Komputasi Kuantum dan Blockchain: Mencocokkan Urgensi dengan Ancaman Nyata

Ditulis oleh Justin Thaler

Kompilasi: Blockchain Vernakular

Garis waktu komputer kuantum terkait kriptografi sering dibesar-besarkan – yang mengarah pada permintaan untuk transisi yang mendesak dan komprehensif ke kriptografi pasca-kuantum.

Tetapi panggilan ini sering mengabaikan biaya dan risiko migrasi dini dan profil risiko yang sangat berbeda antara primitif kriptografi:

Enkripsi pasca-kuantum membutuhkan penerapan segera meskipun biayanya: "Serangan Harvest-Now-Decrypt-Later (HNDL) sudah berlangsung, karena data sensitif yang dienkripsi saat ini masih akan berharga ketika komputer kuantum tiba, bahkan jika itu beberapa dekade dari sekarang. Overhead kinerja dan risiko implementasi enkripsi pasca-kuantum adalah nyata, tetapi serangan HNDL tidak meninggalkan data yang membutuhkan kerahasiaan jangka panjang tanpa alternatif.

Tanda tangan pasca-kuantum menghadapi pertimbangan yang berbeda. Mereka kurang rentan terhadap serangan HNDL, dan biaya serta risikonya (ukuran yang lebih besar, overhead kinerja, implementasi yang belum matang, dan bug) memerlukan pertimbangan yang bijaksana daripada migrasi segera.

Perbedaan ini sangat penting. Kesalahpahaman dapat memiringkan analisis biaya-manfaat, menyebabkan tim mengabaikan risiko keamanan yang lebih menonjol—seperti bug.

Tantangan nyata untuk berhasil bertransisi ke kriptografi pasca-kuantum terletak pada pencocokan urgensi dengan ancaman nyata. Di bawah ini, saya akan menjelaskan kesalahpahaman umum tentang ancaman kriptografi kuantum – yang mencakup kriptografi, tanda tangan, dan bukti tanpa pengetahuan – dengan fokus khusus pada dampaknya pada blockchain.

Bagaimana garis waktu kita?

Terlepas dari klaim profil tinggi, kemungkinan komputer kuantum terkait kriptografi (CRQC) pada tahun 2020-an sangat rendah.

Dengan “komputer kuantum terkait kriptografi”, yang saya maksud adalah komputer kuantum yang toleran terhadap kesalahan dan mengoreksi kesalahan yang mampu menjalankan algoritma Shor pada skala yang cukup untuk memecahkan {secp}256{k}1 atau {RSA-2048} menyerang kriptografi kurva elips atau RSA dalam jangka waktu yang wajar (misalnya, hingga satu bulan komputasi berkelanjutan).

Berdasarkan interpretasi yang masuk akal dari pencapaian publik dan perkiraan sumber daya, kami masih jauh dari komputer kuantum yang terkait secara kriptografis. Perusahaan terkadang mengklaim bahwa CRQC mungkin muncul sebelum tahun 2030 atau jauh sebelum tahun 2035, tetapi uang muka yang diketahui publik tidak mendukung klaim ini.

Sebagai konteks, dalam semua arsitektur saat ini – ion terpenjara, qubit superkonduktor, dan sistem atom netral – platform komputasi kuantum saat ini tidak mendekati ratusan ribu hingga jutaan qubit fisik yang diperlukan untuk menjalankan serangan algoritma Shor {RSA-2048} atau {secp}256{k}1 (tergantung pada tingkat kesalahan dan skema koreksi kesalahan).

Faktor pembatas bukan hanya jumlah qubit, tetapi juga kesetiaan gerbang, konektivitas qubit, dan kedalaman sirkuit koreksi kesalahan berkelanjutan yang diperlukan untuk menjalankan algoritma kuantum yang mendalam. Sementara beberapa sistem sekarang melebihi 1.000 qubit fisik, jumlah qubit mentah itu sendiri menyesatkan: sistem ini tidak memiliki konektivitas qubit dan kesetiaan gerbang yang diperlukan untuk komputasi terkait kriptografi.

Sistem terbaru mendekati tingkat kesalahan fisik di mana koreksi kesalahan kuantum berperan, tetapi tidak ada yang membuktikan bahwa terlalu banyak qubit logis memiliki kedalaman sirkuit koreksi kesalahan terus menerus… Belum lagi ribuan qubit logika fidelitas tinggi, sirkuit dalam, toleran kesalahan yang diperlukan untuk benar-benar menjalankan algoritma Shor. Kesenjangan antara membuktikan bahwa koreksi kesalahan kuantum pada prinsipnya layak dan skala yang diperlukan untuk mencapai kriptanalisis tetap signifikan.

Singkatnya: kecuali jumlah qubit dan kesetiaan ditingkatkan dengan beberapa urutan besarnya, komputer kuantum terkait kriptografi masih di luar jangkauan.

Namun, siaran pers perusahaan dan liputan media bisa membingungkan. Berikut adalah beberapa sumber umum kesalahpahaman dan kebingungan, termasuk:

Demonstrasi yang mengklaim “keuntungan kuantum” saat ini ditujukan untuk tugas-tugas yang dirancang manusia. Tugas-tugas ini dipilih bukan karena utilitasnya, tetapi karena mereka dapat berjalan pada perangkat keras yang ada sambil tampak menunjukkan banyak akselerasi kuantum – fakta yang sering dikaburkan dalam pengumuman.

Perusahaan mengklaim telah mencapai ribuan qubit fisik. Tapi ini mengacu pada anil kuantum, bukan mesin model gerbang yang diperlukan untuk menjalankan algoritma Shor untuk menyerang kriptografi kunci publik.

Perusahaan dengan bebas menggunakan istilah “qubit logis”. Qubit fisik berisik. Seperti disebutkan sebelumnya, algoritma kuantum membutuhkan qubit logis; Algoritma Shor membutuhkan ribuan. Dengan koreksi kesalahan kuantum, qubit logis dapat diimplementasikan dengan banyak qubit fisik – biasanya ratusan hingga ribuan, tergantung pada tingkat kesalahan. Tetapi beberapa perusahaan telah memperpanjang jangka waktu di luar pengakuan. Misalnya, pengumuman baru-baru ini mengklaim menggunakan jarak 2 yard dan mengimplementasikan qubit logis hanya dengan dua qubit fisik. Ini konyol: jarak 2 yard hanya mendeteksi kesalahan, bukan memperbaikinya. Qubit logika yang benar-benar toleran terhadap kesalahan untuk kriptanalisis membutuhkan ratusan hingga ribuan qubit fisik masing-masing, bukan dua.

Secara lebih umum, banyak peta jalan komputasi kuantum menggunakan istilah “qubit logis” untuk merujuk pada qubit yang hanya mendukung operasi Clifford. Operasi ini dapat dilakukan secara efisien untuk simulasi klasik, sehingga tidak cukup untuk menjalankan algoritma Shor, yang membutuhkan ribuan gerbang T koreksi kesalahan (atau lebih umum, gerbang non-Clifford).

Bahkan jika salah satu peta jalan bertujuan untuk “mencapai ribuan qubit logis di tahun X,” itu tidak berarti perusahaan mengharapkan untuk menjalankan algoritma Shor untuk memecahkan kriptografi klasik di tahun yang sama X.

Praktik-praktik ini telah sangat mendistorsi persepsi publik tentang seberapa dekat kita dengan komputer kuantum terkait kripto, bahkan di antara pengamat mapan.

Konon, beberapa ahli sangat senang dengan kemajuan tersebut. Misalnya, Scott Aaronson baru-baru ini menulis bahwa mengingat “kecepatan pengembangan perangkat keras yang mengejutkan saat ini,”

Saya sekarang berpikir bahwa itu adalah kemungkinan realistis bahwa kita akan memiliki komputer kuantum yang toleran kesalahan yang menjalankan algoritma Shor sebelum pemilihan presiden AS berikutnya.

Tetapi Aaronson kemudian mengklarifikasi bahwa pernyataannya tidak menyiratkan komputer kuantum terkait kriptografi: dia berpendapat bahwa bahkan algoritma Shor yang sepenuhnya toleran kesalahan yang menjalankan pemfaktoran 15 = 3 \ kali 5 dihitung sebagai implementasi - dan perhitungan itu dapat dilakukan jauh lebih cepat dengan pensil dan kertas. Standarnya masih untuk mengeksekusi algoritma Shor dalam skala kecil, bukan pada skala terkait kriptografi, karena eksperimen sebelumnya untuk memfaktorkan 15 pada komputer kuantum menggunakan sirkuit yang disederhanakan daripada algoritma Shor yang penuh dan toleran kesalahan. Dan ada alasan mengapa eksperimen ini selalu memperhitungkan angka 15: perhitungan aritmatika modulus 15 mudah, sedangkan pemfaktoran angka yang sedikit lebih besar seperti 21 jauh lebih sulit. Oleh karena itu, eksperimen kuantum yang mengklaim dapat memecah 21 sering mengandalkan petunjuk atau jalan pintas tambahan.

Secara sederhana, harapan komputer kuantum terkait kriptografi yang mampu memecahkan {RSA-2048} atau {secp}256{k}1 dalam 5 tahun ke depan – yang sangat penting untuk kriptografi aktual – tidak didukung oleh kemajuan yang diketahui publik.

Kalaupun 10 tahun masih ambisius. Mempertimbangkan seberapa jauh kita dari komputer kuantum terkait kripto, bersemangat tentang kemajuan sangat cocok dengan garis waktu lebih dari satu dekade.

Jadi bagaimana dengan tenggat waktu pemerintah AS pada tahun 2035 untuk migrasi pasca-kuantum (PQ) skala penuh dari sistem pemerintah? Saya pikir ini adalah garis waktu yang masuk akal untuk menyelesaikan transisi skala besar seperti itu. Namun, bukan prediksi bahwa komputer kuantum terkait kriptografi akan ada pada saat itu.

Situasi apa yang berlaku untuk serangan HNDL (dan mana yang tidak)?

Dapatkan sekarang, dekripsi nanti (HNDL) serangan adalah ketika musuh menyimpan lalu lintas terenkripsi sekarang dan kemudian mendekripsinya ketika komputer kuantum terkait enkripsi ada. Musuh di tingkat negara-bangsa tentu saja sudah secara besar-besaran mengarsipkan komunikasi terenkripsi dari pemerintah AS untuk mendekripsinya bertahun-tahun setelah CRQC ada.

Itu sebabnya kripto membutuhkan transisi segera – setidaknya bagi siapa saja yang memiliki kebutuhan kerahasiaan selama lebih dari 10-50 tahun.

Tetapi tanda tangan digital - semua blockchain mengandalkannya - berbeda dari kriptografi: tidak ada kerahasiaan untuk melacak serangan tersebut.

Dengan kata lain, pemalsuan tanda tangan memang mungkin sejak saat itu jika komputer kuantum terkait kriptografi tiba, tetapi tanda tangan di masa lalu tidak “menyembunyikan” rahasia seperti pesan terenkripsi. Selama Anda tahu bahwa tanda tangan digital dibuat sebelum kedatangan CRQC, itu tidak dapat dipalsukan.

Hal ini membuat transisi ke tanda tangan digital pasca-kuantum kurang mendesak daripada transisi enkripsi pasca-kuantum.

Platform utama bertindak sesuai dengan itu: Chrome dan Cloudflare telah memperkenalkan hybrid{X}25519+{ML-KEM} untuk enkripsi Network Transport Layer Security (TLS).

Dalam artikel ini, untuk kemudahan membaca, saya menggunakan skema enkripsi, meskipun sebenarnya, protokol komunikasi yang aman seperti TLS menggunakan pertukaran kunci atau mekanisme enkapsulasi kunci daripada enkripsi kunci publik.

** “hibrida” di sini berarti menggunakan skema keamanan pasca-kuantum ** (yaitu, ML-KEM) dan skema yang ada ({X}25519) untuk mendapatkan jaminan keamanan gabungan dari keduanya. Dengan cara ini, mereka dapat (semoga) memblokir serangan HNDL dengan ML-KEM, sambil tetap aman secara klasik melalui {X}25519 dalam kasus di mana ML-KEM telah terbukti tidak aman bahkan untuk komputer saat ini.

iMessage Apple juga menerapkan enkripsi pasca-kuantum hibrida ini melalui protokol PQ3-nya, dan Signal juga menerapkannya melalui protokol PQXDH dan SPQR-nya.

Sebaliknya, peluncuran tanda tangan digital pasca-kuantum ke infrastruktur jaringan penting ditunda sampai komputer kuantum terkait kriptografi benar-benar mendekat, karena skema tanda tangan pasca-kuantum saat ini memperkenalkan penurunan kinerja (lebih lanjut tentang ini nanti).

zkSNARK – argumen pengetahuan non-interaktif ringkas tanpa pengetahuan, yang merupakan kunci skalabilitas dan privasi jangka panjang blockchain – berada dalam situasi yang mirip dengan tanda tangan. Ini karena sifat zero-knowledge mereka aman pasca-kuantum bahkan untuk {zkSNARKs} non-pasca-kuantum (yang menggunakan kriptografi kurva elips, seperti kriptografi non-pasca-kuantum dan skema tanda tangan saat ini).

Atribut zero-knowledge memastikan bahwa tidak ada informasi tentang saksi rahasia yang terungkap dalam bukti – bahkan kepada musuh kuantum – sehingga tidak ada informasi rahasia yang tersedia untuk “pertama didapatkan” untuk dekripsi nanti.

Oleh karena itu, {zkSNARKs} tidak rentan terhadap serangan fetch-first-to-decrypt. Sama seperti tanda tangan non-pasca-kuantum yang dihasilkan saat ini aman, setiap bukti {zkSNARK} yang dihasilkan sebelum kedatangan komputer kuantum yang terkait secara kriptografis dapat dipercaya (yaitu, pernyataan yang terbukti benar-benar benar) – bahkan jika {zkSNARK} menggunakan kriptografi kurva elips. Hanya setelah kedatangan komputer kuantum yang relevan secara kriptografis, penyerang dapat menemukan bukti yang meyakinkan tentang pernyataan palsu.

Apa artinya ini untuk blockchain

Sebagian besar blockchain tidak terkena serangan HNDL:

Sebagian besar rantai non-privasi, seperti Bitcoin dan Ethereum saat ini, terutama menggunakan kriptografi non-pasca-kuantum untuk otorisasi transaksi – yaitu, mereka menggunakan tanda tangan digital, bukan enkripsi.

Sekali lagi, tanda tangan ini bukan risiko HNDL: Serangan “Dapatkan dulu, dekripsi nanti” cocok untuk mengenkripsi data. Misalnya, blockchain Bitcoin bersifat publik; Ancaman kuantum adalah pemalsuan tanda tangan (memperoleh kunci pribadi untuk mencuri dana) daripada mendekripsi data transaksi yang telah dipublikasikan. Ini menghilangkan urgensi enkripsi langsung yang datang dengan serangan HNDL.

Sayangnya, bahkan analisis dari sumber tepercaya seperti Federal Reserve secara keliru mengklaim bahwa Bitcoin rentan terhadap serangan HNDL, sebuah kesalahan yang melebih-lebihkan urgensi transisi ke kriptografi pasca-kuantum.

Karena itu, berkurangnya urgensi tidak berarti bahwa Bitcoin dapat menunggu: ia menghadapi tekanan garis waktu yang berbeda dari koordinasi sosial besar yang diperlukan untuk mengubah protokol.

Satu-satunya pengecualian saat ini adalah rantai privasi, banyak di antaranya mengenkripsi atau menyembunyikan penerima dan jumlahnya. Setelah komputer kuantum mampu memecahkan kriptografi kurva elips, kerahasiaan ini sekarang dapat diperoleh dan secara retroaktif tidak dianonimkan.

Untuk rantai privasi semacam itu, tingkat keparahan serangan bervariasi tergantung pada desain blockchain. Misalnya, untuk tanda tangan cincin berbasis kurva Monero dan gambar kunci (label linkability untuk setiap output yang digunakan untuk menghentikan pengeluaran ganda), buku besar publik saja sudah cukup untuk merekonstruksi grafik pengeluaran secara surut. Tetapi di rantai lain, kerusakannya lebih terbatas – lihat diskusi oleh insinyur dan peneliti kripto Zcash Sean Bowe untuk detailnya.

Jika penting bahwa transaksi pengguna tidak diekspos oleh komputer kuantum yang terkait dengan kriptografis, maka rantai privasi harus beralih ke primitif pasca-kuantum (atau skema hibrida) sesegera mungkin. Atau, mereka harus mengadopsi arsitektur yang menghindari penempatan rahasia yang dapat didekripsi secara on-chain.

Teka-teki khusus Bitcoin: tata kelola + koin yang ditinggalkan

Untuk Bitcoin khususnya, ada dua realitas yang mendorong urgensi untuk mulai beralih ke tanda tangan digital pasca-kuantum. Keduanya tidak ada hubungannya dengan teknologi kuantum.

Salah satu kekhawatiran adalah kecepatan tata kelola: Bitcoin lambat berubah. Jika komunitas tidak dapat menyetujui solusi yang tepat, masalah kontroversial apa pun dapat memicu hard fork yang merusak.

Kekhawatiran lain adalah bahwa tanda tangan kuantum tidak dapat dimigrasikan secara pasif setelah Bitcoin beralih: pemilik harus secara aktif memigrasikan koin mereka. Ini berarti bahwa koin yang ditinggalkan dan rentan kuantum tidak dapat dilindungi. Beberapa perkiraan menempatkan jumlah BTC yang rentan kuantum dan berpotensi ditinggalkan dalam jutaan, senilai puluhan miliar dolar pada harga saat ini (per Desember 2025).

Namun, ancaman kuantum terhadap Bitcoin tidak akan menjadi bencana yang tiba-tiba dalam semalam… Ini lebih seperti proses penargetan selektif dan bertahap. Komputer kuantum tidak memecahkan semua enkripsi pada saat yang sama – algoritma Shor harus menargetkan satu kunci publik pada satu waktu. Serangan kuantum awal akan sangat mahal dan lambat. Oleh karena itu, begitu komputer kuantum mampu memecahkan satu kunci penandatanganan Bitcoin, penyerang akan secara selektif memangsa dompet bernilai tinggi.

Selain itu, pengguna yang menghindari penggunaan kembali alamat dan tidak menggunakan alamat Taproot — yang mengekspos kunci publik secara langsung on-chain — sebagian besar dilindungi, bahkan tanpa perubahan protokol: kunci publik mereka tersembunyi di balik fungsi hash sebelum koin mereka dihabiskan. Ketika mereka akhirnya menyiarkan transaksi pengeluaran, kunci publik menjadi terlihat, dan ada perlombaan real-time singkat antara pembelanja jujur yang perlu mengkonfirmasi transaksi dan penyerang yang dilengkapi kuantum yang ingin menemukan kunci pribadi dan membelanjakan koin tersebut sebelum transaksi diselesaikan oleh pemilik sebenarnya. Oleh karena itu, koin yang benar-benar rentan adalah koin yang kunci publiknya telah terekspos: output K peer-to-peer awal, alamat yang digunakan kembali, dan kepemilikan Taproot.

Tidak ada solusi mudah untuk koin rentan yang telah ditinggalkan. Beberapa opsi meliputi:

Komunitas Bitcoin menyetujui “hari tandaan” setelah itu setiap koin yang belum dimigrasikan dinyatakan terbakar.

Meninggalkan koin rentan kuantum yang ditinggalkan dapat dengan mudah diambil oleh siapa saja yang memiliki komputer kuantum terkait kriptografi.

Opsi kedua menciptakan masalah hukum dan keamanan yang serius. Menggunakan komputer kuantum untuk memiliki koin tanpa kunci pribadi – bahkan jika diklaim memiliki kepemilikan hukum atau niat baik – dapat menyebabkan masalah serius di bawah undang-undang pencurian dan penipuan komputer di banyak yurisdiksi.

Selain itu, “pengabaian” itu sendiri didasarkan pada praduga tidak aktif. Tetapi tidak ada yang benar-benar tahu apakah koin-koin ini tidak memiliki pemilik yang masih hidup dengan kunci. Bukti bahwa Anda pernah memiliki koin ini mungkin tidak cukup untuk memberikan otorisasi hukum untuk memecahkan perlindungan kripto untuk mengklaimnya kembali. Ambiguitas hukum ini meningkatkan kemungkinan bahwa koin rentan kuantum yang ditinggalkan akan jatuh ke tangan aktor jahat yang bersedia mengabaikan pembatasan hukum.

Masalah terakhir yang unik untuk Bitcoin adalah throughput transaksinya yang rendah. Bahkan jika rencana migrasi diselesaikan untuk memigrasikan semua dana rentan kuantum ke alamat pasca-kuantum-aman, itu akan memakan waktu berbulan-bulan pada tingkat transaksi Bitcoin saat ini.

Tantangan-tantangan ini membuatnya penting bagi Bitcoin untuk mulai merencanakan transisi pasca-kuantum sekarang – bukan karena komputer kuantum terkait kripto mungkin tiba sebelum tahun 2030, tetapi karena tata kelola, koordinasi, dan logistik teknis yang diperlukan untuk memigrasikan koin multi-miliar dolar akan memakan waktu bertahun-tahun untuk diselesaikan.

Ancaman kuantum terhadap Bitcoin itu nyata, tetapi tekanan garis waktu berasal dari keterbatasan Bitcoin sendiri, bukan komputer kuantum yang akan segera terjadi. Sementara blockchain lain menghadapi tantangan mereka sendiri dengan pendanaan rentan kuantum mereka sendiri, Bitcoin menghadapi eksposur unik: transaksi paling awalnya menggunakan output kunci bayar ke publik (peer-to-peer K), menempatkan kunci publik langsung on-chain, membuat sebagian besar BTC sangat rentan terhadap komputer kuantum terkait kriptografi. Perbedaan teknis ini—dikombinasikan dengan usia Bitcoin, konsentrasi nilai, throughput rendah, dan tata kelola yang kaku—membuat masalah ini sangat serius.

Perhatikan bahwa kerentanan yang saya jelaskan di atas berlaku untuk keamanan kriptografi tanda tangan digital Bitcoin – tetapi tidak untuk keamanan ekonomi blockchain Bitcoin. Keamanan ekonomi ini berasal dari mekanisme konsensus proof-of-work (PoW), yang kurang rentan terhadap serangan oleh komputer kuantum karena tiga alasan:

PoW mengandalkan hashing, sehingga hanya dipengaruhi oleh percepatan kuantum kuadrat dari algoritma pencarian Grover dan bukan percepatan eksponensial dari algoritma Shor.

Overhead aktual dari penerapan pencarian Grover membuatnya sangat tidak mungkin bahwa komputer kuantum mana pun dapat mencapai akselerasi aktual moderat pada mekanisme proof-of-work Bitcoin.

Bahkan jika akselerasi yang signifikan tercapai, akselerasi ini akan memberi penambang kuantum besar keuntungan dibandingkan penambang yang lebih kecil tanpa secara fundamental merusak model keamanan ekonomi Bitcoin.

Biaya dan risiko tanda tangan pasca-kuantum

Untuk memahami mengapa blockchain tidak boleh terburu-buru untuk menerapkan tanda tangan pasca-kuantum, kita perlu memahami biaya kinerja dan keyakinan kita bahwa keamanan pasca-kuantum masih berkembang.

Sebagian besar kriptografi pasca-kuantum didasarkan pada salah satu dari lima metode berikut:

hash (hashing)

Pengkodean (codes)

Kisi (lattices)

(multivariate sistem kuadrat, MQ)

Serumpun (isogenies).

Mengapa ada lima pendekatan yang berbeda? Keamanan primitif enkripsi pasca-kuantum didasarkan pada asumsi bahwa komputer kuantum tidak dapat secara efektif memecahkan masalah matematika tertentu. Semakin “terstruktur” masalahnya, semakin efisien protokol kriptografi yang dapat kita bangun darinya.

Tetapi ini memiliki pro dan kontra: struktur tambahan juga menciptakan lebih banyak ruang bagi algoritme serangan untuk dieksploitasi. Hal ini menciptakan kontradiksi mendasar – asumsi yang lebih kuat mengarah pada kinerja yang lebih baik, tetapi dengan mengorbankan potensi kerentanan keamanan (yaitu, peningkatan kemungkinan asumsi terbukti salah).

Secara umum, pendekatan berbasis hash adalah yang paling konservatif dalam hal keamanan, karena kami paling yakin bahwa komputer kuantum tidak akan dapat secara efektif menyerang protokol ini. Tapi mereka juga yang berkinerja terburuk. Misalnya, skema tanda tangan berbasis hash standar NIST berukuran 7-8 KB, bahkan dengan pengaturan parameter minimumnya. Sebagai perbandingan, tanda tangan digital berbasis kurva elips saat ini hanya 64 byte. Itu sekitar perbedaan ukuran 100x.

Solusi jaringan adalah fokus utama penerapan saat ini. NIST telah memilih skema kriptografi unik untuk standarisasi, dan dua dari tiga algoritma tanda tangan berbasis kisi. Satu skema kisi (ML-DSA, sebelumnya dikenal sebagai Dilithium) menghasilkan tanda tangan mulai dari ukuran 2,4 KB (pada tingkat keamanan 128-bit) hingga 4,6 KB (pada tingkat keamanan 256-bit) – menjadikannya sekitar 40-70 kali lebih besar daripada tanda tangan berbasis kurva elips saat ini. Skema grid lain, Falcon, memiliki tanda tangan yang sedikit lebih kecil (666 byte untuk Falcon-512 dan 1,3 KB untuk Falcon-1024) tetapi dengan operasi floating-point yang kompleks, yang ditandai oleh NIST sendiri sebagai tantangan implementasi khusus. Thomas Pornin, salah satu pencipta Falcon, menyebutnya “algoritma enkripsi paling kompleks yang pernah saya terapkan.”

Keamanan implementasi tanda tangan digital berbasis grid juga lebih menantang daripada skema tanda tangan berbasis kurva elips: ML-DSA memiliki perantara yang lebih sensitif dan logika pengambilan sampel yang ditolak yang tidak sepele, yang membutuhkan saluran samping dan fail-safe. Falcon menambahkan masalah floating point waktu konstan; Faktanya, beberapa serangan saluran samping pada implementasi Falcon telah memulihkan kunci rahasia.

Masalah-masalah ini menimbulkan risiko langsung, tidak seperti ancaman jauh dari komputer kuantum terkait kriptografi.

Ada alasan bagus untuk berhati-hati saat menerapkan metode kriptografi pasca-kuantum yang lebih berkinerja. Secara historis, kandidat terkemuka seperti Rainbow (skema tanda tangan berbasis MQ) dan SIKE/SIDH (skema kriptografi berbasis homolog) telah dipecahkan secara klasik, yaitu, menggunakan komputer saat ini, bukan komputer kuantum.

Ini terjadi sangat terlambat dalam proses standardisasi NIST. Ini adalah ilmu kesehatan yang berperan, tetapi ini menunjukkan bahwa standarisasi dan penyebaran prematur dapat menjadi bumerang.

Seperti disebutkan sebelumnya, infrastruktur internet mengambil pendekatan yang disengaja untuk migrasi tanda tangan. Ini sangat patut diperhatikan mengingat berapa lama transisi kripto internet akan berlangsung setelah dimulai. Pergeseran dari fungsi hash MD5 dan SHA-1—secara teknis tidak digunakan lagi oleh gubernur jaringan beberapa tahun yang lalu—membutuhkan waktu bertahun-tahun untuk benar-benar diterapkan dalam infrastruktur dan, dalam beberapa kasus, masih berlangsung. Ini terjadi karena skema ini benar-benar retak dan tidak hanya berpotensi rentan terhadap teknologi masa depan.

Tantangan unik blockchain dan infrastruktur internet

Untungnya, blockchain seperti Ethereum atau Solana, yang dikelola secara aktif oleh komunitas pengembang sumber terbuka, dapat ditingkatkan lebih cepat daripada infrastruktur jaringan tradisional. Infrastruktur jaringan tradisional, di sisi lain, mendapat manfaat dari rotasi kunci yang sering, yang berarti permukaan serangannya bergerak lebih cepat daripada yang dapat ditargetkan oleh mesin kuantum awal – kemewahan yang tidak dimiliki blockchain, karena koin dan kunci terkaitnya dapat diekspos tanpa batas waktu.

Namun secara umum, blockchain harus tetap mengikuti pendekatan jaringan yang dipikirkan dengan matang untuk migrasi tanda tangan. Tidak ada pengaturan tanda tangan yang terkena serangan HNDL, dan biaya serta risiko migrasi sebelum waktunya ke skema pasca-kuantum yang belum matang tetap signifikan, terlepas dari berapa lama kunci bertahan.

Ada juga tantangan khusus blockchain yang membuat migrasi dini sangat berisiko dan kompleks: misalnya, blockchain memiliki persyaratan unik untuk skema tanda tangan, terutama kemampuan untuk mengumpulkan banyak tanda tangan dengan cepat. Saat ini, tanda tangan BLS umumnya digunakan untuk kemampuannya mencapai agregasi yang sangat cepat, tetapi tidak aman pasca-kuantum. Para peneliti sedang mengeksplorasi agregasi tanda tangan pasca-kuantum berbasis SNARK. Karya ini menjanjikan, tetapi masih dalam tahap awal.

Untuk SNARK, komunitas saat ini berfokus pada struktur berbasis hash sebagai opsi pasca-kuantum terkemuka. Tetapi perubahan besar akan datang: Saya percaya bahwa dalam beberapa bulan dan tahun mendatang, opsi berbasis kisi akan menjadi alternatif yang menarik. Alternatif ini akan memiliki performa yang lebih baik daripada {SNARKs} berbasis hash dalam berbagai cara, seperti bukti yang lebih pendek - mirip dengan tanda tangan berbasis kisi yang lebih pendek daripada tanda tangan berbasis hash.

Masalah yang lebih besar adalah menerapkan keamanan

Di tahun-tahun mendatang, menerapkan kerentanan akan menjadi risiko keamanan yang lebih besar daripada komputer kuantum terkait kriptografi. Untuk {SNARKs}, perhatian utamanya adalah bug.

Kesalahan program sudah menjadi tantangan untuk tanda tangan digital dan skema enkripsi, dan {SNARKs} jauh lebih kompleks. Memang, skema tanda tangan digital dapat dianggap sebagai {zkSNARK} yang sangat sederhana untuk menyatakan “Saya tahu kunci pribadi yang sesuai dengan kunci publik saya, dan saya mengizinkan pesan ini.”

Untuk tanda tangan pasca-kuantum, risiko langsung juga mencakup serangan implementasi, seperti serangan saluran samping dan injeksi kesalahan. Jenis serangan ini didokumentasikan dengan baik dan dapat mengekstrak kunci rahasia dari sistem yang digunakan. Mereka menimbulkan ancaman yang lebih mendesak daripada komputer kuantum yang jauh.

Komunitas akan bekerja selama bertahun-tahun untuk mengidentifikasi dan memperbaiki bug program di {SNARKs} dan memperkuat implementasi tanda tangan pasca-kuantum untuk menahan serangan sidechannel dan injeksi kesalahan. Dengan debu pada {SNARKs} pasca-kuantum dan skema agregasi tanda tangan yang belum diselesaikan, blockchain yang bertransisi terlalu dini berisiko terkunci ke dalam skema yang tidak optimal. Mereka mungkin perlu bermigrasi lagi ketika opsi yang lebih baik muncul, atau ketika kerentanan implementasi ditemukan.

Apa yang harus kita lakukan? 7 Rekomendasi

Mengingat realitas yang saya uraikan di atas, saya akan menyimpulkan dengan rekomendasi untuk berbagai pemangku kepentingan – dari pembangun hingga pembuat kebijakan. Prinsip pertama: tanggapi ancaman kuantum dengan serius, tetapi jangan bertindak berdasarkan asumsi bahwa komputer kuantum terkait kriptografi akan tiba sebelum tahun 2030. Asumsi ini tidak dikonfirmasi oleh kemajuan saat ini. Namun, ada beberapa hal yang dapat dan harus kita lakukan sekarang:

Kita harus segera menerapkan enkripsi hibrida.

Atau setidaknya dalam kasus di mana kerahasiaan jangka panjang penting dan terjangkau.

Banyak browser, CDN, dan aplikasi perpesanan seperti iMessage dan Signal telah menerapkan pendekatan hibrida. Pendekatan hibrida – pasca-kuantum + klasik – dapat bertahan dari serangan HNDL sambil melindungi potensi kelemahan dalam skema pasca-kuantum.

Gunakan tanda tangan berbasis hash segera setelah ukurannya terjangkau.

Pembaruan perangkat lunak/firmware—dan skenario frekuensi rendah dan tidak sensitif ukuran lainnya—harus segera mengadopsi tanda tangan berbasis hash hibrida. (Pencampuran ini dimaksudkan untuk melindungi kesalahan implementasi dalam skenario baru, bukan karena ada keraguan tentang asumsi keamanan berbasis hash.) ）

Ini konservatif dan memberikan “sekoci” yang jelas bagi masyarakat jika tidak mungkin munculnya komputer kuantum terkait kriptografi sejak awal yang tidak terduga. Tanpa penyebaran pembaruan perangkat lunak pasca-kuantum yang ditandatangani sebelumnya, setelah CRQC muncul, kami akan menghadapi masalah bootstrapping: kami tidak akan dapat mendistribusikan perbaikan kriptografi pasca-kuantum dengan aman yang kami butuhkan untuk mempertahankannya.

Blockchain tidak perlu terburu-buru untuk menyebarkan tanda tangan pasca-kuantum – tetapi perencanaan harus segera dimulai.

Pengembang blockchain harus mengikuti kepemimpinan komunitas PKI jaringan dan mengambil pendekatan yang bijaksana untuk penerapan tanda tangan pasca-kuantum. Hal ini memungkinkan skema tanda tangan pasca-kuantum untuk terus matang dalam hal kinerja dan pemahaman kami tentang keamanannya. Pendekatan ini juga memberi pengembang waktu untuk merancang ulang sistem untuk menangani tanda tangan yang lebih besar dan mengembangkan teknik agregasi yang lebih baik.

Untuk Bitcoin dan L1 lainnya: Komunitas perlu menentukan jalur migrasi dan kebijakan mengenai dana rentan kuantum yang ditinggalkan. Migrasi pasif tidak memungkinkan, jadi perencanaan sangat penting. Dan karena Bitcoin menghadapi tantangan non-teknis khusus – tata kelola yang lambat dan sejumlah besar alamat rentan kuantum yang berpotensi ditinggalkan bernilai tinggi – sangat penting bagi komunitas Bitcoin untuk mulai merencanakan sekarang.

Pada saat yang sama, kita perlu mengizinkan penelitian tentang {SNARKs} pasca-kuantum dan tanda tangan agregat untuk matang (yang mungkin memakan waktu beberapa tahun). Sekali lagi, migrasi prematur berisiko terkunci ke dalam skenario yang tidak optimal atau memerlukan migrasi kedua untuk mengatasi kesalahan implementasi.

Sedikit catatan tentang model akun Ethereum: Ethereum mendukung dua jenis akun yang memiliki implikasi berbeda untuk migrasi pasca-kuantum - (EOAs) akun milik eksternal, jenis akun tradisional yang dikendalikan oleh kunci pribadi {secp}256{k}1; dan dompet kontrak pintar dengan logika otorisasi yang dapat diprogram.

Dalam situasi non-darurat, jika Ethereum menambahkan dukungan tanda tangan pasca-kuantum, dompet kontrak pintar yang dapat ditingkatkan dapat beralih ke verifikasi pasca-kuantum melalui peningkatan kontrak - dan EOA mungkin perlu memindahkan dana mereka ke alamat pasca-kuantum aman baru (meskipun Ethereum kemungkinan juga akan menyediakan mekanisme migrasi khusus untuk EOA).

Jika terjadi keadaan darurat kuantum, para peneliti Ethereum telah mengusulkan rencana hard fork untuk membekukan akun yang rentan dan memungkinkan pengguna untuk memulihkan dana dengan menggunakan keamanan pasca-kuantum {SNARKs} untuk membuktikan pengetahuan tentang frasa benih mereka. Mekanisme pemulihan ini akan berlaku untuk EOA dan dompet kontrak pintar apa pun yang belum ditingkatkan.

Dampak dunia nyata pada pengguna: Dompet kontrak pintar yang diaudit dengan baik dan dapat ditingkatkan mungkin menawarkan jalur migrasi yang sedikit lebih lancar – tetapi tidak jauh berbeda, dan dilengkapi dengan trade-off dalam hal kepercayaan pada penyedia dompet dan tata kelola yang ditingkatkan. Lebih penting lagi, komunitas Ethereum melanjutkan pekerjaannya pada primitif pasca-kuantum dan rencana tanggap darurat.

Pelajaran desain yang lebih luas untuk pembangun: Banyak blockchain saat ini memasangkan identitas akun dengan primitif kriptografi tertentu – Bitcoin dan Ethereum dengan tanda tangan ECDSA pada {secp}256{k}1, dan rantai lain dengan EdDSA. Tantangan migrasi pasca-kuantum menyoroti nilai pemisahan identitas akun dari skema tanda tangan tertentu. Langkah Ethereum menuju akun pintar dan upaya abstraksi akun serupa di rantai lain mencerminkan tren ini: memungkinkan akun untuk meningkatkan logika otentikasi mereka tanpa melepaskan riwayat dan status on-chain mereka. Pemisahan ini tidak membuat migrasi pasca-kuantum sepele, tetapi memberikan lebih banyak fleksibilitas daripada hardcoding akun ke dalam skema tanda tangan tunggal. (Ini juga mendukung fitur yang tidak terkait seperti transaksi bersponsor, pemulihan sosial, dan multi-tanda tangan).

Untuk rantai privasi, mereka mengenkripsi atau menyembunyikan detail transaksi, dan transisi sebelumnya harus diprioritaskan jika kinerjanya terjangkau.

Kerahasiaan pengguna pada rantai ini saat ini terkena serangan HNDL, meskipun tingkat keparahannya bervariasi menurut desain. Rantai yang dapat mencapai ketertelusuran penuh dan deanonimitisasi dengan buku besar publik saja menghadapi risiko yang paling mendesak.

Pertimbangkan skema hibrida (pasca-kuantum + klasik) untuk mencegah skema pasca-kuantum terbukti tidak aman bahkan secara klasik, atau untuk menerapkan perubahan arsitektur yang menghindari menempatkan rahasia yang dapat didekripsi dalam rantai.

Dalam waktu dekat, prioritaskan keamanan – daripada mitigasi ancaman kuantum.

Terutama untuk primitif kriptografi kompleks seperti {SNARKs} dan tanda tangan pasca-kuantum, kesalahan program dan serangan implementasi (serangan sidechannel, injeksi kesalahan) akan menjadi risiko keamanan yang jauh lebih besar di tahun-tahun mendatang daripada komputer kuantum terkait kriptografi.

Berinvestasilah dalam audit, fuzzing, verifikasi formal, dan pendekatan keamanan mendalam/berlapis hari ini – jangan biarkan masalah kuantum menutupi ancaman kesalahan program yang lebih mendesak!

Pendanaan untuk pengembangan komputasi kuantum.

Implikasi keamanan nasional yang penting dari semua hal di atas adalah perlunya pendanaan berkelanjutan dan pengembangan bakat dalam komputasi kuantum.

Musuh utama, memungkinkan kekuatan komputasi kuantum terkait kripto sebelum Amerika Serikat, akan menimbulkan risiko keamanan nasional yang serius bagi kita dan seluruh dunia.

Pertahankan perspektif tentang pengumuman komputasi kuantum.

Seiring dengan kematangan perangkat keras kuantum, akan ada banyak tonggak sejarah di tahun-tahun mendatang. Paradoksnya, frekuensi pengumuman ini sendiri membuktikan seberapa jauh kita dari komputer kuantum terkait kripto: setiap tonggak sejarah mewakili salah satu dari banyak jembatan yang harus kita seberangi sebelum mencapai titik itu, yang masing-masing akan menghasilkan gelombang berita utama dan kegembiraannya sendiri.

Pikirkan siaran pers sebagai laporan kemajuan yang memerlukan evaluasi kritis, bukan sebagai dorongan untuk tindakan tiba-tiba.

Tentu saja, mungkin ada kemajuan yang mengejutkan atau jadwal yang diharapkan untuk akselerasi inovasi, sama seperti mungkin ada kemacetan ekspansi serius yang memperpanjangnya.

Saya tidak akan membantah bahwa komputer kuantum terkait kriptografi sama sekali tidak mungkin, hanya sangat tidak mungkin. Rekomendasi di atas kuat terhadap ketidakpastian ini, dan mengikutinya menghindari risiko yang lebih cepat dan mungkin: kesalahan implementasi, penerapan tergesa-gesa, dan cara transisi kripto yang biasa salah.