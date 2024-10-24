Komputer quantum muncul dari fase riset murni dan menjadi alat yang berguna. Komputer ini digunakan di berbagai industri dan organisasi untuk menjelajahi tantangan terkini dalam layanan kesehatan dan ilmu hayati, fisika energi tinggi, pengembangan material, pengoptimalan dan keberlanjutan. Namun, seiring skala komputer quantum meningkat, itu juga akan mampu memecahkan masalah matematika sulit tertentu yang menjadi sandaran kriptografi kunci publik saat ini. Komputer quantum yang relevan secara kriptografis (CRQC) di masa depan mungkin akan merusak algoritma kriptografi asimetris global yang saat ini digunakan untuk membantu memastikan kerahasiaan dan integritas data serta autentikasi akses sistem.
Risiko yang dikenakan oleh CRQC sangatlah luas: kemungkinan pelanggaran data, gangguan infrastruktur digital, dan bahkan manipulasi global skala luas. Komputer quantum masa depan ini akan menjadi salah satu risiko terbesar bagi ekonomi digital dan menimbulkan risiko siber yang signifikan bagi bisnis.
Sudah ada risiko aktif saat ini. Saat ini penjahat siber mengumpulkan data terenkripsi dengan tujuan mendekripsi data ini nanti ketika CRQC siap membantu mereka, ancaman yang dikenal sebagai “panen sekarang, dekripsi nanti.” Jika mereka memiliki akses ke CRQC, mereka dapat secara retroaktif mendekripsi data, mendapatkan akses tidak sah ke informasi yang sangat sensitif.
Untungnya, algoritma Kriptografi Pasca-Quantum (PQC), yang mampu melindungi sistem dan data saat ini, telah distandarisasi. Institut Standar dan Teknologi Nasional (NIST) baru-baru ini merilis rangkaian pertama dari tiga standar:
Dua dari standar tersebut (ML-KEM dan ML-DSA) dikembangkan oleh IBM bersama kolaborator eksternal, sedangkan yang ketiga (SLH-DSA) dikembangkan bersama oleh seorang ilmuwan yang kini telah bergabung dengan IBM.
Algoritma tersebut akan diadopsi oleh pemerintah dan industri di seluruh dunia sebagai bagian dari protokol keamanan seperti “Transport Layer Security” (TLS) dan banyak lainnya.
Kabar baiknya adalah bahwa algoritma ini siap membantu kita untuk melindungi dari risiko quantum. Berita buruknya adalah bahwa perusahaan harus memigrasikan aset mereka untuk menerapkan standar PQC baru ini.
Program migrasi algoritma kriptografi sebelumnya membutuhkan waktu bertahun-tahun untuk diselesaikan. Tanyakan pada diri Anda sebagai organisasi: berapa lama program migrasi SHA1 ke SHA2 Anda? Bagaimana dengan program peningkatan infrastruktur kunci publik (PKI) Anda di mana Anda meningkatkan ukuran kunci rantai kepercayaan PKI dari 1024-bit menjadi 2048-bit, 3072-bit, atau 4096-bit? Berapa lama waktu yang dibutuhkan untuk meluncurkan semua itu di lingkungan perusahaan Anda yang kompleks? Beberapa tahun?
Dampak dari komputasi quantum dan penerapan standar PQC sangat luas, mencakup wilayah komprehensif organisasi Anda. Risiko komputasi quantum mempengaruhi lebih banyak sistem, alat dan layanan keamanan, aplikasi dan infrastruktur jaringan. Organisasi Anda perlu segera beralih ke standar PQC untuk melindungi aset dan data Anda.
Untuk melindungi organisasi Anda dari risiko “panen sekarang, dekripsi nanti”, kami menyarankan Anda untuk menjalankan program transformasi aman dari quantum. Mulai terapkan alat dan gunakan layanan yang memungkinkan Anda menerapkan standar enkripsi PQC yang baru-baru ini diumumkan.
IBM telah mengembangkan metodologi program aman dari quantum yang komprehensif, yang saat ini berjalan di puluhan klien, yang tersebar di berbagai industri utama dan puluhan negara, termasuk pemerintah nasional.
Kami menyarankan klien untuk mengadopsi program dengan tahap-tahap penting berikut:
Dalam tahap 1 perjalanan program, fokuslah pada area utama, seperti menciptakan kampanye kesadaran di seluruh organisasi untuk mendidik para pemangku kepentingan dan pakar keamanan (SME) tentang risiko quantum. Menetapkan “duta besar” atau “pahlawan” aman dari quantum yang selalu mengikuti perkembangan risiko quantum dan evolusi aman dari quantum serta bertindak sebagai kontak utama untuk program ini dan membantu membangun strategi perusahaan.
Selanjutnya lakukan penilaian risiko mengenai risiko quantum terhadap aset bisnis organisasi Anda yang relevan secara kriptografis, yang merupakan aset apa pun yang menggunakan atau bergantung pada kriptografi secara umum.* Misalnya, penilaian risiko dan dampak harus menilai relevansi bisnis aset, kompleksitas lingkungannya, dan kesulitan migrasi, di antara lainnya. Identifikasi kerentanan dalam aset bisnis, termasuk tindakan mendesak apa pun, dan buat laporan yang menyoroti temuan untuk pemangku kepentingan utama, guna membantu mereka memahami postur risiko quantum organisasi. Ini juga dapat berfungsi sebagai dasar untuk mengembangkan inventaris kriptografi perusahaan Anda.
Pada tahap 2, bimbing pemangku kepentingan Anda tentang cara mengatasi area prioritas yang diidentifikasi dan potensi kelemahan kriptografi dan risiko kuantum. Kemudian, rincian tindakan remediasi, seperti menyoroti sistem yang mungkin tidak dapat mendukung algoritma PQC. Terakhir, ungkapkan tujuan program migrasi.
Pada tahap ini, IBM membantu klien menguraikan peta jalan migrasi yang aman dari quantum yang merinci inisiatif aman-quantum yang diperlukan agar organisasi Anda dapat mencapai tujuannya.
Seperti yang kami sarankan kepada klien kami: Pertimbangkan inisiatif penting dalam peta jalan Anda, seperti mengembangkan kerangka kerja tata kelola untuk kriptografi, memprioritaskan sistem dan data untuk migrasi PQC. Perbarui praktik dan pedoman pengembangan perangkat lunak aman Anda untuk menggunakan PQC dengan desain dan menghasilkan Cryptography Bills of Material (CBOM). Bekerja sama dengan pemasok Anda untuk memahami dependensi pihak ketiga dan artefak kriptografi. Perbarui proses pengadaan Anda untuk fokus pada solusi dan layanan yang mendukung PQC untuk mencegah terciptanya hutang kriptografi baru atau sistem yang akan segera usang.
Salah satu kemampuan utama yang diperlukan adalah ‘pengamatan kriptografi’, inventaris kriptografi yang memungkinkan pemangku kepentingan untuk memantau kemajuan adopsi PQC sepanjang perjalanan menuju keamanan quantum. Inventaris semacam itu harus didukung oleh pengumpulan data otomatis, analisis data dan manajemen postur risiko dan kepatuhan.
Pada tahap 3, organisasi Anda menjalankan program migrasi aman dari quantum dengan menerapkan inisiatif berdasarkan sistem prioritas/risiko/biaya, tujuan strategis, kapasitas pengiriman, dll. Kembangkan strategi aman dari quantum yang ditetapkan melalui standar dan kebijakan keamanan informasi organisasi Anda.
Jalankan migrasi teknologi dengan menggunakan arsitektur referensi yang terstandardisasi, teruji, dan terbukti, serta pola migrasi, perjalanan, dan cetak biru yang telah teruji.
Sertakan pemberdayaan ketangkasan kriptografi dalam solusi pengembangan dan migrasi dan terapkan decoupling kriptografi dengan mengabstraksi pemrosesan kriptografi lokal ke layanan platform yang terpusat, diatur, dan mudah disesuaikan.
Sertakan dalam program Anda siklus masukan yang memuat pelajaran yang dipetik. Memungkinkan inovasi dan pengujian cepat dari pendekatan dan solusi baru untuk mendukung program migrasi di tahun-tahun mendatang.
Banyak elemen yang menantang untuk dimigrasi. Misalnya, komponen fundamental infrastruktur internet, seperti jaringan area luas (WAN), jaringan area lokal (LAN), konsentrator VPN, dan tautan Site-2-Site, akan lebih kompleks untuk dimigrasi. Oleh karena itu, elemen-elemen ini membutuhkan lebih banyak perhatian daripada yang memiliki penggunaan terbatas dalam organisasi. Layanan kriptografi inti seperti PKI, sistem manajemen kunci, sistem pembayaran aman, aplikasi kriptografi atau backend seperti HSM, enkripsi tautan, dan mainframe semuanya rumit untuk dimigrasi. Anda perlu mempertimbangkan ketergantungan pada aplikasi dan perangkat keras yang berbeda, termasuk masalah interoperabilitas teknologi.
Anda juga harus mempertimbangkan pengujian kinerja standar PQC terhadap sistem internal dan alur kerja data Anda untuk membantu memastikan kompatibilitas dan pengujian kinerja serta mengidentifikasi masalah apa pun. Misalnya, PQC terkadang membutuhkan kunci, ciphertext atau tanda tangan yang lebih panjang dibandingkan dengan algoritma yang saat ini digunakan, yang perlu diperhitungkan dalam integrasi dan pengujian kinerja. Beberapa teknologi penting organisasi masih bergantung pada kriptografi lama dan mungkin sulit atau bahkan tidak mungkin untuk dimigrasikan ke standar PQC. Pemfaktoran ulang dan perancangan ulang aplikasi mungkin diperlukan.
Tantangan lain termasuk kurangnya keterampilan atau dokumentasi, yang telah menciptakan kesenjangan pengetahuan dalam perusahaan Anda. Informasi hardcode dalam sistem/file konfigurasi/skrip, dll., Akan membuatnya lebih kompleks untuk bermigrasi.
Pastikan kunci enkripsi dan sertifikat digital Anda dilacak dan dikelola secara akurat. Manajemen yang buruk akan semakin mempersulit migrasi.
Tidak semua contoh penggunaan akan diuji oleh kelompok kerja PQC internasional. Akan ada banyak kombinasi atau konfigurasi teknologi yang unik untuk organisasi Anda, dan Anda perlu menguji sistem secara menyeluruh dari perspektif alur kerja menyeluruh.
Sekarang NIST telah merilis satu set standar PQC pertama, kita perlu mengantisipasi bahwa peraturan di luar AS akan segera menyusul. Contoh dalam konteks industri keuangan adalah:
Oleh karena itu, kami menyarankan Anda untuk fokus dalam mengembangkan kerangka kerja tata kelola kriptografi Anda, yang mencakup pengembangan strategi aman dari quantum untuk organisasi Anda. Ini harus selaras dengan tujuan dan visi strategis bisnis Anda serta rentang waktu target. Pusat keunggulan harus mendukung dan memberi saran sebagai bagian dari program transformasi. Kerangka kerja tata kelola harus fokus pada pilar inti seperti pengawasan peraturan organisasi Anda, jaminan kriptografi dan manajemen risiko, pengembangan kapasitas pengiriman, dan edukasi PQC. Ini harus mendukung adopsi praktik terbaik dalam pengembangan aplikasi Anda dan pola arsitektur keamanan pasokan dan dewan peninjauan desain teknis.
Program transformasi akan panjang dan kompleks. Ini membutuhkan banyak keterlibatan lintas departemen dan berbagai keterampilan. Pastikan Anda mengelola dan mengamati moral tim dan mempertimbangkan budaya kerja organisasi Anda dan praktik manajemen perubahan untuk membantu memastikan kohesi program selama penyampaian bertahun-tahun.
Juga, pertimbangkan pengembangan kemitraan, karena banyak organisasi bergantung pada banyak vendor khusus untuk industri dan ekosistem mereka. Berkolaborasi dengan rekan-rekan dalam industri Anda untuk bersana mempelajari dan berbagi ide dalam mengatasi risiko quantum dan migrasi PQC, melalui kelompok kerja dan kelompok pengguna.
Dari perspektif operasional, pastikan Anda memiliki katalog keterlacakan atas layanan utama perusahaan dan bisnis yang dipetakan ke peraturan dan undang-undang, serta mulai merencanakan jadwal transisi untuk masing-masingnya.
* Catatan: dalam banyak kasus, penggunaan kriptografi simetris pun akan bergantung pada bentuk tertentu kriptografi kunci publik, misalnya pertukaran kunci.
Perkuat pertahanan kriptografi Anda terhadap ancaman quantum masa depan dengan solusi aman dari quantum IBM.