При поддержке
Featured

Сатоши Накамото предсказал защиту хеш-функции биткоина за 16 лет до появления опасений по поводу квантовых вычислений

Шестнадцать лет назад, в 2010 году, Сатоши Накамото ответил скептику на форуме, и этот ответ до сих пор определяет, как сеть защищает свои средства.

АВТОР
ПОДЕЛИТЬСЯ
Сатоши Накамото предсказал защиту хеш-функции биткоина за 16 лет до появления опасений по поводу квантовых вычислений

Основные выводы

  • Сатоши Накамото выступил в защиту алгоритма SHA-256 в сообщении на форуме Bitcointalk от 16 июля 2010 года.
  • Google Quantum AI снизила свой прогноз на 2026 год по взлому кривой безопасности Биткойна до 500 000 кубитов.
  • Разработчики предложили BIP-360 и другие идеи в 2026 году для подготовки адресов, устойчивых к квантовым атакам.

Сообщение на форуме, которое установило правила

16 июля 2010 года пользователь под ником bdonlan на форуме Bitcointalk подверг сомнению использование двойного хеширования SHA-256 в Биткойне. Он спросил, не ослабляет ли такая архитектура безопасность.

Сатоши ответил напрямую. Изобретатель Биткойна сравнил SHA-256 с переходом от 32-битных к 64-битным вычислениям, а не с незначительным увеличением длины в битах. По его словам, 32-битное адресное пространство исчерпалось при объеме в 4 гигабайта, но никто не ожидает, что 64-битное пространство исчерпается в ближайшее время. SHA-256 работает по тому же принципу, и математические расчёты показывают, что у Биткойна есть запас прочности.

Сатоши также предусмотрел для сети план на случай необходимости. Если SHA-256 когда-либо ослабнет, разработчики смогут провести мягкий форк на новую хеш-функцию на заданной высоте блока. Старые и новые хеши будут работать параллельно, пока каждый узел не обновится.

С тех пор рыночная капитализация Биткойна превысила триллион, и сеть ежедневно обрабатывает транзакции на сотни миллиардов долларов. Каждый доллар этой активности по-прежнему зависит от хеш-функции, которую Сатоши отстоял в одном-единственном ответе на форуме шестнадцать лет назад.

Почему Биткойн использует два хеша вместо одного

Код Биткойна хеширует данные дважды: SHA256(SHA256(data)), метод, который разработчики называют SHA256d. Криптографы Нильс Фергюсон и Брюс Шнайер рекомендовали этот подход для защиты от атак с удлинением блока — уязвимости в структуре Меркла-Дамгарда, используемой в SHA-2.

Майнеры дважды хешируют заголовки блоков, чтобы достичь целевого значения сложности сети, а узлы дважды хешируют транзакции для построения деревьев Меркла. Кошельки добавляют третий уровень — RIPEMD-160 поверх SHA-256 — для сокращения открытых ключей до адресов.

Сатоши выбрал SHA-256 не случайно. Национальный институт стандартов и технологий опубликовал этот алгоритм в 2001 году как часть семейства SHA-2, обеспечив значительное повышение безопасности по сравнению с SHA-1, который к моменту запуска Биткойна в январе 2009 года уже демонстрировал уязвимости. Для вызова коллизии в SHA-256 требуется примерно 2^128 операций, а для вызова преображения — примерно 2^256.

Прошло шестнадцать лет, и никто так и не взломал эту конструкцию. Ни один исследователь не обнаружил работающей атаки по коллизии, преображению или второму преображению против полного алгоритма SHA-256. Версии с уменьшенным количеством раундов подверглись криптоанализу, но эти атаки перестают масштабироваться, не достигнув реального 64-раундового алгоритма. NIST и независимые группы, такие как ECRYPT-CSA, по-прежнему оценивают полную функцию как безопасную.

Оборудование для майнинга подтверждает эту картину. Производители специализированных интегральных схем (ASIC) построили целые линейки продуктов на основе SHA-256d, а сетевой хешрейт сейчас находится в диапазоне эксахешей. Сатоши предсказал, что один только закон Мура никогда не станет угрозой для этой функции, и корректировки сложности поддерживают время формирования блока на уровне около десяти минут, несмотря на экспоненциальный рост мощности майнинга.

Квантовые вычисления меняют ситуацию

Классический метод перебора никогда не беспокоил Сатоши и по-прежнему не представляет угрозы для Биткойна. Квантовые вычисления разделяют риск на две отдельные проблемы.

Алгоритм Гровера ускоряет поиск методом перебора. При применении к SHA-256 он снижает эффективную безопасность с 256 бит до примерно 128 бит — значения, которое по-прежнему остается недостижимым. Исследователи утверждают, что злоумышленнику понадобилось бы квантовое оборудование такого масштаба, которого в мире ещё не создано, поэтому пока что всё остаётся в безопасности.

Алгоритм Шора представляет собой более серьёзную проблему, поскольку он нацелен на подписи, а не на хэши. Квантовый компьютер, работающий по этому алгоритму, мог бы извлечь закрытый ключ из открытого ключа, опубликованного на эллиптической кривой, используемой Биткойном. По оценкам, около 7 миллионов биткойнов, что составляет почти 35 % от общего объема, хранятся на адресах с открытыми открытыми ключами и подверглись бы риску, если бы такое оборудование существовало.

В 2026 году Google Quantum AI опубликовал исследование, согласно которому количество кубитов, необходимое для взлома кривой Биткойна, сократилось примерно до 500 000 физических кубитов. Современные квантовые машины работают в диапазоне от 1 000 до 1 500 кубитов. Исследователи по-прежнему оценивают вероятность реальной угрозы в период между 2029 и 2035 годами, в зависимости от прогресса в области коррекции ошибок.

Разработчики возвращаются к этому вопросу на протяжении шестнадцати лет

В течение 2010 года Сатоши не раз возвращался к проблемам, связанным с хешированием, в том числе к вопросу о том, что произойдёт, если в алгоритме SHA-256 возникнет частичное столкновение. Его ответ оставался неизменным: зафиксировать честную цепочку до того, как проблема распространится, а затем перейти на новую функцию.

Позднее обновления Биткойна не затронули основной алгоритм хеширования. В 2017 году был активирован Segregated Witness, а в 2021 году — Taproot; оба обновления были направлены на повышение эффективности и конфиденциальности, а не на хеширование. Вопрос квантовой устойчивости не стал приоритетной темой для разработчиков до тех пор, пока в 2020-х годах в криптографическом сообществе не распространилась информация об алгоритмах Гровера и Шора.

Разработчики предлагают «пути выхода», обещанные Сатоши

Разработчики Биткойна уже предложили путь миграции, описанный Сатоши в 2010 году, только ориентированный на подписи, а не на хеши. На обсуждение было вынесено несколько идей.

BIP-360 вводит новый формат адресов — адреса «pay-to-Merkle-root», начинающиеся с bc1z, построенные на основе схем подписей, устойчивых к квантовым атакам. Разработчики включили это предложение в репозиторий в 2026 году. Сопутствующее предложение, BIP-361, описывает, как сеть в конечном итоге сможет вывести из обращения старые, уязвимые типы адресов. Причём последний метод вызывает чуть больше споров.

Поставщики кошельков сейчас испытывают давление, чтобы прекратить повторное использование адресов и переориентировать пользователей на новые типы выходов до наступления какого-либо квантового срока.

Миграция сопряжена со своими препятствиями. Разработчикам по-прежнему нужен план действий в отношении монет, заблокированных на старых адресах, владельцы которых неактивны или недоступны, включая любые биткойны, привязанные к ранним кошелькам самого Сатоши. Постквантовые подписи также занимают больше места в блоке, чем подписи, используемые в Биткойне сегодня, и исследователи тестируют схемы подписей на основе хешей, чтобы сделать этот переход управляемым.

Что это означает для держателей биткойнов

На сегодняшний день SHA-256 не требует никаких действий. Хеш-функция, обеспечивающая безопасность майнинга и истории транзакций, по-прежнему не подвержена никаким известным атакам — ни классическим, ни квантовым.

Стоит обратить внимание на уязвимость подписей. Владельцы монет на адресах старого типа или те, кто повторно использовал биткойн-адрес, подвержены большему риску, чем те, кто использует современные типы выходов с открытыми ключами, которые остаются скрытыми до момента траты.

Сатоши завершил ветку обсуждения 2010 года предупреждением, которое по-прежнему актуально. Любая атака, достаточно мощная, чтобы взломать SHA-256, скорее всего, повредила бы и более сильные аналоги, такие как SHA-512, поэтому полный взлом сам по себе маловероятен. Защита Биткойна никогда не заключалась в постоянстве. Она заключалась в способности действовать до того, как угроза станет реальной.

Эта статья была переведена с английского языка с помощью искусственного интеллекта. Оригинальная версия на английском языке является авторитетным источником; автоматические переводы могут содержать неточности, особенно в юридической и нормативной терминологии.

Теги в этой статье