以太坊也一直在尝试各种方法以提升性能,在2.0被推出的前夜,它「试」出了密码学。以太坊 2.0 将是一个以「分布式系统+密码学」为基础来运转的公链,这个密码学不是指被用于签名和隐私的那部分,而是指作为一个高性能系统的核心组件的那部分。
从这个角度而言,或许我们可以说颠覆以太坊的不是别人,而是它自己。它从分布式系统设计的单一思路中跳了出来,走上分布式系统+密码学组合设计的道路。
这篇文章将试着介绍在以太坊 2.0 中,分布式系统设计如何与密码学设计结合,实现公链在性能上突破。
状态分片:从单账本到多账本
区块链是一个分布式账本,出块节点是记账的矿工,它们负责把交易写入账本。除了竞争记账权,出块节点最重要的工作,或者说本职工作就是检查自己打包的这些交易是否合法。完成这个工作并不难,因为出块节点手中握有账本,它去查一下交易发送方有没有这笔钱即可。
对于未分片的公链,所有节点都持有一个相同的账本;而为了防止记账冲突,每次也只允许一个出块节点记账。以太坊提出状态分片,实际上就是把一个账本分成多个账本,这样一来,一些节点在 1 号账本记账,一些节点在 2 号账本记账……(相当于 7-11 从一个收银台增加为多个收银台),多个节点同时记账,整个公链的性能就会得到质的提升。
但如果我们把出块节点与账本 / 分片的关系固定,比如确定由 a、b、c、d 四个节点负责 1 号账本,那坏人只需收买 a、b、c、d 中的一部分就能破坏账本,公链在提升性能的同时,安全性同比例下降。
因此,出块节点需要被随机、动态地分配到不同账本,以此保证分片后的公链与未分片的公链具有相同的安全性。但动态分配会带来新的问题:节点手中该拿哪一个账本?它可能会被分配到 64 个账本(以太坊计划启动 64 个分片)中的任何一个去记账。
以太坊给出的方案是出块节点不拿任何一个账本,或者说,让出块节点不需要账本就能记账。
这会带来两大好处,一是不管节点被分配到哪个分片,它都可以立刻开始记账(出块)工作,几乎不用花费时间来获得以及同步该分片的账本,节点也因此可以在不同分片间轻松跳转;二是出块节点不需要存储账本,也就不需要高硬件配置,任何人抵押 32ETH 就能成为一个验证者,这非常有助于以太坊 PoS 的去中心化以及整个公链的安全。
但新问题跃然纸上:如果出块节点手中没有账本,它怎么知道交易发送方的钱够不够?密码学就在这时候登场了。
向量承诺:从查询到证明
不需要账本就能记账听上去不可思议,但其思路是简单的:在以前,节点有账本,一笔交易来后它翻看账本,查询交易是否合法;在以后,节点没有账本,交易发送方在提交交易的同时需要提交一个密码学证明(为了区分,后文特指密码学证明时都用 proof 表示),自己证明自己的这笔交易是合法的。
可出块节点为什么能够通过一个 proof 来判断某笔交易是否合法?这里涉及到两个密码学的重要概念,第一个叫「成员证明」。它指的是通过某种方法,证明个体是群体的一部分。如果能够证明某个账户状态是整个账本状态的一部分,出块节点当然就能相信这个账户状态,并以此为根据进行交易合法性的判断。
第二个叫「向量承诺」,它可以将群体,不管这个群体有多庞大,压缩成仅仅一个数,然后给出成员证明,该成员证明表明的是某个个体是属于这个数背后所关联的群体的,且能证明个体在群体中的位置,以及进行证明的更新。
Merkle 树是可被用于向量承诺的方法之一,我们以它为例来看如何实现成员证明。
下图是一棵 Merkle 树,最下一层的叶子节点存储的是应用数据,其他非叶节点存储的是其子节点的哈希值。如果知道绿色节点和所有黄色节点的值,就可以从下至上进行三次哈希运算,得到该 Merkle 树根的值,也就是 6c0a。
那么,如果验证方手中有树根的值(6c0a),证明提供方把绿色节点的值和所有黄色节点的值作为一个 proof 给验证方,验证方是不是就能通过计算三次哈希的值是否等于 6c0a 来判断绿色节点的值是否在这棵 Merkle 树中?答案是可以。这就是对绿色节点属于 Merkle 树的成员证明,它是以向量承诺的方式完成的,而这也几乎就是比特币 SPV 节点(简单支付验证)的工作方式。
如下图所示,SPV 节点不存储完整的区块 / 账本,但存储了每个区块中 Merkle 树的树根(此 Merkle 树的叶子节点存储的是该区块所有交易),当它需要查询一笔交易是否存在时,会找全节点要一个该交易的 proof,该 proof 类似于上文中绿色节点和黄色节点值的一个打包(Merkle 路径),然后 SPV 节点会计算这些值的总的哈希值是否等于自己手中 Merkle 树根的值,如果相等,则说明这笔交易是该 Merkle 树的一个成员,即这笔交易是存在的。
SPV 节点只存储区块头(绿框),区块头中包含 Merkle 树根(红框)
SPV 节点通过成员证明判断交易是否存在,该证明系统包含三个部分:节点手中有一个简短的摘要(树根);证明提供方给出一个 proof;节点计算此 proof,看是否与自己手中的摘要相符合。
到此,我们就完成了「不需要账本就能查账」,它是把查询思路改为了证明思路;接下来我们要实现的是「不需要账本就能记账」。
对于以太坊 2.0 分片上的出块节点而言,它的证明系统同样是由摘要、证明、验证这三部分构成,但它要做到是使用交易发送方(而不是全节点)给出的 proof 来判断一笔新交易是否合法(而不是旧交易是否存在),并以此判断为基础记账。
无状态:从证明账本到证明行为
想象有一个很小的村庄,这个村庄每天只有 3 笔村民间的交易,村长拿着账本负责记账。A 现在要给 B 转 5 块钱,传统的思路很简单:村长看 A 的账户上是否有 5 块钱,如果有,就记下这笔新交易。
现在换一个思路:假设 A 在今天早上要给 B 转 5 块钱,村长知道 A 的账户在昨天早上有 10 块钱,那么如果 A 能够证明昨天的 3 笔交易都和他没有关系,是不是就意味着他的账户在今天早上依然有 10 块钱?这样一来,村长是不是不用查账本就能放心记下这笔新交易?答案是肯定的。
如果 A 昨天有一笔交易怎么办?很简单,A 这时不是证明自己没交易,而是证明自己昨天只有一笔交易,且那笔交易用掉了 3 块钱;村长就知道他还有 7 块钱,可以记下新交易。
这个思路的转变至关重要,你一定要去理解它,这是「无状态」这件事的奥妙所在。不难发现,即使是不拿账本的 SPV 节点,它在查询交易时实际上也是要用到账本,或者说状态的,只不过它不是自己存储状态,而是去找全节点要这个状态的证明;但在这个新思路下,状态的作用可以彻底被「行为证明」取代,那么这条链就能够以无状态的方式去设计。(注:行为证明这个词并无出处,是作者为了易于理解这样描述的)
如何实现无状态?如何借助于行为证明完成记账?依然是成员证明的方法。能够利用 Merkle 树来完成这种成员证明吗?理论上可以,但对于「无状态」这个应用场景来说,用它的开销过大。在本文中,我们将介绍通过「可聚合子向量承诺」来进行成员证明,以实现无账本记账。
可聚合子向量承诺(aSVC)是一个最新的研究成果,来自于论文《无状态密码货币的可聚合子向量承诺》,作者是 Alin Tomescu、Ittai Abraham、Vitalik Buterin (以太坊)、Justin Drake (以太坊)、Dankrad Feist (以太坊)、 Dmitry Khovratovich (以太坊)。其工作过程是这样的:
1. 初始化分片,即在账本建立时确定账户的初始情况。假设某个分片建立时有 100 个账户,这些账户都有初始的余额,我们需要用 v(i) 代表第 i 个账户,它是(地址 i,余额 i)这样的一对值;用 V 代表全部账户,它是(地址 1.余额 1)(地址 2.余额 2)……(地址 100.余额 100)这样的一组值。
同时需要生成两个值,第一个叫 c,它是对 V 的承诺,代表的是此时该分片所有账户和账户里的余额。出块节点手中都握有 c,(可以对比 Merkle 树根来便于理解),它是将来用于验证的摘要。
第二个叫π(i),它是对 v(i) 是 V 的成员的证明,代表第 i 个账户及该账户的余额是在总账本 V 中。每个账户都握有且只握有自己的π(i),它是将来发送交易时提交给出块节点的 proof。
在初始化阶段,承诺和证明的生成是需要初始「状态」的。
2. 第一笔交易。账户 i 发起整个分片的第一笔交易,此时它需要把π(i) 和交易一起提交给出块节点,出块节点对π(i) 进行计算,看结果是否与自己手中的 c 相符合,如果一致就可以相信发送方账户确实有多少余额,并以此判断它提交的交易是否合法。
3. 接下来是关键之处:对 c 和π(i) 进行更新。
c (对整个账本的承诺)不再是根据状态生成,它是用第一笔交易发生之前的 c,以及第一笔交易引起的余额变动生成的;π(i)(账户对自己的证明)也不是根据状态生成,它是用第一笔交易发生之前的π(i),以及第一笔交易对该账户的改变生成的。
在完成 c 和π(i) 的更新之后,出块节点手中便有了可以承诺所有用户新余额的新承诺(新 c),账户手中也有了可以证明自己新余额的新 proof (新π(i))。
以此类推,每笔交易都会改变一次 c,改变一次全部π(i),但这种改变不再依赖于状态数据,它取决于旧的 c 和π(i),以及上一笔交易;当需要验证一笔新交易时,出块节点手中总有最新的 c,它通过 c 和账户提供的π(i) 就能判断某笔交易是否合法,是否可被打包进区块。
那么到这一步,就终于实现了「不需要账本就能记账」,不管对于出块节点,还是对于账户,它们手中握着的都是某种密码学的证明,而不是账本的状态。另需一提的是,无状态与分片似乎是绝配,但无状态并不是针对分片的一种设计,它是针对公链的一种设计。
aSVC 的设计目标是要成为一个高效的成员证明,降低上述过程中的通信开销和计算开销,使得这种方案可用于无状态区块链的实现。从论文来看,使用 aSVC 方案,c 和π(i) 的大小仅为几十个字节,π(i) 的更新时间为 O(1),验证时间也为 O(1),该方案还支持把多个 proof 聚合为一个 O(1) 大小的 proof,这种低开销的实现正是 aSVC 的意义所在。不过就像 Vitalik 在以太坊研究者论坛中展开的相关讨论,aSVC 还需要做进一步的优化。
文章的最后是对全文的简要总结:分布式系统的状态分片设计与密码学的成员证明设计相结合,实现以太坊 2.0 在性能上突破。
为了安全,以太坊 2.0 的状态分片需要随机分配出块节点。
如果出块节点需要账本,账本同步会成为新的性能瓶颈,账本存储也会影响 PoS 的去中心化。
是否有不需要账本就能验证余额的方式?
第一个思路转变:把查找账本的方式改为证明账本的方式。这需要借助于密码学来完成。
第二个思路转变:把证明账本状态的方式改为证明交易行为的方式,实现无状态和无需账本的记账。这需要借助于密码学来完成。
密码学的工具有很多,当有了目标后,需要根据应用需求选择和组合适当的工具形成方案,并对方案进行优化。
附:可聚合子向量承诺
在文章中我们用自然语言描述了 aSVC 的工作,如果你感兴趣,可以通过 aSVC 的 API 定义来更清晰地了解它。如下图所示:第一个红框是初始化时生成承诺 c,第二个红框是根据交易更新 c;第一个绿框是初始化时生成证明π(i),第二个绿框是根据交易更新π(i);蓝框是出块节点用 c 和π(i) 做验证。
在上述过程中,最核心的工作是根据交易引发的变动把旧的 c 变成新的 c,把旧的π(i) 变成新的π(i)。不但要能够完成更新,且这种更新的开销是可以被接受的,这是 aSVC 要解决的关键问题。我们以 c 的更新为例来介绍 aSVC 是如何做的。
如前文所述,c 承诺的是 V,从 c 到新 c,实际上就是从承诺 V 到承诺一个新的 V。对 V 来说,它是由一系列的点构成的,(地址 1.余额 1)是一个点,(地址 2.余额 2)是另一个点……(地址 100.余额 100)是第 100 个点。
借助于拉格朗日插值法,可以把这一系列的点变成一个多项式(该多项式代表的曲线经过所有这些点),这意味着可以把对一系列点的承诺变成对一个多项式的承诺;从 c 到新 c,也就等价于从承诺一个多项式到承诺另一个多项式。
而多项式有着各种神奇的属性,对多项式及多项式变换的承诺可以是小的、快速的。那么通过这种从点到多项式的转化,就可以把 c 的更新开销变为可接受的。
但这只是对 aSVC 方案思路的一个简单、片面的介绍,在该方案中还使用了诸多其他工具和方法,而且它依然在追求更好的设计。如果你想更多的了解它,可以去阅读原论文,其中的 3.1 节和 4.1 节是最有助于理解整篇论文的部分。
有关以太坊引入密码学实现2.0性能突破相关内容分享到这,希望以上蓑衣网小编分享的相关内容能对大家有所帮助。