Perdagangan
Tipe perdagangan
Spot
Perdagangkan kripto dengan bebas
Alpha
Points
Dapatkan token yang menjanjikan dalam perdagangan on-chain yang efisien
Pre-Market
Perdagangkan token baru sebelum di list secara resmi
Perdagangan Margin
Perbesar keuntungan Anda dengan leverage
Perdagangan Konversi & Blok
0 Fees
Perdagangkan dalam ukuran berapa pun tanpa biaya dan tanpa slippage
Token Leverage
Dapatkan eksposur ke posisi leverage dengan mudah
Futures
Futures
Ratusan kontrak diselesaikan dalam USDT atau BTC
Opsi
HOT
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Futures Kickoff
Bersiap untuk perdagangan futures Anda
Acara Futures
Berpartisipasi dalam acara untuk memenangkan hadiah besar
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
Earn
Peluncuran
CandyDrop
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
Launchpad
Jadi yang pertama untuk proyek token besar berikutnya
Poin Alpha
NEW
Perdagangkan aset on-chain dan nikmati hadiah airdrop!
Poin Futures
NEW
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Simple Earn
Dapatkan bunga dengan token yang menganggur
Investasi Otomatis
Investasi otomatis secara teratur
Investasi Ganda
Beli saat harga rendah dan jual saat harga tinggi untuk mengambil keuntungan dari fluktuasi harga
Soft Staking
Dapatkan hadiah dengan staking fleksibel
Pinjaman Kripto
0 Fees
Menjaminkan satu kripto untuk meminjam kripto lainnya
Pusat Peminjaman
Hub Peminjaman Terpadu
Pusat Kekayaan VIP
Manajemen kekayaan kustom memberdayakan pertumbuhan Aset Anda
Manajemen Kekayaan Pribadi
Manajemen aset kustom untuk mengembangkan aset digital Anda
Dana Quant
Tim manajemen aset teratas membantu Anda mendapatkan keuntungan tanpa kesulitan
Staking
Stake kripto untuk mendapatkan penghasilan dalam produk PoS
BTC Staking
HOT
Stake BTC dan dapatkan 10% APR
GSUD Minting
Gunakan USDT/USDC untuk mint GUSD untuk imbal hasil tingkat treasury
Lainnya
- Topik TrendingLihat Lebih Banyak
513.62K Popularitas
466 Popularitas
283 Popularitas
120.61K Popularitas
187 Popularitas
- Hot Gate FunLihat Lebih Banyak
- MC:$3.8KHolder:20.00%
- MC:$3.63KHolder:10.00%
- MC:$3.63KHolder:10.00%
- MC:$3.76KHolder:11.18%
- MC:$4.31KHolder:23.34%
- Sematkan
a16z Artikel lengkap: Risiko apa yang dibawa oleh komputasi kuantum bagi cryptocurrency?
Penulis | Justin Thaler, mitra riset a16z
Terjemahan | GaryMa 吴说区块链
Tentang “komputer kuantum yang mampu mengancam sistem kriptografi yang ada” kapan akan datang, orang sering kali membuat perkiraan waktu yang berlebihan — — yang memicu seruan untuk segera melakukan migrasi besar-besaran ke sistem kriptografi pasca-kuantum.
Namun seruan tersebut sering kali mengabaikan biaya dan risiko dari migrasi terlalu dini, serta mengabaikan bahwa risiko yang dihadapi oleh berbagai primal kriptografi sangat berbeda:
Enkripsi pasca-kuantum meskipun mahal, harus segera diterapkan: “Kumpulkan dulu, baru dekripsi” (Harvest-now-decrypt-later, HNDL) serangan sudah terjadi, karena ketika komputer kuantum benar-benar datang, bahkan jika itu puluhan tahun lagi, data sensitif yang dilindungi dengan enkripsi hari ini tetap akan bernilai. Meskipun enkripsi pasca-kuantum membawa overhead performa dan risiko implementasi, bagi data yang membutuhkan kerahasiaan jangka panjang, serangan HNDL berarti tidak ada pilihan lain.
Pertimbangan untuk tanda tangan pasca-kuantum sama sekali berbeda. Ia tidak terpengaruh oleh serangan HNDL, dan biaya serta risikonya (ukuran yang lebih besar, overhead performa, implementasi yang belum matang, serta potensi kerentanan) berarti migrasi harus dilakukan secara hati-hati, bukan langsung.
Perbedaan ini sangat penting. Kesalahpahaman dapat mengganggu analisis biaya-manfaat, dan malah membuat tim mengabaikan risiko keamanan yang lebih penting — — seperti kerentanan itu sendiri.
Tantangan utama dalam keberhasilan menuju sistem kriptografi pasca-kuantum adalah menyamakan “urgensi” dengan “ancaman nyata”. Berikut, saya akan menjelaskan kesalahpahaman umum tentang ancaman kuantum dan dampaknya terhadap kriptografi — — termasuk enkripsi, tanda tangan, dan bukti nol pengetahuan — — serta secara khusus menyoroti dampaknya terhadap blockchain.
Di titik waktu mana kita saat ini?
Pada dekade 2020-an, kemungkinan “komputer kuantum yang memiliki ancaman nyata terhadap kriptografi (CRQC)” sangat kecil, meskipun ada beberapa klaim mencolok yang menarik perhatian.
ps: Untuk komputer kuantum yang relevan secara kriptografi / cryptographically relevant quantum computer, selanjutnya akan disingkat CRQC.
Yang dimaksud dengan “komputer kuantum yang memiliki ancaman nyata terhadap kriptografi” adalah komputer kuantum yang toleran terhadap kesalahan, telah melakukan koreksi kesalahan, mampu menjalankan algoritma Shor dalam skala yang cukup besar, dan mampu menyerang kriptografi elliptic curve atau RSA dalam waktu yang wajar (misalnya, dalam waktu kurang dari satu bulan terus-menerus menghancurkan secp256k1 atau RSA-2048).
Berdasarkan penilaian milestone dan sumber daya yang tersedia secara publik, kita masih jauh dari komputer kuantum semacam itu. Meskipun beberapa perusahaan mengklaim bahwa CRQC kemungkinan akan muncul sebelum tahun 2030 bahkan 2035, kemajuan yang terlihat secara publik tidak mendukung klaim tersebut.
Dari latar belakangnya, saat ini di semua arsitektur — — ion trap, qubit superkonduktor, dan sistem atom netral — — tidak ada platform komputer kuantum yang mendekati jumlah puluhan ribu hingga jutaan qubit fisik yang diperlukan untuk menjalankan algoritma Shor yang menyerang RSA-2048 atau secp256k1 (jumlah spesifik tergantung tingkat kesalahan dan skema koreksi kesalahan).
Batasan bukan hanya jumlah qubit, tetapi juga fidelitas gerbang, konektivitas qubit, dan kedalaman sirkuit koreksi kesalahan yang harus dapat berjalan secara berkelanjutan untuk menjalankan algoritma kuantum yang kompleks. Meskipun beberapa sistem saat ini telah memiliki lebih dari 1.000 qubit fisik, hanya jumlahnya saja yang menyesatkan: sistem ini kekurangan konektivitas dan fidelitas gerbang yang diperlukan untuk menjalankan perhitungan kriptografi.
Sistem terbaru mendekati tingkat kesalahan fisik yang memungkinkan koreksi kuantum, tetapi belum ada yang menunjukkan lebih dari beberapa qubit logis yang mampu menjalankan koreksi kesalahan secara berkelanjutan — — apalagi ribuan qubit logis yang diperlukan untuk menjalankan algoritma Shor secara nyata. Secara teoretis, koreksi kuantum terbukti memungkinkan, tetapi masih ada jurang besar antara skala yang diperlukan untuk koreksi kuantum dan yang benar-benar mampu memecahkan kriptografi.
Singkatnya: kecuali jumlah qubit dan fidelitasnya meningkat beberapa kali lipat secara bersamaan, “komputer kuantum yang memiliki ancaman nyata terhadap kriptografi” tetap jauh dari jangkauan.
Namun, siaran pers perusahaan dan laporan media sangat rentan menimbulkan kesalahpahaman. Kesalahan umum meliputi:
Mengklaim demonstrasi “keunggulan kuantum”, tetapi demonstrasi tersebut biasanya menargetkan masalah yang dibuat-buat. Masalah ini tidak dipilih karena kepraktisannya, melainkan karena dapat dijalankan pada hardware yang ada dan tampaknya menunjukkan percepatan kuantum yang signifikan — — yang sering kali secara sengaja dilemahkan dalam promosi.
Mengklaim telah mencapai ribuan qubit fisik. Tapi ini biasanya merujuk pada komputer kuantum annealing, bukan komputer kuantum model gerbang yang mampu menjalankan algoritma Shor untuk menyerang kunci publik.
Penggunaan sembarangan istilah “qubit logis”. Qubit fisik sangat rentan terhadap gangguan, sedangkan algoritma kuantum membutuhkan qubit logis; seperti yang disebutkan sebelumnya, algoritma Shor membutuhkan ribuan qubit logis. Dengan koreksi kuantum, satu qubit logis biasanya terdiri dari ratusan hingga ribuan qubit fisik (tergantung tingkat kesalahan). Namun beberapa perusahaan telah menyalahgunakan istilah ini secara ekstrem. Misalnya, sebuah perusahaan baru-baru ini mengklaim bahwa mereka dapat mencapai 48 qubit logis dengan menggunakan kode jarak 2, di mana setiap qubit logis hanya terdiri dari dua qubit fisik. Ini jelas tidak masuk akal: kode jarak 2 hanya mampu mendeteksi kesalahan, bukan mengoreksi. Sementara qubit logis yang digunakan untuk memecahkan kriptografi membutuhkan ratusan hingga ribuan qubit fisik per qubit logis.
Secara umum, banyak peta jalan komputer kuantum menggunakan istilah “qubit logis” untuk merujuk pada qubit yang hanya mendukung operasi Clifford. Operasi ini dapat dengan efisien disimulasikan secara klasik, sehingga tidak cukup untuk menjalankan algoritma Shor, yang membutuhkan ribuan gerbang T yang dikoreksi kesalahan (atau gerbang non-Clifford lainnya).
Oleh karena itu, bahkan jika sebuah peta jalan mengklaim “mencapai ribuan qubit logis pada tahun X”, itu tidak berarti bahwa perusahaan tersebut memperkirakan dapat menjalankan algoritma Shor untuk menghancurkan sistem kriptografi klasik pada tahun yang sama.
Praktik ini secara serius mengaburkan persepsi publik (bahkan profesional industri) tentang “seberapa dekat kita dengan CRQC yang sebenarnya”.
Namun, ada juga beberapa pakar yang merasa optimis tentang kemajuan. Misalnya, Scott Aaronson baru-baru ini menulis bahwa, mengingat “perkembangan hardware yang sangat cepat dan mengejutkan”, saya sekarang percaya bahwa sebelum pemilihan presiden AS berikutnya, kita mungkin memiliki komputer kuantum toleran yang menjalankan algoritma Shor.
Namun, Aaronson kemudian mengklarifikasi bahwa pernyataannya tidak berarti bahwa ada komputer kuantum yang mampu melakukan kriptografi secara nyata: bahkan jika sebuah komputer kuantum yang sepenuhnya toleran hanya mampu memfaktorkan 15 = 3×5 — — angka yang bahkan bisa dihitung lebih cepat secara manual — — dia akan menganggap pernyataannya terpenuhi. Standar di sini tetap pada eksekusi algoritma Shor skala kecil, bukan skala yang bermakna secara kriptografi; sebelumnya, faktorisasi 15 dilakukan dengan rangkaian sirkuit yang disederhanakan, bukan versi lengkap yang toleran terhadap kesalahan. Selain itu, percobaan kuantum yang terus-menerus memfaktorkan 15 bukan kebetulan: karena aritmetika modulo 15 sangat sederhana, sedangkan memfaktorkan angka yang sedikit lebih besar seperti 21 jauh lebih sulit. Oleh karena itu, eksperimen kuantum yang mengklaim memfaktorkan 21 sering kali bergantung pada petunjuk atau jalan pintas.
Singkatnya: tidak ada kemajuan yang didukung secara publik yang menunjukkan bahwa dalam 5 tahun ke depan akan muncul komputer kuantum yang mampu memecahkan RSA-2048 atau secp256k1 (yang benar-benar menjadi perhatian kriptografi).
Bahkan dalam 10 tahun pun, ini tetap merupakan prediksi yang agresif. Mengingat jarak kita dari komputer kuantum yang relevan secara kriptografi, bahkan jika kita tetap antusias terhadap kemajuan, tetap realistis untuk memperkirakan waktu lebih dari sepuluh tahun.
Lalu, apa arti target pemerintah AS untuk tahun 2035 sebagai tahun migrasi seluruh sistem pemerintah ke sistem kriptografi pasca-kuantum? Saya rasa, ini adalah jadwal yang masuk akal untuk menyelesaikan migrasi berskala besar tersebut. Namun, ini bukan prediksi bahwa CRQC akan muncul pada saat itu.
Serangan HNDL berlaku dalam skenario apa (dan tidak berlaku dalam skenario apa)?
Serangan “kumpulkan dulu, baru dekripsi” (Harvest now, decrypt later, HNDL) adalah serangan di mana penyerang menyimpan semua data komunikasi terenkripsi saat ini, menunggu suatu hari di masa depan ketika “komputer kuantum yang memiliki ancaman nyata terhadap kriptografi” muncul, lalu mendekripsinya. Sudah pasti, aktor tingkat negara telah mengarsipkan komunikasi terenkripsi pemerintah AS secara besar-besaran, agar dapat didekripsi saat komputer kuantum benar-benar muncul. Inilah sebabnya sistem kriptografi harus mulai melakukan migrasi dari sekarang — — setidaknya untuk entitas yang perlu menjaga kerahasiaan selama 10–50 tahun ke depan.
Namun, tanda tangan digital — — teknologi yang digunakan oleh semua blockchain — — berbeda dari enkripsi: ia tidak memiliki “kerahasiaan” yang bisa diserang secara pasca-kejadian.
Dengan kata lain, ketika komputer kuantum benar-benar datang, dari saat itu juga akan memungkinkan pemalsuan tanda tangan digital, tetapi tanda tangan yang dibuat sebelumnya tidak “menyembunyikan” rahasia apa pun. Selama dapat memastikan bahwa tanda tangan digital tersebut dibuat sebelum CRQC muncul, maka tanda tangan itu tidak bisa dipalsukan.
Oleh karena itu, dibandingkan dengan sistem kriptografi, migrasi ke tanda tangan digital pasca-kuantum tidak begitu mendesak.
Tindakan utama dari platform utama juga mencerminkan hal ini: Chrome dan Cloudflare telah mengimplementasikan kombinasi X25519 + ML-KEM dalam enkripsi lapisan transport Web (TLS). [Dalam artikel ini, untuk kemudahan baca, saya menyebutnya “skema enkripsi”, meskipun secara ketat, protokol komunikasi aman seperti TLS menggunakan mekanisme pertukaran kunci atau pengemasan kunci, bukan enkripsi kunci publik.]
“Campuran” di sini berarti menggabungkan satu skema keamanan pasca-kuantum (ML-KEM) dengan skema yang sudah ada (X25519), sehingga keduanya memberikan perlindungan keamanan secara bersamaan. Pendekatan ini bertujuan agar ML-KEM mencegah serangan HNDL, sementara jika ML-KEM terbukti tidak aman untuk komputer saat ini, X25519 tetap memberikan jaminan keamanan tradisional.
Apple juga mengimplementasikan skema enkripsi pasca-kuantum campuran serupa dalam protokol PQ3 mereka, dan Signal juga menerapkan mekanisme ini dalam protokol PQXDH dan SPQR.
Sebaliknya, migrasi tanda tangan digital pasca-kuantum pada infrastruktur web utama akan ditunda sampai “mendekati CRQC secara nyata”, karena skema tanda tangan pasca-kuantum saat ini menyebabkan penurunan performa yang signifikan (akan dibahas nanti dalam artikel).
zkSNARKs — — yaitu bukti pengetahuan nol, ringkas, dan non-interaktif, yang merupakan inti dari skalabilitas dan privasi blockchain di masa depan — — memiliki tantangan yang serupa dengan tanda tangan digital terhadap ancaman kuantum. Alasannya adalah, meskipun beberapa zkSNARK tidak secara intrinsik aman terhadap kuantum (karena mereka menggunakan kriptografi elliptic curve yang sama dengan yang digunakan dalam enkripsi dan tanda tangan saat ini), sifat “pengetahuan nol” mereka tetap aman terhadap kuantum.
Sifat pengetahuan nol menjamin bahwa bukti tidak mengungkapkan informasi apa pun tentang witness rahasia — — bahkan terhadap penyerang kuantum — — sehingga tidak ada data rahasia yang bisa dikumpulkan sebelumnya dan didekripsi di masa depan.
Oleh karena itu, zkSNARK tidak terpengaruh oleh serangan HNDL. Seperti halnya tanda tangan digital non-pasca-kuantum yang saat ini aman, selama bukti zkSNARK dibuat sebelum CRQC muncul, maka bukti tersebut dapat dipercaya (yaitu, pernyataan yang dibuktikan pasti benar) — — meskipun zkSNARK menggunakan kriptografi elliptic curve. Hanya setelah CRQC muncul, penyerang mungkin dapat membuat bukti “kelihatan valid tetapi sebenarnya salah”.
Apa arti semua ini bagi blockchain?
Kebanyakan blockchain tidak akan terpapar serangan HNDL: mayoritas blockchain non-privasi — — seperti Bitcoin dan Ethereum saat ini — — menggunakan kriptografi tanda tangan non-pasca-kuantum dalam otorisasi transaksi, yaitu mereka menggunakan tanda tangan digital bukan enkripsi.
Sekali lagi ditegaskan, tanda tangan digital tidak terpengaruh oleh serangan HNDL: serangan “kumpulkan dulu, baru dekripsi” hanya berlaku untuk data terenkripsi. Contohnya, blockchain Bitcoin bersifat publik; ancaman kuantum terkait dengan pemalsuan tanda tangan (menghitung ulang kunci pribadi untuk mencuri dana), bukan mendekripsi data transaksi yang sudah dipublikasikan. Ini berarti serangan HNDL tidak memberikan tekanan kriptografi langsung pada blockchain saat ini.
Sayangnya, beberapa lembaga terpercaya (termasuk Federal Reserve AS) masih secara keliru mengklaim bahwa Bitcoin rentan terhadap serangan HNDL, yang justru memperbesar urgensi migrasi kriptografi pasca-kuantum.
Namun, “urgensi yang berkurang” tidak berarti Bitcoin bisa menunggu tanpa batas waktu: karena kebutuhan koordinasi sosial yang besar untuk upgrade protokol, Bitcoin menghadapi tekanan waktu yang berbeda. (Akan dibahas lebih rinci tentang tantangan unik Bitcoin nanti.)
Satu pengecualian saat ini adalah blockchain privasi, di mana banyak data transaksi dienkripsi atau disembunyikan, sehingga kerahasiaan pengguna saat ini terpapar serangan HNDL — — meskipun tingkat risiko berbeda tergantung desainnya. Blockchain ini berisiko tertinggi jika hanya mengandalkan data publik untuk anonimisasi di masa depan, karena jika komputer kuantum mampu memecahkan kriptografi elliptic curve, data tersebut bisa di-deanonimisasi secara pasca-kejadian.
Untuk blockchain semacam ini, tingkat keparahan serangan tergantung pada desainnya. Misalnya, untuk Monero yang menggunakan tanda tangan lingkaran berbasis elliptic curve dan key image (tanda pengenal unik yang mencegah double-spending), hanya dengan buku besar publik sudah cukup untuk merekonstruksi seluruh alur transaksi di masa depan. Tetapi, di blockchain privasi lain, tingkat kerusakannya bisa lebih terbatas — — lihat diskusi dari Sean Bowe, insinyur dan peneliti kriptografi Zcash.
Jika pengguna menganggap “transaksi tidak akan terungkap di masa depan karena komputer kuantum” sangat penting, maka blockchain privasi harus segera beralih ke primal kriptografi pasca-kuantum (atau skema campuran). Atau, mereka harus mengadopsi arsitektur yang sepenuhnya tidak menyimpan rahasia yang bisa didekripsi di chain.
Tantangan khusus Bitcoin: mekanisme tata kelola + koin yang ditinggalkan
Bagi Bitcoin, ada dua faktor nyata yang membuat migrasi ke tanda tangan digital pasca-kuantum menjadi mendesak, dan keduanya tidak terkait langsung dengan teknologi kuantum itu sendiri. Faktor pertama adalah kecepatan tata kelola: evolusi Bitcoin sangat lambat. Masalah yang kontroversial, selama komunitas tidak mencapai konsensus tentang solusi yang tepat, dapat memicu hard fork yang merusak.
Faktor kedua adalah bahwa migrasi ke tanda tangan pasca-kuantum tidak bisa dilakukan secara pasif: pemilik koin harus secara aktif memindahkan dana mereka. Ini berarti bahwa koin yang sudah ditinggalkan tetapi masih rentan terhadap ancaman kuantum tidak akan terlindungi. Beberapa perkiraan menyebutkan bahwa jumlah BTC yang rentan dan mungkin sudah ditinggalkan mencapai jutaan koin, yang bernilai miliaran dolar berdasarkan harga saat ini (per Desember 2025).
Namun, ancaman kuantum tidak akan menyebabkan Bitcoin “runtuh secara mendadak dalam satu malam” — — melainkan sebagai proses serangan bertahap dan selektif. Komputer kuantum tidak akan mampu memecahkan semua skema enkripsi sekaligus — — algoritma Shor harus menargetkan satu kunci publik tertentu secara berurutan. Biaya awal serangan kuantum akan sangat tinggi dan lambat. Oleh karena itu, begitu komputer kuantum mampu memecahkan satu kunci tanda tangan Bitcoin, penyerang akan memprioritaskan dompet dengan nilai tertinggi.
Selain itu, selama pengguna menghindari penggunaan alamat yang sama berulang kali dan tidak menggunakan alamat Taproot (yang secara langsung mengekspos kunci publik di chain), mereka tetap terlindungi secara dasar: kunci publik mereka tetap tersembunyi di balik fungsi hash sampai mereka melakukan transaksi. Ketika mereka akhirnya mengirim transaksi, kunci publik akan terbuka, dan saat itu juga akan ada “jendela perlombaan waktu nyata”: pengguna jujur harus mempercepat konfirmasi transaksi mereka, sementara penyerang kuantum berusaha menemukan kunci pribadi dan menghabiskan dana sebelum transaksi dikonfirmasi. Oleh karena itu, koin yang paling rentan adalah yang kunci publiknya sudah terbuka selama bertahun-tahun: output P2PK awal, alamat yang digunakan berulang, dan posisi Taproot.
Untuk koin yang sudah ditinggalkan dan rentan, saat ini tidak ada solusi mudah. Pilihan termasuk:
Mencapai konsensus komunitas Bitcoin untuk menetapkan “hari bendera” (flag day), setelah hari tersebut semua koin yang belum dimigrasi dianggap hilang.
Membiarkan semua koin yang sudah ditinggalkan dan berisiko terhadap kuantum diambil alih oleh siapa saja yang memiliki CRQC.
Pilihan kedua menimbulkan masalah hukum dan keamanan yang serius: menggunakan komputer kuantum untuk menguasai dana tanpa kunci pribadi — — bahkan jika dilakukan dengan niat baik — — dapat melanggar hukum pencurian dan penipuan komputer di banyak yurisdiksi.
Selain itu, “ditinggalkan” sendiri adalah asumsi berdasarkan ketidakaktifan, tetapi tidak ada yang tahu pasti apakah koin tersebut benar-benar tidak aktif dan tidak lagi dimiliki oleh pemiliknya yang memiliki kunci. Bahkan jika seseorang dapat membuktikan bahwa mereka pernah memegang koin tersebut, mereka belum tentu memiliki hak hukum untuk merusak perlindungan kriptografi dan “mengambil kembali” koin tersebut. Ketidakjelasan hukum ini membuat koin yang sudah ditinggalkan dan berisiko terhadap kuantum sangat rentan jatuh ke tangan penyerang yang tidak mematuhi hukum.
Masalah lain yang sangat spesifik untuk Bitcoin adalah throughput transaksi yang sangat rendah. Bahkan jika skema migrasi disepakati, memindahkan semua dana yang rentan ke alamat yang aman terhadap kuantum akan memakan waktu berbulan-bulan dengan kecepatan transaksi saat ini.
Tantangan ini membuat Bitcoin harus mulai merencanakan migrasi pasca-kuantum dari sekarang — — bukan karena CRQC kemungkinan akan muncul sebelum 2030, tetapi karena koordinasi tata kelola, pencapaian konsensus, dan logistik teknis untuk memigrasi triliunan dolar memerlukan waktu bertahun-tahun.
Ancaman kuantum terhadap Bitcoin memang nyata, tetapi tekanan waktu berasal dari batasan struktur Bitcoin sendiri, bukan dari kedekatan komputer kuantum. Blockchain lain juga menghadapi masalah dana rentan kuantum, tetapi Bitcoin sangat unik: transaksi awal menggunakan output pay-to-public-key (P2PK), yang secara langsung mengekspos kunci publik di chain, sehingga sebagian besar BTC terpapar ancaman kuantum. Sejarah teknologinya, ditambah umur chain yang panjang, konsentrasi nilai tinggi, throughput rendah, dan tata kelola yang kaku, membuat masalah ini sangat serius.
Perlu dicatat bahwa kerentanan yang disebutkan di atas hanya berlaku untuk keamanan kriptografi tanda tangan digital Bitcoin — — tidak terkait dengan keamanan ekonomi blockchain. Keamanan ekonomi Bitcoin berasal dari mekanisme konsensus proof-of-work (PoW), yang tidak mudah diserang kuantum seperti skema tanda tangan, karena:
PoW bergantung pada fungsi hash, sehingga paling banyak akan mengalami percepatan kuantum kueri Grover yang kuadrat, bukan percepatan eksponensial seperti Shor.
Biaya menjalankan pencarian Grover sangat tinggi, sehingga tidak mungkin komputer kuantum mendapatkan percepatan nyata yang signifikan dalam PoW Bitcoin.
Bahkan jika komputer kuantum mampu mempercepat secara signifikan, efeknya hanya akan memberi keuntungan relatif kepada penambang besar yang memiliki kekuatan kuantum, tanpa merusak model keamanan ekonomi Bitcoin secara fundamental.
Biaya dan risiko tanda tangan pasca-kuantum
Untuk memahami mengapa blockchain tidak boleh terburu-buru mengadopsi tanda tangan pasca-kuantum, kita harus mempertimbangkan performa dan kepercayaan kita terhadap keamanan pasca-kuantum yang masih berkembang.
Sebagian besar kriptografi pasca-kuantum didasarkan pada lima kategori utama: hashing, kode koreksi kesalahan, lattice, multivariat, dan isogenies.
Mengapa ada lima metode berbeda? Karena keamanan primal kriptografi pasca-kuantum bergantung pada asumsi bahwa komputer kuantum tidak mampu menyelesaikan masalah matematika tertentu secara efisien. Semakin kuat struktur masalahnya, semakin efisien pula skema kriptografi yang dapat dibangun.
Namun, ini adalah pedang bermata dua: semakin banyak struktur, semakin besar pula permukaan serangan, dan algoritma menjadi lebih rentan ditembus. Ini menciptakan ketegangan mendasar — — semakin kuat asumsi, semakin baik performa, tetapi risiko keamanan potensial juga meningkat (yaitu, kemungkinan asumsi tersebut terbukti salah).
Secara umum, dari sudut pandang keamanan, metode hashing paling konservatif dan aman, karena kita paling yakin bahwa komputer kuantum tidak akan mampu menyerang mereka secara efisien. Tetapi performanya juga paling buruk. Misalnya, skema tanda tangan hashing yang distandarisasi oleh NIST, bahkan dengan parameter minimal, memiliki ukuran tanda tangan sekitar 7–8 KB. Sebagai perbandingan, tanda tangan digital berbasis elliptic curve saat ini hanya 64 byte, sekitar 100 kali lebih kecil.
Skema lattice adalah fokus utama dalam implementasi saat ini. Skema yang dipilih oleh NIST dan dua dari tiga algoritma tanda tangan yang dipilih didasarkan pada lattice. Salah satu tanda tangan lattice (ML-DSA, sebelumnya Dilithium) memiliki ukuran tanda tangan sekitar 2,4 KB pada tingkat keamanan 128-bit, dan 4,6 KB pada tingkat keamanan 256-bit — — sekitar 40–70 kali lebih besar dari tanda tangan elliptic curve saat ini. Skema lattice lain, Falcon, memiliki ukuran tanda tangan yang lebih kecil (Falcon-512 sekitar 666 byte, Falcon-1024 sekitar 1,3 KB), tetapi bergantung pada operasi floating point yang kompleks, dan NIST sendiri menandainya sebagai tantangan besar dalam implementasi. Salah satu pengembang Falcon, Thomas Pornin, menyebutnya sebagai “algoritma kriptografi paling kompleks yang pernah saya implementasikan.”
Dalam hal keamanan implementasi, tanda tangan lattice jauh lebih sulit daripada elliptic curve: ML-DSA melibatkan lebih banyak nilai tengah yang sensitif dan logika penolakan sampel yang kompleks, yang semuanya membutuhkan perlindungan terhadap side-channel dan serangan fault injection. Falcon bahkan menambah kompleksitas operasi floating point waktu konstan; beberapa serangan side-channel terhadap implementasi Falcon telah berhasil memulihkan kunci privat.
Risiko yang timbul dari masalah ini sudah ada saat ini, berbeda jauh dari ancaman “komputer kuantum yang memiliki ancaman nyata terhadap kriptografi”.
Berhati-hati terhadap skema kriptografi pasca-kuantum yang lebih performa tinggi sangat masuk akal. Sejarah menunjukkan bahwa skema yang pernah unggul, seperti Rainbow (berbasis MQ) dan SIKE/SIDH (berbasis isogenies), semuanya telah “dihancurkan secara klasik” — — artinya, mereka telah dipecahkan oleh komputer saat ini, bukan oleh komputer kuantum.
Ini terjadi saat proses standarisasi oleh NIST sudah sangat maju. Tentu, ini mencerminkan proses ilmiah yang sehat, tetapi juga menunjukkan bahwa standarisasi dan implementasi terlalu cepat dapat membawa efek sebaliknya.
Seperti yang telah disebutkan, infrastruktur internet secara hati-hati mengadopsi migrasi tanda tangan. Hal ini penting karena migrasi kriptografi di internet biasanya memakan waktu bertahun-tahun. Meskipun fungsi hash seperti MD5 dan SHA-1 secara resmi sudah ditinggalkan oleh standar internet selama bertahun-tahun, proses migrasi mereka sendiri berlangsung bertahun-tahun lagi, dan sampai saat ini masih ada yang belum sepenuhnya dihapus. Algoritma ini sudah diretas sepenuhnya, bukan sekadar “berpotensi diretas di masa depan”.
Perbedaan unik blockchain vs infrastruktur internet
Untungnya, blockchain yang didukung komunitas open-source (seperti Ethereum dan Solana) lebih mudah melakukan upgrade cepat dibandingkan infrastruktur internet tradisional. Di sisi lain, infrastruktur internet mendapatkan manfaat dari rotasi kunci yang sering, yang berarti permukaan serangan berubah lebih cepat daripada kemampuan komputer kuantum untuk mengejar — — sedangkan blockchain tidak memiliki fitur ini karena koin dan kunci mereka bisa tetap terbuka secara tidak terbatas. Secara umum, blockchain harus belajar dari pendekatan hati-hati internet dalam migrasi tanda tangan. Keduanya tidak terpengaruh oleh serangan HNDL terhadap tanda tangan, dan migrasi terlalu cepat ke skema pasca-kuantum yang belum matang tetap berisiko tinggi, tidak bergantung pada panjang siklus hidup kunci.
Selain itu, ada tantangan lain yang membuat migrasi terlalu cepat sangat berbahaya dan kompleks: misalnya, blockchain memiliki kebutuhan unik terhadap skema tanda tangan, khususnya untuk “penggabungan tanda tangan massal secara cepat”. Saat ini, tanda tangan BLS yang efisien untuk penggabungan sangat populer, tetapi mereka tidak aman terhadap kuantum. Peneliti sedang mengeksplorasi skema tanda tangan pasca-kuantum berbasis SNARK. Meskipun kemajuan menjanjikan, mereka masih dalam tahap awal.
Untuk SNARK sendiri, komunitas saat ini fokus pada struktur pasca-kuantum berbasis hash. Tapi, perubahan besar akan datang: saya yakin dalam beberapa bulan dan tahun mendatang, skema lattice akan menjadi alternatif yang sangat menarik. Mereka akan menawarkan performa yang lebih baik di berbagai aspek, seperti panjang bukti yang lebih pendek — — mirip dengan tanda tangan lattice yang lebih ringkas daripada tanda tangan hash.
Masalah yang lebih serius saat ini: keamanan implementasi
Dalam beberapa tahun ke depan, kerentanan implementasi akan jauh lebih nyata dan serius daripada ancaman komputer kuantum yang benar-benar mampu menyerang kriptografi. Untuk zkSNARK, kekhawatiran utama adalah bug.
Kerentanan sudah menjadi tantangan utama dalam algoritma tanda tangan dan enkripsi, dan kompleksitas zkSNARK jauh lebih tinggi. Faktanya, sebuah skema tanda tangan dapat dianggap sebagai zkSNARK yang sangat disederhanakan, yang membuktikan “saya tahu kunci pribadi yang sesuai dengan kunci publik, dan saya mengotorisasi pesan ini.”
Risiko nyata yang mendesak untuk tanda tangan pasca-kuantum saat ini termasuk serangan implementasi, seperti serangan side-channel dan fault injection. Serangan ini sudah terbukti secara empiris dan dapat mengekstrak kunci privat dari sistem nyata. Mereka jauh lebih mendesak daripada ancaman kuantum yang jauh di masa depan.
Komunitas akan terus mengidentifikasi dan memperbaiki kerentanan zkSNARK selama bertahun-tahun ke depan, serta memperkuat implementasi tanda tangan pasca-kuantum terhadap serangan side-channel dan fault injection. Jika migrasi dilakukan terlalu dini saat zkSNARK dan skema penggabungan tanda tangan belum stabil, blockchain berisiko terkunci dalam skema suboptimal — — dan jika skema yang lebih baik muncul atau implementasi saat ini memiliki kerentanan besar, mereka harus migrasi lagi.
Apa yang harus kita lakukan? Tujuh saran
Berdasarkan kondisi nyata yang telah dibahas, saya menawarkan saran berikut kepada berbagai pemangku kepentingan — — dari pengembang hingga pembuat kebijakan. Prinsip utamanya adalah: serius menghadapi ancaman kuantum, tetapi jangan bertindak berdasarkan asumsi bahwa “sebelum 2030 pasti akan muncul komputer kuantum yang mengancam kriptografi”. Kemajuan teknologi saat ini tidak mendukung asumsi tersebut. Namun, kita masih memiliki banyak langkah yang bisa dan harus kita lakukan:
Setidaknya dalam skenario di mana kerahasiaan jangka panjang penting dan biaya performa dapat diterima. Banyak browser, CDN, dan aplikasi pesan (seperti iMessage dan Signal) sudah mengimplementasikan skema campuran. Skema campuran — — pasca-kuantum + klasik — — mampu melindungi dari serangan HNDL sekaligus mengatasi kelemahan potensial dari skema pasca-kuantum.
Pembaruan perangkat lunak/firmware dan skenario lain dengan frekuensi rendah dan toleransi terhadap ukuran tidak kecil harus segera mengadopsi tanda tangan hash campuran. (Campuran ini untuk mengatasi kerentanan implementasi skema baru, bukan karena keraguan terhadap keamanan hash.) Pendekatan konservatif ini memberikan “perahu penyelamat” yang jelas bagi masyarakat, jika komputer kuantum muncul secara mendadak. Jika tidak ada mekanisme pembaruan perangkat lunak yang sudah terpasang untuk tanda tangan pasca-kuantum, maka setelah CRQC muncul, kita akan menghadapi masalah distribusi pembaruan kriptografi yang aman.
Pengembang blockchain harus belajar dari praktik Web PKI dan secara hati-hati mendorong adopsi tanda tangan pasca-kuantum. Ini memberi waktu bagi skema tanda tangan pasca-kuantum untuk matang dari segi performa dan keamanan. Selain itu, memberi waktu bagi pengembang untuk merancang ulang sistem agar mampu menampung tanda tangan yang lebih besar dan mengembangkan teknik penggabungan yang lebih baik. Untuk Bitcoin dan blockchain layer satu lainnya: komunitas perlu merancang jalur migrasi dan kebijakan terkait dana rentan terhadap kuantum dan yang sudah ditinggalkan. Migrasi pasif tidak mungkin dilakukan, jadi perencanaan sangat penting. Tantangan utama Bitcoin bukan hanya dari segi teknologi — — tetapi juga tata kelola yang lambat dan banyaknya alamat rentan yang bernilai tinggi dan berpotensi ditinggalkan, menegaskan perlunya perencanaan awal.
Selain itu, perlu terus mengembangkan penelitian zkSNARK dan tanda tangan yang dapat digabungkan (aggregatable) — — mungkin selama bertahun-tahun. Sekali lagi, migrasi terlalu dini bisa menyebabkan terkunci dalam skema suboptimal, atau harus migrasi lagi jika ditemukan kerentanan implementasi.
Penjelasan tentang model akun Ethereum: Ethereum mendukung dua jenis akun, yang berdampak berbeda terhadap migrasi pasca-kuantum: akun eksternal yang dikendalikan oleh kunci privat secp256k1 (EOAs), dan dompet kontrak pintar dengan logika otorisasi yang dapat diprogram.
Dalam situasi non-darurat, saat Ethereum menambahkan dukungan tanda tangan pasca-kuantum, dompet kontrak pintar yang dapat diupgrade bisa beralih ke verifikasi pasca-kuantum melalui upgrade kontrak — — sedangkan EOA mungkin perlu memindahkan aset ke alamat yang aman terhadap kuantum (meskipun Ethereum juga mungkin menyediakan mekanisme migrasi khusus untuk EOA). Dalam situasi darurat kuantum, para peneliti Ethereum mengusulkan hard fork: membekukan akun rentan, dan pengguna dapat memulihkan aset mereka dengan membuktikan bahwa mereka menguasai seed phrase melalui zkSNARK. Mekanisme ini berlaku untuk EOA dan dompet pintar yang belum diupgrade.
Dampak nyata bagi pengguna adalah: dompet pintar yang telah diaudit dan dapat diupgrade mungkin menawarkan jalur migrasi yang lebih mulus — — tetapi perbedaannya tidak besar, dan bergantung pada kepercayaan terhadap penyedia dompet dan tata kelola upgrade. Lebih penting daripada jenis akun adalah komunitas Ethereum yang terus mendorong primal pasca-kuantum dan rencana darurat.
Inspirasi desain yang lebih luas: banyak blockchain mengikat identitas akun dengan primal kriptografi tertentu — — misalnya Bitcoin dan Ethereum mengikat ke secp256k1, dan blockchain lain mengikat ke EdDSA. Kesulitan migrasi pasca-kuantum menyoroti pentingnya memisahkan identitas akun dari skema tanda tangan tertentu. Evolusi Ethereum ke smart accounts dan tren abstraksi akun di blockchain lain mencerminkan arah ini: memungkinkan upgrade logika otentikasi akun sekaligus mempertahankan riwayat dan status di chain. Ini tidak membuat migrasi pasca-kuantum menjadi mudah, tetapi memberikan fleksibilitas yang jauh lebih baik dibandingkan mengikat akun pada satu skema tanda tangan saja. (Ini juga membuka fitur lain seperti transaksi bayar-untuk, pemulihan sosial, multi-tanda, dan lain-lain.)
Blockchain ini mengenkripsi atau menyembunyikan detail transaksi, sehingga kerahasiaan pengguna saat ini terpapar serangan HNDL — — meskipun tingkat risiko berbeda tergantung desainnya. Blockchain yang hanya mengandalkan buku besar publik berisiko tertinggi, karena data tersebut bisa di-deanonimisasi secara pasca-kejadian jika komputer kuantum mampu memecahkan kriptografi elliptic curve. Mereka bisa mengadopsi skema campuran (pasca-kuantum + klasik) untuk mencegah skema pasca-kuantum sendiri terbukti tidak aman dalam skenario klasik, atau mengubah arsitektur agar rahasia yang bisa didekripsi tidak disimpan di chain.
Terutama untuk zkSNARK dan tanda tangan pasca-kuantum yang kompleks, bug dan serangan implementasi (side-channel, fault injection) akan jauh lebih nyata dan mendesak selama bertahun-tahun ke depan daripada ancaman kuantum. Saat ini, harus dilakukan audit, fuzz testing, verifikasi formal, dan lapisan pertahanan berlapis — — jangan biarkan kekhawatiran terhadap ancaman kuantum mengaburkan ancaman yang lebih mendesak berupa bug dan kerentanan.
Dari sudut pandang keamanan nasional, kita harus terus menginvestasikan dalam riset dan pengembangan komputer kuantum serta pelatihan sumber daya manusia. Jika negara pesaing utama lebih dulu mencapai CRQC, ini akan menimbulkan risiko keamanan nasional yang serius bagi AS dan dunia.
Seiring kematangan hardware kuantum, dalam beberapa tahun ke depan akan muncul banyak berita milestone. Ironisnya, kemunculan berita ini secara berulang adalah bukti bahwa kita masih cukup jauh dari CRQC: setiap milestone hanyalah salah satu dari banyak jembatan menuju tujuan akhir, dan setiap jembatan yang dilalui akan memicu perhatian dan antusiasme media. Kita harus menilai siaran pers sebagai laporan kemajuan yang perlu dikritisi, bukan sebagai sinyal untuk segera bertindak.
Tentu, kemungkinan ada terobosan tak terduga yang mempercepat jadwal, atau hambatan besar yang memperlambatnya.
Yang ingin saya tekankan adalah: saya tidak menganggap bahwa CRQC akan muncul dalam lima tahun ke depan sebagai “mustahil”, tetapi sangat kecil kemungkinannya. Saran-saran di atas dirancang agar tetap kokoh terhadap ketidakpastian ini, dan membantu kita menghindari risiko yang lebih langsung dan nyata: bug, migrasi terburu-buru, dan kesalahan umum dalam proses migrasi kriptografi.