کارشناسان امنیت کوانتومی با جدول زمانی PQC NSA همگام هستند

در ماه‌های اخیر احساس فزاینده‌ای در ایالات متحده در مورد رمزنگاری پسا کوانتومی (PQC) وجود داشته است، به طوری که کاخ سفید بایدن و گروه‌هایی مانند آژانس امنیت ملی (NSA) و آژانس امنیت سایبری و امنیت زیرساخت (CISA) از دولت خواسته‌اند. سازمان ها و سایر سازمان ها برای محافظت از خود در برابر تهدیدات امنیتی ناشی از رایانه های کوانتومی آماده شوند.

در این محیط، NSA اخیراً توصیه ای را صادر کرده است الگوریتم امنیت ملی تجاری 2.0 (CNSA 2.0)، که ممکن است در ابتدا به نظر می رسد یک سر خراش است. این شامل، در میان سایر الزامات آماده سازی، یک جدول زمانی برای تکمیل انتقال به PQC برای «سیستم های امنیت ملی (NSS) و دارایی های مرتبط» تا سال 2035 بود. تعیین ضرب الاجلی که بیش از 12 سال تعطیل است ممکن است برخلاف فوریت به نظر برسد (و در ابتدا چند ناظر صنعت به طور خصوصی تعجب خود را از IQT در مورد این جزئیات خاص ابراز کردند. با این حال، در هفته‌های پس از اعلامیه NSA در اوایل سپتامبر، IQT با کارشناسان امنیتی در چندین شرکت صحبت کرده است که نشان داده‌اند با توجه به حجم کاری که برای انتقال صحیح از رمزگذاری قدیمی در پیش است و با توجه به موارد جدید، جدول زمانی کاملاً مناسب است. استقرار فناوری توسط سازمان های دولتی به ندرت به سرعت پیش می رود.

قابل درک است که دولت ایالات متحده چنین جدول زمانی طولانی را تعیین کرده است برای انتقال به PQC زیرا یکی از بزرگترین و پیچیده ترین ها است سازمان هایی در جهان با فرآیندهای پیچیده برای تعریف استراتژی های خود، بودجه، الزامات و اولویت‌ها. آنها همچنین دارای برخی از پیچیده ترین و به هم پیوسته ترین شبکه های جهانی هستند که باید به طور مداوم در دسترس باشند. با وجود در جدول زمانی تمدید پذیرش، دولت ایالات متحده در حال انتقال است به PQC برای دفاع در برابر کمپین‌های catch و exploit که به نام store now نیز شناخته می‌شود حملات بعدی را رمزگشایی کنید، به طوری که به عنوان کامپیوترهای کوانتومی با تحمل خطا، تصحیح خطا انجام شود ظهور کنند، آنها محافظت خواهند شد.»

او افزود که سند NSA CSNA 2.0 آژانس‌هایی را در دولت فدرال که قبلاً برای پذیرش اولیه PQC کار می‌کردند، کند نکرده است. ما در حال حاضر با بسیاری از پذیرندگان اولیه کار می کنیم و در عین حال به آموزش افرادی که با این فناوری آشنایی ندارند نیز کمک می کنیم. در هر صورت، جدول زمانی به همسوسازی اولویت‌های ما و فشار برای پذیرش زودهنگام کمک کرده است
استراتژی های مهاجرت PQC در سراسر دولت فدرال.

دانکن جونز، رئیس امنیت سایبری در Quantinuum، با این موضوع موافق است و می‌گوید: «هیچ شگفتی بزرگی در اینجا وجود ندارد. به طور کلی، این راهنمایی معقول و مطابق با راهنمایی های مشابه از CISA و سازمان های مرتبط است. ضرب‌الاجل 2035 آژانس امنیت ملی با الزامات یادداشت‌های امنیت ملی صادر شده در اوایل سال جاری مطابقت دارد.

جونز اضافه کرد که حتی اگر سال 2035 بسیار دور به نظر برسد، با شروع تلاش‌های مهاجرت، حیاتی‌ترین دارایی‌های NSS بالاترین اولویت را خواهند داشت. سیزده سال ممکن است زمان زیادی به نظر برسد، اما خیلی سریع فرا خواهد رسید. مهاجرت نمی تواند به یکباره اتفاق بیفتد، بنابراین سیستم های حیاتی باید خیلی زودتر از آن تاریخ مهاجرت کنند. به طور خلاصه، ضرب الاجل 2035، پذیرش را کاهش نخواهد داد.»

در عوض، سند CNSA 2.0 و جدول زمانی اعلام شده آن باید تمرکز بیشتری بر کل تلاش برای انتقال سیستم های دولتی به PQC داشته باشد و نیاز حیاتی به آن را برجسته کند. اسکیپ سانزری، بنیانگذار، رئیس، مدیر ارشد اجرایی و مدیر ارشد درآمد QuSecure، گفت: «این واقعیت که NSA اکنون تاریخ را اعلام کرده است به این معنی است که آنها بین کاری بسیار مهم که باید انجام شود و توانایی‌های آژانس‌های فدرال برای رعایت کردن تعادل برقرار کرده‌اند. "

او توضیح داد: «منظور من از این کار این است که ممکن است 10 سال طول بکشد تا بسیاری از این آژانس‌ها ارتقاء را تکمیل کنند، بنابراین ما مطمئن هستیم که NSA دوست داشت کارها را سریع‌تر انجام دهد، اما اگر آژانسی قادر به ارتقاء سریع‌تر نباشد، پس این بهترین کاری است که می توان انجام داد.» سمزری گفت که NSA اساساً PQC را اجباری کرده است و اظهار داشت که مهاجرت باید با یک احساس فوری انجام شود، اما با درک این موضوع باید «حداکثر تا سال 2035» تکمیل شود. رمزنگاری پیچیده است و بسیاری از آژانس ها حساب جامعی از تمام رمزنگاری هایی که استفاده می کنند ندارند. ده سال حداقل زمان برای ارتقاء یک سازمان بزرگ دولتی است. بنابراین باز هم، NSA واقعاً نمی‌تواند آژانس‌های فدرال را مجبور کند که حتی اگر بخواهند سریع‌تر حرکت کنند.»

در همین حال، Helena Handschuh، همکار فناوری امنیت، توضیح داد که چگونه تمرکز بیش از حد روی ضرب‌الاجل 2035، آنچه را که واقعاً در طول انتقال اتفاق خواهد افتاد نادیده می‌گیرد. او گفت که در ابتدا احتمالاً رویکردهای ترکیبی وجود دارد - «یک الگوریتم منظم در ترکیب با یک الگوریتم PQC»، که سیستم‌ها را چابک‌تر می‌کند و آنها را در موقعیتی قرار می‌دهد که الگوریتم‌هایی را که استفاده می‌کنند در صورت نیاز تغییر دهند.

در طی 3 تا 5 سال آینده، همانطور که NIST کار روی آن را تکمیل می کند رمزگذاری اولیه PQC و استانداردهای امضای دیجیتال که در ماه جولای اعلام شدHandschuh گفت، تمرکز بر انتخاب یک راه حل PQC و شروع مهاجرت خواهد بود. برای سخت‌افزار، این می‌تواند به این معنا باشد که اکنون شروع به بررسی انتخاب IP و یکپارچه‌سازی کنید، زیرا ممکن است چند سال طول بکشد تا سخت‌افزار جدید ساخته شود و وارد بازار شود. داشتن یک استراتژی منسوخ برای الگوریتم های معمولی در 5-7 سال آینده و حذف کامل الگوریتم های کلید عمومی امروزی در 7-10 سال آینده بسیار مهم است. آژانس امنیت ملی آمریکا چنین جدول زمانی دارد و آژانس‌های دیگر در سراسر اروپا و آسیا رویکردها و جدول زمانی مشابهی دارند.

او نتیجه گرفت که این جدول زمانی «افق حذف الگوریتم های کلید عمومی امروزی را بین سال های 2030 و 2035» قرار می دهد.

اگر سازمان‌های دولتی و شرکت‌های شرکتی مطمئن نباشند که با چه سرعتی نسبت به پذیرش PQC اقدام کنند، قابل درک است، زیرا هنوز مدل‌های نقش مورد تجلیل عمومی و مطالعات موردی زیادی وجود ندارد که اجرای موفق PQC را پوشش دهد. در واقع، تاریخ انتقال فناوری امنیتی نشان می‌دهد که می‌تواند دهه‌ها طول بکشد و هنوز کمتر از کل مهاجرت داشته باشد. همچنین، NIST همچنان استانداردهای انتخاب شده اخیر را برای حدود یک سال و نیم تا دو سال دیگر نهایی می‌کند، بنابراین ممکن است تغییرات یا به‌روزرسانی‌هایی در آن الگوریتم‌ها وجود داشته باشد.

یوهانس لینتزن، مدیر عامل Cryptomathic، خاطرنشان کرد: «به طور کلی، عجله برای تبدیل شدن به یک پذیرنده اولیه خطرات خود را دارد. اما بی عملی هم همینطور. بسیاری از سازمان ها خود را در این چهارراه چالش برانگیز می بینند. برای یکی، الگوریتم‌های انتخاب‌شده حدود 24 ماه طول می‌کشد تا به طور کامل پیاده‌سازی شوند و در کاربردهای تجاری گسترده در دسترس باشند.»

وی افزود: «علاوه بر این، ارزیابی و تجزیه و تحلیل جامعه سیستم های رمزنگاری انتخاب شده ادامه دارد و کاملاً ممکن است در مدت زمانی که برای نهایی کردن فرآیند استانداردسازی لازم است، روش های دیگری برای شکستن الگوریتم های نامزد توسط محققان پیدا و منتشر شود. به خاطر داشته باشید که به‌روزرسانی‌ها و تغییرات الگوریتم‌ها و نحوه پیاده‌سازی و استفاده از آن‌ها برای مدت طولانی انجام شده است. تغییرات الگوریتم های متقارن را به عنوان مثال در نظر بگیرید. با گذشت زمان صنعت از DES به 3DES و در نهایت AES مهاجرت کرده است. نمونه های دیگری در الگوریتم های هش و همچنین الگوریتم های نامتقارن وجود دارد. سازمان‌ها در زمینه راه‌حل‌های رمزنگاری تجاری در دسترس مدت‌هاست که می‌توانند ابزارهایی را برای مدیریت فرآیند ارتقا و مدیریت دائمی تحولات در تغییر الگوریتم رمزنگاری ارائه دهند – اصطلاحی که به طور گسترده استفاده می‌شود «چابکی رمزنگاری» است. این رویکرد به سازمان‌ها کمک می‌کند تا نیاز به ایجاد تعادل را ایجاد کنند. اقدامات اولیه را انجام دهید و قادر به حفظ انعطاف پذیری در مورد تغییرات در زمان وقوع آنها باشید.

در حالی که NSA به یک ضرب الاجل مهاجرت PQC اشاره کرده است که بیش از سال ها باقی مانده است، به نظر می رسد که 12 سال یا بیشتر شلوغ و پر حادثه خواهد بود.

برای تفسیر بیشتر از این منابع و سایر منابع در مورد مسائل کلیدی مربوط به انتقال PQC، برای بعدی من تماشا کنید IQT Pro داستان در اواسط اکتبر

Dan O'Shea ارتباطات راه دور و موضوعات مرتبط از جمله نیمه هادی ها، حسگرها، سیستم های خرده فروشی، پرداخت های دیجیتال و محاسبات کوانتومی/فناوری را برای بیش از 25 سال پوشش داده است.