Aangedreven door
Featured

Satoshi Nakamoto voorspelde de hash-beveiliging van Bitcoin al 16 jaar vóór de bezorgdheid over kwantumcomputers

Zestien jaar geleden, in 2010, gaf Satoshi Nakamoto op een forum antwoord aan een scepticus, en dat antwoord vormt nog steeds de leidraad voor de manier waarop het netwerk zijn geld vandaag de dag beschermt.

GESCHREVEN DOOR
DELEN
Satoshi Nakamoto voorspelde de hash-beveiliging van Bitcoin al 16 jaar vóór de bezorgdheid over kwantumcomputers

Belangrijkste punten

  • Satoshi Nakamoto verdedigde SHA-256 in een bericht op het Bitcointalk-forum van 16 juli 2010.
  • Google Quantum AI heeft zijn schatting voor 2026 voor het kraken van de Bitcoin-curve teruggebracht tot 500.000 qubits.
  • Ontwikkelaars hebben BIP-360 en andere ideeën voorgesteld voor 2026 om kwantumbestendige adressen voor te bereiden.

Een forumbericht dat de regels vastlegde

Op 16 juli 2010 stelde een gebruiker met de naam bdonlan op het Bitcointalk-forum vragen bij de dubbele SHA-256-hashing van Bitcoin. Hij vroeg of het ontwerp de beveiliging verzwakte.

Satoshi antwoordde direct. De uitvinder van Bitcoin vergeleek SHA-256 met de sprong van 32-bits naar 64-bits computers, en niet met een kleine stap in bitlengte. Computers raakten bij 4 gigabyte door de 32-bits adresruimte heen, zei hij, maar niemand verwacht dat de 64-bits ruimte op korte termijn opraakt. SHA-256 werkt op dezelfde manier, en de wiskunde geeft Bitcoin ruim voldoende ruimte.

Satoshi voorzag het netwerk ook van een uitstapplan. Mocht SHA-256 ooit verzwakken, dan zouden ontwikkelaars via een soft fork kunnen overschakelen naar een nieuwe hashfunctie bij een vastgestelde blokhoogte. Oude en nieuwe hashes zouden naast elkaar blijven draaien totdat elke node was geüpgraded.

De marktkapitalisatie van Bitcoin is inmiddels gestegen tot meer dan een biljoen, en het netwerk verwerkt dagelijks honderden miljarden dollars aan transacties. Elke dollar van die activiteit is nog steeds afhankelijk van de hashfunctie die Satoshi zestien jaar geleden in één enkel forumbericht verdedigde.

Waarom Bitcoin twee hashfuncties gebruikt in plaats van één

De code van Bitcoin hasht gegevens twee keer: SHA256(SHA256(gegevens)), een methode die ontwikkelaars SHA256d noemen. Cryptografen Niels Ferguson en Bruce Schneier adviseerden deze aanpak ter bescherming tegen aanvallen door bloklengte-uitbreiding, een zwakke plek in de Merkle-Damgard-structuur die SHA-2 gebruikt.

Miners hashen blokheaders tweemaal om aan de moeilijkheidsdoelstelling van het netwerk te voldoen, en knooppunten hashen transacties tweemaal om Merkle-bomen op te bouwen. Wallets voegen een derde laag toe, RIPEMD-160 bovenop SHA-256, om openbare sleutels in te korten tot adressen.

Satoshi koos niet voor niets voor SHA-256. Het National Institute of Standards and Technology publiceerde het algoritme in 2001 als onderdeel van de SHA-2-familie, waarmee een enorme sprong in beveiligingssterkte werd geboden ten opzichte van SHA-1, dat al tekortkomingen vertoonde toen Bitcoin in januari 2009 werd gelanceerd. SHA-256 vereist ongeveer 2^128 bewerkingen om een botsing te forceren en ongeveer 2^256 om een preimage te forceren.

Zestien jaar later heeft nog niemand dit ontwerp gekraakt. Geen enkele onderzoeker heeft een werkende botsing, preimage of tweede preimage-aanval gevonden tegen het volledige SHA-256-algoritme. Versies met een verminderd aantal rondes zijn wel door cryptanalyse gekraakt, maar die aanvallen schalen niet verder voordat ze het echte 64-ronden-algoritme bereiken. NIST en onafhankelijke groepen zoals ECRYPT-CSA blijven de volledige functie als veilig beoordelen.

Mininghardware vertelt hetzelfde verhaal. Fabrikanten van toepassingsspecifieke geïntegreerde schakelingen (ASIC’s) hebben complete productlijnen rond SHA-256d opgebouwd, en de hashrate van het netwerk ligt nu in het exahash-bereik. Satoshi voorspelde dat de wet van Moore op zichzelf de functie nooit in gevaar zou brengen, en dankzij moeilijkheidsaanpassingen zijn de bloktijden dicht bij de tien minuten gebleven, ondanks exponentiële toenames in miningvermogen.

Kwantumcomputers veranderen het debat

Klassieke brute-force-aanvallen baarden Satoshi nooit zorgen, en vormen nog steeds geen bedreiging voor Bitcoin. Kwantumcomputers splitsen het risico op in twee afzonderlijke problemen.

Het algoritme van Grover versnelt het brute-force-zoekproces. Toegepast op SHA-256 vermindert het de effectieve beveiliging van 256 bits tot ongeveer 128 bits, een getal dat nog steeds ver buiten bereik ligt. Onderzoekers zeggen dat een aanvaller kwantumhardware nodig zou hebben op een schaal die de wereld nog niet heeft gebouwd, dus voorlopig blijft alles veilig.

Het algoritme van Shor vormt het grotere probleem, en het richt zich op handtekeningen, niet op hashes. Een kwantumcomputer die dit algoritme uitvoert, zou een privésleutel kunnen afleiden uit een blootgestelde openbare sleutel op de elliptische kromme die Bitcoin gebruikt. Naar schatting 7 miljoen bitcoin, bijna 35% van de totale voorraad, bevindt zich op adressen met blootgestelde openbare sleutels en zou een risico vormen als die hardware zou bestaan.

Google Quantum AI publiceerde in 2026 onderzoek waarin het aantal qubits dat nodig is om de curve van Bitcoin te kraken, werd teruggebracht tot ongeveer 500.000 fysieke qubits. Huidige kwantumcomputers werken met 1.000 tot 1.500 qubits. Onderzoekers schatten dat een reële dreiging zich ergens tussen 2029 en 2035 zal voordoen, afhankelijk van de vooruitgang op het gebied van foutcorrectie.

Ontwikkelaars komen na zestien jaar terug op de kwestie

Satoshi kwam in 2010 meer dan eens terug op zorgen met betrekking tot hashing, waaronder de vraag wat er zou gebeuren als SHA-256 een gedeeltelijke botsing zou ondervinden. Zijn antwoord bleef consistent: zet de eerlijke keten vast voordat de problemen zich verspreiden, en migreer vervolgens naar een nieuwe functie.

Latere Bitcoin-upgrades lieten de kern van het hashen ongemoeid. Segregated Witness werd in 2017 geactiveerd en Taproot in 2021; beide waren gericht op efficiëntie en privacy in plaats van op hashing. Quantumweerstand werd pas een hot topic voor ontwikkelaars toen het besef van de algoritmen van Grover en Shor zich in de jaren 2020 door de cryptografiegemeenschap verspreidde.

Ontwikkelaars stellen de door Satoshi beloofde ‘exit ramps’ voor

Bitcoin-ontwikkelaars hebben het migratietraject dat Satoshi in 2010 beschreef al voorgesteld, alleen dan gericht op handtekeningen in plaats van hashes. Er zijn verschillende ideeën op tafel gelegd.

BIP-360 introduceert een nieuw adresformaat, ‘pay-to-Merkle-root’-adressen die beginnen met bc1z, gebaseerd op kwantumbestendige handtekeningschema’s. Ontwikkelaars hebben het voorstel in 2026 geïmplementeerd. Een bijbehorend voorstel, BIP-361, beschrijft hoe het netwerk uiteindelijk oudere, kwantumkwetsbare adrestypen zou kunnen uitfaseren. Deze laatste methode is iets controversiëler.

Wallet-aanbieders staan nu onder druk om het hergebruik van adressen te stoppen en gebruikers naar de nieuwere outputtypes te leiden voordat er een kwantumdeadline aanbreekt.

De migratie brengt zijn eigen obstakels met zich mee. Ontwikkelaars hebben nog steeds een plan nodig voor munten die vastzitten in oude adressen waarvan de eigenaren inactief of onbereikbaar zijn, inclusief eventuele bitcoins die gekoppeld zijn aan Satoshi’s eigen vroege wallets. Post-kwantumhandtekeningen nemen ook meer blokruimte in beslag dan de handtekeningen die Bitcoin vandaag de dag gebruikt, en onderzoekers testen op hashes gebaseerde handtekeningschema’s om die migratie beheersbaar te houden.

Wat dit betekent voor Bitcoin-houders

Er is op dit moment geen actie nodig met betrekking tot SHA-256. De hashfunctie die de mining- en transactiegeschiedenis beveiligt, blijft onaangetast door elke bekende aanval, zowel klassiek als kwantum.

De kwetsbaarheid van handtekeningen is het punt dat de aandacht verdient. Houders met munten in verouderde adressen, of iedereen die een Bitcoin-adres heeft hergebruikt, lopen een groter risico dan iemand die moderne outputtypes gebruikt met openbare sleutels die verborgen blijven totdat het geld wordt uitgegeven.

Satoshi sloot de thread uit 2010 af met een waarschuwing die nog steeds als actueel beleid geldt. Elke aanval die sterk genoeg is om SHA-256 te kraken, zou waarschijnlijk ook sterkere varianten zoals SHA-512 beschadigen, dus een volledige kraak lijkt op zichzelf onwaarschijnlijk. De verdediging van Bitcoin was nooit gebaseerd op onkwetsbaarheid. Het was het vermogen om in actie te komen voordat een dreiging reëel wordt.

Dit artikel is met behulp van AI uit het Engels vertaald. De originele Engelstalige versie is de gezaghebbende bron; geautomatiseerde vertalingen kunnen onnauwkeurigheden bevatten, met name in juridische en regelgevende terminologie.