技术支持
Featured

中本聪在人们对量子计算的担忧出现16年前就预见了比特币的哈希防御机制

十六年前,即2010年,中本聪在论坛上回复了一位质疑者,而这一回复至今仍指引着该网络如何保护其资产。

分享
中本聪在人们对量子计算的担忧出现16年前就预见了比特币的哈希防御机制

关键要点:

  • 中本聪在2010年7月16日发布于Bitcointalk论坛的一篇帖子中为SHA-256进行了辩护。
  • 谷歌量子人工智能团队将破解比特币加密曲线的2026年预估所需量子位数下调至50万。
  • 开发者已于2026年提出BIP-360及其他方案,以准备抗量子地址。

奠定规则的论坛帖子

2010年7月16日,一位名为bdonlan的用户在Bitcointalk论坛上对比特币采用的双重SHA-256哈希机制提出质疑。他询问这种设计是否会削弱安全性。

中本聪直接作出了回应。这位比特币发明者将SHA-256比作从32位到64位计算的飞跃,而非位长上的微小提升。 他表示,计算机在达到4千兆字节时就耗尽了32位地址空间,但没人预计64位地址空间会在短期内耗尽。SHA-256的工作原理与此相同,从数学角度来看,比特币拥有充裕的余量。

中本聪还为网络制定了退出方案。如果SHA-256未来出现安全漏洞,开发人员可以在设定的区块高度通过软分叉切换到新的哈希函数。新旧哈希函数将并行运行,直到所有节点完成升级。

此后,比特币的市值已突破一万亿,网络每天结算的价值高达数千亿美元。这些交易中的每一美元,至今仍依赖于中本聪十六年前在论坛的一条回复中捍卫的那个哈希函数。

为什么比特币运行两个哈希函数而不是一个

比特币的代码会对数据进行两次哈希运算:SHA256(SHA256(数据)),开发者将这种方法称为SHA256d。密码学家尼尔斯·弗格森(Niels Ferguson)和布鲁斯·施奈尔(Bruce Schneier)推荐采用这种方法来应对区块长度扩展攻击——这是SHA-2所采用的默克尔-达姆加德(Merkle-Damgard)结构中存在的一个缺陷。

矿工对区块头进行两次哈希运算以满足网络的难度目标,而节点对交易进行两次哈希运算以构建默克尔树。钱包则在 SHA-256 之上添加了第三层——RIPEMD-160,用于将公钥缩短为地址。

中本聪选择 SHA-256 是有原因的。美国国家标准与技术研究院(NIST)于 2001 年将该算法作为 SHA-2 家族的一部分发布,其安全性较 SHA-1 有了大幅提升——而当比特币于 2009 年 1 月推出时,SHA-1 已经出现了安全漏洞。 要对SHA-256进行碰撞攻击大约需要2^128次运算,而要进行原像攻击则大约需要2^256次运算。 十六年过去了,至今无人攻破这一设计。没有任何研究人员发现针对完整SHA-256的有效碰撞攻击、原像攻击或二次原像攻击。 虽然轮数缩减的版本曾遭到密码分析攻击,但这些攻击在达到真正的64轮算法之前就无法继续扩展。美国国家标准与技术研究院(NIST)以及ECRYPT-CSA等独立研究团体仍将完整函数评定为安全。 挖矿硬件也印证了这一点。 专用集成电路(ASIC)制造商已围绕SHA-256d构建了完整的产品线,网络算力现已达到艾哈希量级。中本聪曾预言,仅凭摩尔定律本身绝不会对该函数构成威胁,而尽管算力呈指数级增长,难度调整机制仍将区块生成时间维持在十分钟左右。

量子计算改变了讨论的焦点

经典的暴力破解从未让中本聪感到担忧,至今也未对比特币构成威胁。量子计算将这一风险拆解为两个独立的问题。

格罗弗算法(Grover's algorithm)加速了暴力破解搜索。若用于攻击SHA-256,它会将有效安全性从256位降至约128位,但这一数值目前仍远超实际能力范围。 研究人员指出,攻击者需要规模远超当前世界所能建造的量子硬件,因此目前系统依然安全。肖尔算法构成了更大的威胁,且其攻击目标是签名而非哈希值。运行该算法的量子计算机能够从比特币所使用的椭圆曲线中,根据已暴露的公钥推导出私钥。 据估计,约有700万枚比特币(占总供应量的近35%)存放在公钥暴露的地址中,若此类硬件存在,这些比特币将面临风险。 谷歌量子人工智能(Google Quantum AI)于2026年发表的研究显示,破解比特币所用椭圆曲线所需的量子比特数量已降至约50万个物理量子比特。 当前的量子计算机运行在1,000至1,500个量子比特的范围内。研究人员仍预计实际威胁将在2029年至2035年间出现,具体时间取决于纠错技术的进展。

开发者在十六年间多次重提这一问题

2010年期间,中本聪曾多次重提与哈希相关的担忧,包括如果SHA-256出现部分碰撞会发生什么。他的答案始终如一:在问题扩散之前锁定诚实链,然后迁移到新的哈希函数。

此后比特币的升级并未触及核心哈希机制。隔离见证(SegWit)于2017年启用,Taproot于2021年启用,这两项升级均旨在提升效率和隐私性,而非针对哈希算法。 直到2020年代,随着格罗弗(Grover)和肖尔(Shor)算法的认知在密码学界广泛传播,抗量子性才成为开发者关注的焦点。

开发者提出中本聪曾承诺的“退出路径”

比特币开发者已经提出了中本聪在2010年描述的迁移路径,只不过该路径针对的是签名而非哈希。目前已有若干方案上议程。

BIP-360 引入了一种新的地址格式——以 bc1z 开头的“支付至默克尔根”地址,该格式基于抗量子签名方案构建。开发者于 2026 年将该提案合并入主网。 配套提案BIP-361则阐述了网络如何最终淘汰旧的、存在安全隐患的地址类型。后者所采用的方法略显争议。 钱包提供商目前面临压力,需在任何量子威胁截止日期到来之前,停止地址重复使用,并引导用户采用新型输出类型。 迁移过程本身也面临诸多障碍。 开发者仍需制定方案,处理那些被锁定在旧地址中、且所有者已不活跃或无法联系的比特币,包括与中本聪早期钱包相关的比特币。后量子签名占用的区块空间也比比特币当前使用的签名更多,研究人员正在测试基于哈希的签名方案,以确保迁移过程可控。

这对比特币持有者意味着什么

目前 SHA-256 尚未要求采取任何行动。保障挖矿和交易记录安全的哈希函数,至今仍未受到任何已知攻击(无论是经典攻击还是量子攻击)的影响。

值得关注的是签名安全风险。将比特币存放在旧式地址中的持有者,或曾重复使用比特币地址的用户,其风险暴露程度高于那些使用现代输出类型(即在消费前公钥始终隐藏)的用户。 中本聪在2010年的讨论帖中以一条警告作为结语,该警告至今仍可视为现行政策。 任何足以破解 SHA-256 的攻击,很可能也会对 SHA-512 等更强大的变体造成破坏,因此仅凭单一攻击实现完全破解的可能性微乎其微。比特币的防御从来不是依赖于永久性,而是在于能在威胁成为现实之前采取行动。

本文由人工智能从英文翻译而来。英文原版为权威来源;自动翻译可能存在不准确之处,尤其是在法律和监管术语方面。