以垃圾邮件为基础的工作证明？

Question

我计划实现一个收到反馈的公共邮箱，我想使用基于哈希的工作证明来挫败垃圾邮件发送者。

首先，我们希望使用320位容量Gimli置换作为基于海绵的散列函数的底层基元，因为

1. 我不想让服务器每次收到消息都很难重新评估KDF，
2. 它在大宗商品硬件上是不可用的，这意味着必须有人为硅付费才能加速它，
3. 可调的参数较少(容量/速率和预图像长度)。

第二，对于每条消息，都会有一个基于时间的挑战(服务器将允许一个小的错误窗口)加到每条消息的前面，对其进行散列和发送，以阻止计算前的攻击。

然而，有几件事我并不自信。即：

1. 在POW中使用普通散列和KDF有哪些优点和缺点？
2. 除了重放、预计算之外，在设计安全的工作证明系统时还必须考虑哪些其他攻击？

Answer 1

我同意E-寿司的观点，PoW确实能工作，但是HashCash使用的原语对对手来说太友好了。正如OP指出的那样，我们需要上下文约束的挑战和响应，这些挑战和响应不能被重用或预先计算。

我们不能阻止工作被委派；但是我们可以使PoW比ASIC友好的散列函数更昂贵。argon2 KDF家族非常适合这一点，特别是为PoW设计的argon2d；而argon2i则是为秘密密码设计的。

内存和cpu参数可以单独调优，这样不会给真正的用户带来太大的不便，并且服务器在负载下不会不堪重负。

不需要100%的时间计算PoW，您可能只在服务器负载时才需要它。这可能不适用于您的用例。

1. 在POW中使用普通散列和KDF有哪些优点和缺点？

优势：

• 增加对手成本

缺点：

• 给用户带来不便(小于captcha)
• 在用户客户端上运行更多代码，给选择禁用JavaScript的用户带来不便
• 耗尽用户移动设备的能量
• 增加额外的计算成本，增加功耗，以达到最低的效益。

1. 除了重放、预计算之外，在设计安全的工作证明系统时还必须考虑哪些其他攻击？

• 远程委托给不知情的用户(比如最近在政府网站上使用的密码)
• 拒绝服务。对手可能会在不尝试的情况下提出虚假的解决方案。服务器仍然执行计算成本。

替代办法：

• 使用户能够以小额支付的形式寄钱。这一规模将需要一个高性能分类账，或更好的许多分类账。另一方面，一个对手可能有足够的钱烧掉，可能是被偷的。

Answer 2

战俘不在这里工作是因为：

POW只允许对正在执行的非平凡计算进行琐碎验证，截至2018年的大多数方案都无法验证计算是由诚实的一方自己完成的。

哈希函数的计算很容易出源(感兴趣的读者可能会看到这)，并且存在比特币采矿木马滥用比特币块链系统和普通不愿意使用的计算机。

真正应该做的是阻止垃圾邮件发送者，使用(适量)跟踪cookie，检查"Referer“报头，使用POW和CAPTCHA，最后使用Baysian网络作为分层安全措施。

Answer 3

我不得不反驳丹宁牛的另一个答案错误地指出POW (工作证明)在这里不起作用。

确实如此。

事实上，你即将重新发明轮子。请看HashCash，它正是为了做到这一点而发明的。

引用维基百科相关文章：

哈希现金是一种工作证明系统，用于限制电子邮件垃圾邮件和拒绝服务攻击，最近，它作为挖掘算法的一部分在比特币(和其他加密货币)中得到了广泛的应用。最初的想法是Cynthia Dwork和Moni Naor和Eli Ponyatovski在他们1992年的论文“通过处理或打击垃圾邮件定价”中提出的。后来，亚当·巴克( Adam )在1997年提出了一项类似的建议，名为哈希现金。

如欲进一步阅读，请参阅

• 处理或打击垃圾邮件的定价
• HashCash

正如我在我的意见中提到的

一切都可以自动完成，甚至可以自动完成。看看像Google的ReCaptcha这样的captchas服务有多频繁地被逆向工程，他们的captchas被黑了，你最好还是用一两个可调整的参数来使用POW。