Obsługiwane przez
Featured

Satoshi Nakamoto przewidział zabezpieczenie bitcoina oparte na funkcji skrótu już 16 lat przed pojawieniem się obaw związanych z komputerami kwantowymi

Szesnaście lat temu, w 2010 roku, Satoshi Nakamoto udzielił odpowiedzi sceptykowi na forum, a ta odpowiedź do dziś wyznacza kierunek, w jaki sieć chroni swoje środki.

NAPISAŁ
UDOSTĘPNIJ
Satoshi Nakamoto przewidział zabezpieczenie bitcoina oparte na funkcji skrótu już 16 lat przed pojawieniem się obaw związanych z komputerami kwantowymi

Najważniejsze wnioski

  • Satoshi Nakamoto bronił algorytmu SHA-256 w poście opublikowanym 16 lipca 2010 r. na forum Bitcointalk.
  • Sztuczna inteligencja Google Quantum obniżyła swoją prognozę z 2026 r. dotyczącą złamania krzywej bezpieczeństwa Bitcoina do 500 000 kubitów.
  • Programiści zaproponowali BIP-360 oraz inne rozwiązania na rok 2026, aby przygotować adresy odporne na ataki kwantowe.

Wpis na forum, który ustalił zasady

16 lipca 2010 r. użytkownik o pseudonimie bdonlan zakwestionował na forum Bitcointalk stosowanie podwójnego haszowania SHA-256 w Bitcoinie. Zapytał, czy takie rozwiązanie osłabia bezpieczeństwo.

Satoshi odpowiedział bezpośrednio. Twórca Bitcoina porównał algorytm SHA-256 do przejścia z obliczeń 32-bitowych na 64-bitowe, a nie do niewielkiego zwiększenia długości bitowej. Powiedział, że komputerom zabrakło 32-bitowej przestrzeni adresowej przy 4 gigabajtach, ale nikt nie spodziewa się, że w najbliższym czasie zabraknie przestrzeni 64-bitowej. SHA-256 działa w ten sam sposób, a obliczenia dają Bitcoinowi spory zapas.

Satoshi przedstawił również plan awaryjny dla sieci. Gdyby funkcja SHA-256 kiedykolwiek uległa osłabieniu, programiści mogliby przeprowadzić „soft fork” na nową funkcję skrótu przy ustalonej wysokości bloku. Stare i nowe skróty działałyby równolegle, dopóki każdy węzeł nie zaktualizowałby się.

Kapitalizacja rynkowa Bitcoina przekroczyła od tamtej pory bilion, a sieć rozlicza codziennie transakcje o wartości setek miliardów dolarów. Każdy dolar tej aktywności nadal opiera się na funkcji skrótu, której Satoshi bronił w jednej odpowiedzi na forum szesnaście lat temu.

Dlaczego Bitcoin stosuje dwa algorytmy haszujące zamiast jednego

Kod Bitcoina haszuje dane dwukrotnie: SHA256(SHA256(dane)), co programiści nazywają SHA256d. Kryptografowie Niels Ferguson i Bruce Schneier zalecili to podejście jako zabezpieczenie przed atakami polegającymi na przedłużaniu długości bloku – luką w strukturze Merkle-Damgarda, z której korzysta SHA-2.

Górnicy dwukrotnie haszują nagłówki bloków, aby osiągnąć docelowy poziom trudności sieci, a węzły dwukrotnie haszują transakcje w celu zbudowania drzew Merkle’a. Portfele dodają trzecią warstwę – RIPEMD-160 nałożoną na SHA-256 – w celu skrócenia kluczy publicznych do adresów.

Satoshi wybrał algorytm SHA-256 nie bez powodu. Narodowy Instytut Standardów i Technologii opublikował ten algorytm w 2001 roku jako część rodziny SHA-2, zapewniając znaczny wzrost bezpieczeństwa w porównaniu z algorytmem SHA-1, który już w momencie uruchomienia Bitcoina w styczniu 2009 roku wykazywał słabe punkty. Wymuszenie kolizji w algorytmie SHA-256 wymaga około 2^128 operacji, a wymuszenie preobrazu – około 2^256.

Minęło szesnaście lat, a nikt nie zdołał złamać tej konstrukcji. Żaden badacz nie znalazł działającego ataku kolizyjnego, preobrazowego ani ataku drugiego preobrazu na pełny algorytm SHA-256. Wersje o zmniejszonej liczbie rund uległy kryptoanalizie, ale ataki te przestają się skalować, zanim osiągną rzeczywisty algorytm 64-rundowy. NIST oraz niezależne grupy, takie jak ECRYPT-CSA, nadal oceniają pełną funkcję jako bezpieczną.

Sprzęt do wydobywania kryptowalut potwierdza tę ocenę. Producenci układów scalonych przeznaczonych do konkretnych zastosowań (ASIC) stworzyli całe linie produktów oparte na algorytmie SHA-256d, a siła obliczeniowa sieci w zakresie hashowania sięga obecnie eksahashów. Satoshi przewidział, że samo prawo Moore’a nigdy nie zagrozi tej funkcji, a korekty trudności utrzymały czas tworzenia bloków na poziomie około dziesięciu minut pomimo wykładniczego wzrostu mocy obliczeniowej koparek.

Obliczenia kwantowe zmieniają dyskusję

Klasyczne metody brute force nigdy nie martwiły Satoshiego i nadal nie stanowią zagrożenia dla Bitcoina. Informatyka kwantowa dzieli to ryzyko na dwa odrębne problemy.

Algorytm Grovera przyspiesza wyszukiwanie metodą siły brute force. Zastosowany wobec algorytmu SHA-256 zmniejsza efektywne bezpieczeństwo z 256 bitów do około 128 bitów, co nadal pozostaje wartością daleką od osiągnięcia. Badacze twierdzą, że osoba atakująca potrzebowałaby sprzętu kwantowego na skalę, jakiej świat jeszcze nie zbudował, więc na razie sytuacja pozostaje bezpieczna.

Algorytm Shora stanowi większy problem i jest skierowany przeciwko podpisom, a nie skrótom. Komputer kwantowy wykorzystujący ten algorytm mógłby wyodrębnić klucz prywatny na podstawie ujawnionego klucza publicznego w krzywej eliptycznej używanej przez Bitcoin. Szacuje się, że 7 milionów bitcoinów, czyli blisko 35% podaży, znajduje się na adresach z ujawnionymi kluczami publicznymi i byłoby narażone na ryzyko, gdyby taki sprzęt istniał.

W 2026 roku Google Quantum AI opublikowało badania, które obniżyły liczbę kubitów potrzebnych do złamania krzywej Bitcoina do około 500 000 fizycznych kubitów. Obecne maszyny kwantowe działają w zakresie od 1 000 do 1 500 kubitów. Naukowcy nadal szacują, że realne zagrożenie pojawi się gdzieś między 2029 a 2035 rokiem, w zależności od postępów w dziedzinie korekcji błędów.

Programiści powracają do tej kwestii przez ponad szesnaście lat

W 2010 roku Satoshi niejednokrotnie powracał do kwestii związanych z funkcjami skrótu, w tym do tego, co by się stało, gdyby algorytm SHA-256 uległ częściowej kolizji. Jego odpowiedź pozostawała spójna: należy zabezpieczyć uczciwy łańcuch, zanim problem się rozprzestrzeni, a następnie przejść na nową funkcję.

Późniejsze aktualizacje Bitcoina nie wpłynęły na podstawowe algorytmy haszujące. W 2017 roku aktywowano Segregated Witness, a w 2021 roku – Taproot; oba rozwiązania miały na celu poprawę wydajności i prywatności, a nie algorytmów haszujących. Odporność na ataki kwantowe stała się dla programistów tematem priorytetowym dopiero wtedy, gdy w latach 20. XXI wieku w społeczności kryptograficznej upowszechniła się wiedza na temat algorytmów Grovera i Shora.

Programiści proponują ścieżki wyjścia obiecane przez Satoshiego

Programiści Bitcoina zaproponowali już ścieżkę migracji opisaną przez Satoshiego w 2010 roku, tyle że ukierunkowaną na podpisy zamiast na skróty. Przedstawiono kilka pomysłów.

BIP-360 wprowadza nowy format adresów – adresy typu „pay-to-Merkle-root” zaczynające się od bc1z, oparte na schematach podpisów odpornych na ataki kwantowe. Programiści wdrożyli tę propozycję w 2026 roku. Towarzysząca jej propozycja, BIP-361, określa, w jaki sposób sieć mogłaby ostatecznie wycofać starsze, narażone na ataki typy adresów. Ta ostatnia metoda budzi nieco więcej kontrowersji.

Dostawcy portfeli stoją obecnie pod presją, by zaprzestać ponownego wykorzystywania adresów i skierować użytkowników w stronę nowszych typów wyjść, zanim nadejdzie jakikolwiek termin związany z zagrożeniem kwantowym.

Migracja wiąże się z własnymi przeszkodami. Programiści wciąż potrzebują planu dotyczącego monet zablokowanych na starych adresach, których właściciele są nieaktywni lub nieosiągalni, w tym bitcoinów powiązanych z wczesnymi portfelami samego Satoshiego. Podpisy postkwantowe zajmują również więcej miejsca w bloku niż podpisy stosowane obecnie przez Bitcoin, a badacze testują schematy podpisów oparte na skrótach, aby migracja była możliwa do przeprowadzenia.

Co to oznacza dla posiadaczy bitcoinów

Obecnie nie ma potrzeby podejmowania żadnych działań w związku z algorytmem SHA-256. Funkcja skrótu zabezpieczająca proces wydobywania i historię transakcji pozostaje odporna na wszelkie znane ataki, zarówno klasyczne, jak i kwantowe.

Kwestią, na którą warto zwrócić uwagę, jest narażenie podpisów. Posiadacze monet na adresach starego typu lub każdy, kto ponownie wykorzystał adres bitcoinowy, są bardziej narażeni niż osoby korzystające z nowoczesnych typów wyjść z kluczami publicznymi, które pozostają ukryte do momentu wydania środków.

Satoshi zamknął wątek z 2010 roku ostrzeżeniem, które nadal stanowi aktualną wytyczną. Każdy atak wystarczająco silny, by złamać SHA-256, prawdopodobnie uszkodziłby również jego silniejsze odpowiedniki, takie jak SHA-512, więc całkowite złamanie tego algorytmu wydaje się mało prawdopodobne. Obrona Bitcoina nigdy nie polegała na trwałości. Polegała ona na zdolności do podjęcia działań, zanim zagrożenie stanie się realne.

Ten artykuł został przetłumaczony z języka angielskiego przy użyciu sztucznej inteligencji. Oryginalna wersja angielska jest źródłem autorytatywnym; tłumaczenia automatyczne mogą zawierać nieścisłości, zwłaszcza w terminologii prawnej i regulacyjnej.