Enkripsi Pascakuantum OpenSSH

 (openssh.com)
4 poin oleh GN⁺ 2025-08-12 | 1 komentar | Bagikan ke WhatsApp
  • OpenSSH mendukung algoritma pasca-kuantum untuk menghadapi serangan komputer kuantum
  • Sejak versi 9.0, sntrup761x25519-sha512 digunakan sebagai algoritma default, dan sejak 10.0, mlkem768x25519-sha256 diterapkan sebagai metode koneksi dasar
  • Mulai versi 10.1, ada perubahan yang menampilkan pesan peringatan saat pertukaran kunci non-pasca-kuantum digunakan
  • Sebagian besar algoritma tanda tangan lama (RSA, ECDSA, dan lain-lain) juga akan ditambahkan dukungannya nanti
  • Untuk mengamankan lalu lintas yang sudah ada, baik server maupun klien perlu menerapkan algoritma pasca-kuantum

Pengenalan Enkripsi Pascakuantum OpenSSH

OpenSSH mendukung berbagai algoritma kesepakatan kunci yang aman terhadap serangan komputer kuantum
Aplikasi ini menganjurkan penggunaan algoritma tersebut pada seluruh koneksi SSH

OpenSSH 9.0 (2022) mulai menyediakan algoritma pasca-kuantum sntrup761x25519-sha512 melalui KexAlgorithms secara default, dan sejak versi 9.9 menambahkan mlkem768x25519-sha256
Sejak OpenSSH 10.0, mlkem768x25519-sha256 ditetapkan sebagai metode enkripsi default

Untuk mendorong adopsi algoritma pasca-kuantum, OpenSSH 10.1 mulai menampilkan peringatan berikut jika tidak menggunakan pertukaran kunci tahan kuantum:

** WARNING: connection is not using a post-quantum kex exchange algorithm. **
This session may be vulnerable to "store now, decrypt later" attacks.
The server may need to be upgraded. See https://openssh.com/pq.html

Peringatan ini muncul secara default, tetapi dapat dinonaktifkan menggunakan opsi WarnWeakCrypto pada ssh_config(5)

Latar Belakang

Komputer kuantum adalah perangkat yang melakukan komputasi dengan mengkodekan informasi ke dalam keadaan kuantum
Mampu memecahkan masalah matematika tertentu dengan cepat yang tidak bisa atau tidak mungkin dilakukan komputer biasa

Banyak algoritma kriptografi didasarkan pada masalah matematika yang bisa dengan mudah dipecahkan oleh komputer kuantum
Jika muncul komputer kuantum yang cukup kuat (pada tingkat yang secara kriptografis bermakna), sistem kriptografi tersebut berisiko runtuh
Terutama algoritma yang digunakan untuk kesepakatan kunci dan tanda tangan digital yang paling terdampak

Meski komputer kuantum semacam itu belum terwujud, para ahli memprediksi akan muncul dalam 5–20 tahun ke depan atau pertengahan 2030-an

Privasi koneksi SSH bergantung pada enkripsi pertukaran kunci
Jika penyerang memecahkan algoritma pertukaran kunci, seluruh isi sesi dapat didekripsi
Selain itu, meskipun tidak serangan waktu nyata, penyimpanan sesi terenkripsi untuk kemudian didekripsi setelah munculnya komputer kuantum lewat serangan 'store now, decrypt later' memungkinkan

OpenSSH memperkuat dukungan enkripsi pasca-kuantum untuk menghadapi serangan ini

FAQ

Q: Saya mendapat pesan bahwa muncul peringatan di SSH, apa yang harus saya lakukan?

  • OpenSSH 10.1+ menampilkan peringatan ke pengguna saat memakai enkripsi yang belum aman terhadap kuantum
  • Ini berarti server yang terhubung tidak menyediakan algoritma pertukaran kunci pasca-kuantum (mlkem768x25519-sha256, sntrup761x25519-sha512)
  • Langkah terbaik adalah memperbarui server ke OpenSSH 9.0+ (dan 9.9+ untuk opsi kedua) lalu memastikan algoritma terkait tidak dinonaktifkan di KexAlgorithms
  • Jika pembaruan server tidak memungkinkan atau Anda memilih menerima risikonya, Anda juga bisa menyembunyikan peringatan dengan opsi WarnWeakCrypto di ssh_config(5)
  • Jika perlu, sebaiknya terapkan pengaturan ini hanya untuk host tertentu 
    Match host unsafe.example.com
    WarnWeakCrypto no

Q: Mengapa mempersiapkan sebelumnya meski belum ada komputer kuantum?

  • Karena serangan "store now, decrypt later" yang disebut sebelumnya
  • Karena lalu lintas yang dikirim hari ini juga berisiko didekripsi di masa depan, koneksi aman pasca-kuantum disarankan sejak sekarang

Q: Jika algoritma tanda tangan juga berisiko, mengapa bukan masalah utama?

  • Saat ini kebanyakan algoritma tanda tangan (RSA, ECDSA, dll) juga dapat dilemahkan dengan komputer kuantum
  • Namun, dalam kasus ini tidak ada lalu lintas yang disimpan untuk didekripsi di kemudian hari
  • Tindakan darurat untuk algoritma tanda tangan adalah menarik kunci tanda tangan lama saat komputer kuantum makin dekat
  • OpenSSH juga berencana mendukung algoritma tanda tangan pasca-kuantum di masa depan

Q: Jika saya pikir komputer kuantum itu tidak mungkin terjadi, mengapa ini penting?

  • Sebagian orang menganggap komputer kuantum tidak akan bisa diwujudkan
  • Saat ini tantangan teknisnya lebih ke arah masalah rekayasa, bukan fisika dasar
  • Jika komputer kuantum akhirnya mungkin, langkah yang diambil sekarang dapat melindungi data pengguna dalam skala besar
  • Bahkan jika nantinya tidak diperlukan, ini hanya berarti transisi ke kriptografi yang secara matematis lebih kuat

Q: Apakah algoritma pasca-kuantum juga bisa rentan?

  • OpenSSH juga mengambil pendekatan hati-hati
  • Mereka memilih algoritma yang sudah ditinjau secara intensif selama beberapa tahun terakhir, tetapi ada kemungkinan ditemukannya metode serangan baru
  • Untuk itu dipilih algoritma dengan margin keamanan yang memadai, sehingga meski ternyata lebih lemah dari yang diharapkan, kemungkinan besar masih aman pada tingkat praktis
  • Selain itu, semua algoritma pasca-kuantum OpenSSH bersifat "hibrida"
    • Contoh: mlkem768x25519-sha256 menggabungkan ML-KEM (pasca-kuantum) dan algoritma klasik ECDH/x25519
    • Dengan begitu, jika algoritma pasca-kuantum di masa depan dilemahkan, keamanan setara standar lama tetap terjaga

Bacaan terkait

1 komentar

 
GN⁺ 2025-08-12
Komentar Hacker News

  • Ada poin penting yang disembunyikan di bagian bawah halaman. Semua algoritme post-quantum yang diterapkan di OpenSSH bersifat "hibrida", yaitu menggunakan skema pertukaran kunci post-quantum (misalnya ML-KEM) bersama dengan skema lama (x25519) secara bersamaan. Dengan memakai dua algoritme sekaligus, meskipun suatu hari nanti algoritme post-quantum benar-benar runtuh, setidaknya tingkat keamanan minimalnya setara dengan yang lama. Poin kuncinya adalah tidak ada kehilangan keamanan dibanding kondisi sebelumnya karena hibrida.

    • Pendekatan hibrida punya keuntungan karena jika salah satu algoritme berhasil dibobol, algoritme yang lain tetap memberi ketahanan. Namun, di sisi lain, risiko bug implementasi dan kerentanan side-channel justru berlipat ganda atau lebih. Secara nyata, ancaman komputer kuantum belum menjadi ancaman riil saat ini, tetapi bug dan kerentanan semacam itu memang isu yang nyata. Namun dengan penelitian dan verifikasi keamanan yang sangat besar selama 10 tahun terakhir, trade-off ini masih dianggap layak untuk diterima.
    • Mayoritas industri juga bergerak pada struktur PQC-klasik hibrida. Sampai ada komputer kuantum yang benar-benar mampu memecahkan RSA, ECC, atau DH, pendekatan konservatif dengan “memasang dua kunci” secara paralel terasa sebagai pilihan paling aman saat ini. Di sisi lain, algoritme NSA CNSA 2.0 (tautan) resmi menyatakan dalam FAQ bahwa ia hanya mengadopsi rantai post-quantum dan bahwa pendekatan hibrida tidak perlu.

  • Melihat makalah yang bias dan agak lucu yang baru dipublikasi (tautan), saya jadi bertanya apakah adopsi kripto post-quantum secepat ini benar-benar dibutuhkan. Sejauh yang saya tahu, material kunci post-quantum jauh lebih besar dibanding sebelumnya, sehingga trafik jaringan dan konsumsi CPU juga meningkat tajam.

    • Tulisan ini hanya membahas penerapan PQC pada pertukaran kunci sambungan SSH, jadi overhead-nya sangat kecil. Dan seperti yang tertulis di FAQ, untuk pertanyaan “mengapa persiapan sekarang padahal komputer kuantum belum ada?” jawabannya adalah risiko “simpan sekarang, dekripsi nanti” (store now, decrypt later). Ada orang yang berargumen bahwa komputer kuantum tidak akan pernah terwujud, tapi hambatan utamanya justru rekayasa, bukan hukum fisika. Kalau komputer kuantum benar-benar terwujud, itu bisa menyelamatkan sejumlah besar data pengguna. Makalah itu memang asyik dibaca sekilas, tetapi jangan terlalu sinis membacanya.
    • Meski makalah ini lucu, bukan berarti layak hanya dijadikan bahan ejekan. Ada juga kemajuan yang berarti. Saya merekomendasikan presentasi Sam Jacques di PQCrypto 2025 (tautan). Selama 10 tahun terakhir, biaya faktorasi berbasis komputer kuantum menurun 1000x, dan tingkat error di hardware juga menurun drastis (tautan1, tautan2, tautan3, tautan4). Kalau ingin mengamati kemajuan komputer kuantum, cukup memantau peningkatan daya tahan bertahap. Kebisingan (noise) masih menjadi penghambat terbesar, dan ketika masalah kualitas teratasi di kedua sisi, perkembangan nyata akan terlihat.
    • Paper itu terasa hampir seperti candaan. Kalau ditafsirkan sebagai kritik serius, itu mirip saja dengan keluhan tahun 1951 soal transistor yang tidak bisa menghitung pi. Kebutuhan adopsi PQC bergantung pada dua pertanyaan: 1) apakah Anda percaya komputer kuantum tidak akan muncul dalam hidup Anda, dan 2) seberapa tinggi nilai sensitif dari data yang Anda pegang. Kalau untuk keduanya Anda tidak peduli, PQC bisa jadi buang-buang waktu. Tapi kalau saya bertanggung jawab menjaga sistem kriptografi, saya tak punya hak untuk mengabaikan nilai data pengguna.

  • Saat ini sebagian besar diskusi berfokus pada pertukaran kunci.

    1. Algoritme PQ (tanda tangan, pertukaran kunci) memiliki ukuran kunci yang jauh lebih besar, tetapi kecepatan operasinya justru lebih cepat atau setara.
    2. Pada mayoritas protokol seperti TLS, SSH, pertukaran kunci hanya terjadi saat inisialisasi koneksi, jadi ukuran kunci besar umumnya tidak jadi masalah. Bisa saja ada isu kompatibilitas seperti MTU TCP yang terlampaui. Pada protokol yang sangat sering melakukan pertukaran kunci, seperti Signal dan MLS, PQ hanya dipakai sesekali saat rekeying (lihat).
    3. Untuk TLS, masalah yang lebih besar adalah ukuran pesan tanda tangan. Karena rantai sertifikat mengandung banyak tanda tangan, ini menjadi pertimbangan utama terhadap kelayakan tanda tangan PQ pada TLS (lihat)
    • Selain informasi publik, rekomendasi dari lembaga intelijen bahwa sistem yang perlu menjaga kerahasiaan data lebih dari 20 tahun harus mengadopsi PQ juga menjadi sinyal kepercayaan. Beberapa catatan: pada 2014 badan intelijen Belanda menyebut kemungkinan muncul di 2030–2040; pada 2021 ia menyatakan peluang pada 2030 rendah tapi tidak bisa diabaikan; pada 2025, 18 negara dalam pernyataan bersama menyerukan kesiapan terhadap serangan store now, decrypt later hingga 2030 (dokumen1, dokumen2, pernyataan bersama)

  • Aplikasi macOS Secretive menyimpan kunci SSH di Secure Enclave. Karena algoritme yang didukung saat ini, dia memakai ecdsa-sha2-nistp256, dan sepertinya Secure Enclave belum mendukung algoritme PQ. Saya penasaran apakah mungkin mengombinasikan hibrida seperti mlkem768×ecdsa-sha2-nistp256, di mana bagian ECDSA diproses di SE saja.

    • Yang dibahas di sini adalah pertukaran kunci (alias KEX/Key Exchange), bukan kunci SSH itu sendiri. Dalam opsi SSH, ecdsa-sha2-nistp256 tidak diizinkan di KexAlgorithms; alternatifnya adalah ecdh-sha2-nistp256. (lihat1, lihat2)

  • Saya pikir alat ssh-audit (tautan) perlu menambah pengecekan untuk algoritme hibrida PQC secara teoritis. Tampaknya meski menetapkan algoritme tertentu, nilainya masih keluar sebagai “A”. Saat ini saya memakai chacha saja.

  • Saya penasaran apakah ada algoritme hibrida PQC OpenSSH yang memenuhi FIPS 140-3.

    • Sertifikasi FIPS berlaku untuk seluruh “modul kriptografi” (termasuk hardware/software). Jadi istilah “OpenSSH bersertifikasi FIPS” sebenarnya kurang tepat. Yang perlu disertifikasi adalah OpenSSH yang dipasang pada OS dan perangkat keras tertentu. FIPS mewajibkan penggunaan algoritme tertentu, dan ML-KEM sudah disetujui NIST. Sejauh pemahaman saya, NIST juga menerima KEM hibrida. Jadi saya pikir mlkem768x25519-sha256 yang didukung OpenSSH bisa disertifikasi. Catatan: saya bukan auditor FIPS.

  • Pendekatan antisipatif ini masuk akal, apalagi bila pergantian kunci relatif tugas ringan. Saya penasaran dari dua opsi mana yang lebih kuat; apakah 512 memang lebih kuat?

    • Dua algoritme itu sangat berbeda. mlkem768x25519-sha256 adalah hibrida antara KEM PQ ML-KEM dan ECDH/x25519 klasik. Jadi jika salah satu rusak, tingkat keamanan dasar tetap terjaga. Versi 256 (mlkem768) memang datang setelah versi 512 (sntrup761), dan OpenSSH mulai mendukung sntrup761x25519-sha512 sejak 9.0, sedangkan mlkem768x25519-sha256 sejak 9.9.
    • Urusan 256-bit vs 512-bit belum perlu dikhawatirkan sekarang. Bahkan ruang 128-bit pun tidak ada komputer yang sanggup mengeksplorasi seluruh energinya. Jadi ini bukan timing-nya.
    • Saat ini ML-KEM adalah pilihan default yang masuk akal; standar industri juga bergerak ke arah sana.

  • Saya sedang mempertimbangkan migrasi aplikasi microblog/chat berbasis terminal saya ke keamanan post-quantum. Saya juga sudah menonton wawancara Paul Durov beberapa kali dan makin mempertimbangkannya setelah mendengar pengalamannya.

    • Saya penasaran apa yang tepatnya dia alami, dan mengapa dia membutuhkan SSH di blog-nya.

  • Saya penasaran mana yang lebih baik antara sntrup761x25519-sha512 dan mlkem768x25519-sha256.

    • MLKEM768 menawarkan performa lebih baik dan kunci yang lebih kecil. SNTRUP761 memiliki asumsi keamanan yang lebih kuat dan ketahanan yang lebih baik terhadap serangan kripto potensial.
    • NTRU Prime (sntrup) masuk karena alasan historis (karena saat itu mlkem belum ada). Keduanya sama-sama bisa dipakai; sntrup sempat menjadi “default” seperti masa GPG dulu memakai CAST sebagai default.

  • Kapan sertifikat PQ (untuk kunci host/pengguna autentikasi) akan tersedia?

    • Bagian itu sudah disebutkan di halaman yang sama.

  • Maju terlebih dahulu dengan upaya seperti ini bagus. Bahkan jika di masa depan muncul alternatif dengan keamanan lebih baik, selama tidak membuat kondisi saat ini lebih buruk, saya tidak melihat upaya ini menjadi sia-sia.

    • Jika Anda mengakses server lewat jaringan yang Anda tidak kendalikan penuh, data lalu lintasnya akan tersimpan di suatu tempat. Pada akhirnya, ketika era post-quantum datang, lalu lintas itu mungkin bisa didekripsi. Apakah ini masalah yang benar-benar perlu dikhawatirkan atau tidak sangat bergantung pada konteks pengguna.