Merkle Root et Merkle Preuves

Il y a 5 ans

En lisant votre question, je soupçonne que la cause de votre confusion concerne le cadre dans lequel les arbres Merkle sont utilisés. Je pense que vous avez raison de dire que dans le monde Bitcoin, le paramètre est pris pour acquis et n’est généralement pas expliqué clairement.

Voici mes deux cents. Pour comprendre l’aspect efficacité des arbres Merkle, considérez les deux parties qui sont réellement impliquées dans le protocole  :

  • Un nœud complet Bitcoin qui a des blocs complets
  • Un nœud léger Bitcoin qui a des en-têtes mais qui veut vérifier qu’une transaction se trouve dans l’un des blocs complets
  • (Il peut être utile de mentionner que le protocole Bitcoin actuel ne fait pas permettre à un nœud léger de vérifier efficacement qu’une transaction est ne pas dans l’un des blocs.)

    • Premièrerappelez-vous que lors de la réception d’un nouveau bloc B avec l’en-tête de bloc H et les transactions T, le nœud complet fait ce qui suit  :

    Merkle Root et Merkle Preuves

  • calcule h = SHA256(H), vérifie la preuve de travail en h et vérifie l’horodatage en H, etc
  • pour chaque transaction t \in T, vérifie la ou les signatures de t, vérifie que t ne double pas les dépenses et ajoute t comme feuille la plus à droite de l’arbre de Merkle du bloc actuel. (Rappelons qu’un arbre Merkle différent est calculé pour chaque bloc. Bien sûr, l’ajout de la transaction doit être fait dans un ordre canonique, de manière à obtenir le même hachage racine que dans l’en-tête de bloc H.)
  • après que tous les t \in T ont été vérifiés et ajoutés, calcule et magasins l’arbre Merkel, bien sûr tout calculer les hachages de nœuds intérieurs et le hachage racine r (comme illustré dans votre figure d’arbre de Merkle)
  • Crucialementvérifie que le hachage racine calculé r est égal au hachage racine dans l’en-tête de bloc H

    • Morale de l’histoire  : oui, vous avez raison de dire que pour prouver l’appartenance d’une feuille par rapport à une racine de Merkle r, le prouveur (dans ce cas, le nœud complet) a besoin des hachages de nœuds intérieurs  : il peut les mettre en cache ou les recalculer ( il y a de la littérature sur les compromis ici). (Je pense) Les nœuds complets Bitcoin mettent simplement en cache tous les hachages, comme détaillé à l’étape 3. Surtout, les hachages intérieurs ne sont pas partie du bloc B de 1 Mo  : ce serait une perte d’espace, car les nœuds complets peuvent simplement les recalculer à partir des feuilles (c’est-à-dire les TXN) et faire correspondre le hachage racine recalculé avec celui de l’en-tête du bloc. Notez que cela empêche les adversaires du réseau de falsifier les transactions.

    Deuxièmerappelez-vous que lors de la réception d’un nouvel en-tête de bloc H, un nœud léger ne fait que l’étape (1) d’en haut.

    Maintenant, voici le réglage dans Bitcoin  :

  • Le nœud complet contient tous les blocs, y compris les hachages de nœuds intérieurs calculés à l’étape 3 ci-dessus
  • Le nœud fin a tous les en-têtes de bloc. Rappelez-vous que chaque en-tête inclut la racine Merkle
  • Le nœud complet veut convaincre le nœud léger qu’une transaction t se trouve dans un bloc B avec l’en-tête de bloc H (que le nœud léger a bien sûr)

    • Thèse : Les arbres de Merkle permettent au nœud complet d’en convaincre efficacement les nœuds finsempêchant le nœud complet de changer t en t’ (ce qui permettrait à un nœud complet de tromper un nœud léger en lui faisant croire qu’il a été payé).

    Preuve : Soit r la racine de Merkle dans H. Le nœud fin a les mêmes H et r. Le nœud complet a les nœuds intérieurs « sous » r mis en cache (rappelez-vous l’étape 3 du nœud complet). Le nœud complet extractions le chemin frère (déjà mis en cache) commençant à la feuille contenant la transaction t et remontant jusqu’à la racine r, en l’envoyant au nœud léger. Le nœud fin hache récursivement t avec les frères et sœurs reçus, obtenant un hachage racine r ‘(agitant la main ici, en supposant que vous comprenez les preuves de Merkle). Le noeud fin vérifie que r == r’.

    qui n’a qu’un hachage racine de 256 bits r. (Bien sûr, le prouveur doit avoir toutes les feuilles et tous les nœuds intérieurs, comme indiqué précédemment.)

    Naturellement, ce protocole garantit que le nœud complet ne peut pas « mentir » sur une transaction « sous » la racine r. De manière informelle, si une transaction est là, le nœud complet ne peut pas la changer en une transaction différente et forger une preuve pour celle-ci (c’est-à-dire, un chemin frère). Également de manière informelle, si une transaction n’est pas là du tout, le nœud complet ne peut pas falsifier une preuve de sa présence.

    Pour répondre à vos questions:

    Question A semble concerner le fonctionnement de l’adhésion à une transaction. Vous dites,

    Pour ce faire, ne regarderiez-vous pas simplement la liste des hachages de feuilles pour déterminer si H(D) est là ? Pourquoi faire quoi que ce soit avec la racine Merkle ?

    Je pense que tu as mal compris le réglage. Gardez à l’esprit que lorsque vous discutez de protocoles cryptographiques, il est tout à fait nécessaire de se référer aux parties par leur nom, plutôt que d’utiliser des pronoms ambigus comme « vous » et « je ». « Prover » et « verifier » peuvent être laconiques et ennuyeux, mais ils sont précis.

    Question B devrait être répondu maintenant: le nœud complet a tous les hachages de nœud intérieurs. Il envoie le chemin frère au nœud fin, qui se contente de hacher de manière récursive à partir de la feuille en cours de vérification. Le nœud léger vérifie que la racine qu’il a obtenue correspond à la racine dans l’en-tête de bloc.

    Questions C :

    Bitcoin conserve-t-il les hachages de l’arbre Merkle non seulement pour les nœuds feuilles, mais pour l’ensemble de l’arbre jusqu’à la racine ?

    Pas dans les blocs eux-mêmes : ce serait une perte d’espace comme mentionné précédemment. Les nœuds complets calculent les hachages intérieurs et le hachage racine et mettent tout en cache localement sur le disque (vraisemblablement, je n’ai pas réellement regardé le code source). Ensuite, ils sont prêts à fournir des preuves pour n’importe quelle transaction dans n’importe quel bloc à n’importe quel nœud léger.

    Où exactement et comment stocke-t-il exactement ces informations ? Tout ce que je vois, c’est la racine de Merkle dans le bloc.

    Vraisemblablement, sur disque dans la base de données du nœud complet. Mais pas dans le bloc  : ce sont des informations redondantes car les blocs contiennent des feuilles => peuvent calculer les hachages des nœuds intérieurs et du nœud racine.

    Je pense avoir vu une fois une valeur Merkle pour un nœud de transaction, mais je n’ai jamais vu de métadonnées liées à des nœuds Merkle non arborescents dans la blockchain Bitcoin.

    Ugh, je veux dire « Oui, car ce serait une perte d’espace pour stocker les hachages de nœuds intérieurs dans les blocs. » mais en lisant de plus près, je ne sais pas vraiment ce que vous entendez par « valeur Merkle pour un nœud de transaction » et « métadonnées liées aux nœuds Merkle non arborescents ».

    J’espère que cela t’aides !

  • bitcoin core : Merkle Root et Merkle Preuves
  • Les développeurs de Lightning Network discutent de l'avenir de l'informatique souveraine
  • Rapport de faisabilité sur l'exécution d'un Thornode
  • Qu'est-ce que le partage  ? Ce concept de mise à l'échelle Ethereum expliqué
    • Kraken NFT quitte la version bêta, "Stand with Crypto" de Coinbase est pris en charge et plus encore
    Il y a 34 minutes
    Wazdan a 12 500 caisses mystères à tomber ! Obtenez le vôtre.
    Il y a 1 heure
    Les projets de cryptographie devraient repenser les jetons, déclare l'ancien directeur de Citi, Matt Zhang
    Il y a 1 heure
    bitcoin
    Bitcoin (BTC) 24.693,09 0,61%
    ethereum
    Ethereum (ETH) 1.710,03 0,05%
    tether
    Tether (USDT) 0,927440 0,04%
    bnb
    BNB (BNB) 241,62 0,55%
    usd-coin
    USD Coin (USDC) 0,927305 0,02%
    xrp
    XRP (XRP) 0,490001 1,21%
    staked-ether
    Lido Staked Ether (STETH) 1.709,12 0,05%
    cardano
    Cardano (ADA) 0,292940 3,48%
    dogecoin
    Dogecoin (DOGE) 0,063161 0,04%
    solana
    Solana (SOL) 17,72 1,96%
    matic-network
    Polygon (MATIC) 0,729526 0,79%
    tron
    TRON (TRX) 0,072240 0,35%
    litecoin
    Litecoin (LTC) 81,97 0,35%
    polkadot
    Polkadot (DOT) 4,66 0,02%
    binance-usd
    Binance USD (BUSD) 0,927107 0,06%
    avalanche-2
    Avalanche (AVAX) 12,92 0,07%
    shiba-inu
    Shiba Inu (SHIB) 0,000007 0,71%
    dai
    Dai (DAI) 0,926959 0,00%
    wrapped-bitcoin
    Wrapped Bitcoin (WBTC) 24.717,20 0,38%
    uniswap
    Uniswap (UNI) 4,28 0,22%
    leo-token
    LEO Token (LEO) 3,28 0,03%
    chainlink
    Chainlink (LINK) 5,56 0,23%
    cosmos
    Cosmos Hub (ATOM) 8,66 2,34%
    okb
    OKB (OKB) 41,82 1,31%
    monero
    Monero (XMR) 132,70 1,15%
    the-open-network
    Toncoin (TON) 1,56 1,90%
    ethereum-classic
    Ethereum Classic (ETC) 15,81 0,41%
    stellar
    Stellar (XLM) 0,080787 0,00%
    bitcoin-cash
    Bitcoin Cash (BCH) 102,99 0,65%
    true-usd
    TrueUSD (TUSD) 0,926289 0,05%
    lido-dao
    Lido DAO (LDO) 2,06 2,10%
    internet-computer
    Internet Computer (ICP) 3,91 1,39%
    filecoin
    Filecoin (FIL) 3,79 1,03%
    quant-network
    Quant (QNT) 101,66 1,50%
    hedera-hashgraph
    Hedera (HBAR) 0,045454 1,02%
    aptos
    Aptos (APT) 7,17 0,35%
    crypto-com-chain
    Cronos (CRO) 0,054202 1,65%
    arbitrum
    Arbitrum (ARB) 1,06 0,74%
    near
    NEAR Protocol (NEAR) 1,32 0,30%
    vechain
    VeChain (VET) 0,016035 2,97%
    apecoin
    ApeCoin (APE) 2,70 0,16%
    the-graph
    The Graph (GRT) 0,104263 1,16%
    paxos-standard
    Pax Dollar (USDP) 0,926614 0,06%
    frax
    Frax (FRAX) 0,927045 0,23%
    eos
    EOS (EOS) 0,832703 0,78%
    rocket-pool
    Rocket Pool (RPL) 44,01 0,05%
    algorand
    Algorand (ALGO) 0,115764 0,86%
    the-sandbox
    The Sandbox (SAND) 0,449603 0,51%
    optimism
    Optimism (OP) 1,28 0,32%
    elrond-erd-2
    MultiversX (EGLD) 32,36 0,65%