Keamanan Data Era Kuantum, CISA Ubah Aturan Pembelian Teknologi

Ancaman komputer kuantum terhadap sistem keamanan digital bukan lagi sekadar wacana akademis. Pemerintah Amerika Serikat kini mulai mengambil langkah konkret untuk mengantisipasi risiko tersebut. Melalui Cybersecurity and Infrastructure Security Agency (CISA), pemerintah AS pada 23 Januari resmi menerbitkan panduan baru yang mengarahkan lembaga federal dan operator infrastruktur penting agar hanya membeli produk teknologi yang telah mendukung kriptografi pasca-kuantum atau post-quantum cryptography (PQC).

Kebijakan ini menandai fase penting dalam transformasi keamanan siber nasional Amerika Serikat. Untuk pertama kalinya, ketahanan terhadap ancaman komputer kuantum tidak lagi ditempatkan sebagai rencana jangka panjang, melainkan sebagai syarat nyata dalam pengadaan teknologi sehari-hari. Artinya, teknologi yang tidak siap menghadapi era pasca-kuantum berpotensi tersingkir dari ekosistem pengadaan pemerintah federal.

Dari Kebijakan ke Implementasi Nyata

Panduan CISA ini merupakan tindak lanjut dari perintah eksekutif Presiden AS pada Juni 2025, yang menginstruksikan Departemen Keamanan Dalam Negeri untuk mengidentifikasi kategori produk teknologi yang kriptografi pasca-kuantumnya telah matang secara komersial. Tujuannya jelas: memastikan belanja negara tidak lagi bergantung pada teknologi enkripsi yang rentan di masa depan.

Melalui panduan ini, CISA menyusun daftar kategori produk teknologi yang dinilai telah memiliki opsi PQC yang tersedia luas di pasar. Daftar tersebut menjadi acuan langsung bagi lembaga pemerintah dalam mengambil keputusan pengadaan. Jika suatu kategori produk dinyatakan siap PQC, maka lembaga federal diharapkan tidak lagi membeli produk yang belum mendukung kriptografi pasca-kuantum.

CISA menegaskan bahwa kebijakan ini bukan sekadar formalitas administratif. Panduan tersebut dirancang untuk mendorong adopsi PQC secara praktis dan operasional, sehingga perlindungan terhadap ancaman kuantum dapat diterapkan sejak dini, tanpa harus menunggu komputer kuantum benar-benar tersedia secara luas.

Bukan Sekadar Aturan, tapi Penentu Arah Pasar

Panduan CISA juga mendapat perhatian dari pelaku industri keamanan siber. CEO Patero, Crick Waters, menilai kebijakan ini memiliki dampak strategis yang jauh melampaui kepatuhan regulasi.

Menurut Waters, daftar kategori produk yang disusun CISA berfungsi sebagai sinyal pasar yang sangat kuat. Di satu sisi, panduan ini membantu pemerintah menentukan standar minimal keamanan teknologi. Namun di sisi lain, kebijakan ini juga memaksa vendor dan penyedia layanan teknologi untuk menyesuaikan strategi produknya.

“Kategori yang ditetapkan cukup luas, sehingga sering kali membuat insinyur jaringan kesulitan memahami secara detail apa saja yang perlu disiapkan untuk meningkatkan PQC di jaringan, basis data, dan repositori kode,” ujarnya. Meski demikian, bagi vendor, daftar ini menjadi semacam “peta kata kunci” yang akan digunakan lembaga pemerintah dan integrator saat mencari solusi teknologi.

Dengan kata lain, produk yang tidak mampu memetakan dirinya ke dalam kategori PQC berisiko kehilangan peluang pasar, khususnya di sektor pemerintahan dan infrastruktur kritis.

Mengenal Post-Quantum Cryptography

Post-quantum cryptography adalah metode enkripsi dan autentikasi yang dirancang agar tetap aman meskipun suatu saat diserang oleh komputer kuantum. Berbeda dengan komputer klasik, komputer kuantum memanfaatkan prinsip mekanika kuantum yang berpotensi memecahkan algoritma kriptografi populer saat ini, seperti RSA dan ECC, dalam waktu yang jauh lebih singkat.

Walaupun komputer kuantum berskala besar belum tersedia secara komersial, ancamannya bersifat jangka panjang. Banyak jenis data—mulai dari arsip negara, sistem pengendali infrastruktur, data kesehatan, hingga kekayaan intelektual—harus dijaga kerahasiaannya selama puluhan tahun. Jika data tersebut dienkripsi dengan metode lama, ada risiko data yang disadap hari ini dapat dibuka di masa depan ketika teknologi kuantum sudah matang.

Karena itulah, CISA menekankan pentingnya transisi dini menuju PQC, terutama untuk produk teknologi informasi yang umum digunakan pemerintah federal. Panduan ini secara tegas tidak mencakup sistem eksperimental atau alat khusus, melainkan fokus pada produk yang tersedia luas, yakni produk yang bisa dibeli melalui mekanisme pengadaan normal tanpa pengaturan khusus.

Dua Pilar Utama Keamanan Post-Quantum

Dalam panduannya, CISA menyoroti dua fungsi kriptografi utama yang menjadi dasar keamanan digital modern.

Pertama adalah pembentukan kunci (key establishment), yaitu mekanisme yang mengatur cara berbagi kunci enkripsi secara aman antar pihak. Fungsi ini sangat penting untuk memastikan komunikasi digital tetap rahasia.

Kedua adalah tanda tangan digital (digital signatures), yang berfungsi untuk memverifikasi keaslian dan keutuhan data atau perangkat lunak. Dengan tanda tangan digital, sistem dapat memastikan bahwa informasi berasal dari pihak yang sah dan tidak mengalami perubahan selama proses pengiriman.

CISA mencatat bahwa banyak produk teknologi saat ini sudah mengadopsi metode tahan kuantum untuk pembentukan kunci, namun masih menggunakan algoritma lama untuk tanda tangan digital. Perbedaan ini penting karena berarti produk tersebut baru memberikan perlindungan sebagian, bukan perlindungan menyeluruh, terhadap ancaman kuantum di masa depan.

Sebagai catatan, alat otomatis yang berfungsi memindai jaringan dan menginventarisasi penggunaan kriptografi tidak termasuk dalam cakupan panduan ini.

Kategori Produk yang Sudah Wajib Siap PQC

CISA mengidentifikasi sejumlah kategori produk teknologi yang dinilai telah memiliki opsi PQC yang tersedia luas dan seharusnya menjadi pilihan standar bagi pembeli federal. Kategori tersebut meliputi:

• Layanan cloud computing, seperti Infrastructure-as-a-Service (IaaS) dan Platform-as-a-Service (PaaS)
• Alat kolaborasi, termasuk aplikasi chat dan pesan instan
• Perangkat lunak web inti, seperti browser dan server
• Produk keamanan endpoint, termasuk sistem enkripsi penuh pada perangkat

Di sebagian besar kategori ini, vendor telah mengimplementasikan teknik tahan kuantum untuk pembentukan kunci. Meski tanda tangan digital yang sepenuhnya aman kuantum belum menjadi standar, CISA menilai fungsi keamanan utama produk-produk tersebut sudah cukup kuat untuk dimasukkan ke dalam daftar “tersedia luas”.

Daftar Transisi: Teknologi yang Masih Berkembang

Selain daftar utama, CISA juga merilis daftar transisi yang mencakup kategori produk di mana adopsi PQC sudah berjalan, tetapi belum merata. Untuk kategori ini, produsen didorong untuk terus mengembangkan dan menguji penerapan PQC di seluruh fungsi produk, termasuk fitur pendukung seperti pembaruan perangkat lunak.

Daftar transisi ini mencakup hampir seluruh tumpukan teknologi perusahaan, antara lain perangkat keras dan perangkat lunak jaringan, platform software-as-a-service, peralatan telekomunikasi, sistem operasi, sistem penyimpanan data, manajemen identitas dan akses, perangkat lunak keamanan perusahaan, serta platform kolaborasi seperti email dan berbagi berkas.

CISA menegaskan bahwa produk dalam kategori ini tidak hanya harus aman pada fungsi utamanya, tetapi juga memastikan bahwa fitur tambahan tidak menjadi celah keamanan di era pasca-kuantum. Seiring meningkatnya kematangan teknologi, kategori-kategori ini akan dipindahkan ke daftar “tersedia luas” pada pembaruan panduan berikutnya.

Berbasis Standar NIST

Panduan CISA ini sangat erat kaitannya dengan upaya National Institute of Standards and Technology (NIST), yang selama hampir satu dekade melakukan riset dan standardisasi algoritma kriptografi tahan kuantum. NIST telah menerbitkan sejumlah standar federal untuk algoritma PQC, termasuk metode berbasis kisi (lattice-based) untuk pembentukan kunci dan tanda tangan digital, serta skema tanda tangan berbasis hash.

Standar ini dirancang untuk menggantikan sistem kriptografi lama yang diketahui rentan terhadap serangan komputer kuantum. CISA pun mendorong lembaga pemerintah untuk mengikuti panduan transisi NIST, yang menjelaskan langkah-langkah bertahap dalam beralih dari enkripsi lama menuju solusi tahan kuantum.

Sinyal Kuat bagi Industri Teknologi

Di luar kepentingan pengadaan pemerintah, panduan ini menjadi pesan tegas bagi industri teknologi global. Dengan menyebutkan kategori produk secara spesifik dan mengaitkannya dengan ekspektasi pembelian, CISA menarik garis jelas antara teknologi yang seharusnya sudah siap menghadapi era kuantum dan teknologi yang harus segera berbenah.

CISA menegaskan bahwa panduan ini tidak bersifat final dan akan diperbarui secara berkala seiring perkembangan teknologi. Sementara itu, perangkat teknologi operasional dan Internet of Things (IoT) memang diharapkan mengikuti transisi PQC, meski masih berada di luar cakupan panduan saat ini.

Langkah CISA ini menegaskan satu hal: era keamanan pasca-kuantum bukan lagi masa depan yang jauh, melainkan tantangan nyata yang harus dihadapi sejak sekarang.