Drevet af
Featured

Satoshi Nakamoto forudsagde Bitcoins hash-beskyttelse 16 år før frygten for kvantecomputere opstod

For seksten år siden, i 2010, svarede Satoshi Nakamoto en skeptiker på et forum, og svaret er stadig retningsgivende for, hvordan netværket beskytter sine penge i dag.

SKREVET AF
DEL
Satoshi Nakamoto forudsagde Bitcoins hash-beskyttelse 16 år før frygten for kvantecomputere opstod

Hovedpunkter

  • Satoshi Nakamoto forsvarede SHA-256 i et indlæg på Bitcointalk-forummet den 16. juli 2010.
  • Google Quantum AI har nedjusteret sit skøn fra 2026 for at bryde Bitcoins kurve til 500.000 qubits.
  • Udviklere har foreslået BIP-360 og andre tiltag i 2026 for at forberede kvantebestandige adresser.

Et forumindlæg, der fastlagde reglerne

Den 16. juli 2010 stillede en bruger ved navn bdonlan spørgsmålstegn ved Bitcoins dobbelte SHA-256-hashing på Bitcointalk-forummet. Han spurgte, om designet svækkede sikkerheden.

Satoshi svarede direkte. Bitcoins opfinder sammenlignede SHA-256 med springet fra 32-bit til 64-bit databehandling – ikke blot et lille skridt opad i bitlængde. Computere løb tør for 32-bit adresserum ved 4 gigabyte, sagde han, men ingen forventer, at 64-bit adresserummet vil blive opbrugt i den nærmeste fremtid. SHA-256 fungerer på samme måde, og matematikken giver Bitcoin rigelig plads.

Satoshi gav også netværket en udtrædelsesplan. Hvis SHA-256 nogensinde skulle blive svækket, kunne udviklerne foretage en soft fork til en ny hashfunktion ved en fastsat blokhøjde. Gamle og nye hashes ville køre side om side, indtil alle noder var opgraderet.

Bitcoins markedsværdi er siden vokset til over en billion, og netværket afvikler dagligt transaktioner til en værdi af hundreder af milliarder dollars. Hver eneste dollar af denne aktivitet afhænger stadig af den hashfunktion, som Satoshi forsvarede i et enkelt forumindlæg for seksten år siden.

Hvorfor Bitcoin kører to hashfunktioner i stedet for én

Bitcoins kode hasher data to gange: SHA256(SHA256(data)), en metode, som udviklerne kalder SHA256d. Kryptograferne Niels Ferguson og Bruce Schneier anbefalede denne tilgang som beskyttelse mod angreb via forlængelse af bloklængden, en svaghed i den Merkle-Damgard-struktur, som SHA-2 anvender.

Minerne hasher blokhoveder to gange for at opfylde netværkets sværhedsgradsmål, og noderne hasher transaktioner to gange for at opbygge Merkle-træer. Wallets tilføjer et tredje lag, RIPEMD-160 oven på SHA-256, for at forkorte offentlige nøgler til adresser.

Satoshi valgte SHA-256 af en grund. National Institute of Standards and Technology offentliggjorde algoritmen i 2001 som en del af SHA-2-familien, hvilket udgjorde et stort spring i sikkerhed i forhold til SHA-1, som allerede viste tegn på svagheder, da Bitcoin blev lanceret i januar 2009. SHA-256 kræver cirka 2^128 operationer for at fremtvinge en kollision og cirka 2^256 for at fremtvinge et præbillede.

Seksten år senere har ingen knækket denne konstruktion. Ingen forsker har fundet et fungerende kollisions-, præbilled- eller andet præbilledangreb mod fuld SHA-256. Versioner med færre runder er blevet knækket ved kryptoanalyse, men disse angreb stopper med at skalere, før de når den egentlige 64-runders algoritme. NIST og uafhængige grupper såsom ECRYPT-CSA vurderer fortsat den fulde funktion som sikker.

Mining-hardware fortæller den samme historie. Producenter af applikationsspecifikke integrerede kredsløb (ASIC) har bygget hele produktlinjer op omkring SHA-256d, og netværkets hashrate ligger nu i exahash-området. Satoshi forudsagde, at Moores lov alene aldrig ville true funktionen, og sværhedsgradsjusteringer har holdt bloktiderne tæt på ti minutter på trods af eksponentielle stigninger i minedriftseffekten.

Kvantecomputere ændrer diskussionen

Klassisk brute force har aldrig bekymret Satoshi, og det udgør stadig ingen trussel mod Bitcoin. Kvantecomputering opdeler risikoen i to separate problemer.

Grovers algoritme fremskynder brute-force-søgningen. Anvendt mod SHA-256 reducerer den den effektive sikkerhed fra 256 bit til omkring 128 bit, et tal, der stadig ligger langt uden for rækkevidde. Forskere siger, at en angriber ville have brug for kvantehardware i et omfang, som verden endnu ikke har bygget, så foreløbig er alt sikkert.

Shors algoritme udgør det største problem, og den er rettet mod signaturer, ikke hashværdier. En kvantecomputer, der kører den, kunne udlede en privat nøgle ud fra en eksponeret offentlig nøgle på den elliptiske kurve, som Bitcoin bruger. Anslået 7 millioner bitcoin, tæt på 35 % af udbuddet, ligger på adresser med eksponerede offentlige nøgler og ville udgøre en risiko, hvis den pågældende hardware eksisterede.

Google Quantum AI offentliggjorde i 2026 en undersøgelse, der sænkede det antal qubits, der er nødvendigt for at bryde Bitcoins kurve, til omkring 500.000 fysiske qubits. Nuværende kvantemaskiner kører i området 1.000 til 1.500 qubits. Forskere anslår stadig, at en reel trussel vil opstå et sted mellem 2029 og 2035, afhængigt af fremskridtene inden for fejlkorrektion.

Udviklere vender tilbage til spørgsmålet efter mere end seksten år

Satoshi vendte mere end én gang tilbage til hash-relaterede bekymringer i løbet af 2010, herunder hvad der ville ske, hvis SHA-256 blev udsat for en delvis kollision. Hans svar forblev det samme: Lås den ærlige kæde fast, før problemet spreder sig, og skift derefter til en ny funktion.

Senere Bitcoin-opgraderinger lod den centrale hashing være uberørt. Segregated Witness blev aktiveret i 2017, og Taproot blev aktiveret i 2021; begge havde fokus på effektivitet og privatlivsbeskyttelse snarere end hashing. Kvantebestandighed blev først et højt prioriteret emne for udviklerne, da kendskabet til Grovers og Shors algoritmer spredte sig i kryptografimiljøet i 2020'erne.

Udviklere foreslår de »exit ramps«, som Satoshi lovede

Bitcoin-udviklere har allerede foreslået den overgangsvej, som Satoshi beskrev i 2010, blot rettet mod signaturer i stedet for hashes. Flere idéer er blevet bragt på banen.

BIP-360 introducerer et nyt adresseformat, pay-to-Merkle-root-adresser, der starter med bc1z, og som er bygget op omkring kvantebestandige signaturordninger. Udviklerne indarbejdede forslaget i 2026. Et ledsagende forslag, BIP-361, beskriver, hvordan netværket på sigt kan udfase ældre, sårbare adressetyper. Sidstnævnte metode er dog lidt mere kontroversiel.

Wallet-udbydere står nu under pres for at stoppe genbrug af adresser og styre brugerne mod de nyere output-typer, inden en eventuel kvantefrist indtræffer.

Overgangen medfører sine egne forhindringer. Udviklerne mangler stadig en plan for mønter, der er låst fast i gamle adresser, hvis ejere er inaktive eller ikke kan kontaktes, herunder eventuelle bitcoins, der er knyttet til Satoshis egne tidlige tegnebøger. Post-kvante-signaturer optager også mere blokplads end de signaturer, Bitcoin bruger i dag, og forskere tester hash-baserede signaturordninger for at holde overgangen håndterbar.

Hvad dette betyder for Bitcoin-indehavere

Der er intet ved SHA-256, der kræver handling i dag. Hashfunktionen, der sikrer minedrift og transaktionshistorik, er stadig uberørt af ethvert kendt angreb, hvad enten det er klassisk eller kvantemekanisk.

Det er udsættelsen af signaturer, der er værd at holde øje med. Indehavere med mønter på adresser af den gamle type, eller enhver, der har genbrugt en Bitcoin-adresse, er mere udsat end nogen, der bruger moderne outputtyper med offentlige nøgler, der forbliver skjulte, indtil de bruges.

Satoshi afsluttede tråden fra 2010 med en advarsel, der stadig kan læses som den nuværende politik. Ethvert angreb, der er stærkt nok til at bryde SHA-256, vil sandsynligvis også skade stærkere varianter som SHA-512, så et fuldstændigt brud i sig selv forekommer usandsynligt. Bitcoins forsvar har aldrig været varighed. Det har været evnen til at handle, før en trussel bliver reel.

Denne artikel er oversat fra engelsk ved hjælp af kunstig intelligens. Den originale engelske version er den autoritative kilde; automatiske oversættelser kan indeholde unøjagtigheder, især i juridisk og lovgivningsmæssig terminologi.

Tags i denne artikel