中本聰於 2010 年的論壇貼文中捍衛比特幣的 SHA-256 雜湊

BTC1.19%

中本聰於 2010 年 7 月 16 日在一則 Bitcointalk 論壇貼文中力挺比特幣的 SHA-256 雜湊函式,並奠定了至今仍在生效的安全原則。Google Quantum AI 在 2026 年修正其估計,表示要破解比特幣的橢圓曲線,大約需要 500,000 個實體量子位元(qubit),較先前推測下修。比特幣開發者在 2026 年合併 BIP-360,以推出從 bc1z 開始的抗量子 pay-to-Merkle-root 地址;而若量子運算進展達到預測的 2029–2035 時程,估計約有 700 萬枚比特幣(在較舊的地址格式中)可能面臨暴露風險。

中本聰於 2010 年 7 月 16 日力挺 SHA-256

2010 年 7 月 16 日,Bitcointalk 使用者 bdonlan 質疑比特幣的雙重 SHA-256 雜湊是否削弱了安全性。中本聰直接回應,將 SHA-256 比作從 32 位元運算轉向 64 位元運算。中本聰表示,電腦在 4 gigabytes(4 GB)時就耗盡 32 位元位址空間,但沒人預期會在不久的將來耗盡 64 位元位址空間,而 SHA-256 運作遵循相同原理。

中本聰也提出了一個退出計畫:如果 SHA-256 有一天真的變弱,開發者可以在設定的區塊高度對新的雜湊函式實作軟分叉,讓舊雜湊與新雜湊在每個節點都完成升級前能夠並行運作。自那以來,比特幣的市值已成長超過 1 兆美元,網路每天都會結算數千億美元的價值;所有這些,都仰賴中本聰在那則單一論壇回覆中所力挺的雜湊函式。

比特幣使用雙重 SHA-256 雜湊以防止區塊延伸攻擊

比特幣的程式會用 SHA256(SHA256(data)) 對資料進行兩次雜湊,這種方法稱為 SHA256d。密碼學家 Niels Ferguson 與 Bruce Schneier 建議採用這種做法來阻止長度延伸攻擊(length extension attacks)——這是 SHA-2 所使用的 Merkle-Damgard 結構中的一個缺陷。礦工會對區塊標頭(block header)進行兩次雜湊,以符合網路的難度目標;節點則會對交易進行兩次雜湊以建立 Merkle 樹。錢包則加入第三層:透過對 SHA-256 套用 RIPEMD-160,將公鑰縮短成地址。

美國國家標準與技術研究所(NIST)於 2001 年將 SHA-256 公布為 SHA-2 家族的一部分。該演算法約需要 2^128 次運算才能強迫產生雜湊碰撞、約需要 2^256 次運算才能強迫產生原像(preimage)。比特幣在上線後滿十六年,尚未有研究者找到針對完整 SHA-256 的可運作碰撞、原像或第二原像(second preimage)攻擊。NIST 與 ECRYPT-CSA 等獨立團體仍持續將完整函式評定為安全。

Google Quantum AI 在 2026 年將需要的量子位元數修正為 500,000

Google Quantum AI 於 2026 年發表研究,將破解比特幣橢圓曲線所需的 qubit 數量下修至約 500,000 個實體量子位元。當前量子電腦的運作範圍約在 1,000 至 1,500 個量子位元之間。研究人員估計,能夠實作的量子威脅可能在 2029 年至 2035 年間出現,這取決於錯誤更正(error correction)的進展。

Grover 演算法可加速暴力搜尋,並在對 SHA-256 執行時,將有效安全性從 256 位元降至約 128 位元。Shor 演算法則帶來更大的問題,因為它針對的是簽章而不是雜湊。若執行 Shor 演算法的量子電腦能夠運作,它可能從比特幣橢圓曲線上被暴露的公鑰中抽取私鑰。估計約有 700 萬枚比特幣(接近供給量的 35%)位於那些公鑰已被暴露的地址中。

開發者在 2026 年合併 BIP-360 以推出抗量子地址

比特幣開發者在 2026 年合併 BIP-360,推出一種名為 pay-to-Merkle-root 的新地址格式,起始為 bc1z,並以抗量子簽章方案為基礎。配套提案 BIP-361 則概述了網路如何在未來逐步淘汰較舊且已暴露的地址類型;然而,該提案也因此引發了更多爭議。

抗量子簽章所需的區塊空間,會比比特幣目前使用的簽章更多。研究人員正在測試基於雜湊的簽章方案,以管理遷移。開發者面臨的挑戰在於處理那些鎖定在舊地址中的幣,其持有者可能已不活躍或無法聯繫,包括與中本聰早期自有錢包相關的比特幣。

擁有暴露公鑰的持有者面臨更高風險

SHA-256 迄今仍未被任何已知攻擊(無論是經典或量子)所影響,也不需要持有者立即採取行動。簽章暴露(signature exposure)是主要關切。將幣放在舊式地址中的持有者,或任何曾重複使用比特幣地址的人,相較於使用現代輸出類型且其公鑰在花費前仍保持隱藏的使用者,承受的暴露風險更高。

中本聰在 2010 年的這串討論中以一句話收尾:任何強到足以破解 SHA-256 的攻擊,可能也會損害更強的「堂兄弟」類型,例如 SHA-512;因此單靠自己很難達到完整破解。比特幣的防禦取決於能否在威脅變得可操作之前完成遷移。

常見問題(FAQ)

中本聰在 2010 年 7 月 16 日談到 SHA-256 時說了什麼?

中本聰在 2010 年 7 月 16 日的一則 Bitcointalk 論壇貼文中力挺比特幣的 SHA-256 雜湊函式,並將其比作從 32 位元運算躍升到 64 位元運算,且指出該演算法提供了足夠的安全裕度。中本聰也描述了在 SHA-256 若有一天變弱時,可透過軟分叉進行到新雜湊函式的遷移路徑。

Google Quantum AI 估計需要多少個量子位元(qubit)才能破解比特幣的曲線?

Google Quantum AI 於 2026 年發表研究,將估計值修正為約 500,000 個實體量子位元,以破解比特幣的橢圓曲線。目前量子電腦的運作範圍約在 1,000 至 1,500 個量子位元,研究人員也推測潛在量子威脅的時程可能落在 2029 年到 2035 年之間。

BIP-360 對比特幣的抗量子能力做了什麼?

BIP-360 由比特幣開發者於 2026 年合併,推出從 bc1z 開始的 pay-to-Merkle-root 地址,並使用抗量子簽章方案。該提案旨在透過提供一種能抵抗 Shor 演算法攻擊的地址格式,來保護比特幣持有量免受未來量子運算威脅。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆