以太坊創始人V神介紹99%容錯的共識機制

咱們已經聽過很長一段時間了，在同步網絡中能夠達到50％容錯的共識，其中任何誠實節點廣播的消息都保證在某個已知時間段內被全部其餘誠實節點接收（若是攻擊者有更超過50％，就能夠執行「51％的攻擊」，而有這種用於這種類型的任何算法）的相似物。咱們也據說很長一段時間，若是你想放寬同步假設，而且有一個「異步安全」的算法，最大可實現的容錯率降低到33％（PBFT，Casper FFG等都屬於這個類別）。

可是你知道嗎，若是你添加更多的假設（具體來講，你須要觀察者，即：若是用戶沒有積極參與共識但關心其輸出，也要積極觀察共識，而不只僅是過後下載其輸出），您能夠將容錯率一直提升到99％？

事實上，這已經知道了很長時間; Leslie Lamport着名的1982年論文「The Byzantine Generals Problem」（連接在這裏）包含了算法的描述。如下是我嘗試以簡化形式描述和從新構造算法。

假設存在N共識參與節點，而且每一個人都贊成這些節點是誰提早的（取決於上下文，它們多是由可信方選擇的，或者若是須要更強的分散，則經過一些工做證實或股權證實）方案）。咱們標記這些節點0....N-1。還假設已知D網絡延遲加上時鐘差別（例如D= 8秒）。每一個節點都可以及時發佈值T（惡意節點固然能夠提早或稍後提出值T）。全部節點等待(N-1) * D幾秒鐘，運行如下過程。定義x : i爲「 x由節點簽名的值i」，x : i : j做爲「由... x簽名的值」i而且該值和簽名一塊兒由j「等簽署。在第一階段發佈的提案將是v: i某些形式的，v而且i包含提出它的節點的簽名。

若是驗證器i收到一些消息v : i[1] : ... : i[k]，i[1] ... i[k]那麼已經（順序）對消息進行了簽名的索引列表（v其自己將被計爲k = 0，而且v:ik = 1），則驗證器檢查（i）時間小於T + k * D，和（ii）他們尚未看到包含的有效信息v; 若是兩個檢查經過，他們發佈v : i[1] : ... : i[k] : i。

當時T + (N-1) * D，節點中止收聽。此時，能夠保證誠實節點所有「有效地看到」同一組值。

節點1（紅色）是惡意的，節點0和2（灰色）是誠實的。比賽一開始，兩位誠實的節點讓他們的建議y和x，而攻擊者提出了兩個w和z後期。w準時到達節點0但不z到達節點2，而且沒有按時到達節點。在時間T + D，節點0和2重播他們已經看到了，他們尚未廣播的全部值，但增長了他們的簽名上（x與w節點0，y節點2）。這兩個節點誠實看到{x, y, w}。

若是問題須要選擇一個值，他們可使用一些「選擇」函數從他們看到的值中選擇一個值（例如，他們採用具備最低哈希的值）。而後節點能夠就此值達成一致。

如今，讓咱們來探討一下爲何會這樣。咱們須要證實的是，若是一個誠實的節點已經看到了一個特定的值（有效地），那麼每一個其餘誠實的節點也看到了這個值（若是咱們證實了這一點，那麼咱們知道全部誠實的節點都看到了相同的一組值，因此若是全部誠實節點都運行相同的選擇函數，它們將選擇相同的值）。假設任何誠實節點接收v : i[1] : ... : i[k]到他們認爲有效的消息（即，它在時間以前到達T + k * D）。假設x是單個其餘誠實節點的索引。要麼x是其中的一部分，{i[1] ... i[k]}要麼不是。

在第一種狀況下（好比說x = i[j]這個消息），咱們知道誠實節點x已經廣播了該消息，而且他們這樣作是爲了響應j-1他們在時間以前收到的簽名消息T + (j-1) * D，所以他們在那時廣播他們的消息，而且所以，全部誠實節點必須在時間以前收到消息T + j * D。

在第二種狀況下，因爲誠實節點在時間以前看到消息T + k * D，而後他們將用他們的簽名廣播消息並保證每一個人（包括x在時間以前都會看到它）T + (k+1) * D。

請注意，該算法使用添加本身的簽名做爲消息超時的「碰撞」的行爲，而且這種能力能夠保證若是一個誠實的節點按時看到消息，他們能夠確保其餘人看到消息準時，由於「準時」的定義增長了超過每一個添加的簽名的網絡延遲。

在一個節點是誠實的狀況下，咱們是否能夠保證被動觀察者（即關注知道結果的非共識參與節點）也能夠看到結果，即便咱們要求他們一直在觀察整個過程？隨着該計劃的編寫，存在一個問題。假設一個指揮官和一些k（惡意）驗證器子集產生一條消息v : i[1] : .... : i[k]，並在以前將其直接廣播給一些「受害者」 T + k * D。受害者認爲該消息是「準時」的，可是當他們從新廣播它時，它只會到達全部誠實的共識參與節點以後T + k * D，因此全部誠實的共識參與節點都拒絕它。

但咱們能夠填補這個漏洞。咱們要求D受到兩倍的網絡延遲和時鐘差別的限制。而後咱們對觀察者施加不一樣的超時：觀察者v : i[1] : .... : i[k]在時間以前接受T + (k - 0.5) * D。如今，假設觀察者看到一條消息接受它。他們將可以在一段時間以前將它廣播到一個誠實的節點T + k * D，而且誠實的節點將發出帶有其簽名的消息，該消息將在時間以前到達全部其餘觀察者T + (k + 0.5) * D，具備k+1簽名的消息的超時。

改造其餘共識算法

理論上，上述內容能夠用做獨立的一致性算法，甚至能夠用於運行股權證實區塊鏈。共識的第N + 1輪驗證器自己能夠在共識的第N輪中決定（例如，每輪共識也能夠接受「存款」和「撤銷」交易，若是接受並正確簽署將會增長或刪除驗證器進入下一輪）。**須要添加的主要附加成分是用於決定容許誰提出阻止的機制（例如，每輪能夠有一個指定的提議者）。**它還能夠被修改成可用做工做證實區塊鏈，容許參與共識的節點經過在簽名的同時在其公鑰之上發佈工做證實解決方案來實時「聲明本身」。用它的消息。

可是，同步假設很是強，所以咱們但願可以在沒有超過33％或50％容錯的狀況下在沒有它的狀況下工做。有一種方法能夠實現這一目標。假設咱們有一些其餘的一致性算法（例如，PBFT，Casper FFG，基於鏈的PoS），其輸出能夠偶爾在線觀察者看到（咱們稱之爲閾值相關的一致性算法，與上面的算法相反） ，咱們稱之爲延遲依賴共識算法）。假設依賴於閾值的一致性算法連續運行，其模式是不斷地將新塊「最終化」到鏈上（即，每一個最終值指向一些先前的最終值做爲「父」;若是存在一系列指針A -> ... -> B，咱們稱A 爲B 的後代。

咱們能夠將依賴於延遲的算法改造到這個結構上，讓老是在線的觀察者可以在檢查點上得到一種「強大的終結性」，容錯率達到95％（你能夠經過增長更多的驗證器和任意方式將其任意接近100％）要求這個過程須要更長的時間）。

每次時間達到4096秒的倍數時，咱們運行與延遲相關的算法，選擇512個隨機節點參與算法。有效提議是由閾值相關算法最終肯定的任何有效值鏈。若是一個節點在T + k * D帶有k簽名的時間（D = 8秒）以前看到一些最終值，它會將連接受到其已知鏈的集合中並從新廣播它並添加本身的簽名; 觀察者使用T + (k - 0.5) * D如前的閾值。

最後使用的「選擇」功能很簡單：

• 最終的值不是已經贊成在上一輪中的最終值的後代，將被忽略

• 無效的最終值將被忽略

• 要在兩個有效的最終值之間進行選擇，請選擇具備較低哈希值的值

若是5％的驗證器是誠實的，那麼512個隨機選擇的節點中沒有一個是誠實的，只有大約1：1萬億的機會，所以只要網絡延遲加上時鐘差別小於D/2上述算法就行，即便因爲閾值相關算法的容錯被破壞而呈現多個衝突的最終值，也能正確地協調某些單個最終值上的節點。

若是知足閾值相關一致性算法的容錯（一般爲50％或67％誠實），那麼依賴於閾值的一致性算法將不會最終肯定任何新檢查點，或者它將最終肯定彼此兼容的新檢查點（例如，一系列檢查點，其中每一個都指向前一個做爲父級），所以即便網絡延遲超過D/2（或甚至D），所以參與延遲相關算法的節點不一樣意他們接受的值，值他們接受仍然保證成爲同一鏈條的一部分，因此沒有實際的分歧。一旦延遲在將來一輪恢復正常，延遲相關的共識將恢復「同步」。

**若是閾值相關和延遲相關的共識算法的假設同時（或在連續輪次中）被破壞，則算法能夠分解。**例如，假設在一個循環中，閾值依賴共識定型Z -> Y -> X和從屬等待時間不一樣意共識之間Y和X，並在接下來的輪閾值依賴性共識定型後代W的X是不的後代Y; 在延遲相關的共識中，贊成的節點Y不會接受W，可是贊成的節點將會接受X。可是，這是不可避免的; 具備超過1/3容錯性的安全欠不一樣步共識的不可能性是a衆所周知拜占庭容錯理論的結果，即便容許同步假設，但假設離線觀察者不可能超過1/2容錯。

內容來源：區塊鏈兄弟

做者：V神

原文連接：http://t.cn/RD93GS2