Jadwal Waktu Nyata Ancaman Komputasi Kuantum terhadap Kriptografi: Evaluasi Rasional atas Kontroversi "5 Tahun, 10 Tahun, atau Lebih Lama"

Kami sering mendengar berita sensasional tentang terobosan dalam komputasi kuantum. Tetapi apakah benar bahwa dalam lima tahun komputer kuantum akan mampu memecahkan kriptografi modern? Justin Thaler, mitra riset di a16z, dalam analisis mendalam menunjukkan bahwa jadwal ancaman yang diklaim oleh komputasi kuantum terhadap sistem kriptografi sering kali dibesar-besarkan secara serius. Penelitian ini mengungkapkan satu fakta inti: meskipun komputasi kuantum memang menimbulkan risiko jangka panjang, kedatangannya jauh lebih lambat daripada yang banyak orang klaim. Lebih penting lagi, tingkat ancaman yang dihadapi oleh berbagai alat kriptografi sangat berbeda—perbedaan kunci ini sering diabaikan.

Ancaman komputasi kuantum terhadap kriptografi bukanlah satu kejadian tunggal, melainkan masalah kompleks yang perlu dianalisis secara rinci berdasarkan konteks aplikasi tertentu. Artikel ini akan secara sistematis menguraikan jadwal nyata ancaman tersebut, risiko aktualnya, dan bagaimana berbagai industri harus merespons.

Kemajuan nyata dalam komputasi kuantum: realitas teknologi vs promosi pemasaran

Ketika kita membicarakan “komputasi kuantum”, biasanya orang membayangkan komputer kuantum universal yang mampu memecahkan sistem kriptografi modern seperti RSA-2048 atau secp256k1 (kurva eliptik yang digunakan dalam Bitcoin). Komputer semacam ini harus memenuhi syarat ketat: harus fault-tolerant, memiliki kemampuan koreksi kesalahan, mampu menjalankan algoritma Shor, dan skalanya cukup besar untuk menyelesaikan pemecahan dalam waktu yang wajar (misalnya dalam satu bulan).

Berdasarkan laporan teknis yang dipublikasikan dan evaluasi sumber daya, kita masih jauh dari sistem seperti itu. Meski beberapa perusahaan mengklaim mungkin akan mencapai ini pada tahun 2030 bahkan 2035, kemajuan teknologi saat ini tidak mendukung estimasi optimis tersebut. Saat ini, baik sistem jebakan ion, qubit superkonduktor, maupun platform atom netral, belum mendekati skala yang diperlukan untuk memecahkan RSA-2048. Untuk memecahkan kriptografi ini, diperlukan puluhan ribu, bahkan mungkin jutaan qubit fisik—jumlah spesifik tergantung tingkat kesalahan dan skema koreksi yang digunakan.

Batasan utama bukan hanya jumlah qubit, tetapi juga ketepatan operasi gerbang, konektivitas antar qubit, dan kedalaman sirkuit koreksi kesalahan yang diperlukan untuk menjalankan algoritma kuantum yang kompleks. Beberapa sistem saat ini memiliki lebih dari seribu qubit fisik, tetapi angka ini menipu: sistem-sistem ini kekurangan konektivitas dan ketepatan yang diperlukan untuk melakukan analisis kriptografi. Meskipun sistem modern mendekati ambang batas koreksi kesalahan fisik, belum ada yang mampu secara stabil mempertahankan bahkan beberapa qubit logika berfungsi, apalagi mencapai ribuan qubit logika berkualitas tinggi, sirkuit dalam, dan toleransi kesalahan. Jarak antara bukti konsep dan implementasi analisis kriptografi masih sangat besar.

Mengapa laporan berita sering membingungkan?

Laporan bisnis dan media sering menimbulkan kebingungan. Sumber utama kebingungan ini meliputi:

Kesalahan dalam demonstrasi “keunggulan kuantum”: tugas-tugas yang dipamerkan saat ini biasanya dirancang secara cermat dan bukan aplikasi yang benar-benar berguna, melainkan hanya kebetulan dapat dijalankan pada hardware yang ada dan tampak “cepat”. Detail penting ini sering diabaikan dalam promosi.

Kesalahpahaman tentang “ribuan qubit fisik”: istilah ini biasanya merujuk pada komputer kuantum adiabatik (sistem annealing), bukan komputer gate-model yang mampu menjalankan algoritma Shor dan memecahkan enkripsi kunci publik.

Penggunaan istilah “qubit logika” secara berlebihan: qubit fisik mudah terpengaruh oleh noise, sedangkan aplikasi nyata membutuhkan koreksi kesalahan dengan membangun “qubit logika” dari banyak qubit fisik. Untuk menjalankan algoritma Shor, diperlukan ribuan qubit logika, masing-masing biasanya terdiri dari ratusan hingga ribuan qubit fisik. Beberapa perusahaan bahkan membesar-besarkan klaim, mengklaim menggunakan kode koreksi kesalahan “distance-2” (hanya mampu mendeteksi, bukan memperbaiki kesalahan) untuk mencapai 48 qubit logika, dan setiap qubit logika hanya membutuhkan 2 qubit fisik—ini sama sekali tidak benar.

Janji palsu dalam peta jalan: banyak proyek mengklaim “qubit logika” yang sebenarnya hanya mendukung operasi Clifford, yang dapat disimulasikan secara efisien di komputer klasik dan tidak cukup untuk menjalankan algoritma Shor yang membutuhkan banyak “gerbang non-Clifford” (seperti gerbang T). Jadi, meskipun peta jalan menyatakan akan mencapai “ribuan qubit logika” pada tahun tertentu, ini tidak berarti mereka akan mampu memecahkan kriptografi klasik saat itu.

Praktik-praktik ini secara serius mengganggu persepsi publik (termasuk banyak pengamat yang berpengetahuan), sehingga menyebabkan pemahaman yang keliru tentang kemajuan komputasi kuantum.

Bahkan para ahli sering membesar-besarkan jadwal ancaman

Bahkan Scott Aaronson, peneliti terkenal di bidang komputasi kuantum, baru-baru ini dalam diskusinya menyatakan bahwa mengingat “kecepatan luar biasa perkembangan perangkat keras”, dia percaya bahwa “sebelum pemilihan presiden AS berikutnya, kemungkinan besar akan muncul komputer kuantum fault-tolerant yang mampu menjalankan algoritma Shor”. Tapi dia segera menegaskan bahwa ini bukan komputer kuantum yang mampu memecahkan kriptografi—bahkan hanya untuk faktorisasi 15=3×5 (yang bisa dihitung lebih cepat secara manual)—dia anggap memenuhi janjinya. Ini hanyalah demonstrasi skala kecil, karena percobaan serupa selalu menargetkan angka 15, karena operasi modulo 15 sangat sederhana, sedangkan angka yang sedikit lebih besar seperti 21 jauh lebih kompleks.

Kesimpulan utama: anggapan bahwa dalam lima tahun ke depan akan muncul komputer kuantum yang mampu memecahkan RSA-2048 atau secp256k1—yang keduanya sangat penting dalam kriptografi praktis—tidak didukung oleh hasil teknologi yang dipublikasikan. Bahkan jika memperluas jangka waktu menjadi 10 tahun, target ini tetap sangat ambisius. Oleh karena itu, ketertarikan terhadap kemajuan ini dan penilaian bahwa “masih butuh puluhan tahun” tidak saling bertentangan.

Dua kategori ancaman kriptografi dan tingkat risiko yang berbeda

Kunci untuk memahami ancaman komputasi kuantum adalah menyadari bahwa alat kriptografi yang berbeda menghadapi risiko yang sangat berbeda pula. Perbedaan ini sangat penting, tetapi sering diabaikan.

Serangan “enkripsi sekarang, dekripsi nanti” hanya berlaku untuk alat tertentu

Cara kerja serangan “enkripsi sekarang, dekripsi nanti” (Harvest Now, Decrypt Later): penyerang mengumpulkan komunikasi terenkripsi saat ini dan menyimpannya, menunggu komputer kuantum muncul untuk mendekripsi. Lawan dari tingkat negara mungkin sudah menyimpan data terenkripsi dari pemerintah AS secara massal, untuk kemudian didekripsi di masa depan.

Serangan ini secara langsung mengancam algoritma enkripsi. Data rahasia yang dienkripsi hari ini mungkin tetap bernilai selama puluhan tahun ke depan, dan saat komputer kuantum muncul, akan langsung bisa dipecahkan. Oleh karena itu, untuk data yang membutuhkan kerahasiaan jangka panjang, enkripsi pasca-kuantum harus segera diadopsi, meskipun biayanya tinggi dan implementasinya berisiko. Ini tidak bisa dihindari.

Namun, serangan ini tidak berlaku sama sekali terhadap tanda tangan digital.

Risiko terhadap tanda tangan digital sangat berbeda

Tanda tangan digital (fondasi semua blockchain) tidak memerlukan kerahasiaan yang harus dilindungi untuk mencegah serangan pemulihan. Bahkan jika komputer kuantum muncul di masa depan, mereka hanya akan menyebabkan penyangkalan tanda tangan di masa depan, tetapi tidak akan “memecahkan” tanda tangan yang dibuat di masa lalu. Selama Anda dapat membuktikan bahwa tanda tangan tertentu dibuat sebelum munculnya komputer kuantum, tanda tangan itu tidak akan bisa dipalsukan.

Ini membuat transisi ke tanda tangan pasca-kuantum jauh lebih rendah urgensinya dibandingkan migrasi enkripsi. Skema tanda tangan pasca-kuantum sendiri membawa biaya (ukuran lebih besar, performa lebih rendah, skema yang belum matang, potensi kerentanan), sehingga harus direncanakan secara hati-hati, bukan terburu-buru.

Properti unik zero-knowledge proof (zkSNARK)

Situasi terkait zkSNARK mirip dengan tanda tangan. Bahkan jika zkSNARK menggunakan kurva eliptik yang tidak tahan kuantum, sifat “zero-knowledge”-nya sendiri secara inheren tahan kuantum. Properti ini memastikan bahwa bukti tidak mengungkapkan informasi rahasia apa pun—bahkan terhadap komputer kuantum—sehingga tidak ada risiko “sekarang mencuri, nanti memecahkan”. Oleh karena itu, zkSNARK tidak rentan terhadap serangan semacam ini.

Penilaian ancaman komputasi kuantum terhadap ekosistem blockchain

Sebagian besar blockchain publik secara alami kebal terhadap serangan ini

Kasus Bitcoin dan Ethereum yang tidak bersifat privasi: Dalam blockchain ini, kriptografi pasca-kuantum terutama digunakan untuk otorisasi transaksi (tanda tangan digital), bukan enkripsi. Tanda tangan ini tidak terancam oleh serangan “enkripsi sekarang, dekripsi nanti”. Bitcoin bersifat publik—ancaman kuantum adalah terhadap pembuatan tanda tangan palsu (mencuri dana), bukan terhadap dekripsi data transaksi yang sudah dipublikasikan. Ini menghilangkan kebutuhan segera melakukan migrasi pasca-kuantum dari sudut kriptografi.

Sayangnya, bahkan analisis dari lembaga seperti Federal Reserve AS secara keliru menyatakan bahwa Bitcoin rentan terhadap serangan ini, sehingga membesar-besarkan urgensi migrasi.

Tentu saja, ini tidak berarti Bitcoin aman sepenuhnya. Ia menghadapi berbagai batasan waktu, terutama terkait dengan kerja sama sosial besar yang diperlukan untuk mengubah protokol.

Risiko nyata terhadap mata uang privasi

Khususnya: blockchain privasi. Banyak blockchain privasi mengenkripsi atau menyembunyikan penerima dan jumlah transaksi. Data rahasia ini bisa saja sudah diambil hari ini dan kemudian diubah secara anonim di masa depan dengan komputer kuantum yang mampu memecahkan kriptografi kurva eliptik. Tingkat keparahan serangan tergantung pada desainnya (misalnya, Monero dengan tanda tangan ring dan key images mungkin memungkinkan pemulihan seluruh grafik transaksi). Jadi, jika pengguna khawatir transaksi mereka akan diungkap di masa depan oleh komputer kuantum, mereka harus segera beralih ke skema pasca-kuantum atau skema hibrid, atau mengadopsi arsitektur yang tidak menyimpan rahasia yang dapat didekripsi di blockchain.

Tantangan unik Bitcoin: hambatan tata kelola dan masalah “mata uang zombie”

Bagi Bitcoin, ada dua faktor terkait realitas yang menimbulkan urgensi dalam perencanaan tanda tangan pasca-kuantum, tetapi keduanya tidak terkait langsung dengan teknologi kuantum:

Tata kelola yang lambat: Perkembangan Bitcoin sangat lambat, dan perbedaan pendapat dapat menyebabkan hard fork yang merusak.

Migrasi pasif tidak memungkinkan: Pemilik koin harus secara aktif memigrasikan koin mereka. Ini berarti koin yang ditinggalkan dan rentan terhadap serangan kuantum tidak akan terlindungi. Diperkirakan ada jutaan “mata uang zombie” yang rentan terhadap kuantum, bernilai triliunan dolar saat ini.

Namun, ancaman kuantum terhadap Bitcoin bukanlah kiamat mendadak, melainkan proses bertahap dan selektif. Serangan kuantum awal akan sangat mahal dan lambat, dan pelaku akan memilih target tertentu, terutama dompet bernilai tinggi. Selain itu, pengguna yang menghindari penggunaan alamat yang berulang dan tidak memakai Taproot (yang secara langsung mengekspos kunci publik di blockchain) secara praktis tetap aman—karena kunci publik mereka tersembunyi di balik hash sebelum digunakan. Hanya saat transaksi disiarkan, kunci publik akan terekspos, dan di saat itu, penyerang kuantum akan berusaha menghitung kunci privatnya dan mencuri koin.

Yang paling rentan adalah koin dengan kunci publik yang sudah terekspos: output P2PK awal, alamat yang digunakan berulang kali, dan aset yang disimpan di Taproot. Untuk koin yang sudah ditinggalkan dan rentan, solusi kompleks diperlukan: bisa dengan kesepakatan komunitas untuk menetapkan “tanggal batas”, di mana setelahnya koin yang belum dimigrasi dianggap hilang; atau membiarkan saja, dan membiarkan pemilik komputer kuantum di masa depan mencuri koin tersebut. Pendekatan kedua bisa menimbulkan masalah hukum dan teknis yang serius.

Faktor lain yang spesifik untuk Bitcoin adalah throughput transaksi yang rendah. Bahkan jika rencana migrasi disepakati, memigrasi semua dana yang rentan dengan kecepatan saat ini akan memakan waktu berbulan-bulan.

Tantangan-tantangan ini memaksa Bitcoin sekarang juga mulai merencanakan transisi ke era pasca-kuantum—bukan karena komputer kuantum mungkin muncul tahun 2030, tetapi karena pengelolaan, koordinasi, dan logistik teknis untuk memigrasi aset bernilai ratusan miliar dolar ini sendiri membutuhkan waktu bertahun-tahun.

Catatan tambahan: Kerentanan terkait tanda tangan ini tidak mempengaruhi keamanan ekonomi Bitcoin (misalnya, mekanisme proof-of-work). PoW membutuhkan perhitungan hash, dan hanya algoritma Grover yang dapat mempercepatnya secara kuantum dua kali lipat, tetapi ini membutuhkan biaya besar dan tidak secara signifikan mempercepat proses. Bahkan jika terjadi, ini akan memberi keuntungan pada penambang besar, tetapi tidak akan merusak model keamanan ekonomi.

Biaya dan risiko tanda tangan pasca-kuantum

Mengapa blockchain tidak boleh terburu-buru mengadopsi tanda tangan pasca-kuantum? Kita perlu memahami biaya performa dari skema baru ini dan tingkat kepercayaan terhadap solusi yang masih berkembang ini.

Kriptografi pasca-kuantum sebagian besar didasarkan pada lima kategori masalah matematika sulit: hash, kode, grid, sistem polinomial kuadrat, dan kurva eliptik isometrik. Variasi ini muncul karena efisiensi skema berkaitan dengan “struktur” masalah dasar: semakin kuat strukturnya, biasanya semakin efisien, tetapi juga semakin rentan terhadap serangan.

Skema hash: paling konservatif (paling aman), tetapi paling tidak efisien. Standar NIST untuk algoritma hash menghasilkan tanda tangan minimal sekitar 7-8 KB, sedangkan tanda tangan kurva eliptik saat ini hanya 64 byte—perbedaan ratusan kali lipat.

Skema grid: saat ini menjadi fokus utama. Dua dari tiga skema tanda tangan yang dipilih oleh NIST (ML-DSA dan Falcon) berbasis grid.

• Tanda tangan ML-DSA berukuran sekitar 2,4-4,6 KB, 40-70 kali lebih besar dari tanda tangan saat ini.
• Falcon memiliki ukuran kecil (0,7-1,3 KB), tetapi implementasinya sangat kompleks, melibatkan operasi floating point konstan waktu, dan telah terbukti rentan terhadap serangan side-channel. Pembuatnya menyebutnya sebagai “algoritma kriptografi paling kompleks yang pernah saya implementasikan”.
• Implementasi yang aman secara praktis lebih sulit: tanda tangan grid memiliki lebih banyak nilai tengah dan logika penolakan sampling yang lebih kompleks, membutuhkan perlindungan side-channel dan injeksi kesalahan yang lebih kuat dibandingkan tanda tangan kurva eliptik.

Dibandingkan dengan komputer kuantum yang jauh, risiko yang ditimbulkan oleh masalah implementasi ini jauh lebih mendesak. Pengalaman sejarah juga mengingatkan kita untuk berhati-hati: kandidat utama yang distandarisasi oleh NIST seperti Rainbow (berbasis MQ) dan SIKE/SIDH (berbasis isometri) telah diretas di komputer klasik. Ini menunjukkan bahwa standarisasi dan adopsi terlalu dini berisiko.

Infrastruktur internet secara umum berhati-hati dalam melakukan transisi tanda tangan baru, karena proses migrasi sendiri memakan waktu bertahun-tahun (misalnya, migrasi dari MD5/SHA-1 berlangsung selama bertahun-tahun dan belum selesai).

Tantangan bersama infrastruktur internet dan blockchain

Faktor positifnya adalah bahwa komunitas open-source dari blockchain seperti Ethereum dan Solana dapat melakukan upgrade lebih cepat daripada infrastruktur jaringan tradisional. Faktor negatifnya adalah bahwa jaringan tradisional dapat melakukan rotasi kunci secara berkala untuk mengurangi permukaan serangan, sedangkan kunci dan aset terkait di blockchain bisa tetap rentan selama bertahun-tahun.

Secara umum, blockchain harus mengikuti pendekatan hati-hati yang diadopsi komunitas PKI (Public Key Infrastructure) dalam merencanakan migrasi tanda tangan. Keduanya tidak rentan terhadap serangan “enkripsi sekarang, dekripsi nanti”, dan biaya serta risiko migrasi pasca-kuantum sangat tinggi.

Beberapa fitur khusus dari blockchain membuat transisi awal sangat berisiko:

Kebutuhan agregasi tanda tangan: blockchain sering membutuhkan penggabungan tanda tangan secara cepat dari banyak pihak (misalnya, tanda tangan BLS). BLS sangat cepat, tetapi tidak tahan kuantum. Penelitian tentang agregasi tanda tangan pasca-kuantum berbasis zkSNARK masih dalam tahap awal, tetapi di masa depan beberapa bulan hingga tahun ke depan, diharapkan akan muncul alternatif berbasis grid yang menawarkan keunggulan dalam panjang bukti dan efisiensi.

Masa depan zkSNARK: komunitas saat ini cenderung menggunakan zkSNARK berbasis hash yang tahan kuantum, tetapi saya yakin dalam beberapa bulan dan tahun mendatang akan muncul zkSNARK berbasis grid yang menunjukkan keunggulan dalam berbagai aspek, termasuk panjang bukti dan efisiensi.

Masalah yang lebih mendesak adalah memastikan implementasi yang aman. Dalam beberapa tahun ke depan, kerentanan perangkat lunak dan serangan side-channel terhadap zkSNARK dan tanda tangan pasca-kuantum akan jauh lebih besar daripada ancaman komputer kuantum. Untuk zkSNARK, ancaman utama adalah bug perangkat lunak. Tanda tangan digital dan enkripsi sudah kompleks, dan zkSNARK lebih kompleks lagi. Pada kenyataannya, tanda tangan digital bisa dianggap sebagai versi ringkas dari zkSNARK. Untuk tanda tangan pasca-kuantum, serangan side-channel dan injeksi kesalahan menjadi ancaman yang lebih mendesak. Komunitas harus menguatkan implementasi ini selama bertahun-tahun.

Oleh karena itu, terlalu cepat beralih—sebelum situasi benar-benar matang—dapat menempatkan kita dalam posisi yang tidak ideal, atau bahkan memaksa kita melakukan migrasi ulang untuk memperbaiki kekurangan.

Langkah ke depan: tujuh rekomendasi strategis

Berdasarkan kenyataan di atas, saya mengajukan saran kepada semua pemangku kepentingan (dari pengembang hingga pengambil keputusan). Prinsip panduannya: anggap serius ancaman kuantum, tetapi jangan berasumsi bahwa komputer kuantum mampu memecahkan sistem kriptografi sebelum tahun 2030 (hasil saat ini tidak mendukung asumsi ini). Meski begitu, ada hal-hal yang bisa dan harus kita lakukan sekarang:

1. Segera lakukan implementasi enkripsi hibrid: setidaknya dalam konteks yang membutuhkan kerahasiaan jangka panjang dan biaya yang dapat diterima. Banyak browser, CDN, dan aplikasi informasi (misalnya iMessage, Signal) sudah mulai mengadopsi. Skema hibrid (pasca-kuantum + klasik) melindungi dari serangan ini dan mencegah kekurangan skema pasca-kuantum yang mungkin muncul.

2. Dalam konteks yang toleran terhadap ukuran besar, gunakan tanda tangan berbasis hash secara langsung: misalnya, untuk pembaruan perangkat lunak/firmware jarang dan tidak kritis terhadap ukuran, saat ini dapat digunakan tanda tangan hash hibrid (yang menyediakan perlindungan terhadap kerentanan implementasi skema baru). Jika komputer kuantum muncul lebih awal dari yang diperkirakan, ini menjadi “pelampung penyelamat” yang hati-hati.

3. Blockchain tidak perlu segera mengadopsi tanda tangan pasca-kuantum, tetapi harus segera mulai merencanakan.

4. Pengembang harus mengikuti pendekatan komunitas PKI yang berhati-hati, agar solusi yang diusulkan matang dan terpercaya.

5. Blockchain seperti Bitcoin harus segera menentukan jalur migrasi dan kebijakan “mata uang zombie” yang rentan terhadap kuantum. Khususnya Bitcoin, tantangannya lebih bersifat sosial dan tata kelola, bukan teknis murni (karena proses perubahan protokol sangat lambat dan membutuhkan koordinasi besar).

6. Sisihkan waktu untuk penelitian dan pengembangan zkSNARK pasca-kuantum dan tanda tangan agregat (mungkin membutuhkan beberapa tahun lagi), agar tidak terjebak pada solusi suboptimal terlalu dini.

7. Untuk akun Ethereum: dompet kontrak pintar (yang dapat diupgrade) dapat menyediakan jalur migrasi yang lebih mulus, tetapi tidak jauh berbeda. Yang paling penting adalah komunitas terus mendorong penelitian tentang primitive pasca-kuantum dan rencana darurat. Pendekatan desain yang lebih umum adalah memisahkan identitas akun dari skema tanda tangan tertentu (misalnya, melalui abstraksi akun), sehingga memberikan fleksibilitas lebih besar, tidak hanya untuk transisi pasca-kuantum, tetapi juga untuk fitur seperti sponsorship transaksi dan pemulihan sosial.

8. Blockchain privasi harus segera beralih (jika performa memungkinkan): data privasi saat ini sudah rentan terhadap serangan ini. Pertimbangkan skema hibrid atau arsitektur yang menghindari pencatatan rahasia yang dapat didekripsi di blockchain.

9. Strategi jangka pendek: fokus utama adalah memastikan keamanan implementasi, bukan terlalu fokus pada ancaman kuantum. Untuk zkSNARK dan tanda tangan pasca-kuantum yang kompleks, ancaman dari bug perangkat lunak dan serangan side-channel selama beberapa tahun ke depan jauh lebih besar daripada ancaman komputer kuantum. Saat ini, investasi dalam audit, fuzzing, verifikasi formal, dan lapisan perlindungan berlapis sangat penting agar tidak tertipu oleh kekhawatiran kuantum yang menutupi kerentanan yang lebih mendesak.

10. Dukung terus penelitian dan pengembangan komputasi kuantum: dari sudut pandang keamanan nasional, diperlukan investasi dan pelatihan berkelanjutan. Jika pesaing utama memperoleh kemampuan kuantum kriptografi terlebih dahulu, ini akan menjadi risiko serius.

11. Bersikap rasional terhadap berita tentang komputasi kuantum: akan ada lebih banyak tonggak pencapaian, tetapi setiap tonggak justru membuktikan bahwa kita masih sangat jauh dari target. Anggap laporan tersebut sebagai laporan kemajuan yang perlu dikritisi, bukan sinyal untuk bertindak terburu-buru. Tentu saja, terobosan teknologi bisa mempercepat perkembangan, dan hambatan bisa memperlambatnya. Saya tidak menyatakan bahwa dalam lima tahun tidak akan terjadi, tetapi saya anggap probabilitasnya sangat kecil.

Mengikuti saran-saran ini akan membantu kita menghindari risiko yang lebih langsung dan lebih mungkin terjadi: kerentanan implementasi, migrasi terburu-buru, dan kesalahan dalam transisi kriptografi.