Penulis: Michael Epley, Chief Architect & Security Strategist, Red Hat
Revolusi kuantum telah ada di depan mata, bagaimana dampak dan pengaruhnya terhadap keamanan siber? Red Hat mengungkap cara menjadi quantum-ready.
Red Hat mempunyai posisi yang unik dalam membantu mempersiapkan berbagai pengguna platform kriptografi yang embedded untuk bertransisi ke dunia post-quantum.
Pemerintah Amerika Serikat bahkan menyebut kesiapan menghadapi era kuantum sebagai “imperative” di dalam National Security Memorandum terbarunya.
"[Menjadi quantum-ready] merupakan suatu keharusan (imperative) di semua sektor dalam perekonomian Amerika Serikat, mulai dari pemerintahan, hingga infrastruktur penting, layanan komersial, hingga penyedia cloud, dan tempat lain yang menggunakan kriptografi publik yang penting namun rentan." - NSM-10
Sebagian dari misi Red Hat adalah menjadi pemimpin dalam menyediakan solusi inovatif yang menyiapkan pengguna di berbagai sektor untuk menghadapi pergeseran teknologi, dengan revolusi kuantum yang terdekat. Dengan peningkatan dramatis dalam kemampuan komputasi yang disebabkan oleh komputasi kuantum, apa artinya ini bagi keamanan siber?
Risiko yang ditimbulkan oleh kuantum
Saat ini, bahaya dari jatuhnya data terenkripsi ke tangan yang salah benar-benar nyata. Pelaku kejahatan dan state actor ingin mengambil informasi penting untuk melakukan dekripsi dan eksploitasi di masa depan.
Sistem kriptografi saat ini, seperti RSA, mengandalkan faktorisasi prima atau sistem matematika lain. Sistem tersebut bekerja baik dengan kemampuan komputasi saat ini. Namun dengan daya komputasi kuantum, sistem tersebut lebih siap dikompromikan (compromised). Implikasi atas kepercayaan kita terhadap platform komputasi, software distribution, keamanan data, dan telekomunikasi sangat besar.
Semua jenis sistem informasi sangat rentan. Bahkan sistem yang biasanya tidak dianggap sebagai kriptografi masih menggunakan kriptografi secara tidak jelas atau samar di mata pengguna akhir. Ini artinya bahkan lingkungan ini akan rentan terhadap Cryptographically Relevant Quantum Computer (CRQC).
Salah satu risiko terbesar yang ditimbulkan dari pergeseran ke komputasi kuantum adalah terkikisnya kepercayaan terhadap platform komputasi. Perhatikan dampak pada:
- Root of trust terhadap hardware tergantung pada Secure Boot, TPM, FIDO dan berbagai mekanisme yang terlindungi secara kriptografis, untuk mencegah pencurian data. Ini termasuk perangkat edge yang menjalankan pabrik dan mengumpulkan data dari lapangan.
- Distribusi software (termasuk layanan berbasis web) dan signing system yang masih Anda percaya dan jalankan. Namun banyak dari sistem ini tidak mengalami perubahan dalam puluhan tahun karena tidak ada kebutuhan untuk itu.
- Data dan identitas Anda, termasuk properti, kesehatan, catatan keuangan dan cryptocurrency, semua yang tergantung pada catatan elektronik dan sistem transfer.
- Layanan telekomunikasi dan online yang membentuk daily fabric pada situs web, e-commerce, media sosial, ponsel, dan 5G - profil media sosial dan profil online lainnya yang diciptakan sampai hari ini, Facebook saja yang sudah berdiri selama 20 tahun.
Kerangka waktu penggunaan kriptografi sudah tumpang tindih dengan kemungkinan kerangka waktu pengenalan CRQC. Ini artinya kriptografi yang kita kenal sudah harus berevolusi.
Beralih ke kriptografi post-quantum
Dunia harus menganalisa dan, jika perlu, mengganti cryptosystem yang rentan dengan alternatif post-quantum. Red Hat mengenali kebutuhan ini dan sudah bekerja sama dengan organisasi terkemuka seperti NIST dan IBM untuk membuat standar dan mengimplementasikan enkripsi post-quantum.
Berbeda dengan komputer kuantum powerful yang masih dalam pengembangan, kriptografi post-quantum kini sudah tersedia. Dengan mengadopsi evolusi ini, Anda bisa berupaya untuk dengan lebih baik melindungi data Anda dari ancaman yang ada pada saat ini dan di masa depan.
“Mengetahui ke mana arah migrasi kriptografi post-quantum membutuhkan langkah-langkah penemuan awal untuk pengembangan peta jalan migrasi. Ini termasuk mengidentifikasi standar yang terdampak oleh standards developing organizations (SDO) dan konsortium, dan mengidentifikasi aplikasi dan protokol yang penting, baik di enterprise maupun sektor-sektor lain.” - NIST
Bantuan Red Hat untuk menuju quantum-ready
Komunitas open source sedang membangun dan menguji implementasi algoritma finalis NIST untuk mengevaluasi drop-in suitability terhadap kriptosistem yang sudah ada seperti RSA atau ECDSA. Ini termasuk menilai performa dan karakteristik lain dari implementasi ini untuk meningkatkan dan mengukur potensi dampak terhadap dependent system.
Sebagai provider enterprise dan platform terpercaya, Red Hat memiliki sejarah panjang dalam membantu organisasi mengadopsi teknologi IT enterprise terdepan, mulai dari Linux dan container, hingga Kubernetes dan serverless. Selain itu, Red Hat juga membantu tim TI membangun dan menyempurnakan kondisi keamanan seputar kemajuan tersebut.
Dalam mengantisipasi keamanan siber di dunia post-quantum, Red Hat memperbarui standar dan teknologi yang berdekatan dan menyiapkan sistem operasi generasi baru dan platform berlapis untuk mendukung dan menawarkan kriptografi post-quantum.
Red Hat membantu menavigasi transisi rumit menuju dunia yang quantum-ready dengan sedikit disrupsi sekaligus mendapatkan postur keamanan yang lebih kuat untuk mengatasi tantangan-tantangan baru tersebut.
Tantangan kriptografi kuantum
Migrasi ke kriptografi post-quantum adalah tugas sangat besar yang membutuhkan perencanaan dan eksekusi yang cermat. Red Hat berfokus untuk mengatasi tantangan-tantangan ini secara langsung karena dampaknya yang besar terhadap TI. Penting untuk memiliki solusi target yang siap untuk mengatasi masalah-masalah spesifik di setiap fase dalam siklus migrasi.
- Ketika organisasi regulator dan sertifikasi seperti NIST belum siap melakukan finalisasi algoritma dan sistem berdasarkan kemajuan ini, pengadopsi awal harus bersiap untuk restart atau melakukan revert terhadap migrasi yang sedang berlangsung di tengah jalan. Solusi awal mungkin harus berfokus pada agilitas untuk mengurangi waktu yang dibutuhkan untuk transisi ke alternatif dan memungkinkan update yang lebih mudah untuk standar kriptografi di masa depan, saat dibutuhkan.
- TI modern adalah sentral pada hampir semua aspek di perusahaan, industri dan misi. IT sprawl menciptakan tantangan besar ketika harus bertransisi ke kriptografi post-quantum, yang artinya kadang-kadang operasional akan memasukkan lingkungan kriptografi campuran dan hybrid. Otomatisasi proses penilaian dan evaluasi bisa membantu mendorong prioritas dengan data dan bukti, yang mengarah pada sasaran migrasi di individual system.
- Mampu melanjutkan operasional bisnis selama proses disruptif ini akan jadi sangat penting. Tim TI harus sering menganalisis dan menilai risiko dan dampak operasional terhadap sistem, yang bisa membantu mencegah mangkraknya modernisasi kriptografi atau berhenti sama sekali. Solusi awal yang bisa melapisi teknologi keamanan yang sudah ada dan berjalan sesuai dengan protokol dalam mixed deployment akan dibutuhkan, begitu juga tools khusus untuk menguji dan memvalidasi serta mengukur performa, biaya, skala dan dampak keseluruhan dari cryptosystem baru ini terhadap sistem enterprise.
Bersiap jadi quantum-ready
Bermitra dengan IBM dan organisasi seperti QuSecure, Red Hat memperluas ekosistem dan komunitas demi memajukan pendekatan enterprise terhadap teknologi yang quantum-ready. Tujuannya untuk memperluas solusi yang sudah ada dan tervalidasi yang membantu melindungi aliran data Anda hari ini sekaligus mempersiapkan Anda untuk masa depan.
Tak perlu menunggu sampai komputasi kuantum menimbulkan masalah terhadap data penting perusahaan. Dengan dukungan Red Hat, organisasi dan perusahaan bisa memulai perjalanan menuju dunia yang quantum-ready hari ini.
Red Hat telah bekerja sama dengan tim QuSecure untuk mengembangkan platform Red Hat, di antaranya Red Hat Enterprise Linux (RHEL), Red Hat OpenShift dan Red Hat Ansible Automation Platform. Dengan melakukan decoupling pada encryption layer dan menggunakan platform tepercaya, perusahaan dan organisasi dapat beradaptasi dengan kriptografi post-quantum secara lebih baik, sekaligus membatasi disrupsi terhadap sistem yang sudah ada.