Bitcoin e i numeri casuali

Un computer sa produrre numeri che sembrano casuali. Il problema non è fabbricare casualità per sé, ma fabbricarne una che gli altri accettino come onesta. Se organizzate una lotteria, come possono i partecipanti essere sicuri che non avete scelto il risultato in anticipo o rigenerato il sorteggio fino a ottenere quello che vi conviene?

Questa esigenza, una casualità pubblica che nessuno controlla, torna ovunque: lotterie, assegnazione di posti limitati, selezione di un campione da verificare, giochi online, certi protocolli informatici. La soluzione ingenua, fidarsi dell'organizzatore, non regge appena c'è una posta in gioco. Serve una fonte esterna, imprevedibile e verificabile.

Bitcoin offre una simile fonte quasi per caso. Questo articolo spiega perché, come la si usa, e perché questa fonte, allettante, comporta un difetto che ogni utente serio deve conoscere prima di affidarvisi.

Perché la casualità onesta è difficile

Una buona casualità condivisa deve riunire tre qualità. Deve essere imprevedibile: nessuno deve poter indovinare il risultato prima che sia fissato. Deve essere verificabile: una volta noto, tutti devono poter confermare che è autentico. E deve essere non manipolabile: chi lo produce non deve poter scegliere, tra più risultati, quello che gli conviene.

Queste esigenze si contraddicono spesso. Un dado lanciato in privato è imprevedibile ma non verificabile. Un numero pubblicato da un'autorità è verificabile ma presuppone di fidarsene. Estrarre più volte fino a un risultato favorevole è una manipolazione invisibile. È quest'ultima trappola, la riesecuzione discreta del sorteggio, che rovina la maggior parte delle soluzioni improvvisate.

L'ideale sarebbe una fonte pubblica, prodotta da un processo che nessuno padroneggia, il cui risultato appare a un istante preciso e resta consultabile poi da tutti. Un orologio della casualità, insomma, alimentato da un fenomeno esterno imparziale. È proprio il ruolo che può svolgere la blockchain×BlockchainRegistro pubblico condiviso che annota tutte le transazioni Bitcoin in blocchi collegati crittograficamente fra loro. Ogni partecipante della rete ne conserva una copia.Vedi nel lessico → Bitcoin.

L'impronta del blocco come seme di casualità

Ogni blocco Bitcoin termina con un'impronta, un lungo numero ottenuto condensando tutto il contenuto del blocco. Perché un blocco sia valido, questa impronta deve iniziare con una serie di zeri, che i miner×MinerComputer o farm di computer che risolve il puzzle crittografico necessario per aggiungere un nuovo blocco alla blockchain, in cambio di una ricompensa in bitcoin.Vedi nel lessico → ottengono provando miliardi di combinazioni. Il risultato finale è, per un osservatore, perfettamente imprevedibile finché il blocco non è trovato.

Questa impronta ha tutto di un buon dado. Nessuno la conosce prima che il blocco sia minato. Una volta pubblicata, è visibile a tutti e fissata nella catena. Si può dunque convenire in anticipo: il vincitore della lotteria sarà determinato dall'impronta del blocco numero tale, ancora a venire. Nel momento in cui questo blocco appare, il risultato si rivela, senza che alcun organizzatore vi abbia messo mano.

Tecnicamente, si prendono le cifre dell'impronta e le si trasforma in un sorteggio: un numero tra uno e mille, la scelta di un vincitore da una lista, una classifica. Poiché tutti vedono la stessa impronta e applicano la stessa regola pubblica, ognuno può ricalcolare il risultato e constatare che è corretto. La casualità diventa un fatto pubblico, non una parola data.

A cosa serve questa casualità pubblica

L'uso più immediato è la lotteria o il sorteggio trasparente. Un'associazione che distribuisce premi, un progetto che seleziona partecipanti, un concorso che designa un vincitore possono annunciare la regola, poi lasciar decidere un blocco futuro. Ognuno verifica poi che il risultato derivi davvero dall'impronta annunciata.

Si ritrova la stessa idea in contesti più tecnici. Alcuni protocolli hanno bisogno di un numero comune e imprevedibile per ripartire compiti, scegliere un comitato, ordinare partecipanti senza favoritismi. L'impronta del blocco funge allora da arbitro neutrale, accessibile a tutti nello stesso istante, senza un server centrale da corrompere.

L'attrattiva è sempre la stessa: sostituire una promessa, fidati di me, con una prova, verifica tu stesso. In un mondo in cui la sfiducia verso gli organizzatori è frequente, disporre di una fonte di casualità che nessuno possiede è un vantaggio reale, a patto di gestirne bene il difetto.

Il difetto: un miner può barare, a un prezzo

La fonte non è perfetta, e trascurarlo sarebbe un errore. Chi trova un blocco ne sceglie il contenuto, quindi influenza in parte la sua impronta. Se ha un interesse nel sorteggio, per esempio una grossa puntata su un risultato, può, in teoria, rifiutare un blocco valido la cui impronta non gli conviene e continuare a minare per trovarne un altro.

Rinunciare a un blocco trovato significa rinunciare alla sua ricompensa, che ammonta a decine di migliaia di euro. La manipolazione ha dunque un costo elevato, il che la rende irrazionale finché la posta del sorteggio resta inferiore a quel costo. Ma per una lotteria dai guadagni enormi, l'attacco smette di essere teorico. La regola di prudenza è semplice: non usare mai l'impronta di un solo blocco per un sorteggio la cui posta superi la ricompensa di un blocco.

Esistono delle contromisure. Si possono combinare più blocchi successivi, il che moltiplica il costo di una manipolazione. Si può mescolare l'impronta Bitcoin con contributi di altri partecipanti secondo uno schema in cui ognuno si impegna prima di conoscere il risultato. Esistono anche servizi specializzati di casualità pubblica, concepiti per resistere a questo tipo di attacco. L'impronta del blocco resta un'eccellente mattone, da usare con cognizione di causa piuttosto che come una scatola nera infallibile.