拜占庭将军比特币

A. 如何理解拜占庭将军问题

-----------------[简单理解]-----------------
因为Lamport是分布式系统祖师爷级的人物，所以我就从分布式系统的角度来说。如果要保证分布式系统一致性和可用性，就必须处理错误节点，防止系统出现用户可以观察到的错误。拜占庭将军问题在我看来是提出了一个错误模型。即错误节点可以做任意事情（不受protocol限制），比如不响应、发送错误信息、对不同节点发送不同决定、不同错误节点联合起来干坏事等等。总之就是说，没有节点会出现比这更严重的错误。很显然，拜占庭错误是overly pessimistic的模型，因为这种错误实际环境中比较少见。那么为什么要研究这个模型呢？其中最简单的一个原因是，如果某个一致性算法能够保证在系统出现f个拜占庭错误时保持系统一致，那么这个算法也就能够保证在出现f个任意其他错误的时候也保持系统一致。错误模型有上限，肯定也就有一个下限（overly optimistic，没有比它还要弱的模型）。这个下限就是‘fail-stop’模型。这个模型的假设是：当一个节点出错，这个节点会停止运行，并且其他所有节点都知道这个节点发生了错误。用同样的逻辑，如果某个一致性算法不能保证在系统出现f个错误的时候保持一致，那么这个算法也就没法处理其他f个任意其他问题。应用这些错误模型，可以对不同算法进行比较，也可以对具体算法的cost进行讨论。

-----------------[关于算法]-----------------
第一个提出解决拜占庭将军问题算法的，是Lamport于1980年发表的 Reaching agreement in the presence of faults [http://research.microsoft.com/en-us/um/people/lamport/pubs/reaching.pdf]。这篇文章描述了当出现拜占庭错误的节点数（f）为1时的算法。上面匿名用户贴的链接是Lamport与1982年发表的文章，其中描述了第一个能够处理f≥1的算法。对这个问题的下一个进展是在1999年，是由Barbara Liskov（三位女性图灵奖获得者之一）提出。但是，具体列出这个进展之前，需要提一下拜占庭将军问题和FLP定理之间的关系。除了错误模型，系统一致性的另一个重要方面是讨论在不同系统假设（通信异步/同步，任务完成时间有没有规定上限）下达成一致性的可能性和相应算法/协议。由于FLP（Impossibility of Distributed Consensus with One Faulty Process）决定了在异步+无响应上限的情况下不存在能够mask一个节点崩溃（强于fail-stop，节点崩溃，其他节点不知情）的有效算法。所以解决拜占庭问题的算法都会有同步假设（或者同步保证safety，或者同步保证liveness）。

B. Byzantinefailures——拜占庭将军是什么

拜占庭将军问题是由莱斯利·兰伯特提出的点对点通信中的基本问题。含义是在存在消息丢失的不可靠信道上试图通过消息传递的方式达到一致性是不可能的。因此对一致性的研究一般假设信道是可靠的，或不存在本问题。

C. 比特币如何防止篡改

比特币网络主要会通过以下两种技术保证用户签发的交易和历史上发生的交易不会被攻击者篡改：

• 非对称加密可以保证攻击者无法伪造账户所有者的签名；

• 共识算法可以保证网络中的历史交易不会被攻击者替换；

非对称加密



• 非对称加密算法3是目前广泛应用的加密技术，TLS 证书和电子签名等场景都使用了非对称的加密算法保证安全。非对称加密算法同时包含一个公钥（Public Key）和一个私钥（Secret Key），使用私钥加密的数据只能用公钥解密，而使用公钥解密的数据也只能用私钥解密。





图 4 - 51% 攻击



• 1使用如下所示的代码可以计算在无限长的时间中，攻击者持有 51% 算力时，改写历史 0 ~ 9 个区块的概率9：


• #include


• #include



• double attackerSuccessProbability(double q, int z) {


• double p = 1.0 - q;


• double lambda = z * (q / p);


• double sum = 1.0;


• int i, k;


• for (k = 0; k <= z; k++) {


• double poisson = exp(-lambda);


• for (i = 1; i <= k; i++)


• poisson *= lambda / i;


• sum -= poisson * (1 - pow(q / p, z - k));


• }


• return sum;


• }



• int main() {


• for (int i = 0; i < 10; i++) {


• printf("z=%d, p=%f\n", i, attackerSuccessProbability(0.51, i));


• }


• return 0;


• }



• 通过上述的计算我们会发现，在无限长的时间中，占有全网算力的节点能够发起 51% 攻击修改历史的概率是 100%；但是在有限长的时间中，因为比特币中的算力是相对动态的，比特币网络的节点也在避免出现单节点占有 51% 以上算力的情况，所以想要篡改比特币的历史还是比较困难的，不过在一些小众的、算力没有保证的一些区块链网络中，51% 攻击还是极其常见的10。



• 防范 51% 攻击方法也很简单，在多数的区块链网络中，刚刚加入区块链网络中的交易都是未确认的，只要这些区块后面追加了数量足够的区块，区块中的交易才会被确认。比特币中的交易确认数就是 6 个，而比特币平均 10 分钟生成一个块，所以一次交易的确认时间大概为 60 分钟，这也是为了保证安全性不得不做出的牺牲。不过，这种增加确认数的做法也不能保证 100% 的安全，我们也只能在不影响用户体验的情况下，尽可能增加攻击者的成本。



总结



• 研究比特币这样的区块链技术还是非常有趣的，作为一个分布式的数据库，它也会遇到分布式系统经常会遇到的问题，例如节点不可靠等问题；同时作为一个金融系统和账本，它也会面对更加复杂的交易确认和验证场景。比特币网络的设计非常有趣，它是技术和金融两个交叉领域结合后的产物，非常值得我们花时间研究背后的原理。



• 比特币并不能 100% 防止交易和数据的篡改，文中提到的两种技术都只能从一定概率上保证安全，而降低攻击者成功的可能性也是安全领域需要面对的永恒问题。我们可以换一个更严谨的方式阐述今天的问题 — 比特币使用了哪些技术来增加攻击者的成本、降低交易被篡改的概率：



• 比特币使用了非对称加密算法，保证攻击者在有限时间内无法伪造账户所有者的签名；

• 比特币使用了工作量证明的共识算法并引入了记账的激励，保证网络中的历史交易不会被攻击者快速替换；



• 通过上述的两种方式，比特币才能保证历史的交易不会被篡改和所有账户中资金的安全。

D. 如何理解拜占庭将军问题

拜占庭将军问题（以下简称“共识问题”）的正式表述是：如何在一个不基于信任的分布式网络中就信息达成共识？这个表述听起来有些晦涩，但其本质并不复杂，下面的例子与共识问题虽然并不完全一致，但却有助于我们的理解[9]。 想象一下在遥远的拜占庭时代，有一个富饶的城邦，金银珠宝绫罗绸缎应有尽有，它的领主哆啦A梦独享着这一切奢华与荣耀。而在城邦的外围，四位拜占庭将军大雄、胖虎、小夫和静香都觊觎着哆啦A梦的财富，于是他们决定联手攻占哆啦A梦的城邦。根据双方的实力对比，必须有超过半数的将军同时发起进攻方能克敌制胜，因此获胜条件就是四人中至少三个人可以就进攻时间达成一致。那么四位将军的胜算有多少呢？ 这个问题的答案就要取决于四个人的合作方式了，如果是集中式系统，有一个盟主，比如胖虎（相当于中央服务器），那么他们的胜利是毫无悬念的，因为就进攻时间达成一致非常简单，只要胖虎召集大雄、小夫和静香开个会讨论一下就可以了，即使大家意见有分歧胖虎也可以在最后予以定夺。下面让我们回到拜占庭将军问题的假设里，在不基于信任的分布式网络中，四位将军的胜算又如何呢？ ? 首先由于四位将军之间缺乏信任，因此聚到小黑屋里开个密谋会的可能性被排除了（一旦在小黑屋里被胖虎绑架了怎么办？）；其次由于没有盟主，四个人的意见都会被同等的看重。在这种情况下，四位将军只能通过信使在各自营地之间传递消息，来商定进攻时间了。比如大雄觉得早上6点是发动进攻的好时机，他就会派信使将自己的意见告诉胖虎、小夫和静香，与此同时，胖虎可能认为晚上9点发动突袭更好，小夫更喜欢下午3点出击，而静香希望是上午10点，他们三人也会在同一时间派出自己的信使。这样一来，在第一轮通信结束后，四位将军每个人都有了四个可供选择的进攻时间，他们各自要在下一轮通信中把自己选定的时间告知另外三人。由于四个人的决策都是独立做出的，因此最终的选择结果就有256种可能，而只有当三人以上都恰好选择了同一时间的时候，共识才被达成，而这样的结果才64种，也就是说达成共识的概率仅为1/4。这还只是四位将军的情况，如果将军的人数是10人，100人，1000人呢？我们稍加计算就可以发现随着人数的增加，达成共识的希望会变得越来越渺茫。 把上面例子中的将军换成计算机网络中的节点，把信使换成节点之间的通信，把进攻时间换成需要达成共识的信息，你就可以理解共识问题所描述的困境了。达成共识的能力对于一个支付系统来说重要性不言而喻，如果你给家里汇了一笔钱买车，第二天去银行核实的时候柜台告诉你“关于你汇了多少钱的问题，我们的系统里有三个版本的记录”，这样的银行你显然是不敢把钱存进去的。在比特币出现之前共识问题是很难被完美解决的，要保证达成共识就需要采用集中式系统（除非节点满足特定条件），要想去中心化共识就无法保证。那么区块链技术又是如何解决这一难题的呢？

E. 拜占庭将军问题 口头协议算法是怎么推导出来的

我也是额，老是卡，而且不止第一集，后面两集也是，放一会时间就会卡一下，就像定格了一样

F. 数字货币双花 拜占庭将军是什么意思

拜占庭将军问题在我看来是提出了一个错误模型。即错误节点可以做任意事情（不受protocol限制），比如不响应、发送错误信息、对不同节点发送不同决定、不同错误节点联合起来干坏事等等。总之就是说，没有节点会出现比这更严重的错误。
很显然，拜占庭错误是overly
pessimistic的模型，因为这种错误实际环境中比较少见。那么为什么要研究这个模型呢看其中最简单的一个原因是，如果某个一致性算法能够保证在系统出现f个拜占庭错误时保持系统一致，那么这个算法也就能够保证在出现f个任意其他错误的时候也保持系统一致。
错误模型有上限，肯定也就有一个下限（overly
optimistic，没有比它还要弱的模型）。这个下限就是‘fail-stop’模型。这个模型的假设是：当一个节点出错，这个节点会停止运行，并且其他所有节点都知道这个节点发生了错误。用同样的逻辑，如果某个一致性算法不能保证在系统出现f个错误的时候保持一致，那么这个算法也就没法处理其他f个任意其他问题。
应用这些错误模型，可以对不同算法进行比较，也可以对具体算法的cost进行讨论。

G. 什么协议是加密加拜占庭将军

是由莱斯利·兰伯特提出的点对点通信中的基本问题。含义是在存在消息丢失的不可靠信道上试图通过消息传递的方式达到一致性是不可能的。因此对一致性的研究一般假设信道是可靠的，或不存在本问题。
拜占庭位于如今的土耳其的伊斯坦布尔，是东罗马帝国的首都。由于当时拜占庭罗马帝国国土辽阔，为了防御目的，因此每个军队都分隔很远，将军与将军之间只能靠信差传消息。 在战争的时候，拜占庭军队内所有将军和副官必需达成一致的共识，决定是否有赢的机会才去攻打敌人的阵营。

H. 什么是比特币加密技术

比特币和区块链的诞生需要依赖于很多核心技术的突破：一是拜占庭容错技术；二是非对称加密技术；三是点对点支付技术。下面会依次介绍。
拜占庭容错技术
比特币和区块链诞生的首要难点在于如何创建分布式共识机制，也就是菜斯利·兰伯特等人1982年提出的拜占庭将军问题。所谓拜占庭将军问题是指，把战争中互不信任的各城邦军队如何达成共识并决定是否出兵的决策过程。延伸至计算机领域，试图创建具有容错性的分布式系统，即使部分节点失效仍可确保系统正常运行，也可让多个基于零信任基础的节点达成共识，并确保信息传递的一致性。
中本聪所提到的“拜占庭将军问题”解决方法起始于亚当﹒拜克在1997年发明的哈希现金算法机制，起初该设计是用于限制垃圾邮件发送与拒绝服务攻击。2004年，密码朋克运动早期和重要成员哈尔·芬尼将亚当﹒拜克的哈希现金算法改进为可复用的工作量证明机制。他们的研究又是基于达利亚·马凯与迈克尔·瑞特的学术成果：拜占庭容错机制。正是哈尔·芬尼的可复用的工作量证明机制后来成为比特币的核心要素之一。哈尔·芬尼是中本聪的最早支持者，同时也是第一笔比特币转账的接受者，在比特币发展的早期与中本聪有大量互动与交流。
非对称加密技术
比特币的非对称加密技术来源于以下几项密码学的技术创新：1976年，Sun公司前首席安全官Whitfield Diffie与斯坦福大学教授Martin Hell，在开创性论文《密码学的新方向》首次提出公开钥匙密码学的概念，发明了非对称加密算法。1978年省理工学院的伦纳德·阿德曼、罗纳德·李维斯特、阿迪·萨莫尔三名研究人员，共同发明了公开钥匙系统“RSA”可用于数据加密和签名，率先开发第一个具备商业实用性的非对称RSA加密算法。1985年，Neal Koblitz和Victor Miller俩人，首次提出将椭圆曲线算法（ECC），应用于密码学，并建立公钥加密的算法，公钥密码算法的原理是利用信息的不对称性，公钥对应的是私钥，私钥是解开所有信息的钥匙，公钥可以由私钥反推算出。ECC能够提供比RSA更高级别的安全。比特币使用的就是椭圆曲线算法公钥用于接收比特币，而私钥则是比特币支付时的交易签名。这些加密算法奠定了当前非对称加密理论的基础，被广泛应用于网络通信领域。但是，当时这些加密技术发明均在NSA严密监视的视野之内。NSA最初认为它们对国家安全构成威胁，并将其视为军用技术。直到20世纪90年代末，NSA才放弃对这些非对称加密技术的控制，RSA算法、ECC算法等非对称加密技术最终得以走进公众领域。
不过，中本聪并不信任NSA公布的加密技术，在比特币系统中没有使用RSA公钥系统，原因除了ECC能够提供比RSA更高级别的安全性能外，还担心美国安全部门在RSA留有技术后门。2013年9月，斯诺登就曾爆料NSA采用秘密方法控制加密国际标准，比特币采用的RSA可能留有后门，NSA能以不为人知的方法弱化这条曲线。所幸的是，中本聪神一般走位避开了RSA的陷阱,使用的加密技术不是NSA的标准，而是另一条鲜为人知的椭圆曲线，这条曲线并不在美国RSA的掌握之下。全世界只有极少数程序躲过了这一漏洞，比特币便是其中之一。