ביטקוין: מערכת שיתופית לכסף אלקטרוני

11. חישובים

אנו בוחנים תרחיש בו תוקף מנסה ליצור שרשרת חלופית מהר יותר מהשרשרת הישרה. גם אם הדבר מתבצע, זה לא גורם לחשיפת המערכת לשינויים שרירותיים, כמו יצירת ערך יש מאין או לקיחת כסף שמעולם לא היה שייך לתוקף. צמתים לא יסכימו לקבל פעולה בלתי קבילה כתשלום, וצמתים ישרים לעולם לא יסכימו עם בלוק המכיל אותן. תוקף יכול רק לנסות לשנות את אחת מהתנועות שלו כדי לקחת בחזרה כסף שהוא הוציא לאחרונה.

ניתן לאפיין את המרוץ בין השרשרת הישרה ושרשרת של תוקף בתור הילוך אקראי בינומי. מאורע ההצלחה הוא שהשרשרת הישרה מתארכת בבלוק אחד, מה שמגדיל את ההובלה בשיעור 1+, ומאורע הכישלון הוא שהשרשרת של התוקף מתארכת בבלוק אחד, מה שמפחית את הפער בשיעור 1-.

ההסתברות שתוקף ידביק את הפער מגירעון נתון מקביל לבעיית מפולת המהמר (Gambler's Ruin problem). נניח כי מהמר עם אשראי בלתי מוגבל מתחיל עם גירעון ומשחק בניסיון להגיע לאיזון תוך מספר ניסיונות היכול להיות אינסופי. אנו יכולים לחשב את ההסתברות שהוא יגיע אי-פעם לאיזון, כלומר שהתוקף ידביק אי-פעם את הפער עם השרשרת הישרה, כדלקמן:

p = ההסתברות שצומת ישר ימצא את הבלוק הבא
q = ההסתברות שהתוקף ימצא את הבלוק הבא
q_{z =} ההסתברות שהתוקף ידביק אי-פעם את הפער מפיגור של z בלוקים

בהינתן ההנחה שלנו כי p>q, ההסתברות קטנה באופן מעריכי ככל שפער הבלוקים אותו צריך התוקף להדביק גדל. היות שהסיכויים פועלים נגדו, אם אין לו את המזל לעשות קפיצה גדולה קדימה מיד בהתחלה, הסיכויים שלו נהיים אפסיים ככל שהפיגור שלו גדל.

עתה נבחן כמה המקבל של תנועה חדשה צריך להמתין כדי להיות בטוח במידה מספיקה שהשולח אינו יכול לשנות את התנועה. אנו מניחים שהשולח הוא תוקף הרוצה לגרום למקבל להאמין לזמן-מה שהוא שילם לו, ואז להפוך את הפעולה כדי לשלם בחזרה לעצמו. המקבל יקבל התרעה כשזה יקרה, אך התוקף מקווה שזה יהיה מאוחר מדי.

המקבל יוצר זוג מפתחות חדש ונותן את המפתח הציבורי לשולח זמן קצר לפני החתימה. זה מונע מהתוקף להכין שרשרת בלוקים מבעוד מועד על ידי עבודה רצופה עליה עד שיש לו מספיק מזל כדי להוביל במידה מספקת, ואז לבצע את הפעולה באותו הרגע. ברגע בו התנועה נשלחת, השולח הלא-ישר מתחיל לעבוד בחשאי על שרשרת מקבילה המכילה גרסה חלופית של הפעולה שלו.

המקבל מחכה עד שהתנועה התווספה לבלוק ו-z בלוקים שורשרו אחריו. הוא לא יודע את מידת ההתקדמות המדויקת של התוקף, אבל בהנחה שהבלוקים הישרים לקחו פרק זמן ממוצע לכל בלוק, ההתקדמות האפשרית של התוקף היא משתנה פואסון עם תוחלת:

כדי למצוא את ההסתברות שהתוקף יוכל עדיין להדביק את הפער, אנו כופלים את צפיפות התפלגות פואסון לכל מידת התקדמות אפשרית בהסתברות שהוא ידביק את הפער מנקודה זו:

שינוי סדר האיברים כדי להימנע מסכימת הזנב האינסופי של ההתפלגות...

המרה לקוד בשפת C...

#include <math.h>

double AttackerSuccessProbability(double q, int z)

{

double p = 1.0 - q;

double lambda = z * (q / p);

double sum = 1.0;

int i, k;

for (k = 0; k <= z; k++)

{

double poisson = exp(-lambda);

for (i = 1; i <= k; i++)

poisson *= lambda / i;

sum -= poisson * (1 - pow(q / p, z - k));

}

return sum;

}

מהרצת מספר תוצאות, אנו יכולים לראות שההסתברות קטנה באופן מעריכי עם z.

q=0.1

z=0 P=1.0000000

z=1 P=0.2045873

z=2 P=0.0509779

z=3 P=0.0131722

z=4 P=0.0034552

z=5 P=0.0009137

z=6 P=0.0002428

z=7 P=0.0000647

z=8 P=0.0000173

z=9 P=0.0000046

z=10 P=0.0000012

q=0.3

z=0 P=1.0000000

z=5 P=0.1773523

z=10 P=0.0416605

z=15 P=0.0101008

z=20 P=0.0024804

z=25 P=0.0006132

z=30 P=0.0001522

z=35 P=0.0000379

z=40 P=0.0000095

z=45 P=0.0000024

z=50 P=0.0000006

מציאת התנאים הדרושים להסתברות קטנה מ-0.1%...

P < 0.001

q=0.10 z=5

q=0.15 z=8

q=0.20 z=11

q=0.25 z=15

q=0.30 z=24

q=0.35 z=41

q=0.40 z=89

q=0.45 z=340