量子 komputer kapan dapat menembus teknologi enkripsi yang ada? a16z mitra riset mendalam menganalisis garis waktu ancaman kuantum yang sebenarnya, menjernihkan risiko berbeda yang dihadapi enkripsi dan tanda tangan digital, serta mengajukan tujuh saran utama untuk industri blockchain. Artikel ini berasal dari laporan penelitian Justin Thaler / a16z, disusun dan disunting oleh Dongqu.
（Prakata: Ahli fisika: Dalam lima tahun lagi, komputer kuantum bisa menembus kunci privat Bitcoin, ingin upgrade BTC harus berhenti total?）
（Tambahan latar belakang: Bitcoin akan diretas sebelum 2030? Google Willow “Quantum Echo” memicu debat para ahli: sebagian besar kunci publik sudah terungkap）

Daftar isi artikel

• Garis waktu: Seberapa jauh komputer kuantum dari mampu menembus teknologi enkripsi?
• Serangan “Pencurian Sekarang, Dekripsi di Masa Depan”: Untuk siapa cocok? Untuk siapa tidak?
• Apa arti ini bagi blockchain?
• Masalah khusus Bitcoin: Kebuntuan tata kelola dan “Koin Tidur”
• Biaya dan risiko tanda tangan pasca-kuantum
• Tantangan unik blockchain vs. infrastruktur internet
• Bagaimana kita harus menanggapi? Tujuh saran utama

Seberapa jauh kita dari munculnya komputer kuantum yang mampu menembus Bitcoin?

Kapan komputer kuantum bisa memecahkan kriptografi saat ini? Garis waktu pertanyaan ini sering kali dilebih-lebihkan, memicu seruan untuk “beralih mendesak dan total ke kriptografi pasca-kuantum.”

Namun, seruan ini sering mengabaikan biaya dan risiko dari beralih terlalu dini, serta tidak memahami bahwa ancaman terhadap berbagai alat kriptografi berbeda secara fundamental:

• Enkripsi pasca-kuantum harus segera diterapkan, berapapun biayanya. Karena serangan “Pencurian Sekarang, Dekripsi di Masa Depan” (HNDL) sudah ada. Data sensitif yang dienkripsi hari ini, meskipun komputer kuantum baru muncul puluhan tahun lagi, tetap bernilai tinggi. Enkripsi pasca-kuantum mungkin mengurangi performa dan menimbulkan risiko implementasi, tapi untuk data yang harus dirahasiakan jangka panjang, kita tidak punya pilihan lain.
• Tanda tangan digital pasca-kuantum adalah hal berbeda. Mereka kurang rentan terhadap serangan “pencurian, penyimpanan, dan dekripsi” tersebut, dan biaya serta risiko (peningkatan ukuran, beban performa, solusi yang belum matang, potensi celah keamanan) menuntut perencanaan hati-hati, bukan tindakan segera.

Memahami perbedaan ini sangat penting. Kesalahan persepsi dapat menyesatkan analisis biaya-manfaat, menyebabkan tim mengabaikan risiko keamanan yang lebih mendesak, seperti celah kode.

Keberhasilan transisi ke kriptografi pasca-kuantum yang sebenarnya terletak pada menyamakan tingkat urgensi tindakan dengan ancaman nyata. Artikel ini akan mengklarifikasi kesalahpahaman umum tentang ancaman kuantum terhadap kriptografi, mencakup enkripsi, tanda tangan, dan bukti nol pengetahuan, serta fokus khusus pada implikasinya bagi blockchain.

Garis waktu: Seberapa jauh komputer kuantum dari mampu menembus teknologi enkripsi?

Meskipun berbagai promosi berlebihan terus berlangsung, kemungkinan munculnya “komputer kuantum terkait kriptografi” pada tahun 20-an abad ini sangat kecil.

Yang dimaksud “komputer kuantum terkait kriptografi” adalah komputer kuantum dengan toleransi kesalahan dan koreksi kesalahan yang mampu menjalankan algoritma Shor, dan cukup besar untuk menembus enkripsi kurva elips (misalnya secp256k1) atau RSA (misalnya RSA-2048) dalam waktu yang wajar (misalnya tidak lebih dari satu bulan perhitungan terus-menerus).

Berdasarkan tonggak teknologi yang diketahui dan penilaian sumber daya, kita masih sangat jauh dari komputer seperti itu. Meski ada perusahaan yang mengklaim akan tercapai sebelum 2030 atau 2035, kemajuan saat ini tidak mendukung klaim tersebut.

Saat ini, baik sistem ion trap, qubit superkonduktor, maupun sistem atom netral, belum ada platform kuantum yang mendekati jumlah ratusan ribu hingga jutaan qubit fisik yang diperlukan untuk memecahkan RSA-2048 atau secp256k1 (jumlah pasti tergantung tingkat kesalahan dan skema koreksi kesalahan).

Batasan utama bukan hanya jumlah qubit, tetapi juga fidelitas gerbang, konektivitas antar qubit, dan kedalaman sirkuit koreksi kesalahan yang diperlukan untuk menjalankan algoritma kuantum yang kompleks. Beberapa sistem saat ini memiliki lebih dari 1000 qubit fisik, tetapi angka ini menyesatkan: mereka kekurangan konektivitas dan fidelitas yang diperlukan untuk operasi kriptografi.

Meskipun sistem terbaru secara bertahap mendekati ambang batas kesalahan fisik untuk koreksi kuantum, belum ada yang mampu secara stabil menjalankan lebih dari beberapa qubit logika, apalagi ribuan qubit logika yang diperlukan untuk menjalankan algoritma Shor dengan tingkat keandalan tinggi dan sirkuit dalam.

Dari verifikasi prinsip hingga skala yang diperlukan untuk analisis kriptografi, jaraknya masih jauh.

Singkatnya: sebelum jumlah dan fidelitas qubit meningkat beberapa tingkat, komputer kuantum terkait kriptografi tetap jauh dari jangkauan.

Namun, siaran pers perusahaan dan laporan media sering membingungkan. Poin utama yang menimbulkan kekeliruan meliputi:

2. Demonstrasi “Keunggulan Kuantum”: Saat ini, banyak demonstrasi hanya dirancang secara khusus, bukan menunjukkan kemampuan nyata, melainkan karena mereka bisa dijalankan di hardware yang ada dan tampak cepat. Hal ini sering kali dilebih-lebihkan dalam promosi.
3. Promosi “Ribuan qubit fisik”: Biasanya merujuk pada mesin kuantum annealing, bukan komputer kuantum gate model yang mampu menjalankan algoritma Shor untuk menyerang kunci publik.
4. Penyalahgunaan istilah “qubit logika”: Qubit fisik berisik, dan algoritma praktis membutuhkan banyak qubit fisik yang dikoreksi menjadi “qubit logika”. Menjalankan algoritma Shor membutuhkan ribuan qubit logika, yang masing-masing biasanya terdiri dari ratusan hingga ribuan qubit fisik. Beberapa perusahaan berlebihan, misalnya mengklaim menggunakan kode koreksi kesalahan “jarak -2” (hanya mampu mendeteksi, bukan mengoreksi) untuk merealisasikan 48 qubit logika dari 2 qubit fisik per logika, yang tidak berarti apa-apa.
5. Kesalahan dalam peta jalan: Banyak peta jalan hanya mendukung “qubit logika” yang mampu melakukan operasi Clifford, yang dapat dengan efisien disimulasikan secara klasik dan tidak cukup untuk menjalankan algoritma Shor yang membutuhkan banyak “gerbang non-Clifford” (seperti gerbang T). Jadi, meskipun ada klaim “mencapai ribuan qubit logika pada X tahun”, itu tidak berarti mereka mampu memecahkan kriptografi klasik saat itu.

Praktik ini secara serius menyesatkan persepsi publik (termasuk pengamat berpengalaman) tentang kemajuan kuantum.

Tentu, kemajuan ini menarik. Misalnya, Scott Aaronson baru-baru ini menulis bahwa, mengingat “kecepatan perkembangan hardware yang luar biasa”, dia percaya “sebelum pemilihan presiden AS berikutnya, kita akan memiliki komputer kuantum toleran yang mampu menjalankan algoritma Shor, itu adalah kemungkinan nyata”. Tapi dia kemudian mengklarifikasi bahwa ini bukan komputer kuantum terkait kriptografi—bahkan untuk faktorisasi 15=3×5 secara manual lebih cepat—dan itu hanya pencapaian skala kecil. Eksperimen semacam ini biasanya menargetkan angka 15 karena perhitungan mod 15 sangat sederhana, sedangkan angka yang lebih besar (misalnya 21) jauh lebih sulit.

Kesimpulan utama: Tidak ada kemajuan yang didukung secara publik untuk munculnya komputer kuantum terkait kriptografi yang mampu memecahkan RSA-2048 atau secp256k1 dalam 5 tahun ke depan—yang sangat penting secara praktis—bahkan dalam 10 tahun pun masih ambisius.

Oleh karena itu, antusiasme terhadap kemajuan dan garis waktu “masih butuh sepuluh tahun” tidak saling bertentangan.

Lalu, bagaimana dengan penetapan pemerintah AS bahwa tahun 2035 adalah batas akhir transisi penuh sistem pemerintah ke teknologi pasca-kuantum? Saya anggap ini sebagai rencana waktu yang masuk akal untuk transisi besar-besaran, tetapi bukan prediksi bahwa komputer kuantum terkait kriptografi pasti akan muncul saat itu.

Serangan “Pencurian Sekarang, Dekripsi di Masa Depan”: Untuk siapa cocok? Untuk siapa tidak?

Serangan “Pencurian Sekarang, Dekripsi di Masa Depan” berarti penyerang menyimpan lalu lintas terenkripsi saat ini dan menunggu munculnya komputer kuantum terkait kriptografi untuk mendekripsi nanti. Negara-negara besar kemungkinan sudah mengarsipkan komunikasi terenkripsi dari pemerintah AS untuk didekripsi di masa depan.

Oleh karena itu, enkripsi harus segera ditingkatkan, setidaknya untuk data yang harus dirahasiakan selama 10-50 tahun ke depan.

Namun, tanda tangan digital (fondasi semua blockchain) berbeda: mereka tidak memerlukan kerahasiaan yang bisa dilacak kembali. Bahkan jika komputer kuantum muncul di masa depan, mereka hanya bisa memalsukan tanda tangan dari saat itu, bukan mendekripsi tanda tangan masa lalu. Selama Anda dapat membuktikan tanda tangan dibuat sebelum munculnya komputer kuantum, tanda tangan itu tidak bisa dipalsukan.

Ini membuat transisi ke tanda tangan digital pasca-kuantum jauh kurang mendesak dibandingkan enkripsi.

Platform utama sudah melakukan hal ini:

• Chrome dan Cloudflare telah mengimplementasikan skema hybrid X25519+ML-KEM untuk enkripsi TLS. “Hybrid” berarti menggunakan kedua solusi—pasca-kuantum (ML-KEM) dan konvensional (X25519)—secara bersamaan, menggabungkan keamanan keduanya, melindungi dari serangan HNDL dan tetap aman secara klasik jika skema pasca-kuantum bermasalah.
• Apple dengan iMessage (protokol PQ3) dan Signal (protokol PQXDH dan SPQR) juga mengadopsi enkripsi hybrid pasca-kuantum serupa.

Sebaliknya, penerapan tanda tangan digital pasca-kuantum di infrastruktur jaringan kritis ditunda sampai komputer kuantum terkait kriptografi benar-benar mendekat. Karena skema tanda tangan pasca-kuantum saat ini cenderung menurunkan performa (dijelaskan lebih lanjut di bawah).

Bukti nol pengetahuan (zkSNARKs) memiliki posisi serupa. Bahkan zkSNARK yang tidak pasca-kuantum aman secara kuantum (menggunakan elliptic curve), karena sifat “nol pengetahuan” itu sendiri yang memastikan bahwa bukti tidak mengungkapkan informasi rahasia apa pun (kuantum pun tidak mampu). Oleh karena itu, zkSNARKs tidak rentan terhadap serangan HNDL. Bukti zkSNARK yang dibuat sebelum munculnya komputer kuantum tetap dapat dipercaya (meskipun menggunakan elliptic curve), dan setelah munculnya komputer kuantum, penyerang bisa memalsukan bukti palsu.

Apa arti ini bagi blockchain?

Kebanyakan blockchain tidak mudah diserang HNDL.

Seperti Bitcoin dan Ethereum saat ini yang tidak bersifat privasi, enkripsi pasca-kuantum utama mereka adalah untuk otorisasi transaksi (tanda tangan digital), bukan untuk enkripsi. Tanda tangan ini tidak menimbulkan risiko HNDL. Contohnya, blockchain Bitcoin bersifat publik, ancaman kuantum terkait dengan pemalsuan tanda tangan (pencurian dana), bukan dekripsi data transaksi yang sudah terbuka. Ini menghilangkan urgensi kriptografi terkait HNDL secara langsung.

Sayangnya, bahkan analisis dari lembaga seperti Federal Reserve pernah keliru menyatakan Bitcoin rentan terhadap serangan HNDL, yang berlebihan.

Tentu, penurunan urgensi ini tidak berarti Bitcoin aman sepenuhnya. Ia menghadapi tantangan berbeda terkait proses perubahan protokol yang membutuhkan koordinasi sosial besar (dibahas di bawah).

Saat ini, satu-satunya pengecualian adalah blockchain privasi. Banyak blockchain privasi mengenkripsi penerima dan jumlah dana. Informasi rahasia ini bisa diserang sekarang dan diungkapkan di masa depan setelah komputer kuantum memecahkan enkripsi elliptic curve. Bahaya serangan ini bervariasi tergantung desainnya (misalnya, tanda tangan ring Monero dan pencitraan kunci bisa memungkinkan rekonstruksi lengkap grafik transaksi). Jadi, jika pengguna peduli agar transaksi mereka tidak terungkap di masa depan kuantum, mereka harus segera beralih ke primitive pasca-kuantum (atau skema hybrid), atau menggunakan arsitektur yang tidak menyimpan rahasia yang bisa didekripsi di blockchain.

Masalah khusus Bitcoin: Kebuntuan tata kelola dan “Koin Tidur”

Dua faktor nyata mendorong perlunya segera merencanakan tanda tangan pasca-kuantum di Bitcoin, dan keduanya tidak terkait langsung dengan teknologi kuantum:

• Kecepatan tata kelola yang lambat: proses perubahan Bitcoin sangat lambat, setiap kontroversi bisa memicu hard fork yang merusak.
• Tidak bisa migrasi pasif: pemilik harus secara aktif memindahkan aset mereka. Artinya, koin yang tertinggal dan rentan terhadap serangan kuantum tidak akan terlindungi. Diperkirakan, ada jutaan BTC “koin tidur” yang rentan terhadap kuantum, bernilai miliaran dolar saat ini.

Namun, ancaman kuantum terhadap Bitcoin bukan “bencana dalam semalam”, melainkan proses bertahap dan selektif. Serangan kuantum awal akan sangat mahal dan lambat, dan penyerang akan memilih target dengan nilai tinggi.

Selain itu, menghindari penggunaan alamat yang berulang dan tidak memakai Taproot (yang secara langsung mengekspos kunci publik di blockchain) membuat pengguna relatif aman tanpa upgrade protokol—karena kunci publik mereka tetap tersembunyi di balik hash sampai transaksi dilakukan. Saat transaksi dilakukan, kunci publik akan terbuka, dan di saat itu akan terjadi perlombaan singkat: pengguna yang jujur harus segera mengonfirmasi transaksi, sementara penyerang kuantum berusaha menghitung kunci privat sebelum itu dan mencuri dana.

Jadi, koin yang paling rentan adalah yang kunci publiknya sudah terbuka: output P2PK awal, alamat berulang, dan aset yang disimpan dengan Taproot.

Untuk koin yang sudah tertinggal dan rentan, solusinya rumit: komunitas harus menetapkan “batas waktu” di mana koin yang tidak dipindahkan dianggap hangus; atau membiarkan mereka diambil alih oleh komputer kuantum di masa depan. Yang terakhir menimbulkan masalah hukum dan keamanan serius.

Masalah unik Bitcoin lainnya adalah throughput transaksi yang rendah. Bahkan jika rencana migrasi sudah disusun, memindahkan semua dana rentan dengan kecepatan saat ini akan memakan waktu berbulan-bulan.

Tantangan ini menuntut Bitcoin mulai merencanakan transisi pasca-kuantum dari sekarang—bukan karena komputer kuantum mungkin muncul sebelum 2030, tetapi karena proses migrasi aset bernilai miliaran dolar membutuhkan waktu bertahun-tahun untuk tata kelola, koordinasi, dan logistik teknis.

Ancaman kuantum terhadap Bitcoin memang nyata, tetapi tekanan waktu utamanya berasal dari batasan internalnya, bukan dari kehadiran komputer kuantum yang mendadak.

Catatan: Kerentanan tanda tangan di atas tidak mempengaruhi keamanan ekonomi Bitcoin (misalnya, konsensus proof-of-work). PoW bergantung pada hashing, yang hanya dipercepat dua kali lipat oleh algoritma pencarian Grover, dan secara praktis sangat mahal, sehingga tidak mungkin mempercepat secara signifikan. Bahkan jika bisa, itu hanya memberi keuntungan pada penambang besar, bukan merusak model keamanan ekonomi mereka.

Biaya dan risiko tanda tangan pasca-kuantum

Mengapa blockchain tidak boleh terburu-buru mengadopsi tanda tangan pasca-kuantum? Kita perlu memahami biaya performa dan kepercayaan kita terhadap solusi baru ini yang masih dalam evolusi.

Kriptografi pasca-kuantum didasarkan pada lima kategori masalah matematika: hash, kode, grid, sistem persamaan kuadratik multivariabel, dan elliptic curve isogeny. Variasi ini muncul karena efisiensi solusi tergantung pada “struktur” masalah yang diandalkan: semakin banyak struktur, biasanya semakin efisien, tetapi juga semakin banyak celah yang bisa dieksploitasi oleh algoritma serangan—sebuah trade-off mendasar.

• Skema hash paling konservatif (paling aman) tetapi paling tidak efisien. Misalnya, tanda tangan hash yang distandarisasi oleh NIST berukuran minimal 7-8KB, sedangkan tanda tangan elliptic curve saat ini hanya 64 byte, perbedaan sekitar seratus kali.
• Skema grid adalah fokus utama saat ini. Satu-satunya skema enkripsi pasca-kuantum yang disetujui NIST (ML-KEM) dan dua dari tiga skema tanda tangan (ML-DSA, Falcon) berbasis grid.
• Tanda tangan ML-DSA berukuran sekitar 2,4-4,6KB, 40-70 kali lipat dari tanda tangan saat ini.
• Falcon lebih kecil (0,7-1,3KB), tetapi sangat kompleks untuk diimplementasikan, melibatkan operasi floating point waktu konstan, dan sudah ada serangan side-channel. Salah satu pendirinya menyebut ini sebagai “algoritma kriptografi paling kompleks yang pernah saya buat.”
• Tantangan implementasi lebih besar: tanda tangan berbasis grid memiliki lebih banyak nilai tengah sensitif dan logika penolakan sampel yang kompleks, membutuhkan perlindungan side-channel dan fault injection yang lebih kuat.

Masalah-masalah ini menimbulkan risiko langsung yang jauh lebih besar daripada komputer kuantum yang masih jauh dari kenyataan.

Pelajaran sejarah juga mengingatkan kita untuk berhati-hati: kandidat utama dalam proses standarisasi NIST, seperti Rainbow (berbasis MQ) dan SIKE/SIDH (berbasis isogeny), pernah diretas oleh komputer klasik. Ini menunjukkan risiko standar dan implementasi terlalu dini.

Infrastruktur internet juga menerapkan pendekatan hati-hati dalam migrasi tanda tangan, karena proses transisi kriptografi sendiri memakan waktu bertahun-tahun (misalnya, migrasi dari MD5/SHA-1 berlangsung selama bertahun-tahun dan belum selesai sepenuhnya).

Tantangan unik blockchain vs. infrastruktur internet

Keuntungan dari komunitas open-source yang memelihara blockchain (seperti Ethereum, Solana) adalah mereka bisa memperbarui lebih cepat daripada infrastruktur tradisional. Kerugiannya, infrastruktur tradisional bisa melakukan rotasi kunci secara rutin untuk mengurangi permukaan serangan, sementara kunci dan aset di blockchain bisa tetap terpapar dalam waktu lama.

Namun, secara umum, blockchain harus mengikuti strategi migrasi tanda tangan yang hati-hati seperti di internet. Keduanya tidak rentan terhadap serangan HNDL, dan migrasi terlalu dini membawa risiko biaya dan keamanan yang besar.

Ada beberapa kompleksitas unik pada blockchain yang membuat migrasi terlalu cepat sangat berbahaya:

• Kebutuhan agregasi tanda tangan: blockchain sering membutuhkan penggabungan tanda tangan secara cepat (misalnya, tanda tangan BLS). Meskipun cepat, BLS bukan pasca-kuantum aman. Riset penggabungan tanda tangan pasca-kuantum berbasis SNARK masih dalam tahap awal.
• Masa depan SNARK: komunitas saat ini optimis terhadap SNARK berbasis hash, tetapi saya yakin dalam beberapa bulan hingga tahun mendatang, alternatif SNARK berbasis grid akan muncul, menawarkan performa lebih baik dalam hal panjang bukti dan efisiensi.

Masalah yang lebih mendesak saat ini adalah: implementasi keamanan.

Dalam beberapa tahun ke depan, celah implementasi akan menjadi ancaman yang lebih besar daripada komputer kuantum. Untuk SNARKs, ancaman utama adalah bug perangkat lunak. Tanda tangan digital dan enkripsi sudah memiliki tantangan, dan SNARKs jauh lebih kompleks. Faktanya, tanda tangan digital bisa dianggap sebagai bentuk zkSNARK yang sangat minimal.

Untuk tanda tangan pasca-kuantum, serangan side-channel dan fault injection menjadi ancaman yang lebih mendesak. Komunitas perlu bertahun-tahun untuk memperkuat implementasi ini.

Oleh karena itu, melakukan transisi terlalu dini sebelum semuanya matang bisa mengunci kita pada solusi suboptimal atau memaksa migrasi kedua untuk memperbaiki celah.

Bagaimana kita harus menanggapi? Tujuh saran utama

Berdasarkan realitas di atas, saya mengajukan saran kepada semua pihak (dari pembangun hingga pengambil keputusan). Prinsip utamanya: serius menanggapi ancaman kuantum, tetapi jangan berasumsi komputer kuantum terkait kriptografi akan muncul sebelum 2030 (kemajuan saat ini tidak mendukung asumsi ini). Selain itu, ada hal-hal yang bisa dan harus kita lakukan sekarang:

2. Terapkan enkripsi hybrid segera: minimal di area yang membutuhkan perlindungan jangka panjang dan biaya yang dapat diterima. Banyak browser, CDN, dan aplikasi komunikasi (seperti iMessage, Signal) sudah mulai mengimplementasikan. Skema hybrid (pasca-kuantum + konvensional) melindungi dari serangan HNDL dan menghindari kelemahan skema pasca-kuantum jika muncul masalah.
3. Gunakan tanda tangan hash hybrid sekarang juga untuk skenario yang toleran terhadap ukuran besar: misalnya, pembaruan perangkat lunak/firmware yang jarang dan tidak sensitif terhadap ukuran. Ini memberikan “pelampung keselamatan” konservatif jika komputer kuantum muncul lebih awal dari perkiraan.
4. Blockchain tidak perlu segera mengadopsi tanda tangan pasca-kuantum, tetapi harus mulai merencanakan:
5. Pengembang harus mengikuti pendekatan hati-hati komunitas PKI internet agar solusi lebih matang.
6. Blockchain seperti Bitcoin harus menentukan jalur migrasi dan kebijakan untuk dana “koin tidur” yang rentan. Bitcoin harus mulai merencanakan sekarang, karena tantangannya lebih bersifat non-teknis (tata kelola lambat, banyak alamat “tidur” bernilai tinggi).
7. Berikan waktu matang untuk penelitian zkSNARK pasca-kuantum dan tanda tangan yang dapat digabungkan (mungkin membutuhkan beberapa tahun), hindari mengunci diri pada solusi suboptimal terlalu dini.
8. Untuk akun Ethereum: dompet kontrak pintar (yang dapat diupgrade) mungkin menawarkan jalur migrasi yang lebih mulus, tetapi perbedaannya kecil. Lebih penting lagi, komunitas harus terus mendorong penelitian primitive pasca-kuantum dan rencana darurat. Desain yang lebih luas juga meliputi pemisahan identitas akun dan skema tanda tangan tertentu (seperti abstraksi akun), memberikan fleksibilitas lebih besar, tidak hanya untuk migrasi pasca-kuantum, tetapi juga mendukung transaksi sponsor, pemulihan sosial, dan fitur lainnya.
9. Blockchain privasi harus segera beralih (jika performa memungkinkan): karena kerahasiaan pengguna saat ini terancam oleh serangan HNDL. Pertimbangkan skema hybrid atau penyesuaian arsitektur untuk menghindari rahasia yang bisa didekripsi di blockchain.
10. Dalam jangka pendek, utamakan keamanan implementasi daripada kekhawatiran berlebihan terhadap ancaman kuantum: untuk zkSNARK dan tanda tangan pasca-kuantum yang kompleks, celah dan serangan implementasi akan menjadi ancaman yang lebih besar daripada komputer kuantum selama bertahun-tahun ke depan. Saat ini, lakukan audit, fuzz testing, verifikasi formal, dan pertahanan mendalam, jangan biarkan kekhawatiran kuantum menutupi celah keamanan yang lebih mendesak.
11. Dukung terus penelitian kuantum: dari sudut pandang keamanan nasional, perlu terus menginvestasikan dana dan mengembangkan sumber daya manusia. Jika pesaing utama mendapatkan kemampuan kuantum terkait kriptografi terlebih dahulu, itu akan menjadi risiko serius.
12. Pandang secara rasional berita tentang kuantum: akan ada lebih banyak tonggak pencapaian. Tapi setiap tonggak justru menunjukkan kita masih jauh dari target. Anggaplah berita tersebut sebagai laporan kemajuan yang perlu dikritisi, bukan sinyal untuk bertindak terburu-buru.

Tentu, terobosan teknologi bisa mempercepat, dan hambatan bisa memperpanjang prediksi. Saya tidak menyatakan bahwa dalam lima tahun tidak mungkin, hanya sangat kecil kemungkinannya. Mengikuti saran di atas akan membantu kita menghindari risiko yang lebih langsung dan lebih mungkin terjadi: celah implementasi, adopsi terburu-buru, dan kesalahan transisi kriptografi.