By Dan O'Shea โพสต์เมื่อ 28 ก.ย. 2022
ในช่วงหลายเดือนที่ผ่านมา มีความเร่งด่วนมากขึ้นในสหรัฐอเมริกาเกี่ยวกับการเข้ารหัสหลังควอนตัม (PQC) โดย Biden White House และกลุ่มต่างๆ เช่น National Security Agency (NSA) และ Cybersecurity and Infrastructure Security Agency (CISA) เรียกร้องให้รัฐบาล หน่วยงานและองค์กรอื่น ๆ เพื่อเตรียมการป้องกันตนเองจากภัยคุกคามความปลอดภัยที่เกิดจากควอนตัมคอมพิวเตอร์
ในสภาพแวดล้อมนั้น NSA เพิ่งออกคำแนะนำว่า อัลกอริทึมความปลอดภัยแห่งชาติเชิงพาณิชย์ 2.0 (CNSA 2.0) ซึ่งอาจดูเหมือนเป็นการเกาหัวในตอนแรก รวมถึงข้อกำหนดการเตรียมการอื่น ๆ ลำดับเวลาในการเปลี่ยนไปสู่ PQC สำหรับ "ระบบความมั่นคงแห่งชาติ (NSS) และทรัพย์สินที่เกี่ยวข้อง" ให้เสร็จสิ้นภายในปี 2035 การกำหนดเส้นตายที่ล่าช้ากว่า 12 ปีอาจดูเหมือนตรงกันข้ามกับความเร่งด่วน (และ ในขั้นต้นผู้เฝ้าดูอุตสาหกรรมสองสามคนแสดงความประหลาดใจต่อ IQT เป็นการส่วนตัวเกี่ยวกับรายละเอียดเฉพาะนี้) อย่างไรก็ตาม ในช่วงหลายสัปดาห์นับตั้งแต่การประกาศของ NSA เมื่อต้นเดือนกันยายน IQT ได้พูดคุยกับผู้เชี่ยวชาญด้านความปลอดภัยจากหลายบริษัท ซึ่งระบุว่าไทม์ไลน์นั้นเหมาะสมอย่างยิ่ง โดยพิจารณาจากปริมาณงานที่รออยู่ข้างหน้าสำหรับการโยกย้ายที่เหมาะสมจากการเข้ารหัสแบบดั้งเดิม และกำหนดสิ่งใหม่ การนำเทคโนโลยีมาใช้โดยหน่วยงานของรัฐมักไม่ค่อยรวดเร็วนัก
“เป็นที่เข้าใจได้ว่ารัฐบาลสหรัฐฯ ได้กำหนดระยะเวลาที่ยาวนานเช่นนี้ เพื่อเปลี่ยนไปใช้ PQC เพราะเป็นหนึ่งในระบบที่ใหญ่ที่สุดและซับซ้อนที่สุด องค์กรต่างๆ ในโลกที่มีกระบวนการที่ซับซ้อนในการกำหนดกลยุทธ์ งบประมาณ ข้อกำหนด และลำดับความสำคัญ” Jen Sovada ประธานภาคสาธารณะของ SandboxAQ และพันเอกกองทัพอากาศสหรัฐที่เกษียณแล้วกล่าว “พวกเขายังมีเครือข่ายระดับโลกที่ซับซ้อนและเชื่อมต่อถึงกันซึ่งต้องใช้งานได้อย่างต่อเนื่อง ถึงอย่างไรก็ตาม ไทม์ไลน์การรับเลี้ยงบุตรบุญธรรมที่ขยายออกไป รัฐบาลสหรัฐฯ กำลังเริ่มเปลี่ยนแปลงในขณะนี้ ให้กับ PQC เพื่อป้องกันการจับและหาประโยชน์จากแคมเปญหรือที่เรียกว่าร้านค้าตอนนี้ ถอดรหัสการโจมตีในภายหลัง เพื่อให้เป็นคอมพิวเตอร์ควอนตัมที่ทนทานต่อข้อผิดพลาดและแก้ไขข้อผิดพลาด ออกมาพวกเขาจะได้รับการคุ้มครอง”
เธอเสริมว่าเอกสาร NSA CSNA 2.0 ไม่ได้ทำให้หน่วยงานต่างๆ ในรัฐบาลกลางที่ดำเนินการอยู่เริ่มใช้ PQC ตั้งแต่แรกเริ่มช้าลง “เรากำลังทำงานร่วมกับผู้ใช้รายแรกจำนวนมากอยู่แล้ว ในขณะเดียวกันก็ช่วยให้ความรู้แก่ผู้ที่ไม่คุ้นเคยกับเทคโนโลยีด้วย หากมีสิ่งใด ไทม์ไลน์ได้ช่วยจัดลำดับความสำคัญของเราและผลักดันให้มีการยอมรับตั้งแต่เนิ่นๆ
กลยุทธ์การย้ายถิ่นของ PQC ทั่วทั้งรัฐบาลกลาง”
Duncan Jones หัวหน้าฝ่ายความปลอดภัยทางไซเบอร์ของ Quantinuum เห็นด้วยโดยกล่าวว่า "ไม่มีความประหลาดใจที่สำคัญที่นี่ โดยรวมแล้ว คำแนะนำนี้สมเหตุสมผลและสอดคล้องกับคำแนะนำที่คล้ายกันจาก CISA และองค์กรที่เกี่ยวข้อง กำหนดเส้นตายปี 2035 ของ NSA นั้นสอดคล้องกับข้อกำหนดในบันทึกความมั่นคงแห่งชาติที่ออกเมื่อต้นปีนี้”
โจนส์เสริมว่าแม้ว่าปี 2035 จะฟังดูห่างไกล แต่สินทรัพย์ NSS ที่สำคัญที่สุดจะมีลำดับความสำคัญสูงสุดเมื่อความพยายามในการย้ายข้อมูลเริ่มต้นขึ้น “สิบสามปีอาจฟังดูนาน แต่มันจะมาถึงเร็วมาก การย้ายข้อมูลไม่สามารถเกิดขึ้นพร้อมกันได้ ดังนั้นระบบที่สำคัญควรได้รับการย้ายก่อนวันที่ดังกล่าว กล่าวโดยสรุปคือ เส้นตายในปี 2035 จะไม่ทำให้การยอมรับช้าลง”
ในทางกลับกัน เอกสาร CNSA 2.0 และลำดับเวลาที่ระบุไว้ควรให้ความสำคัญกับความพยายามทั้งหมดในการย้ายระบบของรัฐบาลไปยัง PQC และเน้นย้ำถึงความจำเป็นที่สำคัญ Skip Sanzeri ผู้ก่อตั้ง ประธาน COO และ Chief Revenue Officer ของ QuSecure กล่าวว่า "ความจริงที่ว่า NSA ได้ประกาศวันที่แล้ว หมายความว่าพวกเขามีความสมดุลระหว่างสิ่งที่สำคัญมากซึ่งจำเป็นต้องทำให้เสร็จ และความสามารถของหน่วยงานรัฐบาลกลางในการปฏิบัติตาม ”
เขาอธิบายว่า “สิ่งที่ผมหมายถึงก็คือ อาจใช้เวลา 10 ปีสำหรับหน่วยงานเหล่านี้ในการอัปเกรดให้เสร็จสมบูรณ์ ดังนั้นเราจึงมั่นใจว่า NSA ต้องการผลักดันสิ่งต่างๆ ให้เร็วขึ้น แต่ถ้าหน่วยงานไม่สามารถอัปเกรดได้เร็วกว่านั้น นี่คือสิ่งที่ดีที่สุดที่สามารถทำได้” Samzeri กล่าวว่า NSA โดยพื้นฐานแล้วได้รับคำสั่งจาก PQC และระบุว่าการย้ายถิ่นควรได้รับการติดต่อด้วยความเร่งด่วน แต่ด้วยความเข้าใจว่าควรเสร็จสิ้น "ภายในปี 2035 อย่างช้าที่สุด การเข้ารหัสมีความซับซ้อน และหน่วยงานจำนวนมากไม่มีบัญชีที่ครอบคลุมเกี่ยวกับการเข้ารหัสทั้งหมดที่พวกเขากำลังใช้อยู่ สิบปีเป็นเวลาขั้นต่ำสำหรับหน่วยงานราชการขนาดใหญ่ในการยกระดับ เป็นอีกครั้งที่ NSA ไม่สามารถบังคับให้หน่วยงานของรัฐบาลกลางเคลื่อนไหวเร็วขึ้นได้ แม้ว่าพวกเขาจะต้องการก็ตาม”
ในขณะเดียวกัน Helena Handschuh, Security Technology Fellow อธิบายว่าการมุ่งเน้นไปที่เส้นตายปี 2035 มากเกินไปทำให้มองข้ามสิ่งที่จะเกิดขึ้นจริงระหว่างการเปลี่ยนแปลงได้อย่างไร ในช่วงแรกมีแนวโน้มที่จะใช้วิธีการแบบผสมผสาน - "อัลกอริทึมปกติหนึ่งชุดร่วมกับอัลกอริธึม PQC หนึ่งชุด" เธอกล่าว ซึ่งทำให้ระบบมีความคล่องตัวมากขึ้นและทำให้พวกเขาอยู่ในตำแหน่งที่จะเปลี่ยนอัลกอริทึมที่ใช้เมื่อจำเป็น
ในช่วง 3-5 ปีข้างหน้า เมื่อ NIST เสร็จสิ้นการทำงานเกี่ยวกับ มาตรฐานการเข้ารหัส PQC และลายเซ็นดิจิทัลเริ่มต้นที่ประกาศในเดือนกรกฎาคมโดยโฟกัสจะอยู่ที่การเลือกโซลูชัน PQC และเริ่มต้นการโยกย้าย Handschuh กล่าว “สำหรับฮาร์ดแวร์ นี่อาจหมายถึงการเริ่มมองหาการเลือก IP และการผสานรวมตั้งแต่ตอนนี้ เนื่องจากอาจใช้เวลาหลายปีในการสร้างฮาร์ดแวร์ใหม่และออกสู่ตลาด มันจะเป็นกุญแจสำคัญในการมีกลยุทธ์การเลิกใช้งานสำหรับอัลกอริทึมปกติใน 5-7 ปีนับจากนี้ และเปลี่ยนและลบอัลกอริทึมคีย์สาธารณะในปัจจุบันอย่างสมบูรณ์ใน 7-10 ปีข้างหน้า NSA มีลำดับเวลาดังกล่าว และหน่วยงานอื่นๆ ทั่วยุโรปและเอเชียก็มีแนวทางและลำดับเวลาที่คล้ายกัน”
เธอสรุปว่าไทม์ไลน์นี้ทำให้ “ขอบฟ้าสำหรับการวางอัลกอริทึมคีย์สาธารณะของวันนี้… ระหว่างปี 2030 ถึง 2035”
เป็นที่เข้าใจได้หากหน่วยงานภาครัฐและองค์กรธุรกิจยังคงไม่แน่ใจว่าจะดำเนินการนำ PQC ไปใช้ได้เร็วเพียงใด เนื่องจากยังไม่มีแบบอย่างและกรณีศึกษาที่เปิดเผยต่อสาธารณชนจำนวนมากซึ่งครอบคลุมการนำ PQC ที่ประสบความสำเร็จไปใช้ ในความเป็นจริง ประวัติของการเปลี่ยนผ่านเทคโนโลยีความปลอดภัยชี้ให้เห็นว่าอาจใช้เวลาหลายทศวรรษและยังมีน้อยกว่าการย้ายทั้งหมด นอกจากนี้ NIST จะยังคงสรุปมาตรฐานที่เพิ่งได้รับการคัดเลือกเป็นเวลาประมาณหนึ่งปีครึ่งถึงสองปี ดังนั้นจึงอาจมีการเปลี่ยนแปลงหรืออัปเดตอัลกอริทึมเหล่านั้นได้
Johannes Lintzen กรรมการผู้จัดการของ Cryptomathic กล่าวว่า “โดยทั่วไปแล้ว การรีบเร่งไปสู่การเป็นผู้เริ่มต้นใช้งานนั้นมีความเสี่ยง แต่ความเฉยเมยก็เช่นกัน หลายองค์กรกำลังค้นพบตัวเองอยู่บนทางแยกที่ท้าทายนี้ สำหรับหนึ่ง อัลกอริทึมที่เลือกจะใช้เวลาอีกประมาณ 24 เดือนจึงจะใช้งานได้อย่างสมบูรณ์และพร้อมใช้งานในแอปพลิเคชันเชิงพาณิชย์ในวงกว้าง”
เขากล่าวเสริมว่า “นอกจากนี้ การประเมินและการวิเคราะห์โดยชุมชนสำหรับระบบเข้ารหัสลับที่เลือกนั้นยังดำเนินอยู่ และเป็นไปได้โดยสิ้นเชิงว่าในเวลาที่ใช้ในการสรุปกระบวนการกำหนดมาตรฐาน วิธีการอื่นๆ ในการทำลายอัลกอริทึมของผู้สมัครจะถูกค้นพบและเผยแพร่โดยนักวิจัย โปรดทราบว่าการอัปเดตและการเปลี่ยนแปลงอัลกอริทึมและวิธีการดำเนินการและใช้งานนั้นดำเนินไปเป็นเวลานาน ทำการเปลี่ยนแปลงอัลกอริทึมสมมาตรเป็นตัวอย่าง เมื่อเวลาผ่านไป อุตสาหกรรมได้เปลี่ยนจาก DES เป็น 3DES และในที่สุด AES มีตัวอย่างอื่นๆ ในอัลกอริทึมแฮชเช่นเดียวกับอัลกอริทึมอสมมาตร องค์กรต่างๆ ในแวดวงโซลูชันการเข้ารหัสที่มีจำหน่ายในท้องตลาดสามารถจัดหาเครื่องมือในการจัดการกระบวนการอัปเกรดและจัดการวิวัฒนาการอย่างต่อเนื่องในการเปลี่ยนแปลงอัลกอริทึมการเข้ารหัสลับ คำที่ใช้อย่างกว้างๆ คือ 'ความคล่องตัวในการเข้ารหัส' แนวทางนี้จะช่วยให้องค์กรสร้างความสมดุลระหว่างความจำเป็นในการดำเนินการตั้งแต่เนิ่นๆ กับความสามารถในการรักษาความยืดหยุ่นในการเปลี่ยนแปลงเมื่อเกิดขึ้น”
ในขณะที่ NSA กล่าวถึงเส้นตายการอพยพของ PQC ซึ่งเหลือเวลาอีกหลายปี ดูเหมือนว่าอีก 12 ปีข้างหน้าจะวุ่นวายและเต็มไปด้วยเหตุการณ์สำคัญ
สำหรับคำอธิบายเพิ่มเติมจากแหล่งข้อมูลเหล่านี้และอื่นๆ เกี่ยวกับประเด็นสำคัญที่เกี่ยวข้องกับการเปลี่ยนแปลง PQC โปรดติดตามตอนต่อไปของฉัน ไอคิวทีโปร เรื่องเมื่อกลางเดือนตุลาคม
Dan O'Shea ครอบคลุมหัวข้อโทรคมนาคมและหัวข้อที่เกี่ยวข้อง รวมถึงเซมิคอนดักเตอร์ เซ็นเซอร์ ระบบค้าปลีก การชำระเงินดิจิทัล และคอมพิวเตอร์/เทคโนโลยีควอนตัมมากว่า 25 ปี
