‘Kita perlu mengatasi hal ini sekarang’: Para ahli mendorong kriptografi yang aman terhadap kuantum

Dalam pengumumannya minggu lalu bahwa mereka telah merampungkan sebuah standar untuk enkripsi yang dapat menahan dekripsi oleh komputer kuantum, Institut Nasional Standar dan Teknologi (NIST) memohon kepada semua pihak yang berkepentingan — perusahaan, lembaga pemerintah, militer, dan lain-lain — untuk mulai mengadopsi standar tersebut “segera.”

Bagi yang belum tahu — dan bahkan bagi mereka yang familier dengan komputasi kuantum — mungkin tampak tidak perlu untuk terburu-buru mengadopsi apa yang disebut kriptografi pasca-kuantum (PQC). Tidak ada komputer kuantum yang ada saat ini yang dapat memecahkan enkripsi klasik, dan konsensus para ahli adalah bahwa hal itu akan memakan waktu setidaknya lima tahun sebelum ada komputer kuantum yang dapat melakukan hal itu.

Namun, industri perbankan telah mempersiapkan diri selama lebih dari setahun untuk momen saat NIST menyelesaikan standar kriptografi pascakuantum. Ada dua alasan utama untuk ini: yang pertama adalah bahwa dunia akan membutuhkan waktu yang lama untuk beralih ke standar enkripsi pascakuantum, dan yang kedua adalah bahwa data apa pun yang dicuri saat ini dapat didekripsi nanti.

Dalam laporan Maret 2023, Pusat Analisis dan Pembagian Informasi Layanan Keuangan merekomendasikan agar bank, serikat kredit, dan perusahaan layanan keuangan lainnya mulai mempersiapkan “segera” untuk standar kriptografi pasca-kuantum.

“Terlepas dari kemampuan kita untuk memprediksi kedatangan era komputasi kuantum secara tepat, kita harus segera mulai mempersiapkan sistem keamanan informasi kita untuk melawan kemampuan komputasi kuantum yang jatuh ke tangan yang salah,” demikian bunyi laporan FS-ISAC. “Tidak ada alasan mendesak untuk khawatir. Akan tetapi, organisasi jasa keuangan harus menyadari potensi dampak kriptografi kuantum.”

Banyak pakar yang setuju, dengan tingkat yang berbeda-beda. Karl Holmqvist, pendiri dan CEO perusahaan manajemen identitas Lastwall, berada di pihak yang sangat mendesak. Menurut Holmqvist, “waktu tidak berpihak pada kita” dalam upaya mengadopsi standar baru.

“Kita perlu mengatasinya sekarang,” kata Holmqvist. “Sudah waktunya untuk mulai bekerja dan menghilangkan kriptografi yang sudah ketinggalan zaman.”

Standar baru tersebut menandai “dimulainya era baru bagi CISO dan tim keamanan mereka,” menurut Duncan Jones, kepala keamanan siber untuk perusahaan komputasi kuantum Quantinuum. Menurut Jones, CISO perlu menanggapi ancaman bahwa data yang dicuri saat ini dapat didekripsi kapan saja di masa mendatang, ancaman yang juga dibahas dalam laporan FS-ISAC.

“Setiap CISO sekarang memiliki mandat untuk segera mengadopsi standar-standar baru ini bersama dengan metode-metode lain untuk memperkuat sistem keamanan siber mereka,” kata Jones.

Tidak ada alasan bagi bank untuk menunggu mengadopsi kriptografi pasca-kuantum, menurut Kevin Bocek, kepala inovasi di perusahaan manajemen identitas Venafi.

“Pekerjaan terbesar akan dilakukan untuk mengetahui di mana identitas mesin seperti sertifikat TLS dan sertifikat penandatanganan kode digunakan,” kata Bocek. “Ada ribuan atau bahkan ratusan ribu sertifikat yang digunakan. Setelah aplikasi diperbarui, sertifikat baru yang menggunakan standar baru dapat diganti.”

Bocek menunjukkan bahwa, tahun lalu, Google mengusulkan perubahan terhadap standar keamanan internet yang mengharuskan lembaga untuk membuat sertifikat autentikasi server baru — sertifikat yang digunakan perusahaan terutama untuk mengamankan situs web dan aplikasi mereka — secara lebih teratur. Daripada membuat sertifikat ini sekali setiap tahun, perusahaan harus membuatnya setiap tiga bulan.

Proposal tersebut tidak secara langsung berkaitan dengan standar enkripsi pascakuantum yang baru, dan tidak berarti bank perlu mencoba menerapkan kriptografi pascakuantum dalam 90 hari ke depan. Sebaliknya, proposal tersebut berkaitan dengan apa yang dilihat Google sebagai kebutuhan situs web untuk mengadopsi tingkat keamanan yang lebih tinggi.

Google mengusulkan perubahan tersebut dengan memperhatikan komputasi kuantum. artikelnya tentang proposalPengembang Google Chrome mengatakan proposal tersebut akan membantu mendorong otomatisasi dalam proses penerbitan sertifikat, yang pada gilirannya akan “meningkatkan ketangkasan yang dibutuhkan untuk mengubah ekosistem ke algoritma tahan kuantum dengan cepat.”

Bocek membandingkan perubahan yang diusulkan ini sebagai “uji coba” bagi lembaga-lembaga yang menjadi antikuantum.

“Jika kita tidak dapat mempersiapkan sertifikat 90 hari, maka kita akan benar-benar menghadapi tantangan dalam hal kesiapan pascakuantum,” kata Bocek.