Multi-Party Computation: Strategi CISO Hadapi Ancaman Siber


Data Security

Data Security

Dalam era digital yang penuh tantangan, peran Chief Information Security Officer (CISO) atau Kepala Keamanan Informasi menjadi semakin penting dan kompleks. Ancaman siber seperti serangan berbasis kecerdasan buatan (AI), ransomware, serta pelanggaran data yang canggih terus berkembang dari waktu ke waktu. Di sisi lain, meningkatnya penggunaan cloud computing, sistem kerja jarak jauh, dan regulasi baru menuntut strategi keamanan yang lebih mutakhir.

Di tengah kondisi ini, pendekatan keamanan tradisional seperti enkripsi standar atau penyimpanan aman tidak lagi cukup. Salah satu teknologi canggih yang mulai dilirik para CISO untuk memperkuat strategi keamanan adalah Secure Multi-Party Computation (MPC). Teknologi ini menawarkan pendekatan baru dalam proses enkripsi, penyimpanan, dan manajemen kunci enkripsi secara aman tanpa bergantung pada satu titik penyimpanan.

Artikel ini akan mengulas secara mendalam mengenai apa itu MPC, bagaimana cara kerjanya, dan mengapa CISO perlu menjadikannya sebagai bagian penting dari sistem keamanan organisasi mereka.

 

Apa Itu Secure Multi-Party Computation (MPC)?

Multi-Party Computation (MPC) adalah protokol kriptografi canggih yang memungkinkan beberapa pihak untuk bekerja sama menghitung sesuatu berdasarkan data mereka tanpa harus membagikan data asli satu sama lain.

Bayangkan ini sebagai trik kriptografi cerdas: semua pihak bisa "menggabungkan otak" untuk menyelesaikan satu perhitungan, namun tetap menjaga informasi pribadi mereka tetap rahasia. Teknologi ini sangat cocok digunakan dalam dunia yang sangat peduli terhadap privasi dan keamanan data.

Dua Prinsip Dasar MPC:

  1. Privasi (Privacy): Data yang dimiliki masing-masing pihak tetap dirahasiakan dan tidak diungkap selama proses.
  2. Akurasi (Accuracy): Hasil perhitungannya tetap akurat, bahkan jika ada pihak yang mencoba memanipulasi proses.

Contoh Sederhana: Menghitung Rata-rata Gaji

Bayangkan tiga rekan kerja Nana, Boby, dan Celine ingin mengetahui rata-rata gaji tim mereka, tapi tidak ingin memberitahu gaji masing-masing secara langsung.

Dengan MPC, mereka bisa memasukkan gaji ke dalam sistem yang akan mengubah angka gaji menjadi angka acak (disebut shares atau pecahan data). Pecahan data ini kemudian didistribusikan ke semua anggota tim.

Setelah semua share digabungkan, mereka tetap bisa menghitung rata-rata gaji secara akurat tanpa pernah mengetahui gaji asli satu sama lain. Itulah kekuatan MPC: informasi tetap aman, hasil tetap akurat.


Sejarah Lahirnya Konsep MPC

Multi-Party Computation mulai dikembangkan pada awal 1980-an. Inovasi ini lahir dari kebutuhan untuk melakukan perhitungan secara kolaboratif, tetapi tetap menjaga privasi masing-masing pihak. Artinya, tidak ada satu pun partisipan yang harus membocorkan data pribadi atau sensitifnya kepada yang lain.

  • 1982: The Millionaire’s Problem
    Konsep MPC pertama kali diperkenalkan melalui sebuah studi berjudul “The Millionaire’s Problem”. Dalam skenario ini, dua orang jutawan ingin mengetahui siapa yang lebih kaya tanpa mengungkapkan kekayaan masing-masing secara langsung. Inilah yang kemudian dikenal sebagai secure two-party computation, yaitu bentuk awal dari MPC.
  • 1986: Andrew Yao dan Teori Revolusioner
    Tokoh penting dalam perkembangan MPC adalah Andrew Yao, seorang ilmuwan komputer asal China yang bekerja di Amerika Serikat. Ia memperluas pendekatan dua pihak tersebut agar dapat digunakan untuk berbagai jenis perhitungan yang kompleks. Konsepnya kini dikenal sebagai Yao’s Garbled Circuit.
  • 1987: Menuju Multi-Pihak
    Setahun setelahnya, peneliti Goldreich, Micali, dan Wigderson memperluas pendekatan ini ke multi-party computation, sehingga memungkinkan lebih dari dua pihak untuk ikut serta dalam perhitungan aman tanpa harus saling percaya. Ini membuka pintu bagi kolaborasi dalam skala besar tanpa kompromi terhadap privasi.

Evolusi Teknologi MPC

  • 1990-an: Memicu Terobosan Baru
    Pada dekade 1990-an, studi mendalam tentang MPC memicu inovasi dalam keamanan mobile dan konsep universal composability yakni pendekatan untuk memastikan bahwa protokol keamanan tetap efektif bahkan jika digabungkan dengan protokol lain. Salah satu pelopor konsep ini adalah Ran Canetti, penasihat kriptografi dari perusahaan keamanan Fireblocks.
  • 2008: Implementasi di Dunia Nyata
    Tahun 2008 menjadi tonggak penting ketika Denmark menggunakan MPC untuk menyelenggarakan lelang digital. Ini adalah pertama kalinya MPC diterapkan dalam skala besar secara nyata, membuktikan bahwa konsep ini dapat bekerja di luar laboratorium penelitian.
  • Akhir 2010-an: Melindungi Aset Digital
    Dengan pesatnya pertumbuhan aset digital seperti Bitcoin dan Ethereum, kebutuhan akan sistem keamanan baru pun meningkat. MPC mulai digunakan oleh dompet digital dan kustodian aset kripto untuk melindungi kunci privat komponen penting yang menentukan kepemilikan aset digital.
  • 2019: Munculnya Algoritma MPC-CMP
    Pada tahun 2019, diperkenalkan MPC-CMP, algoritma MPC yang mampu refresh kunci privat hanya dalam satu round. Ini meningkatkan efisiensi sekaligus menjaga keamanan pada tingkat yang lebih tinggi.


Bagaimana MPC Meningkatkan Keamanan Data?

Salah satu aplikasi paling menarik dari MPC adalah dalam pembuatan dan manajemen kunci enkripsi. Seperti diketahui oleh semua CISO, kunci enkripsi adalah jantung dari sistem keamanan data digital.

Masalah Kunci Enkripsi Tradisional
Selama ini, kunci enkripsi disimpan menggunakan metode seperti:

  1. Hardware Security Modules (HSM)
  2. Penyimpanan berbasis perangkat lunak
  3. Key vault (brankas kunci)
  4. Sistem pihak ketiga

Namun, pendekatan ini menyimpan risiko besar yang disebut “single point of compromise” jika lokasi penyimpanan itu dibobol, semua data yang dienkripsi bisa diakses penyerang.

Solusi dengan MPC
Dengan MPC, kunci enkripsi tidak lagi disimpan utuh di satu tempat. Sebaliknya:

  1. Kunci dibagi menjadi beberapa bagian kecil (share)
  2. Setiap bagian dienkripsi dan disimpan di lokasi berbeda
  3. Tidak satu pun pihak bisa mengakses kunci lengkap secara individual

Metode ini drastis menurunkan risiko pencurian atau kompromi, karena penyerang harus membobol banyak lokasi dan sistem sekaligus untuk bisa mencuri kunci utuh. 

Ilustrasi: Kunci Enkripsi Seperti Peta Harta Karun
Bayangkan kunci enkripsi sebagai peta harta karun. Dengan MPC, peta itu dipotong menjadi beberapa bagian, lalu diberikan ke orang berbeda di tempat berbeda. Harta (data sensitif) hanya bisa ditemukan jika semua bagian peta digabungkan kembali.

Tanpa semua bagian tersebut, tidak ada yang bisa menemukan lokasi harta karun. Itulah logika kerja MPC dalam menjaga kunci enkripsi.

 

Mengapa CISO Harus Mempertimbangkan MPC?

  1. Menghilangkan Titik Lemah Tunggal
    MPC menghilangkan konsep penyimpanan kunci di satu lokasi, yang berarti tidak ada satu pun titik yang bisa menjadi target serangan utama.
  2. Memenuhi Kebutuhan Regulasi
    Dalam menghadapi regulasi global yang berubah cepat (seperti GDPR, HIPAA, dan lainnya), MPC membantu perusahaan menjaga kepatuhan dengan:
    • Mengurangi eksposur data
    • Menyediakan bukti keamanan untuk audit
    • Mengontrol data secara internal tanpa pihak ketiga
  3. Tidak Bergantung pada Pihak Ketiga
    Dengan MPC, perusahaan bisa mengelola kunci enkripsi secara internal tanpa harus bergantung pada penyedia layanan eksternal. Ini memberikan kontrol penuh dan fleksibilitas lebih besar.
  4. Cocok untuk Berbagai Industri
    MPC saat ini mulai banyak diadopsi oleh:
    • Perbankan dan Keuangan: untuk transaksi aman dan otorisasi multi-pihak
    • Farmasi: berbagi data riset sensitif
    • Otomotif: pengelolaan identitas dan komunikasi antar kendaraan
    • Cloud Computing: perlindungan data sensitif di infrastruktur cloud

 

Aplikasi MPC di Dunia Modern

Teknologi MPC kini telah menjadi bagian penting dalam berbagai aplikasi, tidak hanya di dunia kripto tetapi juga di bidang lain yang membutuhkan privasi tinggi dalam kolaborasi data. Berikut beberapa contoh penerapannya:

  1. Pemilu Elektronik (E-Voting)
    Dalam sistem pemilu digital, MPC memungkinkan perhitungan suara dilakukan secara rahasia dan akurat, tanpa satu pihak pun bisa melihat pilihan individu lainnya.
  2. Lelang Digital
    MPC memungkinkan peserta lelang untuk mengajukan penawaran tanpa mengungkap jumlahnya ke publik, sambil memastikan bahwa pemenang bisa ditentukan secara adil dan transparan.
  3. Data Mining yang Menjaga Privasi
    Banyak perusahaan ingin menggali data pengguna untuk analisis tanpa melanggar privasi. Dengan MPC, data bisa digabung dan diproses tanpa membocorkan informasi mentah ke pihak lain.
  4. Keamanan Aset Digital
    Inilah aplikasi paling populer MPC saat ini. Perusahaan kripto dan kustodian aset digital menggunakan MPC untuk mengamankan proses otorisasi transaksi tanpa menyimpan kunci privat secara terpusat.
  5. Kolaboratif Machine Learning
    MPC memungkinkan organisasi untuk melatih model machine learning secara kolaboratif menggunakan data sensitif dari berbagai sumber, tanpa mengekspos data asli, sehingga menjaga privasi dan memenuhi regulasi perlindungan data.
  6. Sektor Keuangan
    Dalam sektor keuangan, MPC digunakan untuk transaksi multi-pihak yang aman, memastikan bahwa informasi keuangan sensitif (seperti rincian transaksi atau data saldo) tetap pribadi meskipun diproses di berbagai lembaga keuangan.
  7. Berbagi Data Kesehatan
    Di industri kesehatan, MPC memfasilitasi berbagi data medis sensitif antar lembaga untuk penelitian dan diagnosis sambil memastikan privasi pasien tetap terjaga.
  8. Transparansi Supply Chain
    MPC dapat meningkatkan transparansi dalam supply chain dengan memungkinkan perusahaan untuk berbagi data relevan dengan mitra tanpa mengungkapkan informasi bisnis sensitif atau data yang bersifat proprietari.


Kenapa MPC Jadi Standar Baru untuk Keamanan Aset Digital?

Untuk menggunakan aset digital seperti Bitcoin, pengguna memerlukan public key dan private key. Public key digunakan untuk menerima aset, sementara private key digunakan untuk mengakses dan memindahkan aset.

Jika privat key jatuh ke tangan yang salah, aset digital bisa dicuri dalam sekejap.

Solusi Lama yang Sudah Mulai Usang:

  1. Cold Storage
    Cold storage menyimpan kunci privat secara offline, biasanya di komputer yang tidak terhubung ke internet. Transaksi ditandatangani secara manual lalu disiarkan secara online.
    • Kelebihan:
      • Sangat aman dari serangan online
    • Kekurangan:
      • Lambat (butuh waktu 24–48 jam untuk memproses transaksi)
      • Tidak mencegah pencurian kredensial
      • Tidak cocok untuk transaksi rutin perusahaan
  2. Hardware Wallet
    Kunci privat disimpan di perangkat fisik seperti USB.
    • Kelebihan:
      • Tahan malware
      • Dapat dipulihkan dengan seed phrase
    • Kekurangan:
      • Kehilangan seed phrase = kehilangan akses permanen
      • Tidak praktis untuk skala bisnis yang tinggi
  3. Hot Wallet
    Kunci privat disimpan secara online, memungkinkan transaksi cepat.
    • Kelebihan:
      • Praktis untuk pengguna aktif
    • Kekurangan:
      • Rentan terhadap serangan cyber
      • Masalah keamanan jika alamat salah disalin
      • 2FA dan whitelist merepotkan pengguna
    Beberapa hot wallet menggunakan teknologi multisignature (multisig), di mana kunci privat dibagi ke beberapa pihak. Tapi:
    • Tidak kompatibel dengan semua blockchain
    • Sulit diatur dan dikelola oleh tim yang dinamis

 

Keunggulan MPC dibandingkan Metode Lama

  1. Tidak Ada Titik Kegagalan Tunggal
    Dengan MPC, kunci privat tidak pernah disimpan atau dikumpulkan secara utuh. Sebaliknya, ia dibagi ke beberapa pihak, dan hanya digunakan bersama-sama saat dibutuhkan untuk menandatangani transaksi.
  2. Mendukung Transaksi Cepat dan Aman
    Berbeda dengan cold storage, MPC memungkinkan transaksi dilakukan dalam hitungan detik, tanpa perlu kompromi terhadap keamanan.
  3. Kompatibel dengan Regulasi dan Audit
    Banyak institusi keuangan membutuhkan jejak audit (audit trail). Sistem berbasis MPC memungkinkan setiap tindakan tercatat tanpa mengungkap data sensitif.
  4. Fleksibel untuk Bisnis Modern
    Perusahaan dapat mengatur otorisasi multi-pengguna, kebijakan keamanan dinamis, dan pengendalian akses berdasarkan peran. Semua ini bisa dilakukan tanpa merusak kecepatan operasional.

 

Kesimpulan

Di tahun-tahun mendatang, peran CISO akan semakin strategis dan krusial. Ancaman dunia maya semakin canggih, dan perlindungan data tidak lagi bisa mengandalkan metode lama. Secure Multi-Party Computation (MPC) menawarkan jawaban modern yang tidak hanya meningkatkan keamanan, tetapi juga mempermudah pemenuhan regulasi dan memberikan kendali penuh atas kunci enkripsi.

Dengan MPC, organisasi bisa:

  1. Menjaga kerahasiaan data secara maksimal
  2. Menghindari kebocoran akibat titik lemah tunggal
  3. Mengelola sistem keamanan secara lebih efisien dan terdesentralisasi


Teknologi ini bukan lagi sebatas teori, tapi sudah diimplementasikan di berbagai sektor dan siap mendukung keamanan digital Anda.

Apakah organisasi Anda sudah siap menyambut revolusi keamanan digital ini?

Bagikan artikel ini

Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Video Terkait