สนับสนุนโดย
Featured

ซาโตชิ นากาโมโตะคาดการณ์การป้องกันแฮชของบิตคอยน์ล่วงหน้า 16 ปีก่อนที่ความกังวลเรื่องควอนตัมจะเกิดขึ้น

สิบหกปีก่อน ซาโตชิ นากาโมโตะตอบผู้ที่สงสัยในฟอรัมเมื่อปี 2010 และคำตอบนั้นยังคงชี้นำวิธีที่เครือข่ายปกป้องเงินของมันมาจนถึงทุกวันนี้

เขียนโดย
แชร์
ซาโตชิ นากาโมโตะคาดการณ์การป้องกันแฮชของบิตคอยน์ล่วงหน้า 16 ปีก่อนที่ความกังวลเรื่องควอนตัมจะเกิดขึ้น

ประเด็นสำคัญ

  • ซาโตชิ นากาโมโตะปกป้อง SHA-256 ในโพสต์บนฟอรัม Bitcointalk วันที่ 16 กรกฎาคม 2010
  • Google Quantum AI ปรับลดประมาณการปี 2026 สำหรับการทำลายเส้นโค้งของบิตคอยน์ลงเหลือ 500,000 คิวบิต
  • ในปี 2026 นักพัฒนาได้เสนอ BIP-360 และแนวคิดอื่นๆ เพื่อเตรียมที่อยู่ที่ต้านทานควอนตัม

โพสต์ในฟอรัมที่ตั้งกติกา

เมื่อวันที่ 16 กรกฎาคม 2010 ผู้ใช้ชื่อ bdonlan ตั้งคำถาม เกี่ยวกับการแฮชแบบ double SHA-256 ของบิตคอยน์บนฟอรัม Bitcointalk เขาถามว่าการออกแบบนี้ทำให้ความปลอดภัยอ่อนแอลงหรือไม่

ซาโตชิตอบอย่างตรงไปตรงมา ผู้สร้างบิตคอยน์เปรียบเทียบ SHA-256 กับการก้าวจากคอมพิวเตอร์ 32 บิตไปเป็น 64 บิต ไม่ใช่แค่เพิ่มความยาวบิตเล็กน้อย เขากล่าวว่าคอมพิวเตอร์เคยใช้พื้นที่แอดเดรสแบบ 32 บิตหมดที่ 4 กิกะไบต์ แต่ไม่มีใครคาดว่าจะใช้พื้นที่แบบ 64 บิตหมดในเร็ววัน SHA-256 ก็ทำงานในทำนองเดียวกัน และคณิตศาสตร์ทำให้บิตคอยน์มีพื้นที่เหลือเฟือ

ซาโตชิ ยังมอบแผนทางออกให้เครือข่ายด้วย หาก SHA-256 อ่อนแอลงเมื่อใด นักพัฒนาสามารถทำซอฟต์ฟอร์กไปยังฟังก์ชันแฮชใหม่ที่ความสูงบล็อกที่กำหนดได้ แฮชเก่าและใหม่จะทำงานคู่ขนานกันจนกว่าทุกโหนดจะอัปเกรด

นับแต่นั้นมามูลค่าตามราคาตลาดของบิตคอยน์เติบโตเกินหนึ่งล้านล้าน และเครือข่ายชำระมูลค่าหลายแสนล้านดอลลาร์ต่อวัน ทุกดอลลาร์ของกิจกรรมเหล่านั้นยังคงพึ่งพาฟังก์ชันแฮชที่ซาโตชิปกป้องไว้ในคำตอบฟอรัมเพียงครั้งเดียวเมื่อสิบหกปีก่อน

ทำไมบิตคอยน์จึงรันแฮชสองครั้งแทนที่จะครั้งเดียว

โค้ดของบิตคอยน์แฮชข้อมูลสองครั้ง: SHA256(SHA256(data)) ซึ่งเป็นวิธีที่นักพัฒนาเรียกว่า SHA256d นักวิทยาการเข้ารหัส Niels Ferguson และ Bruce Schneier แนะนำแนวทางนี้เพื่อรับมือกับการโจมตีแบบ block length extension ซึ่งเป็นช่องโหว่ในโครงสร้าง Merkle-Damgard ที่ SHA-2 ใช้

นักขุดแฮชส่วนหัวบล็อกสองครั้งเพื่อให้บรรลุเป้าหมายความยากของเครือข่าย และโหนดแฮชธุรกรรมสองครั้งเพื่อสร้าง Merkle trees ส่วนวอลเล็ตเพิ่มชั้นที่สาม โดยใช้ RIPEMD-160 ทับบน SHA-256 เพื่อย่อคีย์สาธารณะให้เป็นที่อยู่

ซาโตชิเลือก SHA-256 ด้วยเหตุผล สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) เผยแพร่อัลกอริทึมนี้ในปี 2001 ในฐานะส่วนหนึ่งของตระกูล SHA-2 ซึ่งให้การยกระดับความแข็งแกร่งอย่างมากเหนือ SHA-1 ที่เริ่มมีรอยร้าวแล้วในช่วงที่บิตคอยน์เปิดตัวในเดือนมกราคม 2009 โดย SHA-256 ต้องใช้การดำเนินการประมาณ 2^128 ครั้งเพื่อบังคับให้เกิดคอลลิชัน และประมาณ 2^256 ครั้งเพื่อบังคับให้เกิดพรีอิมเมจ

สิบหกปีต่อมา และยังไม่มีใครเจาะการออกแบบนี้ได้ ยังไม่มีนักวิจัยคนใดพบการโจมตีคอลลิชัน พรีอิมเมจ หรือเซคันด์พรีอิมเมจที่ใช้งานได้กับ SHA-256 แบบเต็ม เวอร์ชันที่ลดจำนวนรอบลงเคยถูกวิเคราะห์ทางคริปโตจนพัง แต่การโจมตีเหล่านั้นไม่สามารถขยายผลไปจนถึงอัลกอริทึมจริงที่มี 64 รอบได้ NIST และกลุ่มอิสระอย่าง ECRYPT-CSA ยังคงจัดอันดับว่าฟังก์ชันแบบเต็มมีความปลอดภัย

ฮาร์ดแวร์ขุดก็สะท้อนเรื่องเดียวกัน ผู้ผลิตวงจรรวมเฉพาะงาน (ASIC) ได้สร้างไลน์ผลิตภัณฑ์ทั้งชุดรอบ SHA-256d และอัตราแฮชของเครือข่ายตอนนี้อยู่ในระดับเอกซะแฮช ซาโตชิคาดการณ์ว่ากฎของมัวร์เพียงอย่างเดียวจะไม่มีวันคุกคามฟังก์ชันนี้ และการปรับความยากก็ทำให้เวลาเฉลี่ยต่อบล็อกยังอยู่ใกล้สิบ นาที แม้กำลังขุดจะเพิ่มขึ้นแบบเอ็กซ์โปเนนเชียล

การประมวลผลควอนตัมเปลี่ยนบทสนทนา

การบรูตฟอร์ซแบบคลาสสิกไม่เคยทำให้ซาโตชิกังวล และมันก็ยังไม่คุกคามบิตคอยน์ การประมวลผลควอนตัมแบ่งความเสี่ยงออกเป็นสองปัญหาแยกกัน

อัลกอริทึมของ Grover ช่วยเร่งการค้นหาแบบบรูตฟอร์ซ เมื่อนำมาใช้กับ SHA-256 มันลดความปลอดภัยเชิงประสิทธิผลจาก 256 บิตลงเหลือราว 128 บิต ซึ่งยังคงไกลเกินเอื้อม นักวิจัยกล่าวว่าผู้โจมตีจะต้องมีฮาร์ดแวร์ควอนตัมในระดับที่โลกยังไม่เคยสร้างได้ ดังนั้นตอนนี้จึงยังปลอดภัย

อัลกอริทึมของ Shor เป็นปัญหาใหญ่กว่า และมันเล็งไปที่ลายเซ็น ไม่ใช่แฮช คอมพิวเตอร์ควอนตัมที่รันมันสามารถดึงคีย์ส่วนตัวจากคีย์สาธารณะที่ถูกเปิดเผยบนเส้นโค้งวงรีที่บิตคอยน์ใช้ได้ มีบิตคอยน์ราว 7 ล้านเหรียญ หรือเกือบ 35% ของอุปทาน อยู่ในที่อยู่ที่มีคีย์สาธารณะถูกเปิดเผย และจะมีความเสี่ยงหากมีฮาร์ดแวร์ดังกล่าว

Google Quantum AI เผยแพร่งานวิจัยในปี 2026 ที่ลดจำนวนคิวบิตที่ต้องใช้ในการทำลายเส้นโค้งของบิตคอยน์ลงเหลือประมาณ 500,000 คิวบิตเชิงกายภาพ เครื่องควอนตัมปัจจุบันอยู่ในช่วงราว 1,000 ถึง 1,500 คิวบิต นักวิจัยยังประเมินว่าภัยคุกคามที่ใช้งานได้จริงอาจเกิดขึ้นช่วงระหว่างปี 2029 ถึง 2035 ขึ้นอยู่กับความก้าวหน้าในการแก้ไขข้อผิดพลาด

นักพัฒนากลับมาทบทวนคำถามตลอดสิบหกปี

ซาโตชิกลับมาพูดถึงความกังวลที่เกี่ยวกับแฮชมากกว่าหนึ่งครั้งในช่วงปี 2010 รวมถึงคำถามว่าจะเกิดอะไรขึ้นหาก SHA-256 ประสบคอลลิชันบางส่วน คำตอบของเขายังคงสอดคล้องกัน: ล็อกเชนที่ซื่อสัตย์ให้มั่นคงก่อนที่ปัญหาจะแพร่กระจาย จากนั้นค่อยย้ายไปยังฟังก์ชันใหม่

การอัปเกรดบิตคอยน์ในภายหลังปล่อยให้แกนกลางของการแฮชไม่ถูกแตะต้อง Segregated Witness ถูกเปิดใช้งานในปี 2017 และ Taproot เปิดใช้งานในปี 2021 ทั้งสองมุ่งเน้นด้านประสิทธิภาพและความเป็นส่วนตัวมากกว่าการแฮช ความต้านทานควอนตัมไม่กลายเป็นประเด็นเร่งด่วนสำหรับนักพัฒนาจนกระทั่งการรับรู้เกี่ยวกับอัลกอริทึมของ Grover และ Shor แพร่กระจายไปทั่วชุมชนคริปโตกราฟีในทศวรรษ 2020

นักพัฒนาเสนอทางลงที่ซาโตชิสัญญาไว้

นักพัฒนาบิตคอยน์ได้เสนอเส้นทางการย้ายตามที่ซาโตชิอธิบายไว้ในปี 2010 แล้ว เพียงแต่คราวนี้มุ่งไปที่ลายเซ็นแทนแฮช แนวคิดหลายอย่าง ถูกนำ มา พิจารณาแล้ว

BIP-360 แนะนำรูปแบบที่อยู่ใหม่ คือที่อยู่แบบ pay-to-Merkle-root ที่ขึ้นต้นด้วย bc1z ซึ่งสร้างขึ้นบนชุดโครงร่างลายเซ็นที่ต้านทานควอนตัม นักพัฒนาได้รวมข้อเสนอนี้ในปี 2026 ข้อเสนอคู่กันคือ BIP-361 ระบุวิธีที่เครือข่ายอาจค่อยๆ ยุติประเภทที่อยู่เก่าที่มีคีย์สาธารณะถูกเปิดเผยในท้ายที่สุด โดยวิธีหลังนี้ค่อนข้างเป็นที่ถกเถียงมากกว่าเล็กน้อย

ขณะนี้ผู้ให้บริการวอลเล็ตเผชิญแรงกดดันให้หยุดการใช้ที่อยู่ซ้ำ และพาผู้ใช้ไปยังประเภทเอาต์พุตที่ใหม่กว่า ก่อนที่เส้นตายด้านควอนตัมใดๆ จะมาถึง

การย้ายมีอุปสรรคของมันเอง นักพัฒนายังต้องมีแผนสำหรับเหรียญที่ถูกล็อกอยู่ในที่อยู่เก่าซึ่งเจ้าของไม่เคลื่อนไหวหรือไม่สามารถติดต่อได้ รวมถึงบิตคอยน์ใดๆ ที่ผูกกับวอลเล็ตยุคแรกของซาโตชิเอง ลายเซ็นแบบโพสต์ควอนตัมยังใช้พื้นที่บล็อกมากกว่าลายเซ็นที่บิตคอยน์ใช้ในปัจจุบัน และนักวิจัยกำลังทดสอบชุดโครงร่างลายเซ็นแบบอาศัยแฮชเพื่อทำให้การย้ายนั้นจัดการได้

สิ่งนี้หมายความว่าอย่างไรสำหรับผู้ถือบิตคอยน์

ไม่มีสิ่งใดเกี่ยวกับ SHA-256 ที่ต้องลงมือทำในวันนี้ ฟังก์ชันแฮชที่ค้ำจุนการขุดและประวัติธุรกรรมยังไม่ถูกแตะต้องโดยการโจมตีที่รู้จัก ไม่ว่าจะเป็นแบบคลาสสิกหรือควอนตัม

การเปิดเผยลายเซ็นคือประเด็นที่ควรจับตา ผู้ถือที่มีเหรียญอยู่ในที่อยู่รูปแบบเก่า หรือใครก็ตามที่ใช้ที่อยู่บิตคอยน์ซ้ำ จะมีความเสี่ยงมากกว่าผู้ที่ใช้ประเภทเอาต์พุตสมัยใหม่ที่คีย์สาธารณะถูกซ่อนไว้จนกว่าจะมีการใช้จ่าย

ซาโตชิปิดกระทู้ปี 2010 ด้วยคำเตือนที่ยังอ่านได้เหมือนนโยบายปัจจุบัน การโจมตีที่แข็งแรงพอจะทำลาย SHA-256 ได้ น่าจะสร้างความเสียหายให้ญาติที่แข็งแรงกว่าอย่าง SHA-512 ด้วย ดังนั้นการพังแบบเต็มรูปแบบจึงดูไม่น่าเกิดขึ้นโดยลำพัง การป้องกันของบิตคอยน์ไม่เคยเป็นความถาวร แต่คือความสามารถในการขยับตัวก่อนที่ภัยคุกคามจะกลายเป็นจริง

บทความนี้แปลจากภาษาอังกฤษโดยใช้ AI เวอร์ชันภาษาอังกฤษต้นฉบับเป็นแหล่งข้อมูลที่เชื่อถือได้ การแปลอัตโนมัติอาจมีความไม่ถูกต้อง โดยเฉพาะอย่างยิ่งในคำศัพท์ทางกฎหมายและข้อบังคับ

แท็กในเรื่องนี้