الحكومات تتخذ إجراءات بشأن ما بعد الكم ؛ ماذا تريد ان تفعل حيال ذلك؟

(بواسطة فريق Post-Quantum) تعد أجهزة الكمبيوتر الكمومية أكبر تهديد وجودي لأمن المعلومات في العالم. بمجرد ظهور آلة قوية بما فيه الكفاية ، ستصبح معايير تشفير المفتاح العام (PKC) التي تحمي العالم الرقمي حاليًا عفا عليها الزمن في لحظة ، مما يتسبب في أضرار لا حصر لها لصناعات بأكملها - من الأمن القومي ، إلى الخدمات المصرفية ، إلى شبكات المرافق.

على الرغم من أن التاريخ الدقيق لكسر PKC غير معروف ، فإن تهديد الخصوم الذين يجمعون البيانات الآن بهدف فك تشفيرها عند ظهور آلة قوية بما فيه الكفاية (تُعرف أيضًا باسم Harvest Now ، Decrypt Later) ، حقيقي ويحدث اليوم.

بالنظر إلى الطابع الفوري للقضية ، بدأت الحكومات والهيئات التنظيمية في العمل ، لا سيما في الولايات المتحدة (الولايات المتحدة). ولكن ماذا تعني هذه الإجراءات عمليًا ، وما هي الخطوات التي يمكن أن تتخذها تلك المنظمات الأكثر تعرضًا للخطر للمضي قدمًا؟

الحكومات تفرض اتخاذ إجراءات

كان عام 2022 علامة فارقة في مستقبل أمن ما بعد الكم.

بعد أكثر من ست سنوات من المداولات ، فإن المعهد الوطني للمعايير والتكنولوجيا كشفت (NIST) عن توصياتها لتوحيد خوارزمية جديدة مقاومة للكم في يوليو. بلورات كيبر تم اختياره للتشفير العام ، و بلورات - ديليثيوم, FALCONو SPHINCS + تم اختيارهم للتوقيعات الرقمية.

قامت NIST أيضًا بتقديم أربعة مرشحين آخرين لمزيد من التدقيق ، أحدهم هو Classic McEliece ، وهو تقديم مشترك من فريقنا في Post-Quantum. هيئة الأمن السيبراني الوطنية الألمانية المعروفة باسم BSI، و المكافئ الهولندي، توصي بالفعل الشركات باستخدام ونشر Classic McEliece نظرًا لبيانات اعتماد الأمان التي لا مثيل لها.

مع بدء الحكومات الأوروبية في اتخاذ الإجراءات ، فعلت الولايات المتحدة أيضًا في مايو ، أصدرت إدارة بايدن مذكرة الأمن القومي رقم 10. من بين أمور أخرى ، حددت المذكرة الاتجاه الذي يتعين على الوكالات الحكومية الأمريكية اتخاذه لترحيل أنظمة التشفير الضعيفة إلى المقاومة الكمومية. التشفير.

بعد بضعة أشهر ، تم تمرير قانون الاستعداد للأمن السيبراني للحوسبة الكمية في مجلس النواب بعد طرحه في أبريل 2022. وعلى غرار مذكرة بايدن ، يسعى مشروع القانون إلى معالجة انتقال أنظمة معلومات الوكالات التنفيذية إلى التشفير اللاحق الكمي (PQC). ينص على أن الوكالات الفيدرالية ستحتاج إلى إعداد جرد للعناصر للانتقال إلى المعايير الجديدة ، وسيتم منح OBM (مكتب الميزانية والإدارة) سنة لإعداد ميزانية واستراتيجية للانتقال بعيدًا عن التشفير الحالي المعايير. سيُطلب من الوكالات أيضًا تحديث هذه الأنظمة سنويًا ، وسيتلقى الكونجرس إحاطة سنوية بالحالة.

بعد ذلك ، نشرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) مجموعة من الإرشادات لمنظمات البنية التحتية الحيوية التي تهدف إلى انتقال سلس. على الرغم من أنه من غير المرجح أن يتم تأكيد معيار NIST النهائي قبل عام 2024 ، أصدرت CISA وثيقة - 'إعداد البنية التحتية الحرجة لتشفير ما بعد الكم- التشديد على الحاجة إلى البنية التحتية الحيوية لبدء الترحيل الآن للتخفيف من مخاطر الحوسبة الكمية وهجمات HNDL.

الأهم من ذلك ، أن CISA ليست وحدها في الجهود المبذولة للتأكيد على ميزة بدء الهجرة الآن. نشرت وزارة الأمن الداخلي (DHS) الخاصة بهم 'خارطة طريق تشفير ما بعد الكممشدداً على ضرورة البدء في وضع الأساس على الفور ، و تحالف أمان السحابة (CSA) حددت موعدًا نهائيًا في أبريل 2030 والذي يجب أن تنفذ فيه جميع الشركات البنية التحتية لما بعد الكم.

الخطوات التالية للوكالات الفيدرالية وما بعدها

مع بدء الحكومات والجهات التنظيمية في المطالبة باتخاذ إجراءات ، لا سيما عندما يتعلق الأمر بترحيل الوكالات الحكومية والصناعات ذات المصلحة العالية ، فإن تكلفة عدم اتخاذ أي إجراء تتزايد.

ولكن بعيدًا عن خرائط الطريق والحاجة الأولية الواضحة لتقييم مكان استخدام PKC اليوم ، ما الذي يجب أن تفكر فيه أيضًا؟

• إعطاء الأولوية لسرقة التشفير وقابلية التشغيل البيني والتوافق مع الإصدارات السابقة

عند التفكير في الانتقال ، من المهم وضع المفاهيم الثلاثة التالية في الاعتبار لضمان موازنة الأمان مع السرعة.

1. باستخدام حلول قابلة للتشغيل البيني: حتى تتمكن من إنشاء اتصالات آمنة مع الشركاء بغض النظر عن خوارزميات التشفير التي يستخدمونها.
2. ضمان التوافق مع الإصدارات السابقة: لذلك يمكن تقديم التشفير الآمن الكمي بسلاسة عبر أنظمة تكنولوجيا المعلومات الموجودة لديك.
3. ممارسة خفة الحركة في التشفير: لذلك يمكنك استخدام أي مجموعة من خوارزميات ما بعد الكم أو التشفير التقليدي لـ NIST

• قدم منتجات تعكس هذه المفاهيم لاكتساب مستوى أعلى من المرونة

بمجرد اختيار مزود الحلول ، من المهم التفكير فيما إذا كانت المنتجات التي يقدمونها تحتوي على هذه الركائز في التصميم.

مثال على خطوة تمهيدية في ترحيل ما بعد الكم هو اختيار شبكة افتراضية خاصة آمنة كمياً (VPN) لتأمين تدفقات اتصالات البيانات عبر شبكة الإنترنت العامة. ما بعد الكمVPN الهجين بعد الكمتم مؤخرًا تجربة الناتو بنجاح ، ودمج خوارزميات تشفير جديدة وآمنة كمومية جديدة للحفاظ على نظام قابل للتشغيل البيني.

• لا تهمل الهوية - في الواقع ، يجب أن تبدأ بها

يمكنك تأمين جميع عمليات التشفير الأخرى الخاصة بك ، ولكن إذا تمكن شخص ما من الوصول إلى نظام هويتك ، فلا يهم ما تفعله أيضًا - ستعتقد أنظمتك أنه الشخص المناسب ، حتى يتمكن من الوصول "الشرعي" إلى أنظمتك والبنية التحتية.

وهذا يعني أنه ليس هناك فائدة تذكر في تأمين البنية التحتية بالكامل إذا لم تفكر أيضًا في الهوية ، والبدء في الواجهة الأمامية لنظام أمن المعلومات البيئي سيسمح لك أيضًا بمعالجة أحد أكثر الأنظمة تحديًا تاريخيًا لمؤسسة للترقية أو استبدال.

في المستقبل ، سنحتاج إلى أن تكون جميع بنيتنا التحتية الرقمية مقاومة للكم من البداية إلى النهاية ، ولكن إذا لم تكن متأكدًا من أين تبدأ ، فيجب أن تكون الهوية هي الاعتبار الأكثر أهمية الآن لأنها مفتاح القلعة.

بالرعاية

شركة Post-Quantum هي الراعي الماسي في المستقبل حدث IQT Quantum Cybersecurity في مدينة نيويورك ، 25-27 أكتوبر 2022. سيلقي الرئيس التنفيذي أندرسن تشانغ الكلمة الافتتاحية.