Peta Jalan Kuantum Setelah Lingkaran: Bagaimana Mengganti Kunci Lebih Awal untuk "Pembobolan Kuantum"?

Penulis: KarenZ, Foresight News

Jika suatu hari komputer kuantum cukup kuat, hal pertama yang perlu dihadapi oleh blockchain mungkin adalah dua asumsi keamanan yang lebih mendasar: apakah tanda tangan masih bisa membuktikan "saya adalah saya", dan apakah data yang dienkripsi hari ini akan dibuka di masa depan.

Makalah peta jalan keamanan pasca kuantum terbaru dari Circle, berjudul 《Circle’s Post-Quantum Security Roadmap》, membahas masalah ini. Inti dari penilaiannya sangat langsung: kriptografi kurva elips yang banyak digunakan di blockchain saat ini, termasuk ECDSA, Ed25519, BLS, akan gagal jika menghadapi komputer kuantum yang cukup kuat. Lebih rumit lagi, di chain EVM, saat akun pertama kali mengirim transaksi biasanya akan mengekspos kunci publik; di chain seperti Bitcoin, alamat yang sudah digunakan, berulang, atau mengekspos kunci publik dalam bentuk skrip tertentu juga akan masuk ke zona risiko serupa.

Barisan penulis makalah ini juga menunjukkan bahwa ini bukan artikel populer biasa. Penulisnya termasuk Mira Belenkiy, Insinyur Perangkat Lunak Kepala Circle; Duc V. Le, Insinyur Riset Circle; Gordon Liao, Kepala Ekonom Circle; Vipin Singh Sehrawat, Kepala Insinyur Keamanan Produk Circle; Dragos Rotaru, Insinyur Riset; serta Sergey Gorbunov, salah satu pendiri awal Interop Labs yang kini menjadi bagian dari Circle, dan juga akademisi dari Stanford di bidang kriptografi terapan.

Bagian terpenting dari makalah ini bukanlah narasi menakut-nakuti seperti "komputer kuantum akan menghancurkan mata uang kripto", melainkan memecah masalah menjadi masalah migrasi rekayasa yang nyata. Circle berpendapat bahwa migrasi pasca kuantum bukanlah satu tombol upgrade, melainkan "pindah jangka panjang" yang melibatkan dompet, kontrak pintar, custodial, layanan cloud, validator, dan aturan regulasi.

Makalah ini mengidentifikasi beberapa risiko yang dihadapi blockchain terhadap serangan kuantum.

Kategori pertama adalah pemalsuan akun. Selama alamat publik sudah terekspos, penyerang kuantum di masa depan mungkin akan memulihkan kunci pribadi dan memalsukan transaksi secara langsung. Makalah mengutip dari Project Eleven’s Bitcoin RisQ Metrics, menyebutkan bahwa ada jutaan alamat dengan saldo yang terekspos dalam risiko kuantum, termasuk sekitar 14 juta alamat Bitcoin.

Kategori kedua adalah risiko "pengumpulan dulu, dekripsi nanti": penyerang hari ini menyimpan data terenkripsi dan menunggu komputer kuantum yang cukup kuat untuk mendekripsinya di masa depan.

Kategori ketiga adalah risiko lapisan konsensus, jika kunci tanda tangan validator dipulihkan, dapat menyebabkan tanda tangan ganda, sensor, bahkan penulisan ulang sejarah. Keempat adalah risiko lapisan jaringan, bagian seperti komunikasi P2P, RPC melalui TLS yang bergantung pada pertukaran kunci tradisional juga perlu ditingkatkan.

Peta jalan migrasi tiga tahap Circle

Peta jalan yang diberikan Circle bukan sekadar mengganti algoritma tanda tangan dengan algoritma lain, melainkan dibagi menjadi tiga langkah: "persiapan saat ini", "transisi campuran", dan "pengalihan akhir". Risiko yang terkait setiap langkah berbeda: data privasi harus dilindungi terlebih dahulu, akun dan kontrak pintar harus secara bertahap bermigrasi, sementara konsensus dan infrastruktur dasar menunggu ekosistem, perangkat keras, dan standar yang lebih matang.

_ Jenis serangan dan tahap penanganan dalam peta jalan Arc, sumber: makalah peta jalan keamanan pasca kuantum Circle_

Tahap pertama adalah "persiapan saat ini". Tujuan tahap ini bukanlah langsung menonaktifkan ECDSA, melainkan memberi jalur migrasi bagi pengembang dan pengguna. Arc akan mendukung verifikasi tanda tangan pasca kuantum SLH-DSA-SHA2-128s di mainnet, memungkinkan akun pintar memverifikasi tanda tangan pasca kuantum di chain. Secara sederhana, Arc akan memasang sistem pengenalan tanda tangan baru di kontrak pintar, tetapi tanda tangan transaksi asli tetap menggunakan ECDSA dalam jangka pendek karena ukuran tanda tangan pasca kuantum lebih besar dan proses verifikasi lebih lambat, yang dapat mempengaruhi throughput dan pengalaman pengguna.

Sementara itu, Arc akan mendukung enkripsi memo transaksi menggunakan X-Wing HPKE, dan melindungi isi transaksi, status kontrak, serta jejak eksekusi melalui lingkungan eksekusi privasi. Circle menempatkan bagian ini di depan karena risiko privasi "hari ini direkam, nanti didekripsi" tidak dapat dibalik; tanda tangan dapat diperbarui di masa depan, tetapi data yang sudah bocor tidak bisa kembali menjadi rahasia.

Di tingkat akun, Circle juga mengusulkan beberapa alat transisi. Misalnya, melalui abstraksi akun EIP-4337, memungkinkan verifikasi tanda tangan pasca kuantum untuk akun pintar; melalui skema hash-and-rotate, menyimpan hanya hash kunci publik di chain untuk meminimalkan jendela eksposur kunci publik; dan melalui registri kunci publik pasca kuantum, pengguna dapat mengikat alamat dan kunci publik pasca kuantum sebelumnya. Tujuan utama dari desain ini adalah agar pengguna tidak perlu menunggu hingga protokol dasar benar-benar selesai diubah, tetapi sudah bisa mempersiapkan migrasi akun.

Tahap kedua adalah "transisi campuran". Tahap ini paling realistis dan paling kompleks. Kontrak pintar USDC akan mendukung tanda tangan tradisional dan pasca kuantum secara bersamaan selama periode tertentu, dan setelah ekosistem siap, mekanisme cadangan akan menonaktifkan tanda tangan klasik. Circle juga berencana memigrasikan dana penyimpanan dingin ke kontrak pintar multi-tanda, agar dapat mengakomodasi berbagai chain dan algoritma tanda tangan pasca kuantum secara bersamaan. Karena kontrak pintar USDC dideploy di lebih dari 30 chain, tantangannya bukan hanya upgrade satu chain, melainkan fragmentasi karena berbagai ekosistem memilih algoritma berbeda dan menetapkan jadwal berbeda.

Makalah menyoroti masalah ecrecover secara khusus. Banyak kontrak EVM menggunakan ecrecover untuk verifikasi tanda tangan ECDSA, tetapi banyak dari kontrak ini sudah tidak dapat diupgrade. Jika ecrecover dinonaktifkan secara sederhana, akan merusak banyak aplikasi yang sudah ada; jika tetap dijalankan, risiko pemalsuan kuantum tetap ada. Circle mengusulkan solusi yang menjanjikan, yaitu melalui hard fork yang memodifikasi perilaku ecrecover di tingkat protokol, agar mendukung tanda tangan pasca kuantum sambil mempertahankan ABI lama. Solusi ini sangat penting karena tidak hanya melayani kontrak baru, tetapi juga memberi jalan migrasi bagi kontrak lama yang sulit diubah.

Tahap transisi juga meliputi pembaruan infrastruktur yang lebih mendasar. Circle perlu melakukan inventarisasi terhadap stack kriptografi internal, menilai apakah penyedia layanan cloud, HSM, KMS, TEE, libp2p, TLS, dan dependensi lain sudah siap pasca kuantum, dan mengganti kunci secara berurutan sesuai urutan yang benar. Makalah menekankan bahwa jika kunci A melindungi kunci B, dan kunci B melindungi kunci C, maka harus mengganti A dulu, baru B, lalu C. Jika urutannya salah, meskipun algoritma pasca kuantum sudah digunakan, data terenkripsi yang disadap sebelumnya bisa terbuka di masa depan.

Tahap ketiga adalah "pengalihan akhir". Ketika ekosistem, regulasi, dompet perangkat keras, penyedia cloud, dan infrastruktur blockchain sudah siap, Circle akan melakukan pengalihan besar-besaran. Saat itu, Arc dan kontrak pintar USDC mungkin akan menolak tanda tangan ECDSA, dan validator akan beralih ke skema pasca kuantum; jika chain yang memuat USDC tidak mampu memenuhi standar keamanan pasca kuantum dalam waktu dekat, Circle bahkan mungkin mempertimbangkan menangguhkan beberapa fungsi kontrak atau menarik dukungan, untuk menghindari aset pengguna terekspos risiko pemalsuan kuantum.

Apa yang harus dilakukan terhadap akun lama, ini adalah masalah paling sulit

Namun, pengalihan akhir juga akan menimbulkan masalah paling rumit: apa yang harus dilakukan terhadap aset di akun yang belum bermigrasi? Pendekatan Circle adalah membekukan akun yang tidak aman untuk mencegah pencurian, tetapi ini tidak otomatis berarti menyita aset. Dengan kata lain, "menghentikan kontrol tanda tangan lama" dan "menyangkal hak ekonomi pemilik aset" harus diproses secara terpisah. Oleh karena itu, makalah menempatkan pemulihan akun sebagai hal penting, termasuk migrasi ke Arc, pemulihan melalui mnemonic dan zero-knowledge proof, pemulihan melalui TEE, serta dalam kondisi terbatas, melalui dokumen hukum off-chain, bukti dari custodial, buktinya dari bursa, atau dokumen warisan.

Ini menimbulkan masalah kebijakan penting dalam makalah: pemulihan akun. Setelah era kuantum tiba, tanda tangan tradisional sendiri tidak lagi bisa membuktikan kepemilikan, dan KYC mungkin tidak bisa membuktikan bahwa alamat anonim milik siapa. Circle berpendapat bahwa regulator perlu menetapkan sebelumnya: bagaimana memberi tahu pengguna sebelum batas waktu migrasi, bukti apa yang cukup untuk membuktikan kepemilikan aset, berapa lama aset yang dibekukan dianggap tidak diklaim, serta bagaimana aturan warisan, sanksi, anti pencucian uang, dan perintah pengadilan berlaku. Makalah memperkirakan bahwa industri masih memiliki jendela 5 sampai 10 tahun untuk merumuskan aturan-aturan ini.

Makalah ini juga menyampaikan penilaian tenang: migrasi terlalu cepat juga berisiko lebih besar. Misalnya, perusahaan yang saat ini menggunakan HSM untuk melindungi kunci pribadi, jika terburu-buru mengekspor kunci ke CPU biasa demi mengikuti tanda tangan pasca kuantum, justru lebih rentan terhadap serangan hacker tradisional. Pendekatan Circle adalah, migrasi pasca kuantum harus dipersiapkan sejak dini, tetapi tidak boleh mengorbankan keamanan saat ini demi "terlihat aman".

Secara sederhana, Circle tidak mengatakan "komputer kuantum akan langsung menembus blockchain besok", melainkan: infrastruktur keuangan tidak bisa menunggu sampai kunci diganti setelah terbukti gagal. Terutama untuk USDC, stablecoin yang berjalan di lebih dari 30 chain, tantangan utama bukan hanya memilih algoritma baru, tetapi memastikan wallet, kontrak, custodial, validator, penyedia cloud, regulator, dan pengguna semua melakukan migrasi bersama.

Serangan kuantum mungkin belum benar-benar terjadi, tetapi biaya migrasi sudah di depan mata.