مهاجرت به رمزنگاری پساکوانتومی آغاز شده است — بیشتر سازمان‌ها آماده نیستند | IRCNF - Intelligent Reliable Custom Next-gen Frameworks

در اوت ۲۰۲۴، NIST سه استاندارد نهایی رمزنگاری پساکوانتومی را منتشر کرد: ML-KEM (بر پایه CRYSTALS-Kyber)، ML-DSA (بر پایه CRYSTALS-Dilithium) و SLH-DSA (بر پایه SPHINCS+). این الگوریتم‌ها برای مقاومت در برابر حملات رایانه‌های کوانتومی طراحی شده‌اند — تهدیدی که هنوز به طور کامل وجود ندارد اما به قدری سریع نزدیک می‌شود که سازمان‌هایی که از اسرار طولانی‌مدت محافظت می‌کنند باید اکنون اقدام کنند.

بیشتر آن‌ها این کار را نکرده‌اند. تیم‌های امنیتی که برای مدیریت تهدیدهای امروزی تحت فشار هستند، اغلب مهاجرت پساکوانتومی را یک مشکل آینده می‌دانند. این گونه نیست. مدل تهدید در حال حاضر فعال است.

مسئله برداشت اکنون، رمزگشایی بعد (Harvest Now, Decrypt Later)

دلیل فوری بودن مهاجرت پساکوانتومی امروز — حتی با وجود اینکه رایانه‌های کوانتومی مرتبط از نظر رمزنگاری هنوز وجود ندارند — راهبردی به نام Harvest Now, Decrypt Later (HNDL) است. بازیگران تهدید در سطح دولت‌های ملی در حال جمع‌آوری ترافیک رمزگذاری‌شده اینترنت امروز هستند، آن را ذخیره می‌کنند و برنامه‌ریزی می‌کنند تا زمانی که رایانه‌های کوانتومی به توانایی کافی برسند، آن را رمزگشایی کنند.

اگر سازمان شما داده‌های حساس — سوابق مالی، مالکیت فکری، ارتباطات دولتی، اطلاعات سلامت شخصی — را در چند سال گذشته ارسال کرده باشد، ممکن است آن داده در حال حاضر در ذخیره دشمنان باشد. هنگامی که یک رایانه کوانتومی به اندازه کافی قدرتمند ظهور کند، رمزگذاری RSA و elliptic curve که از آن محافظت می‌کند به صورت گذشته‌نگر قابل شکستن می‌شود.

CISA و NSA تخمین زده‌اند که رایانه‌های کوانتومی مرتبط از نظر رمزنگاری می‌توانند بین سال‌های ۲۰۳۰ و ۲۰۳۵ ظهور کنند. این یک بافر راحت نیست — بلکه یک مهلت سخت برای مهاجرت هر داده یا ارتباطی است که باید برای بیش از چند سال محرمانه بماند.

استانداردهای جدید دقیقاً چه هستند

سه استاندارد NIST وظایف رمزنگاری متفاوتی را پوشش می‌دهند:

ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism) جایگزین RSA و Elliptic Curve Diffie-Hellman برای تبادل کلید می‌شود — مکانیسمی که اسرار مشترک بین دو طرف ارتباطی از طریق یک کانال ناامن را ایجاد می‌کند. این همان چیزی است که از اتصالات HTTPS و جلسات TLS محافظت می‌کند.

ML-DSA (Module-Lattice-Based Digital Signature Algorithm) جایگزین RSA و ECDSA برای امضای دیجیتال می‌شود — تأیید اینکه یک پیام، به‌روزرسانی نرم‌افزار یا گواهی واقعاً از طرفی که ادعا می‌شود آمده است.

SLH-DSA (Stateless Hash-Based Digital Signature Algorithm) یک طرح امضای جایگزین با پایه‌های ریاضی متفاوت (توابع هش به جای شبکه‌ها) ارائه می‌دهد که به عنوان یک حصار در برابر آسیب‌پذیری‌های مبتنی بر شبکه عمل می‌کند.

هر سه بر اساس مسائل ریاضی — مسائل شبکه و توابع هش — استوار هستند که تصور می‌شود برای رایانه‌های کوانتومی سخت باشند، برخلاف مسائل فاکتورگیری و لگاریتم گسسته که زیربنای RSA و رمزنگاری elliptic curve هستند.

چه کسانی از قبل در حال حرکت هستند

حرکت‌کنندگان اولیه به طور قابل پیش‌بینی سازمان‌هایی با بالاترین مشخصات تهدید و طولانی‌ترین عمر داده هستند.

Google ML-KEM را در Chrome 116 در سال ۲۰۲۳ ادغام کرد و اتصالات TLS بین Chrome و سرورهای Google را به طور پیش‌فرض مقاوم در برابر کوانتوم ساخت — یک استقرار در دنیای واقعی در مقیاس میلیاردها اتصال. Apple تبادل کلید پساکوانتومی را به پروتکل PQ3 iMessage اضافه کرده است و از کلیدهای رمزگذاری پیام در برابر رمزگشایی گذشته‌نگر محافظت می‌کند. Signal توافق کلید پساکوانتومی خود (PQXDH) را در سال ۲۰۲۳ پیاده‌سازی کرد. Cloudflare سال‌ها است که با TLS پساکوانتومی آزمایش می‌کند و اکنون آن را در تولید ارائه می‌دهد.

در دولت: NSA الزام کرده است که National Security Systems (NSS) — سیستم‌هایی که اطلاعات طبقه‌بندی‌شده را مدیریت می‌کنند — باید مهاجرت را تا سال ۲۰۲۵ آغاز کنند و تا سال ۲۰۳۰ به پایان برسانند. CISA برای اپراتورهای زیرساخت حیاتی راهنما منتشر کرده است. مرکز امنیت سایبری ملی بریتانیا (NCSC) جدول زمانی مشابهی منتشر کرده است.

چه چیزی مهاجرت را دشوار می‌کند

مهاجرت پساکوانتومی یک به‌روزرسانی ساده نرم‌افزاری نیست. این نیاز به یافتن و جایگزینی پایه‌های رمزنگاری جاسازی‌شده در سراسر سیستم‌های یک سازمان دارد — فرآیندی به نام فهرست رمزنگاری یا ارزیابی چابکی رمزنگاری (crypto-agility assessment).

مقیاس مسئله بزرگ است. یک سازمان معمولی از TLS در همه جا استفاده می‌کند، امضای کد برای استقرار نرم‌افزار، SSH برای دسترسی به سرور، ایمیل رمزگذاری‌شده، پایگاه داده رمزگذاری‌شده، سیستم پشتیبان رمزگذاری‌شده، VPN و ماژول‌های امنیتی سخت‌افزاری برای ذخیره کلید. هر یک از اینها نیاز به ارزیابی دارد: کدام الگوریتم در حال استفاده است، از چه داده‌ای محافظت می‌کند، و آن داده چه مدت باید محرمانه بماند.

سیستم‌های قدیمی مشکل را تشدید می‌کنند. سیستم‌های کنترل صنعتی، دستگاه‌های پزشکی، زیرساخت مالی و سیستم‌های دولتی اغلب نرم‌افزاری را اجرا می‌کنند که یک دهه یا بیشتر به‌روز نشده است. وصله کردن الگوریتم‌های رمزنگاری در Firmware یا سیستم‌های جاسازی‌شده اغلب بدون جایگزینی سخت‌افزاری غیرعملی است.

عملکرد نیز نگران‌کننده است. الگوریتم‌های پساکوانتومی اندازه کلید و اندازه امضای بزرگتری نسبت به معادل‌های کلاسیک خود دارند. کلید عمومی ML-KEM 1.2 کیلوبایت است در مقابل 91 بایت برای ECDH. امضاهای ML-DSA 2.4-4.6 کیلوبایت هستند در مقابل 64-72 بایت برای ECDSA. برای برنامه‌های با محدودیت پهنای باند یا حساس به تأخیر، این مهم است.

چابکی رمزنگاری: معماری بلندمدت درست

درسی که جامعه امنیتی از مهاجرت پساکوانتومی می‌گیرد فقط «به‌روزرسانی به الگوریتم‌های جدید» نیست — بلکه «ساخت سیستم‌هایی است که می‌توانند الگوریتم‌ها را بدون مهندسی مجدد همه چیز تغییر دهند». این اصل چابکی رمزنگاری (crypto-agility) نامیده می‌شود.

سیستم‌های چابک رمزنگاری در زمان اجرا تعیین می‌کنند که از کدام الگوریتم استفاده کنند، شناسه‌های الگوریتم را در کنار داده‌های رمزگذاری‌شده ذخیره می‌کنند و در طول دوره انتقال از چندین الگوریتم به طور همزمان پشتیبانی می‌کنند. TLS 1.3 چابکی رمزنگاری را در خود دارد — به همین دلیل استقرار TLS پساکوانتومی از طریق یک به‌روزرسانی نرم‌افزاری قابل دستیابی است. سیستم‌هایی که الگوریتم‌های خود را سخت‌افزاری (hardcoded) کرده‌اند این گزینه را ندارند.

سازمان‌هایی که امروز زیرساخت جدید می‌سازند باید چابکی رمزنگاری را به عنوان یک نیاز معماری غیرقابل مذاکره در نظر بگیرند. سازمان‌هایی که در موج بعدی انتقال‌های رمزنگاری — خواه پساکوانتومی، طرح‌های امضای جدید یا کنار گذاشتن الگوریتم‌ها — بیشترین مشکل را خواهند داشت، آن‌هایی هستند که رمزنگاری را یک مشکل حل‌شده به جای لایه‌ای که نیاز به نگهداری دارد تلقی کردند.

چه باید کرد

گام‌های عملی فوری برای بیشتر سازمان‌ها: انجام یک فهرست رمزنگاری برای شناسایی مکان استفاده از RSA، ECDH و ECDSA؛ اولویت‌بندی سیستم‌هایی که از اسرار طولانی‌مدت یا ارتباطات حساس محافظت می‌کنند؛ شروع آزمایش الگوریتم‌های پساکوانتومی در محیط‌های غیرتولیدی؛ و به‌روزرسانی تنظیمات TLS برای مذاکره تبادل کلید پساکوانتومی در جایی که پشتیبانی کتابخانه وجود دارد (OpenSSL 3.x از ML-KEM در حالت ترکیبی پشتیبانی می‌کند).

سازمان‌هایی که سال ۲۰۳۰ را یک مهلت راحت می‌دانند تا سال ۲۰۲۸ خود را در حالت بحران خواهند یافت، زمانی که حجم کار مهاجرت غیرقابل انکار می‌شود و عرضه مهندسان رمزنگاری با تجربه رقابتی می‌شود. آن‌هایی که اکنون فهرست را شروع می‌کنند — حتی اگر مهاجرت کامل سال‌ها طول بکشد — گزینه‌هایی خواهند داشت. آن‌هایی که شروع نمی‌کنند، نخواهند داشت.