Биткоин: Одноранговая электронная денежная система
Доклад Сатоши Накамото “Bitcoin: A Peer-to-Peer Electronic Cash System” с примечаниями и пояснениями
Предисловие:
31 октября 2008 года несколько сотен энтузиастов и специалистов по криптографии, включенных в закрытый список e-mail рассылки (The Cryptography Mailing list) получили письмо, подписанное неким Сатоши Накамото (Satoshi Nakamoto). В нём он сообщил, что работает над созданием новой электронной системы денежных расчетов, в которой операции производятся непосредственно между участниками без привлечения третьей доверенной стороны.
В письме содержалась ссылка на короткий текст (9 страниц) доклада под названием Bitcoin: A Peer-to-Peer Electronic Cash System(«Биткоин: Одноранговая электронная денежная система»), в котором в строгом академическом стиле, кратко, но ясно, со схемами и формулами описывалась технология новой денежной системы, названная автором Биткоином (Bitcoin).
Предлагаю вашему вниманию перевод этого документа с комментариями и пояснениями. За основу взят текст перевода, выполненный arvicco и grich для издания BitNovosti с моими (Сергей Базанов) правками и уточнениями. В тексте также вы найдете ссылки на используемые термины и понятия.
Bitcoin: A Peer-to-Peer Electronic Cash System
Аннотация
Полностью одноранговая версия электронных денежных средств позволила бы отправлять онлайн-платежи непосредственно от одной стороны к другой, минуя любые финансовые учреждения. Использование цифровых подписей частично решает эту задачу, но необходимость доверенного лица для предотвращения двойных расходов лишает этот подход основных преимуществ. Мы предлагаем децентрализованное решение проблемы двойной траты с использованием одноранговой (пиринговой) сети. Сеть ставит метки времени на транзакции, соединяя их в цепочку доказательств проделанной работы на основе хэширования. Сформированные таким образом записи невозможно изменить, не выполнив заново всего объема вычислений. Самая длинная версия цепочки (блокчейна — прим.Сергея Базанова) служит не только подтверждением очередности событий, но и доказывает, что над ней произвел работу самый большой вычислительный сегмент сети. До тех пор пока большая часть вычислительных мощностей контролируется узлами, не объединенными с целью атаковать сеть, они будут генерировать самую длинную цепочку, опережая любых злоумышленников. Устройство самой сети очень простое: сообщения рассылаются на основе принципа «наименьших затрат» (при маршрутизации пакетов — прим.С.Б.), а узлы могут покидать сеть и снова подключаться к ней в любой момент, принимая самую длинную версию цепочки для восстановления пропущенной истории транзакций.
Примечание:
Саташи Накамото не использует в тексте термин «блокчейн»(blockchain или block chain). Вместо него используется «цепочка доказательств проделанной работы на основе хэширования» (chain of hash-based proof-of-work).
1. Введение
Интернет-коммерция в большинстве случаев опирается на финансовые учреждения, выступающие в роли доверенных посредников для проведения электронных платежей. Такая схема хорошо работает для большинства транзакций, но в ее основе лежит доверие, что влечет определенные проблемы. Необходимое посредничество финансовых институтов препятствует осуществлению необратимых транзакций. Цена этих услуг увеличивает стоимость транзакций и устанавливает минимальную их цену, делая непрактичным проведение нечастых и небольших транзакций. Кроме того, отсутствие необратимых транзакций увеличивает и стоимость сервисов, чьи услуги являются неотменяемыми. Поскольку платеж можно аннулировать, продавец вынужден быть настороже, требуя от покупателя больше информации, чем в принципе необходимо. И определенная доля мошенничества принимается просто как неизбежность. Эти наценки и неопределенности с платежами могут быть преодолены в случае сделок с бумажной наличностью, однако механизма для проведения прямых электронных транзакций не существует.
Необходима платежная система, основанная на криптографии, а не на доверии, которая позволила бы любым двум участникам осуществить перевод средств напрямую, без участия посредника. Вычислительная дороговизна отмены транзакций оградила бы продавцов от мошенничества, а легко осуществимые механизмы эскроу защитили бы покупателей. В данной работе мы предлагаем решение проблемы двойной траты, основанное на распределенном одноранговом сервере меток времени, который своей вычислительной мощностью подтверждает хронологический порядок транзакций. Система находится в безопасности, пока под совокупным контролем ее честных участников находится больше вычислительной мощности, чем под контролем группы действующих совместно злоумышленников.
Примечание:
Сатоши Накамото отмечает, что целью было создание электронной платежной системы, которая бы работала без посредника (доверенного центра) и решала бы проблему «двойных трат».
2. Транзакции
Определим электронную монету как последовательность цифровых подписей. Очередной владелец отправляет монету следующему, подписывая хэш предыдущей транзакции и публичный ключ будущего владельца и присоединяя эту информацию к монете. Получатель может проверить каждую подпись, чтобы подтвердить корректность всей цепочки владельцев.
Схема показывает движение «электронной монеты» (денег), перемещаемой при помощи транзакций от владельца к владельцу
Проблема, разумеется, в том, что получатель не может определить, сколько раз бывший владелец потратил эту монету. Традиционное решение заключается в проверке центральным доверенным лицом («монетным двором» или эмитентом) каждой транзакции. После любого платежа монета возвращается к эмитенту, который выпускает новую ее версию; и только напрямую полученным таким образом монетам можно доверять. Недостаток этого подхода в том, что от компании-эмитента зависит судьба всей денежной системы, так как она подобно банку контролирует каждую проходящую через нее транзакцию.Адресат должен знать, что никто из предыдущих владельцев не подписал транзакцию, предшествующую по времени той, что находится в цепочке отправленной ему монеты. Для наших целей лишь первая транзакция из нескольких является истинной, поэтому мы не должны беспокоиться о поздних попытках двойной траты. В централизованной модели эмитент знал обо всех транзакциях и решал, в каком порядке они идут. Чтобы избавить схему от посредника, участникам необходимо открыто публиковать транзакции[1], а также уметь приходить к согласию относительно единого порядка их следования. Получателю нужно доказательство того, что для каждой транзакции из цепочки большинство пользователей согласны считать ее первой.
Примечание:
Запись всех транзакций с конкретной «монетой» с использованием временной метки обеспечивает решение проблемы двойных трат (расходов). При этом все участники сети должны прийти к консенсусу относительно порядка записи таких транзакций.«Электронная монета» содержит количественную информацию (сумму транзакции) и указание на владельца (точнее, его адрес, сформированный из его публичного ключа). Для передачи «электронной монеты» владелец подписывает своим приватным ключом хэш предыдущей транзакции и криптовалютный адрес, сформированный из публичного ключа будущего владельца. Теперь только владелец приватного ключа от нового адреса сможет осуществить новую транзакцию с этой «электронной монетой». Остальные узлы сети, прежде чем принять транзакцию к обработке, проверяют подпись. Правильность подписи свидетельствует, что инициатор транзакции является владельцем приватного ключа, соответствующего адресу текущего владельца. Получатель «электронной монеты» может проверить всю цепочку транзакций (вплоть до момента эмиссии— создания «электронной монеты») и убедиться в корректности этой цепочки.
3. Сервер меток времени
Начнем описание нашего решения с сервера меток времени (Timestamp Server). Его работа заключается в хэшировании блока данных, на который нужно поставить метку, и открытой публикации этого хэша, как в газете или Usenet-постах[2–5]. Метка времени показывает, что в данный момент конкретные данные существовали и потому попали в хэш блока. Каждый хэш включает в себя предыдущую метку: так выстраивается цепь, где очередное звено укрепляет все предыдущие.
Рисунок иллюстрирует схему блокчейна. Блоки с полезной нагрузкой (транзакциями) связаны друг с другом в цепь посредством хэшей заголовков.
Примечание:
Фактически это описание работы блокчейна — цепочки связанных посредством хэширования блоков информации, содержащих сведения о транзакциях. Сервер временных меток (меток времени) — это механизм при помощи которого формируется цепочка блоков транзакций (блокчейн). Хэш каждого блока образуется хэшированием самого блока и хэша предыдущего блока.
4. Доказательство работы
Чтобы реализовать распределенный одноранговый сервер меток времени, мы используем схему «доказательства работы», подобную системе Hashcash Адама Бека[6]. Суть заключается в поиске такого значения, чей хэш (например, SHA-256) начинался бы с некоторого числа нулевых битов. Требуется выполнить объем работы, экспоненциально зависящий от числа нулей, но для проверки найденного значения достаточно вычислить лишь один хэш.
В нашем сервере меток времени поиск значения с нужным хэшем происходит путем перебора значения итерируемого поля-добавки (nonce) в блоке данных. Как только блок, удовлетворяющий условию, найден, его содержимое нельзя изменить, не выполнив заново всей работы. И если он не является последним в цепочке, эта работа включает в себя и пересчет всех блоков, следующих за ним.
Доказательство работы через хэширование также решает вопрос об определении версии, поддерживаемой большинством. Если голосом считается один IP-адрес, то такую схему можно скомпроментировать, если контролировать большой диапазон адресов. Наша схема основана на принципе «один процессор — один голос». Самая длинная из хэш-цепочек выражает мнение большинства, которое вложило в нее наибольшее количество ресурсов. Если более половины вычислительной мощи принадлежит честным узлам, то цепочка честных транзакций будет расти быстрее и опередит любую конкурирующую цепь. Чтобы внести изменения в любой из прошлых блоков, атакующему придется выполнить заново работу над этим блоком и всеми последующими, а затем догнать и перегнать честных участников по новым блокам. Ниже мы покажем, что вероятность такого успеха у злоумышленника, обладающего меньшими ресурсами, экспоненциально убывает в зависимости от числа блоков.
Для компенсации возрастающей вычислительной мощности процессоров и колебания числа работающих узлов в сети, сложность хэширования должна изменяться, чтобы обеспечивать равномерную скорость генерации блоков. Если блоки добавляются слишком часто — сложность возрастает, и наоборот.
Примечание:
«Хэш, начинающийся с нулевых битов» означает, что числовое значение этого хэша менее некоторого заданного целого числа. Чтобы получить такой хэш, необходимо добавить к данным заголовка некое новое число nonce, которое вписывается в дополнительное поле заголовка. Итерационный перебор значения этого числа приведет к изменению хэша формируемого блока.
Задача состоит в том, чтобы подобрать такое значение nonce, при котором полученный хэш блока был менее некоторого заданного числа, называемого target, что равносильно получению хэша с определенным количеством нулевых бит в его начале.
Сложность задачи поиска необходимого хэша (в тексте — «сложность хэширования» — прим.С.Б.) обратно пропорциональна числу target — чем выше сложность, тем меньше число target.
Поиск числа nonce возможен только путем перебора чисел и требует значительных вычислительных ресурсов, возрастающих при увеличении сложности, т.е. уменьшении заданного числа target и, как следствие, — требуемого количества нулевых битов вначале искомого хэша. При этом проверка результата довольно проста. Это и есть принцип «доказательства работы» (Proof-of-Work), используемый в Биткоине. Этот механизм решает две главных задачи — определяет узел в пиринговой сети, который добавляет новый блок транзакций и защищает уже записанные в блокчейн транзакции от атак с целью изменить их содержимое.
5. Сеть
Система работает по следующим правилам:
- Новые транзакции рассылаются всем узлам.
- Каждый узел объединяет пришедшие транзакции в блок.
- Каждый узел пытается подобрать хэш блока, удовлетворяющий текущей сложности.
- Как только такой хэш найден, этот блок отправляется в сеть.
- Узлы принимают блок, только если все транзакции в нем корректны и не используют уже потраченные средства.
- Свое согласие с новыми данными узлы выражают, начиная работу над следующим блоком и используя хэш предыдущего в качестве новых исходных данных.
Участники всегда считают истинной самую длинную версию цепочки и работают над ее удлинением. Если два узла одновременно опубликуют разные версии очередного блока, то кто-то из остальных пиров получит раньше одну версию, а кто-то — другую. В таком случае каждый начнет работать над своей версией цепочки, сохранив другую на случай, если она окажется продолжена раньше. Двойственность исчезнет, как только будет получен новый блок, который продолжит любую из ветвей, и те узлы, что работали над конкурирующей версией, переключатся на нее.Новые транзакции не обязательно должны достигать всех узлов. Если о них будет знать достаточно много узлов, вскоре они попадут в один из блоков. Правила рассылки блоков тоже не являются строгими в отношении потерянных сообщений. Как только узел, пропустивший один из блоков, получит уже следующий за ним, он запросит недостающую информацию, чтобы заполнить очевидный пропуск.
Примечание:
Здесь описаны правила работы одноранговой (пиринговой) сети Биткоин. Этим правилам обязаны следовать все узлы. Те узлы, которые не следуют этим правилам, отвергаются сетью и не могут влиять на её работоспособность.
Также указано, каким образом достигается консенсус в сети в случае, когда два или более узлов одновременно записывают разные версии очередного блока. В этом случае происходит разделение (форк) цепочки блоков и она ветвится. В итоге побеждает самая длинная ветвь, а остальные отсекаются.
6. Стимулы
По умолчанию, первая транзакция в блоке является специальной, создающей новую монету, которая принадлежит создателю блока. Такая схема поощряет честных участников сети, стимулируя их поддерживать работу сети, а также решает вопрос о начальном распределении денежной массы в отсутствие центрального эмитента. Равномерное увеличение числа монет в обращении можно сравнить с добычей золота, в которую золотоискатели тоже вкладывают свои ресурсы. В роли последних в нашем случае выступают процессорное время и электричество.
Другим способом стимулирования может быть комиссия за транзакции. Если входная сумма платежа больше выходной, то разница является комиссией за перевод и прибавляется к базовому значению награды за найденный блок в первой транзакции. Как только суммарный объем денежной массы достигнет заранее установленного максимума, единственным источником поощрения работы над блоками останутся комиссии, при этом избавленные от инфляции.Такая форма стимулирования может также способствовать уменьшению случаев мошенничества. Если жадный злоумышленник способен выделить больше вычислительных мощностей, чем все честные участники, он может обманывать продавцов, аннулируя свои транзакции и возвращая средства, или же направить свои ресурсы на генерацию новых блоков и монет. Более выгодным для него является вариант «игры по правилам», который обеспечивает получение более половины всех новых денег, чем вариант «саботажа системы» и поддержания своего капитала на постоянном уровне.
Примечание:
Сатоши Накамото не использует широкоизвестные ныне термины «майнинг» и «майнеры». Тем не менее, он сравнивает эмиссию биткоина с золотодобычей. Майнеры (miners), как и золотоискатели (gold miners), вкладывают свои ресурсы — процессорное время и электричество — для обеспечения надежной и бесперебойной работы сети и взамен получают вознаграждение в виде эмиссии новых монет биткоина и комиссионых, взимаемых за транзакции пользователей.
7. Экономия дискового пространства
Как только последняя транзакция в монете-цепочке окажется внутри достаточно старого блока, все предшествующие ей транзакции в цепочке могут быть удалены в целях очистки дискового пространства. Чтобы хэш блока остался неизменным, все транзакции в блоке хранятся в виде хэш-дерева Меркла[7][2][5] и лишь его корень включается в хэш блока. Размер старых блоков может быть уменьшен за счет удаления ненужных ветвей этого дерева, хранить промежуточные хэши необязательно.
Заголовок пустого блока будет составлять около 80 байт. Из расчета скорости генерации блока раз в десять минут получаем 80*6*24*365=4,2 Мб в год. Для среднестатистического на 2008 год компьютера с 2 Гб оперативной памяти с учетом закона Мура, предсказывающего рост на 1,2 Гб в год, хранение данных не будет проблемой, даже если все заголовки блоков будут находиться в памяти.
Примечание:
Сатоши Накамото прекрасно понимал, что единая книга записи всех транзакций сети (блокчейн) будет постоянно расти в объеме и может достичь критических размеров. С целью экономии дискового пространства он предложил отсекать старые транзакции (не имеющие неиспользованных выходов), а подтверждения их существования в прошлом хранить в виде хэшей дерева Меркла. Это, разумеется, приведет к потере истории транзакций, но при этом текущее состояние владения биткоинами будет всегда актуально.
Следует отметить, что такая возможность (block file pruning,режим prune — обрезать, усекать) появилась только в июле 2015 года в биткоин-клиенте Bitcoin Core версии 0.11.0. И то, это сделано опционально , на усмотрение пользователя ,— он сам решал, включать эту функцию или нет. Операцию усечения блокчейна называют прунинг (от анг. pruning — обрезка, усечение).
8. Упрощенная проверка платежей
Верификация транзакций возможна без запуска полнофункционального узла. Пользователю необходимо лишь хранить заголовки блоков самой длинной цепочки, которую он получил от других узлов, и запрашивать хэш-поддерево для необходимой транзакции. Он не может проверить корректность транзакции самостоятельно, но получив ссылку на блок, в котором она находится, он может убедиться в том, что этот блок и все последующие приняты и подтверждены сетью.
На такой метод проверки можно полагаться, пока сеть хотя бы наполовину находится под контролем честных участников, то есть пока злоумышленник не завладеет большими ресурсами. Обычные узлы могут проверять транзакции самостоятельно, но если нападающий генерирует самую длинную цепь блоков, то своими сфабрикованными транзакциями он может скомпрометировать упрощенную схему. Одной из стратегий противодействия этому может быть рассылка сигналов тревоги от обычных пиров, которые получают «ложный» блок. Такой сигнал будет заставлять программу-клиент загружать блок полностью, чтобы самостоятельно подтверждать некорректность данных. Компании, часто принимающие платежи, возможно, будут подключаться к сети в обычном режиме для большей независимости, безопасности и быстроты проверки.
Примечание:
Использование дерева Меркла для хэшей транзакций и связывание блоков при помощи хэшей в блокчейн позволяет упростить проверку наличия достаточной суммы на адресе (адресах) отправителя платежа. Для этого не обязательно иметь полную базу, а достаточно запрашивать хэш-поддерево для необходимой транзакции. Проверять всю историю движения монет до данной транзакции не имеет смысла, поскольку эти проверки уже были осуществлены ранее, а информация об их корректности подтверждена деревом хэшей.
9. Соединение и разделение сумм
Несмотря на то, что можно оперировать отдельными монетами, создавать специальную транзакцию для каждого цента было бы слишком неудобно. Для поддержки разделяемых и объединяемых сумм транзакции содержат несколько входов и выходов. Обычная транзакция будет выглядеть так: либо один вход от предыдущего крупного платежа, либо несколько входов, аккумулирующих небольшие суммы, и не более двух выходов: один является собственно платежом, а другой, если необходимо, возвращает «сдачу» обратно отправителю.
Необходимо отметить, что увеличение связей, когда транзакция зависит от нескольких, а те в свою очередь зависят от еще большего числа, не является проблемой, поскольку нет необходимости получать полную и независимую копию истории транзакции.
Примечание:
Здесь описана структура собственно транзакции. Каждая транзакция может иметь от одного до нескольких входов от (неиспользованных) выходов предыдущих транзакций биткоин-адресов отправителя и два выхода — один собственно платеж по транзакции, который отправляется на биткоин-адрес получателя. А второй — возврат неиспользованных «монет» (сдачи) на биткоин-адрес отправителя.
10. Конфиденциальность
Традиционная банковская модель поддерживает необходимый уровень конфиденциальности, предоставляя доступ к информации лишь сторонам-участницам и доверенному третьему лицу. Необходимость открытой публикации транзакций исключает такой подход, однако приватность по-прежнему можно сохранить, если публичные ключи будут анонимными. Открытой будет информация о том, что кто-то отправил кому-то некоторую сумму, но без привязки к конкретным личностям. Столько же данных раскрывается и на фондовых биржах, которые публикуют время и объем частных сделок, не указывая, между кем именно они были совершены.
Дополнительной защитой будет являться генерация новой пары «открытый/закрытый ключ» для каждой транзакции: это предотвратит связывание различных платежей с их общим отправителем или адресатом. Некоторого публичного связывания все же не избежать: транзакции с несколькими входами доказывают, что эти суммы принадлежат одному лицу. Риск состоит в том, что раскрытие личности владельца ключа может привести к раскрытию и всех принадлежащих ему транзакций.
Примечание:
Сатоши Накамото описывает, как новая денежная система меняет принципы конфиденциальности денежных операций (транзакций) и их контроля.
В традиционной модели доверенный финансовый посредник (банк) осуществляет полный контроль всех денежных операций. При этом личность субъекта (отправителя и получателя денег) связана с самой операцией и подлежит идентификации. Третьи лица (общество) не имеют доступа к данным транзакций и, соответственно) не могут их контролировать.
В новой модели (Биткоин) контроль за денежными операциями (транзакциями) возложен на сеть. Т.е. все пользователи сети Биткоин (точнее их программы-клиенты) следят за правильностью расчетов между биткоин-адресами. При этом личности самих пользователей связаны с их биткоин-адресами посредством приватных ключей и не могут быть напрямую идентифицированы. Тем самым обеспечивается конфиденциальность финансовых операций и анонимизация их субъектов (как отправителей, так и получателей).
11. Оценка
Рассмотрим сценарий, в котором злоумышленник пытается генерировать более длинную цепь блоков, чем честные участники. Даже если он преуспеет, это не приведет к тому, что можно будет создавать деньги из воздуха, присваивать себе чужие монеты или вносить иные произвольные изменения. Узлы никогда не примут некорректную транзакцию или блок, ее содержащий. Атакующий может лишь пытаться изменить одну из своих транзакций, чтобы возвратить себе деньги.Гонку между честными участниками и нападающим можно представить как биномиальное случайное блуждание. Успешное событие, когда «хорошая» цепь удлиняется на один блок, приводит к увеличению отрыва на единицу, а неуспешное, когда очередной блок создает злоумышленник, — к его сокращению. Вероятность атакующего наверстать разницу в несколько блоков такая же, как и в задаче о «разорении игрока». Представим, что игрок имеет неограниченный кредит, начинает с некоторым дефицитом и у него есть бесконечно много попыток, чтобы отыграться.Вероятность того, что он преуспеет, как и вероятность злоумышленника догнать честных участников, вычисляется следующим образом[8]:
- p = вероятность появления блока в честной цепочке
- q = вероятность того, что блок создаст атакующий
- qz = вероятность того, что атакующий наверстает разницу в z блоков
В случае p > q вероятность уменьшается экспоненциально с ростом числа блоков, на которое отстает злоумышленник. Поскольку все ставки против него, без удачного рывка в начале его шансы на успех становятся ничтожно малы.
Рассмотрим теперь, как долго получателю платежа стоит ждать, прежде чем он будет полностью уверен, что бывший владелец не сможет отменить транзакцию. Мы предполагаем, что злоумышленник-отправитель позволяет адресату некоторое время верить, что платеж был проведен, после чего возвращает деньги себе. Получатель узнает об этом, но мошенник надеется, что будет уже слишком поздно.
Адресат создает новую пару ключей и сообщает свой публичный ключ отправителю прямо перед подписанием транзакции. Это не позволит отправителю заранее начать работать над цепочкой и провести транзакцию в тот момент, когда он будет достаточно удачлив, чтобы совершить рывок вперед. После отправки платежа мошенник начинает втайне работать над параллельной версией цепочки, содержащей альтернативную транзакцию.
Получатель ждет, пока транзакция не будет добавлена в блок и пока тот не будет продолжен еще z блоками. Ему неизвестен прогресс злоумышленника, но если средняя скорость генерации честных блоков — известная величина, то число блоков нападающего подчиняется распределению Пуассона с математическим ожиданием:
Чтобы получить вероятность того, что атакующий обгонит честных участников, мы умножаем значение случайной величины (число созданных им блоков) на вероятность того, что он сможет наверстать оставшуюся разницу:
Перегруппировав слагаемые и, избавясь от бесконечного ряда, получаем:
Код программы на языке Си выглядит так:
#include <math.h>
double AttackerSuccessProbability(double q, int z)
{
double p = 1.0 - q;
double lambda = z * (q / p);
double sum = 1.0;
int i, k;
for (k = 0; k <= z; k++)
{
double poisson = exp(-lambda);
for (i = 1; i <= k; i++)
poisson *= lambda / i;
sum -= poisson * (1 - pow(q / p, z - k));
}
return sum;
}
Запустив программу, мы видим, что вероятность экспоненциально падает с ростом z:
Решая относительно P < 0.1%, получаем:
Примечание:
Сатоши Накамото оценивает вероятность т.н. «атаки 51%» на сеть Биткоин. При помощи наглядных расчетов он показывает, что вероятность успеха такой атаки экспоненциально уменьшается с ростом добавленных блоков в сети. Таким образом, отсутствует «вычислительная целесообразность» любых попыток подделки (модификации) старых транзакций.
12. Заключение
В данной работе нами была предложена система электронных транзакций, не основанная на доверии. Построение схемы началось с традиционного представления монет на основе цифровых подписей, обеспечивающего контроль владения, но допускающего двойную трату. Эту проблема решена посредством пиринговой сети и схемы «доказательства работы» для записи публичной истории транзакций. Попытка злоумышленника, не обладающего большей частью вычислительных ресурсов сети, изменить старые записи, становится практически неосуществимой. Сильной стороной сети является простота ее структуры. Все узлы работают самостоятельно, иногда обмениваясь информацией. Нет необходимости в идентификации, поскольку сообщения не идут по какому-то определенному маршруту, а на основе принципа «наименьших затрат» (при маршрутизации пакетов — прим.С.Б.). Узлы могут покидать сеть и вновь подключаться, принимая самую длинную цепочку блоков как подтверждение пропущенной истории транзакций. Они выражают свое согласие принять корректный блок в цепочку, используя свои вычислительные мощности для удлинения этой цепи, или несогласие (если блок содержит неверные данные), не продолжая эту цепочку. Любые необходимые правила протокола могут быть реализованы через данный механизм голосования.
Послесловие:
Подводя итоги, отметим главные пункты доклада Сатоши Накамото.
В первую очередь это базовые основы пиринговой электронной денежной системы Bitcoin:
– система базируется на одноранговой (пиринговой) сети, все узлы которой следуют заданным правилам;
– основой хранения данных в системе является «блокчейн» в виде «цепочки доказательств проделанной работы на основе хэширования» (chain of hash-based proof-of-work), работу которой обеспечивает т.н. «сервер меток времени» (Timestamp Server);
– информация записывается в виде связанных посредством хэширования блоков транзакций;
– система использует механизм «доказательства сделанной работы» (Proof-of-Work) для записи блоков в блокчейн и противодействия атакам хакеров;
– транзакции в системе связаны посредством входов и выходов, тем самым обеспечивая фиксацию движения «электронных монет» (денежных средств) между биткоин-адресами;
– система использует стимулы (вознаграждение майнерам в виде эмиссии новых монет биткоина и комиссионых, взимаемых за транзакции пользователей) для обеспечения надежной и бесперебойной работы сети.
Кроме того, Сатоши Накамото затрагивает такие аспекты, как:
– Экономия дискового пространства с помощью деревьев Меркла.
– Упрощенная проверка транзакций (наличия необходимой суммы на адресе отправителя) с использованием деревьев хэшей.
– Способ достижения консенсуса в сети в случае, когда два или более узлов одновременно записывают разные версии очередного блока.
– Конфиденциальность сторон денежных операций.
– Вычислительная нецелесообразность попыток злоумышленников подделать (модифицировать) транзакции.