ارائه توسط
Featured

ساتوشی ناکاموتو ۱۶ سال پیش از نگرانی‌های کوانتومی، دفاع هشِ بیت‌کوین را پیش‌بینی کرده بود

شانزده سال پیش، ساتوشی ناکاموتو در سال ۲۰۱۰ به یک تردیدکننده در یک انجمن پاسخ داد و آن پاسخ هنوز هم راهنمای نحوه دفاع شبکه از پولش در امروز است.

نویسنده
اشتراک
ساتوشی ناکاموتو ۱۶ سال پیش از نگرانی‌های کوانتومی، دفاع هشِ بیت‌کوین را پیش‌بینی کرده بود

نکات کلیدی

  • ساتوشی ناکاموتو در پست ۱۶ ژوئیه ۲۰۱۰ در انجمن Bitcointalk از SHA-256 دفاع کرد.
  • Google Quantum AI برآورد خود برای شکستن منحنی بیت‌کوین تا سال ۲۰۲۶ را به ۵۰۰٬۰۰۰ کیوبیت کاهش داد.
  • توسعه‌دهندگان در سال ۲۰۲۶، BIP-360 و ایده‌های دیگری را برای آماده‌سازی آدرس‌های مقاوم در برابر کوانتوم پیشنهاد کرده‌اند.

پستی در انجمن که قواعد را تعیین کرد

در ۱۶ ژوئیه ۲۰۱۰، کاربری به نام bdonlan در انجمن Bitcointalk پرسشی درباره هش‌کردن دوگانه SHA-256 در بیت‌کوین مطرح کرد. او پرسید آیا این طراحی امنیت را تضعیف می‌کند یا نه.

ساتوشی مستقیم پاسخ داد. مخترع بیت‌کوین SHA-256 را با گذار از محاسبات ۳۲ بیتی به ۶۴ بیتی مقایسه کرد؛ نه صرفاً یک افزایش کوچک در طول بیت. او گفت کامپیوترها در فضای آدرس‌دهی ۳۲ بیتی در ۴ گیگابایت به بن‌بست رسیدند، اما هیچ‌کس انتظار ندارد به این زودی‌ها فضای ۶۴ بیتی تمام شود. SHA-256 هم به همین شکل کار می‌کند و ریاضیات به بیت‌کوین حاشیه امن زیادی می‌دهد.

ساتوشی همچنین برای شبکه یک راه خروج ارائه کرد. اگر SHA-256 روزی تضعیف شود، توسعه‌دهندگان می‌توانند با یک سافت‌فورک در ارتفاع بلاک مشخص به یک تابع هش جدید مهاجرت کنند. هش‌های قدیمی و جدید به‌صورت موازی اجرا می‌شوند تا زمانی که همه نودها ارتقا پیدا کنند.

از آن زمان ارزش بازار بیت‌کوین از یک تریلیون گذشته و شبکه روزانه صدها میلیارد دلار ارزش را تسویه می‌کند. هر دلار از آن فعالیت هنوز به همان تابع هشی وابسته است که ساتوشی شانزده سال پیش در یک پاسخِ واحد در انجمن از آن دفاع کرد.

چرا بیت‌کوین به‌جای یک هش از دو هش استفاده می‌کند

کد بیت‌کوین داده‌ها را دو بار هش می‌کند: SHA256(SHA256(data))، روشی که توسعه‌دهندگان آن را SHA256d می‌نامند. رمزنگاران نیلز فرگوسن و بروس اشنایر این رویکرد را در برابر حملات «افزونه‌کردن طول» (length extension) توصیه کردند؛ نقصی در ساختار مرکل-دامگارد که SHA-2 از آن استفاده می‌کند.

ماینرها سرآیند بلاک را دو بار هش می‌کنند تا به هدف سختی شبکه برسند و نودها تراکنش‌ها را دو بار هش می‌کنند تا درخت‌های مرکل ساخته شوند. کیف‌پول‌ها یک لایه سوم هم اضافه می‌کنند: RIPEMD-160 روی SHA-256، تا کلیدهای عمومی را کوتاه کرده و به آدرس تبدیل کنند.

ساتوشی به‌دلیلی SHA-256 را انتخاب کرد. مؤسسه ملی استاندارد و فناوری (NIST) این الگوریتم را در سال ۲۰۰۱ به‌عنوان بخشی از خانواده SHA-2 منتشر کرد و جهش بزرگی در قدرت نسبت به SHA-1 ارائه داد؛ الگوریتمی که تا زمان راه‌اندازی بیت‌کوین در ژانویه ۲۰۰۹ نشانه‌هایی از ضعف در آن دیده می‌شد. SHA-256 برای وادار کردن به یک برخورد (collision) تقریباً به 2^128 عملیات نیاز دارد و برای وادار کردن به یک پیش‌تصویر (preimage) تقریباً 2^256.

شانزده سال بعد، و هیچ‌کس این طراحی را نشکسته است. هیچ پژوهشگری حمله عملیِ برخورد، پیش‌تصویر یا پیش‌تصویر دوم علیه SHA-256 کامل پیدا نکرده است. نسخه‌های با دورِ کمتر (reduced-round) هدف رمزکاوی قرار گرفته‌اند، اما این حملات پیش از رسیدن به الگوریتم واقعیِ ۶۴ دوری از مقیاس‌پذیری بازمی‌مانند. NIST و گروه‌های مستقلی مانند ECRYPT-CSA همچنان این تابع کامل را امن ارزیابی می‌کنند.

سخت‌افزار استخراج هم همین داستان را می‌گوید. سازندگان مدارهای مجتمع با کاربرد ویژه (ASIC) تمام خطوط محصولی را حول SHA-256d ساخته‌اند و نرخ هش شبکه اکنون در محدوده اگزاهش اجرا می‌شود. ساتوشی پیش‌بینی کرده بود که قانون مور به‌تنهایی هرگز این تابع را تهدید نمی‌کند و تنظیمات سختی، با وجود رشد نمایی توان استخراج، زمان بلاک‌ها را نزدیک به ده دقیقه نگه داشته است.

رایانش کوانتومی گفت‌وگو را تغییر می‌دهد

جست‌وجوی کورِ کلاسیک هرگز ساتوشی را نگران نکرد و هنوز هم بیت‌کوین را تهدید نمی‌کند. رایانش کوانتومی ریسک را به دو مسئله جداگانه تقسیم می‌کند.

الگوریتم گروور (Grover) جست‌وجوی brute-force را سریع‌تر می‌کند. اگر علیه SHA-256 اجرا شود، امنیت مؤثر را از ۲۵۶ بیت به حدود ۱۲۸ بیت کاهش می‌دهد؛ عددی که همچنان بسیار دور از دسترس است. پژوهشگران می‌گویند مهاجم به سخت‌افزار کوانتومی در مقیاسی نیاز دارد که جهان هنوز نساخته است، پس فعلاً اوضاع امن می‌ماند.

الگوریتم شور (Shor) مشکل بزرگ‌تری ایجاد می‌کند و هدفش امضاهاست، نه هش‌ها. یک کامپیوتر کوانتومی که آن را اجرا کند می‌تواند از روی یک کلید عمومیِ افشا شده، کلید خصوصی را روی منحنی بیضوی‌ای که بیت‌کوین استفاده می‌کند استخراج کند. برآورد می‌شود ۷ میلیون بیت‌کوین، نزدیک به ۳۵٪ از عرضه، در آدرس‌هایی قرار دارند که کلید عمومی‌شان افشا شده و اگر چنین سخت‌افزاری وجود داشته باشد، در معرض ریسک خواهند بود.

Google Quantum AI در سال ۲۰۲۶ پژوهشی منتشر کرد که تعداد کیوبیت لازم برای شکستن منحنی بیت‌کوین را به حدود ۵۰۰٬۰۰۰ کیوبیت فیزیکی کاهش داد. ماشین‌های کوانتومی فعلی در محدوده ۱٬۰۰۰ تا ۱٬۵۰۰ کیوبیت کار می‌کنند. پژوهشگران همچنان یک تهدید عملی را جایی بین ۲۰۲۹ تا ۲۰۳۵، بسته به پیشرفت در تصحیح خطا، محتمل می‌دانند.

توسعه‌دهندگان پس از شانزده سال دوباره به پرسش برمی‌گردند

ساتوشی در طول سال ۲۰۱۰ بیش از یک بار به نگرانی‌های مرتبط با هش بازگشت، از جمله این‌که اگر SHA-256 دچار یک برخورد جزئی شود چه اتفاقی می‌افتد. پاسخ او ثابت ماند: پیش از آن‌که مشکل گسترش یابد، زنجیره درستکار را تثبیت کنید، سپس به یک تابع جدید مهاجرت کنید.

ارتقاهای بعدی بیت‌کوین، هش‌کردن هسته را دست‌نخورده گذاشتند. سگویت (Segregated Witness) در ۲۰۱۷ فعال شد و تپ‌روت (Taproot) در ۲۰۲۱؛ هر دو بیشتر برای کارایی و حریم خصوصی بودند تا هش‌کردن. «مقاومت در برابر کوانتوم» تا زمانی که آگاهی از الگوریتم‌های گروور و شور در دهه ۲۰۲۰ در جامعه رمزنگاری گسترش یافت، به موضوع داغ و فوری برای توسعه‌دهندگان تبدیل نشد.

توسعه‌دهندگان رمپ‌های خروجی را که ساتوشی وعده داده بود پیشنهاد می‌کنند

توسعه‌دهندگان بیت‌کوین از پیش همان مسیر مهاجرتی را که ساتوشی در ۲۰۱۰ توصیف کرده بود پیشنهاد داده‌اند، با این تفاوت که این بار به‌جای هش‌ها، روی امضاها متمرکز است. چندین ایده مطرح شده‌اند.

BIP-360 یک قالب آدرس جدید معرفی می‌کند: آدرس‌های pay-to-Merkle-root که با bc1z شروع می‌شوند و بر پایه طرح‌های امضای مقاوم در برابر کوانتوم ساخته شده‌اند. توسعه‌دهندگان این پیشنهاد را در سال ۲۰۲۶ ادغام کردند. یک پیشنهاد همراه، BIP-361، توضیح می‌دهد شبکه چگونه می‌تواند در نهایت انواع آدرس‌های قدیمی و در معرض افشا را بازنشسته کند. البته روش دوم کمی بحث‌برانگیزتر است.

اکنون ارائه‌دهندگان کیف‌پول تحت فشار هستند تا استفاده مجدد از آدرس را متوقف کنند و کاربران را پیش از رسیدن هر ضرب‌الاجل کوانتومی، به سمت انواع خروجی جدیدتر هدایت کنند.

مهاجرت موانع خودش را هم دارد. توسعه‌دهندگان هنوز برای سکه‌هایی که در آدرس‌های قدیمی قفل شده‌اند و مالکان‌شان غیرفعال یا غیرقابل دسترس‌اند، به یک برنامه نیاز دارند؛ از جمله هر بیت‌کوینی که به کیف‌پول‌های اولیه خود ساتوشی مربوط است. امضاهای پساکوانتومی همچنین فضای بلاک بیشتری نسبت به امضاهای امروزی بیت‌کوین اشغال می‌کنند و پژوهشگران در حال آزمایش طرح‌های امضای مبتنی بر هش هستند تا این مهاجرت قابل مدیریت بماند.

این موضوع برای دارندگان بیت‌کوین چه معنایی دارد

هیچ چیز درباره SHA-256 امروز نیازمند اقدام نیست. تابع هشی که استخراج و تاریخچه تراکنش‌ها را امن می‌کند، در برابر هر حمله شناخته‌شده—کلاسیک یا کوانتومی—دست‌نخورده باقی مانده است.

افشای امضا موردی است که ارزش زیر نظر داشتن دارد. دارندگانی که سکه‌هایشان در آدرس‌های سبک قدیمی است، یا هر کسی که یک آدرس بیت‌کوین را دوباره استفاده کرده، نسبت به کسی که از انواع خروجی مدرن استفاده می‌کند (که در آن‌ها کلیدهای عمومی تا زمان خرج‌کردن پنهان می‌مانند) در معرض ریسک بیشتری قرار دارد.

ساتوشی رشته بحث ۲۰۱۰ را با هشداری بست که هنوز هم مانند سیاست جاری به نظر می‌رسد. هر حمله‌ای که آن‌قدر قوی باشد که SHA-256 را بشکند، احتمالاً به خویشاوندان قوی‌ترش مثل SHA-512 هم آسیب می‌زند؛ پس یک شکست کامل به‌تنهایی بعید به نظر می‌رسد. دفاع بیت‌کوین هرگز «ماندگاری همیشگی» نبود؛ توانایی حرکت کردن پیش از آن‌که تهدید واقعی شود بود.

این مقاله با استفاده از هوش مصنوعی از انگلیسی ترجمه شده است. نسخه اصلی انگلیسی منبع معتبر است؛ ترجمه‌های خودکار ممکن است حاوی نادرستی‌هایی باشند، به‌ویژه در اصطلاحات حقوقی و قانونی.

برچسب‌ها در این داستان