任何计算挑战都可以转化为工作量证明吗？

加密货币挖矿的看似毫无意义的问题提出了有用的选择的问题，请参阅关于比特币，CST和MO的这些问题。我想知道是否存在一种算法，可以将几乎任何计算挑战数学（可以有效验证其解决方案）转换为另一个这样的挑战（用于工作量证明），从而 Ψ （C ^$\mathcal C$$\Psi(\mathcal C)$

1. 函数使用某些（公共）随机序列随机化。$\Psi$$r$
2. 解决是典型地硬如解决。$\Psi(\mathcal C)$$\mathcal C$
3. 如果溶液被发现为，然后溶液可有效地计算为原始的询问。Ψ （Ç）Ψ - 1（X ）$x$$\Psi(\mathcal C)$$\Psi^{-1}(x)$$\mathcal C$
4. 知道的解决方案无助于找到的解决方案。 Ψ （C ^$\mathcal C$$\Psi(\mathcal C)$

$\;\:\:$ 4'（更新）。正如Noah在评论中指出的那样，应加强先前的条件，以要求预处理在解决也不应提供任何优势。 Ψ （C ^$\mathcal C$$\Psi(\mathcal C)$

这最后一个条件是必需的，以使没有人能因为他们知道的解而处于有利位置。使用此方法，人们可以提交他们想要解决的计算问题，而中央机构可以选择一些值得解决的问题（例如查找外星人与破解密码）。请注意，解决问题甚至需要一个星期的时间似乎也不是问题（我想那些外星人藏起来可能不太好；），因为这可能会为解决方案带来更大的回报。无论如何，这些主题与我的理论问题的解决无关，但是我当然很乐意在论坛上的评论中讨论它们。$\mathcal C$

可能的解决方案如下：将映射到，即解决和其他一些计算困难的挑战。这样做的一个问题是，知道的解决方案确实会使解决变得容易一些（难易程度取决于的难度）。另一个问题是比变得更加困难。Ç（$\Psi$$\mathcal C$Ç Ç Ψ （C ^）ħ 甲小号ħ - [R Ψ （C ^）$(\mathcal C,HASH_r)$$\mathcal C$$\mathcal C$$\Psi(\mathcal C)$$HASH_r$$\Psi(\mathcal C)$$\mathcal C$

（注意：AndreasBjörklund在评论中提出了一种解决方案，我认为它比以下描述的要好。请参见Ball，Rosen，Sabin和Vasudevan的http://eprint.iacr.org/2017/203。简而言之，他们根据诸如正交向量之类的问题给出工作证明，这些问题的硬度已广为人知，并且可以相对有效地减少许多问题（例如k-SAT），其PoW实例与最坏情况的正交问题一样难向量，即使输入实例C很容易，也可以避免下述解决方案的主要缺点。$\Psi(\mathcal{C})$$\mathcal{C}$

下面描述的解决方案可能会从其简单性中受益-可以将其描述为非专家-但在我看来，从理论上讲它并不那么有趣。

如果人们强烈假设“ 的最快算法从根本上是随机的”（并且如果我们将加密哈希函数建模为随机预言，则该解决方案是可行的）。对此进行形式化的一种方法是说$\mathcal{C}$

1. （否则，我想这不是一个真正的有效的挑战）;$\mathcal{C} \in \mathsf{TFNP} \setminus \mathsf{FP}$
2. 在典型情况下，最快的随机算法在预期时间T运行；和$\mathcal{C}$$T$
3. 存在一个高效计算函数从{ 0 ，1 } ķ到解决方案的域Ç为ķ ≈ 登录2 Ť使得总是存在一个小号∈ { 0 ，1 } ķ与˚F （小号）的溶液Ç。$f$$\{0,1\}^k$$\mathcal{C}$$k \approx \log_2 T$$s \in \{0,1\}^k$$f(s)$$\mathcal{C}$

注意的是，假设意味着强力搜索的{ 0 ，1 } ķ本质上是最优算法Ç。因此，这是一个很强的假设。另一方面，如果C不满足这些属性，那么我很难想象同时满足您的条件（2）和（4）。$k \approx \log_2 T$$\{0,1\}^k$$\mathcal{C}$$\mathcal{C}$

然后，给定的散列函数，我们建模为随机预言，我们定义Ψ ħ（Ç ; [R ）如下所示，其中[R ∈ { 0 ，1 } ℓ对于一些ℓ » ķ是随机输入到Ψ ħ。我们的目标是输出X ∈ { 0 ，1 } *，使得$H : \{0,1\}^* \to \{0,1\}^k$$\Psi_H(\mathcal{C}; r)$$r \in \{0,1\}^\ell$$\ell \gg k$$\Psi_H$$x \in \{0,1\}^*$是 C的解。换句话说，对于上述算法，（r ，x ）应该哈希为“良好的随机硬币”。$f(H(r,x))$$\mathcal{C}$$(r,x)$

让我们看看这满足您的所有条件。

1. “函数是使用某些（公共）随机序列r进行随机化的。” 校验！$\Psi$$r$
2. “解决通常和解决C一样困难。” 注意，简单随机化算法Ψ ħ（Ç，- [R ）在预期时间运行至多2 ķ加多项式开销，并且通过假设2 ķ ≈ Ť本质上是最佳的算法的运行时间Ç。$\Psi(\mathcal{C})$$\mathcal{C}$$\Psi_H(\mathcal{C},r)$$2^k$$2^k \approx T$$\mathcal{C}$
3. “如果一个溶液被发现为Ψ （Ç），然后溶液Ψ - 1（X ）可有效地计算为原始的询问Ç ”。这可以通过计算f （H （r ，x ））来完成，这可以通过假设来解决$x$$\Psi(\mathcal{C})$$\Psi^{-1}(x)$$\mathcal{C}$$f(H(r,x))$$\mathcal{C}$
4. “了解的解决方案无助于找到Ψ （C）的解决方案。” 根据定义，求解Ψ ħ（Ç ; [R ）需要找到X，使得˚F （ħ （[R ，X ））是将溶液Ç。由于我们模拟^ h作为随机预言，我们可以下界是解决这个问题的最佳预计查询查询问题的复杂性任何算法的预期运行时间，其中$\mathcal{C}$$\Psi(\mathcal{C})$$\Psi_H(\mathcal{C}; r)$$x$$f(H(r,x))$$\mathcal{C}$$H$$H$由黑框给出，要求我们找到相同问题的解决方案。并且，再次因为是一个随机预言，预期的查询复杂性是元素的部分的刚逆X ∈ { 0 ，1 } ķ是溶液（最多一个常数因子）。由假设，最优预期运行的任何算法的时间Ç是Ť ≈ 2 ķ，这意味着这部分不能远大于2 - ķ。由于ℓ » ķ和- [R ∈ { 0 ，$H$$x \in \{0,1\}^k$$\mathcal{C}$$T \approx 2^{k}$$2^{-k}$$\ell \gg k$是随机统一选择的，对于允许依赖于 H和 C（但不取决于 r）的预处理，这也是正确的，尤其是即使我们事先知道 C的解决方案，也是如此。$r \in \{0,1\}^\ell$$H$$\mathcal{C}$$r$$\mathcal{C}$

以下简单的技术（我称为解决彩票技术）可以与其他技术（例如，具有多个POW问题，Noah Stephens-Davidowitz的答案中提到的技术等）结合使用，以帮助将计算难题转化为可行的证明工作问题。SLT可帮助改善条件1-4以外的加密货币挖掘问题。

假设是以下形式的计算挑战“找到一个合适的散列ķ用字符串沿X，使得（ķ ，X ）∈ d ”。$\mathcal{C}$$k$$x$$(k,x)\in D$

问题设置：假设D是一个集合，H是一个加密哈希函数，而C是一个常数。假设此外建议数据（ķ ，X ）是一块是容易获得的信息的一个确定后（ķ ，X ）∈ d但是不能以其他方式获得。$\Psi(\mathcal{C})$$D$$H$$C$$\textrm{Data}(k,x)$$(k,x)\in D$

问题目标：查找一对（ķ ，X ），使得ķ是一个合适的散列，并且其中（ķ ，X ）∈ d，并且其中ħ （ķ | | X | | 数据（ķ ，X ））< ç。$\Psi(\mathcal{C})$$(k,x)$$k$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$

现在让我们研究问题如何满足要求1-4。$\Psi(\mathcal{C})$

1. 我们必须假定SLT的已经被随机化以满足此属性。$\mathcal{C}$

2-3。通常会比C困难，这是一件好事。工作量证明问题的难度需要进行微调，但是原始问题C 的难度可能也可能没有微调（请记住，挖矿比特币的难度每两周进行一次调整）。问题的难度Ψ （C ^）等于寻找一些合适的难度（ķ ，X ）∈ d乘以2 $\Psi(\mathcal{C})$$\mathcal{C}$$\mathcal{C}$$\Psi(\mathcal{C})$$(k,x)\in D$。因此，由于常数C是可微调的，因此Ψ（C）的难度也可微调。$\frac{2^{n}}{C}$$C$$\Psi(\mathcal{C})$

尽管问题比原来的问题更加困难ç几乎所有的解决问题的工作，Ψ （Ç）将在简单地找到一对花（ķ ，X ）与（ķ ，X ）∈ D而不是计算哈希（无法计算H （k | | x | | Data（k ，x ））< $\Psi(\mathcal{C})$$\mathcal{C}$$\Psi(\mathcal{C})$$(k,x)$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$或直到一个已经计算和一个不能计算数据（ķ ，X ）除非该验证数据（ķ ，X ）∈ d）。$\textrm{Data}(k,x)$$\textrm{Data}(k,x)$$\textrm{Data}(k,x)\in D$

当然，比C困难的事实带来了一些新的问题。对于一个有用的问题，这是最有可能的一个将要存储对的情况下（ķ ，X ），其中（ķ ，X ）∈ d在一些数据库。然而，为了接收所述块的奖励，矿灯必须只揭示了一对（ķ ，X ），其中（ķ ，X ）∈ d和ħ （ķ | $\Psi(\mathcal{C})$$\mathcal{C}$$(k,x)$$(k,x)\in D$$(k,x)$$(k,x)\in D$代替的所有对（ķ ，X ）∈ d无论 ħ （ķ | | X | | 数据（ķ ，X ））< Ç与否。解决这个问题的一种可能的方法是让矿工简单地揭示所有对（k ，x ），其中（k ，x $H(k||x||\textrm{Data}(k,x))<C$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))<C$$(k,x)$出于礼貌。矿工也将有权拒绝链，如果矿工还没有公布对他们的公平份额的能力（ķ ，X ）∈ d。也许，应该算对的数量（ķ ，X ）∈ d计算，以谁拥有最长的有效链以及对。如果大部分的矿工张贴他们的解决方案，然后求解的过程 Ψ （ç）会产生同样多的解决方案，解决的过程 Ç。$(k,x)\in D$$(k,x)\in D$$(k,x)\in D$$\Psi(\mathcal{C})$$\mathcal{C}$

在矿工张贴的所有对场景，Ψ （Ç）将满足条件2-3的精神。$(k,x)\in D$$\Psi(\mathcal{C})$

4. 可以或可以不满足条件 4取决于具体的问题。$\Psi(\mathcal{C})$$4$

$\textbf{Other Advantages of this technique:}$

SLT提供了条件1-4以外的其他优点，这对于工作量证明问题是理想的或必需的。

1. 改善安全性/效率的平衡：如果太容易解决或验证太困难，则SLT会有所帮助。通常，Ψ （C）比C难解决，但Ψ （C）的验证与C一样容易。$\mathcal{C}$$\Psi(\mathcal{C})$$\mathcal{C}$$\Psi(\mathcal{C})$$\mathcal{C}$

2. 消除损坏/不安全的问题：SLT可用于通过算法消除带有备用POW问题和多个POW问题的加密货币中的不良POW问题。假设一个实体找到了解决问题快速算法。然后，这样的问题不再是合适的工作量证明问题，应将其从加密货币中删除。因此，cryptocurrency必须有一个算法，消除Ç从每当有人张贴了一个算法，解决了问题cryptocurrency Ç得很快，但它绝不会取消的问题Ç否则。这里是用来去除我们称之为问题的问题这样的问题去除算法的轮廓一个。$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$A$

一种。爱丽丝支付了大笔费用（该费用将支付矿工为验证算法而产生的费用），然后将算法（我们将其称为算法K）发布到区块链，该算法将打破问题如果算法K依赖于大量的预计算数据P C，则爱丽丝发布该预计算数据P C的Merkle根。$A$$PC$$PC$

b。问题A的随机实例由区块链产生。然后，Alice的帖子被以与他们的梅克尔分支所需的算法正确地ķ沿工作预先计算的数据的部分，以证明该数据实际上从来到。如果Alice的算法快速提供了预先计算的数据P C，那么问题将被消除，Alice会因发布将问题从区块链中消除的算法而获得奖励。$PC$$PC$

在采矿者和验证者上，该问题消除程序在计算上是昂贵的。但是，SLT消除了该技术的大部分计算难度，因此，如果需要，可以在加密货币中使用它（使用这种技术的情况可能很少见）。

3. 矿池更可行：在加密货币中，赢得区块奖励通常非常困难。由于很难获得集体奖励，因此矿工们经常在称为“ 矿池”的矿场中进行开采，在矿池中，矿工将他们的资源结合起来解决问题，并根据发现的“近乎失误”的数量来分享集体奖励。 。一个可能问题是，可能很难就什么构成问题C的“接近未命中”产生定性概念，并且寻找接近未命中的算法可能不同于求解C的算法。由于矿工会寻找未命中的对象，因此他们在解决C方面可能不是很有效$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$$\mathcal{C}$（因此，很少有人会加入矿池）。然而，对于，有一个邻近命中的一个明确的概念，即，近的错过是一对（ķ ，X ），其中（ķ ，X ）∈ d但是其中ħ （ķ | | X | | 数据（ķ ，X ））≥ ç，算法查找有惊无险为Ψ （ç$\Psi(\mathcal{C})$$(k,x)$$(k,x)\in D$$H(k||x||\textrm{Data}(k,x))\geq C$$\Psi(\mathcal{C})$将与寻找解的算法相同。$\Psi(\mathcal{C})$

4. 进展游离度：一个证明的工作问题被认为是无进展，如果所花费的时间为一个实体或实体组的数量找上了blockchain下一块遵循指数分布ë - λ X其中常数λ与实体用来解决问题P的计算能力成正比。加密货币挖矿问题要求进步自由，以便矿工获得与其采矿能力成正比的区块奖励，以实现分散化。SLT当然可以帮助采矿问题实现进度自由。$P$$e^{-\lambda x}$$\lambda$$P$