Secara praktis, komputer kuantum masih membutuhkan waktu beberapa tahun lagi, namun Badan Keamanan Siber dan Infrastruktur AS masih merekomendasikan agar organisasi-organisasi mulai mempersiapkan diri menghadapi ancaman tersebut. migrasi ke standar kriptografi pasca-kuantum.
Komputer kuantum menggunakan bit kuantum (qubit) untuk menghasilkan daya dan kecepatan komputasi yang lebih tinggi, dan diharapkan mampu memecahkan algoritma kriptografi yang ada, seperti RSA dan kriptografi kurva elips. Hal ini akan berdampak pada keamanan semua komunikasi online serta kerahasiaan dan integritas data. Pakar keamanan telah memperingatkan bahwa komputer kuantum praktis dapat terwujud dalam waktu kurang dari sepuluh tahun.
Institut Standar dan Teknologi Nasional mengumumkan empat algoritme tahan kuantum pertama yang akan menjadi bagian dari standar kriptografi pasca-kuantum pada bulan Juli, namun standar akhir diperkirakan baru akan tercapai pada tahun 2024. Meski begitu, CISA mendorong operator infrastruktur penting untuk memulai persiapan mereka terlebih dahulu.
“Meskipun teknologi komputasi kuantum yang mampu memecahkan algoritme enkripsi kunci publik dalam standar saat ini belum ada, pemerintah dan entitas infrastruktur penting—termasuk organisasi publik dan swasta—harus bekerja sama untuk mempersiapkan standar kriptografi pasca-kuantum yang baru untuk bertahan melawan ancaman di masa depan,” kata CISA.
Untuk membantu organisasi dengan rencana mereka, NIST dan Departemen Keamanan Dalam Negeri mengembangkan Peta Jalan Kriptografi Pasca-Quantum. Langkah pertama yang harus dilakukan adalah membuat inventarisasi sistem infrastruktur penting yang rentan, kata CISA.
Organisasi harus mengidentifikasi di mana, dan untuk tujuan apa, kriptografi kunci publik digunakan, dan menandai sistem tersebut sebagai sistem yang rentan terhadap kuantum. Hal ini termasuk membuat inventaris kumpulan data paling sensitif dan penting yang harus diamankan untuk jangka waktu yang lama, dan semua sistem yang menggunakan teknologi kriptografi. Memiliki daftar semua sistem akan memudahkan transisi ketika tiba saatnya untuk beralih.
Organisasi juga perlu menilai tingkat prioritas untuk setiap sistem. Dengan menggunakan informasi inventaris dan prioritas, organisasi kemudian dapat mengembangkan rencana transisi sistem ketika standar baru diterbitkan.
Para profesional keamanan juga didorong untuk mengidentifikasi standar akuisisi, keamanan siber, dan keamanan data yang perlu diperbarui untuk mencerminkan persyaratan pasca-kuantum. CISA mendorong peningkatan keterlibatan dengan organisasi yang mengembangkan standar pasca-kuantum.
Fokus badan tersebut pada inventarisasi sejalan dengan rekomendasi yang dibuat oleh Wells Fargo di Konferensi RSA awal tahun ini. Dalam sesi yang membahas perjalanan kuantum raksasa keuangan ini, Richard Toohey, analis teknologi di Wells Fargo, menyarankan agar organisasi memulai inventaris kripto mereka.
“Temukan di mana Anda memiliki contoh algoritma tertentu atau jenis kriptografi tertentu, karena banyaknya orang menggunakan Log4j dan tidak tahu karena terkubur begitu dalam?” kata Toohey. “Itu adalah pertanyaan besar, untuk mengetahui setiap jenis kriptografi yang digunakan di seluruh bisnis Anda dengan semua pihak ketiga — itu bukanlah hal yang sepele. Itu merupakan pekerjaan yang berat dan itu harus dimulai sekarang.”
Wells Fargo memiliki “tujuan yang sangat agresif” untuk siap menjalankan kriptografi pasca-kuantum dalam lima tahun, menurut Dale Miller, kepala arsitek arsitektur keamanan informasi di Wells Fargo.
Memigrasi sistem kontrol industri (ICS) ke kriptografi pasca-kuantum akan menjadi tantangan besar bagi operator infrastruktur penting, terutama karena peralatan tersebut seringkali tersebar secara geografis, kata CISA dalam peringatannya. Meski begitu, CISA mendesak organisasi infrastruktur penting untuk memasukkan tindakan yang diperlukan untuk mengatasi risiko dari kemampuan komputasi kuantum ke dalam strategi mereka.
CISA bukan satu-satunya yang membunyikan alarm untuk memulai. Pada bulan Maret, Kelompok Kerja Quantum-Safe dari Cloud Security Alliance (CSA) menetapkan tenggat waktu pada tanggal 14 April 2030, yang mana perusahaan harus memiliki infrastruktur pasca-kuantum.
“Jangan menunggu sampai komputer kuantum digunakan oleh musuh kita untuk bertindak. Persiapan awal akan memastikan kelancaran migrasi ke standar kriptografi pasca-kuantum setelah tersedia,” kata CISA.
