Cloudflare menargetkan keamanan pascakuantum penuh pada 2029

 (blog.cloudflare.com)
5 poin oleh GN⁺ 14 hari lalu | Belum ada komentar. | Bagikan ke WhatsApp
  • Cloudflare menetapkan target untuk mengalihkan seluruh sistem autentikasi dan enkripsi di semua produknya ke keamanan pascakuantum pada 2029, serta mempercepat jadwal persiapan menghadapi Q-Day (momen ketika komputer kuantum dapat memecahkan kriptografi yang ada saat ini)
  • Saat ini lebih dari 65% trafik sudah menggunakan enkripsi pascakuantum, tetapi ditegaskan bahwa perlindungan penuh tidak mungkin tercapai jika sistem autentikasinya belum aman terhadap ancaman kuantum
  • Riset dari Google dan Oratomic menunjukkan bahwa peningkatan kemampuan komputer kuantum untuk memecahkan kriptografi terjadi lebih cepat dari perkiraan, sehingga muncul kemungkinan Q-Day maju sebelum 2030
  • Cloudflare menjadikan pengamanan kuantum untuk sistem autentikasi sebagai prioritas utama, dan sedang mendorong transisi keamanan di seluruh lini produk dengan milestone bertahap
  • Semua upgrade pascakuantum akan disediakan gratis tanpa memandang paket layanan, dan Cloudflare menegaskan kembali misinya untuk “membangun Internet yang lebih baik

Target Cloudflare untuk keamanan pascakuantum penuh pada 2029

  • Cloudflare menetapkan target untuk mengalihkan seluruh portofolio produknya ke keamanan pascakuantum (PQ) pada 2029, termasuk area autentikasi (Authentication)
  • Dimulai dari penyediaan sertifikat SSL gratis pada 2014, persiapan transisi pascakuantum pada 2019, lalu penerapan enkripsi pascakuantum untuk semua situs web dan API pada 2022
  • Saat ini lebih dari 65% trafik Cloudflare sudah menggunakan enkripsi pascakuantum, tetapi ditegaskan bahwa perlindungan penuh tidak mungkin tercapai jika sistem autentikasinya belum aman terhadap ancaman kuantum
  • Riset terbaru dari Google dan Oratomic menunjukkan bahwa laju perkembangan kemampuan komputer kuantum untuk memecahkan kriptografi lebih cepat dari perkiraan, sehingga muncul kemungkinan Q-Day (hari ketika komputer kuantum memecahkan kriptografi yang ada saat ini) maju sebelum 2030
  • Karena itu, Cloudflare mempercepat jadwal internal persiapan menghadapi Q-Day dan mendorong transisi keamanan yang berfokus pada sistem autentikasi

Kemajuan komputasi kuantum dan percepatan Q-Day

  • Google mengumumkan telah meningkatkan performa algoritme kuantum secara signifikan untuk memecahkan elliptic curve cryptography (ECC), dan tanpa mempublikasikan algoritmenya mereka membuktikan keberadaannya dengan Zero-Knowledge Proof
  • Pada hari yang sama, Oratomic mempublikasikan estimasi sumber daya yang dibutuhkan untuk memecahkan RSA-2048 dan P-256 pada komputer kuantum berbasis neutral atom, dan untuk P-256 disebutkan cukup dengan 10.000 qubit
  • Ini memperjelas alasan Google juga mengembangkan pendekatan neutral atom secara paralel, sementara Oratomic sengaja tidak mempublikasikan sebagian detail
  • Berdasarkan hal itu, Google memajukan target transisi pascakuantumnya sendiri ke 2029, dan CTO IBM Quantum Safe menyebut bahwa kemungkinan “moonshot attack” terhadap target bernilai tinggi sekitar 2029 tidak bisa dikesampingkan
  • Scott Aaronson pada akhir 2025 memperingatkan bahwa akan tiba saatnya estimasi sumber daya untuk pemecahan kriptografi dengan komputer kuantum tidak lagi dipublikasikan, dan Cloudflare menilai bahwa “masa itu sudah lewat”

Tiga sumbu perkembangan komputer kuantum

  • Perangkat keras: berbagai pendekatan seperti neutral atom, superconducting, ion trap, photonic, dan topological qubit dikembangkan secara paralel, dan sebagian besar laboratorium menelitinya bersamaan
    • Dulu skalabilitasnya diragukan, tetapi belakangan metode neutral atom menunjukkan kemajuan paling cepat
    • Ekspansi skala besar memang belum terbukti, tetapi berbagai pendekatan mulai mendekati titik kritis
  • Koreksi kesalahan (Error Correction): semua komputer kuantum sangat bising sehingga kode koreksi kesalahan menjadi keharusan
    • Pendekatan superconducting memerlukan sekitar 1.000 physical qubit untuk 1 logical qubit, tetapi Oratomic menyebut bahwa pendekatan neutral atom bisa dilakukan hanya dengan 3–4 qubit
  • Perangkat lunak: Google secara signifikan meningkatkan kecepatan algoritme untuk memecahkan P-256, dan Oratomic mengajukan peningkatan tambahan yang dioptimalkan untuk qubit yang dapat direkonfigurasi
  • Perkembangan serentak pada tiga sumbu ini mempersingkat perkiraan waktu Q-Day dari setelah 2035 menjadi sebelum 2030

Perlunya transisi keamanan yang berpusat pada autentikasi

  • Respons industri terhadap pascakuantum selama ini terutama berfokus pada enkripsi (Encryption), dengan perhatian utama pada pertahanan terhadap serangan Harvest-Now/Decrypt-Later (HNDL)
  • Serangan HNDL bekerja dengan mengumpulkan data saat ini lalu mendekripsinya di masa depan menggunakan komputer kuantum, sehingga menjadi ancaman utama ketika Q-Day masih jauh
  • Namun jika Q-Day sudah dekat, sistem autentikasi menjadi risiko yang lebih besar, karena penyerang dapat memalsukan server atau memalsukan kredensial akses
  • Kebocoran satu kunci autentikasi yang rentan terhadap kuantum saja dapat membobol seluruh sistem, dan sistem pembaruan otomatis dapat menjadi jalur remote code execution (RCE)
  • Karena itu, pertanyaan yang lebih penting bukan lagi “kapan data terenkripsi menjadi berisiko?”, melainkan “kapan penyerang akan menyusup dengan kunci palsu berbasis kuantum?

  • Prioritas untuk sistem yang paling rentan

    • Karena komputer kuantum generasi awal akan mahal dan langka, penyerang akan memprioritaskan kunci jangka panjang bernilai tinggi seperti root certificate, API key, dan code-signing certificate
    • Semakin mahal biaya serangan, semakin tinggi prioritas penggantian kunci jangka panjang, tetapi jika CRQC (komputer kuantum) berkecepatan tinggi muncul, maka serangan HNDL kembali lebih menguntungkan
    • Sophie Schmieg dari Google mengibaratkan ini sebagai pergeseran strategi dalam pemecahan Enigma pada Perang Dunia II

  • Pencegahan serangan downgrade

    • Dukungan enkripsi PQ saja tidak cukup; kriptografi yang rentan terhadap kuantum harus dinonaktifkan sepenuhnya
    • Di lingkungan seperti web dengan keragaman klien yang tinggi, penonaktifan total sulit dilakukan
    • Pada HTTPS, perlindungan parsial dimungkinkan melalui PQ HSTS atau Certificate Transparency
    • Setelah seluruh kriptografi yang rentan terhadap kuantum dihapus, rahasia yang pernah terekspos seperti kata sandi dan token juga harus diganti
    • Transisi autentikasi jauh lebih rumit daripada enkripsi, dan memerlukan masa migrasi bertahun-tahun

  • Mempertimbangkan ketergantungan pihak ketiga

    • Q-Day akan memengaruhi semua sistem, sehingga perlu dievaluasi bukan hanya mitra yang berkomunikasi langsung, tetapi juga ketergantungan tidak langsung seperti keuangan dan infrastruktur
    • Diperlukan penggantian kunci jangka panjang lebih dulu, kerja sama dengan pihak ketiga, dan transisi serempak di seluruh ekosistem

Roadmap pascakuantum Cloudflare

  • Saat ini Cloudflare sudah menerapkan enkripsi pascakuantum sebagai default pada sebagian besar produknya untuk meredam serangan HNDL
  • Hingga 2029, Cloudflare menargetkan keamanan pascakuantum penuh untuk seluruh portofolio produk, termasuk autentikasi
  • Cloudflare menetapkan milestone bertahap berdasarkan kesadaran risiko dan tingkat kesulitan deployment, dan akan menyesuaikannya sesuai situasi

Rekomendasi untuk tiap organisasi

  • Perusahaan

    • Disarankan untuk memasukkan dukungan pascakuantum sebagai syarat pengadaan
    • Praktik keamanan dasar seperti pembaruan perangkat lunak dan penerbitan sertifikat otomatis tetap penting
    • Perlu sejak dini mengevaluasi dampak bisnis jika vendor inti tidak siap

  • Pemerintah dan regulator

    • Penyajian jadwal yang jelas dan penunjukan lembaga penanggung jawab dapat mempercepat transisi di seluruh industri
    • Perpecahan standar antarnegara menjadi faktor risiko, sehingga dibutuhkan dorongan yang konsisten berbasis standar internasional
    • Yang penting bukan menebar ketakutan, melainkan kepemimpinan transisi proaktif berbasis kepercayaan

  • Pelanggan Cloudflare

    • Karena Cloudflare secara otomatis menerapkan keamanan pascakuantum sebagai default, tidak diperlukan tindakan tambahan
    • Namun, tetap ada kebutuhan peningkatan pada komponen eksternal seperti browser, aplikasi, dan origin server
    • Cloudflare One menyediakan perlindungan enkripsi pascakuantum end-to-end melalui tunneling

Filosofi Cloudflare dan kebijakan gratis

  • Privasi dan keamanan adalah elemen dasar Internet, sehingga semua upgrade pascakuantum disediakan gratis untuk pelanggan di semua paket
  • Seperti halnya TLS gratis yang dulu memperluas adopsi enkripsi web, enkripsi pascakuantum gratis diharapkan mendorong keamanan Internet generasi berikutnya
  • Connectivity Cloud milik Cloudflare mendukung perlindungan jaringan perusahaan, pembangunan aplikasi berskala besar, percepatan performa web, pertahanan DDoS, dan implementasi zero trust
  • Pengguna dapat menikmati Internet yang lebih cepat dan aman melalui aplikasi 1.1.1.1
  • Berlandaskan misi “membangun Internet yang lebih baik”, Cloudflare memimpin keamanan di era pascakuantum

Bacaan terkait

Belum ada komentar.

Belum ada komentar.