操作順序の合意

# 操作順序に関する合意 ## 要旨 [lang:en](https://hackmd.io/@ecdysisxyzbot-ea-001/H1C7Zq6Sle) 本稿では、分散システムにおける操作順序の合意をモデル化するための形式的フレームワークを提案する。特に、合意された履歴に対して法を強制する可能性に重点を置く。我々のモデルは $\mathcal{AO}^3$ (Agreement on Operation Order with Organized enforcement、組織的強制を伴う操作順序に関する合意) と表記され、従来の不変なコンセンサスと、法の強制による履歴修正を許容するシステムの両方を包含する分散コンセンサスメカニズムを分析するための数学的基盤を提供する。我々は、プロトコル、社会的、外部、物理的強制メカニズムを含む、法の強制特性に基づいた分散システムの新たな分類を導入する。さらに、強制メカニズム、コンセンサスの安定性、およびシステムの回復力の関係に関するいくつかの基本的な結果を証明する。ビットコインからドローンの群れに至るまでの実世界の応用例が、本フレームワークの普遍性を示している。 **キーワード:** 分散コンセンサス、形式手法、法強制、システム分類、物理-デジタルシステム **MSC 2020:** 68Q85、03B70、68W15、68M14 ## 1. 序論分散システムにおけるコンセンサス達成の問題は、Pease、Shostak、Lamport [1] の独創的な研究以来、広範に研究されてきた。従来のアプローチは、一度確立されると不変であり続ける合意の達成に焦点を当ててきた。しかし、実世界の分散システムは、プロトコルで定義された規則から外部の規制要件、さらには物理世界の制約に至るまで、特定の法が違反された場合に以前に合意された履歴を修正するメカニズムをしばしば示す。本稿では、コンセンサス履歴に対する法の強制を明示的にモデル化する形式的フレームワークを導入する。我々のアプローチは、既存の研究と以下の3つの重要な点で異なる。 1. 特定の実装詳細から抽象化された、純粋に数学的なコンセンサスの特性評価を提供する。 2. 法強制メカニズムを我々の形式体系における第一級オブジェクトとして明示的にモデル化する。 3. 新たな物理-デジタルブリッジシステムを含む、法強制メカニズムの形式的特性に基づいた分散システムの分類を導出する。 ### 1.1 関連研究ビザンチン将軍問題 [1] は、分散コンセンサスに関する基本的な制約を確立した。その後の Fischer、Lynch、Paterson [2] の研究は、故障を伴う非同期システムにおける決定論的コンセンサスの不可能性を証明した。我々の研究は、コンセンサス後の法強制を考慮することによって、これらの古典的な結果を拡張するものである。ブロックチェーンシステム [3,4] に関する最近の研究は、「チェーン再編成」のような概念を通じて、暗黙的に履歴修正を扱ってきた。しかし、これらの扱いは特定の実装に結びついたままである。我々のフレームワークは、あらゆる分散システムに適用可能な一般的な数学的基盤を提供する。 ### 1.2 貢献我々の主な貢献は以下の通りである。 1. 明示的な法強制メカニズムを持つ分散コンセンサスのための形式モデル $\mathcal{AO}^3$ (セクション 2-4)。 2. 新たな物理的法強制の概念を含む、法の種類と強制特性に基づいた分散システムの分類定理 (定理 5.1)。 3. 法強制とコンセンサスの回復力の関係に関する結果 (セクション 5)。 4. 暗号通貨から軍事ネットワークに至るまで、多様な実世界システムへの我々のフレームワークの適用によるその普遍性の実証 (セクション 5)。 ### 1.3 記法とモデル定義 **定義 1.1** (モデル名). $\mathcal{AO}^3$ は **A**greement on **O**peration **O**rder with **O**rganized enforcement を示す。 **記法 1.1**. 本稿を通して: - $\rightsquigarrow$ は強制による履歴修正を示す - $\models$ は法の遵守を示す - $\nvDash$ は法の違反を示す - $|h_1 - h_2|$ は履歴 $h_1$ と $h_2$ の間の編集距離を示す ## 2. 準備 ### 2.1 基本定義 **定義 2.1** (システム構成要素). 分散システム $\mathcal{S}$ は以下から構成される。 - $n \geq 1$ のエージェントの有限集合 $A = \{a_1, \ldots, a_n\}$ - 操作の可算集合 $O$ - 初期状態 $s_0 \in S$ を持つ状態の集合 $S$ - メッセージの集合 $M$ - 操作関数 $f: S \times O \rightarrow S$ - 離散時間を表す時間モデル $(\mathbb{N}, \leq)$ **定義 2.2** (シーケンス). $O^*$ を $O$ 上のすべての有限シーケンスの集合とし、$\varepsilon$ を空シーケンスとする。シーケンス $\sigma, \tau \in O^*$ に対して: - $\sigma \cdot \tau$ は連結を示す - $\sigma \preceq \tau$ iff $\exists \rho \in O^* : \sigma \cdot \rho = \tau$ (プレフィックス関係) - $|\sigma|$ は $\sigma$ の長さを示す **定義 2.3** (編集距離). 履歴 $h_1, h_2 \in O^*$ に対して: $$|h_1 - h_2| = \min\{k : h_1 \text{ を } h_2 \text{ に変換する } k \text{ 回の編集のシーケンスが存在する}\}$$ ここで編集とは、操作の挿入、削除、または置換である。 **定義 2.4** (ローカルビュー). 各エージェント $a \in A$ と時刻 $t \in \mathbb{N}$ に対して: - $h_a^t \in O^*$ は時刻 $t$ におけるエージェント $a$ のローカル履歴である - $s_a^t \in S$ はローカル状態であり、帰納的に定義される: - $s_a^0 = s_0$ - ある $o \in O$ に対して $h_a^t = h_a^{t-1} \cdot o$ である場合、$s_a^t = f(s_a^{t-1}, o)$ ### 2.2 通信モデル **定義 2.5** (通信関数). - $\text{Send}: A \times \mathbb{N} \times O^* \rightarrow \mathcal{P}(A \times M)$ - $\text{Receive}: A \times \mathbb{N} \rightarrow \mathcal{P}(A \times M)$ ここで $\mathcal{P}(X)$ は $X$ のべき集合を示す。 **定義 2.6** (更新関数). 内部更新関数 $$\text{UpdateInternal}: A \times O^* \times \mathcal{P}(A \times M) \rightarrow O^*$$ は、エージェントが受信したメッセージに基づいてローカル履歴をどのように更新するかを決定する。 ## 3. 履歴を強制しないコンセンサス **定義 3.1** (実行). 実行 $\mathcal{E}$ は、ローカル履歴の族 $\{h_a^t : a \in A, t \in \mathbb{N}\}$ であり、以下を満たす。 1. すべての $a \in A$ に対して $h_a^0 = \varepsilon$ 2. すべての $a \in A$ と $t \in \mathbb{N}$ に対して: $$h_a^{t+1} = \text{UpdateInternal}(a, h_a^t, \text{Receive}(a, t+1))$$ **定義 3.2** (合意). 実行 $\mathcal{E}$ は、以下の場合に合意を満たす。 $$\exists h^* \in O^* \text{ (コンセンサスプレフィックス)}, \exists t_0 \in \mathbb{N}, \forall a \in A, \forall t \geq t_0 : h^* \preceq h_a^t$$ **定義 3.3** (安定した合意). 実行 $\mathcal{E}$ は、コンセンサスプレフィックス $h^*$ で合意を満たし、さらに以下を満たす場合に安定した合意を満たす。 $$\forall a \in A, \forall t \geq t_0, \forall t' > t : h_a^t|_{|h^*|} = h_a^{t'}|_{|h^*|}$$ ここで $\sigma|_k$ は $\sigma$ の長さ $k$ のプレフィックスを示す。 **補題 3.1**. 実行が安定した合意を満たす場合、すべてのエージェントは最終的に不変の共通プレフィックスに合意する。 *証明*. 定義 3.3 より自明。□ **定義 3.4** (純粋コンセンサスシステム). 合意された履歴を修正するメカニズムが存在しないシステム、すなわち、一度安定した合意に達すると履歴が不変であるシステムを純粋コンセンサスシステムと呼ぶ。 ## 4. 法の種類と履歴の強制 ### 4.1 法の形式的定義 **定義 4.1** (法). 法とは、有効なシステム履歴に対する数学的制約である。形式的には、法 $\lambda$ はタプル $(\mathcal{L}_\lambda, \mathcal{D}_\lambda, \mathcal{C}_\lambda, \mathcal{E}_\lambda)$ であり、ここで: - $\mathcal{L}_\lambda \subseteq O^*$ は **適法集合** (許容される履歴) - $\mathcal{D}_\lambda: O^* \rightarrow \{\top, \bot\}$ は **検出関数** (違反を特定する) - $\mathcal{C}_\lambda: O^* \rightarrow \mathbb{R}^+$ は **コスト関数** (違反の重大性) - $\mathcal{E}_\lambda: O^* \rightarrow O^*$ は **強制関数** (違反を修正する方法) であり、一貫性の要件として $\mathcal{D}_\lambda(h) = \top \iff h \notin \mathcal{L}_\lambda$ を満たす。 **定義 4.2** (法の遵守). 履歴 $h \in O^*$ は、 $h \in \mathcal{L}_\lambda$ である場合に限り法 $\lambda$ を遵守する。これを $h \models \lambda$ と書く。逆に、$h \notin \mathcal{L}_\lambda$ である場合に限り $h \nvDash \lambda$ である。 **定義 4.3** (法の特性). 法 $\lambda$ は: 1. $\mathcal{D}_\lambda$ が計算可能であれば **決定可能** 2. $\mathcal{D}_\lambda(h)$ が $h$ の有界なサフィックスにのみ依存する場合 **ローカル** 3. $h_1 \preceq h_2 \wedge h_1 \models \lambda \Rightarrow h_2 \models \lambda$ である場合 **単調** 4. $\forall h \nvDash \lambda : \mathcal{E}_\lambda(h) \models \lambda$ である場合 **修正可能** ### 4.2 強制の形式的定義 **定義 4.4** (強制). 強制とは、違反された法を遵守させるために履歴を修正する行為である。形式的には、強制は関係 $\rightsquigarrow \subseteq O^* \times \Lambda \times O^*$ であり、ここで: $h \rightsquigarrow_\lambda h' \iff \begin{cases} h \nvDash \lambda & \text{(違反が存在する)} \\ h' = \mathcal{E}_\lambda(h) & \text{(強制が適用された)} \\ h' \models \lambda & \text{(違反が解決された)} \end{cases}$ **定義 4.5** (強制の特性). 強制メカニズムは: 1. $\forall h \rightsquigarrow_\lambda h' : |h - h'| \leq \mathcal{C}_\lambda(h)$ である場合 **最小** 2. 強制シーケンスが常に終了する場合 **収束的** 3. $h \rightsquigarrow_\lambda h_1 \wedge h \rightsquigarrow_\lambda h_2 \Rightarrow h_1 = h_2$ である場合 **決定的** ### 4.3 法の種類 **定義 4.6** (法の分類). 法空間 $\Lambda$ は4つのタイプに分割される。 **タイプ 1: プロトコル法 ($\Lambda_P$)** - システムプロトコルに直接エンコードされた法 - 違反検出はアルゴリズム的: $\mathcal{D}_\lambda$ を計算するアルゴリズム $\mathcal{A}$ が存在する - 強制は自動的かつ決定的 - 例: $\lambda_{\text{order}}$ = "操作は全順序でなければならない" **タイプ 2: 社会的法 ($\Lambda_S$)** - エージェント間の集団的合意を必要とする法 - 違反検出には投票が必要: $\mathcal{D}_\lambda(h) = \text{Vote}(A, h) > \theta$ - 強制には定足数またはコンセンサスが必要 - 例: $\lambda_{\text{gov}}$ = "ガバナンス提案は過半数の承認を得なければならない" **タイプ 3: 外部法 ($\Lambda_E$)** - システム外部の権威によって課される法 - 違反検出は外部オラクルによる: $\mathcal{D}_\lambda(h) = \text{Oracle}_E(h)$ - 強制は検出時に義務付けられる - 例: $\lambda_{\text{reg}}$ = "取引は規制に準拠しなければならない" **タイプ 4: 物理的法 ($\Lambda_{\text{Phys}}$)** - 物理世界の行動を通じて強制される法 - 違反検出は暗号学的でありうるが、強制には物理的制御が必要 - 強制コストは実世界のリソースで測定される - **物理的イミュニティを要求**: セキュリティは地理的分散ではなく、物理的な障壁に依存する - 例: $\lambda_{\text{capture}}$ = "物理的な過半数制御により書き換えが可能になる" **定義 4.7** (物理的イミュニティ). システムが $k$-物理的イミュニティを持つとは、物理的法を強制するのに十分なノードを物理的に制御するためのコストが、実世界のリソース（時間、金銭、リスクなど）で少なくとも $k$ 単位である場合を指す。これは地理的分散とは直交する概念である。 **定理 4.1** (法の種類の階層). 4つの法の種類は階層を形成する。 $\text{Decidability}(\Lambda_P) > \text{Decidability}(\Lambda_S) > \text{Decidability}(\Lambda_E) \geq \text{Decidability}(\Lambda_{\text{Phys}})$ *証明*. プロトコル法は計算可能な検出を持つ。社会的法は有界な投票を必要とする。外部法と物理的法は実世界の条件に依存し、物理的法は直接的な観測を必要とする可能性がある。□ ### 4.4 分散強制 **定義 4.8** (強制権威). 強制権威 $\alpha$ は以下によって特徴付けられる。 - $\text{laws}(\alpha) \subseteq \Lambda$ ($\alpha$ が強制できる法) - $\text{power}(\alpha) \in \mathbb{N}$ (最大の強制深度) - $\text{trigger}(\alpha): O^* \times \Lambda \rightarrow \{\top, \bot\}$ (発動条件) - $\text{immunity}(\alpha) \in \mathbb{R}^+$ (物理的イミュニティレベル、該当する場合) **定義 4.9** (分散強制). 分散システムにおいて、エージェント $a$ は時刻 $t$ に履歴を以下に従って更新する。 $h_a^{t+1} = \begin{cases} \mathcal{E}_\lambda(h_a^t) & \text{if } \exists \lambda \in \Lambda_P : h_a^t \nvDash \lambda \wedge \text{LocalDetect}(a, \lambda) \\ \mathcal{E}_\lambda(h_a^t) & \text{if } \exists \lambda \in \Lambda_S : \text{SocialVote}(A, t, \lambda, h_a^t) > \theta \\ \mathcal{E}_\lambda(h_a^t) & \text{if } \exists \lambda \in \Lambda_E : \text{ExternalSignal}(t, \lambda, h_a^t) \\ \mathcal{E}_\lambda(h_a^t) & \text{if } \exists \lambda \in \Lambda_{\text{Phys}} : \text{PhysicalControl}(a, t, \lambda) \\ \text{UpdateInternal}(a, h_a^t, \text{Receive}(a,t)) & \text{otherwise} \end{cases}$ **補題 4.1** (強制の優先順位). 複数の法が同時に違反された場合、強制は「物理的 > 外部 > 社会的 > プロトコル」の優先順位に従う。 *証明*. 物理的制御はすべてのデジタルメカニズムに優先する。外部法は義務的な遵守を表す。社会的法はコミュニティの意志を表す。プロトコル法はデフォルトの振る舞いである。□ ## 5. システム分類と実世界の応用 ### 5.1 法強制による分類 **定義 5.1** (システムの種類). 法集合 $\Lambda$ を持つ分散システム $\mathcal{S}$ は以下のように分類される。 1. **不変** (Immutable) $\Lambda = \emptyset$ の場合 - 強制すべき法がなく、履歴は決して修正されない - 例: 古典的なビザンチンコンセンサス 2. **プロトコル強制** (Protocol-enforced) $\Lambda = \Lambda_P$ (プロトコル法のみ) の場合 - 決定的、自動的な強制 - 例: 最長チェーンルールを持つビットコイン 3. **社会的強制** (Socially-enforced) $\Lambda_S \neq \emptyset$ の場合 - コミュニティ主導の強制 - 例: DAOガバナンスを持つイーサリアム 4. **外部強制** (Externally-enforced) $\Lambda_E \neq \emptyset$ の場合 - 権威による強制 - 例: 中央銀行デジタル通貨 5. **物理的強制** (Physically-enforced) $\Lambda_{\text{Phys}} \neq \emptyset$ の場合 - 強制に実世界の行動が必要 - 例: 物理的な捕獲を必要とするドローンの群れ **定理 5.1** (分類の完全性). 法強制を持つすべての分散システムは、ハイブリッドシステムが存在するものの、正確に1つの主要カテゴリに属する。物理的強制は他のどのタイプとも組み合わせることができる。 *証明*. カテゴリは法の構成によって定義される。主要な分類は、支配的な法の種類を使用する。物理的法はしばしば他の法の種類を補強する。□ ### 5.2 実世界の応用既存のシステムを分析し、架空のアーキテクチャを探求することで、我々のフレームワークの普遍性を示す。各例は、コンセンサスを修正するためのさまざまなメカニズムが、我々の法強制モデルにどのように正確に対応するかを示している。 #### 5.2.1 ビットコイン: プロトコル強制システムビットコインは純粋なプロトコル強制の典型例である。 **最長チェーン法**: $\lambda_{\text{btc}} = (\mathcal{L}, \mathcal{D}, \mathcal{C}, \mathcal{E})$ ここで: - $\mathcal{L} = \{h \in O^* : h \text{ は最もプルーフ・オブ・ワークが多いチェーンを拡張する}\}$ - $\mathcal{D}(h) = \top$ iff ローカルチェーンが受信したチェーンよりも少ないワークを持つ - $\mathcal{C}(h) = $ 巻き戻すブロックの数 - $\mathcal{E}(h) = $ より長いチェーンへの切り替え **実際の強制**: ノードがより長い有効なチェーンを受信したとき: $h_{\text{local}} \rightsquigarrow_{\lambda_{\text{btc}}} h_{\text{longer}}$ これは我々のフレームワークに直接対応する: - 検出: プルーフ・オブ・ワークの比較による自動検出 - 強制: 決定的なチェーン切り替え - 権威: すべてのノードが独立して強制する #### 5.2.2 イーサリアム: ハイブリッドなプロトコル-社会システムイーサリアムはプロトコル強制と社会的強制を組み合わせている。 **プロトコル法**: - $\lambda_{\text{gas}}$: "トランザクションは十分なガスを支払わなければならない" - $\lambda_{\text{state}}$: "状態遷移は有効でなければならない" **社会的法** (DAOハック後): - $\lambda_{\text{dao}}$: "盗まれた資金は返還されなければならない" - 強制にはコミュニティのコンセンサスを伴うハードフォークが必要だった **歴史的な強制** (2016年 DAOフォーク): $h_{\text{with-hack}} \rightsquigarrow_{\lambda_{\text{dao}}} h_{\text{funds-returned}}$ これは以下を示している: - 社会的法がプロトコル法を上書きした - コミュニティの投票メカニズム (85%以上のマイナーの支持) - 永久的なチェーンの分裂 (イーサリアムクラシックは強制を拒否) #### 5.2.3 Libra/Diem: 外部強制型の設計 FacebookのLibra (後のDiem) は外部強制を設計に組み込んだ。 **外部法**: - $\lambda_{\text{kyc}}$: "すべてのアカウントはKYC認証を通過しなければならない" - $\lambda_{\text{sanction}}$: "制裁対象のアドレスは凍結されなければならない" - $\lambda_{\text{tax}}$: "トランザクションは税法に準拠しなければならない" **強制メカニズム**: $h \rightsquigarrow_{\lambda_{\text{sanction}}} h' \text{ ここで } h' \text{ は制裁対象のトランザクションを除外する}$ 外部の権威 (規制機関) が強制をトリガーする: - 検出: 外部オラクルが違反を特定 - 強制: バリデーターは変更を適用しなければならない - 不遵守: バリデーターはネットワークから削除される #### 5.2.4 Hyperledger Fabric: 設定可能な強制 Fabricは組織がカスタム法を定義することを可能にする。 **設定可能な法**: ``` λ\_custom = { Legal: "ポリシーによって承認されたトランザクション", Detect: CheckEndorsementPolicy(h), Cost: InvalidateTransactions(h), Enforce: RemoveInvalidTx(h) } ``` これは以下を示している: - チャネルごとの柔軟な法定義 - プロトコル/社会的/外部強制の混合 - 組織固有の強制権威 #### 5.2.5 中央銀行デジタル通貨: 完全な外部制御 CBDCは最大限の外部強制を代表する。 **金融政策法**: - $\lambda_{\text{supply}}$: "マネーサプライは中央銀行の政策に従う" - $\lambda_{\text{rate}}$: "金利は政策金利と一致する" - $\lambda_{\text{freeze}}$: "裁判所の命令により口座は凍結される" **強制チェーン**: $h \rightsquigarrow_{\lambda_{\text{freeze}}} h' \rightsquigarrow_{\lambda_{\text{supply}}} h''$ 中央銀行が最終的な強制権威を持つ: - あらゆる履歴の側面を修正可能 - 強制は義務的かつ即時 - 参加者からのコンセンサスは不要 #### 5.2.6 軍事メッシュネットワーク: ハイブリッドなプロトコル-物理的強制野戦部隊がメッシュネットワーク上で同期されるメモ取りアプリケーションを使用する、架空の軍事情報システムを考える (戦術的エッジコンピューティングのために提案されたアーキテクチャに概念的に類似)。 **プロトコル法**: - $\lambda_{\text{order}}$: "操作は時間的順序を維持しなければならない" - $\lambda_{\text{rank}}$: "上級職員は競合において優先権を持つ" **物理的法** (新規カテゴリ): - $\lambda_{\text{survival}}$: "最も長く任務に従事した部隊員がコンセンサスリーダーになる" - 検出: 暗号署名された勤務記録に基づく - 強制: リーダー決定時に自動的に行われる **強制メカニズム** ("生存の証明"): $h_{\text{conflicting}} \rightsquigarrow_{\lambda_{\text{rank}}} h_{\text{senior-priority}}$ このシステムは以下を示す: - 物理世界の属性 (在任期間/生存) に基づく法強制 - ハイブリッドなデジタル-物理的信頼モデル - 階層的なフォールバックを持つ分散化による回復力 - **軍事セキュリティによる物理的イミュニティ**: 強力な物理的セキュリティを持つ地理的に集中した部隊は、分散しているが脆弱なネットワークよりも履歴の書き換えに対して耐性がある可能性がある **重要な革新**: 物理的な現実 (現場での生存) が計算上の権威となり、デジタルコンセンサスと実世界の信頼を橋渡しする。システムのセキュリティは、地理的な分散ではなく、軍人を侵害することの困難さに由来する。 #### 5.2.7 ドローン群ネットワーク: 物理的捕獲による強制ドローンのメッシュネットワークは、ユニークな強制特性を提示する。 **システム設計**: - 各ドローンはローカルの操作履歴を維持する - ドローンはメッシュネットワークを介して継続的に履歴を同期する - 履歴の修正には物理的な制御が必要 **物理的捕獲法**: - $\lambda_{\text{capture}}$: "履歴は、ドローンの50%超を捕獲することによってのみ書き換え可能" - 適法集合: $\mathcal{L} = \{h : h \text{ は自由なドローンの過半数によって合意されている}\}$ - 強制: 物理的な捕獲と再プログラミング **強制プロセス**: $h_{\text{swarm}} \rightsquigarrow_{\lambda_{\text{capture}}} h' \iff \text{PhysicalControl}(\text{drones}) > n/2$ これは新規な強制タイプを表す: - **物理的強制**: 実世界の行動 (ドローンの捕獲) を必要とする - **ビザンチン耐性**: 少数の捕獲では履歴を書き換えられない - **不可逆的**: 一度物理的に強制されると、以前の状態は失われる **セキュリティ特性**: - デジタル署名がリモートでの改ざんを防ぐ - 物理的な分散が単一障害点を防ぐ - 捕獲コストは群れのサイズに応じて増加する - 機動性、高度、防御能力によって提供される **物理的イミュニティ** **観察**: このシステムのセキュリティは、地理的な分散そのものからではなく、ドローンの機動性と空中ユニットを捕獲することの現実的な困難さによって提供される物理的イミュニティから来ている。一箇所に集中しているが非常に機動性の高い群れは、世界中に分散している静的なノードよりも安全である可能性がある。 ### 5.2.8 統合: 法強制のスペクトルこれらの例は、法強制メカニズムの豊かなスペクトルを明らかにしている: - **純粋デジタル** (ビットコイン): 全体的に計算的な強制 - **デジタル-社会ハイブリッド** (イーサリアム): コードとコミュニティコンセンサス - **デジタル-外部ブリッジ** (CBDC): 法的権威の下にあるデジタルシステム - **デジタル-物理ブリッジ** (軍事/ドローン): 計算上の権威としての物理的現実このフレームワークは、最長チェーンルール、コミュニティの投票、規制命令、または物理的捕獲によるものであれ、すべての分散コンセンサスの修正が法強制の事例であることを示している。この統一は、分散システムを分析し設計するための強力なレンズを提供する。 **重要な洞察**: 物理的法強制は、従来の分散システム理論に対する根本的な拡張を表す。古典的なコンセンサスがデジタルのみのメカニズムを仮定するのに対し、実世界のシステムはますます物理的領域とデジタル領域を橋渡ししている。我々のフレームワークは、物理的な行動 (捕獲、生存、存在) を計算的なものと同等の強制メカニズムとして扱うことでこれを捉える。 **定理 5.4** (物理的分散 vs 物理的イミュニティ). ネットワークノードの地理的分散は、分散システムのアプリオリな要件ではない。代わりに、特定の法の種類を達成するには、適切な物理的イミュニティが必要である。 1. **プロトコル/社会的/外部法**: 物理的に集中した展開でも機能しうる 2. **物理的法**: 望ましいセキュリティに比例した物理的イミュニティを必要とする *証明*. デジタルコンセンサスメカニズムは物理的な場所とは独立して動作する。しかし、物理的強制法は特に物理的アクセスのコストと困難さに依存する。地理的に集中しているが物理的に安全なシステム (例: 軍事基地) は、分散しているが安全でないシステムよりも高い物理的強制耐性を持つ可能性がある。□ **系 5.1**. 分散システムが地理的分散を必要とするという従来の仮定は、特定の攻撃ベクトル (自然災害、標的型攻撃) に対する物理的イミュニティを要求することの特殊なケースである。物理的強制法は、この要件を暗黙的ではなく明示的にする。 **例**: 単一の高度に安全な施設内のサーバーで実行されているブロックチェーンは、地理的に分散しているが容易にアクセスできる家庭用コンピュータで実行されているものよりも、物理的強制に対して耐性がある可能性がある。セキュリティは分散ではなく、物理的イミュニティから来る。 ### 5.3 比較分析 **表 1: システム比較** | システム | 主要な法 | 検出 | 強制 | 権威 | |---|---|---|---|---| | ビットコイン | プロトコル | 自動 | 決定的 | 全ノード | | イーサリアム | プロトコル + 社会 | 自動 + 投票 | フォーク | マイナー/コミュニティ | | Libra/Diem | 外部 | オラクル | 義務的 | 規制機関 | | Fabric | 設定可能 | ポリシー | 柔軟 | 組織 | | CBDC | 外部 | 中央 | 即時 | 中央銀行 | | 軍事メッシュ | プロトコル + 物理 | 在任証明 | 自動 | 上級生存者 | | ドローン群 | 物理 | 捕獲数 | 物理 | 捕獲者 | **定理 5.2** (強制のトレードオフ). システムがプロトコル強制から外部/物理的強制に移行するにつれて: 1. 柔軟性が増加する 2. 分散性が減少する 3. 予測可能性が減少する 4. 外部への信頼要件が増加する 5. 実世界との結合度が増加する (物理的強制で最高) *証明*. 法の種類の特性と強制メカニズムから導かれる。□ ### 5.4 法強制下でのコンセンサスの回復力 **定義 5.2** ($k$-強制回復力). システムは、最大 $k$ 回の強制イベントの後にコンセンサスを再確立できる場合、$k$-強制回復力を示す。 **定理 5.3** (システムタイプ別の回復力). 1. プロトコル強制システムは $\infty$-回復力を持つ 2. 社会的強制システムは有限の $k$-回復力を持つ 3. 外部強制システムは回復保証がない 4. 物理的強制システムは物理的セキュリティに比例した回復力を持つ *証明*. プロトコル強制は予測可能で収束的である。社会的強制はコミュニティの安定性に依存する。外部強制は予測不可能である。物理的強制の回復力は物理的捕獲のコスト/困難さと相関する。□ ## 6. 結論と今後の課題我々は、法強制メカニズムを伴う分散コンセンサスをモデル化するための形式的フレームワーク $\mathcal{AO}^3$ を提示した。我々の主要な貢献は以下の通りである。 1. **統一フレームワーク**: すべてのコンセンサス修正は法強制である 2. **包括的な分類**: システムを法の種類 (プロトコル、社会的、外部、物理的) によって分類 3. **実世界での検証**: フレームワークはビットコインからCBDC、軍事メッシュネットワーク、ドローン群まで多様なシステムを説明 4. **新規な洞察**: 物理的法強制の導入が、デジタルコンセンサスと実世界の制約を橋渡しする 5. **形式的基盤**: 強制特性を分析するための数学的基礎このフレームワークは以下を明らかにする: - 「不変な」コンセンサスは単に強制が存在しない状態である - ブロックチェーンの再編成はプロトコル法の強制である - ガバナンス行動は社会的法の強制である - 規制遵守には外部法の強制が必要である - 物理的セキュリティは物理的法強制を通じて計算上の権威になりうる - **地理的分散は基本的ではない**: 分散ではなく物理的イミュニティが、物理的強制に対するセキュリティを決定する今後の課題は以下の通りである: - 確率的強制モデル - 特定の目標のための最適な法設計 - 強制特性の形式的検証 - 強制インセンティブのゲーム理論的分析 - 複数の法の種類を組み合わせたハイブリッド強制メカニズム - 物理-デジタル強制ブリッジのセキュリティ分析 - 物理的イミュニティ vs 地理的分散の形式的モデル - 特定の物理的イミュニティレベルを要求するシステムの設計原則 ## 参考文献 [1] Pease, M., Shostak, R., Lamport, L.: Reaching agreement in the presence of faults. Journal of the ACM 27(2), 228-234 (1980) [2] Fischer, M.J., Lynch, N.A., Paterson, M.S.: Impossibility of distributed consensus with one faulty process. Journal of the ACM 32(2), 374-382 (1985) [3] Nakamoto, S.: Bitcoin: A peer-to-peer electronic cash system. (2008) [4] Garay, J., Kiayias, A., Leonardos, N.: The bitcoin backbone protocol: Analysis and applications. In: EUROCRYPT 2015. LNCS, vol. 9057, pp. 281-310 (2015) [5] Buterin, V.: Ethereum: A next-generation smart contract and decentralized application platform. (2014) [6] 戦術的エッジコンピューティングおよびドローン群調整のためのアーキテクチャ例は、物理-デジタルシステムにおける分散コンセンサスの新たな応用分野を代表するものである。