Analisis mendalam: Apakah kita terlalu takut dengan ancaman keamanan kriptografi yang ditimbulkan oleh komputer kuantum?

Garis waktu ancaman komputer kuantum sering dibesar-besarkan, dan risiko kerentanan program masih jauh lebih besar daripada serangan kuantum dalam jangka pendek. Blockchain tidak perlu terburu-buru untuk menyebarkan tanda tangan pasca-kuantum, tetapi perencanaan harus segera dimulai. Artikel ini berasal dari artikel yang ditulis oleh Justin Thaler, disusun, dikompilasi, dan ditulis oleh Vernacular Blockchain. (Ringkasan: Raoul Pal memperingatkan: Jika The Fed tidak mencetak uang untuk QE, “likuiditas akan menjadi kekurangan”, atau pengulangan krisis keuangan 2018 di pasar repo) (Suplemen latar belakang: AS akan merilis laporan penggajian non-pertanian September minggu depan, dan pasar mengamati dengan cermat dampak dari penurunan suku bunga (Fed) Fed) Garis waktu komputer kuantum terkait kriptografi sering dibesar-besarkan - yang mengarah pada permintaan untuk transisi yang mendesak dan komprehensif ke kriptografi pasca-kuantum. Tetapi panggilan ini sering mengabaikan biaya dan risiko migrasi dini dan mengabaikan profil risiko yang sangat berbeda antara primitif kriptografi yang berbeda: . Enkripsi pasca-kuantum membutuhkan penerapan segera meskipun ada biayanya: “Dapatkan dulu, dekripsi nanti” (Harvest-Now-Decrypt-Nanti, serangan HNDL) sudah berlangsung, karena data sensitif yang dienkripsi saat ini akan tetap berharga ketika komputer kuantum tiba, bahkan jika itu beberapa dekade dari sekarang. Overhead kinerja dan risiko implementasi enkripsi pasca-kuantum adalah nyata, tetapi serangan HNDL tidak menyisakan pilihan untuk data yang memerlukan kerahasiaan jangka panjang. Tanda tangan pasca-kuantum menghadapi pertimbangan yang berbeda. Mereka kurang rentan terhadap serangan HNDL, dan biaya serta risikonya ( ukuran yang lebih besar, overhead kinerja, implementasi yang belum matang, dan ) bug memerlukan pertimbangan yang bijaksana daripada migrasi segera. Perbedaan ini sangat penting. Kesalahpahaman dapat memiringkan analisis biaya-manfaat, menyebabkan tim mengabaikan risiko keamanan yang lebih menonjol—seperti kesalahan pemrograman (bugs). Tantangan nyata dalam berhasil bertransisi ke kriptografi pasca-kuantum terletak pada mencocokkan urgensi dengan ancaman nyata. Di bawah ini, saya akan menjelaskan kesalahpahaman umum tentang ancaman kuantum terhadap kriptografi—yang mencakup kriptografi, tanda tangan, dan bukti tanpa pengetahuan—dengan fokus khusus pada dampaknya terhadap blockchain. Bagaimana garis waktu kita? Terlepas dari klaim profil tinggi, kemungkinan (CRQC) komputer kuantum terkait kriptografi pada tahun 2020-an sangat rendah. Yang saya maksud dengan “komputer kuantum terkait kriptografi” adalah komputer kuantum yang toleran terhadap kesalahan dan mengoreksi kesalahan yang mampu menjalankan algoritma Shor pada skala yang cukup untuk menyerang kriptografi kurva elips atau RSA dalam jangka waktu yang wajar ( misalnya, untuk memecahkan serangan {secp}256{k}1 atau {RSA-2048} pada kriptografi kurva elips atau RSA dalam waktu maksimum satu bulan komputasi terus menerus. Berdasarkan interpretasi yang masuk akal dari pencapaian publik dan perkiraan sumber daya, kami masih jauh dari komputer kuantum yang terkait secara kriptografis. Perusahaan terkadang mengklaim bahwa CRQC dapat muncul sebelum 2030 atau jauh sebelum 2035, tetapi perkembangan yang diketahui publik tidak mendukung klaim ini. Sebagai konteks, dalam semua arsitektur saat ini – ion yang terpenjara, qubit superkonduktor, dan sistem atom netral – platform komputasi kuantum saat ini tidak mendekati menjalankan ratusan ribu hingga jutaan qubit fisik yang diperlukan untuk menjalankan serangan algoritma Shor {RSA-2048} atau {secp}256{k}1 ( tergantung pada tingkat kesalahan dan skema koreksi kesalahan ). Faktor pembatas bukan hanya jumlah qubit, tetapi juga kesetiaan gerbang, konektivitas qubit, dan kedalaman sirkuit koreksi kesalahan berkelanjutan yang diperlukan untuk menjalankan algoritma kuantum yang mendalam. Sementara beberapa sistem sekarang memiliki lebih dari 1.000 qubit fisik, jumlah qubit asli itu sendiri menyesatkan: sistem ini tidak memiliki konektivitas qubit dan kesetiaan gerbang yang diperlukan untuk perhitungan terkait kriptografi. Sistem terbaru mendekati tingkat kesalahan fisik di mana koreksi kesalahan kuantum berperan, tetapi tidak ada yang membuktikan bahwa lebih dari segelintir qubit logis memiliki kedalaman sirkuit koreksi kesalahan terus menerus… Belum lagi ribuan qubit logika fidelitas tinggi, sirkuit dalam, toleran kesalahan yang diperlukan untuk benar-benar menjalankan algoritma Shor. Kesenjangan antara membuktikan bahwa koreksi kesalahan kuantum pada prinsipnya layak dan skala yang diperlukan untuk mencapai kriptanalisis tetap signifikan. Singkatnya: kecuali jumlah qubit dan kesetiaan meningkat beberapa urutan besarnya, komputer kuantum terkait kriptografi masih di luar jangkauan. Namun, siaran pers perusahaan dan liputan media bisa membingungkan. Berikut adalah beberapa sumber umum kesalahpahaman dan kebingungan, termasuk: Demo yang mengklaim “keuntungan kuantum”, saat ini menargetkan tugas yang dirancang manusia. Tugas-tugas ini dipilih bukan karena kepraktisannya, tetapi karena mereka dapat berjalan pada perangkat keras yang ada sambil tampak menunjukkan akselerasi kuantum yang hebat – fakta yang sering dikaburkan dalam pengumuman. Perusahaan mengklaim telah mencapai ribuan qubit fisik. Tetapi ini mengacu pada mesin anil kuantum, bukan mesin model gerbang yang diperlukan untuk menjalankan algoritma Shor untuk menyerang kriptografi kunci publik. Perusahaan dengan bebas menggunakan istilah “qubit logis”. Qubit fisik berisik. Seperti disebutkan sebelumnya, algoritma kuantum membutuhkan qubit logis; Algoritma Shor membutuhkan ribuan. Dengan koreksi kesalahan kuantum, qubit logis dapat diimplementasikan dengan banyak qubit fisik – biasanya ratusan hingga ribuan, tergantung pada tingkat kesalahan. Tetapi beberapa perusahaan telah memperpanjang jangka waktu di luar pengakuan. Misalnya, pengumuman baru-baru ini mengklaim menggunakan jarak 2 yard dan mengimplementasikan qubit logis hanya dengan dua qubit fisik. Ini konyol: jarak 2 yard hanya mendeteksi kesalahan, bukan memperbaikinya. Qubit logis yang benar-benar toleran terhadap kesalahan untuk kriptoanalisis membutuhkan ratusan hingga ribuan qubit fisik masing-masing, bukan dua. Secara lebih umum, banyak peta jalan komputasi kuantum menggunakan istilah “qubit logis” untuk merujuk pada qubit yang hanya mendukung operasi Clifford. Operasi ini dapat dilakukan secara efisien untuk simulasi klasik dan oleh karena itu tidak cukup untuk menjalankan algoritma Shor, yang membutuhkan ribuan gerbang T yang dikoreksi kesalahan ( atau ) gerbang non-Clifford yang lebih umum. Bahkan jika salah satu peta jalan bertujuan untuk “mencapai ribuan qubit logis di tahun X,” itu tidak berarti perusahaan mengharapkan untuk menjalankan algoritma Shor untuk memecahkan kriptografi klasik di tahun yang sama X. Praktik-praktik ini telah sangat mendistorsi persepsi publik tentang seberapa dekat kita dengan komputer kuantum yang terkait secara kriptografis, bahkan di antara pengamat yang sudah mapan. Konon, beberapa ahli sangat senang dengan kemajuan tersebut. Misalnya, Scott Aaronson baru-baru ini menulis bahwa mengingat “kecepatan pengembangan perangkat keras yang mengejutkan saat ini,” saya sekarang percaya bahwa itu adalah kemungkinan realistis bahwa kita akan memiliki komputer kuantum yang toleran kesalahan yang menjalankan algoritma Shor sebelum pemilihan presiden AS berikutnya. Tetapi Aaronson kemudian mengklarifikasi bahwa pernyataannya tidak berarti komputer kuantum terkait kriptografi: dia berpendapat bahwa bahkan jika algoritma Shor yang sepenuhnya toleran terhadap kesalahan menjalankan pemfaktoran 15 = 3 imes 5, itu dihitung sebagai implementasi - dan perhitungan ini dapat dilakukan jauh lebih cepat dengan pensil dan kertas. Standarnya masih untuk mengeksekusi algoritma Shor dalam skala kecil, bukan pada skala terkait kriptografi, karena eksperimen sebelumnya dengan pemfaktoran 15 pada komputer kuantum menggunakan sirkuit yang disederhanakan alih-alih algoritma Shor yang penuh dan toleran kesalahan. Dan ada alasan mengapa eksperimen ini selalu memperhitungkan angka 15: perhitungan aritmatika untuk modulo 15 mudah, sementara memfaktorkan angka yang sedikit lebih besar seperti 21 jauh lebih sulit. Oleh karena itu, eksperimen kuantum yang mengklaim dapat memecah 21 sering mengandalkan petunjuk atau jalan pintas tambahan. Singkatnya, harapan komputer kuantum terkait kriptografi yang mampu memecahkan {RSA-2048} atau {secp}256{k}1 dalam 5 tahun ke depan - ini sangat penting untuk kriptografi yang sebenarnya…