标签：随机性 公钥 系列 比特 基本原理 工作量 哈希 密码学

剖析工作量证明

工作量证明（Proof-of-Work，PoW）一开始发明的时候是用来防止垃圾邮件的。不一会之后，它就被用在电子现金系统中 [作者注1]。

表象之下，PoW 中的挖矿实际上在做的事情就是将动能（电力）转化为一个账本区块。一台矿机重复地运行哈希计算，直到它解决一个密码学难题。所有的哈希运算都会被丢弃，除了那个能够解决问题的哈希值。

这个渺小的哈希值，计算它只花费了非常少的能量，却是为了产生它而要求付出的大量能量的直接表现，是挖出区块的证明。若要重写区块，后来的一个攻击者同样要运行哈希计算，次数跟原来产生它要求的次数大致相等。

让我们再重复一遍：反写需要花费相同次数的哈希计算，但不是相等数量的能量。因为那个哈希值只是花费能量的一个表现，却并非能量本身。

斗转星移，这个哈希值作为一个代表会变得越来越不精确，因为后来升级的硬件会变得越来越有效率。能量本身不会变化，但它的旧日代表会逐渐“漏损”。

另一种观察这一过程的方式，是将 Pow 挖矿想象成为虚拟的区块附加物理重量。时间流逝，变老的区块会被破坏、变得越来越轻。假定其它区块的重量不变，这同样也会减少整条链的重量。

比特币对抗这种磨损过程的方式是不断创建新的区块，加入新的重量。这保证链的顶端在当时总是很重的，因此保护了整条链的完整性。 重的链 == 安全的链

（有些人说，“最重的链”要比中本聪说的“最长的链”更加准确。“最长的链”这一术语很容易误导人，因为我们使用这个词时意思并不是字面意义上的长度。）

SHA256 是比特币工作量证明挖矿使用的哈希方程。SHA256 保护这个账本不被重写。一个哈希进，一个哈希出；挖出一个哈希，要反写就需要一个哈希。就是这一点，给予了比特币不可篡改的属性 [作者注2]。

仔细想想，你会觉得它真是太神奇了。哈希计算竟完全服从于保护账本的目的！现实世界中，很少有什么东西是 100% 无保留地贡献自己同时又是高效的（举例来说，汽油和内燃机就不是这样）。

现实中，哈希方程可能也不是 100%的，但也是接近于这个值的。因为不可逆转性依赖于哈希结果是完全随机的（就像你摇骰子一样），而算法是无法真实地模拟现实世界的随机性的。

幸运的是，对我们来说，像 SHA256 这样的哈希函数已经被证实是充分随机的，也就是所谓的”伪随机“。我们已经对 SHA256 做了很多年的检验和压力测试，在这背后有一堆研究文献。所以，这里尚不存在什么我们需要太担心的东西。

基本上，我认为，给区块“附加能量”的想法是对的，并且有可能是唯一一种在实际上模拟不可更改性的办法。

使用消耗掉的能源为一个区块背书允许我们客观地评估不可更改性。相反，任何不基于能量的办法最终都会要求某些人对不可更改性的主观诠释 [作者注3]。

通过为一个区块附加能量，我们使它具备”形式“，使它拥有真实的重量，并在物理世界中造成影响。我们同样可以认为工作量证明是一种将一堆 0和1 注入现实生活的魔法。

换句话来说，工作量证明是电子世界与物理世界之间的桥梁。

把这一点跟以太猫比比看？它们是由一些人创建的，并由他们在自认合适的时候修正和移除。他们的独特性和存在性既不被保证，也不可信赖。

即便当前工作量证明的变体失败了，我有信心，会有其它为区块附加能量的方式。

我的结论是，工作量证明在区块链中的应用也许会被证明是极其重要和广泛的，更甚于一开始意想中的那样。工作量证明给了我们不可更改性，不可更改性给了我们不受……的货币，而这种货币，可能会潜在地改变这个社会组织自身的方式（要更深入地思考，请看尼克·萨博的绝妙文章《社会可扩展性》）。

---

作者注1：在电子现金中使用工作量证明的想法也许根植于90年代末戴伟（Wei Dai）的 b-money 和尼克·萨博的比特金提议。哈尔·芬尼（Hal Finney）在2004年创造了工作量证明在电子现金中的第一个实现（RPOW）。

作者注2：不可更改性是一个相对的概念。我们说”不可更改性“时，通常的意思是，它在实践是哦那个是不可更改的，而不是绝对不可更改的（译者注：即在技术上不可更改）。即便黄金，加入足够多的能量也会熔化。

作者注3：其中一种办法是权益证明（Proof-of-Stake，PoS）。请看我评论权益证明的文章，理解其中的陷阱以及为什么它可能不如工作量证明。（编者注：中译本见文末超链接《权益证明与错误的工程思维》）

 

比特币，概率与随机性

---

-比特币工作量证明机制（PoW）和这对骰子遵循相同的规律-

随机性构成了比特币工作量证明（PoW）的基石。但我们是怎么实现的？

随机性研究简史 [1]

随机性一直是我们生活中不可或缺的一部分。很多古老的占卜仪式都是基于偶然性的：希腊人的抛骨（动物关节）占卜，中国人的抽签占卜，西非人的欧佩尔占卜链。在游戏和赌博中使用的类似骰子的物件也可以追溯到数千年前。

-签卜-

然而，直到16世纪，我们才开始发明出必要的工具和语言来真正理解概率和随机性。这些工具包含一些算数概念，例如分数和数字零。

概率和随机性的研究始于一位名叫杰罗拉莫·卡达诺（Gerolamo Cardano）的人 [2]。1501 年出生于意大利的卡达诺知识渊博，是文艺复兴时期最具影响力的数学家之一。他也是一个臭名昭著的赌博成瘾者。由于嗜赌成性，卡达诺最终一贫如洗，变得默默无闻。然而，正是他在赌博方面的经历，使他得以写出《运气游戏书》——这是第一本系统分析概率和随机性的书。有趣的是，卡达诺打算将这本书保密。这本《运气游戏书》自写成到出版相隔一个世纪，远迟于卡达诺离世。

-杰罗拉莫·卡达诺（1501-1576）-

卡达诺对我们理解偶然性和随机性所做的主要贡献是提出了样本空间的概念。在最基本的层面上，计算事件的概率很简单，假设所有场景发生的可能性相同，计算可能导致该事件发生的场景数量，然后除以所有可能场景的总数（“样本空间”）。这个假设虽然只适用于掷骰子之类的问题，但是一个好的开端。

紧随卡达诺其后的是伽利略和帕斯卡。伽利略是那个时代反叛知识分子精神的完美化身：与最强大的天主教会作对，并宣称地球不是宇宙的中心。伽利略写了很多重要的著作。在一个不是很出名的作品《关于骰子游戏的思考》中，他探讨了卡达诺同样感兴趣的类似主题。

与费马和笛卡尔同时代的帕斯卡比卡达诺和伽利略走得更远。他发现了我们今天所说的帕斯卡三角。尽管其他国家（如：伊朗、中国和印度）的数学家早于帕斯卡几个世纪就发现了相同的三角排列，但帕斯卡三角是最全面的，而且增加了新的应用，尤其是在概率论领域。帕斯卡还介绍了“帕斯卡赌注”及数学期望的概念。

从卡达诺、伽利略和帕斯卡播下的种子中，我们对概率和随机性的理解慢慢加深，随着时间的推移逐渐变得更加复杂和精妙。这是文艺复兴时期的共同主题：一些基础领域的突破（例如天文学、牛顿物理学、微积分、经验论）奠定了科学基础，创造了新的学科分支以及重大技术创新，并最终走向了工业革命。

以下列出了我们在探索概率与随机性的过程中著名的里程碑：

• 样本空间
• 排列组合
• 帕斯卡三角
• 大数定律
• 小数定律
• 贝叶斯理论——条件概率
• 正态分布&标准方差
• 均值回归
• 随机游走
• 蒙特卡罗模拟
• 伪随机性

-正态分布（也称钟形曲线）——图源：Dan Kernler / CC 4.0 -

两大最主要的理论发展是：蒙特卡罗模拟 和 伪随机性。主要原因是它们与当今世界联系密切。

计算机的发明打开了通往全新随机性应用的大门：计算机模拟。这是有史以来第一次，我们可以以较低的成本一遍遍重复地做实验来“预测未来”，或者说是揭开隐藏的真相。计算机的出现解决了大量模拟实验的成本问题，这在以前是不可想象的。

20世纪初，蒙特卡罗模拟技术的发明标志着人类历史上的一个重大转折点。在文艺复兴之前，人类经常生活在对随机性和不确定性的恐惧之中，到了20世纪后，我们逐渐提升了对随机性的理解，但仍在很大程度上让随机性决定了事物的走向。通过蒙特卡罗模拟技术，我们开始利用起了随机性，从当初的小白成为了现在的大师。

值得注意的是，蒙特卡罗模拟的先驱包括约翰·冯·诺依曼和阿兰·图灵这两位现代计算机教父。

如今，蒙特卡罗模拟的应用范围很广：举几个例子，有流体力学、商业、金融、人工智能等。关于蒙特卡罗模拟如何（结合其他技术）引导我们获得新发现，最近的 AlphaGo 事件就是最好的例子：AlphaGo 拥有丰富的围棋资料库，利用完全超越我们想象的步法击败了最顶尖的人类选手。AlphaGo 挑战了机器不可能具有创造性的观念，强迫我们重新思考“创造性”的真正含义。

蒙特卡罗模拟方法的日益普及促进了“伪随机性”的发展（伪随机指的是看似随机，并非真正意义上的随机），因为良好的模拟需要能够密切反映现实中的随机性。这种过程产生的数字是确定的，但它们通过了被认为是“随机”的统计测试。相应地，伪随机性成为了一个全新领域的基石之一——也是计算机时代的产物：现代密码学。

它引导我们走向了比特币。

随机性在比特币中的作用

比特币的一项主要创新是使用工作量证明来建立分布式共识。PoW 提供了一个客观的尺度，以此帮助比特币网络参与者在无需建立互信关系的情况下达成共识。这与权益证明之类的方案不同，后者依赖对共识的主观诠释。本节假设 PoW 是实现区块链的唯一安全方式。（要复习 PoW 的相关内容，请阅读第 1 部分：剖析工作量证明。）

PoW 中的“工作”指的是寻找一个以连续的“0”为开头且“0”的数量超过一定下限的哈希输出。（哈希输入有一些限制，例如格式和时间戳等）

比特币的 PoW 机制使用的是被称为 SHA256 的密码学哈希函数。密码学哈希函数的一个重要特征是 单向性。这意味着不可能根据哈希输出一眼就推断出哈希输入。单向性很大程度上还取决于 哈希输出的随机性。

经证明这是非常关键的，因为如果哈希函数没有产生足够随机（“伪随机”）的输出，那么就可以从一个指定输出，即一个开头含特定个“0”的字符串，开始倒推。在最好的情况下，这会使工作量证明变得不可靠（校对注：即无法真实反映付出的工作量），在最坏的情况下则会让它变得毫无用处。

简单来说，典型的 PoW 机制的运作流程是：（a）提出一个求解范围很广的问题，（b）没有捷径，（c）求解的唯一方式是强行随机搜索这个范围。就像在巨大的干草垛中寻找一根针一样。（正式的计算机科学术语是“无限概率迭代过程”——非常恰当）

因此，哈希函数的随机性决定了证明的强度。

哈希（提供）→随机性（支持）→工作量证明

“...一个好的难题让每个矿工都有机会基于他们所贡献的哈希算力按比例解出下一个难题。这就好比随机投掷飞镖，不同尺寸的目标区域对应不同矿工拥有的挖矿算力。”——阿文德·纳拉亚南 [3]

没有正式的证据表明随机性是 PoW 的强制性要求，但从经验上看，这似乎是正确的。稍稍观察下就能发现，凡是非随机性求解的问题，求解和验证所需的工作量一样多。任何这样的机制在可扩展性方面都会受到严格限制（请记住，比特币难以在当前架构下扩展）。它还会过度青睐速度最快的矿工——以至于速度稍微慢一点的矿工什么都赚不到。

基于随机性的 PoW 的另一个好处是挖矿资格的开放性很强：矿工可以随时加入或退出。他们可以在区块刚被发现时就立即加入，或者 5 分钟后再加入也没关系，他们获得下一个出块奖励的概率也不会改变。

那为什么要使用哈希函数呢？这是实现随机性的唯一方式吗？可能不是。除了哈希，还有其他已知的方法可以模拟随机搜索的过程，例如整数分解或离散对数。

因此，哈希很可能不是实现随机性的唯一手段，而随机性却是创建数字化工作量证明机制的必要前提。

PoW 机制分为两大类：

• 计算密集型：随机搜索受处理器速度限制
• 内存密集型：随机搜索受内存访问限制

上述哪个类别更胜一筹还有待观察（我个人认为内存密集型逊色一点 [4]），不过二者的内在机制是相同的：基于概率随机搜索大范围的解，且验证任意解的成本很低。

总之，只要人类尚存，就会与随机性和不确定性死死纠缠。随着 20 世纪现代计算机和蒙特卡罗模拟的发明，我们第一次将随机性转变为我们的优势。在比特币中引入随机性标志着这一漫长旅途中的又一个里程碑。简而言之，随机性在工作量证明中起到了为“证明”背书的作用。如果没有随机性或足够好的伪随机性，工作量证明将变得无效。

如果比特币能在未来成功地变成一种货币，那么它将成为我们迄今为止最重要、规模最大的随机性应用。

---

感谢 Steve Lee 和 Nic Carter 提供的宝贵意见。

[1]： 有关随机性的详细历史，请参阅伦纳德·姆洛迪诺（Leonard Mlodinow）的“醉汉走路：随机性如何控制我们的生活”。

[2]：不要与加密货币 Cardano 混淆，具有讽刺意味的是，该加密货币是基于权益证明的。

[3]：阿文德·纳拉亚南，《比特币和加密货币技术的全面介绍》一文的作者。

[4]：内存密集型 PoW 方案的几个潜在问题：

• 内存密集型 PoW 仍然需要计算，不过是在内存技术已经趋于平稳的假设下运行的，这使得内存成为挖矿操作的主要瓶颈。但如果这个假设被打破，你可能就要面对两股中心化力量（ASIC 和内存），而非一股中心化力量（ASIC）。
• 内存密集型 PoW 中使用的内存很可能在挖矿之外具有可再利用性。这可能会对网络安全产生负面影响，因为这可能会导致攻击者从其他人那里租用内存（因为任何可再利用的东西很有可能供应充分并出现偶尔的供应过剩），从而降低了多数攻击的成本。一般而言，出于比特币安全性的考虑，硬件的可再利用性是不可取的。

密码学如何重新定义私有产权？

 

密码学是一门研究保护及破译密码的艺术。比特币运用一种叫作公钥密码学的特殊密码学来使其价值储存及转移系统更为便利。正是通过这一机制， Alice 才能保证其比特币无轻易失盗之虞，或将一部分比特币发送给 Bob，又或 coinbase 奖励才能发给矿工。“Cryptocurrency”这一术语正是来源于“crypto-”（校对注：原意为“隐写术”，代指密码学）和“currency”的结合。在比特币基础教程系列的这第三部分里，我们将探讨在创造数字硬通货及其在社会影响的过程中，公钥密码学所发挥的作用。

为了充分理解公钥密码学的重要性，我们必须先退几步来理一下，从原理上讲，我们的社会是如何围绕财产的概念组织起来的。

什么是财产？

财产从未被废除，也永远不会被废除，只不过主人会变而已。有史以来最公平的制度是每个人，而非没有人，[都] 拥有财产。 --- A. N. Wilson

财产的范围非常广泛，并且，由于社会认同和环境的变化，财产概念的构成部分经常会变。比如，早期所讨论的财产几乎一直都只指土地。因为那时土地是导致冲突及权力争夺现象不断出现的主要源头，所以土地自然就占据着古代思想家们的头脑。之后，随着社会的发展，财产就扩展到包括无形资产，如专利和版权，然后又延伸到包括一切被认为是生存及自由所必需的东西。

给个正式定义的话，财产是一个由当地主权国家所定义和实施的法律概念。具体实施依据政治制度，从君主制到共产主义再到民主制等各有差异。

关于财产的讨论要追溯到希腊文明时期。柏拉图 (Plato) 和亚里士多德 (Aristotle) 这两位西方哲学之父为后来绵延 2500 年的激烈且有时极度血腥的争论奠定了基础。

柏拉图可能受了斯巴达人 (Spartans) 的影响，他反对任何种类的私有财产，包括男性的老婆和孩子。他抵制“我的”和“不是我的”以及“他的”和“不是他的”这些概念。他认为私有财产会腐蚀人的灵魂：它会使人贪婪、嫉妒和暴戾。一个理想的柏拉图式社会将彻底消灭私有财产。这一学派后来发展成了一个成熟的体系，共产主义之父卡尔·马克思 (Karl Marx) 对此多有建树。

亚里士多德，即柏拉图最优秀的学生，则持不同想法。亚里士多德反对柏拉图认为公共财产能消除恶习及暴力的观点，他认为共享财产的人会比那些自己享有私有财产的人更容易发生冲突。亚里士多德还认为私有制对社会进步至关重要，因为只有关系到个人切身利益时，人才会努力争取。而且，只有当个人的私有财产权受到尊重，人们才有机会充分成长、成为品行端正的人。正如史学家理查德·派普斯 (Richard Pipes) 雄辩地指出：“人类必须有所得，才会付出行动。”

-柏拉图（公元前 427-347 年）和亚里士多德 （公元前 384-322 年）-

柏拉图反对私有财产的中心论点建立在道德的基础上。亚里士多德也以道德为基础回应了柏拉图。但是亚里士多德的一些论点超出了道德范畴，可归于经济实证领域。（有趣的是，亚里士多德和他的老师一样，反对贸易和追逐利润，因此他没有建立一个自洽的经济学框架。）

自柏拉图和亚里士多德以来，关于财产的讨论主要包括四个方面：道德、政治学、心理学和经济学 [1]。其中关于私有财产的心理学和经济学理论可能是最重要的，因为它们想解释真实世界为何如此，而非构想世界应该是什么样子。

关于财产的一个基本问题是，财产和主权到底哪个更先产生？

一些有影响力的思想家，如哈林顿 (Harrington) 和洛克 (Locke) 就认为财产要先于主权。他们认为即使国家不存在，人类也能凭直觉理解财产。

对于他们而言，国家的主要职能就是保护产权。评价一个主权国家的标准是该国对这一职责的履行程度。洛克进一步推论：如果一个国家未能履行其保护产权的职能，那么个人有权反抗国家。资本主义和现代经济学之父亚当·斯密 (Adam Smith) 持有类似观点。斯密意识到财产与政府彼此依赖，但仍主张“没有财产，文明的政府是不可能存在的，因为其主要职能就是保护财产所有权”。（然而，在产权是否是“自然的”这一问题上，史密斯与洛克的观点不同——他认为产权是“获得的”权利，而非“自然的”权利）。

相反，其他思想家们，尤其是霍布斯 (Hobbes)，则认为恰恰相反，财产是由国家创造出来的。他认为财产只是权威的产物，是对权威的认可 [2]。

尤其是在 20 世纪后半期，越来越多的证据证明哈林顿和洛克的观点是正确的。20 世纪发生的一场大规模的社会实验试图通过传播共产主义来废除私有财产。这一实验引发了冷战和世界上数不胜数的代理战争（校对注：proxy war，意思是指使第三者来发动的战争），于 1962 年古巴导弹危机时达到高潮，并最终于 1991 年苏联解体时戏剧性收尾。苏联解体后，其余的共产主义国家分为两大阵营。有些转向了资本主义，如很多中欧和东欧的国家。有些则只是名义上的共产主义，如中国和越南——在这些国家，政治体制自称代表“资产阶级”，但经济的运行方式与资本主义国家很相似。几乎所有幸存的共产主义国家都已经采用了自由市场意识形态，且被迫要（在一定程度上）尊重产权以便存活下来。

总之， 20 世纪向我们展示了一点，即那些未能发挥保护产权作用的政府要么下台了要么最终被迫尊重私有财产。这就证明了国家服从财产需要，且是其衍生物，而非相反。总的来说，财产先于国家。

虽然这样，但在短期到中期，个人确实还是要依赖国家来保护他们的产权，而且如果国家未做到这点，个人会承受很多痛苦。我们来看看密码学是如何帮助打破这个依赖循环的。但是首先，我们要快速回顾一下现代密码学是如何产生的。

公钥密码学

在近代以前，密码学的发展一直是由战争和相互竞争的国家来推动的。

在二战 (WW2) 以前，古典密码学给人的感觉更多是晦涩难懂，而非数学上的严谨。如果里面涉及任何数学，那只是偶然。这一点随着技术的发展出现了变化：

• 电报的发明极大地增加了要保护的数据量
• 无线电的发明提高了对公共通信渠道加密的需求，因为求助于低可侦测性技术并不可靠
• 计算机的发明给密码分析带来了令人难以置信的算力；破解密文也变得容易多了

这些发展到二战期间达到高潮，盟军在艾伦·图灵 (Alan Turing) 的鼎力帮助之下，英勇地破解了德国最先进的密码装置恩尼格玛密码机 (the Enigma machine)。恩尼格玛密码机的破解毫无疑问终结了古典密码时代（校对注：此处及下文的“密码”（cipher）指的都是某种加密及解密方法，而非 password（登录系统用的口令）或者一段具体的密文），并呼唤密码学家寻找更强大的密码——建立在更坚实的数学基础上的密码。

-一个时代的终结：恩尼格玛密码机——图片来源：LukaszKatlewa, CC 3.0-

幸运的是，我们有探索前进道路的线索。古典密码的一个主要问题是所谓的密钥分发问题——一个对所有对称密码而言都很普遍的问题（对称密码是指用同一个钥匙去加密和解密的密码学技术）。在对称密码使用过程中，由于不推荐密钥重用，（发送一次密文就需要一个密码，因此）要分发的密钥数量就与要被保护的数据量成正比——如前所述，需要保护的数据量以前所未有的速度激增。因此，当时的一大研究领域是寻找廉价而安全的大规模分发密钥的方法。对非对称密码的洞见始于一些密码学家们反过来思考这个问题：我们真的需要分发密钥吗?

这一研究方向最终把搜索范围缩小到了单向函数，且不久就找到了全新的解决办法——一个不需要分发密钥的解决办法。 Diffie、Hellman 和 Merkle 于 1976 年发现了公钥密码学，即有史以来第一个非对称密码。一年后，Rivest、 Shamir 和 Adleman 发布了第一个实现，即现在著名的 RSA 算法。在 RSA 算法发明的几年前，英国的 Ellis 和 Cocks 独立发现了公钥密码学，但并没有实现。而且， Ellis 和 Cocks 的研究是保密的，长达 27 年都没有公开承认过。

至此，公钥密码学这一现今被认为是 2000 年来最伟大的密码学成就诞生了。这一技术花了几十年才渗透到大众当中，这在很大程度上要归功于密码朋克运动的努力。密码朋克预见到国家垄断这项新技术会造成巨大的权力不对等和对个人自由的潜在威胁，便承担着令人难以置信的风险把公钥密码学带给平民百姓。他们成功以后，大门便一直敞开、再也不受人控制了。有史以来第一次，个人可以负担得起军用级加密技术了。

但是直到比特币被发明出来，公钥加密学才得以发挥其所有潜能。其在数字硬通货里的运用将重新定义私有财产。

私有数字产品：一个自相矛盾的说法？

个人电脑和网络的出现带来了一个新的资产类别：数字产品。数字产品是用不同编码格式打包的无形信息数字位，比如维基百科文章、MP3 文件、软件等等。

数字产品开创了一个以前从未见过的信息分享新时代。任何信息都可以以几乎为零的边际成本迅速复制并大规模分发。

然而，早期数字产品并没有显著改变私有财产的属性。事实证明，数字产品是出了名地难以保持隐私性。

建立对数字产品排他所有权的问题在于数字产品是可复制的。但这并没有使人们停止尝试。国家和企业对数字产品施加控制的首选方法是制度。比如，美国制定了一项复杂的出口管制和法规计划来防止机密（尤其是先进技术的知识）被泄露给其他国家。在企业中，三大唱片公司和五大电影制片厂花了一大笔钱为反盗版法游说，以及控告那些违法的人。同样，大型软件公司也在学习如何建立专利战资金。在这过程中，他们利用专利制度来削弱小公司。在最好的情况下，实施数字资产排他性的监管解决方案也是既昂贵又无效。而在最坏的情况下，他们创造了一种只有少数玩家才能钻制度的空子的环境。

非监管解决方案同样无效。有一个这样的例子就是数字版权管理 (DRM),一种旨在限制数字产品使用的访问控制技术。 DRM 确实提供了一些基本的安全措施来防止盗版。然而， DRM 有一个致命的弱点：只要安全措施被攻破一次，就没有追索权了。

我们在创造数字排他性方面看到的有限成功来自游戏行业。游戏开发者发现如果他们可以在自己设计的游戏里创造虚拟物品（数字产品的一个子集），这些物品可加到游戏设定里去，也可以是一个不错的奖金收入来源。由于游戏开发者 100% 控制着这些虚拟物品的运作环境，他们可以对这些虚拟物品施加一些限制，而这些限制在其他情况下是不可能的，包括让这些虚拟物品难以访问或极为稀罕。然而，游戏内虚拟物品的应用有限，且游戏用户依赖游戏开发者不要改变游戏规则。

这样看来，数字产品和私有财产似乎是相悖的。如果某物是数字化的，则该物几乎不可能成为私人的或只归某人所有。私有数字产品听起来就像是一个自相矛盾的说法。

无法排他地拥有数字产品意味着所有人都可以利用它们。个人可以利用数字产品来提高自己的能力，但国家也可以通过数据收集、监管和宣传来使自己更强大——有了数字产品，一切都更容易了。纯粹的数字产品不会改变个人与国家之间的权力结构。

但是，只要我们克服了两大主要障碍，数字产品就能成为私有财产：

• 稀缺性：无限量复制和分发数字产品的便利性正是使得排他性所有权难以实现的原因。
• 可转移性：通过销售来处置资产的能力是所有权的重要组成部分。没有了这种能力，所有权就没什么用处了。

结果证明这两个所需属性也是货币的先决条件。如果我们能创造一种稀有且可转移的数字产品，那这种产品不仅可以为私人所有，它还会变成一种很好的价值储存手段，而且最终会成为一种新的货币形态，即数字“硬”通货。

比特币解决了这两个问题。比特币创造了数字稀缺性，它在软件中给自己强加了一个固定的供应量上限（作为一种共识规则)，然后通过一个去中心化的挖矿机器网络用很多能量（以工作证明的形式）来保护共识规则。只要挖矿的权力是足够去中心化的，就几乎不可能改变这一先定的供应规则或使网络瘫痪。我们在本系列的第一部分深入讨论了这一关键性创新。

另一方面，可转移性的问题可通过利用公钥密码学来解决。具体说来，公钥密码学的一个独特应用就是生成难以伪造的数字签名。数字资产可以与一个公私密钥对结合在一起。这个钥匙对之后可以根据需要生成任意数量的数字签名，每个数字签名代表一件标的资产。这些数字签名有效地“标记”了资产，使之能在个体间进行转移 [4]。

总之，公钥密码学，加上数字稀缺性，给了我们数字硬通货。数字硬通货继承了数字产品的所有优点：即时、无国界性和不可调控或控制性。最重要的是，这一硬通货可以为私人所有。

-使用公私密钥对的数字签名——图片来源：维基百科，CC 4.0 -

此中的革命性，无论如何夸大都不过分。

有史以来第一次出现了一种完全独立于司法权和法律的私有财产形式 [5]。私钥及其控制的比特币是 事实上的 私有财产，而非 法律上的。

公钥密码学在数字硬通货中的应用极大地改变了束缚了人类社会数千年的社会契约：个体需要国家来保护财产，而国家反过来需要个体为其持续存在提供资金。人们不禁要问，如果保障财产的安全性是一个国家的主要职能，那么在一个依靠数字硬通货来运转的世界里，国家的作用——和权力会显著减弱吗？

总之，公钥密码学在数字硬通货中的应用重新定义了私有财产，并有可能根除我们所知的社会基础。其后果可能需要几十年才能显现，但一旦发生，其影响便会极其深远。

致谢

特别感谢 Jimmy Song、 Hasu、 Nic Carter 和 Steve Lee 的极具价值的反馈。

[1]: Property and Freedom, Richard Pipes

[2]: Property and Ownership, Jeremy Waldon

[3]: The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, Simon Singh

[4]: 很可能公钥密码学是标记数字化资产的唯一方法。想象一下，你能用对称密码实现比特币吗。

[5]: 像黄金这样的实物资产可以且经常受到严格监管。例如，在大萧条时期，罗斯福 (FDR) 宣布私人黄金非法并没收。

比特币的激励机制与理性个体

 

比特币主要由三个部分组成。其中，工作量证明和公钥密码学这两个部分均基于数学层面，第三个部分则是人类行为。说白了，比特币要想持续运行下去，是需要人来维护的，因此离不开经济激励系统。

这样说难免让人诧异，因为跟诸如计算机和人工智能这些现代科技的严格数学性大相径庭。但只要了解一下历史，我们就会发现有很多事情是我们无法预料的。毕竟，我们人是水做的骨肉，又不像“干巴巴”的冷血机器那样可以一直准确地进行计算。我们的想法瞬息万变。不仅如此，我们还会彼此争执，在很多事情上无法达成共识。

那我们如何基于变化无常的人类行为创造技术？

比特币过去 10 年的发展史给了我们一个肯定的答案，并且，其中的创新性不亚于对工作量证明和公钥密码学的利用（关于这两点我们在本系列文章的前三篇已经深入探讨过了）。

比特币激励机制的前提是参与者都是 理性的。只有这样，参与者才会积极参与挖矿，并且购买和持有比特币。理性是个极其重要的概念，却常常被认为是不言自明的，因此值得进行背景探讨。

经济理性

在经济学中，理性（或 理性经济人）的定义存在很多争议，经济学界依然没有对此达成共识。不过，经济理性的核心含义是个人的行为旨在获得最大的期望效用。也就是说，在面临多个选择之时，个体会选择幸福感最高（即净效益最多）的那个，用总利益减去总成本来衡量。这就是著名的预期效用理论。

这个理论最开始是由 Gabriel Cramer 和 Daniel Bernoulli 在 18 世纪提出的，然后其影响力逐渐扩大。时至今日，预期效用理论已经成为了主要的经济学理论之一，并且广泛应用于多个经济模型和实际政策之中。

然而，到了 20 世纪下半年，有人开始提出质疑：人们是否真如预期效用理论所说的那样，依照经济理性行动？

在能够对选择及其后果进行清晰衡量之时，我们当然会做出最优决策。然而，在选择较为复杂且后果不够明晰之时，我们的决策就会发生偏离。现实世界中更多的是后一种情况。所以，也许人是理性的，但由于可获得信息和认知能力的局限性，人们的理性也是有上限的。

换言之，只有当涉及的数学运算较为简单之时，人们才是理性的。这就是 Herbert Simon 在 20 年代 50 年代提出的“有限理性模型”。

后来，Daniel Kahneman 和 Amos Tversky 注意到非理性行为实际上是很常见而且非随机的，在 1979 年发表的论文中提出了前景理论。前景理论描述了人类行为中的几个系统性偏好——例如损失规避，常常会引导我们做出非理性行为。

前景理论是行为经济学的基础。它还引发了一场变革经济学的运动：其理论更多基于真凭实据和数据，而非抽象教条的理念。

理性行为的生物根源

“我们都是求生机器——被机械地输入了某些程式，以保存那些叫做基因的自私分子。“
”在一个复杂的世界中做预测是非常冒险的事。求生机器的每个决策过程都是一场博弈，基因会预先对大脑进行编程，让它们做出能够得到回报的决策。人的进化过程就像是在赌场里博弈，生存就是筹码，严格来说，基因的存活就是筹码，不过出于种种目的，说是个体的存活也不为过。“—— Richard Dawkins [1]

理性也是扎根于生物学的，当你将适者生存看作基因层面而非个体层面的竞争之时更是如此[2]。这也被称为自私基因理论，由 John Maynard Smith 、 W.D. Hamilton 和 Richard Dawkins 等人发扬光大。自私基因理论假设 DNA 是一代又一代人之间进行信息传递的主要途径。人类会不断趋向进化稳定策略（校对注：进化稳定策略指的是演化中出现的某一种策略，在同等环境应对种内竞争的其它策略时都会胜出，或者说在概率性调整之后总是实现正收益）。

我们每个人都是有生理联系的，在繁衍后代的过程中将我们的基因传递下去，然而这世界上的资源都是有限的，我们注定要为之竞争。这就意味着在同等条件下：

• 一旦我们发现了（物质或精神上）有利可图的机会，就会启动默认的行为模式，抓住这个机会增加我们的生存概率，好迎接充满未知的未来。

• 如果出现了两个及以上的机会，而且它们带来的利益是可以准确衡量的，我们会选择更有利的那个。再强调一遍，这样做是为了增加我们的生存概率，好迎接充满未知的未来。

这就跟预期效用理论差不多，只是从进化论的角度重新阐述了一下。

实际上，利益的衡量是很主观的，只有在使用通用计量单位（UoM）（例如黄金或美元）的情况下才能在个体之间进行转移。在“囚徒困境”这个例子中，刑期就是一种通用计量单位。如果通用计量单位不一致或是很难换算，衡量利益的难度就会加大。例如，一年的刑期值多少钱？

因此，理性虽然是被编码到基因里的，但是有点类似启发式算法。毕竟基因没法让世俗的信息变得更容易获得，也不能降低自然界中固有数学问题的复杂性。不过，它可以确保我们选择一种赢率较高的策略：给我们编制好程序，驱动我们在一个资源紧缺的世界里争夺资源。你最后得到的可能比你需要的更多，不过就算你争抢太过，也好过你将来后悔。

比特币的激励机制

在上文中，我们已经指出，虽然人的行为是变化无常的，而且会受到系统性偏见的影响，但是在人的基因层面上，可能存在有限理性。我们碰到的问题越简单，涉及到的数学计算越简单，就越有可能做出最优的理性选择。

在这种情况下，比特币的激励机制主要属于这一类型。那么，比特币的激励机制是什么样的呢？

（a）货币总量固定：比特币总量不超过 2100 万个。

（b）挖矿补贴：每当有矿工挖出一个区块，就会发行出新的比特币。挖出一个区块产生的比特币数量都会按几何级数递减，每挖出 21 万个区块（大约需要 4 年时间），产生的比特币数量就会减少 50% 。本文截稿之时（ 2018 年 12 月），每个区块的补贴是 12.5 个比特币。

（c）交易费：用户会在交易中包含交易费，作为处理交易的服务费支付给矿工。交易费受到市场供求关系的影响。如果区块中的交易数量较多，交易费就高；如果区块中的交易数量较少，交易费就低。

让我们逐条分析一下，看看理性在这些激励措施中起到了什么样的作用。

（a）货币总量固定是比特币最主要的经济激励措施。如果成功的话，比特币将成为世界上最稀缺的资产——远胜过黄金和钻石。在同等条件下，理性的人在面对多种资产之时会选择其中最稀缺的一种来存储价值。

（b）挖矿补贴是一种临时的激励机制，但在比特币的发展前期是非常重要的。包括比特币在内的大部分网络都面临鸡生蛋蛋生鸡的问题：在一个网络刚诞生的时候，第一批参与者从何而来？如果只想单纯地依靠志愿者的无偿贡献，这个网络是无法实现持久发展的。比特币的解决方案是以补贴的形式向早期参与者发放较高的奖励。如果人们是理性的，而且认为比特币会成功的话，那么补贴就是一种足够强的经济激励，使人们愿意承担初期的风险，以及比特币挖矿存在的不确定性等问题。比特币通过发放补贴的形式换得了足够长的时间，直至这个系统强大到足以抵御外部攻击为止。这也是最公平的一种分配比特币的方式：把它们交给信仰最坚定而且愿意做出贡献的人。但是，挖矿补贴并非长久之策，等比特币系统进入稳定发展时期后就会消失。

（c）交易费是比特币的第二个最主要的经济激励措施。正如上文所说，从长远来看，比特币必须取消挖矿奖励，否则就会和（a）中提到的稀缺性相冲突。正如中本聪所说：“挖矿奖励会在几十年之内变得很少，届时交易费将成为节点的主要补贴。”

如果交易费足够高，人们又是理性的话，挖矿行业就会得到稳健发展，从而保障网络的安全性。值得一提的是，相比于可预测的货币总量和超发计划，交易费是一个非常易变的因子，计算交易费的机会成本是很一个较为复杂的数学难题。比特币是否能过渡到交易费驱动模式尚待验证，这一过程能否顺利进行还需拭目以待。

由此可见，比特币的持久发展本质上极大地依赖于人的理性行为。从这一点来说，黄金比比特币更符合稳健货币的标准。如果人们不再选择将黄金作为货币（可能是在不理性的情况下），黄金并不会消失。它依然存在着，等到几个世纪之后还能东山再起。如果人们停止挖比特币了（可能是在不理性的情况下），比特币就需要自己维持运行了，甚至会停止运行。

除了这个劣势之外，比特币在其他方面都是一种比黄金更为理想的货币资产。

边注：开发激励

由于比特币是一种软件，需要参与者进行积极的开发和维护 [3]，关于发展激励这一问题还需要再强调几句。这个问题更像资源分配问题，而非数字稀缺货币的内在原理，跳过也没有关系。一般而言，比特币的开发激励与上文提到的激励机制不同。

不同于矿工，开发者在维护和开发比特币的过程中是没有直接的经济激励的。比特币的软件开发依靠的是一个开源软件系统——开发者们都为比特币的密码学朋克精神所感染，自愿在空闲时间做出贡献。这种方式看起来可能效率不高，并且，也许因为比特币的经济激励机制太过成功，很多替代币在协议里加入了开发激励，尝试解决低效的问题。

然而，在协议内加入开发激励是一件非常具有挑战性的事，因为它跟比特币原本的激励机制有着天壤之别。比特币的激励机制有两大特性：

• 共同目标可以通过数学定义：只要算出的哈希值小于或等于当前的难度值要求，矿工就可以得到奖励。

• 共同目标可以通过计算验证：任何人都可以以极低的成本验证矿工的工作，只有通过了验证，矿工才能得到奖励。

正是这两大特性实现了比特币激励机制的自动化。也就是说，它不需要任何人的干预，可以作为协议内的固定规则安全地存在。通常情况下，如果目标可以通过数学定义并且通过计算验证的话，协议内激励就可以实行。

然而，开发目标通常都是很模糊的[4]，既无法通过数学定义，也无法通过计算验证。例如，一个典型的开发目标是在确保比特币的网络安全和重要属性不变的情况下，将交易的处理量提高一倍。但是，业内对于如何界定“网络安全”和比特币的“重要属性”意见不一。这些开发目标就算能够达成，也很难通过低成本的方式进行验证。归根结底，这些开发目标需要主观的人力投入。因此，它们不适合构建在协议内，在增加成本的同时并不一定能带来收益。开发激励最好在链下实行。

---

总之，比特币不同于其他任何技术，因为它的核心成分之一是人类行为。这种技术是史无前例的。

比特币对于人类行为的依赖隐含了一个前提，即人类是理性行为者。这种理性前提是会在某些情况下被打破的，例如，可获得的信息有限，或者机会成本计算变得过于复杂，或者面对的是一群无欲无求的和尚，又或者是在一个资源无限丰富的世界里，人们的行为不会偏向于竞争或实现效用最大化 [5]。

尽管如此，有强有力的证据显示我们人类确实具有一定程度的理性，至少是有限的理性，足以使比特币存活下来。比特币需要理性参与者来实现网络的稳定运行；需要他们充值信仰，坚定地持有手中的比特币，从而提高其价格；需要他们在接下来的数百乃至数千年继续参与挖掘并维持整个网络。我们以及我们的后代能够永远保持理性吗？我们会不会犯傻，过早地抛弃这个想法，无论它有多么合理？

这是比特币基础系列文章的第 4 篇。全系列共有 5 篇，分别是 《剖析工作量证明》，《比特币、运气与随机性》，《密码学如何重新定义私有产权》， 本篇和 part 5（编者注：写了中文标题的文章皆可在 EthFans 网站上找到译本）。

致谢

特别感谢 Murad Mahmudov、Nic Carter 和 Steve Lee 的宝贵建议。

[1]：《自私的基因》，Richard Dawkins 著。

[2]：“一些研究表明存在贪婪基因。拥有较短的残忍基因片段（AVPR1a ）的人可能在行为上更加自私；残忍基因已经被发现。”（Wikipedia）你还可以看看迅速崛起的基因经济领域的相关研究。

[3]：最近，比特币的共识机制被发现有个漏洞（CVE-2018-17144），然后立即修复好了。 如果这个漏洞被利用，一些比特币节点可能会被骗接受一个区块，使得比特币的总量超过 2100 万。 尽管开发团队的水平很高，但是这次事件突显了软件开发的困难（点击此处，阅读我对该漏洞的分析)。 比特币协议很有可能在未来的某个时刻稳固下来，即使积极开发的需要不会被完全免去，也会大幅降低（毕竟仍有可能存在关键漏洞需要修复）。

[4]：在软件行业中，软件需求存在模糊性，撰写“技术规范”细则的难度较高，这些都是众所周知的问题。

[5]：关于最后这个例子，这种行为从整个语境来看不见得是不合理的。不过，本文所说的“理性”指的是效用最大化，不一定是基于逻辑或理由。

组成比特币的三驾马车

“The Times 03/Jan/2009 Chancellor on brink of second bailout for banks”

《泰晤士报》：2009 年 1 月 3 日，首相对处于崩溃边缘的银行进行第二次紧急救助

十年前的今天，中本聪将这句话写入比特币网络的第一个区块——创世块中，使其名垂青史。这句话郑重提醒着我们，世人如今身处在一个多么不公且支离破碎的系统中。很可能，中本聪发明比特币的初衷正是，\从政府与中央银行手上夺回货币的控制权 [1]。

这十年发生了太多奇迹。不可思议的是,比特币网络每日正常运行，在 99.98% 的时间里都没有出现故障 [2]。更令人不可置信的应该是，这一切都没有在任何人的控制之中。

这十年发生了太多奇迹。比特币网络每日正常运行，达到了不可思议的 99.98% 的运行时间 [2]。更令人不可置信的应该是，这一切都没有在任何人的控制之中。

比特币是独一无二的，因为它将我们的社会基础连根拔起了：比特币重新定义了货币，而货币与语言则是我们人类合作建立文明用到的最重要的两样工具。

而我个人探索比特币的道路同样给我带来了巨大回报。很少有其他事物像比特币这么烧脑，要懂得欣赏比特币，我们必须钻进综合了金融学、货币学、历史学、经济学、计算机科学与生物学的无底洞，这也意味着重走伟人们走过的足迹，如：卡尔达诺、布莱兹 · 帕斯卡、阿兰 · 图灵、柏拉图与亚里士多德、洛克、休谟、亚当斯密、纳什、丹尼尔 · 卡尼曼与阿摩司 · 特沃斯基、达尔文、John Maynard Smith（数学家、生物学家、基因学家）、道金斯、惠特菲尔德 · 迪菲（公钥密码学早期贡献者之一）、马丁 · 赫尔曼与拉菲 · 默克尔、尼克 · 萨博等等。这也意味着不断思考着对于我们生活的这个世界一些本质的问题，而我们经常认为许多这些问题都是理所当然的。比特币给我们带来了振奋人心而永不停歇的对真理的追求。

过去几个月，我写了一系列有关比特币的文章，我称之为《比特币的基本原理系列》。我的目标就是能在这个知识的无底洞中走得越远越好，这样才能真正了解比特币到底还有什么不为人知的秘密。

写作的过程也强迫我理清自己的思考，帮助我对比特币的理解更进一步。我希望这些文字也能帮助到你。本文将是这个系列文章的一个小结。

系列文章目录：

• 第一章——解析工作量证明
• 第二章——比特币、概率与随机
• 第三章——密码学会如何重新定义私有产权
• 第四章——比特币的激励机制与理性行为人
• 第五章——组成比特币的三驾马车（本文）

##比特币的三个子层次

比特币是由以下三个基本构件组成的：

(i) 基于随机抽样的工作量证明

(ii) 公钥密码学

(iii) 激励机制

如果我们将比特币视为一个架构的基础层（其他应用层，如闪电网络、TumbleBit 或侧链可以在其上构建），那么上述三个基本构件则可被视为基础层中的三个子层次。

而这三个子层次也暗含了次序：

第一子层：工作量证明机制。工作量证明以消耗的能量为权重抽样，是现实世界与数字世界的桥梁，为仅仅由 0 和 1 组成的数字区块提供了现实世界的意义。有了工作量证明，比特币真正实现了一个无法伪造且昂贵的资产账本，有着现实世界的支撑。

第二子层：公钥密码学。如果说工作量证明为我们带来了新一代数字资产，那么公钥密码学，特别是数字签名使其代币化（实现了资产的数字分割）。人们就可以私密地储存这些资产（或部分资产），还可以与其他人交易。

第三子层：比特币的激励机制。第三子层的激励机制支持着第一第二子层的系统。比特币是个活跃的网络，就像是一个生命有机体，心脏每十分钟跳动一次。而建立在由第二子层原生代币之上的激励机制则是心跳的引擎。

没有了第一子层，第二子层就毫无意义；没有第一第二子层，第三子层也同样无意义。

这三子层相互依赖，成为了整个比特币生态系统的基础。

Two Parts Math, One Part Biology

如果你已经阅读了本系列的前几篇文章，那么你应该已经了解：

• 基于随机抽样的工作量证明是一个数学问题
• 公钥密码学也是一个数学问题
• 激励机制是人类行为学问题

因此我们可以说，组成比特币的三驾马车，两驾是数学，一驾是生物学。

需要指出，比特币的工作量证明与公钥密码学的数学基础是相同的，都是单向函数，但两者成就了系统中完全不同的部分。工作量证明成就了数字资产，而公钥密码学使其代币化。

而比特币的第三子层——激励机制，可以说是比特币最弱的一环。不同于前两层，激励机制依赖于远没有数学原理那么一致与严谨的人类行为。人类行为表现的是有限理性，这是编码在我们基因里的，但并不完美。人类容易出现误判，有时候也会作出非理性行为。

结语

在本系列结束之前，我想说，本系列肯定无法让你完全理解比特币，但我希望这可以给刚接触比特币的信任一个好的开始。本系列中的部分内容是我个人见解，读者也应该自己探索，总结出自己的看法。“不要单纯相信，去验证”，这句话不论在比特币世界还是对于学习来说都很受用。

感谢

非常感谢 Nic Carter、Steve Lee、Jimmy Song、Hasu、Murad Mahmudov 与 Dan Held 对本系列文章提出的宝贵意见。

---

[1]：创世块还证明了另一件事，中本聪并没有在 2009 年 1 月 3 日之前预挖矿。

[2]：比特币网络有过十来小时的宕机，分别在 2010 年与 2013 年，网络有过意外分叉，共计 77 个区块受到影响。该记录说明比特币网络足以与 AWS、谷歌云和微软 Azure 媲美。

[3]：“密码学货币” 一词正来自公钥密码学（第二子层），但讽刺的是，这个词明明只涵盖了这一技术众多关键点中的一点。

[4]：本文提到的三点都是顶层的构件，实际上这些顶层构件也是由更小的部分组成的，包括硬件设备、软件组件和 TCP/IP 通信协议等，每个组件都面临着独特的挑战。

 

标签：随机性,公钥,系列,比特,基本原理,工作量,哈希,密码学
来源： https://blog.csdn.net/shangsongwww/article/details/90178651

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。