Распределенные алгоритмы
это подразумевает, что последний процесс послал сообщение .
Следовательно, никакой корректный процесс не инициирует в конце импульса i.
Отсюда следует, что никакой корректный процесс не инициирует вообще. Это
означает, что никакой корректный процесс никогда не подтверждает корректный
процесс, так что никакой корректный процесс не подтверждает более t
процессов, и решение в конечном импульсе - 0. (
Мы продолжим доказательством соглашения, и будем предполагать в следующих
леммах, что командующий сбойный. Достаточная "критическая масса" сообщений,
ведущая неизбежно к 1-решению, создается инициированием L корректных
процессов, когда имеется по крайней мере четыре импульса.
Лемма 14.7 Если L корректных процессов инициируют к концу импульса i, i <
2t, то все корректные процессы останавливаются на значении 1.
Доказательство. Пусть i - первый импульс, в конце которого по крайней мере
L корректных процессов инициируют, и пусть А обозначает множество
корректных процессов, которые инициировали в конце импульса i. Все процессы
в A - помощники, так как командующий сбойный. В конце импульса i + 2 все
корректные процессы подтвердили помощников в А; мы покажем, что в это время
все корректные процессы инициируют.
Случай i = 1: Все корректные процессы подтвердили помощников из А к концу
импульса 3, и инициируют, так как [pic].
Случай [pic]: По крайней мере один процесс, допустим r, из А инициировал в
импульсе i, так как он подтвердил Th(i) помощников (инициирование с помощью
получения от командующего возможно только в импульсе 1). Эти Th(i)
помощников подтверждены всеми корректными процессами в конце импульса i +
l, но r не принадлежит к этим Th(i) подтвержденным помощникам, так как r
впервые посылает сообщения в импульсе i + 1. Однако, все корректные
процессы подтвердят r к концу импульса i + 2; таким образом они подтвердили
по крайней мере Th(i) + 1 помощников в конце раунда i + 2. В заключение,
так как Th(i+2)= Th(i)+1, все корректные процессы инициируют.
Теперь, поскольку все корректные процессы инициируют к концу раунда i + 2,
они подтверждены (всеми корректными процессами) в конце раунда i + 4,
следовательно все корректные процессы подтвердили по крайней мере H
помощников. Поскольку предполагалось, что i < 2t, [pic], так что все
корректные процессы останавливаются на значении 1. (
Для любого корректного процесса, чтобы остановиться на 1, необходима
"лавина", состоящая из инициирования по крайней мере L на корректных
процессов. Действительно, 1-решение требует подтверждения по крайней мере H
процессов, включая L корректных, что эти корректные процессы инициировали.
Вопрос в том может ли Византийский заговор откладывать начало лавины
достаточно долго, чтобы вызвать 1-решение в некоторых корректных процессах,
без навязывания его в общем согласно Лемме 14.7. Конечно, ответ - нет, так
как имеется ограничение на то, как долго заговор может откладывать лавину,
и число импульсов, 2t + 3, выбрано точно так, чтобы предотвратить это.
Причина - возрастающий порог для требуемого числа подтвержденных процессов;
в более поздних импульсах он становится настолько высок, что уже стало
необходимо L инициированных корректных помощников, чтобы инициировать
следующий корректный процесс.
Лемма 14.8 Предположим, что по крайней мере L корректных процессов
инициируют в течение алгоритма, и пусть i - первый импульс, в конце
которого инициируют L корректных процессов. Тогда i < 2t.
Доказательство. Чтобы инициировать в импульсе 2t или выше, корректный
процесс должен подтвердить по крайней мере Th(2t) = L + (t-1) помощников.
Так как командующий сбойный, то есть самое большее t-1 сбойных помощников,
поэтому по крайней мере L корректных помощников должны были быть
подтверждены, что показывает, что уже, в более раннем импульсе, L
корректных процессов, должно быть, инициировали. (
Теорема 14.9 Алгоритм вещания Долева и других (Алгоритм 14.4) - t-
Византийско-устойчивый протокол вещания.
Доказательство. Завершение (и одновременность также) и зависимость показаны
в Лемме 14.6. Чтобы показать соглашение, предположим, что имеется
корректный процесс, который останавливается на значении 1. Мы заметили, что
это означает, что по крайней мере L корректных процессов инициировали. По
Лемме 14.8, впервые это случалось в импульсе i < 2t. Но тогда по Лемме
14.7, все корректные процессы останавливаются на значении 1. (
Чтобы облегчить представление алгоритма, было сделано предположение, что
процессы повторяют в каждом раунде сообщения, которые они посылали в более
ранних раундах. Поскольку корректные процессы записывают сообщения,
полученные в более ранних раундах, это не нужно, поэтому достаточно послать
каждое сообщение только. Таким образом, каждый корректный процесс посылает
каждое из N+1 возможных сообщений другому процессу самое большее один раз,
что ограничивает сложность по сообщениям величиной [pic]. Так как имеется
только N+1 различных сообщений, каждое сообщения должно содержать только O
(log N) бит.
Если число процессов превышает 3t + 1, для выполнения алгоритма выбирается
совокупность 3t активных помощников. (Выбор выполняется статически,
например, выбирая 3t процессов, чьи имена следуют за g в порядке имен
процессов. Командующий и активные помощники сообщают пассивным помощникам о
своем решении, и пассивные помощники останавливаются на значении, которое
они получают от более t процессов. Сложность по сообщениям этого послойного
подхода - [pic], и разрядная сложность - [pic].
14.2 Протоколы с Установлением Подлинности
Злонамеренное поведение, рассматриваемое до сих пор включало неправильную
пересылку информации в дополнение к посылке неправильной информации о
собственном состоянии процесса. К счастью, это чрезвычайно злонамеренное
поведение Византийских процессов может быть ограничено с помощью
криптографических средств, которые сделали бы Теорему 14.1
недействительной. Действительно, в сценариях, используемых в ее
доказательстве, сбойные процессы посылали бы сообщения как в сценарии 1,
получив только сообщения сценария 0.
В этом разделе предполагается наличие средства для цифровой подписи и
установления подлинности сообщений. Процесс p, посылающий сообщение М,
добавляет к этому сообщению некоторую дополнительную информацию [pic],
которая называется цифровой подписью p для сообщения М. В отличие от
рукописных подписей, цифровая подпись зависит от М, что делает бесполезным
копирование подписи в другие сообщения. Схема подписи удовлетворяет
следующим свойствам.
Если p корректен, только p может правдоподобно вычислить [pic]. Это
вычисление - подпись сообщения M.
Каждый процесс может эффективно проверять (имея p, М и S) [pic]. Эта
проверка - установление подлинности сообщения M.
Схемы подписи основаны на частных и общих ключах. Первое предположение не
исключает того, что Византийские процессы могут открыть свои секретные
ключи друг другу, что позволяет одному Византийскому процессу подделать
подпись другого. Предполагается, что только корректные процессы хранят свои
частные ключи в секрете.
Мы изучим реализацию схем подписи в Подразделах с 14.2.2 по 14.2.5. В
следующем подразделе, сообщение , подписанное процессом p, то есть,
пара, содержащая и [pic], обозначается : p.
14.2.1 Протокол Высокой Степени Восстановления
Эффективный Византийский алгоритм вещания, использующий полиномиально много
сообщений и t+1 импульсов, был предложен Долевом и Стронгом [DS83].
Установление подлинности, используемое в этом протоколе, разрешает
неограниченную способность восстановления. Мы заметим, тем не менее, что
могут отказать не более N процессов (из N), и N процессов отказывают, все
требования примитивно удовлетворяются; следовательно пусть t < N. Их
протокол основан на более раннем, предложенном Лампортом, Шостаком и Пизом
[LSP82], который является экспоненциальным по числу сообщений. Мы
представляем сначала последний протокол.
В импульсе 1 командующий “выкрикивает” сообщение : g,
содержащее свой (подписанный) вход.
В импульсах со 2 по t + l процессы подписывают и пересылают сообщения,
которые они получили в предыдущем импульсе; следовательно, сообщение,
которым обмениваются в импульсе i, содержит i подписей. Сообщение : g : [pic] : ... : [pic] называется действительным (имеющим силу) для
получающего процесса p, если справедливо следующее.
Все i подписей корректны.
i подписей от i различных процессов.
p не встречается в списке подписей.
В течение алгоритма, процесс p содержит множество [pic] значений,
содержащихся в действительных сообщениях, полученных p; первоначально это
множество пусто, и значение каждого действительного сообщения вставляется в
него.
Сообщения, пересылаемые в импульсе i - в точности те действительные
сообщения, полученные в предыдущем импульсе. В конце импульса t + 1,
процесс p принимает решение основанное на [pic]. Если [pic] состоит из
одиночного элемента {v}, p принимает решение v, иначе p принимает решение
значения по умолчанию (например, 0). Чтобы сэкономить на числе сообщений, p
пересылает сообщение : g : [pic] : ... : [pic] : p только
процессам, не встречающимся в списке g, [pic], ..., [pic]. Эта модификация
не имеет никакого влияния на поведение алгоритма, так как для процессов в
списке сообщение не действительно.
Теорема 14.10 Алгоритм Лампорт, Шостака и Пиза - корректный Византийский
алгоритм вещания при t < N, использующий t + 1 импульс.
Доказательство. Все процессы принимают решение в импульсе t + 1, что
подразумевает и завершение и одновременность алгоритма.
Если командующий корректен и имеет вход v, все процессы получают его
сообщение : g в импульсе 1, так что все корректные процессы
включают v в W. Никакое другое значение не вставляется в W, так как никакое
другое значение никогда не подписывается командующим. Следовательно, в
импульсе t + 1 все процессы имеют W = {v} и останавливаются на v, что
означает зависимость.
Чтобы показать соглашение, мы получим, что для корректных процессов p и q,
[pic] в конце импульса t + 1. Предположим, [pic] в конце импульса t + 1, и
пусть i - импульс, в котором p вставил v в Wp, по получении сообщения
: g : [pic] : ... : [pic].
Случай 1: Если q встречается в g, [pic], ..., [pic], то q сам видел
значение v и вставил его в [pic].
Случай 2: Если q не встречается в последовательности g, [pic], ..., [pic] и
[pic], то p пересылает сообщение : g : [pic] : ... : [pic] : p
процессу q в импульсе i + i, так что q утверждает (придает силу) v самое
позднее в импульсе i + 1.
Случай 3: Если q не встречается в последовательности g, [pic], ..., [pic],
и i = t + 1, заметьте, что сообщение, полученное p, было подписано t + l
последовательными процессами, включая по крайней мере один корректный
процесс. Этот процесс переслал сообщение всем другим процессам, включая q,
так что q видит v.
Так как [pic] к концу импульса t + 1, p и q принимают одинаковое решение. (
Завершить алгоритм ранее импульса t + 1 невозможно. Во всех импульсах до t,
корректный процесс мог бы получать сообщения, созданные и пересланные
только сбойными процессами, и не посланные другим корректным процессам, что
могло бы вести к противоречивым решениям.
Промежуточный результат предыдущего алгоритма, а именно соглашение о
множестве значений среди всех корректных процессов, более сильное, чем
необходимо для достижения соглашения об одиночном значении; Это было
замечено Долевом и Стронгом [DS83], которые предложили более эффективную
модификацию. Фактически достаточно, что в конце импульса t + 1, или (a) для
каждого корректного p множество [pic] - один и тот же одиночный элемент,
или (b) ни для какого корректного p множество [pic]не является одиночным
элементом. В первом случае все процессы принимают решение v, в последнем
случае они все принимают решение 0 (или, если желательно изменить алгоритм
таким образом, они принимают решение "командующий сбойный").
Алгоритмом Долева и Стронга достигается более слабое требование на
множества W. Вместо того, чтобы передавать каждое действительное сообщение,
процесс p пересылает самое большее два сообщения, а именно одно сообщение с
первым и одно сообщение со вторым значением, принятым p. Полное описание
алгоритма оставлено читателю.
Теорема 14.11 Алгоритм Долева и Стронга, описанный выше - протокол
Византийского-вещания, использующий t + 1 импульс и самое большее [pic]
сообщений.
Доказательство. Завершение и одновременность доказываются, как в предыдущем
протоколе, так как каждый корректный процесс принимает решение в конце
импульса t + 1. Зависимость выводится так же, как в предыдущем протоколе.
Если g правильно “выкрикивает” v в первом импульсе, все корректные процессы
принимают v в этом импульсе, и никакое другое значение никогда не
принимается; следовательно, все корректные процессы останавливаются на v.
Заявленная сложность по сообщениям следует из факта, что каждый
(корректный) процесс “выкрикивает” самое большее два сообщения.
Чтобы показать соглашение, мы покажем, что для корректных процессов p и q,
[pic] и [pic] удовлетворяют в конце импульса t + 1 следующему.
Если [pic], то [pic].
Если [pic], то [pic].
Для (1): Предположим, что p принял значение v после получения сообщения
: g : [pic] : ... : [pic] в импульсе i, и рассуждаем как в
доказательстве Теоремы 14.10:
Случай 1: Если q встречается среди g, [pic], ..., [pic], q точно принял v.
Случай 2: Если q не встречается среди g, [pic], ..., [pic], и [pic], [pic],
то p пересылает значение процессу q, который примет его в этом случае.
Случай 3: Если q не встречается и i = t + 1, по крайней мере один из
процессов, который подписал сообщение, допустим r, корректен. Процесс r
также переслал значение v процессу q, что значит, что v находится в [pic].
Для (2): Предположим, что [pic] в конце алгоритма, и пусть w - второе
значение, принятое p. Снова подобным рассуждением можно показать, что
[pic], что означает, что [pic]. (Равенство [pic] и [pic] не может быть
получено, так как процесс p не будет пересылать свое третье принятое
значение или более поздние.)
Доказав (1) и (2), предположим, что корректный процесс p останавливается на
[pic], то есть [pic]. Затем, из (1), v содержится во всех [pic] для
корректного q, но, следовательно, [pic] не шире одиночного элемента {v};
иначе [pic] - не одиночный элемент, из (2). Следовательно, каждый
корректный процесс q также останавливается на v. Далее, предположим, что
корректный процесс p останавливается на значении по умолчанию, так как
[pic] - не одиночный элемент. Если [pic] пуст, каждый корректный q имеет
пустой [pic] по (1) и если [pic], то [pic] по (2); следовательно, q также
останавливается на значении по умолчанию.
(
Долев и Стронг в дальнейшем улучшили алгоритм и получили алгоритм, который
решает проблему Византийского-вещания за то же самое число импульсов и
всего за О(Nt) сообщений.
14.2.2 Реализация Цифровых Подписей
Так как подпись p [pic] должна представлять собой достаточное
доказательство того, что p - создатель сообщения, подпись должна состоять
из некоторой формы информации, которая
Может быть эффективно вычислена процессом p (подписана);
Не может быть эффективно вычислена любым другим процессом, отличным от p
(подделана).
Мы должны немедленно отметить, что, для большинства схем подписи,
использующихся сегодня, второе требование не доказано до такой степени, что
показана экспоненциальная трудность проблемы подделки. Обычно, проблема
подделки, как показывают, связана (или иногда эквивалентна) с некоторой
вычислительной проблемой, которая изучалась в течение длительного времени в
отсутствие знания о ее полиномиальной разрешимости. Например, подделывание
подписей в схеме Фиата-Шамира требует разлагать на множители большие целых
числа; так как последняя задача (предположительно) в вычислительном
отношении очень сложна, первая, должно быть, также сложна в вычислительном
отношении.
Были предложены схемы подписи, основанные на различных, как предполагается,
трудных проблемах, типа вычисления дискретного логарифма, разложения на
множители больших чисел, проблемы рюкзака. Требования (1) и (2)
подразумевают, что процесс p должен иметь вычислительное "преимущество" над
другими процессами; это преимущество - некоторая секретная информация во
владении p, секретный (или частный) ключ p. Таким образом, вычисление [pic]
эффективно, когда секретный ключ известен, но (предположительно) трудно без
этой информации. Ясно, что если p удается хранить свой ключ в тайне, то
только p может с легкостью вычислять [pic].
Все процессы должны уметь проверять подписи, то есть, имея сообщение М и
подпись S, должно быть возможно эффективно проверить, что S действительно
был вычислен из М с помощью секретного ключа p. Эта проверка требует, чтобы
была раскрыта некоторая информация о секретном ключе p; эта информация -
общий ключ p. Общий ключ должен позволять проверку подписи, но нужно, чтобы
его быть невозможно или по крайней мере в вычислительном отношении трудно
использовать для вычисления секретного ключа p или подделки подписей.
Наиболее успешные схемы подписи, предложенные до настоящего времени,
основаны на вычислениях из теории чисел в арифметических кольцах по модулю
больших чисел. Базисные арифметические операции добавления, умножения, и
возведения в степень могут выполняться в этих кольцах за полиномиальное
время от длины модуля (в битах). Деление возможно, если знаменатель и
модуль взаимно просты (то есть, не имеют общих простых делителей), и может
также выполняться за полиномиальное время. Так как подписание и проверка
требуют вычислений над сообщением, М интерпретируется как большое число.
14.2.3 Схема Подписи ЭльГамаля
Схема подписи ЭльГамаля [EIG85] основана на функции теории чисел под
названием дискретный логарифм. Для большого простого числа P, группа по
умножению по модулю P, обозначаемая [pic], содержит P-1 элементов и
чвлчется циклической. Последнее означает, что можно выбрать такой элемент
[pic], что P-1 чисел
[pic]
все различны и следовательно, перечисляют все элементы [pic]. Такое g
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36
|