密碼抽簽

密碼抽簽算法用來決定誰來驗證下一個block。

密碼抽簽按兩條線索執行：

• 選出“驗證者”和“領導者”；
• 是創建并不斷完善“種子”參數。

1. 選出“驗證者”和“領導者”

1. 系統創建并不斷更新一個獨立參數，稱為“種子”,記為Q ^{r-1} 。第r輪的種子的參數是256位長度的字符串，入參是第r-k輪結束后活躍用戶的公鑰集合，記為PK^{r-k}。k被稱為回溯參數或安全參數，比如=1，表示上一輪結束后的用戶集合。上面2個參數屬于公共知識。
2. 基于當前 “種子”構建并公布一個隨機算法，稱為“可驗證的隨機函數(verifiable random functions)"。該隨機算法中的一個關鍵參數是用戶的私鑰，這個私鑰只有用戶本人才知道。
3. 每個用戶使用自己的私鑰對“種子”進行簽名，用函數SIGi來表示，用它作為參數，運行系統公布的隨機算法，用函數H()來表示，得到自己的憑證（credential）= H(SIGi(r,1,Q^{r-1}))(函數SIGi有多個輸入參數時，表示將這些參數簡單串聯后再進行電子簽名)。
   3.1. 憑證是一個近乎隨機的、由0和1組成的長度為256的字符串，并且不同用戶的憑證幾乎不可能相同；
   3.2. 由憑證構建的2進制小數0.H(SIGi(r,1,Q^{r-1}))（也就是將憑證字符串寫到小數點后）在0和1之間均勻分布。
4. 憑證值滿足一定條件的用戶就是這一輪的“驗證者”（verifiers）。
   4.1. 條件是：對0和1之間的一個數，0.H(SIGi(r,1,Q^{r-1}))≤p發生的概率為p，稱所有滿足此條件的用戶為“驗證者”。
   4.2. 有1-10^{-18}的概率保證在所有“驗證者”中，至少有一個是誠實的。
5. “驗證者”組裝一個新區塊并連同自己的憑證一起對外發出。第r輪第s步（s>1）的“驗證者”的產生程序與上文類似。其中，在第一個子步驟中憑證值最小（按字典方面排序）的那個“驗證者”的地位比較特殊，稱為“領導者”。
6. 所有“驗證者”基于“領導者”組裝的新區塊運行拜占庭協議BA。
7. 在BA的每次循環中的每一個子步驟中，被選中的“驗證者”都是不同的。這樣能有效防止驗證權力集中在某些用戶手中，避免“敵對者”通過腐化這些用戶來攻擊區塊鏈。

上述過程的特點是：

1. “驗證者”在秘密情況下獲知自己被選中，但他們只有公布憑證才能證明自己的“驗證者”資格。盡管“敵對者”可以瞬間腐化身份公開的“驗證者”，但已不能篡改或撤回誠實驗證著已經對外發出的消息。
2. 所有“驗證者”公布自己的憑證并進行比較后，才能確定誰是“領導者”，也就是“領導者”可以視為由公共選舉產生。
3. 隨機算法的性質決定了事先很難判斷誰將被選為“驗證者”。因此，“驗證者”的選擇過程很難被操縱或預測。
4. 盡管“敵對者”有可能事先安插一些交易來影響當前公共賬本，但因為“種子”參數的存在，他仍然不可能通過影響“驗證者”（特別是其中的“領導者”）的選擇來攻擊Algorand。

2. 種子的更新

用Br表示第輪結束后，拜占庭協議BA★輸出的區塊。

“種子”的更新過程是：
Q^r =H(SIGlr(Q^{r-1}，r)), 如果B^r不是空區塊
Q^r =H(Q^{r-1}，r）, 如果B^r是空區塊

如果Algorand在第r輪受到了“敵對者”攻擊，B^r可能是空的.

3. Algorand的拜占庭協議BA★

拜占庭協議BA★相當于一個兩階段的投票機制。

• 第一階段，“驗證者”對其收到的候選區塊（為控制通訊成本，實際上用的是候選區塊的哈希摘要）運行分級共識協議（graded consensus）, 選出“驗證者”共識最多的候選區塊。
• 第二階段，“驗證者”對第一階段選出的候選區塊，運行二元拜占庭協議（binary Byzantine Agreement），即要么接受它，要么接受空區塊。需要強調的，在每一階段中的每一個子步驟，Algorand可能使用完全不同的“驗證者”。

以下為敘述方便，假設：

• 系統處在第r輪；
• 每一個子步驟都選出n名“驗證者”，其中惡意“驗證者”不超過t，并且n≥3t+1（也就是誠實“驗證者”占比在2/3以上）。另外，引入計數函數 #si(v)表示在第s步“驗證者”i 收到的消息v的次數（來自同一發送人的只能算1次）。

3.1 第一階段：分級共識協議

1. 運行密碼抽簽程序，選出“領導者”lr和這一步的“驗證者”。用vi表示“驗證者”i收到的并且他認識是來自“領導者”lr的候選區塊。

vir不一定等于“領導者”lr構建的候選區塊：

• “驗證者”i辨認“領導者”的方法是從他收到的所有“驗證者”憑證中找出按字典排序最小者。但因為網絡通訊原因，“領導者”lr發出的信息可能沒有到達“驗證者”i處。
• “領導者”lr正好被“敵對者”腐化，對不同“驗證者”發出不同的候選區塊。
• “驗證者”i本身可能是惡意的。

1. “驗證者”i將收到的vi廣播給其他用戶。廣播正確的vi代表他告訴其他驗證者他同意該vi。
2. 當且僅當“驗證者”i在步驟2中收到消息x的次數超過了2t+1次（即 #2i(x)≥2t+1），他將消息x發給其他用戶。“驗證者”i按以下規則輸出(vi,gi)：

如果存在x使得#3i(x)≥2t+1，則vi=x,gi=2；//2輪都投票成功 如果x存在使得#3i(x)≥t+1，則vi=x,gi=1；//只有1輪投票成功 否則vi=?，gi=1，其中?代表空區塊。

含義是：

• 如果存在誠實“驗證者”i，使得,gi=2，那么對任意其他“驗證者”j，必有gj≥1,vj=vi。此時所有誠實“驗證者”輸出的候選區塊是一樣的。當然，如果一開始的“驗證者”收到的候選區塊都是v，那么最后一批“驗證者”輸出的也將都是v。
• 對所有的誠實“驗證者”i，gi≤1，并且他們輸出的候選區塊不一定相同。

第二階段：二元拜占庭協議

基于分級共識協議的輸出{(vi,gi):i=1,2,K……n}對每個誠實“驗證者”賦值：

• 如果gi=2，那么bi=0；
• 其他情況，bi=1。

這些bi就是二元拜占庭協議的輸入。

1. 第一步“驗證者”i發出bi。如果#1i(0)≥2t+1，那么“驗證者”i設定bi=0，輸出outi=0，并停止執行協議（也可以認為他以后將一直發出bi=0）；如果#1i(1)≥2t+1，那么“驗證者”i設定bi=1；否則，“驗證者”i設定bi=0。
2. 第二步“驗證者”i發出bi。如果#2i(1)≥2t+1，那么“驗證者”i設定bi=1，輸出outi=1，并停止執行協議（也可以認為他以后將一直發出bi=1）；如果#2i(0)≥2t+1，那么“驗證者”i設定bi=0；否則，“驗證者”i設定bi=1。
3. 第三步“驗證者”i發出bi和SIGi(Qr-1,rj)。如果#3i(0)≥2t+1，那么“驗證者”i設定bi=0；如果#3i(1)≥2t+1，那么“驗證者”i設定bi=1；否則，用Si表示所有給“驗證者”i發送消息的其他“驗證者”集合。

結論

1. 每次隨機選出n名驗證者，由于是根據概率來決定誰是驗證者，n的值只有在所有驗證者廣播他的憑證后，節點才能知道n的值是多少，并且≤真正的驗證者數量，因為存在網絡等問題。這樣的話，這些交互的過程是一個同步交互的過程，肯定影響出塊時間。
2. 每一輪共識的交互次數太多了，每次交互意味著被動同步延時，對性能是個不小的影響。
3. algorand的性能是比特幣的125倍，按照論文中給出的數據，每小時可以共識的交易還是750M字節每小時，計算一下(按照每筆交易長度100字節計算)：75010241024/60/60/100=2184.5 TPS，考慮到實際環境的運行，估計可以達到1000TPS左右。

參考文獻：
https://people.csail.mit.edu/nickolai/papers/gilad-algorand-eprint.pdf
https://www.leiphone.com/news/201802/D835Yu95sY7ihrAp.html