Следует также отметить, что электронная цифровая подпись совершенно не обязательно базируется на алгоритмах асимметричного шифрования. Существуют методики ее использования и для симметричных систем. В этом случае необходим еще один субъект – третье лицо в виде арбитра, которому доверяют обе стороны и который хранит общий секретный ключ. Очевидно, что данная схема используется достаточно редко в силу отсутствия эффективных алгоритмов и необходимости безусловного доверия третьим сторонам. Поэтому в подавляющем большинстве случаев используют алгоритмы асимметричной криптографии, а в блокчейн-проектах их применяют повсеместно.

Помимо стандартной цифровой подписи, в различных реализациях блокчейн-проектов применяются некоторые экзотические ее формы. Например, «слепая подпись», которую еще называют «доказательством с нулевым разглашением». Алгоритм слепой подписи прост: один участник системы шифрует свое сообщение и посылает его другому участнику, который является доверенным узлом (доверенным для некоторого множества других узлов) в системе. Этот доверенный участник ставит свою подпись на зашифрованном сообщении, при этом фактически не имея понятия о его содержимом. После чего подписанное сообщение возвращается его исходному отправителю, который обратно дешифрует его, оставляя только подпись доверенного узла. Это можно было бы сравнить с ситуацией, когда доверенный участник получает заклеенный конверт, внутри которого, помимо листа с сообщением, находится также и копировальный лист. Получатель, не вскрывая конверт, ставит на него свою подпись, которая через копировальный лист автоматически отпечатывается на листе с сообщением. По возвращении конверта отправителю тот изымает из него подписанное сообщение, достигнув таким образом желаемого – получить подпись доверенного узла, не разглашая ему само сообщение. Подобную операцию можно провести и чисто математически, используя протоколы асимметричной криптографии, например, при помощи алгоритма факторизации RSA.

Для чего используются такие замысловатые приемы? На самом деле вариантов предостаточно. В качестве примера приведем систему тайного голосования на выборах. Чтобы получить бюллетень, избиратель должен быть идентифицирован сотрудником избирательной комиссии, который не должен видеть, каким образом проголосует избиратель. Использование технологии слепой подписи гарантирует, что бюллетени получат только идентифицированные избиратели, имеющие право голоса. В результате можно говорить о доверии к результатам выборов, поскольку в обществе присутствует доверие к сотрудникам избирательных комиссий. По аналогичному принципу работает и система электронного голосования, где проверяющий узел подписывает сообщение от идентифицированного им избирателя (содержащее зашифрованную информацию о его выборе), после чего возвращает ему подписанное сообщение. Подпись в данном случае означает, что факт права участия избирателя в голосовании был проверен доверенным узлом сети. Избиратель, получив подписанное сообщение, отправляет его на адрес специального счетчика, который учитывает его как легитимный голос за одного из кандидатов. Подобные алгоритмы уже используются в ряде стран на выборах в различные органы власти – от муниципальных структур до национальных парламентов. Самой известной страной, использующей интернет-голосование на базе национальных идентификационных карт, является Эстония, которая впервые применила эту процедуру на парламентских выборах 2007 года.

Еще одним интересным способом формирования ЭЦП является так называемая «кольцевая подпись». Еще в XVII столетии британские военные, подавая различные петиции с жалобами своему начальству, подписывали ее вокруг текста самого заявления. Столь необычная форма подписи использовалась для того, чтобы невозможно было выявить первого подписанта, которого командование всегда квалифицировало как главного зачинщика. Впоследствии этот способ переняли и американские военные, в частности, в конце XIX века во время войны с Испанией на Кубе. Когда появились электронные системы, позволяющие подписывать различные блоки данных, одновременно возникла необходимость в некоторых случаях маскировать конкретного подписанта в списке прочих потенциальных кандидатов. Для этого был разработан специальный математический алгоритм, формирующий определенный набор публичных ключей, связанных с различными участниками системы.

Большая часть самих задействованных участников сети обычно даже не подозревает, что их открытый ключ мог быть использован для формирования кольцевой подписи. В полученном таким образом наборе открытых ключей только один из них имеет в паре соответствующий ему секретный ключ, поскольку им оперирует, собственно, сам подписант, пожелавший остаться для всех остальных неизвестным. Сама кольцевая подпись формируется путем подачи на вход алгоритма набора открытых ключей (одного своего и многих чужих), собственного секретного ключа и самого подписываемого сообщения. После чего подписант получает на выходе строку данных кольцевой подписи. Эту подпись любой другой участник системы может проверить специальным алгоритмом, который использует все те же данные, за исключением, разумеется, секретного ключа, поскольку он может быть известен только лишь самому подписанту. Алгоритмы формирования кольцевой подписи обычно применяются в блокчейн-системах для дополнительной анонимизации в случае, если изначальной технологически заложенной секретности ее пользователям недостаточно. Подобные криптовалютные проекты мы еще будем рассматривать в разделе, посвященном проблематике анонимности в блокчейн.

Наконец, существует система консолидации электронных подписей от различных участников, которая называется «мультиподпись». Бывают ситуации, когда возникает необходимость управлять цифровыми активами на базе принятия решения несколькими участниками системы одновременно. Например, имеется некий электронный счет, на котором лежит существенная денежная сумма, принадлежащая группе участников или даже юридическому лицу. Правилами системы задается общее количество управляющих счетом, а также процентное значение веса подписи каждого из них. Как вариант предполагается, что любой перевод с данного счета должен быть подтвержден не менее чем 60 % весового участия всех управляющих. В случае трех управляющих с равным весом подписи (у каждого по 33,3 %) необходимо не менее двух участников, которые бы поставили свою электронную подпись под транзакцией, пересылающей денежные средства (33,3 % × 2 = 66,6 % > 60 % – пороговое условие считается выполненным). Подобная практика в блокчейн-системах обусловлена технологической невозможностью отозвать совершенные транзакции. Поэтому каждое решение по переводу значительных сумм, находящихся в коллективном владении, должно исключать возможность злоупотреблений со стороны какого-то конкретного лица, допущенного к управлению счетом. Мультиподпись может быть реализована в блокчейн-проектах различными математическими методами на базе алгоритмов асимметричной криптографии.

Идентифицирующий и охранительный функционал электронной подписи открывает широчайшие возможности для ее использования в повседневной практике, в первую очередь юридической и деловой. В настоящее время цифровая электронная подпись нашла применение как средство удаленной идентификации контрагентов при заключении различных соглашений – от учреждения новых предприятий до приобретения крупных активов, в том числе объектов недвижимости. В ряде государств цифровая электронная подпись юридически приравнена к обычной. Достаточно часто технология ЭЦП, а точнее, алгоритм мультиподписи используется в так называемых «эскроу-сервисах». Подобные услуги необходимы для заключения важных сделок, к которым привлекается третья арбитражная сторона, гарантирующая своей подписью надлежащее исполнение обязательств контрагентами по сделке. Значительное распространение различные алгоритмы формирования ЭЦП получили именно в блокчейн-средах. Являясь краеугольным камнем всего технологического процесса, цифровые подписи гарантируют пользователям распределенной сети права собственности на криптоактивы, осуществляя защиту целостности помещаемой в систему информации. Безусловно, вопросы безопасности и неуязвимости к взломам этого метода защиты информации всегда выходят на первый план.

В предыдущей главе отмечалось, что первый предложенный алгоритм шифрования с открытым ключом (алгоритм Диффи – Хеллмана) не имел возможности формирования цифровой подписи. Однако последующие за ним алгоритмы факторизации или дискретного логарифмирования, включая эллиптическую криптографию, как нельзя лучше подходят для этой цели. Тем не менее не следует пребывать в уверенности, что даже столь криптостойкие алгоритмы, как ECDSA, ожидает безоблачное будущее, поскольку ученые готовят для всего криптографического мира сюрприз в виде так называемых квантовых компьютеров. Именно этот тип нетривиальных вычислительных устройств может создать серьезную угрозу всем популярным алгоритмам шифрования. Что же представляет собой такое явление, как квантовый компьютер, и почему криптографическим алгоритмам следует его опасаться?

Квантовые вычисления

Возможности взлома криптографических алгоритмов, а именно – попытки восстановить секретный ключ из открытого, всегда были ограничены вычислительной мощностью компьютеров. Производительность процессоров с годами постоянно росла, но вместе с ней также росла и криптостойкость алгоритмов. Иными словами, задача взлома с каждым днем пропорционально усложнялась, и казалось, что этой гонке не будет конца. Однако за последние годы перед технологами, производящими электронные компоненты на интегральных схемах, в первую очередь микропроцессоры, начали явственно очерчиваться физические пределы дальнейшего уменьшения размера транзистора как базового элемента электронной схемы. По состоянию на 2018 год позднейшие разработки в области полупроводниковых технологий позволяют массово создавать микропроцессоры на базе 10-нанометрового технологического процесса. По крайней мере, компания Samsung уже использует эту технологию в своих смартфонах, в то время как компания Intel все еще продолжает делать процессоры для персональных компьютеров по технологии 14 нм. В любом случае технология изготовления транзистора постепенно приближается к атомным размерностям, при том, что одного атома явно недостаточно, чтобы из него сделать транзистор.

Последние новости из мира науки сообщают, что ученым удалось создать транзистор всего из семи атомов, и уменьшать это число далее уже едва ли возможно. Дело в том, что размер одного атома кремния оценивают в 0,2 нанометра, но одновременно с этим считается, что из-за физических ограничений минимально возможный размер затвора кремниевого транзистора составляет 5 нанометров. О чем это говорит? О том, что небезызвестный закон Мура, согласно которому производительность процессоров удваивается каждые 18 месяцев, практически достиг своего физического предела. Что, в свою очередь, отразится на максимально возможной вычислительной мощности компьютеров, которая также перестанет пропорционально увеличиваться, как это происходило ранее. В результате прогресс во взломе криптостойких алгоритмов шифрования постепенно сойдет на нет, и все текущие проекты, построенные на базе этих алгоритмов, смогут наконец почувствовать себя в безопасности. Однако так ли это на самом деле?

Если классическая технология создания компьютеров упирается в свой предел развития, значит, следует искать решения по дальнейшему увеличению производительности в принципиально новых научно-технологических направлениях. Наиболее перспективной областью в части поиска возможностей для существенного роста производительности вычислений в настоящий момент считаются так называемые квантовые компьютеры.

Квантовые компьютеры – это вычислительные устройства, существенно отличающиеся от привычной для нас архитектуры двоичной логики. В классическом представлении мельчайшая ячейка памяти, называемая битом, может принимать устойчивые значения либо нуля, либо единицы. В квантовом же компьютере биты имеют квантовую природу и называются «кубитами». В роли таких кубитов могут выступать, например, направления спинов субатомных частиц, а также различные состояния внешних электронов или фотонов. Чтобы не углубляться в основы квантовой механики, мы не станем подробно рассматривать физическое устройство квантового компьютера, а отметим лишь некоторые свойства, отличающие его от компьютера классического.

В 1931 году австрийский физик Эрвин Шредингер предложил мысленный эксперимент, в котором он помещал условного кота в стальную камеру, где находилось устройство с радиоактивным атомным ядром, а также колба с ядовитым газом. По условиям эксперимента атомное ядро в течение часа может ожидать распад с вероятностью 50 %. Если это происходит, то срабатывает механизм, разбивающий колбу, после чего кот погибает. Но если распад ядра все же не случился, тогда кот остается цел и невредим. Смысл этого эксперимента в том, что внешний наблюдатель никогда точно не знает, распалось ли ядро и жив ли кот, до тех пор, пока не откроет сам ящик, а до этого момента считается, что кот и жив, и мертв одновременно.

Понятно, что ни одна сущность в нашем мире не может находиться в двух разных состояниях в один и тот же момент времени. Поэтому правильнее было бы сказать, что кот находится в так называемом состоянии «суперпозиции», в котором все возможные варианты состояния принимаются с различной степенью вероятности. При этом сумма вероятностей всех возможных состояний обязательно должна быть равна 100 %. То же самое можно отнести и к принципу работы кубита квантового компьютера – он таким же образом может находиться в состоянии суперпозиции, принимая одновременно значения логического нуля и единицы. До момента непосредственного измерения состояния кубита его точное значение наблюдателю неизвестно, а после измерения и получения результата кубит сразу же фиксируется в однозначном состоянии нуля или единицы. Это на первый взгляд странное свойство кубитов оказалось очень полезным в организации параллельных расчетов сложных вычислительных задач, включая криптографические алгоритмы.

Еще одна интересная особенность кубитов состоит в том, что вместе они могут находиться в состоянии так называемой «квантовой запутанности», когда изменение состояния одного кубита автоматически влечет за собой изменение состояния другого, связанного с ним, на противоположное. Однако организовать квантовую запутанность большого числа кубитов между собой технологически очень сложно, поскольку их необходимо тщательно изолировать от любых видов помех в окружающей среде. На текущий момент ведущим производителям квантовых компьютеров, таким, например, как Google, удалось удержать в связанном состоянии целых 72 кубита, что пока является мировым рекордом среди подобных разработок. Много или мало 72 кубита для решения задач взлома хотя бы, например, алгоритма факторизации RSA? Если рассматривать n обычных бит, то из 2n возможных состояний в один момент времени можно выбрать лишь одно, в то время как n кубитов в состоянии суперпозиции будут находиться в 2n состояниях одновременно. Как результат при линейном возрастании количества кубитов количество возможных состояний будет расти экспоненциально. А это, в свою очередь, означает, что квантовый компьютер с большим количеством кубитов будет обладать исключительной вычислительной мощностью. Учитывая новейшие разработки в области квантовых вычислений, специалисты оценивают различия по мощности между квантовым и обычным компьютером не менее чем в миллиарды раз. При этом главное преимущество квантовый компьютер будет иметь именно при решении математических задач, связанных с переборами вариантов.

Тем не менее даже такая существенная вычислительная мощность может оказаться недостаточной, чтобы легко взламывать криптоалгоритмы с открытым ключом. Необходимое для этого число кубитов исчисляется гораздо большими величинами: например, для алгоритма факторизации RSA с ключом в 2048 бит потребуется ровно вдвое больше кубитов. Эти данные рассчитаны на базе вычислительных требований гибридного (содержащего как классическую, так и квантовую части) алгоритма, представленного в 1994 году американским ученым, специалистом в области квантовой информатики Питером Шором. Для взлома же эллиптической криптографии необходимое количество кубитов, как ни странно, меньше: для ключей в 256 бит потребуется 1536 кубитов, а для 512 бит – 3072. Учитывая скорость роста производительности квантовых компьютеров (а она на данный момент превышает закон Мура), до момента, когда самые популярные криптоалгоритмы сдадут свои позиции, остались, возможно, считаные годы. И о решении этой потенциальной угрозы специалистам-криптографам необходимо позаботиться уже сейчас.

Все не так страшно, как может показаться на первый взгляд. Уже разработан ряд алгоритмов асимметричной криптографии, которые остаются устойчивыми к квантовому перебору даже с использованием достаточно большого количества кубитов. Такие алгоритмы называют «постквантовыми», и о некоторых из них мы поговорим. В частности, о подписях Лэмпорта, криптографии на решетках и об изогениях эллиптических кривых.

Формирование цифровой электронной подписи на базе алгоритма Лэмпорта представляет собой использование криптографической хеш-функции и генератора случайных чисел. Создается 256 пар случайных чисел длиной по 256 бит каждое. Этот набор данных суммарным объемом 16 килобайт и будет являться секретным ключом. Каждая из 256-битных пар хешируется, и эти 512 хешей представляют собой открытый ключ. Затем на базе секретного ключа формируется электронная подпись для отправляемого сообщения. Как известно, чтобы подписать сообщение электронной подписью, его сначала надо хешировать. А затем составляется электронная подпись, в которой для каждого значения бита хеша сообщения (нуля или единицы) выбирается либо первое, либо второе число из пары секретного ключа, соответствующей порядковому номеру бита в хеше.

Криптостойкость данного алгоритма зависит от типа используемой хеш-функции. С учетом того, что процедура хеширования имеет сугубо односторонний характер, а также того факта, что хешируется значительное количество данных (256 пар), задачу обратного восстановления секретного ключа из открытого не способен решить даже квантовый компьютер. Но этот алгоритм тоже не совершенен. Во-первых, ключи имеют существенный размер (до 16 килобайт). Во-вторых, при формировании электронной подписи данным алгоритмом половина секретного ключа становится фактически публичным достоянием. Поэтому подпись на базе одного ключа целесообразно использовать лишь единожды, что также создает значительные неудобства для проектирования систем на базе этого алгоритма.

Следующий алгоритм, который также считается постквантовым, – это так называемая «криптография на решетках». Решеткой в математике называют периодическую сеть точек в n-мерной системе координат, где задано число n «базисных векторов», порождающих саму решетку. Вот простой пример решетки для прямоугольной системы координат с двумя заданными базисными векторами.

Сложная для вычисления задача в данном алгоритме – это нахождение так называемого SVP (Shortest Vector Problem) или «наиболее короткого вектора» для заданных базисных векторов при условии существенного увеличения размерности пространства n. Если рассматривать обыкновенную плоскую двумерную решетку, то найти глазами точку, наиболее близкую к заданному узлу решетки, для человека не составляет никакого труда. Однако если это будет делать компьютер, то в ход пойдут непростые математические вычисления. А если начать увеличивать количество пространственных измерений, то процесс превратится в весьма серьезную вычислительную задачу. Считается, что на данный момент сложность такой задачи превышает возможности квантового компьютера. Впрочем, из алгоритмов, базирующихся на криптографии на решетках, неуязвимым пока признается только непосредственно само шифрование. Цифровая электронная подпись уже подверглась взлому в 1999 году, а ее модифицированная версия – в 2006 году. В настоящее время математики работают над дальнейшим развитием алгоритма ЭЦП, чтобы разрешить эту проблему и предложить индустрии новый, более совершенный стандарт криптографической безопасности.

Наконец, рассмотрим, возможно, самый перспективный на текущий момент алгоритм – использование криптографии на базе изогений эллиптических кривых. Изогения – это метод, позволяющий отобразить точку, принадлежащую одной эллиптической кривой, в точку на другой кривой подобного же типа. Алгоритм преобразования точек представляет собой соотношение двух полиномов (многочленов) для каждой из координат точки по осям x и y. В случае если получить такое отображение считается математически возможным, то эти две кривые будут являться изогенными по отношению друг к другу. Для каждой из кривой можно рассчитать так называемый «j-инвариант», являющийся чем-то вроде «классификатора» эллиптической кривой и представленный в виде обычного числа. Для расчета j-инварианта используются коэффициенты из уравнения эллиптической кривой. Применяя различные значения коэффициентов, рассчитывают множество инвариантов, которые затем отображаются в виде графа. В полученном графе инварианты становятся его вершинами, а ребрами графа служат соединения тех инвариантов, эллиптические кривые которых изогенны друг другу. Собственно, нахождение путей в графе между вершинами или, другими словами, вычисление изогении между различными эллиптическими кривыми и есть та сложновычислимая задача, на базе которой строится данный криптографический алгоритм. Структуры, построенные на основе последовательно наложенных друг на друга графов эллиптических кривых, представляют собой очень красивые геометрические объекты, как, например, сложная «звезда изогений», показанная на рисунке:

Очевидно, что применение изогений существенно усложняет эллиптическую криптографию. Если в классическом варианте мы имеем дело только с одной эллиптической кривой, то в случае с изогениями – с целым их «семейством», что возводит решение задачи в дополнительную степень сложности. Даже квантовому компьютеру не под силу решить эту задачу за субэкспоненциальное время, что говорит об исключительной криптостойкости алгоритма, который с полной уверенностью можно считать «постквантовым». Скорее всего, данный алгоритм на текущий момент является наиболее пригодным для построения на его основе блокчейн-проектов, которые стремятся обеспечить максимальную безопасность данных для своих пользователей. А в свете активно развивающейся индустрии квантовых вычислений эта проблема становится действительно актуальной.

Теория игр и блокчейн

Когда мы рассматривали децентрализацию как способ управления, была обозначена проблематика сложности взаимодействия равных по правам субъектов в системах, где консолидирующий и управляющий центр отсутствует как класс. И ведь действительно, каким же наиболее эффективным образом равноправным участникам системы следует приходить к единым решениям, которые устроят если не абсолютно всех, то подавляющее большинство? Очевидно, должна существовать некая процедурно обусловленная форма общественного согласия, позволяющая принимать решения, обязательные к исполнению всем сообществом. При этом она не должна создавать неразрешимые конфликты, ведущие к разрушению системы в целом. Этот комплекс мер называется формированием правил для прихода к консенсусу, то есть единодушия во мнениях между заинтересованными лицами при принятии важных для системы решений без затратной, с точки зрения ресурсов, процедуры прямого голосования.

Совокупность стремлений участников системы извлечь собственную или общественную выгоду, преодолевая при этом явное или скрытое сопротивление других участников с противоположными интересами, можно описать словом «игра». Разумеется, для реализации своих целей каждый из участников оперирует той или иной специально разработанной стратегией, которая стремится к достижению максимального эффекта в решении поставленных задач. В математике существует специальный раздел, посвященный изучению оптимальных стратегий в играх. Он так и называется – «теория игр», и мы рассмотрим ее отдельные элементы, поскольку они являются важным звеном при построении блокчейн-систем, которые почти всегда децентрализованы, а ее участники равноправны. Речь идет в первую очередь о методах формирования консенсуса между узлами сети при создании цепочки блоков, а также наборов транзакций в них. Но об этом чуть позднее. Сначала попробуем уяснить для себя, что же является эффективной или неэффективной стратегией при достижении общего согласия.

Эффективность стратегии неразрывно связана с понятием рационального поведения участников. Чтобы убедиться, что сотрудничество между участниками «игры» не всегда гарантировано, даже если это сообразуется с их общими интересами, рассмотрим известную «Дилемму заключенного». Она была представлена в 1950 году американскими математиками Мерилом Фладом и Мелвином Дрешером. В тюрьму почти одновременно и за одно и то же деяние попадают двое преступников. Небезосновательно предполагая возможный сговор между ними, полиция изолирует их друг от друга, а затем предлагает каждому одинаковые условия сотрудничества со следствием. Форма сотрудничества предполагает свидетельство одним заключенным против другого в обмен на немедленное освобождение. Также предполагается, что, если второй заключенный на сотрудничество с полицией не идет, он получает максимальный тюремный срок. В случае если оба отказываются сотрудничать, каждый получает минимальный срок. Если же имеет место взаимное обличение, то оба получают средний по длительности срок. Понятно, что, находясь в изоляции, заключенные не знают о решении друг друга. Какова же тогда в этом случае наиболее эффективная стратегия для каждого из заключенных?

Дилеммой эта ситуация называется потому, что для каждого отдельно взятого заключенного и при рассмотрении их как группы предпочтительные стратегии диаметрально противоположны по смыслу. Для конкретного заключенного выгоднее переложить всю вину на другого, и тогда у него есть шанс немедленно выйти из тюрьмы. Но двум заключенным как группе выгоднее молчать, поскольку суммарный срок заключения для обоих будет минимальным среди всех возможных исходов. То есть если по отдельности оба субъекта ведут себя рационально, то в совокупности результатом становится нерациональное решение. Подобная ситуация в какой-то степени отражает сложность проблематики, которую изучает теория игр, когда один участник пытается максимизировать собственный интерес в ущерб общей выгоде. В блокчейн-системах подобная практика реализуется на следующем наглядном примере.

Допустим, что в децентрализованной системе, хранящей цифровые активы, имеющие эквивалент денежной стоимости (например, криптовалюты), нашелся некий узел, который при помощи различных недобросовестных практик сумел навязать всей сети искусственную транзакцию, в результате которой стал обладателем огромного количества цифровых монет. Вопрос: кто выиграет от этой акции? Кто-то, возможно, подумает, что выигрывает злоумышленник, поскольку результатом его действий явилось прямое личное обогащение. Проиграли, безусловно, бывшие владельцы активов, которые потеряли их в результате атаки на сеть и на свои персональные счета. Остальные же участники системы не пострадали, оставшись при своих активах, до которых вредоносный узел не добрался. Однако это лишь поверхностные выводы. Своей атакой на сеть злоумышленник на самом деле совершил непоправимое – подорвал общее доверие к сети в целом. К ее концепции безопасности, криптографической неуязвимости, а также к протоколу формирования консенсуса. А это означает, что все ценностные активы, принадлежащие данной сети и имеющие монетарную или даже биржевую оценку, мгновенно утратят свою стоимость. Это касается в том числе и неправедно полученных активов самого злоумышленника. Что фактически превращает его действия из лично эффективных в общественно бесполезные. Сеть разрушается и прекращает свое существование. Победителей в данной ситуации нет, есть одни только проигравшие.

Этот пример очень хорошо показывает, насколько важен протокол общего согласия в децентрализованных системах. Он играет не менее существенную роль, чем криптостойкость используемых в системе алгоритмов шифрования данных. Какие же методы достижения консенсуса могут использоваться в блокчейн-проектах? Одним из наиболее популярных является консенсус на базе «Задачи о византийских генералах». Перенесемся в период позднего Средневековья, когда Византийская империя уже переживала упадок. Представим, что Византия находится в состоянии войны и император послал на захват одного из вражеских городов некоторое количество армий, во главе каждой из которых стоит генерал. Казалось бы, генералы – люди военные, не чуждые понятию верности и чести, однако в Византии того периода дела с этими личными качествами военачальников обстояли довольно скверно. В силу этого обстоятельства каждый из генералов с некоторой долей вероятности мог оказаться подкуплен противником, иначе говоря – стать предателем. В зависимости от степени своей лояльности каждый отдельный генерал мог напрямую последовать поступающему свыше приказу, а мог и осуществить прямо противоположные действия, тем самым способствуя поражению империи в войне. Возвращаясь к математике, рассмотрим варианты возможных исходов.

● Лояльные генералы, согласно приказу, вместе ведут свои армии в атаку на город – город взят, война выиграна. Очевидно, что это наилучший исход для Византии.

● Лояльные генералы, согласно приказу, одновременно отступают – город не взят, но все армии сохранены для будущих сражений. Данный исход можно считать промежуточным.

● Лояльные генералы атакуют, как и было приказано, однако генералы-предатели вместо атаки начинают отступать – в результате все армии уничтожены противником, а сама война Византией проиграна. Это наихудший из возможных вариантов.

Иногда задачу дополнительно усложняют присутствием главнокомандующего, который имеет право отдавать приказы нижестоящим генералам. Суть усложнения состоит в том, что сам главнокомандующий тоже может быть предателем. И тогда он будет отдавать разным генералам противоположные по смыслу приказы, чтобы гарантированно добиться наихудшего исхода для Византии. В этом случае наиболее эффективным поведением для всех генералов была бы стратегия полного игнорирования приказов главнокомандующего. Оставим в стороне вопросы военной дисциплины и сосредоточимся на том, каким образом можно было бы добиться наилучшего исхода в подобной ситуации. Очевидно, что если каждый генерал будет действовать по собственному разумению (скажем, равновероятно в отношении решения атаковать или отступать), вероятность благоприятного и даже промежуточного исхода для Византии крайне мала. Единственное оптимальное решение в данной ситуации – это прямой обмен информацией генералами между собой.

Информация, которой обмениваются генералы, может носить различный характер. Это могут быть сведения о численности каждой из армий либо просто обозначение своего намерения – атаки или отступления. Важно то, что каждый из генералов (допустим, что их число равно n) передает всем остальным генералам свою информацию и получает от них назад n-1 наборов подобных же сведений. Но это еще не все. Получается, что каждый генерал обладает неким объемом информации, полученным от всех остальных генералов при прямом общении. И он может как ретранслировать полученную информацию всем генералам, так и получить себе подобные же наборы данных от других. То есть каждый генерал располагает не только той информацией, которую он получил напрямую от каждого из прочих генералов, но и имеет в распоряжении всю коммуникационную картину в формате «какой генерал какому генералу что сообщил». Однако мы должны принимать во внимание тот факт, что один или даже несколько генералов могут быть предателями и, соответственно, намеренно искажать передаваемую информацию. Тем не менее всегда есть возможность проверить, что каждый конкретный генерал сообщал другим генералам, и найти либо совпадения, либо расхождения в информации. На базе полученных данных можно выявить часть нелояльных генералов и оценить их долю в общей массе. Математически доказано, что в случае более 2/3 лояльных узлов система считается устойчивой и консенсус может быть достигнут. В противном случае система утрачивает работоспособность и как следствие доверие участников.

Принцип устойчивости к «византийской проблеме» – это классическая задача из «теории игр», которая является важным элементом безопасности при формировании консенсуса в блокчейн-проектах. Каждый узел в системе должен строго следовать ее правилам, прописанным в виде алгоритмической логики программного обеспечения узла. Однако почти все программное обеспечение в блокчейн-проектах поставляется в виде открытого кода, который каждый узел может при желании модифицировать таким образом, чтобы попытаться получить преференции, которые ему в обычной ситуации не полагались. Но даже если какие-то несанкционированные сетью изменения будут все же внесены отдельным узлом (или даже группой узлов), для успешности атаки необходимо, чтобы таких узлов было достаточно много. Иначе остальная сеть будет отвергать информацию от нарушителей, поскольку она не будет соответствовать общим правилам, которыми руководствуется большинство. В этом и состоит суть консенсуса, который применяется для управления в децентрализованных системах. Целостность системы нарушается, если количество «инакомыслящих» узлов начинает превышать критическую массу, после чего происходит разделение сети, которое называется «форк». Узлы, исповедующие разные правила консенсуса, образуют разные сети, которые с момента разделения начинают жить отдельной жизнью, становясь, по сути, различными проектами, хотя и со схожей технологией – по крайней мере, на первых порах. К понятию «форк» как важному явлению в блокчейн-индустрии мы еще вернемся.

Для того чтобы пояснить работу консенсуса в блокчейн-средах на конкретных примерах, необходимо перейти к изучению структуры блоков и транзакций, а также рассмотрению принципов формирования блоков и их цепочек. В предыдущих главах мы поговорили обо всех важных составляющих элементах технологии блокчейн по отдельности и теперь можем начать собирать эти знания воедино, как гамбургер, ингредиенты которого были заранее приготовлены и разложены на столе, чтобы в определенный момент сложиться в совокупный кулинарный конструктив. Его мы и предложим к употреблению заждавшимся гостям, приглашенным на пиршество, прелюдия к которому несколько затянулась по причинам сугубо технологического свойства.

Блоки и их структура

В описании общих принципов построения структуры блокчейна архитектура децентрализованной базы данных была сравнена с бухгалтерской книгой, страницы которой являлись блоками, куда записывались финансовые транзакции. Было отдельно указано, что эти «страницы» упорядочены в строгой последовательности, которую нельзя поменять, так как они математически крепко сцеплены между собой специальными «криптографическими замками». Теперь, когда мы ознакомились с основными технологическими элементами блокчейн-сетей, включая криптографию, мы можем раскрыть более подробно, каким образом поддерживается целостность структуры блоков и как это влияет на общую безопасность хранения информации в распределенных системах. Очевидно, что каждая блокчейн-система в отдельности имеет свои особенности структурного дизайна, и когда мы будем изучать самые популярные реализации различных проектов, мы эти особенности выявим и внимательно рассмотрим. Однако почти все системы, созданные на базе технологии блокчейн, имеют единые принципы формирования структуры и ее элементов. Поэтому целесообразно их рассматривать в рамках общего описания, так как в большинстве практических случаев они присутствуют в проектах в очень схожей технологической форме, без существенных различий.

Идея хранить информацию в виде связных списков возникла достаточно давно – гораздо раньше, чем появились сами компьютерные технологии. А именно – более 4000 лет назад у индейской цивилизации инков и их предшественников примерно в III тысячелетии до нашей эры. Речь идет о способе сохранения информации в виде так называемых «кипу» – хитросплетений нитей, нанизанных на единую веревочную основу и связанных между собой в зависимости от контекста записываемой информации. Каждая нить могла иметь свой цветовой код, а также специальные узлы, форма и количество которых являлись важными маркерами, определяющими значения и типы хранимой информации. Прослеживая начало и конец каждой из нитей, можно было определить весь путь формирования цепочки данных – от базовой веревки и до окончания ответвления. Общее число нитей в одном кипу могло достигать 2500. При помощи кипу инки как правящий класс всего союза индейских племён Центральных Анд могли учитывать все необходимые подконтрольные им ресурсы – войска, запасы продовольствия, численность населения и объем взимаемых налогов.

Появившиеся в тех местах в первой половине XVI века испанские конкистадоры далеко не сразу постигли утилитарный смысл этих странных веревочно-узловых конструкций, при помощи которых инки фактически управляли своей империей. Для того чтобы сломать установившийся порядок управления, испанцам пришлось навязать завоеванным территориям европейские принципы письменности и учета данных. Кипу были полностью вытеснены из обращения и забыты, и только в начале XIX века ученые начали их изучать на относительно системной основе. Им удалось расшифровать достаточно много информации, содержащейся в сохранившихся экземплярах. Поняв основные принципы логики построения подобной системы учета, ученые были весьма удивлены, что такая древняя цивилизация, будучи изолированной от более прогрессивного мира, сумела найти столь эффективный способ компактной записи и хранения данных, подчиняющийся логике связных информационных блоков.

Во второй половине XX века, когда информационные технологии начали медленно, но верно завоевывать мир, возникла необходимость в создании различных форм записи и хранения информации. Одной из таких форм стали связные списки – специальные структуры данных, каждая из которых содержала не только данные как таковые, но и специальные ссылки на подобные же структуры, как на предыдущие, так и на последующие. Это позволяло игнорировать естественный порядок хранения данных на различных носителях и руководствоваться при этом исключительно той информационной логистикой, принцип которой был заложен в наборе внутренних связей между блоками. В зависимости от логики решения поставленных задач формы списков данных в большинстве случаев могли быть односвязными (однонаправленными) или двусвязными (двунаправленными). Также обе формы списков могли иметь кольцевую структуру, когда последний элемент ссылается на первый или наоборот. Пример простого односвязного списка показан на рисунке:

Собственно, в своем классическом виде блокчейн представляет собой односвязный список, когда каждый следующий блок в системе ссылается на предыдущий. Вопрос в том, что значит «ссылается»: каким образом это технологически реализовано, а главное, зачем он вообще это делает? Ответ прост – для поддержания целостности базы данных. Блок состоит из двух основных частей – заголовка, содержащего служебную информацию, и списка транзакций для передачи цифровых активов между участниками системы или просто записи фактов. Все это – набор данных, который можно отобразить в виде хеша стандартной длины. Вычислив хеш данных заголовка, мы фиксируем состояние всего блока, и любое вмешательство в его целостность немедленно приведет к тотальному изменению общего хеша. А что, если каждый новый блок будет содержать хеш от данных предыдущего блока как один из элементов своего заголовка? Тогда получится, что, хешируя данные одного заголовка, мы автоматически включаем туда хеш заголовка предыдущего блока, и таким образом получается форма сцепления блоков. Нам известно, что любое малейшее изменение в прообразе меняет его хеш до неузнаваемости. Это означает, что если мы вмешаемся в любой бит данных любого из блоков в середине цепочки, это приведет к пересчету всех хешей последующих блоков. Другими словами, изменятся данные всей цепочки.

О чем в первую очередь нам говорит связная структура блоков? О том, что блокчейн – это система, куда можно только добавлять информацию, но нельзя менять или удалять. При этом добавить информацию возможно только в виде новых блоков и только в конец цепочки. Это, безусловно, порождает определенное неудобство при управлении информацией, помещаемой в блокчейн, но, с другой стороны, создает исключительную безопасность хранения данных в распределенном виде. Ведь вся база блоков копируется каждому участнику системы, и каждый из них имеет возможность записать туда что угодно. Другое дело, что эти изменения, будучи сделаны с нарушением правил системы, не будут приняты другими участниками сети. А соответствие правилам проверяется участниками системы чисто математически, поэтому подсунуть им искаженную информацию никак не удастся. Алгоритмы проверки информации, содержащейся в блоках, сразу же просигнализируют о нарушении целостности данных, и данный блок будет считаться неприемлемым для всей сети.

Есть и еще одно неудобство: поскольку данные можно только добавить, но нельзя удалить, даже если они в какой-то момент утратили свою актуальность, общая база с момента образования самого первого блока постоянно растет. Ее размер зависит от разных параметров – скорости создания новых блоков, количества транзакций, содержащихся в них, размеров самих транзакций. В зависимости от этих параметров, а также «возраста» базы данных ее размер уже через несколько лет активной работы может исчисляться сотнями гигабайт информации, которая постоянно копируется и синхронизируется между участниками системы. Решение задачи оптимизации размера базы данных в блокчейн должно стать приоритетом для разработчиков популярных систем, в противном случае это может создать дополнительные препятствия для развития перспективной технологии. Впрочем, предложения по решению этой проблемы уже существуют, и мы коснемся их в разделе, посвященном вопросам масштабирования технологии блокчейн.

Давайте рассмотрим структуру заголовка блока подробнее, чтобы понять, какого рода служебная информация в нем содержится. Понятно, что в разных практических реализациях структура блоков всегда отличается, но у них есть ряд общих элементов, которые встречаются в том или ином виде почти в каждом проекте. Как правило, первое, с чего начинается любой блок – это его порядковый номер. Самый первый блок называется «генезисным», он отличается от прочих тем, что не содержит ссылки на предыдущий блок по причине отсутствия такового. Обычно в блоке есть информация о номере его версии – это бывает необходимо, если впоследствии структура блока претерпит изменения, и в зависимости от номера версии алгоритмы программного обеспечения должны будут их по-разному обрабатывать. Затем, как отмечалось ранее, в заголовке содержится хеш заголовка предыдущего блока для поддержания целостности данных всей цепочки.

Важным элементом заголовка также является время создания блока. Оно записывается в виде числа, равного количеству секунд, прошедших с 1 января 1970 года – формат, принятый в многопользовательских и многозадачных операционных системах, таких, например, как Unix и совместимых с ней. Отдельно заметим, что число это достаточно велико, и через пару десятков лет должно произойти переполнение 32-битной ячейки памяти, обычно выделяемой для переменных, хранящих это значение в различном программном обеспечении. В случае если разработчики этих программ не внесут необходимые исправления, увеличив размер переменной, хранящей значения времени до 64 бит, то 19 января 2038 года по всему миру могут произойти массовые программные сбои. Произойдет это потому, что значения этого числа в силу специфики построения компьютерной архитектуры при выполнении программ будут интерпретироваться как имеющие отрицательные значения – со всеми вытекающими из этого алгоритмическими последствиями.

И, наконец, переходим к части заголовка, посвященной содержащимся в блоке транзакциям. Одним из значений в заголовке является число транзакций в блоке, а вот второе значение имеет загадочное название «корень Меркла». Это не что иное, как совокупный хеш всех транзакций, находящихся в данном блоке, вычисленный определенным образом. В 1979 году американский криптограф Ральф Меркл запатентовал алгоритм вычисления результирующего хеша для набора данных, построенных в виде двоичного дерева:

Согласно логике алгоритма Меркла, все транзакции в блоке делятся попарно, хешируются, и их хеши суммируются между собой. Если общее число транзакций изначально было нечетным и последней транзакции не хватает пары, то в этом случае ее собственный хеш просто удваивается. На следующем уровне «дерева» количество хешей уже вдвое меньше и их число уже гарантированно четное. Хеши опять разбиваются по парам, эти пары суммируются, и так далее, пока из них не останется только одно конечное число. В итоге на вершине дерева образуется результирующий, или корневой хеш, который и называется «корнем Меркла» и является фактически единым совокупным отпечатком всех транзакций блока. Понятно, что при изменении любой из транзакций в блоке все хеши дерева Меркла сразу же пересчитаются заново, и результирующий хеш также изменится, что будет являться маркером события, соответствующего вмешательству в данные блока. Таким образом, значение корня Меркла является «представителем» транзакционной части блока в его собственном заголовке. Будучи «подхешированным» к общим данным заголовка и, таким образом, опосредованно включенным в заголовок следующего блока, корень Меркла играет роль дополнительной гарантии неизменности транзакций, ранее записанных в блокчейн.

Помимо вышеописанных параметров структуры блока, в нем могут присутствовать элементы, связанные с непосредственным получением права на создание блока и его защиты от возможных будущих изменений. Речь идет о создании новых блоков в системах с доказательством работы. Но в данный момент говорить об этом несколько преждевременно, поэтому сначала ознакомимся со структурой транзакций и принципами ведения балансов в блокчейн-системах.

Транзакции и балансы

Все мы привыкли иметь дело с классическими банками: открывать счета, осуществлять платежи с одного расчетного счета на другой, получать на свой счет денежные средства. В последние пару десятилетий широкое распространение получили системы «банк – клиент», позволяющие управлять своими счетами через интернет. Несмотря на внешние различия, в первую очередь в части дизайна интерфейса подобных систем, их функционал является более-менее схожим для всех финансовых институтов, предлагающих такие услуги. Первым шагом к получению доступа к своим средствам через интернет в большинстве случаев является прохождение процедуры двухфакторной идентификации. Сначала пользователь вводит обычный пароль многократного использования, а затем система просит ввести специальный однократный код, который либо генерируется посредством специального устройства, либо может быть получен по SMS или электронной почте. Так исключается несанкционированный доступ к счету клиента, данные о котором хранятся на серверах банка, то есть централизованно. Если сервера банка по какой-то причине не работают, например, находятся на техническом обслуживании, то доступ к счету будет невозможен до момента, пока система не вернется к обычной работе.

Получив доступ к своему счету, клиент может проверить свой баланс, а затем осуществлять перевод средств с данного счета, также пользуясь системой генерации однократных кодов, поскольку этого требуют правила безопасности доступа к данным. У каждого счета есть свой номер, сгенерированный по определенным правилам и стандартам – либо самого банка, либо государства, в котором банк расположен. Отправляя платежи на другие счета, банк, как правило, взимает комиссию за свои услуги, размер которой устанавливает самостоятельно, в зависимости от своих бизнес-издержек, заложенной нормы прибыли и конкурентной ситуации на рынке банковских услуг. Очевидно, чтобы клиент мог совершать или получать платежи, банк сначала должен открыть ему расчетный счет и выдать реквизиты доступа в интернет-банк, иначе никакие входящие или исходящие переводы невозможны.

В блокчейн-системах все организовано совсем по-другому. Во-первых, там нет никаких банков или иных централизованных органов, контролирующих счета и платежи по ним. Во-вторых, никакие счета заранее не создаются, и балансов по ним никто специально не ведет. На первый взгляд это кажется немного странным, однако именно этим отличаются проекты платежных систем, реализованные на базе технологии блокчейн. Для того чтобы стать участником системы, пользователю необходимо сгенерировать себе пару ключей – закрытый и открытый, пользуясь алгоритмом асимметричной криптографии, который используется в конкретной блокчейн-среде. Ключи в паре всегда жестко связаны между собой – секретный может быть сгенерирован случайным образом, а открытый вычисляется из него математически. Впрочем, все это делается автоматически, при помощи программного обеспечения самой системы по запросу пользователя, то есть нажатием соответствующей кнопки в интерфейсе программы-клиента. Таким образом у пользователя появляется свой счет в системе, хотя правильнее было бы сказать – адрес. И этот адрес фактически является модификацией его открытого ключа, который при создании был обработан несколькими процедурами хеширования и специального символьного кодирования. Делается это не только для более удобного визуального восприятия адреса, но и для еще большего усложнения задачи восстановления связанного с ним закрытого ключа, поскольку односторонние хеш-функции, да еще использованные несколько раз подряд, исключительно усложняют любые попытки взлома адреса блокчейн-системы.

Напомним, что подобные сети являются децентрализованными, поэтому все действия пользователь совершает не на каком-то удаленном сервере, а непосредственно у себя на компьютере или мобильном устройстве. Там же хранятся и все необходимые ключи, в том числе и закрытые. В отличие от классического банка, вопросы хранения секретной персональной информации теперь возложены на самого клиента. Если он потеряет секретный ключ, то автоматически утратит доступ к активам, которые связаны с адресом, сгенерированным на основе этого секретного ключа. В интернете можно найти огромное количество историй о несостоявшихся криптовалютных миллионерах, которые потеряли свои цифровые миллионы вместе с закрытыми ключами от своих адресов. Это достаточно серьезная проблема, поэтому вопросам безопасности хранения криптоактивов будет посвящена отдельная глава.