(SeaPRwire) –   Kali pertama saya menyerahkan kad kredit saya ke makmal keselamatan, ia kembali kepada saya dalam keadaan rosak. Bukan rosak fizikal, tetapi telah dicompromi. Dalam masa kurang daripada 10 minit, jurutera telah menemui PIN saya.

Ini berlaku pada awal 1990-an, ketika saya masih jurutera muda yang memulakan latihan industri di salah satu syarikat yang membantu mewujudkan industri kad pintar. Saya percaya kad saya adalah selamat. Saya percaya sistem itu berfungsi. Tetapi melihat orang asing dengan mudah mengekstrak sesuatu yang sepatutnya rahsia dan dilindungi adalah satu kejutan. Ia juga merupakan saat saya menyedari betapa tidak selamatnya keselamatan sebenarnya, dan kesan dahsyat pelanggaran keselamatan yang boleh berlaku kepada individu, syarikat global, dan kerajaan.

Kebanyakan orang menganggap keselamatan adalah tentang membina sesuatu yang tidak boleh dipecahkan. Sebenarnya, keselamatan adalah tentang memahami dengan tepat bagaimana sesuatu boleh dipecahkan, dalam keadaan apa, dan seberapa cepat. Itulah sebabnya, hari ini, saya mengendalikan makmal di mana jurutera dibayar untuk menyerang cip yang direka oleh syarikat saya sendiri. Mereka mengukur turun naik kuasa, menyuntik isyarat elektromagnet, menembak laser, dan mengeluarkan lapisan silikon. Tugas mereka adalah untuk bertindak seperti penjenayah dan negara-negara musuh dengan sengaja, kerana satu-satunya cara jujur untuk membina kepercayaan adalah dengan cuba memusnahkannya terlebih dahulu.

Bagi seseorang di luar dunia keselamatan, pendekatan ini kelihatan bertentangan dengan intuisi. Mengapa menghabiskan tahun-tahun untuk mereka bentuk perkakasan selamat, hanya untuk menjemput orang ramai untuk memecahkannya? Jawapannya adalah mudah: Kepercayaan yang tidak pernah diuji bukanlah kepercayaan. Ia adalah andaian. Andaian gagal secara senyap pada mulanya, dan ia gagal pada saat yang paling buruk.

Selama tiga dekad yang lalu, saya telah melihat cip selamat beralih dari teknologi khusus kepada infrastruktur yang tidak kelihatan. Pada awal karier saya, kebanyakan kerja saya tertumpu pada kad pembayaran. Membuktikan kepada bank dan rangkaian pembayaran bahawa cip adalah lebih selamat daripada jalur magnet bukanlah perkara mudah. Pada masa itu, terdapat ketakutan tentang pengawasan dan penjejakan. Apa yang jarang diketahui oleh orang ramai adalah bahawa cip ini telah menjadi pasport digital. Mereka membuktikan identiti, mengesahkan peranti, dan menentukan apa yang boleh dan tidak boleh dipercayai pada rangkaian.

Hari ini, cip selamat terletak dengan senyap di dalam kad kredit, telefon pintar, kereta, peranti perubatan, router rumah, sistem industri, dan infrastruktur negara. Kebanyakan orang tidak pernah menyedari kehadiran mereka, yang sering dianggap sebagai tanda kejayaan. Sebenarnya, ketidaklihatan itu juga mencipta risiko. Apabila keselamatan hilang dari pandangan, mudah untuk lupa bahawa ia masih perlu berkembang.

Pada tahap asas, cip selamat melakukan satu perkara penting. Ia melindungi rahsia – identiti kriptografi yang membuktikan peranti itu adalah tulen. Semua langkah keselamatan lain dibina berdasarkan asas itu. Apabila telefon dibuka kunci, apabila kereta berkomunikasi dengan stesen pengecasan, apabila sensor perubatan menghantar data ke hospital, atau apabila kemas kini perisian dihantar kepada peranti di lapangan, semua tindakan itu bergantung pada rahsia itu kekal rahsia.

Cabaran adalah bahawa cip tidak hanya menyimpan rahsia. Mereka menggunakannya. Mereka mengira, berkomunikasi, dan bertindak balas. Pada saat cip melakukan itu, ia mula bocor maklumat. Bukan kerana ia direka dengan buruk, tetapi kerana fizik tidak boleh dirundingkan. Penggunaan kuasa berubah. Pelepasan elektromagnet berubah. Masa (timing) berbeza-beza. Dengan peralatan yang betul dan kepakaran yang mencukupi, isyarat tersebut boleh diukur dan diinterpretasikan.

Ini adalah apa yang berlaku di dalam makmal serangan kami setiap hari. Jurutera mendengar cip dengan cara yang sama seperti provider elektrik yang boleh menyimpulkan rutin harian anda dari penggunaan kuasa anda. Mereka menguji tekanan peranti sehingga ia bertindak balas berbeza daripada yang diharapkan. Mereka memperkenalkan kesilapan dan memerhatikan bagaimana cip bertindak balas. Daripada pemerhatian tersebut, mereka belajar bagaimana penyerang akan berfikir, di mana maklumat keluar, dan bagaimana pertahanan mesti direka semula.

Komputer kuantum memasuki gambar ini tanpa drama atau fiksyen sains. Kuantum tidak mengubah apa yang dicari oleh penyerang – mereka masih mahukan rahsia. Apa yang diubah oleh kuantum adalah kelajuan di mana mereka boleh mendapatkannya. Masalah yang akan mengambil ribuan tahun untuk dikendalikan oleh komputer klasik boleh runtuh kepada minit atau saat sekali kemampuan kuantum yang mencukupi wujud. Sasaran tetap sama. Garis masa hilang.

Itulah sebabnya keselamatan statik gagal. Sebarang sistem yang direka untuk menjadi selamat sekali dan kemudian dibiarkan tanpa sentuhan sudah pun menua ke arah usang. Jika sistem tidak pernah diserang, ia akhirnya akan gagal, kerana dunia di sekelilingnya tidak berhenti. Teknik serangan berkembang dan bertambah baik. Alat menjadi lebih murah, lebih berkuasa, dan lebih mudah diakses – terutamanya dalam era Kecerdasan Buatan. Pengetahuan tentang serangan yang berjaya disebarkan secara global, memberdayakan orang lain untuk mencari kejayaan yang serupa.

Banyak organisasi membuat kesilapan yang sama. Mereka menganggap mereka akan melihat ancaman datang. Mereka menunggu pelanggaran yang kelihatan atau insiden awam sebelum bertindak. Dengan kuantum, logik itu runtuh. Aktor pertama dengan kemampuan kuantum yang bermakna tidak akan mengumumkannya. Mereka akan menggunakannya secara senyap. Malah, ini sudah berlaku sekarang dengan serangan Harvest Now-Decrypt Later (HNDL), di mana sejumlah besar data terenkripsi dikumpulkan dan disimpan hari ini untuk penyulitan kuantum pada masa depan. Pada masa serangan menjadi jelas, kerosakan sudah berlaku.

Realiti itu adalah sebabnya kerajaan dan pengawal selia bergerak sekarang. Melalui semua industri, keperluan muncul bahawa sistem mesti menjadi tahan kuantum dalam jangka masa yang ditentukan. Ini bukan didorong oleh teori atau hype. Ia didorong oleh fakta mudah bahawa mengemas kini kriptografi, perkakasan, dan infrastruktur mengambil tahun-tahun, manakala mengeksploitasi kelemahan boleh mengambil saat-saat.

Apabila saya berjalan melalui makmal kami hari ini, apa yang paling menarik perhatian saya bukanlah kecanggihan alat-alat, tetapi disiplin proses. Akses dikawal ketat. Jurutera telah disemak dan diaudit. Setiap eksperimen didokumentasikan. Ini bukan hacking yang didorong oleh rasa ingin tahu. Ia adalah ujian terstruktur dan boleh diulang yang direka untuk menunjukkan kelemahan pada awalnya, semasa masih ada masa untuk membetulkannya. Setiap serangan yang berjaya menjadi input untuk reka bentuk yang lebih kuat.

Ini adalah apa yang perlu difahami oleh pemimpin, pemilik sistem, dan pembuat dasar. Keselamatan tidak gagal secara tiba-tiba. Ia gagal secara senyap, lama sebelum sesiapa menyedari. Menyediakan untuk ancaman kuantum bukanlah tentang meramalkan saat tepat di mana terobosan berlaku. Ia adalah tentang menerima bahawa sekali ia berlaku, tidak akan ada tempoh penghormatan. Pendekatan yang bertanggungjawab satu-satunya adalah menganggap sistem anda akan diserang dan memastikan ia berlaku dalam keadaan terkawal, sebelum seseorang lain menentukan masa untuk anda.