Periode bahaya komputer kuantum: Kapan benar-benar mengancam keamanan kriptografi?

Kapan komputasi kuantum dapat mematahkan enkripsi? Jawaban atas pertanyaan ini sering kali tidak dapat dikenali oleh propaganda dan media perusahaan. Dari presentasi penting oleh perusahaan teknologi hingga perencanaan kebijakan oleh pemerintah, garis waktu untuk ancaman kuantum terus meningkat, menimbulkan seruan mendesak untuk peralihan penuh segera ke kriptografi pasca-kuantum. Tetapi suara-suara ini sering mengabaikan realitas kunci: ancaman kuantum yang dihadapi oleh alat kriptografi yang berbeda sangat berbeda, dan biaya bertindak terlalu dini dapat jauh lebih besar daripada risiko tindakan yang tertunda.

Menurut analisis mendalam oleh mitra penelitian a16z Justin Thaler, kita perlu melihat diskusi “komputer periode bahaya” ini secara rasional - tidak semua alat kriptografi berada dalam periode bahaya mendesak yang sama.

Periode Ancaman Nyata Komputer Kuantum: Kebenaran di Balik Pembongkaran Data

Ada banyak prediksi yang saling bertentangan di pasar mengenai garis waktu komputasi kuantum untuk memecahkan kode. Beberapa perusahaan mengklaim untuk mencapai tujuan ini pada tahun 2030 atau bahkan 2035, tetapi ketika kami menggali detail teknis, kami melihat kesenjangan besar antara komitmen ini dan kemajuan aktual.

Apa yang disebut “komputer kuantum terkait kriptografi” yang dapat memecahkan enkripsi, perlu memenuhi beberapa kondisi yang menuntut: pertama, itu harus menjadi komputer kuantum yang toleran kesalahan yang dapat memperbaiki kesalahan; kedua, harus dapat menjalankan algoritma Shor (yang merupakan kunci untuk memecahkan kata sandi modern); Akhirnya, itu harus cukup besar untuk melanggar standar kriptografi modern seperti sandi kurva elips atau RSA-2048 dalam jangka waktu yang wajar (misalnya, tidak lebih dari sebulan).

Menurut penilaian tonggak teknis yang tersedia untuk umum, komputer semacam itu masih jauh dari cakrawala. Bahkan dalam sistem di mana jumlah qubit telah melebihi 1.000, apa yang kita lihat hanyalah terobosan dalam angka, bukan terobosan dalam kemampuan praktis. Sistem ini umumnya tidak memiliki konektivitas dan kesetiaan yang diperlukan untuk komputasi kriptografi.

Kemacetan inti bukan dalam kuantitas, tetapi dalam kualitas。 Memecahkan kode modern membutuhkan ratusan ribu atau bahkan jutaan qubit fisik, yang hanya merupakan perkiraan awal. Tantangan yang lebih serius adalah konektivitas antara qubit, kesetiaan gerbang, dan koreksi kesalahan yang diperlukan untuk menjalankan algoritme kuantum yang mendalam. Saat ini, bahkan sistem yang paling canggih pun tidak dapat dengan andal menjalankan lebih dari beberapa qubit logis, dan kesenjangan antara ribuan qubit logis fidelitas tinggi dan toleran kesalahan yang diperlukan untuk menjalankan algoritma Shor adalah eksponensial.

Penilaian rasionalSampai jumlah dan kesetiaan qubit meningkat setidaknya 3 hingga 4 urutan besarnya, tidak akan ada “komputer periode berbahaya” yang benar-benar dapat memecahkan kode modern.

Namun, ada lebih dari satu tempat di mana siaran pers perusahaan dan laporan media menciptakan kebingungan:

• Ilusi “keuntungan kuantum”: Sebagian besar demo saat ini adalah tugas yang dirancang dengan baik, bukan aplikasi praktis, karena dapat berjalan pada perangkat keras yang ada dan “muncul” dengan cepat. Ini sering diremehkan atau disembunyikan dalam propaganda.

• Penipuan bilangan qubit fisik: “Ribuan qubit fisik” dalam hype biasanya mengacu pada anil kuantum, bukan komputer kuantum model gerbang yang dapat menjalankan algoritma Shor — dua hal yang sama sekali berbeda.

• Penyalahgunaan “qubit logis”: Beberapa perusahaan mengklaim mencapai 48 qubit logis dengan metode tertentu dengan biaya hanya 2 qubit fisik per qubit logis, yang secara teknis tidak berarti karena kode koreksi kesalahan yang digunakan tidak dapat memperbaiki kesalahan sama sekali, hanya deteksi kesalahan.

• Peta jalan yang menyesatkan: “Qubit logis” yang disebutkan dalam banyak peta jalan hanya mendukung operasi Clifford, yang dapat disimulasikan secara efisien oleh komputer klasik, dan tidak dapat menjalankan algoritma Shor yang membutuhkan sejumlah besar T-gate sama sekali. Jadi bahkan jika peta jalan mengklaim untuk mencapai ribuan qubit logis dalam tahun tertentu, itu tidak berarti mereka berharap untuk memecahkan kode saat itu.

Praktik ini telah secara serius mendistorsi persepsi publik tentang kemajuan komputasi kuantum, bahkan termasuk beberapa pengamat industri senior.

“Curi Sekarang, Dekripsi Masa Depan”: Siapa yang Benar-benar Dalam Bahaya?

Untuk memahami urgensi ancaman kuantum, pertama-tama perlu membedakan antara perbedaan risiko antara dua jenis alat kriptografi:EnkripsiDenganTanda tangan digital。

Serangan “steal now, decrypt later” (HNDL) seperti ini: penyerang menyimpan lalu lintas terenkripsi hari ini dan menunggu komputer kuantum masa depan muncul sebelum mendekripsinya. Kemungkinan musuh nasional sudah mempersiapkan hari ini dengan mengarsipkan sejumlah besar komunikasi terenkripsi dari pemerintah dan bisnis.

Oleh karena itu, enkripsi memang perlu segera ditingkatkan, setidaknya untuk data yang membutuhkan masa kerahasiaan 10 hingga 50 tahun atau lebih. Ini adalah tantangan periode bahaya yang nyata dan tidak dapat dihindari.

Tetapi tanda tangan digital benar-benar berbeda。 Tanda tangan digital tidak memiliki kerahasiaan serangan surut. Bahkan jika komputer kuantum muncul di masa depan, mereka hanya akan dapat memalsukan tanda tangan sejak saat itu, dan tidak akan dapat “mendekripsi” tanda tangan masa lalu seperti mereka akan memecahkan enkripsi. Selama Anda dapat membuktikan bahwa tanda tangan dihasilkan sebelum munculnya komputer kuantum, itu tidak akan pernah dipalsukan.

Perbedaan ini sangat penting karena menentukan urgensi untuk meningkatkan alat yang berbeda.

Platform pada kenyataannya telah bertindak sesuai dengan logika ini:

• Chrome dan Cloudflare menerapkan solusi ML-KEM X25519+ hibrida untuk enkripsi TLS jaringan. “Hibrida” adalah kuncinya – menggunakan keamanan pasca-kuantum dan solusi yang ada untuk mencegah serangan HNDL sambil mempertahankan keamanan klasik jika terjadi masalah dengan skema pasca-kuantum.

• iMessage Apple (protokol PQ3) dan Signal (protokol PQXDH dan SPQR) juga menerapkan enkripsi pasca-kuantum hibrida serupa.

Sebaliknya, penyebaran tanda tangan digital pasca-kuantum pada infrastruktur penting telah tertunda—bukan karena tidak diperlukan, tetapi karena skema tanda tangan pasca-kuantum saat ini memperkenalkan penurunan kinerja dan kompleksitas implementasi yang signifikan.

Krisis Kuantum Blockchain: Ancaman Nyata atau Overhype?

Ini adalah kabar baik untuk cryptocurrency:Sebagian besar blockchain sama sekali tidak rentan terhadap serangan HNDL。

Rantai non-privasi seperti Bitcoin dan Ethereum memiliki kriptografi non-kuantum pasca-kuantum yang terutama digunakan untuk otorisasi transaksi (yaitu, tanda tangan digital) daripada enkripsi. Tanda tangan ini tidak menimbulkan risiko HNDL. Blockchain Bitcoin sepenuhnya publik – setiap transaksi terlihat on-chain. Ancaman kuantum terletak pada pemalsuan tanda tangan (dan karenanya pencurian dana), bukan pada dekripsi data transaksi yang telah dipublikasikan.

Fakta kunci ini telah disalahpahami oleh banyak otoritas. Organisasi seperti Federal Reserve telah secara keliru mengklaim bahwa Bitcoin rentan terhadap serangan HNDL, yang secara kasar melebih-lebihkan urgensi migrasi.

Pengecualian untuk kenyataan adalah rantai privasi。 Banyak rantai privasi mengenkripsi atau menyembunyikan alamat dan jumlah penerima. Informasi rahasia ini dapat dicuri sesekali dan kemudian secara retroaktif dihapus anonim setelah komputer kuantum masa depan memecahkan kode kurva elips. Tanda tangan cincin Monero dan mekanisme pencerminan kunci dapat menghasilkan rekonstruksi lengkap dari grafik transaksi.

Oleh karena itu, jika pengguna rantai privasi khawatir bahwa transaksi mereka tidak terekspos ke komputer kuantum di masa depan, rantai tersebut harus beralih ke primitif pasca-kuantum atau skema hibrida sesegera mungkin, atau mengadopsi arsitektur baru yang tidak menempatkan rahasia yang dapat didekripsi pada rantai sama sekali.

Dilema Bitcoin: Mengapa kita tidak bisa menunggu komputer kuantum muncul?

Bagi Bitcoin, kenyataan situasi ini mendorong perencanaan migrasi pasca-kuantum sekarang, tetapi faktor-faktor ini tidak ada hubungannya dengan teknologi kuantum itu sendiri.

Faktor pertama adalah kecepatan tata kelola。 Bitcoin sangat lambat untuk berubah, dan kontroversi apa pun dapat memicu hard fork yang mengganggu. Kesulitan dalam koordinasi sosial ini sangat mendasar.

Faktor kedua adalah ketidakmungkinan migrasi pasif。 Pemilik koin harus secara aktif memigrasikan koin mereka ke skema tanda tangan baru, yang berarti bahwa koin yang ditinggalkan dan rapuh kuantum tidak dapat dilindungi oleh protokol. Diperkirakan bahwa bitcoin yang “tidur” dan rapuh kuantum seperti itu bisa mencapai jutaan, sekarang bernilai ratusan miliar dolar.

Tapi ini bukan “akhir malam”。 Serangan kuantum awal akan sangat mahal dan lambat, dan penyerang akan secara rasional dan selektif menargetkan dompet bernilai tinggi. Selain itu, pengguna yang menghindari penggunaan kembali alamat dan tidak menggunakan alamat Taproot pada dasarnya aman bahkan tanpa peningkatan protokol - kunci publik mereka disembunyikan di balik hash sampai habis. Kunci publik hanya terekspos ketika transaksi dihabiskan, dan ada perlombaan langsung yang singkat: pengguna jujur mengonfirmasi transaksi secepat mungkin, dan penyerang kuantum mencoba menghitung kunci pribadi sebelum itu.

Kerentanan sebenarnya adalah koin yang kunci publiknya telah terekspos: output P2PK awal, aset yang dipegang oleh alamat multipleks, dan alamat Taproot (yang mengekspos kunci publik langsung on-chain).

Untuk koin rapuh yang ditinggalkan, solusinya rumit: komunitas menyetujui “tenggat waktu” setelah koin yang tidak dimigrasikan dianggap dibakar; atau membiarkannya diambil alih oleh orang-orang yang memiliki komputer kuantum di masa depan. Yang terakhir menimbulkan masalah hukum dan keamanan yang serius.

Bitcoin juga memiliki tantangan unik: throughput transaksi yang rendah. Bahkan jika rencana migrasi diselesaikan, akan memakan waktu berbulan-bulan untuk memindahkan semua dana rentan pada tingkat saat ini.

KesimpulanBitcoin harus mulai merencanakan transisi pasca-kuantum sekarang, bukan karena komputer kuantum dapat muncul sebelum tahun 2030 (yang tidak memiliki dukungan), tetapi karena tata kelola, koordinasi, dan logistik teknis yang diperlukan untuk memigrasikan aset senilai ratusan miliar dolar akan memakan waktu bertahun-tahun. Ancaman kuantum nyata untuk Bitcoin, tetapi tekanan waktu terutama berasal dari kendalanya sendiri, bukan dari komputer periode bahaya yang akan segera terjadi.

Biaya dan risiko migrasi pasca-kuantum: Mengapa Anda tidak bisa terburu-buru

Kriptografi pasca-kuantum terutama didasarkan pada lima jenis masalah matematika: hashing, pengkodean, kisi, persamaan kuadrat multivariat, dan homologi kurva elips. Alasan untuk berbagai skenario adalah bahwa semakin banyak struktur, semakin efisien mereka, tetapi semakin banyak terobosan yang mungkin mereka tinggalkan untuk algoritme serangan, yang merupakan trade-off mendasar.

• Skema hash adalah yang paling konservatif(Yang paling percaya diri dalam keamanan), tetapi kinerja terburuk. Tanda tangan hash minimum yang distandarisasi oleh NIST adalah 7 hingga 8 KB, sedangkan tanda tangan kurva elips saat ini hanya 64 byte, selisih sekitar 100 kali.

• Solusi jaringan telah menjadi fokus penerapan。 Satu-satunya skema enkripsi pasca-kuantum yang dipilih oleh NIST (ML-KEM) dan dua dari tiga tanda tangan (ML-DSA, Falcon) berbasis kisi.

• Tanda tangan ML-DSA berukuran sekitar 2,4 hingga 4,6 KB, yaitu 40 hingga 70 kali lipat dari tanda tangan saat ini.

• Tanda tangan Falcon kecil (0,7 hingga 1,3 KB), tetapi sangat kompleks untuk diterapkan, melibatkan operasi floating-point waktu konstan, dan memiliki kasus serangan saluran samping yang berhasil. Salah satu pendirinya menyebutnya “algoritma kriptografi paling kompleks yang pernah saya terapkan.”

Tantangan keamanan implementasi lebih besar: tanda tangan berbasis grid memiliki perantara yang lebih sensitif dan logika pengambilan sampel penolakan yang kompleks daripada tanda tangan kurva elips, yang membutuhkan perlindungan saluran samping dan injeksi kesalahan yang lebih kuat.

Pelajaran sejarah patut diwaspadai。 Kandidat terkemuka dalam proses standardisasi NIST, seperti Rainbow (tanda tangan berbasis MQ) dan SIKE/SIDH (enkripsi berbasis homolog), telah dilanggar oleh komputer klasik. Ini menggambarkan risiko standarisasi dan penerapan prematur.

Infrastruktur internet telah mengambil pendekatan hati-hati terhadap migrasi tanda tangan, yang sangat patut diperhatikan. Karena transisi kriptografi itu sendiri memakan waktu – migrasi dari MD5/SHA-1 telah berlangsung selama bertahun-tahun dan belum sepenuhnya selesai.

Saran untuk melakukan sekarang

Berdasarkan kenyataan di atas, kita harus mengikuti prinsip-prinsip ini:Anggap serius ancaman kuantum, tetapi jangan berasumsi bahwa komputer periode berbahaya akan muncul sebelum tahun 2030, karena kemajuan yang ada tidak mendukung asumsi ini. Pada saat yang sama, ada beberapa hal yang dapat dan harus kita lakukan sekarang.

01. Segera terapkan enkripsi hibrida

Jika kerahasiaan jangka panjang diperlukan dan biayanya dapat diterima, enkripsi kuantum hibrida harus segera diterapkan. Banyak browser, CDN, dan aplikasi perpesanan (iMessage, Signal) telah mulai diterapkan. Skema hibrida (pasca-kuantum + klasik) tidak hanya melindungi dari serangan HNDL, tetapi juga menghindari potensi kelemahan skema pasca-kuantum.

02. Gunakan tanda tangan hash dalam skenario permisif

Untuk skenario di mana ukuran besar dan frekuensi rendah dapat ditoleransi, seperti pembaruan perangkat lunak/firmware, tanda tangan hash hibrida sekarang tersedia. Ini memberikan “sekoci” konservatif jika komputer kuantum secara tidak sengaja muncul lebih cepat dari jadwal.

03. Blockchain harus segera mulai merencanakan

Meskipun blockchain tidak perlu terburu-buru ke tanda tangan kuantum, perencanaan harus segera dimulai, meniru sikap hati-hati dari komunitas PKI online untuk membuat solusi lebih matang.

04. Tentukan jalur migrasi

Rantai publik seperti Bitcoin perlu menentukan jalur pasca-migrasi kuantum yang jelas dan mengklarifikasi kebijakan untuk dana rentan yang “tidur”. Bitcoin khususnya perlu mulai merencanakan sekarang – tantangan utamanya bukanlah teknis, tetapi tata kelola dan koordinasi sosial.

05. Berikan waktu agar penelitian matang

Izinkan kematangan (mungkin beberapa tahun) untuk SNARK pasca-kuantum dan penelitian tanda tangan agregat untuk menghindari penguncian prematur ke protokol yang tidak optimal.

06. Inspirasi desain akun

Untuk platform seperti Ethereum, dompet kontrak pintar (dapat ditingkatkan) mungkin menawarkan jalur migrasi yang lebih lancar. Namun, abstraksi akun (memisahkan identitas akun dengan skema tanda tangan tertentu) memberikan fleksibilitas yang lebih besar, tidak hanya untuk migrasi pasca-kuantum, tetapi juga untuk transaksi bersponsor, pemulihan sosial, dan fungsi lainnya.

07. Rantai privasi harus diprioritaskan

Kerahasiaan pengguna Privacy Chain terkena serangan HNDL. Rantai tersebut harus memprioritaskan transisi (jika performa dapat diterima), dan mempertimbangkan skenario hibrida atau penyesuaian arsitektur.

08. Prioritas jangka pendek: Terapkan keamanan > ancaman kuantum

Untuk tahun-tahun mendatang, menerapkan kerentanan dan serangan saluran samping akan menjadi ancaman yang lebih nyata daripada komputer kuantum. Berinvestasilah dalam audit, fuzzing, verifikasi formal, dan pertahanan mendalam sekarang, dan jangan biarkan kecemasan kuantum membayangi risiko keamanan yang lebih mendesak.

09. Pendanaan berkelanjutan untuk penelitian dan pengembangan

Dari perspektif keamanan nasional, kita harus terus berinvestasi dalam menumbuhkan bakat. Jika musuh utama adalah yang pertama mendapatkan daya komputasi kuantum terkait kriptografi, itu akan menimbulkan risiko serius.

10. Lihat jurnalisme kuantum secara rasional

Akan ada lebih banyak tonggak sejarah di masa depan. Tetapi setiap tonggak hanyalah bukti seberapa jauh kita dari ancaman nyata. Siaran pers harus dilihat sebagai laporan kemajuan yang memerlukan evaluasi kritis, bukan sebagai sinyal tindakan tergesa-gesa.

Postscript: Temukan keseimbangan sebelum periode berbahaya tiba

Terobosan teknologi dapat dipercepat, dan kemacetan juga dapat memperpanjang prakiraan. Kami tidak menegaskan bahwa itu tidak mungkin dalam lima tahun, tetapi kami pikir itu sangat tidak mungkin, berdasarkan data yang tersedia untuk umum tentang kemajuan teknologi.

Mengikuti rekomendasi ini dapat membantu kami menghindari risiko yang lebih cepat dan mungkin: penerapan kerentanan, penerapan tergesa-gesa, dan kesalahan umum dalam transisi kriptografi. Masalah-masalah ini tidak akan muncul di masa depan yang jauh, tetapi mungkin telah menyebabkan kerugian kita di tahun-tahun sebelum komputer benar-benar mengancam kita selama periode berbahaya.