By Dan O'Shea diposting 28 Sep 2022
Dalam beberapa bulan terakhir, ada rasa urgensi yang meningkat di AS seputar kriptografi pasca-kuantum (PQC), dengan Gedung Putih Biden dan kelompok-kelompok seperti Badan Keamanan Nasional (NSA) dan Badan Keamanan Infrastruktur dan Keamanan Siber (CISA) mendesak pemerintah lembaga dan organisasi lain bersiap untuk melindungi diri dari ancaman keamanan yang ditimbulkan oleh komputer kuantum.
Ke dalam lingkungan itu NSA baru-baru ini mengeluarkan sebuah penasehat, the Algoritma Keamanan Nasional Komersial 2.0 (CNSA 2.0), yang mungkin tampak seperti menggaruk kepala pada awalnya. Itu termasuk, di antara persyaratan persiapan lainnya, garis waktu untuk menyelesaikan transisi ke PQC untuk “sistem keamanan nasional (NSS) dan aset terkait” pada tahun 2035. Menetapkan tenggat waktu lebih dari 12 tahun mungkin tampak berlawanan dengan urgensi (dan awalnya beberapa pengamat industri secara pribadi mengungkapkan keterkejutan mereka kepada IQT mengenai detail khusus ini). Namun, dalam minggu-minggu sejak pengumuman NSA awal September, IQT telah berbicara dengan pakar keamanan di beberapa perusahaan yang mengindikasikan bahwa garis waktunya sepenuhnya tepat, mengingat banyaknya pekerjaan yang harus dilakukan untuk migrasi yang tepat dari enkripsi lama, dan mengingat bahwa baru penyebaran teknologi oleh lembaga pemerintah jarang bergerak cepat.
“Dapat dimengerti bahwa pemerintah AS telah melembagakan jadwal yang begitu lama untuk transisi ke PQC karena merupakan salah satu yang terbesar dan paling kompleks organisasi di dunia dengan proses yang rumit untuk menentukan strategi mereka, anggaran, persyaratan, dan prioritas,” kata Jen Sovada, Presiden Sektor Publik di SandboxAQ, dan juga pensiunan Kolonel Angkatan Udara AS. “Mereka juga memiliki beberapa jaringan global yang paling rumit dan saling terhubung yang harus tersedia terus menerus. Meskipun garis waktu adopsi yang diperpanjang, pemerintah AS mulai bertransisi sekarang ke PQC untuk bertahan dari kampanye tangkap dan eksploitasi, juga dikenal sebagai toko sekarang mendekripsi serangan selanjutnya, sehingga sebagai komputer kuantum yang toleran terhadap kesalahan dan koreksi kesalahan muncul, mereka akan dilindungi.”
Dia menambahkan bahwa dokumen NSA CSNA 2.0 tidak memperlambat badan-badan di pemerintah federal yang telah bekerja untuk menjadi pengadopsi awal PQC. “Kami sudah bekerja dengan banyak pengadopsi awal sambil juga membantu mendidik mereka yang tidak terbiasa dengan teknologi. Jika ada, garis waktu telah membantu menyelaraskan prioritas kami dan mendorong adopsi awal
Strategi migrasi PQC di seluruh pemerintah federal.”
Duncan Jones, Kepala Cybersecurity di Quantinuum, setuju, mengatakan, “Tidak ada kejutan besar di sini. Secara keseluruhan, panduan ini masuk akal dan sesuai dengan panduan serupa dari CISA dan organisasi terkait. Batas waktu 2035 NSA konsisten dengan persyaratan dalam memo keamanan nasional yang dikeluarkan awal tahun ini.”
Jones menambahkan bahwa meskipun tahun 2035 masih jauh, aset NSS yang paling penting akan mendapat prioritas tertinggi saat upaya migrasi dimulai. “Tiga belas tahun mungkin terdengar seperti waktu yang lama, tapi itu akan datang dengan sangat cepat. Migrasi tidak dapat terjadi sekaligus, jadi sistem penting harus dimigrasi jauh sebelum tanggal tersebut. Singkatnya, tenggat waktu 2035 tidak akan memperlambat adopsi.”
Sebaliknya, dokumen CNSA 2.0 dan garis waktu yang dinyatakan harus memberikan lebih banyak fokus pada seluruh upaya untuk memindahkan sistem pemerintah ke PQC, dan menyoroti kebutuhan kritis untuk itu. Skip Sanzeri, Founder, Chairman, COO dan Chief Revenue Officer di QuSecure, berkata, “Fakta bahwa NSA sekarang telah mengumumkan tanggalnya berarti mereka telah menyeimbangkan antara sesuatu yang sangat penting yang perlu diselesaikan dan kemampuan agen federal untuk mematuhinya. .”
Dia menjelaskan, “Yang saya maksud dengan itu adalah mungkin butuh 10 tahun bagi banyak agensi ini untuk menyelesaikan pemutakhiran, jadi kami yakin NSA ingin mendorong lebih cepat, tetapi jika agensi tidak mampu memutakhirkan lebih cepat maka ini tentang yang terbaik yang bisa dilakukan. Samzeri mengatakan NSA pada dasarnya telah mengamanatkan PQC, dan menyatakan bahwa migrasi harus didekati dengan rasa urgensi, tetapi dengan pemahaman itu harus diselesaikan “paling lambat pada tahun 2035. Kriptografi itu rumit, dan banyak agensi tidak memiliki laporan lengkap tentang semua kriptografi yang mereka gunakan. Sepuluh tahun adalah waktu minimum bagi lembaga pemerintah besar untuk meningkatkan. Jadi sekali lagi, NSA benar-benar tidak dapat memaksa agen federal untuk bergerak lebih cepat meskipun mereka menginginkannya.”
Sementara itu, Helena Handschuh, Security Technology Fellow, menjelaskan bahwa terlalu fokus pada tenggat waktu 2035 mengabaikan apa yang sebenarnya akan terjadi selama masa transisi. Pada awalnya kemungkinan ada pendekatan hibrid– “satu algoritme reguler yang dikombinasikan dengan satu algoritme PQC,” katanya, yang membuat sistem lebih gesit dan menempatkan mereka pada posisi untuk mengganti algoritme yang mereka gunakan saat dibutuhkan.
Selama 3-5 tahun ke depan, saat NIST menyelesaikan pekerjaan di enkripsi PQC awal dan standar tanda tangan digital yang diumumkan pada bulan Juli, fokusnya adalah memilih solusi PQC dan memulai migrasi, kata Handschuh. “Untuk perangkat keras, ini berarti mulai melihat pemilihan dan integrasi IP sekarang karena diperlukan beberapa tahun untuk membuat perangkat keras baru dan memasuki pasar. Ini akan menjadi kunci untuk memiliki strategi penghentian untuk algoritme reguler dalam 5-7 tahun dari sekarang, dan sepenuhnya beralih dan menghapus algoritme kunci publik saat ini dalam 7-10 tahun ke depan. NSA memiliki garis waktu seperti itu, dan lembaga lain di seluruh Eropa dan Asia memiliki pendekatan dan garis waktu yang serupa.”
Dia menyimpulkan bahwa garis waktu ini menempatkan "cakrawala untuk menghapus algoritme kunci publik saat ini... antara tahun 2030 dan 2035".
Dapat dimengerti jika lembaga pemerintah dan perusahaan tetap tidak yakin tentang seberapa cepat untuk mengadopsi PQC, karena belum banyak model peran dan studi kasus yang terkenal yang mencakup implementasi PQC yang sukses. Faktanya, sejarah transisi teknologi keamanan menunjukkan bahwa mereka dapat memakan waktu puluhan tahun dan masih memiliki migrasi kurang dari total. Selain itu, NIST masih akan menyelesaikan standar yang dipilih baru-baru ini selama sekitar satu setengah hingga dua tahun lagi, jadi masih mungkin ada perubahan atau pembaruan pada algoritme tersebut.
Johannes Lintzen, direktur pelaksana di Cryptomathic, mencatat, “Secara umum, terburu-buru untuk menjadi pengguna awal memiliki risiko. Tapi begitu juga kelambanan. Banyak organisasi mendapati diri mereka berada di persimpangan jalan yang menantang ini. Pertama, algoritme yang dipilih akan membutuhkan waktu sekitar 24 bulan lagi untuk diterapkan sepenuhnya dan tersedia dalam aplikasi komersial yang luas.”
Dia menambahkan, “Selain itu, evaluasi dan analisis komunitas terhadap sistem kripto yang dipilih sedang berlangsung, dan sangat mungkin bahwa dalam waktu yang dibutuhkan untuk menyelesaikan proses standardisasi, metode lain untuk memecahkan algoritma kandidat akan ditemukan dan dipublikasikan oleh para peneliti. Perlu diingat bahwa pembaruan dan perubahan pada algoritme serta cara implementasi dan penggunaannya telah berlangsung lama. Ambil perubahan pada algoritma simetris sebagai contoh. Seiring waktu industri telah bermigrasi dari DES ke 3DES dan akhirnya AES. Ada contoh lain dalam algoritma hashing serta algoritma asimetris. Organisasi di bidang solusi kriptografi yang tersedia secara komersial telah lama mampu menyediakan alat untuk mengelola proses peningkatan terus-menerus dan mengelola evolusi dalam perubahan algoritme kriptografi—istilah yang digunakan secara luas adalah 'kelincahan kriptografi.' Pendekatan ini akan membantu organisasi menyeimbangkan kebutuhan untuk mengambil tindakan awal dengan mampu mempertahankan fleksibilitas seputar perubahan saat dan ketika hal itu terjadi.”
Sementara NSA menyebutkan tenggat waktu migrasi PQC yang terletak lebih dari beberapa tahun, sepertinya itu akan menjadi 12 tahun mendatang yang sibuk dan penting.
Untuk komentar lebih lanjut dari sumber-sumber ini dan lainnya tentang isu-isu utama yang terkait dengan transisi PQC, nantikan saya selanjutnya IQT Pro cerita di pertengahan Oktober.
Dan O'Shea telah meliput telekomunikasi dan topik terkait termasuk semikonduktor, sensor, sistem ritel, pembayaran digital, dan komputasi/teknologi kuantum selama lebih dari 25 tahun
