Kuusitoista vuotta sitten, vuonna 2010, Satoshi Nakamoto vastasi epäilijälle eräässä keskustelufoorumissa, ja tämä vastaus ohjaa edelleen sitä, miten verkosto suojaa varojaan nykyään.
Satoshi Nakamoto ennusti bitcoinin hajautusperusteisen suojauksen jo 16 vuotta ennen kvanttitietokoneisiin liittyvien pelkojen heräämistä

Tärkeimmät kohdat
- Satoshi Nakamoto puolusti SHA-256-algoritmia 16. heinäkuuta 2010 Bitcointalk-foorumilla julkaistussa viestissä.
- Google Quantum AI alensi arviotaan vuodelle 2026, jolloin Bitcoinin salauskäyrä murretaan, 500 000 kubittiin.
- Kehittäjät ovat ehdottaneet BIP-360-standardia ja muita ideoita vuodelle 2026 kvanttitietokoneiden kestäviä osoitteita varten.
Foorumiviesti, joka asetti säännöt
16. heinäkuuta 2010 käyttäjä nimeltä bdonlan kyseenalaisti Bitcointalk-foorumilla Bitcoinin kaksinkertaisen SHA-256-hajautuksen. Hän kysyi, heikensikö tämä ratkaisu turvallisuutta.
Satoshi vastasi suoraan. Bitcoinin keksijä vertasi SHA-256:ta siirtymään 32-bittisestä 64-bittiseen tietojenkäsittelyyn, mikä ei ole mikään pieni askel bittipituudessa. Tietokoneiden 32-bittinen osoitetila loppui 4 gigatavun kohdalla, hän sanoi, mutta kukaan ei odota 64-bittisen tilan loppuvan lähiaikoina. SHA-256 toimii samalla tavalla, ja matemaattisesti Bitcoinilla on vielä runsaasti varaa.
Satoshi esitti verkostolle myös poistumissuunnitelman. Jos SHA-256 joskus heikkenisi, kehittäjät voisivat toteuttaa pehmeän haarautumisen (soft fork) uuteen hajautusfunktioon ennalta määritellyllä lohkon korkeudella. Vanhat ja uudet hajautusfunktiot toimisivat rinnakkain, kunnes jokainen solmu olisi päivittänyt järjestelmänsä.
Bitcoinin markkina-arvo on sittemmin kasvanut yli biljoonaan, ja verkossa käsitellään päivittäin satojen miljardien dollarien arvosta transaktioita. Jokainen näistä dollareista riippuu edelleen siitä hajautusfunktiosta, jota Satoshi puolusti yhdessä foorumivastauksessa kuusitoista vuotta sitten.
Miksi Bitcoin käyttää kahta hajautusfunktiota yhden sijaan
Bitcoinin koodi hajauttaa tiedot kahdesti: SHA256(SHA256(data)), menetelmä, jota kehittäjät kutsuvat nimellä SHA256d. Kryptografit Niels Ferguson ja Bruce Schneier suosittelivat tätä lähestymistapaa lohkon pituuden laajennushyökkäyksiä vastaan, jotka ovat SHA-2:n käyttämän Merkle-Damgard-rakenteen heikkous.
Louhijat hajauttavat lohkon otsikot kahdesti täyttääkseen verkon vaikeustavoitteen, ja solmut hajauttavat transaktiot kahdesti Merkle-puiden rakentamiseksi. Lompakot lisäävät kolmannen kerroksen, RIPEMD-160:n SHA-256:n päälle, julkisten avainten lyhentämiseksi osoitteiksi.
Satoshi valitsi SHA-256:n tietystä syystä. Yhdysvaltain kansallinen standardi- ja teknologiainstituutti (NIST) julkaisi algoritmin vuonna 2001 osana SHA-2-perhettä, ja se tarjosi huomattavan vahvuuden parannuksen SHA-1:een verrattuna, jossa oli jo havaittu heikkouksia Bitcoinin lanseeraushetkellä tammikuussa 2009. SHA-256:ssa tarvitaan noin 2^128 operaatiota törmäyksen pakottamiseen ja noin 2^256 esikuvan pakottamiseen.
Kuusitoista vuotta myöhemmin kukaan ei ole murtanut tätä rakennetta. Yksikään tutkija ei ole löytänyt toimivaa törmäys-, esikuva- tai toisen esikuvan hyökkäystä täysimittaista SHA-256:ta vastaan. Kierrosmäärältään supistetut versiot ovat joutuneet kryptoanalyysin kohteeksi, mutta nämä hyökkäykset eivät skaalaudu riittävän pitkälle ennen kuin ne saavuttavat todellisen 64-kierroksisen algoritmin. NIST ja riippumattomat ryhmät, kuten ECRYPT-CSA, pitävät edelleen täysimittaista algoritmia turvallisena.
Louhintalaitteistot kertovat samaa tarinaa. Sovelluskohtaisten integroitujen piirien (ASIC) valmistajat ovat rakentaneet kokonaisia tuotelinjoja SHA-256d:n ympärille, ja verkon hashrate on nyt exahash-luokkaa. Satoshi ennusti, että pelkästään Mooren laki ei koskaan uhkaisi algoritmia, ja vaikeustason säätöjä on käytetty pitämään lohkojen muodostumisaika noin kymmenen minuutin luokassa huolimatta louhintatehon eksponentiaalisesta kasvusta.
Kvanttilaskenta muuttaa keskustelun luonnetta
Perinteinen brute force -menetelmä ei koskaan huolestuttanut Satoshia, eikä se vieläkään uhkaa Bitcoinia. Kvanttilaskenta jakaa riskin kahteen erilliseen ongelmaan.
Groverin algoritmi nopeuttaa brute-force-hakua. SHA-256:ta vastaan käytettynä se leikkaa tehokkaan suojauksen 256 bitistä noin 128 bittiin, mikä on luku, joka on edelleen kaukana saavutettavissa olevasta. Tutkijoiden mukaan hyökkääjä tarvitsisi kvanttilaitteistoa mittakaavassa, jota maailmassa ei ole vielä rakennettu, joten tilanne on toistaiseksi turvallinen.
Shorin algoritmi on suurempi ongelma, ja se kohdistuu allekirjoituksiin, ei hajautusarvoihin. Sitä käyttävä kvanttitietokone voisi poimia salaisen avaimen Bitcoinissa käytetyn elliptisen käyrän paljastuneesta julkisesta avaimesta. Arviolta 7 miljoonaa bitcoinia, eli lähes 35 % kokonaismäärästä, sijaitsee osoitteissa, joiden julkiset avaimet ovat paljastuneet, ja ne olisivat vaarassa, jos tällainen laitteisto olisi olemassa.
Google Quantum AI julkaisi vuonna 2026 tutkimuksen, joka alensi Bitcoinin käyrän murtamiseen tarvittavan kubittimäärän noin 500 000 fyysiseen kubittiin. Nykyiset kvanttitietokoneet toimivat 1 000–1 500 kubitin alueella. Tutkijat arvioivat edelleen, että uhka toteutuu joskus vuosien 2029 ja 2035 välillä, riippuen virheenkorjauksen kehityksestä.
Kehittäjät palaavat kysymykseen yli kuudentoista vuoden jälkeen
Satoshi palasi hash-algoritmeihin liittyviin huolenaiheisiin useammin kuin kerran vuoden 2010 aikana, mukaan lukien sen, mitä tapahtuisi, jos SHA-256:ssa ilmenisi osittainen törmäys. Hänen vastauksensa pysyi johdonmukaisena: lukitse rehellinen ketju ennen kuin ongelma leviää, ja siirry sitten uuteen funktioon.
Myöhemmät Bitcoin-päivitykset jättivät ytimen hash-toiminnon ennalleen. Segregated Witness otettiin käyttöön vuonna 2017 ja Taproot vuonna 2021; molempien tavoitteena oli tehokkuus ja yksityisyys eikä niinkään hash-toiminto. Kvanttiturvallisuus nousi kehittäjien keskuudessa ajankohtaiseksi aiheeksi vasta, kun tieto Groverin ja Shorin algoritmeista levisi salausyhteisössä 2020-luvulla.
Kehittäjät ehdottavat Satoshin lupaamia siirtymäreittejä
Bitcoinin kehittäjät ovat jo ehdottaneet siirtymäreittiä, jonka Satoshi kuvaili vuonna 2010, mutta se kohdistui allekirjoituksiin hajautusten sijaan. Keskusteluun on tuotu esiin useita ideoita.
BIP-360 esittelee uuden osoitemuodon, bc1z:llä alkavat pay-to-Merkle-root-osoitteet, jotka perustuvat kvanttivastustuskykyisiin allekirjoitusmenetelmiin. Kehittäjät hyväksyivät ehdotuksen vuonna 2026. Liitännäisehdotus BIP-361 esittelee, kuinka verkko voisi lopulta poistaa käytöstä vanhemmat, haavoittuvat osoitetyypit. Jälkimmäinen menetelmä on hieman kiistanalaisempi.
Lompakkopalvelujen tarjoajat ovat nyt paineen alla lopettaa osoitteiden uudelleenkäyttö ja ohjata käyttäjiä kohti uudempia ulostulotyyppejä ennen kuin kvanttitietokoneiden uhka toteutuu.
Siirtymiseen liittyy omat esteensä. Kehittäjät tarvitsevat edelleen suunnitelman vanhoihin osoitteisiin lukittujen kolikoiden varalle, joiden omistajat ovat passiivisia tai tavoittamattomissa, mukaan lukien Satoshin omiin varhaisiin lompakkoihin sidotut bitcoinit. Post-kvanttiallekirjoitukset vievät myös enemmän lohkotilaa kuin Bitcoinin nykyisin käyttämät allekirjoitukset, ja tutkijat testaavat hash-pohjaisia allekirjoitusmenetelmiä, jotta siirtymä pysyisi hallittavana.
Mitä tämä tarkoittaa bitcoinien haltijoille
SHA-256:n osalta ei tarvita toimenpiteitä tällä hetkellä. Hash-funktio, joka turvaa louhinnan ja transaktiohistorian, on edelleen suojattu kaikilta tunnetuilta hyökkäyksiltä, olivatpa ne klassisia tai kvanttihyökkäyksiä.
Allekirjoitusten haavoittuvuus on se asia, jota kannattaa seurata. Omistajat, joilla on kolikoita vanhanaikaisissa osoitteissa, tai kuka tahansa, joka on käyttänyt samaa Bitcoin-osoitetta uudelleen, ovat alttiimpia riskeille kuin ne, jotka käyttävät nykyaikaisia ulostulotyyppejä, joissa julkiset avaimet pysyvät piilossa, kunnes varoja käytetään.
Satoshi päätti vuoden 2010 keskusteluketjun varoituksella, joka pätee edelleen nykyisenä linjauksena. Mikä tahansa hyökkäys, joka on riittävän voimakas murtamaan SHA-256:n, vahingoittaisi todennäköisesti myös sen vahvempia sukulaisia, kuten SHA-512:ta, joten täydellinen murtaminen näyttää itsessään epätodennäköiseltä. Bitcoinin puolustus ei ole koskaan perustunut pysyvyyteen. Se on perustunut kykyyn toimia ennen kuin uhka muuttuu todelliseksi.
Tämä artikkeli on käännetty englannista tekoälyn avulla. Alkuperäinen englanninkielinen versio on auktoritatiivinen lähde; automaattiset käännökset voivat sisältää epätarkkuuksia, erityisesti oikeudellisessa ja sääntelyyn liittyvässä terminologiassa.















