Hình thức hóa mô hình bảo mật của Vitalik: Một khung toán học cho sự đồng bộ ý định đa chiều
Bản tóm tắt
Bài đăng gần đây của Vitalik “Cách tôi suy nghĩ về bảo mật” đã chỉ ra một mô hình phổ biến trong các giải pháp bảo mật tốt: người dùng chỉ định ý định của họ theo nhiều cách chồng chéo nhau, và hệ thống chỉ hoạt động khi các chỉ định này phù hợp với nhau. Các ví dụ của ông (hệ thống kiểu, Xác minh chính thức, mô phỏng giao dịch, đa chữ ký) đều có chung cấu trúc chỉ định dư thừa này.
Bài viết này trình bày một hình thức toán học hóa của mô hình đó: một hàm thẩm quyền có thể tính toán được, thực thi sự phù hợp ý định đa chiều với sự suy giảm theo thời gian và cơ sở sinh học. Khung này được triển khai dưới dạng một giao thức Lớp 3 có tên là Giao thức Chuỗi Celaya (CCP) và đang được mở để đánh giá ngang hàng, đặc biệt là về các thuộc tính lý thuyết trò chơi của cơ chế tính điểm tổng hợp.
Quan sát cốt lõi
Vitalik định nghĩa bảo mật là việc giảm thiểu sự khác biệt giữa ý định của người dùng và hành vi của hệ thống. Điều này ngụ ý rằng bảo mật không phải là nhị phân mà là một phép đo liên tục trên các trục xác minh độc lập. Các ví dụ của ông đều tuân theo cùng một cấu trúc:
| Mẫu | Trục 1 | Trục 2 | Điều kiện căn chỉnh |
|---|---|---|---|
| Hệ thống kiểu | Mã lệnh (chức năng của nó) | Chú thích kiểu dữ liệu (dữ liệu có hình dạng gì) | Phải thống nhất ở mọi bước. |
| Xác minh chính thức | Mã số | Tính chất toán học | Chương trình đáp ứng các thuộc tính |
| Mô phỏng giao dịch | Hành động của người dùng | Hậu quả đã được dự báo trước | Người dùng xác nhận sau khi xem cả hai. |
| Đa chữ ký / phục hồi xã hội | Nhiều phím | Nhiều thông số kỹ thuật về thẩm quyền | Tất cả đều phải đồng ý |
Cấu trúc phổ biến: N đặc tả mục đích độc lập, hệ thống chỉ hoạt động khi cả N đặc tả đều trùng khớp.
Phương trình quyền lực
CCP chính thức hóa điều này như sau:
$$A(t) = C(t) \cdot e^{-\alpha n} \cdot e^{-\lambda \tau}$$
Trong đó C(t) C ( t ) là một vectơ kết hợp của vectơ liên kết:
$$C(t) = \left( I^{\beta} \cdot R^{\gamma} \cdot P^{\delta} \cdot X^{\epsilon} \cdot B^{\zeta} \right)^{1/(\beta + \gamma + \delta + \epsilon + \zeta)}$$
Năm trục độc lập, mỗi trục đại diện cho một đặc điểm khác nhau về ý định của tác nhân:
- I = Cấp độ nhận dạng (Bạn là ai, được xác minh bằng cách nào?)
- R = Chỉ số tổng hợp về uy tín (lịch sử hành vi trên năm trục, không phải là một điểm số đơn lẻ)
- P = Tuân thủ chính sách (hành động của bạn có tuân theo các quy định hiện hành không?)
- X = Điểm kiểm toán hành động (các giao dịch thực tế của bạn có khớp với ý định đã nêu không?)
- B = Tính liên tục sinh học (thực thể đang hành động hiện tại có phải là thực thể đã giành được quyền hạn này hay không?)
Trung bình hình học có trọng số là lựa chọn thiết kế quan trọng. Không giống như trung bình cộng, trung bình hình học trừng phạt việc tối ưu hóa theo một trục duy nhất . Một tác nhân có danh tiếng hoàn hảo nhưng không có tính liên tục sinh học sẽ nhận được điểm tổng hợp bằng không. Bạn không thể bù đắp cho sự thiếu hụt trên một trục bằng cách thổi phồng trục khác. Đây là nguyên tắc "đặc tả dư thừa" của Vitalik được thể hiện bằng toán học.
Những lợi ích mà quá trình chính thức hóa mang lại
1. Sự suy giảm theo thời gian
Mô hình của Vitalik là tĩnh. Các thông số kỹ thuật hoặc là phù hợp hoặc là không. Phương trình quyền lực đưa ra hai thuật ngữ suy giảm:
e^{-\alpha n} e − α n : Sự suy giảm của người sáng lập. Quyền lực của kiến trúc sư ban đầu bị suy yếu khi mạng lưới phát triển. \lim_{n \to \infty} F(n) = 0^+ lim n → ∞ F ( n ) = 0 + . Điều này giải quyết vấn đề bị giới tinh hoa thao túng mà không cần tin tưởng vào sự tự nguyện kiềm chế của người sáng lập.
e^{-\lambda \tau} e − λ τ : Sự suy giảm do lỗi thời. Quyền lực có được từ sự nhất quán trong quá khứ sẽ suy giảm theo thời gian. Bạn phải liên tục thể hiện sự phù hợp, chứ không chỉ thiết lập nó một lần.
Không có giao thức hiện hành nào triển khai quyền lực của người sáng lập mà có thể chứng minh được là tiến gần đến con số không.
2. Cơ sở sinh học thực tế
Tất cả các ví dụ của Vitalik đều hoạt động trong không gian kỹ thuật số. CCP bổ sung thêm một trục xác minh vật lý: chữ ký tim liên tục được neo vào một chuỗi bất biến. Không phải là một Snapshot sinh trắc học tĩnh, mà là một bản ghi tuần tự, được mã hóa, về tính liên tục sinh học. Ví điện tử được chứng minh liên tục là do một người sống vận hành, người đó có chữ ký tim hiện diện và không bị gián đoạn.
Điều này giải đáp nhận xét của Vitalik rằng “thực thể trình bày chứng chỉ và thực thể nhận được chứng chỉ đó có thể khác nhau”. Sự liên tục về mặt sinh học giúp phát hiện việc chuyển giao chứng chỉ ở cấp độ giao thức.
3. Các thông số được điều chỉnh
Tất cả các trọng số ( β, γ , δ , ε , ζ , α , λ ) được điều chỉnh bởi một hiến pháp sống, có thể sửa đổi thông qua Consensus có trọng số nhất quán. Mô hình bảo mật tự phát triển thông qua mô hình mà nó thực thi. Không có tham số nào được mã hóa cứng. Tổ chức tự trị phi tập trung (DAO) sở hữu mọi trọng số.
Câu hỏi đánh giá ngang hàng
Câu hỏi cụ thể mà tôi cần được giải đáp là:
Liệu điểm số độ gắn kết tổng hợp C(t) C ( t ) có thể bị thao túng thông qua các chiến lược phối hợp nhiều tác nhân không?
Theo bản chất, trung bình hình học chống lại sự thao tác đơn lẻ, theo một trục duy nhất. Nhưng còn những trường hợp khác thì sao:
Lạm phát chứng thực có phối hợp. Nhiều bên tham gia chứng thực chéo một cách có hệ thống để thổi phồng uy tín của nhau. CCP giới hạn độ mạnh của chứng thực bằng thông tin xác thực tên miền của chính người chứng thực và từ chối tự chứng thực, nhưng liệu điều này có đủ để chống lại các chiến lược liên minh?
Chiến thuật thao túng thời gian. Các tác nhân duy trì sự nhất quán tối thiểu trong các giai đoạn ít rủi ro để xây dựng quyền lực, sau đó khai thác nó trong các giai đoạn rủi ro cao. Sự suy giảm e^{-\lambda \tau} e − λ τ có ích, nhưng giá trị \lambda λ tối ưu để cân bằng giữa khả năng phản ứng và khả năng thao túng là bao nhiêu?
Tấn công tương quan trục. Nếu hai trục có tương quan với nhau trong thực tế (ví dụ: cấp độ nhận dạng cao tương quan với quyền truy cập tuân thủ chính sách), thì giả định độc lập của trung bình hình học có còn đúng không? Hệ thống có thể chịu đựng được mức độ tương quan nào trước khi tối ưu hóa một trục trở nên hiệu quả?
Về mặt hình thức, đây là những vấn đề tương tự như các vấn đề trong thiết kế cơ chế đa chiều. Nếu ai có gợi ý về các khung lý thuyết trò chơi phù hợp để phân tích điểm số trung bình hình học có trọng số trong điều kiện đối kháng, tôi rất hoan nghênh.
Câu hỏi khó hơn
Tôi muốn thẳng thắn về một điều mà hầu hết các tài liệu hướng dẫn về giao thức đều bỏ qua.
Phương trình quyền lực không phụ thuộc vào lĩnh vực. Nó chính thức hóa câu hỏi “ai nên có quyền lực ngay bây giờ và tại sao” như một hàm có thể tính toán được. Tôi đã xây dựng nó cho quản trị blockchain. Toán học không biết điều đó. Cùng một khuôn khổ ngăn chặn tác nhân AI vượt quá phạm vi của nó có thể được sử dụng để xây dựng một hệ thống tín dụng xã hội. Cùng một yêu cầu về tính liên tục sinh học ngăn chặn hành vi đánh cắp thông tin xác thực có thể trở thành một công cụ giám sát cơ bản. Hàm suy giảm của người sáng lập giải quyết vấn nạn thâu tóm quyền lực của giới tinh hoa có thể được đảo ngược để tạo ra nó. Một hiến pháp sống động giúp quản trị thích ứng cũng có nghĩa là bất cứ ai kiểm soát không gian tham số ban đầu đều kiểm soát quỹ đạo.
Tôi vẫn chưa hiểu rõ đây là cái gì.
Tôi biết phương trình này hoạt động. Tôi biết nó chính thức hóa một mô hình xuất hiện trong mọi hệ thống tin cậy mà tôi từng gặp trong mười một năm xây dựng cơ sở hạ tầng quan trọng: trung tâm dữ liệu, sản xuất, tự động hóa công nghiệp. Tôi biết phép toán rất chính xác. Việc triển khai đã vượt qua các bài kiểm tra.
Điều tôi không biết là chuyện gì sẽ xảy ra khi một lớp trọng tài tin cậy phổ quát hoạt động chính xác như thiết kế nhưng lại rơi vào tay kẻ xấu. Chế độ thất bại mà tôi lo ngại nhất không phải là việc có thể lợi dụng trung bình hình học. Mà là việc nó không thể bị lợi dụng, và ai đó sử dụng đặc tính đó để xây dựng các hệ thống kiểm soát có thể chứng minh được bằng toán học và do đó không thể bị thách thức.
Oppenheimer đã xây dựng nền tảng vật lý một cách chính xác. Nền tảng vật lý ấy không quan tâm đến đối tượng mà nó hướng tới.
Tôi công bố bài viết này để được các chuyên gia đánh giá vì tôi muốn nó được xem xét bởi những người coi trọng khía cạnh đạo đức của công nghệ phối hợp. Không chỉ là liệu cơ chế này có hợp lý hay không, mà còn là liệu cơ chế này có nên tồn tại ở dạng hiện tại hay không, và những ràng buộc nào là cần thiết trước khi nó được triển khai ngoài bối cảnh nghiên cứu.
Đây không phải là buổi ra mắt sản phẩm. Đây là một nhà nghiên cứu nói rằng: Tôi đã tìm thấy một điều gì đó, và tôi cần thêm người cùng xem xét ý nghĩa của nó.
Trạng thái thực hiện
- 83 khối đã được xác minh, 9 bài kiểm tra thuộc tính đạt yêu cầu, phát lại xác định được xác nhận.
- Lớp nhận dạng sinh học (MORTEM) đang hoạt động trên DevNet Solana : 8 tác nhân chứng thực tự động tạo ra các chứng thực nhịp tim liên tục.
- 12 vectơ đe dọa được xác định thông qua hoạt động tự tấn công mô phỏng (red-teaming) của đối phương, mỗi vectơ đều có lộ trình khắc phục được ghi lại.
- Toàn văn báo cáo chi tiết có sẵn: [Sẽ được cập nhật sau - những bài học kinh nghiệm từ Oppenheimer]
Kết nối với các công trình nghiên cứu hiện có
Phương trình quyền lực được xây dựng độc lập dựa trên quan sát động lực lòng tin trong cơ sở hạ tầng công nghiệp (hoạt động trung tâm dữ liệu, hệ thống sản xuất), sau đó được kiểm chứng dựa trên các khung toán học hiện có. Phương pháp chấm điểm đa chiều có những điểm tương đồng về cấu trúc với bỏ phiếu bậc hai (Weyl & Posner), bỏ phiếu dựa trên niềm tin và Eigentrust, nhưng khác ở chỗ yêu cầu cơ sở sinh học và sự suy giảm theo thời gian như những thuộc tính hạng nhất.
Christopher Celaya, Celaya Solutions, El Paso, Texas. Tháng 2 năm 2026. Liên hệ: hello@celayasolutions.com
