解读filecoin的复制证明

复制证明（Proof-of-Replication）允许存储提供商来证明数据已经被复制到单一的物理存储器上。强制性单一物理拷贝可以检查和确保提供商没有将多余拷贝放到同一存储器。

复制证明（PoRep）是⼀种交互式的证明系统。证明⼈（Prover，即存储提供 商）为公开的可验证的声明辩护，宣称提供了专有物理资源来存储⼀个或多个可检索的数据⽂件 副本。也可以理解成：复制证明既是空间的证明（PoS），也是可检索性的证明（PoR）。本⽂诠释了各种复制证明⽅案（PoReps）的基础，并对其实现能⼒和局限性进⾏了探究。复制证明可能会 ⽆条件重复地显⽰数据的拥有权，但本质上说，不能保证数据被冗余地存储。另外，复制证 明是内容空间的证明，必须依赖于在线验证程序运⾏时的理性时间/空间权衡或时间界限。我们为 复制证明引⼊了⼀个名为“ -理性复制”的理性安全概念。基于“ 纳什均衡”的理论：即服务器通过以任何其他(非冗余)格式存储数据不会获得任何显著优势。需要用定义 来形式化的分析了两个分别基于可验证延迟函数和深度鲁棒图的复制证明构造⽅案。深⼊讨论了复制证明的⼀个值得注意的应⽤——⽤真实数据的复制证明代替⼯作量证明运 ⽤于中本聪（Nakamoto）共识机制，可以同时刺激和补贴⽂件存储的成本。

复制证明（PoRep）建⽴在可检索性证明（PoR）和空间证明（PoS） 两个可验概 念基础上。可检索性证明中，证明⼈演⽰了其检索⽂件的能⼒；在 空间证明中，证明⼈演⽰其使⽤了最⼩数量的存储空间来存储信息。空间证明都 要求证明⼈使⽤此空间来存储仅与空间证明协议相关的信息。复制证明本质上是在空 间证明中嵌⼊可检索性证明：它让存储提供商证明其正在使⽤最⼩数量的存储空间，同时 允许其实际使⽤此存储空间来存储有⽤的信息。复制证明的另⼀个关键属性是，协议成功 所需的存储成本仅仅取决于数据输⼊的⼤⼩，与数据输⼊的其他性质⽆关。特别是，协议 成功所需的存储成本不应取决于该数据是由私有预处理（例如由客户端加密）还是由服务 器本⾝⽣成。另⼀种特殊情况是，协议的输⼊是同⼀⽂件的 n个冗余副本，其存储成 本应该与在 n个不同的数据⽂件上运⾏协议的成本相同。直觉上，将导致以下属性：即 使复制证明的证明⼈可以在没有冗余存储数据的情况下通过协议验证（例如，通过删除 n个副本），这样做也没有什么好处。换句话说，对于这个场景中复制证明的存储提供商来 说，诚实地存储数据的n 个副本是理性⾏为。

我们做⼀个⽆法达到上述⽬标的假想实验，实验将可检索性证明协议和空间证明协议 简单组合。协议要求证明⼈总共使⽤2n个空间。证明⼈空间中的⼀ 半来产⽣空间证明（即运⾏⼀个标准的空间证明协议，需要⽤随机数据填充此空间)，使用另外⼀半来实际存储大小为 的有用数据⽂件，并生成⽂件的可检索性证明。实验仅使用存储就同时满足可检索性证明和空间证明：证明⼈使用最少数量 Ωn量级的存储并且检索感兴趣的数据。然而，没有达到“独立成本”的标准。更明确的说， 是证明⼈在有用数据上运行该协议的成本（需要2n空间来存储有用的数据和随机数据）比只是空间证明存储了一些⽆用的随机数据并且提供这些随机数据的可检索证明的成本要 昂贵（只需要 n空间）。此外，如果验证者被要求存储同⼀文件D的k个冗余副本，使用 此假想实验的简单协议来证明：（a）使用至kn 空间来存储这些副本，（b）能够检索D。 按照协议规定需要2kn空间：kn 空间用于存储文件D的k 份副本，以及kn空间用于存储空间证明所需要的随机数据。但是最理性的方案只需要存储随机数据和⼀份文件D的副本。这样的话总共需要（k+1) 空间就可以让证明⼈通过协议验证。

尽管可检索性证明可以在私有审核⼈的设置中提供数据重复的证明，在此过 程中客户端将数据发送到服务器之前先对手中的数据进行预处理。它们的安全性依赖于非合谋客户端私下对数据进行预处理。对于数据重复的证明来说，复制证明比标准可检索性证明的⼀个优点是，多个客户机向单个数据库提供数据，不需要信任任何⼀ 个客户机来预处理数据。复制证明还可用于提供公开数据的存储证明。例如，在大规模分布式和开放的状态复制系统（例如比特币）中的⼀致服务器可以提供⼀个复制证明，用于存储状态机转录本的完整历史（例如，比特币这样的区块链系统中，被称为存储“链” 的“完整节点”）。与可检索性证明不同的是，复制证明可以用于提供这种证明，而不需要 所有审核⼈向服务器发送他们自己预先处理过的公共副本（这将导致不实用的通信）。

复制证明为数据复制提供了⼀个可公开验证的证据，确保数据复制过程⾯对那些遵守“c- 理性”诚实战略的对手是安全的。在博弈论中，“c -均衡”的概念是纳什均衡的实现。均衡状态下没有任何⼀个玩家能通过单方面改变他的策略而取得超过原先收益ε的收益。方案的概念适用于⼀个恶意而懒惰的对手，或者是与现状偏差（status-quo-bias）假设相结合：你在沙发上，电视遥控器在房间的另⼀边，你只能看同样的频道。加密协议 中，这是⼀个不可思议的脆弱的安全性属性。但是非常简单的原因，⾄少用于加密分析的标准计算模型中，它实际上是复制证明能够实现的最好的安全性。简而言之，任何存储 k个文件独立副本的证明⼈都可以有意地将这些副本关联起来，以使其仍然能够高效地以原始格式检索每个副本。例如：证明⼈可以加密这些副本并存储密钥。

复制证明的主要用途很可能不是证明这种微弱地鼓励复制的存储系统。复制证明所具有的特性使其独特地适用于中本聪共识机制(也被称为区块链共识)。复制证明作为⼀ 个有用的空间证明，可以代替比特币的⼯作量证明，以抵抗⼥巫攻击。中本聪共识机制及其变体是⼀种特殊类型的状态机复制过程。由协商⼀致的参与者组成的、未受允许的、异步的、分布式的⽹络管理，附加特性是状态机本身对可交换的价值通证（token）进行编码。共识机制的⼀个确定特征是，它们能够在状态机中创建新的通证，以奖励和激励共识的参与者(称为矿⼯)，并认为这些通证代表真实世界的资产。

引⼊ε-理性复制的⽤途显而易见了：它表明将数据复制策略从弱均衡策略推到强均衡策略所需的成本为ε 。它代表了在忽略其他市场变量的经济模型中，客户必须⽀付的ε成本。此成本用以说服矿⼯将真实数据而不是随机生成的无用数据编码于复制证明中，因而体现了系统（例如Filecoin）补贴存储成本的程度。当前，复制证明正处于经济学和密码学令⼈激动的交叉路口。