By دان أوشي تم النشر في 28 سبتمبر 2022
في الأشهر الأخيرة، كان هناك شعور متزايد بالإلحاح في الولايات المتحدة بشأن التشفير ما بعد الكمي (PQC)، حيث حث البيت الأبيض في عهد بايدن ومجموعات مثل وكالة الأمن القومي (NSA) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) الحكومة الوكالات والمنظمات الأخرى للاستعداد لحماية أنفسهم من التهديدات الأمنية التي تشكلها أجهزة الكمبيوتر الكمومية.
وفي تلك البيئة، أصدرت وكالة الأمن القومي مؤخرًا تقريرًا استشاريًا، وهو: خوارزمية الأمن القومي التجاري 2.0 (CNSA 2.0)، قد يبدو ذلك بمثابة خدش للرأس في البداية. وقد تضمن، من بين متطلبات التحضير الأخرى، جدولا زمنيا لإكمال التحول إلى PQC لأنظمة الأمن القومي (NSS) والأصول ذات الصلة بحلول عام 2035. وقد يبدو تحديد موعد نهائي بعد أكثر من 12 عاما عكس الإلحاح (و في البداية، أعرب عدد قليل من مراقبي الصناعة بشكل خاص عن دهشتهم لشركة IQT فيما يتعلق بهذه التفاصيل المحددة). ومع ذلك، في الأسابيع التي تلت إعلان وكالة الأمن القومي في أوائل سبتمبر، تحدثت شركة IQT إلى خبراء أمنيين في العديد من الشركات الذين أشاروا إلى أن الجدول الزمني مناسب تمامًا، نظرًا لحجم العمل الذي ينتظرنا للانتقال المناسب من التشفير القديم، وبالنظر إلى الجديد نادراً ما يتحرك نشر التكنولوجيا من قبل الوكالات الحكومية بسرعة.
"من المفهوم أن الحكومة الأمريكية قد وضعت مثل هذه الجداول الزمنية الطويلة للانتقال إلى PQC لأنها واحدة من أكبرها وأكثرها تعقيدًا المنظمات في العالم لديها عمليات معقدة لتحديد استراتيجياتها، قال جين سوفادا، رئيس القطاع العام في SandboxAQ، وهو أيضًا عقيد متقاعد في سلاح الجو الأمريكي: "الميزانيات والمتطلبات والأولويات". "لديهم أيضًا بعض الشبكات العالمية الأكثر تعقيدًا وترابطًا والتي يجب أن تكون متاحة بشكل مستمر. بالرغم من ومع الجدول الزمني الممتد للاعتماد، بدأت حكومة الولايات المتحدة في التحول الآن إلى PQC للدفاع ضد حملات الصيد والاستغلال، المعروفة أيضًا باسم المتجر الآن فك تشفير الهجمات اللاحقة، بحيث تكون أجهزة الكمبيوتر الكمومية متسامحة مع الأخطاء ومصححة للأخطاء يخرجون، سيتم حمايتهم ".
وأضافت أن وثيقة NSA CSNA 2.0 لم تبطئ الوكالات في الحكومة الفيدرالية التي كانت تعمل بالفعل على أن تكون من أوائل الجهات التي تتبنى PQC. "نحن نعمل بالفعل مع العديد من المستخدمين الأوائل لهذه التكنولوجيا بينما نساعد أيضًا في تثقيف أولئك الذين ليسوا على دراية بالتكنولوجيا. إن كان هناك أي شيء، فقد ساعد الجدول الزمني في مواءمة أولوياتنا والدفع نحو اعتمادها مبكرًا
استراتيجيات الهجرة PQC عبر الحكومة الفيدرالية.
ويوافقه الرأي دنكان جونز، رئيس قسم الأمن السيبراني في شركة Quantinuum، قائلاً: "لا توجد مفاجآت كبيرة هنا. على العموم، تعتبر التوجيهات معقولة ومتوافقة مع التوجيهات المماثلة الصادرة عن CISA والمنظمات ذات الصلة. إن الموعد النهائي الذي حددته وكالة الأمن القومي لعام 2035 يتوافق مع المتطلبات الواردة في مذكرات الأمن القومي الصادرة في وقت سابق من هذا العام.
وأضاف جونز أنه حتى لو كان عام 2035 يبدو بعيدًا، فإن أصول NSS الأكثر أهمية ستحظى بالأولوية القصوى مع بدء جهود الهجرة. "ثلاثة عشر عامًا قد تبدو فترة طويلة، لكنها ستأتي بسرعة كبيرة. لا يمكن أن تحدث الهجرة دفعة واحدة، لذا يجب ترحيل الأنظمة المهمة قبل ذلك التاريخ بوقت طويل. باختصار، لن يؤدي الموعد النهائي لعام 2035 إلى إبطاء عملية تبني هذه الفكرة.
وبدلاً من ذلك، يجب أن تركز وثيقة CNSA 2.0 وجدولها الزمني المعلن بشكل أكبر على الجهود الكاملة لنقل الأنظمة الحكومية إلى PQC، وتسلط الضوء على الحاجة الماسة لذلك. قال سكيب سانزيري، المؤسس ورئيس مجلس الإدارة والمدير التنفيذي للعمليات والرئيس التنفيذي للإيرادات في QuSecure: "حقيقة أن وكالة الأمن القومي قد أعلنت الآن عن الموعد تعني أنها قامت بالموازنة بين شيء مهم للغاية يجب إنجازه وقدرات الوكالات الفيدرالية على الامتثال. ".
وأوضح: "ما أعنيه بذلك هو أن الأمر قد يستغرق 10 سنوات للعديد من هذه الوكالات لإكمال الترقية، لذلك نحن متأكدون من أن وكالة الأمن القومي كانت ترغب في دفع الأمور بشكل أسرع، ولكن إذا لم تكن الوكالة قادرة على الترقية بسرعة أكبر، فلابد أن يكون ذلك ممكنًا". هذا هو أفضل ما يمكن القيام به." وقال سامزري إن وكالة الأمن القومي قامت بشكل أساسي بتفويض PQC، وذكر أنه يجب التعامل مع الهجرة بإحساس بالإلحاح، ولكن مع فهم أنه يجب إكمالها "بحلول عام 2035 على أبعد تقدير". يعد التشفير أمرًا معقدًا، ولا تمتلك العديد من الوكالات حسابًا شاملاً لجميع أنواع التشفير التي تستخدمها. عشر سنوات هي الحد الأدنى من الوقت الذي تستغرقه وكالة حكومية كبيرة للترقية. لذا، مرة أخرى، لم تتمكن وكالة الأمن القومي من إجبار الوكالات الفيدرالية على التحرك بشكل أسرع حتى لو أرادت ذلك.
وفي الوقت نفسه، أوضحت هيلينا هاندشوه، زميلة تكنولوجيا الأمن، كيف أن التركيز أكثر من اللازم على الموعد النهائي لعام 2035 يتجاهل ما سيحدث بالفعل أثناء الفترة الانتقالية. وقالت إنه من المحتمل أن تكون هناك أساليب هجينة في وقت مبكر - "خوارزمية عادية واحدة مع خوارزمية PQC واحدة"، مما يجعل الأنظمة أكثر مرونة ويجعلها في وضع يسمح لها بتبديل الخوارزميات التي تستخدمها عند الحاجة.
خلال السنوات الثلاث إلى الخمس القادمة، عندما يكمل NIST العمل على معايير تشفير PQC الأولية والتوقيع الرقمي التي أعلنت عنها في يوليووقال هاندشوه إن التركيز سيكون على اختيار حل PQC وبدء الترحيل. "بالنسبة للأجهزة، قد يعني هذا البدء في النظر في اختيار IP وتكامله الآن، حيث قد يستغرق الأمر بضع سنوات حتى يتم إنشاء أجهزة جديدة وطرحها في السوق. سيكون من الضروري وجود استراتيجية لإهمال الخوارزميات العادية في غضون 5 إلى 7 سنوات من الآن، والتبديل الكامل لخوارزميات المفاتيح العامة الحالية وإزالتها في غضون 7 إلى 10 سنوات في المستقبل. وكالة الأمن القومي لديها مثل هذا الجدول الزمني، والوكالات الأخرى في جميع أنحاء أوروبا وآسيا لديها نهج وجداول زمنية مماثلة.
وخلصت إلى أن هذا الجدول الزمني يضع "الأفق للتخلي عن خوارزميات المفاتيح العامة الحالية... في مكان ما بين عامي 2030 و2035".
ومن المفهوم أن تظل الوكالات الحكومية ومؤسسات الشركات غير متأكدة من مدى سرعة المضي قدمًا في اعتماد PQC، حيث لا يوجد حتى الآن الكثير من نماذج الأدوار ودراسات الحالة التي يحتفل بها علنًا والتي تغطي تطبيقات PQC الناجحة. في الواقع، يشير تاريخ التحولات التكنولوجية الأمنية إلى أنها يمكن أن تستغرق عقودًا من الزمن ولا تزال أقل من إجمالي الهجرة. أيضًا، ستستمر NIST في وضع اللمسات الأخيرة على المعايير التي تم اختيارها مؤخرًا لمدة عام ونصف إلى عامين آخرين، لذلك لا يزال من الممكن إجراء تغييرات أو تحديثات على تلك الخوارزميات.
وأشار يوهانس لينتزن، المدير الإداري في Cryptomathic، إلى أنه "بشكل عام، فإن التسرع في التحول إلى مستخدم مبكر له مخاطره. ولكن التقاعس عن العمل كذلك أيضاً. تجد العديد من المنظمات نفسها عند مفترق الطرق الصعب هذا. أولاً، ستستغرق الخوارزميات المختارة 24 شهرًا أخرى أو نحو ذلك ليتم تنفيذها بالكامل وإتاحتها في التطبيقات التجارية واسعة النطاق.
وأضاف: "علاوة على ذلك، فإن تقييم المجتمع وتحليل أنظمة التشفير المختارة مستمر، ومن الممكن تمامًا أنه في الوقت الذي يستغرقه الانتهاء من عملية التوحيد، سيتم العثور على طرق أخرى لكسر الخوارزميات المرشحة ونشرها من قبل الباحثين. ضع في اعتبارك أن التحديثات والتغييرات على الخوارزميات وكيفية تنفيذها واستخدامها مستمرة منذ فترة طويلة. خذ التغييرات على الخوارزميات المتماثلة كمثال. بمرور الوقت، انتقلت الصناعة من DES إلى 3DES وفي النهاية AES. هناك أمثلة أخرى في خوارزميات التجزئة وكذلك الخوارزميات غير المتماثلة. لقد تمكنت المؤسسات العاملة في مجال حلول التشفير المتاحة تجاريًا منذ فترة طويلة من توفير أدوات لإدارة عملية الترقية المستمرة وإدارة التطورات في تغيير خوارزمية التشفير - والمصطلح المستخدم على نطاق واسع هو "سرعة التشفير". سيساعد هذا النهج المؤسسات على تحقيق التوازن بين الحاجة إلى اتخاذ إجراءات مبكرة مع القدرة على الحفاظ على المرونة بشأن التغييرات عند حدوثها."
في حين ذكرت وكالة الأمن القومي أن الموعد النهائي لترحيل PQC يقع بعد أكثر من سنوات، يبدو أنه سيكون 12 عامًا مزدحمًا ومليئًا بالأحداث أو نحو ذلك.
لمزيد من التعليقات من هذه المصادر وغيرها حول القضايا الرئيسية المتعلقة بانتقال PQC، ترقبوا التالي اي كيو تي برو القصة في منتصف أكتوبر.
قام دان أوشي بتغطية الاتصالات السلكية واللاسلكية والمواضيع ذات الصلة بما في ذلك أشباه الموصلات وأجهزة الاستشعار وأنظمة البيع بالتجزئة والمدفوعات الرقمية والحوسبة الكمومية/التكنولوجيا لأكثر من 25 عامًا.
