Halaman ini menjelaskan cara menggunakan diagram Insight kriptografi pasca-kuantum (PQC) di Ringkasan pengelolaan kunci Cloud KMS di konsolCloud de Confiance untuk membantu mengevaluasi inventaris kunci asimetris Anda dan bersiap untuk modernisasi kriptografi di masa mendatang.
Munculnya komputasi kuantum menimbulkan potensi ancaman terhadap algoritma kriptografi kunci publik yang banyak digunakan. Diagram Insight PQC membantu Anda mengidentifikasi dan menginventarisir kunci asimetris klasik, sehingga memberikan visibilitas yang diperlukan untuk merencanakan modernisasi di masa mendatang dan memastikan ketahanan jangka panjang.
Kunci simetris (seperti yang digunakan untuk ENCRYPT_DECRYPT) umumnya dianggap tahan terhadap serangan komputer kuantum dan tidak disertakan dalam dasbor ini. Untuk mengetahui informasi selengkapnya tentang algoritma yang didukung oleh
Cloud KMS, lihat Tujuan dan algoritma kunci.
Sebelum memulai
Untuk mendapatkan izin yang
diperlukan guna melihat insight PQC,
minta administrator untuk memberi Anda peran IAM
Cloud KMS Viewer (roles/cloudkms.viewer) di project
- Anda juga dapat mengkueri pelihat Cloud Asset secara langsung.
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.
Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Melihat insight PQC
Diagram Insight PQC asimetris memberikan perincian visual tingkat tinggi dari kunci asimetris Anda berdasarkan kategorisasi algoritma yang digunakan.
Di konsol Cloud de Confiance , buka halaman Key Management.
Klik tab Ringkasan, lalu buka Insight PQC asimetris chart.
Opsional: Klik segmen diagram untuk melihat jumlah kunci yang diwakilinya. Anda juga dapat mengklik Lihat untuk segmen guna melihat tabel Detail insight PQC asimetris.
Diagram ini mengategorikan kunci ke dalam dua grup utama:
- Pasca-kuantum: Kunci yang menggunakan algoritma kriptografi yang secara khusus dirancang agar tahan terhadap serangan dari komputer kuantum masa depan.
- Klasik: Kunci yang menggunakan algoritma asimetris klasik (seperti RSA atau ECC) yang tetap aman terhadap serangan klasik saat ini, tetapi rentan terhadap serangan dari komputer kuantum masa depan.
Diagram ini selanjutnya menyegmentasikan kunci ini berdasarkan tujuan kriptografi dan jenis kriptografinya.
Memahami Tabel Detail
Tabel di halaman ini mencantumkan kunci asimetris Anda dalam project saat ini dan memberikan informasi berikut:
- Nama kunci: Nama kunci. Klik nama untuk membuka halaman Detail Kunci untuk kunci tertentu tersebut.
- Lokasi: Lokasi tempat kunci berada.
- Tingkat Perlindungan: Tingkat perlindungan kunci.
- Tujuan: Tujuan kriptografi kunci—misalnya,
ASYMMETRIC_SIGN. - Jenis kriptografi: Menunjukkan apakah kunci menggunakan algoritma PQC atau klasik.
Anda dapat menggunakan panel filter di atas tabel untuk menyaring daftar kunci berdasarkan salah satu atribut ini.
Menilai kunci klasik untuk modernisasi mendatang
Anda harus meninjau kunci asimetris yang ada untuk algoritma asimetris klasik yang dapat ditransisikan ke alternatif pasca-kuantum. Kunci ini masih menawarkan perlindungan yang kuat terhadap serangan klasik. Namun, mengadopsi algoritma pasca-kuantum membantu memastikan ketahanan jangka panjang terhadap potensi ancaman kuantum di masa mendatang. Tabel berikut mencantumkan tujuan dan algoritma utama serta apakah masing-masing dianggap aman pasca-kuantum.
| Tujuan | Algoritma | Jenis kriptografi | Alternatif pasca-kuantum |
|---|---|---|---|
ASYMMETRIC_SIGN |
EC_SIGN_* |
Klasik | ASYMMETRIC_SIGN dengan algoritma PQ_SIGN_* |
ASYMMETRIC_SIGN |
RSA_SIGN_* |
Klasik | ASYMMETRIC_SIGN dengan algoritma PQ_SIGN_* |
ASYMMETRIC_SIGN |
PQ_SIGN_* |
PQC | Aman pasca-kuantum |
ASYMMETRIC_DECRYPT |
RSA_DECRYPT_* |
Klasik | KEY_ENCAPSULATION algoritma |
KEY_ENCAPSULATION |
Semua | PQC | Aman pasca-kuantum |
Menerapkan standar PQC lebih cepat akan memberikan manfaat berikut:
- Mengganti kunci
ASYMMETRIC_DECRYPTdengan kunciKEY_ENCAPSULATIONmembantu melindungi data terenkripsi Anda dari serangan "kumpulkan sekarang, dekripsi nanti" (HNDL), di mana pelaku kejahatan mencegat ciphertext Anda tanpa cara untuk mendekripsinya, tetapi menyimpan ciphertext tersebut dengan harapan suatu saat dapat memecahkan enkripsinya. - Mengganti kunci
ASYMMETRIC_SIGNyang menggunakan algoritmaEC_SIGN_*atauRSA_SIGN_*dengan algoritmaPQ_SIGN_*memberikan penyangkalan jangka panjang untuk tanda tangan Anda.
Mengidentifikasi kunci dengan Inventaris Aset Cloud
Anda dapat menggunakan Cloud Asset Inventory untuk mencantumkan dan memfilter aset Cloud KMS Anda secara terprogram menurut jenis algoritma.
Menelusuri di seluruh organisasi
Untuk mencantumkan kunci yang menggunakan algoritma pasca-kuantum seperti
PQ_SIGN_*,ML_KEM_*, atauKEM_XWING, jalankan perintah berikut:gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'Untuk mencantumkan kunci asimetris yang tidak menggunakan algoritma pasca-kuantum—dengan kata lain, kunci asimetris yang menggunakan algoritma klasik—jalankan perintah berikut:
gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
Menelusuri di seluruh project
Pastikan Google Cloud CLI Anda menargetkan project yang benar:
gcloud config set project PROJECT_IDUntuk mencantumkan kunci yang menggunakan algoritma pasca-kuantum seperti
PQ_SIGN_*,ML_KEM_*, atauKEM_XWING, jalankan perintah berikut:gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'Untuk mencantumkan kunci asimetris yang tidak menggunakan algoritma pasca-kuantum—dengan kata lain, kunci asimetris yang menggunakan algoritma klasik—jalankan perintah berikut:
gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
Jalur modernisasi yang direkomendasikan
Untuk mengurangi risiko dari serangan kuantum, beralihlah dari kunci asimetris yang menggunakan algoritma klasik.
- Untuk kunci dekripsi asimetris: Untuk kunci yang digunakan untuk dekripsi asimetris, Anda dapat memodernisasi inventaris dengan mengganti enkripsi asimetris dengan enkripsi kunci publik hibrida (HPKE). Di HPKE, Anda menggunakan kunci
dengan tujuan
KEY_ENCAPSULATIONyang menggunakan algoritma pasca-kuantum sepertiML_KEM_768untuk membagikan rahasia. Untuk mengetahui informasi selengkapnya, lihat Mekanisme enkapsulasi kunci. - Untuk kunci penandatanganan asimetris: Untuk tanda tangan digital, Anda dapat memodernisasi inventaris dengan membuat kunci baru yang memiliki tujuan
ASYMMETRIC_SIGNyang menggunakan algoritma pasca-kuantum sepertiPQ_SIGN_ML_DSA_65.
Ketahanan kunci simetris terhadap serangan kuantum
Tidak seperti kunci asimetris yang menjadi fokus pada diagram insight PQC asimetris, kunci simetris umumnya dianggap tahan terhadap serangan komputer kuantum. Pengecualian yang penting adalah kunci MAC yang menggunakan algoritma HMAC-SHA1.
Untuk mengetahui informasi selengkapnya tentang berbagai algoritma, lihat Tujuan dan algoritma utama.
Langkah berikutnya
- Tinjau Tujuan utama dan algoritma yang tersedia.
- Pelajari lebih lanjut enkapsulasi kunci.