Perspektif seorang insinyur kriptografi tentang lini masa komputasi kuantum

 (words.filippo.io)
6 poin oleh GN⁺ 2026-04-07 | 1 komentar | Bagikan ke WhatsApp
  • Hasil riset terbaru menunjukkan kemungkinan kemunculan komputer kuantum yang bermakna secara kriptografis (CRQC) maju menjadi dalam hitungan beberapa tahun, sehingga urgensi penerapan kriptografi tahan-kuantum (PQC) meningkat tajam
  • Riset dari Google dan Oratomic menunjukkan berkurangnya sumber daya yang dibutuhkan untuk menyerang kurva eliptik 256-bit, menegaskan tren peningkatan cepat pada efisiensi perangkat keras dan algoritme
  • Para pakar mengajukan 2029 sebagai tenggat migrasi PQC, dan memperingatkan bahwa saat ini kita telah memasuki “tahap ancaman yang tak bisa disangkal”
  • Sebagai langkah respons, diajukan adopsi segera ML-DSA dan ML-KEM, penghapusan bertahap sistem non-PQ, dan pengecualian autentikasi hibrida
  • Kesimpulannya, CRQC bukan lagi sekadar asumsi melainkan risiko nyata, dan transisi penuh ke PQC sebelum 2029 adalah keharusan

Perspektif seorang insinyur kriptografi tentang lini masa komputasi kuantum

  • Belakangan ini, urgensi penerapan kriptografi tahan-kuantum (PQC) meningkat tajam
    • Sampai beberapa bulan lalu masih dianggap ada cukup waktu, tetapi hasil riset terbaru membuat situasinya berubah drastis
    • Muncul sinyal bahwa kemungkinan hadirnya komputer kuantum yang bermakna secara kriptografis (CRQC) maju menjadi dalam hitungan beberapa tahun

Dua hasil riset yang baru dipublikasikan

  • Tim riset Google menerbitkan makalah yang secara signifikan mengurangi jumlah qubit logis dan gerbang yang dibutuhkan untuk memecahkan kurva eliptik 256-bit (NIST P-256, secp256k1, dll.)
    • Untuk arsitektur clock cepat berbasis qubit superkonduktor, mereka menyajikan perhitungan bahwa serangan bisa dilakukan dalam hitungan menit
    • Makalah itu ditulis dalam konteks mata uang kripto, tetapi pada praktiknya punya implikasi yang lebih serius bagi serangan man-in-the-middle WebPKI
  • Tim riset Oratomic memaparkan skenario memecahkan kurva eliptik 256-bit hanya dengan 10 ribu qubit fisik pada sistem atom netral dengan konektivitas non-lokal (non-local connectivity)
    • Meski lebih lambat, jika kunci bisa dipecahkan bahkan hanya sebulan sekali pun, akibatnya bisa fatal
  • Kedua riset sama-sama menunjukkan tren umum berupa peningkatan performa perangkat keras, perbaikan efisiensi algoritme, dan penurunan kebutuhan koreksi kesalahan

Peringatan para pakar dan perubahan garis waktu

  • Heather Adkins dan Sophie Schmieg dari Google mengatakan bahwa “batas kuantum jauh lebih dekat dari perkiraan” dan mengajukan 2029 sebagai tenggat akhir migrasi
    • Itu berarti hanya tersisa 33 bulan, jadwal paling agresif yang pernah diajukan sejauh ini
    Iklan
  • Scott Aaronson membandingkannya dengan “masa ketika riset fisi dihentikan secara terbuka pada 1939~1940”, dan memperingatkan kemungkinan adanya kemajuan radikal yang tidak dipublikasikan
  • Jadwal yang diajukan di RWPQC 2026 pun menjadi usang hanya dalam beberapa minggu, dan candaan “komputer kuantum selalu 10 tahun lagi” tidak lagi berlaku
  • Pesan bersama para pakar adalah bahwa “sekarang kita berada pada tahap ancaman yang tak bisa disangkal

Pengakuan risiko dan perlunya respons

  • Pertanyaan kuncinya bukan “apakah CRQC mungkin ada pada 2030?”, melainkan “apakah kita yakin CRQC tidak akan ada pada 2030?
    • Dari sudut pandang pihak yang bertanggung jawab atas keamanan pengguna, kemungkinan di bawah 1% pun tidak bisa diabaikan
  • Skeptisisme bahwa “masih lama” dianggap sebagai tanda kurangnya pemahaman profesional
    • Scott Aaronson mengibaratkan bahwa setelah memahami toleransi kesalahan kuantum, bertanya “kapan bisa memfaktorkan 35?” itu seperti bertanya kepada fisikawan Proyek Manhattan pada 1943 “kapan bisa membuat ledakan nuklir kecil?”
  • Prediksi bisa saja keliru, tetapi kemungkinan benar kini lebih penting daripada kemungkinan salah, dan tingkat risiko saat ini tidak dapat diterima

Apa yang harus dilakukan sekarang

  • Diperlukan implementasi segera (Ship Now)
    • Meski belum sempurna, PQC yang tersedia saat ini harus segera diadopsi
    • Tanda tangan ML-DSA perlu diterapkan menggantikan ECDSA, dan Merkle Tree Certificates untuk WebPKI sudah cukup jauh perkembangannya
  • Sebelumnya dianggap masih ada waktu untuk “menyesuaikan protokol dengan ukuran tanda tangan”, tetapi dengan batas waktu 2029, kelonggaran itu tidak ada lagi

Transisi pertukaran kunci dan sistem autentikasi

  • Pertukaran kunci PQ berbasis ML-KEM berjalan cukup baik, tetapi langkah berikut perlu dilakukan
    1. Pertukaran kunci non-PQ harus segera diperlakukan sebagai risiko serangan aktif, dan pengguna perlu diperingatkan seperti yang dilakukan OpenSSH
    2. Pertukaran kunci non-interaktif (NIKE) untuk sementara harus ditinggalkan, dan hanya metode autentikasi satu arah berbasis KEM yang bisa digunakan
    Iklan

  • Penerapan skema kripto non-PQ baru harus dilarang

    • ECDSA, pairing, kriptografi berbasis identitas, dan sejenisnya tidak lagi praktis
    • Autentikasi hibrida (klasik+PQ) tidak diperlukan, dan perlu beralih ke ML-DSA-44 murni
    • Tanda tangan hibrida hanyalah penambah kompleksitas dan pemborosan waktu, karena kemungkinan munculnya CRQC lebih tinggi daripada kemungkinan ML-DSA dipatahkan secara klasik
    • Namun, pada protokol yang sudah mendukung struktur multi-tanda tangan, tanda tangan hibrida sederhana model “2-of-2” masih bisa menjadi pengecualian

Kriptografi simetris dan algoritme Grover

  • Kriptografi simetris tidak perlu diubah

    • Karena penyederhanaan berlebihan tentang algoritme Grover, ada salah paham bahwa “kunci 256-bit diperlukan”
    • Faktanya, kunci 128-bit sudah cukup, dan percepatan kuantum dari Grover tidak bisa diparalelkan
    • Tuntutan 256-bit yang tidak perlu berisiko menghambat interoperabilitas dan menunda transisi PQC

Dampak pada ekosistem perangkat lunak dan perangkat keras

  • Lebih dari setengah pustaka standar Go berpotensi segera menjadi tidak aman
    • Menyeimbangkan antara serangan downgrade dan kompatibilitas mundur menjadi tantangan baru
    • Kekacauan yang ditimbulkan diperkirakan jauh lebih besar daripada transisi SHA-1 → SHA-256

  • TEE (lingkungan eksekusi tepercaya)— seperti Intel SGX, AMD SEV-SNP, dll. — tidak bisa lagi dipercaya karena tidak mendukung kunci PQ

    • Karena keterbatasan kecepatan di tingkat perangkat keras, transisi PQ tidak mungkin dilakukan, sehingga perlu diturunkan menjadi sekadar lapisan “defense in depth”
Iklan

Ekosistem berbasis kriptografi dan enkripsi file

  • Sistem identitas berbasis kriptografi** (misalnya atproto, mata uang kripto, dll.) **perlu segera memulai migrasi

    • Jika tidak selesai sebelum CRQC muncul, akan timbul situasi di mana harus memilih antara mengorbankan pengguna atau menonaktifkan akun
    • Enkripsi file sangat rentan terhadap serangan “simpan sekarang-dekripsi nanti (store-now-decrypt-later)”
    • Untuk tipe penerima age non-PQ, akan ditambahkan fitur peringatan dan pemblokiran
    • Penerima PQ pertama kali diperkenalkan pada age versi 1.3.0

Pendidikan dan pergantian generasi

  • Dalam kuliah program doktor kriptografi di Universitas Bologna, RSA, ECDSA, dan ECDH hanya dibahas sebagai algoritme legacy
    • Para mahasiswa kemungkinan akan mengenalnya sebagai “teknologi masa lalu” dalam karier nyata mereka
    • Ini melambangkan bahwa transisi PQC adalah titik balik antargenerasi

Dukungan dan pemeliharaan open source

  • Geomys adalah organisasi pemeliharaan khusus untuk ekosistem Go, yang beroperasi dengan dukungan dari Ava Labs, Teleport, Tailscale, dan Sentry
    • Mereka mendukung keberlanjutan pemeliharaan dan jaminan keamanan protokol kriptografi open source
    • Teleport menekankan penguatan kontrol akses untuk mencegah pengambilalihan akun dan phishing, sementara Ava Labs menekankan keandalan jangka panjang protokol kriptografi blockchain

Kesimpulan

  • Kemungkinan kemunculan CRQC bukan lagi sekadar asumsi, melainkan risiko nyata
  • Transisi penuh ke PQC sebelum 2029 adalah keharusan
  • ML-KEM dan ML-DSA harus segera diterapkan, dan sistem non-PQ harus dihapus secara bertahap
  • Praktisi kriptografi maupun para pengambil keputusan harus mulai bertindak sekarang

Bacaan terkait

1 komentar

 
GN⁺ 2026-04-07
Opini Hacker News

  • Jika waktu praktisnya komputer kuantum sudah dekat, FIPS 203 (ML-KEM) harus diprioritaskan untuk pertukaran kunci sesi pada protokol seperti TLS atau SSH
    ML-KEM akan menggantikan Diffie-Hellman yang ada saat ini (klasik maupun kurva eliptik)
    Jika ini tidak digunakan, penyerang bisa menyimpan data sekarang lalu mendekripsinya nanti
    Sebaliknya, sertifikat atau tanda tangan digital tidak bisa dipalsukan secara retroaktif, sehingga urgensinya lebih rendah
    Namun, untuk kasus seperti dokumen digital yang memiliki kekuatan hukum, tetap dibutuhkan skema tanda tangan yang aman di masa depan
    Library utama seperti OpenSSH dan OpenSSL sudah mendukung ML-KEM, jadi ini relatif mudah diterapkan setidaknya pada tingkat server pribadi tanpa mengubah sistem otentikasi

    • Sampai tahun lalu saya juga berada di posisi yang sama, dan itu adalah konsensus umum di industri
      Namun jadwalnya bisa maju dari 2035 menjadi 2029, jadi sekarang sudah waktunya menjalankan migrasi sistem otentikasi secara bersamaan
      Penerapan ML-KEM sudah berjalan cukup baik, tetapi kini pertukaran kunci non-kuantum juga harus dianggap sebagai risiko potensial
      Artinya, jika ada data yang disimpan lebih dari 3 tahun, itu harus diperlakukan pada level peringatan
    • Yang penting, Diffie-Hellman yang ada jangan diganti sepenuhnya, tetapi dijalankan bersama dalam pertukaran kunci hibrida
      Dengan begitu, penyerang harus memecahkan kriptografi klasik dan kriptografi tahan-kuantum sekaligus
      ML-KEM juga algoritma baru dan tetap berisiko punya kelemahan, jadi pendekatan hibrida adalah pertahanan yang realistis
      Pakar seperti Dan Bernstein (djb) juga menekankan bahwa memilih non-hibrida adalah pilihan yang tidak bertanggung jawab
    • Dokumen hukum dan cap waktu kriptografis pada praktiknya memang sudah ditandatangani dengan basis RSA atau EC
      Dalam kasus seperti ini, perlu beralih ke tanda tangan tahan-kuantum untuk mencegah pemalsuan di masa depan

  • Diskusi ini terasa nonlinier
    Dalam kasus RSA, tingkat kesulitan meningkat bertahap dari 8-bit, 64-bit, ke 256-bit, tetapi komputer kuantum selama 10 tahun terakhir tidak menunjukkan kemajuan terhadap RSA maupun EC
    Lalu tiba-tiba dikatakan bahwa dalam beberapa tahun semua kriptografi kunci publik bisa dipecahkan, dan itu terasa janggal
    Secara realistis, sulit mengambil kesimpulan tergesa-gesa sebelum melihat RSA-256 pun berhasil dipecahkan di laboratorium

    • Jika melihat tulisan Bas Westerbaan dan komentar Scott Aaronson, inti persoalannya adalah error correction
      Begitu itu memungkinkan, loncatan dari RSA 32-bit ke RSA 2048-bit bukan perbedaan besar
      Ini seperti ketika reaksi berantai nuklir sudah bisa berjalan mandiri, memperbesar ukuran bom bukan lagi hal yang sulit
      Karena alasan inilah para pakar mengatakan timeline-nya cepat
    • Dalam 10 tahun terakhir, akurasi gerbang dan jumlah qubit benar-benar meningkat puluhan kali lipat, dan efisiensi error correction juga membaik tajam
      Kemajuan di bidang ini dalam 4 tahun terakhir memang eksplosif
    • Inti tulisan ini adalah bahwa pertukaran kunci publik berisiko, bukan bahwa enkripsi simetris setelahnya ikut berisiko
    • Sebagai referensi, sampai sekarang bilangan terbesar yang pernah difaktorkan dengan komputer kuantum adalah 21

  • Menurut saya ini tulisan yang bagus
    Menarik bahwa standardisasi penerima hibrida HPKE memakan waktu sampai 2 tahun karena keterlambatan CFRG
    IETF perlu meninjau ulang masalah proses seperti ini secara internal

    • Saya rasa logika anti-hibrida yang diajukan dalam tulisan itu keliru
      Bahkan jika CRQC sudah ada sekarang, algoritma hibrida tetap menaikkan biaya serangan setidaknya ke level $1 juta
      Mengingat ada kandidat tahap 3 PQC yang bahkan bisa dipatahkan dengan laptop, ini jelas jauh lebih baik
    • Sayang saya tidak melihat Anda di rapat CRFG terakhir

  • Tulisan ini membuat saya sedikit mengubah posisi dari “komputer kuantum masih lama dan RSA aman”
    Terima kasih karena sudah menjelaskan risikonya secara realistis sehingga orang yang skeptis pun bisa memahaminya

    • Ucapan Scott Aaronson sangat membekas
      Analogi bahwa “kalau Anda memahami toleransi kesalahan kuantum, bertanya ‘kapan Anda akan memfaktorkan 35?’ itu seperti bertanya kepada ilmuwan Proyek Manhattan pada 1943 ‘kapan Anda akan membuat ledakan nuklir kecil?’” benar-benar mengubah cara pandang saya

  • Argumen untuk menghilangkan kunci hibrida itu berbahaya
    Algoritma-algoritma baru ini masih kurang teruji di dunia nyata, jadi satu cacat sederhana saja bisa menimbulkan kerusakan besar-besaran

  • Komputasi kuantum juga bisa dipakai untuk mempercepat pelatihan LLM, jadi wajar jika Google berinvestasi di sini
    Google dan SoftBank tahun lalu menginvestasikan $230 juta, dan Microsoft·IBM·Google telah menghabiskan total $15 miliar selama 20 tahun terakhir
    Namun jika dibandingkan dengan investasi tahunan pusat data Google yang mencapai $150 miliar, ini juga bisa menjadi sinyal bahwa pemanfaatan praktisnya masih jauh

  • Sangat mungkin pemerintah sedang mengembangkan superkomputer untuk memecahkan kriptografi
    Seperti Proyek Manhattan, prinsip dasarnya sudah diketahui dan yang tersisa tinggal masalah rekayasa
    Pemerintah pandai mengumpulkan uang, jadi sangat mungkin ini memang sedang dijalankan

    • Saat itu bom uranium (Little Boy) memiliki struktur yang cukup sederhana sampai-sampai orang yakin akan berhasil tanpa uji coba
      Sebaliknya, bom plutonium (Fat Man) jauh lebih kompleks tetapi lebih efisien, dan menjadi dasar teknologi rudal nuklir
      Desain Little Boy dan Fat Man tetap menarik bahkan dilihat sekarang
    • Komputer kuantum itu seperti zero-day pamungkas
      Teknologi yang tidak dipakai sekarang, tetapi disimpan untuk momen yang menentukan
    • Sulit percaya bahwa pemerintah tidak diam-diam mengembangkan teknologi ini
      Misalnya, sudah ada contoh seperti XKeyscore
    • Namun Proyek Manhattan adalah proyek industri raksasa yang melibatkan proporsi besar dari populasi Amerika Serikat
      Mobilisasi sebesar itu mungkin tidak akan terlihat lagi

  • Membaca tulisan ini membuat saya kembali merasakan pentingnya enkripsi simetris
    Sampai PQE benar-benar mapan, beberapa sistem penting bisa dilengkapi dengan kriptografi simetris berbasis pre-shared key (PSK)
    Misalnya, jika VPN WireGuard dijalankan dengan PSK, kunci memang harus didistribusikan secara manual, tetapi trafik yang dikumpulkan menjadi tidak berarti
    Pendekatan seperti ini memang tidak skalabel, tetapi bisa menjadi lapisan keamanan realistis yang bisa diterapkan segera
    Pada akhirnya PQE memang yang terbaik, tetapi karena matematika dan sistem barunya masih belum terlalu teruji, perlu ada kesiapan paralel

  • Saya tidak paham kenapa penulis begitu ngotot pada AES-128
    AES-256 hampir tidak punya selisih biaya, dan juga lebih aman terhadap serangan store-now-decrypt-later
    Standar industri merekomendasikan kunci 256-bit, jadi tinggal ikuti saja
    Alat seperti Age juga seharusnya memakai kunci file 256-bit secara default

    • Tetapi NIST dan BSI secara eksplisit menyatakan bahwa AES-128, 196, dan 256 semuanya aman bahkan setelah era kuantum
      Bahwa AES-128 sudah cukup adalah konsensus umum di industri
      Tidak ada skenario di mana CRQC menjadi ancaman bagi kriptografi simetris
    • Penulis juga dengan jelas mengatakan bahwa AES-128 tidak berisiko untuk saat ini
      Jika dipaksa migrasi ke 256, itu justru bisa mengalihkan perhatian dari pekerjaan migrasi yang benar-benar penting

  • Komputasi kuantum tampak seperti menghasilkan efek lebih cepat dari cahaya karena bertumpu pada entanglement, tetapi pada kenyataannya tidak melanggar hukum fisika
    Jadi ini lebih tepat dilihat bukan sebagai fantasi, melainkan sebagai tantangan rekayasa yang sangat sulit