中本聪在 2010 年 7 月 16 日的一篇 Bitcointalk 论坛发帖中为比特币的 SHA-256 哈希函数辩护,确立了至今仍在发挥作用的安全原则。Google Quantum AI 在 2026 年修正了其估计,称要破解比特币的椭圆曲线,大约需要 50 万个物理量子比特,较此前的预测下调。比特币开发者在 2026 年合并了 BIP-360,引入从 bc1z 开始的抗量子支付到 Merkle-root 地址;同时,预计在量子计算进展达到 2029-2035 的时间表时,约 700 万枚比特币因旧地址格式可能面临暴露风险。
2010 年 7 月 16 日,Bitcointalk 用户 bdonlan 质疑比特币的双重 SHA-256 哈希是否削弱了安全性。中本聪直接回应,将 SHA-256 比作从 32 位到 64 位计算的转变。中本聪表示,计算机在 40 亿字节(4 gigabytes)处耗尽了 32 位寻址空间,但人们并不指望很快会耗尽 64 位空间,而 SHA-256 也遵循相同的原理。
中本聪还列出了退出方案:如果 SHA-256 真的被削弱,开发者可以在设定的区块高度对新的哈希函数实施软分叉,使旧哈希与新哈希在每个节点完成升级前并行运行。此后,比特币的市值已增长至超过 1 万亿美元,网络每天结算数千亿美金的价值,所有这些都依赖中本聪在那条论坛回复中所辩护的哈希函数。
比特币的代码使用两次 SHA256,对数据执行 SHA256(SHA256(data)),这一方法称为 SHA256d。密码学家 Niels Ferguson 和 Bruce Schneier 建议采用这种方式来阻止长度扩展攻击,这是 SHA-2 所使用的 Merkle-Damgard 结构中的缺陷。矿工将区块头哈希两次以满足网络的难度目标,而节点则将交易哈希两次以构建 Merkle 树。钱包会再加一层:在 SHA-256 之上使用 RIPEMD-160,将公钥压缩成地址。
美国国家标准与技术研究院(NIST)于 2001 年将 SHA-256 作为 SHA-2 家族的一部分发布。该算法要求大约 2^128 次操作才能强制发生碰撞,大约 2^256 次才能强制得到原像。比特币上线 16 年后,尚无研究人员找到针对完整 SHA-256 的可运行碰撞、原像或二次原像攻击。NIST 以及像 ECRYPT-CSA 这样的独立团体继续将该完整函数评为安全。
Google Quantum AI 于 2026 年发布研究,将破解比特币椭圆曲线所需的量子比特数量下调至大约 50 万个物理量子比特。目前的量子机器运行在 1,000 到 1,500 个量子比特的范围内。研究人员估计,一个可工作的量子威胁可能在 2029 年至 2035 年间出现,具体取决于误差纠正的进展。
Grover 算法会加速暴力搜索;当其用于 SHA-256 时,会将有效安全性从 256 位降低到约 128 位。Shor 算法带来更大的问题,因为它针对的是签名而不是哈希。运行 Shor 算法的量子计算机可能从暴露的比特币椭圆曲线公钥中提取私钥。据估计,约 700 万枚比特币(接近总供应的 35%)存在于那些暴露公钥的地址中。
比特币开发者在 2026 年合并了 BIP-360,引入一种名为 pay-to-Merkle-root 地址的新地址格式,从 bc1z 开始,围绕抗量子签名方案构建。配套提案 BIP-361 概述了网络如何在未来逐步淘汰更早、已暴露的地址类型,尽管该提案引发了更多争议。
抗量子签名需要的区块空间比比特币当前使用的签名更多。研究人员正在测试基于哈希的签名方案以管理迁移。开发者面临的挑战包括处理锁定在旧地址中的币,这些币的所有者处于不活跃或无法联系的状态,包括与中本聪早期钱包相关的比特币。
SHA-256 目前未被任何已知攻击(无论经典还是量子)所破解,因此持有者无需立即采取行动。签名暴露是主要担忧。将币放在旧式地址中的持有者,或任何复用比特币地址的人,相较于使用现代输出类型的用户,更容易暴露;现代输出类型的公钥在花费之前保持隐藏。
中本聪在 2010 年的那次讨论中用一句话收尾:任何足以破解 SHA-256 的攻击,可能也会破坏更强的表亲(如 SHA-512),因此仅凭 SHA-256 的完全破解并不太可能。比特币的防御依赖于在威胁真正可操作之前完成迁移。
中本聪在 2010 年 7 月 16 日关于 SHA-256 说了什么?
中本聪在 2010 年 7 月 16 日的一篇 Bitcointalk 论坛帖子中为比特币的 SHA-256 哈希函数辩护,将其与从 32 位到 64 位计算的跳跃进行比较,并表示该算法提供了足够的安全裕度。中本聪还描述了如果 SHA-256 真的被削弱,就可以通过软分叉迁移到新哈希函数的路径。
Google Quantum AI 估计要破解比特币椭圆曲线需要多少量子比特?
Google Quantum AI 在 2026 年发布研究,将估计修正为约 50 万个物理量子比特以破解比特币的椭圆曲线。目前的量子机器运行在 1,000 到 1,500 个量子比特的范围内,研究人员预测潜在量子威胁时间表在 2029 年至 2035 年之间。
BIP-360 对比特币的抗量子性起什么作用?
BIP-360 由比特币开发者在 2026 年合并,引入从 bc1z 开始的 pay-to-Merkle-root 地址,使用抗量子签名方案。该提案旨在通过提供一种能抵抗来自 Shor 算法攻击的地址格式,保护比特币持有量免受未来量子计算威胁。
相关快讯