Ancaman Quantum Sejati terhadap Bitcoin Tidak Ada Hubungannya dengan "Membobol Enkripsi"

Narasi seputar komputer kuantum dan keamanan Bitcoin telah tercampur oleh kesalahan terminologi mendasar. Liputan media sering mengklaim bahwa komputer kuantum akan “membobol enkripsi Bitcoin,” tetapi framing ini melewatkan kerentanan sebenarnya sama sekali. Bitcoin tidak menyimpan rahasia terenkripsi di blockchain. Kerentanan yang sesungguhnya terletak pada tanda tangan digital dan kompromi kunci publik—sebuah ancaman yang berbeda secara signifikan.

Memahami Apa yang Sebenarnya Penting: Tanda Tangan Daripada Kerahasiaan

Model keamanan Bitcoin bergantung pada tanda tangan ECDSA dan Schnorr untuk membuktikan kepemilikan koin. Blockchain adalah buku besar transparan; setiap transaksi dan alamat terlihat secara publik. Ini berarti tidak ada yang dienkripsi dalam arti tradisional. Pertanyaan keamanannya bukanlah apakah komputer kuantum dapat mendekripsi sesuatu yang tersembunyi—tetapi apakah dapat menurunkan kunci pribadi dari kunci publik yang terekspos dan memalsukan tanda tangan yang valid.

Adam Back, pengembang inti Bitcoin yang sudah lama, dengan tegas menyatakan: “Bitcoin tidak menggunakan enkripsi. Pahami dasar-dasarnya dengan benar.” Kesalahan terminologi ini telah memperbesar ketakutan akan komputer kuantum selama bertahun-tahun. Risiko kuantum yang sebenarnya melibatkan algoritma Shor, yang secara teoretis dapat menghitung logaritma diskret di atas kurva elips. Jika komputer kuantum yang cukup kuat menjalankan algoritma ini terhadap kunci yang terlihat secara publik di chain, ia bisa menurunkan kunci pribadi yang bersangkutan dan mengotorisasi transaksi yang tidak sah.

Batasan: Ketika Kunci Publik Menjadi Terbuka

Format alamat sangat berpengaruh terhadap risiko kuantum. Banyak tipe alamat Bitcoin hanya mengandung hash dari kunci publik, artinya kunci mentah tetap tersembunyi sampai output tersebut digunakan. Desain ini mempersempit jendela bagi penyerang potensial untuk menghitung kunci pribadi melalui algoritma Shor.

Namun, tipe script lain mengungkapkan kunci lebih awal. Penggunaan kembali alamat mengubah satu pengungkapan menjadi kerentanan yang terus-menerus. Output Taproot (P2TR), yang diperkenalkan melalui BIP 341, menyertakan kunci publik yang di-tweak langsung dalam program output daripada hash—perubahan ini secara signifikan mengubah profil eksposur.

“Bitcoin Risq List” dari Project Eleven melacak metode eksposur ini secara sistematis. Analisis mereka mengidentifikasi sekitar 6,7 juta BTC yang sudah ada di chain dengan kunci publik yang terekspos, menciptakan apa yang didefinisikan para peneliti sebagai kumpulan alamat rentan kuantum.

Mengkuantifikasi Hambatan Komputasi

Memahami apakah risiko kuantum akan segera terjadi memerlukan pemisahan antara qubit logis dan fisik. Penelitian oleh Roetteler dan kolega menunjukkan bahwa menghitung logaritma diskret kurva elips 256-bit membutuhkan sekitar 2.330 qubit logis pada batas atas. Akar kuadrat dari hubungan komputasi 256—bersama dengan kompleksitas algoritma yang lebih luas—menginformasi estimasi ini.

Mengubah qubit logis menjadi mesin fisik yang dilengkapi koreksi kesalahan memerlukan overhead yang sangat besar. Estimasi terbaru menunjukkan sekitar 6,9 juta qubit fisik bisa memulihkan kunci kurva elips 256-bit dalam waktu sekitar 10 menit (dengan model Litinski 2023). Analisis lain memperkirakan sekitar 13 juta qubit fisik diperlukan untuk memecahkan kunci dalam waktu satu hari. Angka-angka ini mengasumsikan tingkat kesalahan dan asumsi waktu tertentu yang belum terbukti secara praktis.

Roadmap terbaru IBM menempatkan komputer kuantum toleran galat sekitar tahun 2029, meskipun kemajuan dalam komponen koreksi kesalahan terus menggeser garis waktu. Jalur komputasi dari kemungkinan teoretis ke serangan praktis tetap sangat curam.

Pertanyaan Grover: Mengapa Fungsi Hash Tetap Tahan

Algoritma kuantum menimbulkan ancaman berbeda terhadap lapisan kriptografi yang berbeda. Sementara algoritma Shor menargetkan masalah logaritma diskret secara langsung, algoritma Grover hanya memberikan percepatan akar kuadrat terhadap pencarian brute-force. Untuk hashing SHA-256 Bitcoin, serangan yang dipercepat Grover meninggalkan target keamanan sekitar 2^128 operasi—masih secara komputasi tidak feasible dan tidak dapat dibandingkan dengan pecah kurva elips.

Dengan demikian, hashing tetap menjadi kekhawatiran sekunder dalam penilaian risiko kuantum.

Migrasi sebagai Tantangan Utama

Jika mesin yang mampu kuantum benar-benar muncul, ancamannya bukanlah menulis ulang sejarah konsensus Bitcoin. Sebaliknya, penyerang akan berlomba untuk menghabiskan output dengan kunci yang terekspos lebih cepat daripada konfirmasi transaksi yang sah. Ini menggeser jendela kerentanan Bitcoin dari rekonstruksi historis ke kompetisi transaksi waktu nyata.

Upgrade protokol menyediakan jalan ke depan. BIP 360 mengusulkan tipe output “Pay to Quantum Resistant Hash,” sementara proposal seperti qbip.org mendorong penghentian tanda tangan legacy untuk memaksa migrasi dan mengurangi panjang ekor alamat yang terekspos. Tanda tangan pasca-kuantum seperti ML-KEM (standar FIPS 203 dari NIST) berukuran kilobyte daripada puluhan byte, secara fundamental mengubah ekonomi transaksi dan desain dompet.

Perilaku dompet dan pola penggunaan kembali alamat menawarkan pengungkit jangka pendek. Setelah kunci publik disiarkan di chain, setiap penerimaan di alamat yang sama tetap terekspos. Pengguna dan pengembang dapat mengurangi eksposur hari ini melalui disiplin operasional dan default dompet yang lebih baik.

Kesimpulan: Pengukuran Risiko Tanpa Kepastian Waktu

Kerentanan kuantum Bitcoin nyata tetapi dapat diukur—dan urgensinya bergantung pada pengembangan mesin toleran galat daripada terobosan algoritmik. Tantangan infrastruktur dapat dikelola: melacak eksposur, merancang jalur migrasi, dan memperbarui aturan validasi. Tantangan naratif adalah memperbaiki terminologi: Bitcoin tidak menghadapi risiko pecah enkripsi karena tidak menggunakan enkripsi sama sekali. Ia menghadapi risiko pemalsuan tanda tangan dari kunci publik yang terekspos—dan garis waktu itu bergantung pada perangkat keras, bukan teori.