![Mengapa komputasi kuantum mengancam keamanan seperti yang kita ketahui [Q&A]](https://www.eri-salary-survey.com/wp-content/uploads/2023/01/Mengapa-komputasi-kuantum-mengancam-keamanan-seperti-yang-kita-ketahui-QA.jpg)
Sebagian besar infrastruktur TI kami saat ini bergantung pada DNS untuk merutekan lalu lintas dengan aman. Mengamankan infrastruktur itu pada gilirannya sangat bergantung pada kriptografi, tetapi ada ancaman yang membayangi cakrawala.
Komputasi kuantum akan menawarkan tingkat kekuatan pemrosesan yang dapat membuat teknik kriptografi saat ini menjadi usang, dan itu menjadi masalah bagi seluruh dunia internet dan jaringan. Kami berbicara dengan Peter Lowe, peneliti keamanan utama di DNSFilter, untuk membahas kemungkinan dampak komputasi kuantum terhadap keamanan dan apa yang dapat dilakukan untuk mengatasi ancaman tersebut.
BN: Mengapa kriptografi sangat penting untuk DNS?
PL: Kriptografi adalah dasar server Keamanan Nama Domain (DNS) yang digunakan untuk verifikasi sebagai bagian dari Ekstensi Keamanan DNS (DNSSEC). Untuk mencapai verifikasi melalui penggunaan tanda tangan digital atau kunci simetris, DNS harus mengonfirmasi situs dan data adalah siapa dan apa yang mereka klaim — dan kriptografi yang kuat adalah satu-satunya cara untuk memastikan bahwa kami dapat mempercayai hasilnya.
BN: Bagaimana komputasi kuantum membuat ini berisiko?
PL: Tidak seperti komputer tradisional yang mengkodekan informasi dalam bit, komputer kuantum mengkodekan informasi dalam bit kuantum (qubit) yang bekerja dengan cara yang berbeda. Qubit memungkinkan komputasi kuantum untuk tidak hanya membuat kode informasi lebih cepat, tetapi juga menyimpan lebih banyak informasi sekaligus, mengancam keamanan dunia maya seperti yang kita ketahui.
Komputasi kuantum memiliki kecepatan dan kekuatan yang diperlukan untuk memecahkan algoritme kriptografi, memungkinkan peretas mengakses data yang sebelumnya dienkripsi dengan aman, dan menyimpan serta mendekripsi data tersebut di kemudian hari. Relatif mudah untuk mengakses data ‘on the wire’ dengan melakukan serangan man-in-the-middle, tetapi tidak berguna jika data yang dikirimkan dienkripsi. Saat ini, data hanya akan terlihat seperti urutan byte acak, dan tanpa ancaman komputasi kuantum, data dapat tetap seperti itu selama ratusan tahun ke depan. Komputasi kuantum memiliki potensi untuk memungkinkan peretas mendekripsi ini dengan lebih mudah, dan data mungkin tidak tetap aman selama yang dimaksudkan semula.
Selain itu, komputasi kuantum menimbulkan tantangan pada ukuran kunci dan tanda tangan, yang jauh lebih besar daripada algoritme saat ini. Kriptografi pasca-kuantum menggunakan ukuran kunci yang lebih besar daripada yang biasa kita gunakan saat ini, yang dengan sendirinya sudah cukup. Namun, karena batasan dalam protokol yang digunakan oleh server DNS, yang disebut Universal Datagram Protocol atau UDP, ukuran paket mungkin menjadi lebih besar daripada yang dirancang untuk ditangani oleh server. Belum lagi, ukuran kunci yang lebih besar akan membutuhkan sumber daya komputasi yang meningkat secara signifikan di server itu sendiri.
Untuk melindungi dari ancaman terhadap kriptografi ini, industri telah mulai mempertimbangkan untuk meluncurkan algoritme pasca-kuantum. Namun, DNSSEC sangat menantang untuk bertransisi ke algoritme pasca-kuantum karena potensi efeknya pada infrastruktur. Memperbarui cipher adalah proses yang berisiko, terutama bagi mereka yang menjalankan server root: jika frasa sandi yang digunakan untuk membuat kunci disusupi, verifikasi domain apa pun yang terjadi dapat dipalsukan. Setiap tiga bulan, Upacara Penandatanganan Kunci yang dikoreografi dengan hati-hati berlangsung untuk menghasilkan kunci yang digunakan di bagian atas rantai DNSSEC. Proses ini harus ditinjau secara menyeluruh jika ada perubahan yang terjadi, artinya secara harfiah setiap permintaan DNS yang divalidasi di internet — triliunan setiap hari — dapat disusupi.
BN: Bagaimana organisasi dapat mulai merencanakan dunia pasca-kuantum?
PL: Agar organisasi bersiap menghadapi dunia pasca-kuantum, penting untuk mengubah pola pikir kita untuk melepaskan gagasan bahwa pesan tertentu akan tetap bersifat pribadi selamanya. Kami secara teratur diyakinkan bahwa enkripsi melindungi data kami dari peretas, dan meskipun demikian, penting untuk diingat bahwa enkripsi akan rusak di beberapa titik. Perbedaan terbesar dengan komputasi kuantum adalah hal itu bisa terjadi lebih cepat dari yang kita bayangkan.
Salah satu contohnya adalah pengiriman pesan. Ada banyak sistem perpesanan yang menyediakan Enkripsi Ujung ke Ujung (E2EE), yang digunakan untuk bertukar pesan dengan aman tanpa khawatir, jika pesan disadap, pesan tersebut dapat dibaca oleh peretas di masa mendatang. Komputasi kuantum mempercepat garis waktu ini secara besar-besaran. Oleh karena itu, menyimpan data dapat menjadi opsi yang layak bagi peretas yang gigih.
Organisasi berisiko tinggi, seperti bank dan pemerintah, harus mulai bersiap untuk menggunakan algoritme pasca-kuantum sedini mungkin. Meskipun masih banyak waktu untuk melakukannya, ini akan menjadi proses yang panjang, jadi semakin awal Anda memulainya, semakin baik.
Langkah pertama adalah menyiapkan: mengidentifikasi di mana enkripsi digunakan di seluruh organisasi, mendokumentasikan prosedur dan algoritme yang digunakan saat ini, dan memetakan persyaratan penyimpanan untuk setiap jenis data yang disimpan. Selain itu, profesional keamanan perlu melepaskan prosedur yang kaku: semakin kaku prosedurnya, semakin sulit untuk memperbaruinya nanti. Untuk mencegah tantangan ini di jalan, tim keamanan harus memastikan bahwa praktik apa pun saat ini sefleksibel mungkin.
Untuk data yang disimpan, opsi teraman adalah selalu menghapusnya. Untuk data yang perlu disimpan selamanya, harus ada persiapan untuk mengenkripsi ulang ketika standar yang diperbarui sudah siap. Untuk perangkat lunak dan perangkat keras yang menggunakan enkripsi dengan cara lain, periksa apakah penyedia memiliki rencana untuk memutakhirkan algoritmenya dan selidiki alternatifnya.
Tetap terinformasi tentang perkembangan terbaru dalam komputasi kuantum akan menjadi faktor utama lain dalam perencanaan untuk dunia pasca-kuantum, apakah itu melalui membaca buletin industri atau memperhatikan pembaruan standar yang dibuat oleh Institut Standar dan Teknologi Nasional Departemen Perdagangan AS (NIS).
BN: Apakah ada solusi pasca-kuantum yang tersedia atau sudah dalam proses?
PL: Pada Juli 2022, NIST memilih empat algoritme enkripsi untuk ditambahkan ke standar kriptografi pasca-kuantum NIST, yang diharapkan akan diluncurkan dalam waktu sekitar dua tahun. Ada juga rencana untuk segera mengumumkan putaran algoritme lainnya.
Tantangan di dunia DNS sebagian besar bersifat operasional daripada algoritmik: perangkat keras perlu beradaptasi untuk memperhitungkan peningkatan persyaratan komputasi, dan protokol perlu disesuaikan atau diperkenalkan tanpa batasan saat ini yang menghambat yang digunakan saat ini.
Salah satu opsi di atas meja adalah menggunakan tanda tangan berbasis hash, yang berdiri cukup baik melawan kriptografi post-kuantum dan memiliki overhead yang lebih rendah saat perlu diubah. Tapi, bahkan overhead yang lebih rendah masih signifikan.
Saat ini, tidak ada solusi lengkap di luar sana untuk menyelesaikan ini. Namun, diskusi industri sedang berlangsung, dan saya senang melihat apa yang akan terjadi.
Kredit gambar: BeeBright/depositphotos.com
