Kriptografi pasca kuantum (PQC=Post Quantum Cryptography), juga disebut enkripsi kuantum (quantum encryption), adalah pengembangan sistem kriptografi untuk komputer klasik yang mampu mencegah serangan yang diluncurkan oleh komputer kuantum.
Pada era 1980-an, para ilmuwan berspekulasi bahwa jika komputer dapat mengambil keuntungan dari sifat unik mekanika kuantum, mereka dapat melakukan perhitungan yang rumit jauh lebih cepat daripada komputer biner klasik. Komputer kuantum dapat mengambil keuntungan dari sifat kuantum seperti superposisi dan keterikatan, dan dapat menyelesaikan beberapa jenis perhitungan kompleks dalam hitungan jam. Sementara, komputer klasik membutuhkan beberapa tahun untuk menyelesaikan perhitungan yang sama.
Komputasi kuantum menjanjikan untuk masalah yang tidak terjangkau oleh komputer berperforma tinggi yang tersedia saat ini, yang berpotensi mendorong kemajuan di berbagai bidang seperti pengembangan obat-obatan yang menyelamatkan jiwa atau teknologi baterai ramah lingkungan. Namun, kekuatan teknologi juga menimbulkan risiko keamanan siber yang signifikan.
Komputer kuantum yang sepenuhnya mengkoreksi kesalahan (yang dapat memberikan hasil yang sangat akurat) akan mampu mengalahkan protokol enkripsi tradisional yang umum digunakan. Dan para ahli memperkirakan bahwa komputer kuantum pertama yang sepenuhnya mampu mengkoreksi kesalahan dapat tersedia segera setelah 2030.
Para pemimpin manajemen risiko siber memiliki waktu untuk bersiap hingga tahun 2030, tetapi era kriptografi pasca kuantum (PQC) telah dimulai bagi banyak perusahaan, baik disadari atau tidak. Misalnya, kendaraan yang semakin terhubung harus memenuhi standar keamanan yang tinggi untuk melindungi keselamatan dan privasi pengguna untuk kehidupan mereka yang dapat digunakan, yang dapat dengan mudah melampaui tahun 2040, saat para ilmuwan percaya komputer kuantum yang dikoreksi kesalahan akan tersedia.
Ancaman siber sebelumnya memerlukan pembaruan pada protokol keamanan utama, dan komputasi kuantum akan membuat beberapa protokol pada dasarnya tidak aman. Perusahaan perlu mengubah protokol perlindungan mereka secara signifikan, yang akan membutuhkan waktu dan sumber daya untuk diterapkan. Namun, jalur yang tepat ke depan tidak jelas karena solusi PQC masih terbentuk.
Meskipun sebagian besar data yang saat ini digunakan dan disimpan tidak akan terpengaruh, keamanan data dalam jumlah besar, sistem kritis, dan produk unggulan masih dipertaruhkan. Pemimpin keamanan dapat memulai dengan menjawab dua pertanyaan penting:
- Kapan tepatnya mereka harus memulai upaya mitigasi, dan
- Langkah apa yang dapat mereka ambil untuk melindungi data dan sistem organisasi perusahaan mereka?
Waktu yang optimal bervariasi di seluruh industri serta di dalam organisasi dan menentukan opsi untuk mengurangi ancaman dari PQC.
Ketika komputer kuantum yang dikoreksi kesalahan sepenuhnya tersedia, tingkat ancaman untuk protokol saat ini akan bervariasi. Sistem kuantum ini akan dapat mendekripsi protokol keamanan asimetris yang banyak digunakan, seperti RSA atau algoritma kurva elips yang umum digunakan.
Protokol tersebut sebagian besar digunakan untuk mendistribusikan pesan aman (atau kunci) melalui jaringan publik seperti internet publik. Dengan protokol ini, siapa pun dapat mengenkripsi pesan, tetapi hanya pengirim asli yang memiliki kunci untuk mendekripsinya. Namun, komputasi kuantum akan memungkinkan untuk memecahkan kode pesan terenkripsi tanpa kunci ini, membuat pesan terenkripsi dapat dibaca.
Di sisi lain, protokol enkripsi simetris, di mana pengirim dan penerima bertukar kunci enkripsi dan dekripsi sebelum memperdagangkan informasi, saat ini dianggap aman dari ancaman kuantum. Sayangnya, tidak selalu praktis untuk menggunakan protokol ini untuk pertukaran informasi yang cepat melalui jaringan publik, karena mereka mengandalkan koresponden yang secara aman memperdagangkan kunci kriptografi sebelum bertukar data.
Mengelola sejumlah besar kunci yang diperlukan saat bertukar pesan dalam jumlah besar juga disertai dengan biaya komputasi yang cukup besar. Akibatnya, berbagi kunci simetris secara efisien adalah masalah kritis yang perlu ditangani sebelum menggunakan protokol ini.
Memahami nilai keamanan siber untuk sebuah organisasi perusahaan biasanya merupakan langkah pertama dalam penilaian keamanan tradisional, baik secara umum maupun untuk perlindungan sistem dan produk tertentu. Mengukur nilai yang terpapar pada risiko ini adalah kunci untuk merumuskan strategi yang tepat terhadap ancaman dan tanggapan terhadap potensi pelanggaran keamanan.
Komputer kuantum yang sepenuhnya dikoreksi kesalahan belum tersedia. Oleh karena itu, strategi keamanan kuantum dimulai dengan pertanyaan tentang waktu. Manajer risiko perlu memeriksa dua karakteristik utama dari aset berprioritas tinggi, yaitu:
- masa simpan data serta masa pakai sistem dan
- siklus pengembangan secara rinci,
untuk menentukan kapan harus memulai langkah-langkah mitigasi kuantum. (Sumber: McKinsey Digital Insight, 4 Mei 2022).
Kedua faktor tersebut harus dipertimbangkan bersama. Secara umum, perusahaan dengan risiko nilai substansial yang memiliki data dengan masa simpan yang lama dan sistem atau produk dengan masa pakai yang lebih lama atau siklus pengembangan harus merumuskan tanggapan mereka terhadap PQC sekarang.
Perusahaan yang memiliki data atau sistem dengan masa pakai lebih lama mungkin memiliki sedikit lebih banyak waktu untuk bertindak. Organisasi dengan data dan sistem dengan durasi yang lebih pendek memiliki waktu yang lebih lama. Oleh karena itu, pertimbangkan umur simpan data.
Beberapa data yang dihasilkan saat ini, seperti data rahasia pemerintah, informasi kesehatan pribadi, atau rahasia dagang, akan tetap berharga ketika komputer kuantum pertama yang dikoreksi kesalahan diharapkan tersedia. Misalnya, kontrak asuransi jiwa jangka panjang mungkin sudah sensitif terhadap ancaman kuantum di masa depan karena masih bisa aktif ketika komputer kuantum tersedia secara komersial. Setiap data jangka panjang yang ditransfer sekarang di saluran publik akan berisiko dicegat dan didekripsi di masa mendatang.
Peraturan tentang PQC belum ada, sehingga kemungkinan data yang ditransfer hari ini didekripsi di masa depan belum menimbulkan risiko kepatuhan (compliance risk). Untuk saat ini, yang jauh lebih signifikan adalah konsekuensi masa depan bagi organisasi perusahaan, bagi pelanggan dan pemasok mereka, dan bagi hubungan tersebut. Namun, pertimbangan peraturan juga akan menjadi relevan seiring berkembangnya lapangan, yang dapat mempercepat kebutuhan beberapa organisasi untuk bertindak.
Sama seperti data, beberapa sistem fisik penting yang dikembangkan saat ini, perangkat keras dan, pada tingkat lebih rendah, perangkat lunak yang digunakan untuk mengumpulkan, memproses, dan menyimpan data dan produk perusahaan akan tetap digunakan saat komputer kuantum pertama yang sepenuhnya dikoreksi kesalahan diharapkan untuk online.
Kondisi tersebut berlaku terutama untuk sistem dan produk dengan jadwal pengembangan yang panjang dan masa operasional lebih dari sepuluh tahun, serta produk dengan jadwal produksi yang panjang. Misalnya, produsen otomotif sedang mengembangkan kendaraan yang sangat terhubung yang harus memenuhi standar keamanan tinggi untuk melindungi keselamatan dan privasi pengguna.
Dengan siklus pengembangan kira-kira lima tahun, siklus produksi sekitar tujuh tahun, dan masa pakai kendaraan kira-kira sepuluh tahun, mobil yang dikembangkan hari ini kemungkinan besar masih akan digunakan di jalan setelah tahun 2040. Akibatnya, pembaruan over-the-air untuk kendaraan-kendaraan ini akan sangat sensitif terhadap ancaman kuantum.
Banyak sistem pemerintahan juga memiliki masa pakai yang lama, seringkali karena sistem tersebut sulit diperbarui karena biaya dan peraturan terkait. Oleh karena itu, sebelum memutuskan jalur mitigasi, pemilik data, sistem, dan produk harus menciptakan pemahaman internal bersama tentang seberapa sensitif berbagai tipe data dan sistem mereka terhadap ancaman kuantum berdasarkan dua faktor tersebut. Idealnya, ini akan dilakukan sebagai bagian dari katalogisasi data standar dan penilaian risiko.
MERZA GAMALÂ
- Pengkaji Sosial Ekonomi Islami
- Author of Change Management & Cultural Transformation
- Former AVP Corporate Culture at Biggest Bank Syariah
