O que é hash na criptografia: SHA-256 e funções criptográficas de hash explicadas (2026)

Hashing é o mecanismo silencioso que mantém unida toda a indústria de criptografia. Cada vez que um bloco Bitcoin é extraído, cada vez que você assina uma transação com sua carteira, cada vez que um nó verifica se a cadeia não foi adulterada, uma função hash criptográfica faz o trabalho pesado. Sem hash, não haveria blockchain, sem Bitcoin, sem Ethereum, sem finanças descentralizadas. A pilha inteira entra em colapso sem ele.

Apesar de estar em toda parte, o hashing continua sendo um dos conceitos mais incompreendidos em criptografia. As pessoas muitas vezes confundem isso com criptografia, presumem que os hashes podem ser revertidos ou tratam SHA-256 mais como mágica do que como matemática. Na realidade, uma função hash criptográfica é apenas um tipo muito específico de operação matemática: ela pega qualquer entrada e produz uma saída de comprimento fixo que é efetivamente impossível de reverter, prever ou duplicar. Essa propriedade simples é o que torna os blockchains imutáveis e o que torna Comprovante de Trabalho possível.

Neste guia, você aprenderá exatamente o que é uma função hash, as seis propriedades que tornam uma função hash criptograficamente segura, por que o Bitcoin escolheu o SHA-256, como o Ethereum usa o Keccak-256, como a mineração realmente funciona nos bastidores, por que as colisões de hash são astronomicamente improváveis ​​e como será o futuro do hashing na era pós-quântica. No final, você entenderá a camada matemática que torna cada moeda, cada carteira e cada contrato inteligente confiáveis.

O que é uma função hash em inglês simples

Uma função hash é um procedimento matemático que recebe uma entrada de qualquer tamanho, executa-a por meio de um algoritmo determinístico e produz uma saída de tamanho fixo. Essa saída é chamada de hash, resumo, soma de verificação ou impressão digital, dependendo do contexto. Na criptografia, geralmente dizemos apenas hash. A entrada pode ser uma única letra, um livro inteiro, um arquivo de filme ou o genoma de uma baleia azul. A saída tem sempre o mesmo comprimento e, para SHA-256, esse comprimento é de 256 bits, geralmente escrito como 64 caracteres hexadecimais.

A maneira mais simples de imaginar uma função hash é imaginar uma caixa preta. Você deixa cair algo em uma extremidade e uma série de letras e números cai na outra extremidade. Se você inserir a mesma coisa novamente, sempre obterá a mesma corda. Se você alterar um único bit da entrada, obterá uma string completamente diferente. E, o que é fundamental, se alguém lhe entregar a string de saída, não há uma maneira eficiente de descobrir o que foi inserido originalmente. A função é unidirecional. Você pode ir da entrada para a saída trivialmente, mas passar da saída para a entrada é computacionalmente inviável.

Matematicamente, uma função hash é um mapa determinístico de um espaço de entrada infinito (quaisquer dados de qualquer comprimento) para um espaço de saída finito (um número de 256 bits, que é aproximadamente 10^77 valores possíveis para SHA-256). Como o espaço de entrada é infinito e o espaço de saída é finito, múltiplas entradas devem, teoricamente, compartilhar a mesma saída. Essas saídas compartilhadas são chamadas de colisões. Uma boa função hash criptográfica torna praticamente impossível encontrar tais colisões, mesmo que elas existam em teoria.

Hashing não é criptografia. Essa distinção confunde quase todos os iniciantes. A criptografia é bidirecional: você criptografa com uma chave e descriptografa com uma chave para recuperar a mensagem original. O hash é unilateral: não há chave, não há descriptografia e a entrada original não pode ser recuperada do hash. Hashing é para verificação, impressão digital e compromisso. A criptografia serve para confidencialidade e comunicação secreta. Um blockchain usa muito mais hash do que criptografia, o que surpreende muitos recém-chegados que presumem que a criptografia tem tudo a ver com códigos secretos.

As 6 propriedades de uma função hash criptográfica

Nem toda função hash é adequada para criptografia. A função hash usada para indexar um dicionário Python é fraca demais para proteger uma blockchain de bilhões de dólares. Para ser considerada criptograficamente segura, uma função hash deve satisfazer seis propriedades específicas. Se pelo menos uma dessas propriedades quebrar, todo o modelo de segurança que depende dela poderá ser explorado.

Essas seis propriedades trabalham juntas. A resistência à pré-imagem e a segunda resistência à pré-imagem protegem contra invasores que já possuem um hash alvo que desejam corresponder. A resistência à colisão protege contra invasores que precisam apenas de duas entradas que tenham o mesmo valor. O efeito avalanche garante que os hashes não vazem informações estruturais sobre suas entradas, e a propriedade determinística é o que permite que toda a rede concorde sobre se um bloco é válido.

SHA-256 resistiu a todos os ataques conhecidos por mais de vinte anos. Apesar da pesquisa contínua, nenhum método prático foi encontrado para quebrar qualquer uma dessas seis propriedades do SHA-256. Esse histórico é a principal razão pela qual o Bitcoin ainda o utiliza e por quê Mineração de Bitcoins permanece estruturalmente seguro.

O pipeline de hash: entrada, função, saída

Antes de mergulhar em algoritmos específicos, é útil imaginar o pipeline que cada função hash segue. Existem três estágios, e eles são idênticos, quer você esteja fazendo hash de uma transação, de um cabeçalho de bloco, de uma senha ou de um arquivo de vídeo inteiro.

A entrada pode ser literalmente qualquer coisa. As obras inteiras de Shakespeare, um JPEG do seu cachorro, o binário de um kernel Linux ou apenas a palavra “olá”. A função hash não se importa com o significado da entrada. Ele trata a entrada como uma sequência de bytes e executa o mesmo algoritmo em cada byte, independentemente do contexto.

A própria função hash é um algoritmo fixo, público e determinístico. O SHA-256 foi publicado detalhadamente pelo NIST desde 2001. Qualquer pessoa pode implementá-lo em qualquer idioma. O algoritmo processa a entrada em blocos, mistura-os através de uma série de rotações, adições e operações bit a bit e produz o resumo final de 256 bits. Não há segredos no algoritmo. A segurança vem inteiramente das propriedades matemáticas, não de esconder como funciona.

A saída é sempre exatamente 256 bits, não importa o tamanho da entrada. Uma entrada de um byte produz um hash de 256 bits. Uma entrada de um gigabyte produz um hash de 256 bits. Essa propriedade de tamanho fixo é o que torna o hash tão útil em blockchain Sistemas : você pode imprimir impressões digitais de qualquer coisa até um identificador compacto e fácil de armazenar.

SHA-256: A função hash que o Bitcoin usa

SHA-256 significa Algoritmo Hash Seguro de 256 bits. Foi projetado pela Agência de Segurança Nacional dos Estados Unidos (NSA) e publicado pelo NIST em 2001 como parte da família SHA-2. A família SHA-2 também inclui SHA-224, SHA-384, SHA-512 e algumas variantes. SHA-256 é o mais amplamente implantado da família e é usado em tudo, desde certificados TLS e gerenciadores de pacotes Linux até commits git e, claro, Bitcoin.

Satoshi Nakamoto escolheu SHA-256 para Bitcoin em 2008. Na época, já era um algoritmo bem estudado, maduro e amplamente confiável. SHA-256 produz uma saída de 256 bits, o que proporciona um nível de segurança de aproximadamente 128 bits contra ataques de colisão. Isso é segurança mais do que suficiente para proteger contra qualquer ataque viável com computadores clássicos e, sem dúvida, suficiente para durar pelas próximas décadas, mesmo com o aprimoramento do hardware.

Dentro do Bitcoin, o SHA-256 é usado em vários lugares. O cabeçalho do bloco é hash para produzir o block hash, que é o identificador criptográfico de cada bloco. Os IDs de transação são hashes SHA-256. Os endereços Bitcoin envolvem hash da chave pública. E o merkle root no cabeçalho do bloco é calculado usando SHA-256 em cada transação no bloco. No total, bilhões de operações SHA-256 acontecem a cada segundo na rede Bitcoin.

Bitcoin também usa uma construção específica chamada double SHA-256, geralmente escrita como SHA-256d. Isso significa que a entrada é hash uma vez e, em seguida, o hash resultante é hash novamente. A razão é em parte histórica e em parte defensiva. O hash duplo oferece uma pequena proteção contra ataques de extensão de comprimento, uma classe de ataques que afeta hashes Merkle Damgard de passagem única, como SHA-256. Embora o SHA-256 com construção adequada não seja vulnerável na prática, Satoshi adicionou o hash duplo como segurança de cinto e suspensórios.

Um exemplo de hash SHA-256 para a string "hello" é assim: 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824. Essa string tem 64 caracteres hexadecimais, o que codifica 256 bits. Observe que não há nenhum padrão visível, nenhuma dica de entrada e nenhuma compactação de "olá" que você possa ler. A saída parece aleatória, embora seja totalmente determinística.

Como o hash impulsiona a mineração de Bitcoin

Mineração é o processo pelo qual novos blocos Bitcoin são adicionados à cadeia. No cerne da mineração está uma tarefa única e repetitiva: encontrar uma entrada que, quando hash com SHA-256, produza uma saída abaixo de um determinado valor numérico target. Não há atalho. Os mineradores devem usar a força bruta para passar por trilhões de entradas por segundo, na esperança de encontrar algo que produza um hash baixo o suficiente para ser considerado válido.

A entrada que está sendo hash é o cabeçalho do bloco. Um cabeçalho de bloco Bitcoin tem 80 bytes que contém o hash do bloco anterior, a raiz merkle de todas as transações no bloco, um carimbo de data/hora, o alvo de dificuldade atual e um código de 32 bits. nonce. Tudo, exceto o nonce, é essencialmente fixo para um determinado bloco. O trabalho do minerador é continuar alterando o nonce, fazer o hash do cabeçalho de 80 bytes resultante, verificar se a saída atende ao objetivo e, se não, alterar o nonce novamente. Repita. Para sempre.

Como o SHA-256 tem o efeito avalanche, alterar o nonce em um bit produz um hash completamente diferente. A única maneira de saber se um determinado nonce produz um hash válido é realmente calcular o hash. Não há matemática inteligente que salte à frente. Isto é o que dá Comprovante de Trabalho sua segurança: você não pode falsificar a mineração, você só pode fazer isso da maneira mais difícil.

O alvo controla o quão difícil é o quebra-cabeça de mineração. O Bitcoin ajusta a meta a cada 2.016 blocos (aproximadamente duas semanas) para manter o tempo médio de bloqueio em dez minutos. Se os mineiros encontrarem blocos muito rápido, o alvo diminui e a dificuldade aumenta. Se forem muito lentos, o alvo aumenta e a dificuldade diminui. O difficulty é um número amigável derivado do alvo. Em 2026, a dificuldade do Bitcoin está na casa das centenas de trilhões, e o hashrate combinado da rede excede 500 exahashes por segundo, o que significa que os mineradores tentam coletivamente 5 seguidos de 20 zeros de hashes a cada segundo.

Todo esse processo é descrito detalhadamente em nosso guia para mineração de criptografia, mas a conclusão é esta: hashing é o quebra-cabeça. O Bitcoin não é protegido por criptografia no sentido de criptografia, mas pelo simples custo computacional de encontrar um hash SHA-256 com zeros à esquerda suficientes. Esse custo é o que torna um Ataque de 51% economicamente proibitivo em uma rede saudável.

Como os blocos se interligam: a cadeia hash

A palavra blockchain é literal. É uma cadeia de blocos e a cadeia é mantida unida por hashes. Cada bloco contém um campo chamado prev_block_hash, que é o hash SHA-256 do cabeçalho do bloco anterior. Esta escolha única de design dá aos blockchains sua famosa imutabilidade.

Suponha que um invasor queira alterar uma transação no bloco 800.000. Modificar a transação altera a raiz merkle desse bloco. Alterar a raiz merkle altera o cabeçalho do bloco. Alterar o cabeçalho do bloco altera o hash do bloco. Mas o bloco 800.001 armazena o hash original do bloco 800.000 em seu campo prev_block_hash. Agora o bloco 800.001 é inválido porque seu prev_block_hash não corresponde mais ao hash real do bloco modificado 800.000.

Para consertar o bloco 800.001, o invasor deve minerá-lo novamente. Mas isso muda o hash do bloco, que quebra o bloco 800.002, que quebra o bloco 800.003, e assim por diante, até a ponta da cadeia. Para reescrever a história, o invasor precisa refazer todo o trabalho de mineração para cada bloco, a partir do ponto alterado, enquanto a rede honesta continua minerando novos blocos no topo da cadeia original. Enquanto a rede honesta tiver mais hashrate do que o invasor, o invasor nunca poderá alcançá-la.

Este é o gênio da cadeia hash. Uma blockchain não é imutável porque alguém a está protegendo. É imutável porque reescrevê-lo exigiria refazer mais trabalho SHA-256 do que toda a rede honesta está fazendo em tempo real. Quanto mais a cadeia passa de um bloco, mais caro se torna reescrever esse bloco. É por isso que as transações Bitcoin são consideradas finais após cerca de seis confirmações, o que representa cerca de uma hora de prova de trabalho acumulada.

Árvores Merkle e hash de transação

Dentro de cada bloco Bitcoin, as transações não são armazenadas como uma lista simples no cabeçalho. Eles são resumidos em um único hash chamado raiz merkle, calculado usando uma árvore binária de hashes chamada árvore Merkle. Esta é uma bela aplicação de hashing que permite que um pequeno valor de 32 bytes seja comprometido com milhares de transações de uma só vez.

A árvore Merkle é construída fazendo hash de cada transação, depois fazendo hash de pares desses hashes, depois fazendo hash de pares desses hashes pais e assim por diante até que uma única raiz permaneça. Se alguma transação no bloco for alterada, a raiz merkle será alterada. Se a raiz merkle mudar, o hash do bloco muda. Portanto, apenas armazenando a raiz merkle no cabeçalho do bloco, você se compromete criptograficamente com cada transação no bloco.

O outro grande benefício das árvores Merkle são as provas eficientes. Para comprovar que uma transação específica está incluída em um bloco, não é necessário baixar todas as transações. Você só precisa da transação em si e de um pequeno conjunto de hashes irmãos ao longo do caminho da transação até a raiz. Isso é chamado de prova Merkle e é o que torna possíveis os clientes leves. Temos um tutorial dedicado sobre Árvores Merkle se você quiser se aprofundar, mas a ideia essencial é que o hashing permite compactar um enorme conjunto de dados em uma única impressão digital, ao mesmo tempo em que é capaz de provar partes individuais desses dados com eficiência.

Função Hash do Ethereum: Keccak-256 vs SHA-3

Bitcoin usa SHA-256. Ethereum escolheu uma função hash diferente chamada Keccak-256. A nomenclatura aqui é um pouco confusa e confunde muitos desenvolvedores. Keccak foi o algoritmo que venceu a competição NIST SHA-3 em 2012. O NIST então fez pequenos ajustes no esquema de preenchimento antes de padronizá-lo como SHA-3 em 2015. Ethereum, no entanto, bloqueou a versão original do Keccak antes do NIST finalizar o SHA-3. Portanto, o Keccak-256 do Ethereum é semelhante ao SHA3-256, mas não idêntico, e os dois produzem saídas diferentes para a mesma entrada.

Por que Ethereum escolheu Keccak em vez de SHA-256? Quando o Ethereum foi lançado em 2015, Keccak era o novo padrão recomendado pelo NIST e considerado a próxima geração de funções hash criptográficas. Ele usa uma estrutura interna fundamentalmente diferente chamada construção de esponja, que é projetada para ser imune a ataques de extensão de comprimento e outras fraquezas teoricamente possíveis contra SHA-2. Embora o SHA-256 tenha se mantido bem na prática, a Ethereum decidiu apostar no design mais recente.

Keccak-256 é usado em todo Ethereum. Ele calcula endereços Ethereum a partir de chaves públicas, produz hashes de transação, alimenta a árvore Patricia Merkle que armazena o estado da conta e é exposto dentro da Máquina Virtual Ethereum como o KECCAK256 opcode, que os desenvolvedores chamam ao escrever contratos inteligentes. No Solidity, a função keccak256() é usado em todos os lugares, desde o cálculo do tópico do evento até a derivação da chave de mapeamento.

Se você fizer hash de uma string com uma calculadora SHA-3 online e depois compará-la com o que o Ethereum produz, obterá resultados diferentes. Certifique-se de usar uma implementação Keccak-256, não SHA3-256. Esta é uma fonte constante de bugs para novos desenvolvedores do Solidity e integradores do Ethereum.

Hashing para endereços de carteira

Um dos usos de hashing em criptografia mais críticos para a segurança é a derivação de endereços de carteira. Quando você gera uma nova carteira, seu software produz um chave privada, deriva uma chave pública dele usando criptografia de curva elíptica e, em seguida, faz o hash dessa chave pública para produzir seu endereço.

No Bitcoin, o pipeline de geração de endereço é assim. A chave pública de 65 bytes é criptografada com SHA-256, produzindo um valor intermediário de 32 bytes. Esse valor é então hash novamente com RIPEMD-160, produzindo um valor de 20 bytes. Um byte de versão é anexado, uma soma de verificação de 4 bytes (derivada de outro SHA-256 duplo) é anexada e tudo é codificado em Base58Check na string familiar começando com 1, 3, ou bc1 que você copia e cola ao receber Bitcoin.

No Ethereum, o processo é mais simples, mas conceitualmente o mesmo. A chave pública de 64 bytes é criptografada com Keccak-256, produzindo um resumo de 32 bytes. Os últimos 20 bytes desse resumo tornam-se o seu endereço Ethereum, prefixado com 0x. Então, quando você vê um endereço como 0xd8dA6BF26964aF9D7eEd9e03E53415D37aA96045, você está vendo o hash Keccak-256 truncado de uma chave pública.

Por que fazer hash da chave pública em vez de usá-la diretamente como endereço? Três razões. Primeiro, o hash reduz o endereço de 65 bytes para 20 bytes, o que é muito mais fácil de copiar, colar e exibir. Em segundo lugar, o hashing adiciona uma camada de proteção no caso de uma falha futura ser encontrada na criptografia de curva elíptica: mesmo que alguém pudesse derivar uma chave privada de uma chave pública, ainda precisaria encontrar a chave pública por trás de um hash de 20 bytes, o que é em si um problema difícil. Terceiro, o hash desacopla o formato do endereço da criptografia de chave subjacente, permitindo que o protocolo troque esquemas de assinatura sem quebrar a compatibilidade do endereço.

O efeito avalanche: um exemplo prático

O efeito avalanche é a propriedade de que a inversão de um único bit de entrada embaralha aproximadamente metade dos bits de saída. Para tornar isso concreto, vejamos duas mensagens quase idênticas e os hashes SHA-256 que elas produzem. Observe que as entradas diferem exatamente em um caractere, mas as saídas não compartilham nenhum padrão visível.

É por isso que você não pode usar hashes parciais como dicas. Se alguém mostrar os primeiros 10 caracteres de um hash SHA-256, isso fornecerá essencialmente nenhuma informação sobre o restante do hash. Cada bit é independente. O efeito avalanche também é o motivo pelo qual os mineiros não conseguem trabalhar de forma incremental: não há como encontrar um nonce “quase bom” e ajustá-lo ligeiramente. Cada nonce é válido ou inválido, e a única maneira de saber é calcular o hash completo.

Do ponto de vista da segurança, o efeito avalanche é o que torna impossível falsificar dados enquanto mantém o hash igual. Quer alterar o valor de um único dólar em uma transação sem quebrar a cadeia? Você não pode. A nova transação será hash para um valor totalmente diferente, a raiz merkle será alterada, o hash do bloco será alterado e toda a cadeia após ela se tornará inválida.

Colisões de hash e por que são efetivamente impossíveis

Uma colisão de hash ocorre quando duas entradas diferentes produzem a mesma saída de hash. Como o SHA-256 mapeia um espaço de entrada infinito para um espaço de saída finito de 2^256 valores possíveis, as colisões devem existir matematicamente. A questão não é se eles existem, mas se alguém pode encontrar um.

O número 2^256 é tão grande que desafia a intuição. É aproximadamente 1.16 x 10^77. O universo observável contém cerca de 10^80 átomos. Há uma estimativa 10^24 estrelas no universo. Portanto, um espaço hash de 256 bits é comparável a uma fração não trivial de cada átomo no universo observável.

Graças ao paradoxo do aniversário, encontrar qualquer colisão aleatória em uma função hash com uma saída de N bits leva cerca de 2^(N/2) operações em média. Para SHA-256, isso significa cerca de 2^128 operações. Mesmo que todos os mineradores de Bitcoin na Terra, atualmente fazendo cerca de 5 exahashes por segundo combinados, se dedicassem a encontrar uma colisão SHA-256 em vez de minerar, seriam necessários bilhões de vezes a idade atual do universo para encontrar uma.

Para ser mais dramático: o Sol ficará sem combustível e se transformará em uma gigante vermelha em aproximadamente cinco bilhões de anos. O próprio universo pode experimentar a morte por calor em 10 ^ 100 anos. Ambos os eventos acontecerão muito antes de alguém forçar uma colisão do SHA-256 com a tecnologia atual. Isto é o que os criptógrafos querem dizer quando dizem que uma propriedade é “computacionalmente inviável”. Não é impossível no sentido matemático estrito, apenas impossível dentro de qualquer escala de tempo física que possamos imaginar.

SHA-1, o antecessor do SHA-256, sofreu ataques de colisão em 2017, quando o projeto SHAttered do Google produziu a primeira colisão prática de SHA-1 após anos de pesquisa e investimento massivo em computação. O SHA-256 tem uma margem de segurança muito maior e não se acredita que seja vulnerável à mesma linha de ataque. Enquanto não surgir nenhum avanço matemático fundamental, o SHA-256 deverá permanecer seguro por décadas.

SHA-256 vs Keccak-256 vs Blake3 vs RIPEMD-160

SHA-256 não é a única função hash criptográfica usada em criptografia. Diferentes blockchains e protocolos escolhem funções diferentes com base na velocidade, margens de segurança, compatibilidade de hardware e filosofia de design. Aqui está uma comparação lado a lado dos quatro mais relevantes para usuários de criptografia.

Outras menções notáveis ​​incluem Scrypt, usado por Litecoin e Dogecoin por ser mais difícil de memória do que SHA-256. Equihash, usado pelo Zcash, também exige muita memória. Cardano usa Blake2b, o antecessor do Blake3. Monero usa RandomX, que foi projetado para ser compatível com CPU e resistente a ASIC. A escolha do design quase sempre envolve uma compensação entre velocidade, segurança e imparcialidade de hardware.

Outros casos de uso de criptografia para hash

Hashing não serve apenas para mineração e endereços. Ele é usado de dezenas de maneiras sutis e importantes em toda a pilha de criptografia. Depois de começar a procurar, você encontrará hashes em todos os lugares.

Contratos bloqueados por tempo com hash (HTLCs): O mecanismo que alimenta a Lightning Network e as trocas atômicas depende da revelação da pré-imagem de um hash. Alice bloqueia fundos com um hash, Bob só pode reivindicá-los revelando a pré-imagem. Isso permite que duas partes troquem ativos atomicamente entre cadeias, sem confiar uma na outra.

Provas Merkle: Carteiras leves, rollups e pontes entre cadeias usam provas Merkle para verificar se uma transação foi incluída em um bloco sem baixar o bloco inteiro. O verificador só precisa da transação, de alguns hashes irmãos e da raiz merkle. A prova é pequena, rápida de verificar e criptograficamente sólida.

Compromissos de senha: Quando um protocolo precisa se comprometer com um valor sem revelá-lo, o hashing é a ferramenta. Alice publica sha256(password) na cadeia, e mais tarde prova que sabia a senha, revelando-a. Esta é a base dos esquemas de commit-reveal usados ​​em NFT mints, jogos on-chain e beacons de aleatoriedade descentralizados.

Endereçamento de conteúdo: IPFS usa hashes para endereçar conteúdo. A URL de um arquivo no IPFS é literalmente o hash desse arquivo. Se o conteúdo mudar, o endereço muda. Isso garante que o que você busca é o que foi publicado originalmente, sem possibilidade de adulteração silenciosa.

Assinaturas Digitais: Ao assinar uma transação, você não assina a transação inteira diretamente. Você assina o hash da transação. Isto é mais eficiente e evita certos ataques matemáticos aos esquemas de assinatura. Cada assinatura em cada blockchain é, nos bastidores, a assinatura de um hash.

Carteiras Determinísticas: O padrão BIP32 para derivar vários endereços de uma única frase inicial depende do HMAC-SHA512, um código de autenticação de mensagem baseado em hash. Todo o ecossistema de carteira determinística hierárquica baseia-se em hashing iterado.

Provas de Conhecimento Zero: Sistemas ZK modernos como Plonk e Stark usam funções hash como oráculos aleatórios dentro de suas transformações Fiat-Shamir. O hash transforma sistemas de prova interativos em não interativos, o que torna práticas as provas ZK on-chain.

Limites e o futuro do hash

SHA-256 é um burro de carga há mais de duas décadas e não mostra sinais de quebra. Mas a criptografia nunca fica parada. Três desenvolvimentos principais estão moldando o futuro do hashing na criptografia.

A primeira é a questão pós-quântica. Um computador quântico suficientemente grande executando o algoritmo de Grover poderia acelerar a busca de força bruta de um hash de N bits para aproximadamente 2^(N/2) operações. Para SHA-256, isso reduz o nível de segurança de 128 bits para 128 bits contra colisões e de 256 bits para 128 bits contra ataques de pré-imagem. A segurança de 128 bits ainda é considerada muito forte, portanto o SHA-256 permanece seguro contra adversários quânticos no futuro próximo, ao contrário das assinaturas de curvas elípticas, que são muito mais vulneráveis.

A maior preocupação com a criptografia não são as funções hash, mas os esquemas de assinatura. As assinaturas ECDSA e Schnorr, das quais tanto o Bitcoin quanto o Ethereum dependem, são vulneráveis ​​a ataques quânticos por meio do algoritmo de Shor. Muitos protocolos estão agora explorando assinaturas baseadas em rede e hash para o futuro pós-quântico. Assinaturas baseadas em hash, como SPHINCS+, são particularmente interessantes porque dependem apenas da segurança de uma função hash subjacente, aproveitando a mesma primitiva que já protege grande parte da criptografia.

O segundo desenvolvimento é o surgimento de funções hash mais novas e mais rápidas. O Blake3, em particular, é extremamente rápido, paralelizável e adequado para hardware multi-core moderno. Algumas novas cadeias, rollups ZK e camadas de disponibilidade de dados adotaram Blake3 em vez de SHA-256 por motivos de desempenho. SHA-256 permanecerá dominante para compatibilidade com Bitcoin e mineração compatível com ASIC, mas outras camadas estão se diversificando.

O terceiro desenvolvimento é a integração mais profunda do hashing com a criptografia de conhecimento zero. Funções hash compatíveis com ZK, como Poseidon e Rescue, são projetadas especificamente para serem eficientes dentro de circuitos aritméticos usados ​​por sistemas à prova de ZK. Eles são mais lentos que o SHA-256 em software bruto, mas muito mais rápidos para serem comprovados com conhecimento zero. À medida que os rollups e aplicativos ZK crescem, esperamos ver mais cadeias adotando hashes compatíveis com ZK junto com SHA-256 e Keccak-256.

Perguntas frequentes