10. 隱私（Privacy）
 
傳統的造幣廠模型為交易的參與者提供了一定程度的隱私保護，因為試圖向可信任的第三方索取交易信息是嚴格受限的。但是如果將交易信息向全網進行廣播，就意味著這樣的方法失效了。但是隱私依然可以得到保護：將公鑰保持為匿名。公眾得知的信息僅僅是有某個人將一定數量的貨幣發所給了另外一個人，但是難以將該交易同某個特定的人聯繫在一起，也就是說，公眾難以確信，這些人究竟是誰。這同股票交易所發布的信息是類似的，每一手股票買賣發生的時間、交易量是記錄在案且可供查詢的，但是交易雙方的身份信息卻不予透露。
　　作為額外的預防措施，使用者可以讓每次交易都生成一個新的地址，以確保這些交易不被追溯到一個共同的所有者。不過由於存在並行輸入，一定程度上的追溯還是不可避免的，因為並行輸入暗示這些貨幣都屬於同一個所有者。此時的風險在於，如果某個人的某一個公鑰被確認屬於他，那麼就可以追溯出此人的其它很多交易。

11. 計算
設想如下場景：一個攻擊者試圖比誠實節點產生鏈條更快地製造替代性區塊鏈。即便它達到了這一目的，但是整個系統也並非就此完全受制於攻擊者的獨斷意志了，比方說憑空創造價值，或者掠奪本不屬於攻擊者的貨幣。這是因為節點將不會接受無效的交易，而誠實的節點永遠不會接受一個包含了無效信息的區塊。一個攻擊者能做的，最多是更改他自己的交易信息，並試圖拿回他剛剛付給別人的錢。
　　誠實鏈條和攻擊者鏈條之間的競賽，可以用二元樹隨機漫步（Binomial Random Walk)來描述。成功事件定義為誠實鏈條延長了一個區塊，使其領先性+1，而失敗事件則是攻擊者的鏈條被延長了一個區塊，使得差距-1。
攻擊者成功填補某一既定差距的可能性，可以近似地看做賭徒破產問題（Gambler's Ruinproblem）。假定一個賭徒擁有無限的透支信用，然後開始進行潛在次數為無窮的賭博，試圖填補上自己的虧空。那麼我們可以計算他填補上虧空的機率，也就是該攻擊者趕上誠實鏈條，如下所示8：

 

假定 p>q，那麼攻擊成功的機率就因為區塊數的增長而呈現指數化下降。由於機率是攻擊者的敵人，如果他不能幸運且快速地獲得成功，那麼他獲得成功的機會隨著時間的流逝就變得愈發渺茫。那麼我們考慮一個收款人需要等待多長時間，才能足夠確信付款人已經難以更改交易了。我們假設付款人是一個支付攻擊者，希望讓收款人在一段時間內相信他已經付過款了，然後立即將支付的款項重新支付給自己。雖然收款人屆時會發現這一點，但為時已晚。

　　收款人生成了新的一對密鑰組合，然後只預留一個較短的時間將公鑰發送給付款人。這將可以防止以下情況：付款人預先準備好一個區塊鏈然後持續地對此區塊進行運算，直到運氣讓他的區塊鏈超越了誠實鏈條，方才立即執行支付。當此情形，只要交易一旦發出，攻擊者就開始秘密地準備一條包含了該交易替代版本的平行鏈條。

然後收款人將等待交易出現在首個區塊中，然後在等到z個區塊連結其後。此時，他仍然不能確切知道攻擊者已經進展了多少個區塊，但是假設誠實區塊將耗費平均預期時間以產生一個區塊，那麼攻擊者的潛在進展就是一個泊松分布，分布的期望值為：

 

當此情形，為了計算攻擊者追趕上的機率，我們將攻擊者取得進展區塊數量的泊松分布的機率密度，乘以在該數量下攻擊者依然能夠追趕上的機率。

 

化為如下形式，避免對無限數列求和：

 

寫為如下C語言代碼：
#include <math.h>
double AttackerSuccessProbability(double q, int z)
{
double p = 1.0 - q;
double lambda = z * (q / p);
double sum = 1.0;
int i, k;
for (k = 0; k <= z; k++)
{
double poisson = exp(-lambda);
for (i = 1; i <= k; i++)
poisson *= lambda / i;
sum -= poisson * (1 - pow(q / p, z - k));
}
　　  return sum;
}
對其進行運算，我們可以得到如下的機率結果，發現機率對z值呈指數下降。
當q=0.1時
z=0 P=1.0000000
z=1 P=0.2045873
z=2 P=0.0509779
z=3 P=0.0131722
z=4 P=0.0034552
z=5  P=0.0009137
z=6 P=0.0002428
z=7 P=0.0000647
z=8 P=0.0000173
z=9 P=0.0000046
z=10 P=0.0000012
當q=0.3時
z=0 P=1.0000000
z=5 P=0.1773523
z=10  P=0.0416605
z=15 P=0.0101008
z=20 P=0.0024804
z=25 P=0.0006132
z=30 P=0.0001522
z=35 P=0.0000379
z=40 P=0.0000095
z=45 P=0.0000024
z=50 P=0.0000006
求解令P<0.1%的z值：
為使P<0.001，則
q=0.10 z=5
q=0.15 z=8
q=0.20 z=11
q=0.25 z=15
q=0.30 z=24
q=0.35 z=41
q=0.40 z=89
q=0.45 z=340

12.結論
我們在此提出了一種不需要信用中介的電子支付系統。我們首先討論了通常的電子貨幣的電子簽名原理，雖然這種系統為所有權提供了強有力的控制，但是不足以防止雙重支付。為了解決這個問題，我們提出了一種採用工作量證明機制的點對點網路來記錄交易的公開信息，只要誠實的節點能夠控制絕大多數的CPU計算能力，就能使得攻擊者事實上難以改變交易記錄。該網路的強健之處在於它結構上的簡潔性。節點之間的工作大部分是彼此獨立的，只需要很少的協同。每個節點都不需要明確自己的身份，由於交易信息的流動路徑並無任何要求，所以只需要盡其最大努力傳播即可。節點可以隨時離開網路，而想重新加入網路也非常容易，因為只需要補充接收離開期間的工作量證明鏈條即可。節點通過自己的CPU計算力進行投票，表決他們對有效區塊的確認，他們不斷延長有效的區塊鏈來表達自己的確認，並拒絕在無效的區塊之後延長區塊以表示拒絕。本框架包含了一個P2P電子貨幣系統所需要的全部規則和激勵措施。

注釋：

1. W Dai（戴偉）,a scheme for a group of untraceable digital pseudonyms to pay each other with money and to enforcecontracts amongst themselves without outside help（一種能夠藉助電子假名在群體內部相互支付並迫使個體遵守規則且不需要外界協助的電子現金機制）, 「B-money」, http://www.weidai.com/bmoney.txt, 1998.

2. H. Massias, X.S. Avila, and J.-J. Quisquater, 「Design of a secure timestamping service with minimal trust requirements,」（在最小化信任的基礎上設計一種時間戳伺服器） In 20th Symposium on Information Theory in the Benelux, May 1999.

3. S. Haber, W.S. Stornetta, 「How to time-stamp a digital document,」 （怎樣為電子文件添加時間戳）In Journal of Cryptology,vol 3, No.2, pages 99-111, 1991.

4. D. Bayer, S. Haber, W.S. Stornetta, 「Improving the efficiency and reliability of digital time-stamping,」（提升電子時間戳的效率和可靠性） In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.

5. S. Haber, W.S. Stornetta, 「Secure names for bit-strings,」（比特字串的安全命名） In Proceedings of the 4th ACM Conferenceon Computer and Communications Security, pages 28-35, April 1997.

6. A. Back, 「Hashcash - a denial of service counter-measure,」（哈希現金——拒絕服務式攻擊的剋制方法）http://www.hashcash.org/papers/hashcash.pdf, 2002.

7. R.C. Merkle, 「Protocols for public key cryptosystems,」 （公鑰密碼系統的協議）In Proc. 1980 Symposium on Security andPrivacy, IEEE Computer Society, pages 122-133, April 1980.

　　
8. W. Feller, 「An introduction to probability theory and its applications,」 （機率學理論與應用導論）1957.

英文原版pdf格式論文：http://bitcoin.org/bitcoin.pdf

中文譯版pdf格式論文：http://www.btc123.com/data/docs/bitcoin_cn.pdf