Provozuje
Featured

Satoshi Nakamoto předpověděl obranu bitcoinu proti hashování již 16 let předtím, než se objevily obavy z kvantové technologie

Před šestnácti lety, v roce 2010, Satoshi Nakamoto odpověděl na fóru jednomu skeptikovi a tato odpověď dodnes určuje, jak síť chrání své peníze.

SDÍLET
Satoshi Nakamoto předpověděl obranu bitcoinu proti hashování již 16 let předtím, než se objevily obavy z kvantové technologie

Hlavní body

  • Satoshi Nakamoto obhájil algoritmus SHA-256 v příspěvku na fóru Bitcointalk ze dne 16. července 2010.
  • Google Quantum AI snížil svůj odhad z roku 2026 pro prolomení křivky bitcoinu na 500 000 kubitů.
  • Vývojáři navrhli v roce 2026 BIP-360 a další nápady na přípravu adres odolných proti kvantovým útokům.

Příspěvek na fóru, který stanovil pravidla

16. července 2010 uživatel s přezdívkou bdonlan na fóru Bitcointalk zpochybnil dvojité hashování bitcoinu pomocí SHA-256. Zeptal se, zda tento návrh neoslabuje bezpečnost.

Satoshi odpověděl přímo. Vynálezce bitcoinu přirovnal SHA-256 k přechodu z 32bitového na 64bitové počítání, nikoli k malému zvýšení délky v bitech. Uvedl, že počítačům došel 32bitový adresní prostor již při 4 gigabajtech, ale nikdo neočekává, že by se 64bitový prostor vyčerpal v dohledné době. SHA-256 funguje stejným způsobem a matematika dává bitcoinu dostatek rezervy.

Satoshi také pro síť připravil plán úniku. Pokud by se SHA-256 někdy oslabil, vývojáři by mohli provést soft fork na novou hash funkci při stanovené výšce bloku. Staré a nové hashe by běžely souběžně, dokud by se všechny uzly neaktualizovaly.

Tržní kapitalizace bitcoinu od té doby překročila bilion a síť denně zúčtovává transakce v hodnotě stovek miliard dolarů. Každý dolar z této aktivity stále závisí na hashové funkci, kterou Satoshi obhájil v jediné odpovědi na fóru před šestnácti lety.

Proč bitcoin používá dva hashe místo jednoho

Kód bitcoinu provádí hashování dat dvakrát: SHA256(SHA256(data)), což je metoda, kterou vývojáři nazývají SHA256d. Kryptografové Niels Ferguson a Bruce Schneier doporučili tento přístup jako ochranu proti útokům na prodloužení délky bloku, což je slabina struktury Merkle-Damgard, kterou používá SHA-2.

Těžaři provádějí hashování hlaviček bloků dvakrát, aby splnili cílovou obtížnost sítě, a uzly provádějí hashování transakcí dvakrát za účelem sestavení Merkleových stromů. Peněženky přidávají třetí vrstvu, RIPEMD-160 nad SHA-256, aby zkrátily veřejné klíče na adresy.

Satoshi si SHA-256 vybral z určitého důvodu. Národní institut pro standardy a technologie (NIST) tento algoritmus zveřejnil v roce 2001 jako součást rodiny SHA-2, čímž nabídl výrazné zvýšení bezpečnosti oproti SHA-1, u kterého se již v době spuštění bitcoinu v lednu 2009 objevily slabiny. Algoritmus SHA-256 vyžaduje přibližně 2^128 operací k vynucení kolize a přibližně 2^256 k vynucení preobrazu.

Uplynulo šestnáct let a nikdo tento algoritmus neprolomil. Žádný výzkumník nenašel funkční kolizi, preobraz ani útok druhým preobrazem proti plné verzi SHA-256. Verze s menším počtem kol podlehly kryptoanalýze, ale tyto útoky přestávají být škálovatelné ještě předtím, než dosáhnou skutečného 64kolového algoritmu. NIST a nezávislé skupiny, jako je ECRYPT-CSA, nadále hodnotí plnou funkci jako bezpečnou.

Stejný příběh vypráví i těžební hardware. Výrobci integrovaných obvodů pro specifické aplikace (ASIC) vybudovali celé produktové řady kolem SHA-256d a síťový hashrate se nyní pohybuje v řádu exahashů. Satoshi předpověděl, že samotný Mooreův zákon tuto funkci nikdy neohrozí, a díky úpravám obtížnosti se doba tvorby bloku udržuje kolem deseti minut navzdory exponenciálnímu nárůstu těžebního výkonu.

Kvantové výpočty mění diskuzi

Klasická metoda hrubé síly Satoshiho nikdy neznepokojovala a ani dnes neohrožuje bitcoin. Kvantové výpočty rozdělují riziko na dva samostatné problémy.

Groverův algoritmus urychluje hledání metodou hrubé síly. Při použití proti SHA-256 snižuje efektivní bezpečnost z 256 bitů na přibližně 128 bitů, což je číslo, které je stále daleko mimo dosah. Výzkumníci tvrdí, že útočník by potřeboval kvantový hardware v měřítku, jaké svět dosud nevyvinul, takže situace zůstává prozatím bezpečná.

Shorův algoritmus představuje větší problém a zaměřuje se na podpisy, nikoli na hashové hodnoty. Kvantový počítač, který by jej spustil, by mohl odvodit soukromý klíč z odhaleného veřejného klíče na eliptické křivce, kterou bitcoin používá. Odhadem 7 milionů bitcoinů, což představuje téměř 35 % celkové nabídky, se nachází na adresách s odhalenými veřejnými klíči a v případě existence takového hardwaru by byly ohroženy.

Společnost Google Quantum AI v roce 2026 zveřejnila výzkum, který snížil počet kubitů potřebných k prolomení bitcoinové křivky na přibližně 500 000 fyzických kubitů. Současné kvantové stroje pracují v rozmezí 1 000 až 1 500 kubitů. Vědci stále odhadují, že k reálné hrozbě dojde někdy mezi lety 2029 a 2035, v závislosti na pokroku v oblasti korekce chyb.

Vývojáři se k této otázce vraceli více než šestnáct let

Satoshi se v průběhu roku 2010 vícekrát vracel k obavám souvisejícím s hashováním, včetně toho, co by se stalo, kdyby u algoritmu SHA-256 došlo k částečné kolizi. Jeho odpověď zůstávala konzistentní: zajistit poctivý řetězec dříve, než se problém rozšíří, a poté přejít na novou funkci.

Pozdější aktualizace bitcoinu jádro hashování neovlivnily. V roce 2017 byl aktivován Segregated Witness a v roce 2021 Taproot; oba byly zaměřeny spíše na efektivitu a soukromí než na hashování. Odolnost vůči kvantovým útokům se pro vývojáře stala prioritním tématem až poté, co se v kryptografické komunitě ve 20. letech 21. století rozšířilo povědomí o Groverově a Shorově algoritmu.

Vývojáři navrhují „výjezdové rampy“, které slíbil Satoshi

Vývojáři bitcoinu již navrhli migrační cestu, kterou Satoshi popsal v roce 2010, jen zaměřenou na podpisy namísto hashů. Na stůl bylo předloženo několik návrhů.

BIP-360 zavádí nový formát adres, tzv. „pay-to-Merkle-root“ adresy začínající na bc1z, postavené na schématech podpisů odolných proti kvantovým útokům. Vývojáři tento návrh začlenili do sítě v roce 2026. Doprovodný návrh, BIP-361, popisuje, jak by síť mohla postupně vyřadit starší, zranitelné typy adres. Druhá z uvedených metod je však o něco kontroverznější.

Poskytovatelé peněženek nyní čelí tlaku, aby zastavili opakované používání adres a nasměrovali uživatele k novějším typům výstupů ještě předtím, než nastane jakákoli kvantová lhůta.

Migrace s sebou nese vlastní překážky. Vývojáři stále potřebují plán pro coiny uzamčené na starých adresách, jejichž majitelé jsou neaktivní nebo nedosažitelní, včetně bitcoinů vázaných na Satoshiho vlastní rané peněženky. Postkvantové podpisy také zabírají více místa v bloku než podpisy, které Bitcoin používá dnes, a výzkumníci testují schémata podpisů založená na hashových funkcích, aby byla tato migrace zvládnutelná.

Co to znamená pro držitele bitcoinů

V souvislosti s SHA-256 není v současné době třeba podnikat žádné kroky. Hashová funkce, která zabezpečuje těžbu a historii transakcí, zůstává nedotčena jakýmkoli známým útokem, ať už klasickým, nebo kvantovým.

Pozornost si zaslouží riziko spojené s podpisy. Držitelé s coiny na adresách starého typu nebo kdokoli, kdo znovu použil bitcoinovou adresu, jsou vystaveni většímu riziku než ti, kteří používají moderní typy výstupů s veřejnými klíči, které zůstávají skryté až do okamžiku utracení.

Satoshi uzavřel vlákno z roku 2010 varováním, které stále platí jako aktuální zásada. Jakýkoli útok dostatečně silný na to, aby prolomil SHA-256, by pravděpodobně poškodil i silnější varianty, jako je SHA-512, takže úplné prolomení se samo o sobě jeví jako nepravděpodobné. Obrana bitcoinu nikdy nespočívala v trvalosti. Spočívala ve schopnosti jednat dříve, než se hrozba stane skutečností.

Tento článek byl přeložen z angličtiny pomocí umělé inteligence. Původní anglická verze je autoritativním zdrojem; automatické překlady mohou obsahovat nepřesnosti, zejména v právní a regulační terminologii.

Štítky v tomto článku