Kelompok industri menyebut ancaman kuantum untuk pembayaran masalah ‘mendesak’

Kelompok industri jasa keuangan yang berfokus pada keamanan siber yang merilis serangkaian empat kertas putih pada hari Kamis yang menguraikan dampak komputasi kuantum terhadap ekosistem pembayaran, dan perubahan spesifik yang perlu dilakukan industri ini untuk melindungi ekosistem dari ini mesin.

Kertas Dari Pusat Berbagi Informasi dan Analisis Layanan Keuangan, atau FS-ISAC, menggambarkan ancaman yang “tidak langsung, tetapi sangat mendesak.” Industri kartu pembayaran secara keseluruhan – dan semua sektor yang peduli tentang keamanan data – harus menanggapi ancaman, dan dalam banyak kasus di mana perusahaan berbagi sistem dan protokol dengan teman sebaya, responsnya harus kolaboratif, menurut makalah.

Komputer kuantum beroperasi dalam paradigma yang sama sekali berbeda dibandingkan dengan komputer klasik yang akrab bagi semua orang saat ini. Sebagai pengganti bit dan byte, komputer kuantum memiliki qubit. Mereka dapat menjalankan perhitungan tertentu dalam hitungan detik yang akan membutuhkan superkomputer klasik ribuan tahun untuk diselesaikan.

Setidaknya, itulah teorinya. Komputer kuantum yang ada saat ini di laboratorium di seperti IBM, Google dan Microsoft sebagian besar adalah mesin eksperimental yang belum dapat mengungguli komputer klasik dengan cara yang bermakna.

Namun, karena manfaat teoretis yang sangat besar yang dapat dimiliki oleh para ilmuwan dan peneliti yang terbukti, investasi global di lapangan dilaporkan Mencapai $ 55 miliar, semuanya dalam upaya membangun mesin yang lebih mampu dan, pada akhirnya, lebih banyak tersedia untuk umum.

Salah satu konsekuensi dari komputer kuantum yang unggul pada jenis matematika tertentu adalah bahwa banyak algoritma enkripsi yang digunakan untuk melindungi data saat ini akan menjadi usang begitu komputer kuantum cukup kuat untuk memecahkannya. Para peneliti telah menerbitkan algoritma bahwa komputer kuantum yang cukup besar dapat berjalan dengan cepat memecahkan kunci enkripsi, sedangkan kunci ini hampir tidak mungkin bagi komputer klasik untuk rusak.

Pengantar singkat untuk enkripsi

Ada dua jenis enkripsi utama: simetris dan asimetris. Dalam enkripsi simetris, kunci yang digunakan untuk mengenkripsi data adalah kunci yang sama yang digunakan untuk mendekripsi nanti. Dalam enkripsi asimetris, satu kunci-seringkali apa yang disebut kunci publik-digunakan untuk mengenkripsi data, dan kunci lain-kunci pribadi-digunakan untuk mendekripsi. Dengan demikian, enkripsi asimetris juga dikenal sebagai enkripsi kunci publik.

Akademisi telah menunjukkan bahwa komputer kuantum, sekali cukup kuat, akan dapat memecahkan algoritma enkripsi asimetris yang biasanya digunakan saat ini. Algoritma ini adalah RSA (inisiisme untuk Rivest-Shamir-Adleman, tiga penemu algoritma) dan kriptografi kurva elips.

Namun, algoritma enkripsi simetris tertentu yang digunakan saat ini secara efektif kebal terhadap komputer kuantum. Ini adalah standar enkripsi canggih, atau AES, algoritma, yang diterbitkan oleh National Institute of Standard and Technology, atau NIST, pada tahun 2001.

Penggunaan kasus yang menggunakan AES akan tetap aman di masa mendatang, menurut FS-ISAC dan NIST. Namun, penggunaan kasus yang menggunakan RSA atau sejenisnya perlu bertransisi untuk menggunakan algoritma enkripsi anti-kuantum yang diselesaikan oleh NIST, menurut laporan FS-ISAC.

Salah satu algoritma anti-kuantum seperti itu ada: mekanisme enkapsulasi kunci berbasis modul, atau ML-KEM.

Para peneliti mengirimkan versi sebelumnya dari ML-KEM ke NIST pada tahun 2017, ketika agensi pertama kali mulai mengumpulkan pengiriman untuk proyek kriptografi pasca-kuantum. Pada saat itu, itu dikenal sebagai Crystals-Kyber.

ML-KEM adalah satu-satunya algoritma enkripsi kunci publik yang bertahan dari bidang 49 yang dipertimbangkan NIST-kredit untuk kekokohan dan keamanan keseluruhannya.

Mengganti RSA dengan ML-KEM-atau algoritma enkripsi anti-kuantum lainnya yang diselesaikan NIST selama tahun-tahun mendatang-tidak akan sederhana, dan salah satu contoh paling jelas dari kesulitan yang akan datang dengan transisi ini datang dalam bentuk keripik EMV ini .

Bagaimana chip EMV perlu diubah

Chip EMV adalah komputer di dalam kartu debit dan kredit modern. Kartu dengan chip EMV memiliki patch kontak logam yang terhubung ke titik penjualan, atau POS, untuk memproses pembayaran. Chip tidak hanya menyimpan informasi kartu; Ini juga menjalankan perhitungan terkait enkripsi menggunakan data dari POS dan jaringan pembayaran untuk mengautentikasi pembayaran dengan aman.

Chip EMV saat ini tidak mendukung kunci atau sertifikat yang terkait dengan ML-KEM, yang berarti bahwa miliaran kartu yang saat ini beredar tidak sepenuhnya mendukung kriptografi pasca-kuantum.

Komputasi kuantum bukan satu -satunya ancaman keamanan bagi ekosistem pembayaran. Banyak chip EMV menyimpan informasi kriptografi (kunci dan sertifikat) yang berasal dari algoritma yang disebut Triple DES, atau 3DES. Triple DES adalah standar enkripsi yang dikembangkan oleh NIST dan diterbitkan pada tahun 1981, tetapi pada tahun 2016, para peneliti keamanan mengidentifikasi kerentanan besar dalam standar enkripsi.

Dengan demikian, NIST mendeklarasikan Triple Des menjadi sudah tidak digunakan lagi pada tahun 2019 dan merekomendasikan untuk melarang dukungan pada tahun 2023. Namun, Triple DES biasanya digunakan untuk menyandikan informasi tertentu yang digunakan oleh jaringan kartu untuk mengotentikasi transaksi, dan ada beberapa hambatan teknis untuk memajukan industri.

“Tidak jelas apakah standar EMV saat ini kompatibel dengan AES” karena jumlah data yang berbeda yang digunakan Triple DES dan AES untuk enkripsi, membaca salah satu makalah FS-ISAC yang diterbitkan Kamis

“Bahkan jika ini diselesaikan,” makalah ini melanjutkan, “akan ada tantangan dengan implementasi karena chip harus dibuat kompatibel sambil mempertahankan sistem kerusakan dan penyediaan kerusakan mereka” dan modul keamanan perangkat keras pada chip perlu dapat mendukung algoritma baru.

Namun, hari ini, “tidak ada informasi yang tersedia untuk umum tentang mengubah EMV,” menurut makalah FS-ISAC.

Masalah chip EMV adalah salah satu dari banyak tantangan

Sebagaimana dirinci dalam makalah FS-ISAC, tantangan dengan chip EMV yang bergerak ke standar enkripsi modern adalah salah satu dari banyak kesulitan yang dihadapi industri pembayaran saat ancaman komputasi kuantum tampak.

Otorisasi transaksi dengan garis -garis magnetik pada kartu membutuhkan penggunaan Triple DES. Karena itu, dan juga betapa mudahnya bagi aktor buruk untuk hanya menyalin garis-garis ini, mitigasi FS-ISAC yang direkomendasikan adalah dengan hanya pensiunnya teknologi-sesuatu yang sudah dilakukan oleh MasterCard untuk seseorang.

Pembayaran kartu online (juga dikenal sebagai pembayaran kartu-tidak ada) juga rentan. Jika seorang penyerang memperoleh banyak nilai CVV tiga digit (angka-angka di bagian belakang kartu, yang digunakan untuk mengotentikasi transaksi online), mereka secara teoritis dapat memperoleh kunci yang digunakan untuk menghasilkan nilai-nilai ini, yang kemudian dapat menyebabkan “kompromi dari Kartu lain dan penipuan luas pada banyak kartu, “menurut kertas FS-ISAC.

Secara keseluruhan, makalah melukiskan gambaran yang jelas bahwa industri kartu pembayaran harus menanggapi ancaman komputasi kuantum selama tahun-tahun mendatang dengan memperbaiki standar penggunaan luas saat ini, untuk melindungi data kartu dan mencegah penipuan yang diaktifkan kuantum di masa depan.

“Memindahkan infrastruktur kriptografi dari algoritma saat ini ke algoritma crypto-resilient adalah karya yang signifikan dan akan membutuhkan partisipasi beberapa pemangku kepentingan di infrastruktur pembayaran kartu,” membaca salah satu kertas FS-ISAC.