunable.

Even though the problem $\Psi(\mathcal{C})$ is more difficult than the original problem $\mathcal{C}$, almost all of the work for solving the problem $\Psi(\mathcal{C})$ will be spent on simply finding a pair $(k,x)$ with $(k,x)\in D$ rather than computing hashes (one cannot compute whether $H(k||x||\textrm{Data}(k,x))<C$ or not until one has computed $\textrm{Data}(k,x)$ and one cannot compute $\textrm{Data}(k,x)$ unless one verifies that $\textrm{Data}(k,x)\in D$).

Of course, the fact that $\Psi(\mathcal{C})$ is more difficult than $\mathcal{C}$ presents some new concerns. For a useful problem, it is most likely the case that one would want to store the pairs $(k,x)$ where $(k,x)\in D$ in some database. However, in order to receive the block reward, the miner must only reveal a pair $(k,x)$ where $(k,x)\in D$ and $H(k||x||\textrm{Data}(k,x))<C$ instead of all the pairs $(k,x)\in D$ regardless of whether $H(k||x||\textrm{Data}(k,x))<C$ or not. One possible solution to this problem is for the miners to simply reveal all pairs $(k,x)$ where $(k,x)\in D$ out of courtesy. Miners will also have the ability to reject chains if the miners have not posted their fair share of pairs $(k,x)\in D$. Perhaps, one should count the number of pairs $(k,x)\in D$ for the calculation as to who has the longest valid chain as well. If most of the miners post their solutions, then the process of solving $\Psi(\mathcal{C})$ will produce just as many solutions as the process of solving $\mathcal{C}$.

In the scenario where the miners post all of the pairs $(k,x)\in D$, $\Psi(\mathcal{C})$ would satisfy the spirit of conditions 2-3.

4. $\Psi(\mathcal{C})$ may or may not satisfy condition $4$ depending on the specific problem.

$\textbf{Other Advantages of this technique:}$

The SLT offers other advantages than conditions 1-4 which are desirable or necessary for a proof-of-work problem.

1. Improving the security/efficiency balance: The SLT will help in the case that $\mathcal{C}$ may be too easy to solve or too difficult to verify. In general, $\Psi(\mathcal{C})$ is much more difficult to solve than $\mathcal{C}$, but $\Psi(\mathcal{C})$ is about as easy to verify as $\mathcal{C}$.

2. Removal of a broken/insecure problem: The SLT could be used to algorithmically remove bad POW problems in a cryptocurrency with a backup POW-problem and multiple POW problems. Suppose that an entity finds a very quick algorithm for solving problem $\mathcal{C}$. Then such a problem is no longer a suitable proof-of-work problem and it should be removed from the cryptocurrency. The cryptocurrency must therefore have an algorithm that removes $\mathcal{C}$ from the cryptocurrency whenever someone has posted an algorithm that solves problem $\mathcal{C}$ too quickly but which never removes problem $\mathcal{C}$ otherwise. Here is an outline of such a problem removal algorithm being used to remove a problem which we shall call Problem $A$.

a. Alice pays a large fee (the fee will cover the costs that the miners incur for verifying the algorithm) and then posts the algorithm which we shall call Algorithm K that breaks Problem $A$ to the blockchain. If Algorithm K relies upon a large quantity of pre-computed data $PC$, then Alice posts the Merkle root of this pre-computed data $PC$.

b. Random instances of Problem A are produced by the Blockchain. Alice then posts the portions of the pre-computed data which are needed for Algorithm K to work correctly along with their Merkle branch in order to prove that the data actually came from $PC$. If Alice's algorithm fed with the pre-computed data $PC$ quickly, then the problem is removed and Alice receives a reward for posting the algorithm that removes the problem from the blockchain.

This problem removal procedure is computationally expensive on the miners and validators. However, the SLT removes most of the computational difficulty of this technique so that it can be used if needed in a cryptocurrency (instances which this technique is used will probably be quite rare).

3. Mining pools are more feasible: In cryptocurrencies, it is often very difficult to win the block reward. Since the block rewards are very difficult to win, miners often mine in things called mining pools in which the miners combine their resources in solving a problem and in which they share the block reward in proportion to the amount of “near misses” they have found. A possible issue for $\mathcal{C}$ is that it may be difficult to produce a qualitative notion of what constitutes as a “near miss” for the problem $\mathcal{C}$ and the algorithm for finding a near miss may be different from the algorithm for solving $\mathcal{C}$. Since the pool miners will be looking for near misses, they may not be very efficient at solving $\mathcal{C}$ (and hence, few people will join mining pools). However, for $\Psi(\mathcal{C})$, there is a clear cut notion of a near miss, namely, a near miss is a pair $(k,x)$ where $(k,x)\in D$ but where $H(k||x||\textrm{Data}(k,x))\geq C$, and the algorithm for finding near misses for $\Psi(\mathcal{C})$ will be the same as the algorithm for finding solutions to $\Psi(\mathcal{C})$.

4. Progress freeness: A proof-of-work problem $P$ is said to be progress free if the amount of time it takes for an entity or group of entities to find next block on the blockchain follows the exponential distribution $e^{-\lambda x}$ where the constant $\lambda$ is directly proportional to the amount of computational power that entity is using to solve Problem $P$. Progress freeness is required for cryptocurrency mining problems in order for the miners to receive a block reward in proportion to their mining power to achieve decentralization. The SLT certainly helps mining problems achieve progress freeness.