Drivs av
Featured

Satoshi Nakamoto förutspådde bitcoins hash-skydd 16 år innan oron för kvantdatorer uppstod

För sexton år sedan, år 2010, svarade Satoshi Nakamoto en skeptiker på ett forum, och svaret ligger fortfarande till grund för hur nätverket skyddar sina pengar idag.

SKRIVEN AV
DELA
Satoshi Nakamoto förutspådde bitcoins hash-skydd 16 år innan oron för kvantdatorer uppstod

Viktiga punkter

  • Satoshi Nakamoto försvarade SHA-256 i ett inlägg på Bitcointalk-forumet den 16 juli 2010.
  • Google Quantum AI sänkte sin uppskattning för 2026 om att knäcka Bitcoins kurva till 500 000 kubiter.
  • Utvecklare har föreslagit BIP-360 och andra idéer inför 2026 för att förbereda kvantmotståndskraftiga adresser.

Ett foruminlägg som fastställde reglerna

Den 16 juli 2010 ifrågasatte en användare vid namn bdonlan Bitcoins dubbla SHA-256-hashning på Bitcointalk-forumet. Han undrade om utformningen försvagade säkerheten.

Satoshi svarade direkt. Bitcoins uppfinnare jämförde SHA-256 med övergången från 32-bitars till 64-bitars databehandling – inte en obetydlig ökning av bitlängden. Datorerna tog slut på 32-bitars adressutrymme vid 4 gigabyte, sa han, men ingen förväntar sig att 64-bitarsutrymmet ska ta slut inom överskådlig framtid. SHA-256 fungerar på samma sätt, och matematiken ger Bitcoin gott om utrymme.

Satoshi gav också nätverket en utträdesstrategi. Om SHA-256 någonsin skulle försvagas skulle utvecklare kunna genomföra en soft fork till en ny hashfunktion vid en fastställd blockhöjd. Gamla och nya hashfunktioner skulle köras parallellt tills alla noder hade uppgraderats.

Bitcoins marknadsvärde har sedan dess vuxit till över en biljon, och nätverket hanterar dagligen transaktioner till ett värde av hundratals miljarder dollar. Varje dollar av den verksamheten är fortfarande beroende av den hashfunktion som Satoshi försvarade i ett enda forumsvar för sexton år sedan.

Varför Bitcoin kör två hashfunktioner istället för en

Bitcoins kod hashar data två gånger: SHA256(SHA256(data)), en metod som utvecklare kallar SHA256d. Kryptograferna Niels Ferguson och Bruce Schneier rekommenderade denna metod för att motverka attacker genom blocklängdsförlängning, en svaghet i den Merkle-Damgard-struktur som SHA-2 använder.

Gruvarna hashar blockhuvuden två gånger för att uppfylla nätverkets svårighetsmål, och noderna hashar transaktioner två gånger för att bygga Merkle-träd. Plånböcker lägger till ett tredje lager, RIPEMD-160 över SHA-256, för att förkorta publika nycklar till adresser.

Satoshi valde SHA-256 av en anledning. National Institute of Standards and Technology publicerade algoritmen 2001 som en del av SHA-2-familjen, vilket innebar en stor förbättring i säkerhet jämfört med SHA-1, som redan visade tecken på svagheter när Bitcoin lanserades i januari 2009. SHA-256 kräver ungefär 2^128 operationer för att tvinga fram en kollision och ungefär 2^256 för att tvinga fram en preimage.

Sexton år senare har ingen lyckats knäcka denna konstruktion. Ingen forskare har hittat en fungerande kollisions-, preimage- eller andra preimage-attack mot fullständig SHA-256. Versioner med färre rundor har fallit för kryptoanalys, men dessa attacker slutar skala innan de når den verkliga 64-rundorsalgoritmen. NIST och oberoende grupper som ECRYPT-CSA fortsätter att betygsätta den fullständiga funktionen som säker.

Mininghårdvaran visar samma bild. Tillverkare av applikationsspecifika integrerade kretsar (ASIC) har byggt upp hela produktlinjer kring SHA-256d, och nätverkets hashrate ligger nu i exahash-intervallet. Satoshi förutspådde att Moores lag i sig aldrig skulle hota funktionen, och svårighetsjusteringar har hållit blocktiderna nära tio minuter trots exponentiella ökningar i mining-kraften.

Kvantdatorer förändrar diskussionen

Klassisk brute force-metod oroade aldrig Satoshi, och den utgör fortfarande inget hot mot Bitcoin. Kvantberäkning delar upp risken i två separata problem.

Grovers algoritm påskyndar brute force-sökningen. När den körs mot SHA-256 minskar den den effektiva säkerheten från 256 bitar till cirka 128 bitar, ett tal som fortfarande ligger långt utom räckhåll. Forskare säger att en angripare skulle behöva kvantmaskinvara i en skala som världen ännu inte har byggt, så för tillfället är allt säkert.

Shors algoritm utgör det större problemet, och den riktar in sig på signaturer, inte hashvärden. En kvantdator som kör den skulle kunna utläsa en privat nyckel från en exponerad offentlig nyckel på den elliptiska kurvan som Bitcoin använder. Uppskattningsvis 7 miljoner bitcoin, nära 35 % av utbudet, finns på adresser med exponerade publika nycklar och skulle utgöra en risk om sådan hårdvara fanns.

Google Quantum AI publicerade 2026 en studie som sänkte det antal kubiter som krävs för att knäcka Bitcoins kurva till cirka 500 000 fysiska kubiter. Dagens kvantdatorer har mellan 1 000 och 1 500 kubiter. Forskare räknar fortfarande med att ett konkret hot kan uppstå någon gång mellan 2029 och 2035, beroende på framstegen inom felkorrigering.

Utvecklare återkommer till frågan under sexton år

Satoshi återkom mer än en gång under 2010 till frågor rörande hashfunktioner, bland annat vad som skulle hända om SHA-256 drabbades av en partiell kollision. Hans svar förblev konsekvent: lås fast den ärliga kedjan innan problemen sprider sig, och migrera sedan till en ny funktion.

Senare uppgraderingar av Bitcoin lämnade kärnhashningen orörd. Segregated Witness aktiverades 2017 och Taproot aktiverades 2021, båda inriktade på effektivitet och integritet snarare än hashning. Kvantmotstånd blev inte ett prioriterat ämne för utvecklare förrän medvetenheten om Grovers och Shors algoritmer spred sig inom kryptografisamhället under 2020-talet.

Utvecklare föreslår de utgångsvägar som Satoshi lovade

Bitcoin-utvecklare har redan föreslagit den migreringsväg som Satoshi beskrev 2010, fast inriktad på signaturer istället för hashvärden. Flera idéer har lagts fram.

BIP-360 introducerar ett nytt adressformat, så kallade ”pay-to-Merkle-root”-adresser som börjar med bc1z, uppbyggda kring kvantmotståndskraftiga signaturscheman. Utvecklarna införlivade förslaget år 2026. Ett kompletterande förslag, BIP-361, beskriver hur nätverket så småningom skulle kunna fasa ut äldre, utsatta adresstyper. Den senare metoden är dock något mer kontroversiell.

Plånboksleverantörer står nu under press att stoppa återanvändningen av adresser och styra användarna mot de nyare utdatatyperna innan någon kvantdeadline infaller.

Övergången medför sina egna hinder. Utvecklare behöver fortfarande en plan för mynt som är låsta på gamla adresser vars ägare är inaktiva eller omöjliga att nå, inklusive eventuella bitcoin som är knutna till Satoshis egna tidiga plånböcker. Postkvantiska signaturer tar också upp mer blockutrymme än de signaturer som Bitcoin använder idag, och forskare testar hashbaserade signatursystem för att hålla migreringen hanterbar.

Vad detta innebär för Bitcoin-innehavare

Inget kräver någon åtgärd idag när det gäller SHA-256. Hashfunktionen som säkrar mining och transaktionshistoriken förblir opåverkad av alla kända attacker, vare sig klassiska eller kvantbaserade.

Det är exponeringen av signaturer som är värd att hålla ett öga på. Innehavare med mynt i adresser av den gamla typen, eller vem som helst som har återanvänt en Bitcoin-adress, är mer utsatta än någon som använder moderna utdatatyper med publika nycklar som förblir dolda tills de används.

Satoshi avslutade tråden från 2010 med en varning som fortfarande gäller som aktuell policy. En attack som är tillräckligt kraftfull för att knäcka SHA-256 skulle sannolikt även skada starkare varianter som SHA-512, så en fullständig knäckning verkar osannolik i sig. Bitcoins försvar har aldrig varit beständighet. Det har varit förmågan att agera innan ett hot blir verklighet.

Den här artikeln har översatts från engelska med hjälp av AI. Den engelska originalversionen är den auktoritativa källan; automatiska översättningar kan innehålla felaktigheter, särskilt i juridisk och regulatorisk terminologi.

Taggar i denna artikel