Algorand [1] 项目利用了基于 PoS 的殽杂共鸣协议，其共鸣进程操作了随机抽签。它的随机抽签所依赖的种子，从本质上讲，是通过取前 t (t = 1) 个输入来生成的，对应 v3.0b 版本的第一种方法。如图 1 所示，Algorand 的共鸣进程要求节点先在当地抽签，即通过一个可验证随机函数 (Verifabale Random Function, VRF) 在节点的当地算出来一个可验证简直定的随机数。VRF 可以被看作是一种非凡的伪随机数产生器。需要增补的一点是，这里的“确定”指的是，这样的随机数是无法被用户哄骗的，因为输入是被独一确定不受用户节制的。这是由于，其输入是按照上一轮随机数生成进程的民众信息以及每个节点本身的私钥。个中私钥是可以被公钥验证的；民众信息是每小我私家都可以看到，是独一确定的，而且可被其他人验证。当地抽签获得当地随机数之后，每小我私家会立马知道本身是否被选中（功效是否落在某些区间内）。之后，被选中的人广播抽签功效、证明和候选区块到全网节点，按照区块的 quality 巨细，选出来候选区块，而确定哪个区块的 quality 更大是需要做拜占庭共鸣的。这个时候，就需要再举办一轮当地抽签，所有的节点会本身知道是否被选中去做 BA*（一个拜占庭范例的共鸣协议），即投票选本身认为的 quality 最高的候选区块，投票会举办许多轮，每一轮都要从头举办一次当地抽签，以增加安详性。可以看出，Algorand 共鸣的本质就是我们每小我私家都生成一个确定的随机数。可是我们最终只想要一个随机数，这样我们才气按照最后确定的独一的随机数去抉择哪个块会被全网接管。这个时候的方案就是按照某种确定的法则从浩瀚备选功效中取一个，要领是通过拜占庭共鸣告竣一致。

图 4：Cardano 的 DRB 模子

因此，区块链上随机数的生成是需要上下文情况的，必需要给定情景。拿 Randao 来讲，假如它的某一个随机数的生成，只和 0.01 个 ETH 相关，那么进攻者将没有足够的来由去粉碎它的公正性。假如押金不足多，那么 Randao 就有大概是不安详的。

图 7：Randao 的 DRB 模子

[2] “Cardano Settlement Layer Documentation.” Cardano. Web. 21 Apr. 2019.

图 6: Dfinity 的 DRB 模子

图 1：Algorand 的共鸣协议

防备女巫进攻的要领之一是不行预测的随机抽签。岂论是 PoW，照旧 PoS，我们都可以领略为一种随机抽签的要领。不管公有链上的共鸣协议再怎么设计，包罗比特币在内，都是在通过某种方法发生必然的随机性。矿工通过 PoW 竞争出块，使得出块的人变得不确定，从而防备了通过伪装大量节点赢利的女巫进攻。

图 2：VRF

[3] Kiayias, Aggelos, et al. “Ouroboros: A provably secure proof-of-stake blockchain protocol.” Annual International Cryptology Conference. Springer, Cham, 2017.

Cardano [2] 是基于 Ouroboros [3] 的一个项目，回收了基于 PoS 的共鸣协议。Ouroboros 这篇论文给出了一个可证明安详的 PoS 协议框架，可是并没有给出详细的实现，实现由 Cardano 完成。因此这里主要讲授 Cardano 在工程上回收的一个详细的方案。Cardano 所回收的方案也在第一篇所讲的三种方法之中。如图 4 所示，它的方案其实就是就是无分发者的奥秘分享 + 理睬。图 3 简朴描写了它的共鸣协议，在它的 Genesis Block 内里会初始化一个随机数，这样就可以操作确定的抽签算法以这个随机数作为随机信标来确定谁的区块会在之后的某个 slot 里被接管。slot 的数量是牢靠的，因此，有大概有的 slot 中会有不止一个节点被抽中，也有大概没有节点被抽中，详细办理方案不在本文接头范畴内。那么，初始化的随机数是怎么生成的呢？Cardano 协议首先回收了尺度的理睬-展现方案，不外在之后多了一个将随机数做一次无分发者的果真可验证奥秘分享 (Publicly Verifiable Secret Sharing, PVSS) 的步调。即分发碎片而且广播证明之后展现随机数。这时也许有参加者会跑路，没有展现随机数，可是没有干系，这个时候剩下的参加者可以通过广播碎片把跑路的参加者的随机数规复了。因此，这是一个有必然冗余度的随机数生成机制，可是同时带来了必然的结实性。通过这个机制，只要恶意节点不高出一半，必然可以生成一个随机数。

由此可见，DRB 协议生成的随机数种子至关重要。Dfinity 所回收的 DRB 协议实际上就是 v3.0b 的第三种要领——漫衍式密钥生成 + 门限签名。首先要有一个 DKG 协议来生成切合必然要求的总密钥对和密钥对份额，这个协议同样可以是 (t,n) 门限的。通过这个协议，每小我私家得到密钥对份额，可是没有人知道总私钥是什么。每个节点利用本身的私钥份额对再上一个轮次的随机数和轮次举办签名，签完名将签名功效广播，每个节点都可以用总公钥验证每个签名。然后通过门限签名的规复算法利用 t 个签名规复出来这一轮的总签名（相当于是利用总密钥对直接举办签名的功效）。整个进程的算法都是完全确定的，独一不确定的是每个节点不知道其他节点的私钥份额是什么。Dfinity 较量非凡的处地址于回收基于 BLS 的门限签名，比起其他的门限签名方案，长处有两个。第一个长处就是一次购置，终生免费。协议只需要在一开始的阶段运行一次 DKG，举办密钥生成。之后的阶段只需要 n 小我私家中 t 小我私家提交有效的签名就可以生成随机数，协议就可以运行下去，这个进程是异步的。第二个长处就是确定性，无论哪 t 小我私家提交，最后生成的随机数都是一样简直定的功效，没有节点可以哄骗最后的功效（不高出安详界线的环境下）。

原文标题：《区块链上的随机性（二）项目阐明》

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。