Melihat insight kriptografi pasca-kuantum (PQC) asimetris

Halaman ini menjelaskan cara menggunakan diagram Insight kriptografi pasca-kuantum (PQC) di Ringkasan pengelolaan kunci Cloud KMS di konsolCloud de Confiance untuk membantu mengevaluasi inventaris kunci asimetris Anda dan bersiap untuk modernisasi kriptografi di masa mendatang.

Munculnya komputasi kuantum menimbulkan potensi ancaman terhadap algoritma kriptografi kunci publik yang banyak digunakan. Diagram Insight PQC membantu Anda mengidentifikasi dan menginventarisir kunci asimetris klasik, sehingga memberikan visibilitas yang diperlukan untuk merencanakan modernisasi di masa mendatang dan memastikan ketahanan jangka panjang.

Kunci simetris (seperti yang digunakan untuk ENCRYPT_DECRYPT) umumnya dianggap tahan terhadap serangan komputer kuantum dan tidak disertakan dalam dasbor ini. Untuk mengetahui informasi selengkapnya tentang algoritma yang didukung oleh Cloud KMS, lihat Tujuan dan algoritma kunci.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan guna melihat insight PQC, minta administrator untuk memberi Anda peran IAM Cloud KMS Viewer (roles/cloudkms.viewer) di project

Melihat insight PQC

Diagram Insight PQC asimetris memberikan perincian visual tingkat tinggi dari kunci asimetris Anda berdasarkan kategorisasi algoritma yang digunakan.

  1. Di konsol Cloud de Confiance , buka halaman Key Management.

    Buka Key Management

  2. Klik tab Ringkasan, lalu buka Insight PQC asimetris chart.

  3. Opsional: Klik segmen diagram untuk melihat jumlah kunci yang diwakilinya. Anda juga dapat mengklik Lihat untuk segmen guna melihat tabel Detail insight PQC asimetris.

Diagram ini mengategorikan kunci ke dalam dua grup utama:

  • Pasca-kuantum: Kunci yang menggunakan algoritma kriptografi yang secara khusus dirancang agar tahan terhadap serangan dari komputer kuantum masa depan.
  • Klasik: Kunci yang menggunakan algoritma asimetris klasik (seperti RSA atau ECC) yang tetap aman terhadap serangan klasik saat ini, tetapi rentan terhadap serangan dari komputer kuantum masa depan.

Diagram ini selanjutnya menyegmentasikan kunci ini berdasarkan tujuan kriptografi dan jenis kriptografinya.

Memahami Tabel Detail

Tabel di halaman ini mencantumkan kunci asimetris Anda dalam project saat ini dan memberikan informasi berikut:

  • Nama kunci: Nama kunci. Klik nama untuk membuka halaman Detail Kunci untuk kunci tertentu tersebut.
  • Lokasi: Lokasi tempat kunci berada.
  • Tingkat Perlindungan: Tingkat perlindungan kunci.
  • Tujuan: Tujuan kriptografi kunci—misalnya, ASYMMETRIC_SIGN.
  • Jenis kriptografi: Menunjukkan apakah kunci menggunakan algoritma PQC atau klasik.

Anda dapat menggunakan panel filter di atas tabel untuk menyaring daftar kunci berdasarkan salah satu atribut ini.

Menilai kunci klasik untuk modernisasi mendatang

Anda harus meninjau kunci asimetris yang ada untuk algoritma asimetris klasik yang dapat ditransisikan ke alternatif pasca-kuantum. Kunci ini masih menawarkan perlindungan yang kuat terhadap serangan klasik. Namun, mengadopsi algoritma pasca-kuantum membantu memastikan ketahanan jangka panjang terhadap potensi ancaman kuantum di masa mendatang. Tabel berikut mencantumkan tujuan dan algoritma utama serta apakah masing-masing dianggap aman pasca-kuantum.

Tujuan Algoritma Jenis kriptografi Alternatif pasca-kuantum
ASYMMETRIC_SIGN EC_SIGN_* Klasik ASYMMETRIC_SIGN dengan algoritma PQ_SIGN_*
ASYMMETRIC_SIGN RSA_SIGN_* Klasik ASYMMETRIC_SIGN dengan algoritma PQ_SIGN_*
ASYMMETRIC_SIGN PQ_SIGN_* PQC Aman pasca-kuantum
ASYMMETRIC_DECRYPT RSA_DECRYPT_* Klasik KEY_ENCAPSULATION algoritma
KEY_ENCAPSULATION Semua PQC Aman pasca-kuantum

Menerapkan standar PQC lebih cepat akan memberikan manfaat berikut:

  • Mengganti kunci ASYMMETRIC_DECRYPT dengan kunci KEY_ENCAPSULATION membantu melindungi data terenkripsi Anda dari serangan "kumpulkan sekarang, dekripsi nanti" (HNDL), di mana pelaku kejahatan mencegat ciphertext Anda tanpa cara untuk mendekripsinya, tetapi menyimpan ciphertext tersebut dengan harapan suatu saat dapat memecahkan enkripsinya.
  • Mengganti kunci ASYMMETRIC_SIGN yang menggunakan algoritma EC_SIGN_* atau RSA_SIGN_* dengan algoritma PQ_SIGN_* memberikan penyangkalan jangka panjang untuk tanda tangan Anda.

Mengidentifikasi kunci dengan Inventaris Aset Cloud

Anda dapat menggunakan Cloud Asset Inventory untuk mencantumkan dan memfilter aset Cloud KMS Anda secara terprogram menurut jenis algoritma.

Menelusuri di seluruh organisasi

  1. Untuk mencantumkan kunci yang menggunakan algoritma pasca-kuantum seperti PQ_SIGN_*, ML_KEM_*, atau KEM_XWING, jalankan perintah berikut:

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  2. Untuk mencantumkan kunci asimetris yang tidak menggunakan algoritma pasca-kuantum—dengan kata lain, kunci asimetris yang menggunakan algoritma klasik—jalankan perintah berikut:

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

Menelusuri di seluruh project

  1. Pastikan Google Cloud CLI Anda menargetkan project yang benar:

    gcloud config set project PROJECT_ID
    
  2. Untuk mencantumkan kunci yang menggunakan algoritma pasca-kuantum seperti PQ_SIGN_*, ML_KEM_*, atau KEM_XWING, jalankan perintah berikut:

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  3. Untuk mencantumkan kunci asimetris yang tidak menggunakan algoritma pasca-kuantum—dengan kata lain, kunci asimetris yang menggunakan algoritma klasik—jalankan perintah berikut:

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

Untuk mengurangi risiko dari serangan kuantum, beralihlah dari kunci asimetris yang menggunakan algoritma klasik.

  • Untuk kunci dekripsi asimetris: Untuk kunci yang digunakan untuk dekripsi asimetris, Anda dapat memodernisasi inventaris dengan mengganti enkripsi asimetris dengan enkripsi kunci publik hibrida (HPKE). Di HPKE, Anda menggunakan kunci dengan tujuan KEY_ENCAPSULATION yang menggunakan algoritma pasca-kuantum seperti ML_KEM_768 untuk membagikan rahasia. Untuk mengetahui informasi selengkapnya, lihat Mekanisme enkapsulasi kunci.
  • Untuk kunci penandatanganan asimetris: Untuk tanda tangan digital, Anda dapat memodernisasi inventaris dengan membuat kunci baru yang memiliki tujuan ASYMMETRIC_SIGN yang menggunakan algoritma pasca-kuantum seperti PQ_SIGN_ML_DSA_65.

Ketahanan kunci simetris terhadap serangan kuantum

Tidak seperti kunci asimetris yang menjadi fokus pada diagram insight PQC asimetris, kunci simetris umumnya dianggap tahan terhadap serangan komputer kuantum. Pengecualian yang penting adalah kunci MAC yang menggunakan algoritma HMAC-SHA1. Untuk mengetahui informasi selengkapnya tentang berbagai algoritma, lihat Tujuan dan algoritma utama.

Langkah berikutnya