Pourquoi Bitcoin utilise-t-il deux fonctions de hachage (SHA-256 et RIPEMD-160) pour créer une adresse ?

Il y a 13 ans Jonathan Christiani

Voici une idée hautement spéculative qui n’est pas affirmée comme définitive ni certaine. Pourtant, c’est la seule raison plausible que j’ai envisagée étant donné que je rejette la présomption inconcevable selon laquelle Satoshi a mal compris ou n’a « pas eu à penser » aux attaques d’extension de longueur. Les attaques par extension de longueur sont évidemment impossibles dans Bitcoin car les attaques par extension de longueur (ne s'appliquent jamais dans Bitcoin et) ne s'appliquent que lorsque les données hachées sont secrètes. Je ne comprends pas que Satoshi ait été si négligent. Bien qu'en employant le double hachage partout (cf aussi), il avait ostensiblement l'intention de nous tromper (c'est-à-dire de nous donner assez de corde pour nous pendre) dans cette explication anodine. C'est si, comme je le suppose, il n'avait qu'une utilité pour le double hachage pour la fonction de dépense.

De plus, le double hachage n'augmente pas la sécurité contre les collisions ni les attaques de seconde pré-image, cf également.

Imaginez donc que dans le futur, l'ECDSA 256 bits soit exploitable de manière réaliste. Deux scénarios : 1) tous les UXTO sont exploitables de manière triviale et rentable ; ou peut-être d'abord 2) seuls les résultats de grande valeur sont exploitables de manière rentable étant donné le coût de calcul élevé.

Dans ce dernier cas, aucun adversaire ne peut être assuré de ne pas être fragilisé par un concurrent en termes de pourcentage de butin qu'il doit attribuer aux mineurs, car le mineur qui remporte le bloc acceptera la transaction de remplacement (conflictuelle, accaparement du butin) avec les frais les plus élevés. . (Les lecteurs naïfs doivent noter que le mineur ne peut pas faire la distinction entre une transaction contradictoire et une transaction sans butin.) Cela semble être un dilemme du prisonnier à moins que dans le cas apparemment improbable, les mineurs puissent former un consensus d'une oligarchie de plus de 50 % pour faire respecter ledit butin. pourcentage, rejetant tous les blocs de hashrate minoritaires qui font défaut. On pourrait soutenir que le seul scénario d’exploitation de grande valeur force la formation de ladite oligarchie, de peur qu’un modèle ne semble montrer une perte de compatibilité des incitations qui converge normalement vers une seule règle de chaîne la plus longue (c’est-à-dire la plus grande difficulté). Mais les mineurs ne détruiront probablement pas leurs investissements en matériel minier irrécupérables et les hodlers ne seraient pas non plus incités à abandonner ledit pourcentage de leur ₿ pour les raisons que j'explique ci-dessous.

Dans les deux scénarios, il existe des UXTO qui ne peuvent pas être dépensés sans être volés, à moins que le protocole de validation Bitcoin ne soit modifié pour proposer des dépenses avec un NIZKP (preuve) non exploitable de l'une ou l'autre des pré-images du hachage RIPEMD160 (SHA256).

(AJOUTÉ : les lecteurs naïfs notent que la compromission de l'ECDSA ne compromet pas les sorties de transactions stationnaires non dépensées (UXTO) si la fonction de hachage n'est pas également compromise. Ces UXTO seraient bloqués par une menace de les voler avec ledit futur exploit ECDSA proposé quand et si la transaction de dépense est publiée sur le réseau car elle révèle la clé publique ECDSA qui est autrement masquée et protégée par le hachage jusqu'à la dépense.)

J'ai également envisagé une alternative dans laquelle le payeur enregistre d'abord sur la blockchain une transaction de faible valeur (soit non exploitable de manière rentable, soit dans le premier des scénarios susmentionnés en incitant le mineur hors bande avec des pièces colorées à ne pas choisir la transaction contradictoire). avec des sorties de valeur nulle ou OP_RETURN (cf exemple) le hachage (preimage||txn_hash) avant de publier la finalisation (c'est-à-dire la preuve) de la transaction exploitable par ailleurs de valeur plus élevée.

Bien que ces deux idées suffiraient si Satoshi n'avait utilisé qu'un seul hachage, Satoshi n'aurait peut-être pas voulu dépendre d'un résultat politique controversé (par exemple la controverse sur la taille limite des blocs) pour le changement de protocole de couche zéro, afin de ne pas retenir les dépenses. otage intérimaire. Les mineurs résisteraient probablement à toute solution et si je peux exprimer le fait tendancieux que les 1% qui décident normalement (parce que la répartition inviolable des richesses selon la loi du pouvoir ne connaît aucune exception) seraient impuissants dans l’un ou l’autre des scénarios susmentionnés (ouvrant ainsi un vide de pouvoir de l'analogue fractionné du chaos des seigneurs de guerre) si leur UTXO ne peut pas être dépensé sans être volé. En d’autres termes, l’équilibre de Nash est tel que toute modification du protocole de couche zéro n’est stable que si les intérêts particuliers de la majorité économique (c’est-à-dire les 1 %) n’ont pas de meilleure stratégie. Dans le cas impensable où Satoshi serait suffisamment abandonné pour concevoir de telle sorte que les 1% puissent être entièrement cédés, les mineurs seraient détruits avec Bitcoin.

Si, à la place, ma deuxième idée pour contourner l'exploit est utilisée sur la préimage intermédiaire du hachage composite, c'est-à-dire RIPEMD160 (preimage||txn_hash), une dépense ad hoc de pièces colorées est alors instantanément possible (et adoptée par la convention des points de Schelling comme seule option) sans aucune modification requise du protocole de validation de couche zéro appliqué par les mineurs. Lors d'une dépense avec la préimage intermédiaire, la clé publique ECDSA exploitable n'a jamais été révélée si le payeur avait dépensé ses sorties reçues publiquement avec une clé publique secrète avant l'arrivée de l'exploit ECDSA. Le double hachage n'est requis que si le payeur est incité à ne pas publier la clé publique (au lieu dudit intermédiaire) comme pré-image pour finaliser (c'est-à-dire prouver) la dépense en pièces colorées. Lesdites pièces colorées restent non exploitables et conservent donc probablement de la valeur malgré tout. La perspective d'un futur hard fork qui rétablit la capacité de dépenser ₿ inexploitée, incite à ne pas dépenser prématurément avec la clé publique, nécessitant ainsi un double hachage intermédiaire pour dépenser les pièces colorées ad hoc.

J'étais motivé à évoquer cette idée comme une réfutation partielle à l'affirmation non fondée de Craig « Faketoshi » Wright selon laquelle il expliquait la raison du double hachage. C'est à condition que mon idée survive au contre-interrogatoire de la communauté dans son ensemble.

A ne pas confondre avec les clés publiques de trou noir.

Ignorez les bêtises suivantes : en passant, pour ne pas être ridiculisé par la majorité économique de 1 % qui connaît la vérité, mais s'il vous plaît, si vous avez une conscience, ce qui suit ne devrait pas être pris en compte pour décider d'être d'accord ou pas d'accord avec ma réponse., mon opinion personnelle est que OP_RETURN est un fork invalide qui finira par être détruit.

Tags:
You may have missed
SBI Holdings a-t-il réellement acquis pour 10 milliards de dollars de XRP ? Le PDG dévoile le montant exact.
Il y a 2 mois Jonathan Christiani
Les actions de Shopify (SHOP) chutent de 11 % malgré des bénéfices élevés. Est-ce le moment d'investir ?
Il y a 2 mois Jonathan Christiani
IA chez Kraken Compliance : automatiser les tâches courantes pour améliorer l'analyse critique
Il y a 2 mois Jérémie Levy
Scott Melker : un retournement soudain du Bitcoin pourrait surprendre les investisseurs
Il y a 2 mois Jonathan Christiani
« Portefeuille Bitcoin de l’ère Satoshi : 2 milliards de dollars en BTC achetés – Que sait-on ? »
Il y a 2 mois Jérémie Levy
bitcoin
Bitcoin (BTC) $ 74,928.00 1.28%
ethereum
Ethereum (ETH) $ 2,352.53 1.28%
tether
Tether (USDT) $ 1.00 0.02%
xrp
XRP (XRP) $ 1.41 4.02%
bnb
BNB (BNB) $ 624.48 1.62%
usd-coin
USDC (USDC) $ 0.999773 0.00%
solana
Solana (SOL) $ 85.52 3.03%
tron
TRON (TRX) $ 0.325694 0.70%
figure-heloc
Figure Heloc (FIGR_HELOC) $ 1.03 0.16%
staked-ether
Lido Staked Ether (STETH) $ 2,265.05 3.46%
dogecoin
Dogecoin (DOGE) $ 0.096524 3.57%
whitebit
WhiteBIT Coin (WBT) $ 54.60 0.66%
usds
USDS (USDS) $ 0.999724 0.00%
hyperliquid
Hyperliquid (HYPE) $ 45.35 4.28%
leo-token
LEO Token (LEO) $ 10.15 0.06%
cardano
Cardano (ADA) $ 0.250586 4.91%
wrapped-steth
Wrapped stETH (WSTETH) $ 2,779.67 3.22%
bitcoin-cash
Bitcoin Cash (BCH) $ 442.49 2.50%
chainlink
Chainlink (LINK) $ 9.27 2.54%
wrapped-bitcoin
Wrapped Bitcoin (WBTC) $ 76,243.00 3.12%
monero
Monero (XMR) $ 346.49 1.49%
binance-bridged-usdt-bnb-smart-chain
Binance Bridged USDT (BNB Smart Chain) (BSC-USD) $ 0.998762 0.02%
ethena-usde
Ethena USDe (USDE) $ 0.999929 0.00%
wrapped-beacon-eth
Wrapped Beacon ETH (WBETH) $ 2,466.93 3.47%
zcash
Zcash (ZEC) $ 343.88 2.66%
canton-network
Canton (CC) $ 0.147579 3.09%
stellar
Stellar (XLM) $ 0.160831 3.48%
wrapped-eeth
Wrapped eETH (WEETH) $ 2,465.31 3.39%
memecore
MemeCore (M) $ 2.84 0.32%
dai
Dai (DAI) $ 0.99989 0.06%
susds
sUSDS (SUSDS) $ 1.08 0.16%
litecoin
Litecoin (LTC) $ 55.54 2.81%
avalanche-2
Avalanche (AVAX) $ 9.57 2.96%
paypal-usd
PayPal USD (PYUSD) $ 1.00 0.01%
coinbase-wrapped-btc
Coinbase Wrapped BTC (CBBTC) $ 76,366.00 3.12%
usd1-wlfi
USD1 (USD1) $ 1.00 0.08%
sui
Sui (SUI) $ 0.981326 5.33%
hedera-hashgraph
Hedera (HBAR) $ 0.088015 3.60%
weth
WETH (WETH) $ 2,268.37 3.40%
rain
Rain (RAIN) $ 0.007815 1.75%
shiba-inu
Shiba Inu (SHIB) $ 0.000006 4.44%
ravedao
RaveDAO (RAVE) $ 14.46 2.12%
usdt0
USDT0 (USDT0) $ 0.998824 0.03%
the-open-network
Toncoin (TON) $ 1.41 3.22%
crypto-com-chain
Cronos (CRO) $ 0.069934 1.84%
hashnote-usyc
Circle USYC (USYC) $ 1.12 0.00%
tether-gold
Tether Gold (XAUT) $ 4,805.28 0.31%
world-liberty-financial
World Liberty Financial (WLFI) $ 0.081369 1.27%
blackrock-usd-institutional-digital-liquidity-fund
BlackRock USD Institutional Digital Liquidity Fund (BUIDL) $ 1.00 0.00%
pax-gold
PAX Gold (PAXG) $ 4,814.46 0.25%