回首2008年,由次貸危機引發的金融危機蔓延全球,11月份,一篇名為《Bitcoin:A peer-to-peer electronic cash system》的論文橫空出世,當時只是在一小戳圈子裡被討論,大概沒幾個人知道論文的意義。時間的年輪很快轉入新的一年,比特幣第一版本程式碼釋出,1月4日,創世塊被挖出來,5天之後,第二個塊產生,比特幣網路正式啟動,一個自稱“中本聰”的人悄悄在網際網路應用這片汪洋大海吹起一片漣漪,時至今日,這片漣漪已形成滔滔大浪。
當年能讀懂大神論文的人,大多驚訝於這套系統的簡潔和完美,甚至有人斷言此物一出,開天闢地。如今近乎8年過去,當年看起來近乎完美的系統理念,在各個方面都有長足探索和發展。接下來我將寫一系列文章,回顧區塊鏈核心技術演進之路。包括演算法演進,挖礦演進,共識機制演進,代幣演進,隱私的演進,以及容量和速率的演進等。題目比較大,拋磚引玉,望讀者指正和補充。
演算法演進
關於“演算法”一詞,目前國內使用者使用的比較模糊,有時指共識機制,比如POW演算法,POS演算法;有時指具體的Hash演算法,比如SHA256,SCRYPT。應該說這是由於早期從外文資料翻譯過來概念模糊導致的錯誤,後來人雲亦云。共識機制(以前一般叫Proof,現在經常使用Consensus)和演算法(Algorithm)在英文資料里語義清晰,不能混為一談,兩者都是區塊鏈技術體系裡的重要支柱。
因此當我們說“X幣使用Y演算法”的時候,其實具體指的是採用何種Hash演算法,而且隱含的前提條件是這個幣使用POW證明方式。只有在POW下討論選取何種演算法才有意義,演算法的各種複雜設計才能體現其用處。為什麼呢,中本聰在設計比特幣的時候其實有很多地方用到Hash函式,比如計算區塊ID,計算交易ID,構造代幣地址等。我們說的演算法具體是指用何種Hash函式計算區塊ID,所謂演算法創新也就是在這個地方下功夫。此外其他任何用到Hash函式的地方,對計算難度沒有要求,而且應該選用可以快速運算的演算法,尤其在計算交易ID時候,不然影響區塊鏈同步速度。因此如果選用POS方式,計算區塊ID也應該使用容易運算的演算法。
Hash函式
如上所言,我們經常說的POW演算法本質是一個Hash函式。Hash函式是一個無比神奇的東西,說他替中本聰打下了半壁江山一點不為過,學習比特幣應該從學習Hash函式入手,理解了Hash函式再去學比特幣原理將事半功倍,不然將處處感覺混沌,難以開竅。而中本聰也將Hash函式的所有特性使用得淋漓盡致:
已經有很多Hash函式被設計出來並廣泛應用,不過Hash函式一般安全壽命都不長,被認為安全的演算法往往沒能使用多久就被成功攻擊,新的更安全的演算法相繼被設計出來,而每一個被公認為安全可靠的演算法都有及其嚴格的審計過程。在幣圈中我們經常說某某幣發明了某種演算法,其實主要都是使用那些被認證過的安全演算法,或是單獨使用,或是排列組合使用。
SHA256
SHA (Secure Hash Algorithm,譯作安全雜湊演算法) 是美國國家安全域性 (NSA) 設計,美國國家標準與技術研究院 (NIST) 釋出的一系列密碼雜湊函式,經歷了SHA-0,SHA-1,SHA-2,SHA-3系列發展。NSA於2007年正式宣佈在全球範圍內徵集新新一代(SHA-3)演算法設計,2012年公佈評選結果, Keccak演算法最終獲勝成為唯一官方標準SHA-3演算法,但還有四種演算法同時進入了第三輪評選,分別是:BLAKE, GrøSTL, JH和SKEIN,這些演算法其實也非常安全,而且經受審查,被各種競爭幣頻繁使用。 比特幣採用SHA256演算法,該演算法屬於SHA-2系列,在中本聰發明比特幣時(2008)被公認為最安全最先進的演算法之一。除了生成地址中有一個環節使用了REPID-160演算法,比特幣系統中但凡有需要做Hash運算的地方都是用SHA256。隨著比特幣被更多人瞭解,大家開始好奇中本聰為何選擇了SHA256,同時對SHA256的安全性發表各種意見,SHA256妥妥經受了質疑,到目前為止,沒有公開的證據表明SHA256有漏洞,SHA256依然牢牢抗住保衛比特幣安全的大旗。當然大家心裡都明白,沒有永遠安全的演算法,SHA256被替代是早晚的事,中本聰自己也說明了演算法升級的必要和過程。
SCRYPT
後來隨著顯示卡挖礦以及礦池的出現,社羣開始擔心礦池會導致算力集中,違背中本聰“一CPU一票”的最初設計理念。在那段時間,中心化的焦慮非常嚴重,討論很激烈,比特幣一次又一次“被死亡”,直到現在,針對礦池是否違背去中心化原則的爭論仍在繼續。
無論如何,有人將矛頭指向SHA256,認為是演算法太容易導致礦機和礦池出現,並試圖尋找更難的演算法。
恰逢其時,使用SCRYPT演算法的萊特幣(Litecoin)橫空出世。據說SCRYPT是由一位著名的駭客開發,由於沒有得到諸如SHA系列的嚴格的安全審查和全面論證,一直沒被廣泛推廣使用。與SHA256演算法相比,SCRYPT佔用的記憶體更多,計算時間更長,平行計算異常困難,對硬體要求很高。很顯然,SCRYPT演算法具有更強的抵禦礦機性,萊特幣還將區塊時間改為2.5分鐘,在那個山寨幣還鳳毛麟角年代,萊特幣依靠這兩點創新大獲成功,長期穩坐山寨幣第一寶座位置。
後來有人在SCRYPT的基礎上稍作修改形成Scrypt –N演算法,改進思路都一樣,都是追求更大的記憶體消耗和計算時間,以有效阻止ASIC專用礦機。
很快,萊特幣的成功催生了各種各樣的演算法創新,2012至2014年間,演算法創新一直都是社羣討論的熱門話題,每一個使用創新演算法的幣種出現,都能颳起一陣波瀾。
串聯演算法
重新排列組合是人類一貫以來最常用的創新發明方法。很快,有人不滿足於使用單一Hash函式,2013年7月,夸克幣(Quark)釋出,首創使用多輪Hash演算法,看似高大上,其實很簡單,就是對輸入資料運算了9次hash函式,前一輪運算結果作為後一輪運算的輸入。這9輪Hash共使用6種加密演算法,分別為BLAKE, BMW, GROESTL, JH, KECCAK和SKEIN,這些都是公認的安全Hash演算法,並且早已存在現成的實現程式碼。
這種多輪Hash一出現就給人造成直觀上很安全很強大的感覺,追捧者無數。現今價格依然堅挺的達世幣(DASH,前身是暗黑幣,Darkcoin,)接過下一棒,率先使用11種加密演算法(BLAKE, BMW, GROESTL, JH, KECCAK, SKEIN, LUFFA, CUBEHASH, SHAVITE, SIMD, ECHO),美其名曰X11,緊接著X13,X15這一系列就有人開發出來了。
S系列演算法實際是一種串聯思路,只要其中一種演算法被破解,整個演算法就被破解了,好比一根鏈條,環環相扣,只要其中一環斷裂,整個鏈條就一分為二。
並聯演算法
有人串聯,就有人並聯,Heavycoin(HVC)率先做了嘗試。HVC如今在國內名不見經傳,當時還是名噪一時,首次實現鏈上游戲,作者是俄羅斯人,後來不幸英年早逝,在幣圈引起一陣惋惜。
HVC演算法細節:
- 對輸入資料首先執行一次HEFTY1(一種Hash演算法)運算,得到結果d1
- 以d1為輸入,依次進行SHA256、KECCAK512、GROESTL512、BLAKE512運算,分別獲得輸出d2,d3,d4和d5
- 分別提取d2-d5前64位,混淆後形成最終的256位Hash結果,作為區塊ID。
之所以首先進行一輪HEFTY1 雜湊,是因為HEFTY1 運算起來極其困難,其抵禦礦機效能遠超於SCRYPT。但與SCRYPT一樣,安全性沒有得到某個官方機構論證,於是加入後面的四種安全性已經得到公認的演算法增強安全。
對比串聯和並聯的方法,Quark、X11,X13等雖使用了多種HASH函式,但這些演算法都是簡單的將多種HASH函式串聯在一起,仔細思考,其實沒有提高整體的抗碰撞性,其安全性更是因木桶效應而由其中安全最弱的演算法支撐,其中任何一種Hash函式遭遇碰撞性攻擊,都會危及貨幣系統的安全性。
HVC從以上每種演算法提取64位,經過融合成為最後的結果,實際上是將四種演算法並聯在一起,其中一種演算法被破解只會危及其中64位,四中演算法同時被破解才會危及貨幣系統的安全性。
比特幣只使用了一種Hash演算法,假如未來某日SHA256被證明不再安全時,雖然可以更該演算法,但考慮到如今“硬分叉猛於虎”的局面,屆時引發動盪不可避免,但如果使用並聯演算法,就可以爭取平靜的硬分叉過渡時間。
PRIMECOIN
正當一部分人在演算法探索之路上進行的如火如荼之時,另一部分人的聲音也非常刺耳,那就是指責POW浪費能源(彼時POS機制已經實現)。POW黨雖極力維護,但也承認耗費能源這一事實。這一指責開啟了另一條探索之路,即如果能找到一種演算法,既能維護區塊鏈安全,這些Hash運算又能在其他方面產生價值,那簡直更完美。
在這條探索之路上最讓人振奮人心的成果來自於Sunny King(這大神之前已經開發了Peercoin,點點幣)發明的素數幣(Primecoin)。素數幣演算法的核心理念是:在做Hash運算的同時尋找大素數。素數如今已被廣泛應用於各個領域,但人類對他的認識還是有限。素數在數軸上不但稀有(相對於偶數而言),而且分佈不規律,在數軸上尋找素數只能盲目搜尋探測,這正是POW的特徵。 POW還有另一個要求是容易驗證,這方面人類經過幾百年探索已經獲得一些成果。素數幣使用兩種方法測試,首先進行費馬測試(Fermat Test),透過則再進行尤拉-拉格朗日-立夫習茲測試(Euler-Lagrange-Lifchitz Test),還透過測試則被視為是素數。需要指出的是,這種方法並不能保證透過測試的數百分百是素數,不過這並不影響系統執行,即便測試結果錯誤,只要每個節點都認為是素數就行。
素數幣其實找的是素數鏈-坎氏鏈,存在三個特定型別的坎氏素數鏈:第一類坎氏鏈,第二類坎氏鏈和雙坎氏鏈。 舉第一類來說明,規則是:素數鏈中每個數都是前一個數的兩倍減一,比如:
1531,3061,6121,12241,24481
數列的下一個數48961(24481*2-1)不是素數,因而這個坎氏鏈的長度是5,素數幣的目標就是探索更長的坎氏鏈(以上三類都可以)。
那麼現在最重要的問題來了,如何用坎氏鏈來驗證一個區塊是否合格呢?素數幣實現的細節是這樣的:
- 計算中本聰區塊頭Hash,hashBlockHeader = SHA256(BlockHeader)
- 透過變換獲得坎氏鏈的第一個數:originNum = hashBlockHeader * Multiplier
獲取originNum之後就可以測試並計算素數鏈長度的整數部分,小數部分的計算與坎氏鏈最後一個非素數的跨度相關。
每個區塊的乘積因子Multiplier各不相同,計算過程和hashBlockHeader相關,素數幣為此對區塊頭進行修改,專門增加一個欄位(bnPrimeChainMultiplier)來存放這個乘積因子。但是以上第一步計算hashBlockHeader時輸入資料並不包含這個乘積因子,這也是為啥特別指出中本聰區塊頭。
由於素數在數軸上分佈不均勻,且根據目前掌握的知識來看,數越大,素數越稀有,尋找難度並不是線性遞增,耗時也就不可預估,但是區塊鏈要求穩定出塊。正因為這點,素數幣演算法沒有得到熱捧,但這種探索並非沒有意義,利用POW工作量的“幻想”並沒有停止,探索還在繼續。
ETHASH
以太坊(Ethereum)一開始就打算使用POS方式,但由於POS設計存在一些問題,開發團隊決定在以太坊1.0階段使用POW方式,預計在Serenity階段轉入POS。 以太坊POW演算法叫Ethash,雖只是一個過渡演算法,但開發團隊一點也不含糊,一如既往發揚其“簡單問題複雜化,繁瑣細節秀智商”的設計風格。Ethash 是最新版本的 Dagger-Hashimoto改良演算法,是Hashimoto演算法結合Dagger演算法產成的一個新變種。Ethash設計時就明確兩大目標:
- 抵禦礦機效能(ASIC-resistance),團隊希望CPU也能參與挖礦獲得收益。
- 輕客戶端可快速驗證(Light client verifiability)。
基於以上兩個目標,開發團隊最後倒騰出來的Ethash挖礦時基本與CPU效能無關,卻和記憶體大小和記憶體頻寬成正相關。不過在實現上還是借鑑了SHA3的設計思路,但是使用的”SHA3_256” ,”SHA3_512”與標準實現很不同。
Ethash基本流程是這樣的:對於每一個塊,首先計算一個種子(seed),該種子只和當前塊的資訊有關;然後根據種子生成一個32M的隨機資料集(Cache);緊接著根據Cache生成一個1GB大小的資料集合(DAG),DAG可以理解為一個完整的搜尋空間,挖礦的過程就是從DAG中隨機選擇元素(類似於比特幣挖礦中查詢合適Nonce)再進行雜湊運算。可以從Cache快速計算DAG指定位置的元素,進而雜湊驗證。此外還要求對Cache和DAG進行週期性更新,每1000個塊更新一次,並且規定DAG的大小隨著時間推移線性增長,從1G開始,每年大約增長7G左右。
EQUIHASH
最近在國內發展勢頭最猛的莫過於Zcash,該幣種最大的特點是使用零知識證明實現隱私交易。距離釋出還有幾天,但從社羣討論來看,各方礦工都已在磨刀霍霍。Zcash對於演算法的選擇非常慎重,在先後考量了SHA256D,SCRYPT,CUCKOO HASH以及LYRA2等演算法後,最終選擇Equihash。
Equihash演算法由Alex Biryukov 和 Dmitry Khovratovich聯合發明,其理論依據是一個著名的計演算法科學及密碼學問題——廣義生日悖論問題。Equihash是一個記憶體(ARM)依賴型演算法,機器算力大小主要取決於擁有多少記憶體,根據兩位發明者的論文描述,該演算法執行至少需要700M記憶體,1.8 GHz CPU計算30秒,經Zcash專案最佳化後,目前每個挖礦執行緒需要1G記憶體,因此Zcash官方認為該演算法在短時間內很難出現礦機(ASIC)。此外,Zcash官方還相信該演算法比較公平,他們認為很難有人或者機構能夠對演算法偷偷進行最佳化,因為廣義生日悖論是一個已經被廣泛研究的問題。此外,Equihash演算法非常容易驗證,這對於未來在受限裝置上實現Zcash輕客戶端非常重要。
Zcash官方團隊選擇Equihash完全出於抵禦礦機效能的需求,他們在官方部落格中也承認並不敢確保Equihash一定是安全的,並表示如果發現Equihash存在問題,或者發現更優演算法,Zcash會改變POW演算法。
總結
隨著比特幣、萊特幣礦機相繼出現,大家已經認識到沒有不能開發礦機的演算法,想透過改進演算法來徹底阻止礦機和礦池的出現是不可能的。另外,從近幾年的發展來看,礦池也沒有之前想的那麼可怕,甚至已經有人論證了礦池並沒有破壞去中心化。但除了安全性,POW往往伴隨分發代幣功能,從這個角度來說,CPU演算法更具公平性,使用者門檻更低,這也是演算法創新的驅動,從Ethash以及Equihash設計來看,目前的演算法創新仍然是以追求記憶體高消耗為主。以此同時,社羣在共識機制的探索之路上也取得很多成果。縱觀當前區塊鏈核心技術發展全域性,演算法創新熱潮已經有所消退,但也未停止,於比特幣,於區塊鏈,於演算法探索而言,都還在路上。
