Satoshi Nakamoto aveva previsto la difesa dell’hash di Bitcoin 16 anni prima che sorgessero i timori relativi alla tecnologia quantistica


Punti chiave

Un post sul forum che ha stabilito le regole

Il 16 luglio 2010, un utente di nome bdonlan ha messo in discussione il doppio hashing SHA-256 di Bitcoin sul forum Bitcointalk. Ha chiesto se tale progettazione indebolisse la sicurezza.

Satoshi rispose direttamente. L’inventore di Bitcoin paragonò l’SHA-256 al passaggio dall’elaborazione a 32 bit a quella a 64 bit, non a un semplice aumento della lunghezza in bit. I computer hanno esaurito lo spazio di indirizzamento a 32 bit a 4 gigabyte, ha affermato, ma nessuno si aspetta di esaurire lo spazio a 64 bit in tempi brevi. Lo SHA-256 funziona allo stesso modo e i calcoli matematici garantiscono a Bitcoin un ampio margine di sicurezza.

Satoshi ha anche fornito alla rete un piano di uscita. Se lo SHA-256 dovesse mai indebolirsi, gli sviluppatori potrebbero effettuare un soft fork verso una nuova funzione hash a un’altezza di blocco prestabilita. Gli hash vecchi e nuovi funzionerebbero in parallelo fino a quando ogni nodo non si fosse aggiornato.

Da allora la capitalizzazione di mercato di Bitcoin ha superato il trilione, e la rete gestisce quotidianamente transazioni per un valore di centinaia di miliardi di dollari. Ogni dollaro di tale attività dipende ancora dalla funzione hash che Satoshi ha difeso in una singola risposta su un forum sedici anni fa.


Perché Bitcoin utilizza due hash invece di uno

Il codice di Bitcoin esegue due volte l’hash dei dati: SHA256(SHA256(dati)), un metodo che gli sviluppatori chiamano SHA256d. I crittografi Niels Ferguson e Bruce Schneier hanno raccomandato questo approccio per contrastare gli attacchi di estensione della lunghezza dei blocchi, una vulnerabilità presente nella struttura Merkle-Damgard utilizzata da SHA-2.

I miner eseguono due volte l’hash delle intestazioni dei blocchi per soddisfare l’obiettivo di difficoltà della rete, mentre i nodi eseguono due volte l’hash delle transazioni per costruire gli alberi di Merkle. I portafogli aggiungono un terzo livello, RIPEMD-160 sopra SHA-256, per abbreviare le chiavi pubbliche in indirizzi.

Satoshi ha scelto SHA-256 per un motivo ben preciso. Il National Institute of Standards and Technology ha pubblicato l’algoritmo nel 2001 come parte della famiglia SHA-2, offrendo un notevole aumento di sicurezza rispetto a SHA-1, che mostrava già segni di debolezza al momento del lancio di Bitcoin nel gennaio 2009. SHA-256 richiede circa 2^128 operazioni per forzare una collisione e circa 2^256 per forzare una preimmagine. A distanza di sedici anni, nessuno è riuscito a violare questo sistema. Nessun ricercatore ha individuato un attacco efficace di tipo collisione, preimmagine o seconda preimmagine contro l’algoritmo SHA-256 completo. Le versioni con un numero ridotto di round sono state oggetto di criptoanalisi, ma tali attacchi smettono di scalare prima di raggiungere il vero algoritmo a 64 round. Il NIST e gruppi indipendenti come ECRYPT-CSA continuano a classificare la funzione completa come sicura. L’hardware di mining conferma questa tendenza. I produttori di circuiti integrati per applicazioni specifiche (ASIC) hanno creato intere linee di prodotti basate su SHA-256d, e l’hashrate della rete si attesta ora nell’ordine degli exahash. Satoshi aveva previsto che la sola Legge di Moore non avrebbe mai minacciato la funzione, e gli aggiustamenti di difficoltà hanno mantenuto i tempi di blocco vicini ai dieci minuti nonostante i guadagni esponenziali nella potenza di mining.

L’informatica quantistica cambia il dibattito

La forza bruta classica non ha mai preoccupato Satoshi e continua a non rappresentare una minaccia per Bitcoin. L’informatica quantistica suddivide il rischio in due problemi distinti.

L’algoritmo di Grover accelera la ricerca con forza bruta. Se applicato a SHA-256, riduce la sicurezza effettiva da 256 bit a circa 128 bit, un valore che rimane comunque ben al di fuori della portata attuale. I ricercatori sostengono che un aggressore avrebbe bisogno di hardware quantistico su una scala che il mondo non ha ancora realizzato, quindi per ora la situazione rimane sicura. L’algoritmo di Shor pone il problema più grave e prende di mira le firme, non gli hash. Un computer quantistico che lo eseguisse potrebbe ricavare una chiave privata da una chiave pubblica esposta sulla curva ellittica utilizzata da Bitcoin. Si stima che circa 7 milioni di bitcoin, pari a quasi il 35% dell’offerta, si trovino in indirizzi con chiavi pubbliche esposte e sarebbero a rischio se tale hardware esistesse. Google Quantum AI ha pubblicato nel 2026 una ricerca che ha ridotto il numero di qubit necessari per violare la curva di Bitcoin a circa 500.000 qubit fisici. Le attuali macchine quantistiche funzionano con un numero di qubit compreso tra 1.000 e 1.500. I ricercatori continuano a stimare che la minaccia concreta si concretizzerà tra il 2029 e il 2035, a seconda dei progressi nella correzione degli errori.


Gli sviluppatori tornano sulla questione dopo oltre sedici anni

Nel corso del 2010, Satoshi è tornato più di una volta sulle preoccupazioni relative all’hash, tra cui cosa sarebbe successo se SHA-256 avesse subito una collisione parziale. La sua risposta è rimasta coerente: bloccare la catena onesta prima che il problema si diffonda, per poi migrare verso una nuova funzione.

Gli aggiornamenti successivi di Bitcoin non hanno modificato l’hashing di base. Segregated Witness è stato attivato nel 2017 e Taproot nel 2021; entrambi miravano all’efficienza e alla privacy piuttosto che all’hashing. La resistenza quantistica non è diventata un argomento prioritario per gli sviluppatori fino a quando la conoscenza degli algoritmi di Grover e Shor non si è diffusa nella comunità crittografica negli anni 2020.

Gli sviluppatori propongono le «rampe di uscita» promesse da Satoshi

Gli sviluppatori di Bitcoin hanno già proposto il percorso di migrazione descritto da Satoshi nel 2010, solo che era mirato alle firme anziché agli hash. Sono state avanzate diverse idee.

Il BIP-360 introduce un nuovo formato di indirizzo, gli indirizzi «pay-to-Merkle-root» che iniziano con bc1z, basati su schemi di firma resistenti ai calcoli quantistici. Gli sviluppatori hanno integrato la proposta nel 2026. Una proposta correlata, la BIP-361, illustra come la rete potrebbe, a lungo termine, rendere obsoleti i tipi di indirizzi più vecchi ed esposti. Quest’ultimo metodo è però un po’ più controverso. I fornitori di portafogli sono ora sotto pressione per impedire il riutilizzo degli indirizzi e indirizzare gli utenti verso i nuovi tipi di output prima che scada qualsiasi termine quantistico. La migrazione comporta una serie di ostacoli. Gli sviluppatori devono ancora elaborare un piano per le monete bloccate in vecchi indirizzi i cui proprietari sono inattivi o irraggiungibili, compresi eventuali bitcoin legati ai primi portafogli dello stesso Satoshi. Le firme post-quantistiche occupano inoltre più spazio nei blocchi rispetto alle firme attualmente utilizzate da Bitcoin, e i ricercatori stanno testando schemi di firma basati su hash per rendere gestibile tale migrazione.

Cosa significa questo per i possessori di Bitcoin

Al momento non è necessario intraprendere alcuna azione riguardo a SHA-256. La funzione hash che protegge il mining e la cronologia delle transazioni rimane immune da qualsiasi attacco conosciuto, sia classico che quantistico.


L’esposizione delle firme è l’aspetto da tenere d’occhio. I possessori con monete in indirizzi di vecchio tipo, o chiunque abbia riutilizzato un indirizzo Bitcoin, sono più esposti rispetto a chi utilizza tipi di output moderni con chiavi pubbliche che rimangono nascoste fino al momento della spesa. Satoshi ha chiuso il thread del 2010 con un avvertimento che vale ancora oggi come linea guida. Qualsiasi attacco abbastanza potente da violare SHA-256 danneggerebbe probabilmente anche i suoi cugini più robusti come SHA-512, quindi una violazione completa sembra improbabile di per sé. La difesa di Bitcoin non è mai stata la permanenza. Era la capacità di agire prima che una minaccia diventasse reale.


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Alan Inman

Source link

Di