Era kriptografi pasca-kuantum (PQC=Post Quantum Cryptography) semakin dekat. Perusahaan sejatinya mulai mempersiapkan diri sebelum tahun 2030, dimana para ahli memperkirakan bahwa komputer kuantum pertama yang sepenuhnya mampu mengkoreksi kesalahan dapat tersedia. Pembahasannya dapat dibaca pada artikel kami sebelumnya. (di sini)
Bagaimana perusahaan mempersiapkan era baru ini secara tepat tentu akan berbeda-beda, seperti halnya pertimbangan seputar penyeimbangan biaya jangka pendek dengan kemungkinan risiko lebih lanjut di masa depan. Eksekutif dan para pengambil keputusan perusahaan di bidang keamanan dan risiko harus mengevaluasi pilihan mereka, serta mulai bergerak.
Banyak perusahaan rintisan dan beberapa pemain kriptografi mapan telah menawarkan solusi PQC komersial sementara. Mengadopsi salah satu solusi dibawah ini bisa menjadi jalan terbaik bagi perusahaan yang perlu bertindak sekarang, namun ada kompromi dan kekurangan yang perlu dipertimbangkan dan disesuaikan dengan kondisi masing-masing perusahaan.
Penyesuaian dan investasi yang perlu dilakukan oleh para pemimpin keamanan perusahaan bergantung pada jenis solusi kriptografi pasca kuantum yang menjadi dominan di pasar. Dua kandidat yang menurut kajian McKinsey paling layak adalah sebagai berikut:
1. Quantum Key Distribution (QKD), yakni dua pihak bertukar kunci simetris melalui saluran kuantum yang aman. Solusi ini memerlukan perangkat keras kuantum tambahan untuk mengirimkan, memproses, dan menyimpan informasi kuantum.Â
QKD secara teoritis aman dari dekripsi oleh komputer kuantum, tetapi implementasi saat ini tetap relatif tidak praktis karena masalah biaya dan skalabilitas.
2. Classical Post Quantum Cryptography (CPQC), yakni dua pihak menggunakan metode kuantum, seperti enkripsi berbasis kisi, untuk mengenkripsi pesan melalui saluran klasik (seperti kabel serat optik).Â
Pendekatan ini aman dari dekripsi komputasi kuantum, tetapi memerlukan hardware baru, walaupun serupa dengan yang diperlukan untuk enkripsi tradisional, untuk beberapa aplikasi dan saat ini memerlukan pertukaran kinerja.
Saat ini, kedua solusi ini sudah tersedia. Akan tetapi, belum ada yang sepenuhnya dikomersialkan, dan keduanya memerlukan investasi tingkat pengguna dan infrastruktur tambahan.
Pertimbangan Pertama mengunakan solusi PQC adalah biaya. Solusi PQC saat ini hanya mencakup sekitar 2 persen dari pasar kriptografi global. Tanpa manfaat dari penetrasi dan skala yang dalam, solusi PQC lebih mahal daripada solusi kriptografi tradisional. Perusahaan yang perlu mengamankan sejumlah besar data, perangkat, dan sistem dalam jaringan dan protokol mereka akan mengalami keterbatasan.
Pertimbangan Kedua adalah solusi PQC masih baru lahir dan tidak mungkin untuk mengujinya terhadap komputer kuantum yang belum ada, sehingga belum terbukti secara meyakinkan memberikan perlindungan dari ancaman kuantum.Â
Akibatnya, perusahaan perlu memperoleh solusi konvensional dan PQC untuk memastikan tingkat keamanan setinggi mungkin jika mereka mengambil tindakan sekarang.Â
Perusahaan juga berisiko harus beralih ke solusi PQC berkinerja lebih tinggi yang akan dipasarkan di masa mendatang, terutama jika solusi yang tersedia saat ini dikecualikan dari peraturan di masa mendatang. Pertimbangkan bahwa beberapa algoritme pelindung telah dieliminasi oleh agensi besar Amerika Serikat, dengan beberapa kandidat tersisa di putaran terakhir tinjauan.
Pertimbangan Ketiga adalah solusi PQC yang tersedia saat ini membutuhkan daya komputasi tambahan yang signifikan dan waktu latensi yang lebih tinggi dibandingkan dengan standar yang ada.Â
Solusi saat ini belum praktis untuk perusahaan yang membutuhkan kinerja latensi rendah melalui saluran publik. Kondisi tersebut berlaku bagi perusahaan mana pun yang menjalankan aplikasi i-cloud yang membutuhkan data dalam jumlah besar untuk mengalir dengan cepat antara node lokal dan sumber daya komputasi yang terdesentralisasi.Â
Namun demikian, solusi PQC saat ini mungkin cukup untuk aplikasi dengan persyaratan latensi yang lebih rendah, seperti transfer bank sederhana yang tidak mendesak, atau transfer kontrak asuransi.
Mengingat risiko dan biaya yang ditimbulkan, sebagian besar perusahaan harus mengambil pendekatan menunggu dan melihat untuk solusi PQC. Pengecualian adalah perusahaan dan penggunaan yang mempertaruhkan keamanannya sangat tinggi, seperti dalam industri pertahanan, di mana bahkan perlindungan PQC sementara untuk beberapa sistem bernilai tinggi.Â
Demikian pula untuk data dengan masa pakai yang lama melebihi pengorbanan dalam biaya atau kinerja. Keadaan luar biasa lainnya adalah ketika akan lebih mahal atau tidak praktis, atau tidak mungkin, untuk mengakses dan memasang kembali sistem bernilai tinggi di masa depan dibandingkan dengan memasang beberapa perlindungan saat ini.
MERZA GAMALÂ
- Pengkaji Sosial Ekonomi Islami
- Author of Change Management & Cultural Transformation
- Former AVP Corporate Culture at Biggest Bank Syariah
