By دن اوشی ارسال شده در 28 سپتامبر 2022
در ماههای اخیر احساس فزایندهای در ایالات متحده در مورد رمزنگاری پسا کوانتومی (PQC) وجود داشته است، به طوری که کاخ سفید بایدن و گروههایی مانند آژانس امنیت ملی (NSA) و آژانس امنیت سایبری و امنیت زیرساخت (CISA) از دولت خواستهاند. سازمان ها و سایر سازمان ها برای محافظت از خود در برابر تهدیدات امنیتی ناشی از رایانه های کوانتومی آماده شوند.
در این محیط، NSA اخیراً توصیه ای را صادر کرده است الگوریتم امنیت ملی تجاری 2.0 (CNSA 2.0)، که ممکن است در ابتدا به نظر می رسد یک سر خراش است. این شامل، در میان سایر الزامات آماده سازی، یک جدول زمانی برای تکمیل انتقال به PQC برای «سیستم های امنیت ملی (NSS) و دارایی های مرتبط» تا سال 2035 بود. تعیین ضرب الاجلی که بیش از 12 سال تعطیل است ممکن است برخلاف فوریت به نظر برسد (و در ابتدا چند ناظر صنعت به طور خصوصی تعجب خود را از IQT در مورد این جزئیات خاص ابراز کردند. با این حال، در هفتههای پس از اعلامیه NSA در اوایل سپتامبر، IQT با کارشناسان امنیتی در چندین شرکت صحبت کرده است که نشان دادهاند با توجه به حجم کاری که برای انتقال صحیح از رمزگذاری قدیمی در پیش است و با توجه به موارد جدید، جدول زمانی کاملاً مناسب است. استقرار فناوری توسط سازمان های دولتی به ندرت به سرعت پیش می رود.
قابل درک است که دولت ایالات متحده چنین جدول زمانی طولانی را تعیین کرده است برای انتقال به PQC زیرا یکی از بزرگترین و پیچیده ترین ها است سازمان هایی در جهان با فرآیندهای پیچیده برای تعریف استراتژی های خود، بودجه، الزامات و اولویتها. آنها همچنین دارای برخی از پیچیده ترین و به هم پیوسته ترین شبکه های جهانی هستند که باید به طور مداوم در دسترس باشند. با وجود در جدول زمانی تمدید پذیرش، دولت ایالات متحده در حال انتقال است به PQC برای دفاع در برابر کمپینهای catch و exploit که به نام store now نیز شناخته میشود حملات بعدی را رمزگشایی کنید، به طوری که به عنوان کامپیوترهای کوانتومی با تحمل خطا، تصحیح خطا انجام شود ظهور کنند، آنها محافظت خواهند شد.»
او افزود که سند NSA CSNA 2.0 آژانسهایی را در دولت فدرال که قبلاً برای پذیرش اولیه PQC کار میکردند، کند نکرده است. ما در حال حاضر با بسیاری از پذیرندگان اولیه کار می کنیم و در عین حال به آموزش افرادی که با این فناوری آشنایی ندارند نیز کمک می کنیم. در هر صورت، جدول زمانی به همسوسازی اولویتهای ما و فشار برای پذیرش زودهنگام کمک کرده است
استراتژی های مهاجرت PQC در سراسر دولت فدرال.
دانکن جونز، رئیس امنیت سایبری در Quantinuum، با این موضوع موافق است و میگوید: «هیچ شگفتی بزرگی در اینجا وجود ندارد. به طور کلی، این راهنمایی معقول و مطابق با راهنمایی های مشابه از CISA و سازمان های مرتبط است. ضربالاجل 2035 آژانس امنیت ملی با الزامات یادداشتهای امنیت ملی صادر شده در اوایل سال جاری مطابقت دارد.
جونز اضافه کرد که حتی اگر سال 2035 بسیار دور به نظر برسد، با شروع تلاشهای مهاجرت، حیاتیترین داراییهای NSS بالاترین اولویت را خواهند داشت. سیزده سال ممکن است زمان زیادی به نظر برسد، اما خیلی سریع فرا خواهد رسید. مهاجرت نمی تواند به یکباره اتفاق بیفتد، بنابراین سیستم های حیاتی باید خیلی زودتر از آن تاریخ مهاجرت کنند. به طور خلاصه، ضرب الاجل 2035، پذیرش را کاهش نخواهد داد.»
در عوض، سند CNSA 2.0 و جدول زمانی اعلام شده آن باید تمرکز بیشتری بر کل تلاش برای انتقال سیستم های دولتی به PQC داشته باشد و نیاز حیاتی به آن را برجسته کند. اسکیپ سانزری، بنیانگذار، رئیس، مدیر ارشد اجرایی و مدیر ارشد درآمد QuSecure، گفت: «این واقعیت که NSA اکنون تاریخ را اعلام کرده است به این معنی است که آنها بین کاری بسیار مهم که باید انجام شود و تواناییهای آژانسهای فدرال برای رعایت کردن تعادل برقرار کردهاند. "
او توضیح داد: «منظور من از این کار این است که ممکن است 10 سال طول بکشد تا بسیاری از این آژانسها ارتقاء را تکمیل کنند، بنابراین ما مطمئن هستیم که NSA دوست داشت کارها را سریعتر انجام دهد، اما اگر آژانسی قادر به ارتقاء سریعتر نباشد، پس این بهترین کاری است که می توان انجام داد.» سمزری گفت که NSA اساساً PQC را اجباری کرده است و اظهار داشت که مهاجرت باید با یک احساس فوری انجام شود، اما با درک این موضوع باید «حداکثر تا سال 2035» تکمیل شود. رمزنگاری پیچیده است و بسیاری از آژانس ها حساب جامعی از تمام رمزنگاری هایی که استفاده می کنند ندارند. ده سال حداقل زمان برای ارتقاء یک سازمان بزرگ دولتی است. بنابراین باز هم، NSA واقعاً نمیتواند آژانسهای فدرال را مجبور کند که حتی اگر بخواهند سریعتر حرکت کنند.»
در همین حال، Helena Handschuh، همکار فناوری امنیت، توضیح داد که چگونه تمرکز بیش از حد روی ضربالاجل 2035، آنچه را که واقعاً در طول انتقال اتفاق خواهد افتاد نادیده میگیرد. او گفت که در ابتدا احتمالاً رویکردهای ترکیبی وجود دارد - «یک الگوریتم منظم در ترکیب با یک الگوریتم PQC»، که سیستمها را چابکتر میکند و آنها را در موقعیتی قرار میدهد که الگوریتمهایی را که استفاده میکنند در صورت نیاز تغییر دهند.
در طی 3 تا 5 سال آینده، همانطور که NIST کار روی آن را تکمیل می کند رمزگذاری اولیه PQC و استانداردهای امضای دیجیتال که در ماه جولای اعلام شدHandschuh گفت، تمرکز بر انتخاب یک راه حل PQC و شروع مهاجرت خواهد بود. برای سختافزار، این میتواند به این معنا باشد که اکنون شروع به بررسی انتخاب IP و یکپارچهسازی کنید، زیرا ممکن است چند سال طول بکشد تا سختافزار جدید ساخته شود و وارد بازار شود. داشتن یک استراتژی منسوخ برای الگوریتم های معمولی در 5-7 سال آینده و حذف کامل الگوریتم های کلید عمومی امروزی در 7-10 سال آینده بسیار مهم است. آژانس امنیت ملی آمریکا چنین جدول زمانی دارد و آژانسهای دیگر در سراسر اروپا و آسیا رویکردها و جدول زمانی مشابهی دارند.
او نتیجه گرفت که این جدول زمانی «افق حذف الگوریتم های کلید عمومی امروزی را بین سال های 2030 و 2035» قرار می دهد.
اگر سازمانهای دولتی و شرکتهای شرکتی مطمئن نباشند که با چه سرعتی نسبت به پذیرش PQC اقدام کنند، قابل درک است، زیرا هنوز مدلهای نقش مورد تجلیل عمومی و مطالعات موردی زیادی وجود ندارد که اجرای موفق PQC را پوشش دهد. در واقع، تاریخ انتقال فناوری امنیتی نشان میدهد که میتواند دههها طول بکشد و هنوز کمتر از کل مهاجرت داشته باشد. همچنین، NIST همچنان استانداردهای انتخاب شده اخیر را برای حدود یک سال و نیم تا دو سال دیگر نهایی میکند، بنابراین ممکن است تغییرات یا بهروزرسانیهایی در آن الگوریتمها وجود داشته باشد.
یوهانس لینتزن، مدیر عامل Cryptomathic، خاطرنشان کرد: «به طور کلی، عجله برای تبدیل شدن به یک پذیرنده اولیه خطرات خود را دارد. اما بی عملی هم همینطور. بسیاری از سازمان ها خود را در این چهارراه چالش برانگیز می بینند. برای یکی، الگوریتمهای انتخابشده حدود 24 ماه طول میکشد تا به طور کامل پیادهسازی شوند و در کاربردهای تجاری گسترده در دسترس باشند.»
وی افزود: «علاوه بر این، ارزیابی و تجزیه و تحلیل جامعه سیستم های رمزنگاری انتخاب شده ادامه دارد و کاملاً ممکن است در مدت زمانی که برای نهایی کردن فرآیند استانداردسازی لازم است، روش های دیگری برای شکستن الگوریتم های نامزد توسط محققان پیدا و منتشر شود. به خاطر داشته باشید که بهروزرسانیها و تغییرات الگوریتمها و نحوه پیادهسازی و استفاده از آنها برای مدت طولانی انجام شده است. تغییرات الگوریتم های متقارن را به عنوان مثال در نظر بگیرید. با گذشت زمان صنعت از DES به 3DES و در نهایت AES مهاجرت کرده است. نمونه های دیگری در الگوریتم های هش و همچنین الگوریتم های نامتقارن وجود دارد. سازمانها در زمینه راهحلهای رمزنگاری تجاری در دسترس مدتهاست که میتوانند ابزارهایی را برای مدیریت فرآیند ارتقا و مدیریت دائمی تحولات در تغییر الگوریتم رمزنگاری ارائه دهند – اصطلاحی که به طور گسترده استفاده میشود «چابکی رمزنگاری» است. این رویکرد به سازمانها کمک میکند تا نیاز به ایجاد تعادل را ایجاد کنند. اقدامات اولیه را انجام دهید و قادر به حفظ انعطاف پذیری در مورد تغییرات در زمان وقوع آنها باشید.
در حالی که NSA به یک ضرب الاجل مهاجرت PQC اشاره کرده است که بیش از سال ها باقی مانده است، به نظر می رسد که 12 سال یا بیشتر شلوغ و پر حادثه خواهد بود.
برای تفسیر بیشتر از این منابع و سایر منابع در مورد مسائل کلیدی مربوط به انتقال PQC، برای بعدی من تماشا کنید IQT Pro داستان در اواسط اکتبر
Dan O'Shea ارتباطات راه دور و موضوعات مرتبط از جمله نیمه هادی ها، حسگرها، سیستم های خرده فروشی، پرداخت های دیجیتال و محاسبات کوانتومی/فناوری را برای بیش از 25 سال پوشش داده است.