By آئی کیو ٹی نیوز 12 اکتوبر 2022 کو پوسٹ کیا گیا۔
(بذریعہ ٹیم پوسٹ کوانٹم) کوانٹم کمپیوٹرز دنیا کی معلومات کی حفاظت کے لیے سب سے بڑا خطرہ ہیں۔ کافی طاقتور مشین کے ابھرنے کے بعد، عوامی کلیدی کرپٹوگرافی (PKC) کے معیارات جو فی الحال ڈیجیٹل دنیا کی حفاظت کرتے ہیں، ایک لمحے میں متروک ہو جائیں گے، جس سے قومی سلامتی، بینکنگ، یوٹیلیٹیز نیٹ ورکس تک - پوری صنعتوں کو ناقابلِ تلافی نقصان پہنچے گا۔
اگرچہ PKC کے ٹوٹنے کی قطعی تاریخ معلوم نہیں ہے، لیکن ایک کافی طاقتور مشین (جسے ہارویسٹ ناؤ، ڈیکریپٹ لیٹر بھی کہا جاتا ہے) کے سامنے آنے پر اسے ڈکرپٹ کرنے کے لیے مخالفین کا ڈیٹا اکٹھا کرنے کا خطرہ حقیقی ہے اور آج بھی ہو رہا ہے۔
معاملے کی فوری صورت حال کو دیکھتے ہوئے، حکومتوں اور ریگولیٹری اداروں نے کام کرنا شروع کر دیا ہے، خاص طور پر ریاستہائے متحدہ (امریکہ) میں۔ لیکن عملی طور پر ان کارروائیوں کا کیا مطلب ہے، اور جو تنظیمیں سب سے زیادہ خطرے میں ہیں وہ آگے بڑھنے کے لیے کیا اقدامات کر سکتی ہیں؟
حکومتیں کارروائی کا حکم دے رہی ہیں۔
2022 پوسٹ کوانٹم سیکیورٹی کے مستقبل میں ایک اہم سنگ میل رہا ہے۔
چھ سال سے زیادہ غور و فکر کے بعد، نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی (NIST) نے جولائی میں نئے کوانٹم مزاحم الگورتھم کی معیاری کاری کے لیے اپنی سفارشات کی نقاب کشائی کی۔ کرسٹلز-کیبر عام خفیہ کاری کے لیے منتخب کیا گیا تھا، اور کرسٹلز-ڈیلیتھیم, FALCON، اور SPHINCS+۔ ڈیجیٹل دستخطوں کے لیے منتخب کیا گیا تھا۔
NIST نے اضافی جانچ پڑتال کے لیے چار دیگر امیدواروں کو بھی آگے بڑھایا ہے، جن میں سے ایک Classic McEliece ہے، جو پوسٹ کوانٹم میں ہماری ٹیم کی طرف سے مشترکہ جمع کرائی گئی ہے۔ جرمنی کی قومی سائبر سیکیورٹی باڈی کے نام سے جانا جاتا ہے۔ BSI، اور ڈچ کے برابر, پہلے سے ہی سفارش کر رہے ہیں کہ انٹرپرائزز کلاسک McEliece کو اس کی بے مثال سیکیورٹی اسناد کی وجہ سے استعمال اور تعینات کریں۔
جیسا کہ یورپی حکومتیں کارروائی کرنا شروع کر دیتی ہیں، اسی طرح امریکہ نے بھی مئی میں، بائیڈن انتظامیہ نے نیشنل سیکورٹی میمورنڈم 10 جاری کیا۔ دیگر چیزوں کے علاوہ، میمو نے اس سمت کا تعین کیا کہ امریکی حکومتی ایجنسیوں کو کمزور کرپٹوگرافک سسٹمز کو کوانٹم ریزسٹنٹ کی طرف منتقل کرنے کی ضرورت ہے۔ خفیہ نگاری
چند ماہ بعد، کوانٹم کمپیوٹنگ سائبرسیکیوریٹی پریپرڈنس ایکٹ اپریل 2022 میں متعارف ہونے کے بعد ایوان میں منظور ہوا۔ بائیڈن کے میمو کی طرح، یہ بل ایگزیکٹیو ایجنسیوں کے انفارمیشن سسٹم کی پوسٹ کوانٹم کرپٹوگرافی (PQC) میں منتقلی کو حل کرنے کی کوشش کرتا ہے۔ یہ حکم دیتا ہے کہ وفاقی ایجنسیوں کو نئے معیارات پر منتقلی کے لیے اشیاء کی انوینٹری تیار کرنے کی ضرورت ہوگی، اور OBM (آفس آف بجٹ اینڈ منیجمنٹ) کو بجٹ تیار کرنے کے لیے ایک سال دیا جائے گا اور موجودہ کرپٹوگرافک سے ہٹ کر منتقلی کے لیے حکمت عملی تیار کی جائے گی۔ معیارات ایجنسیوں کو بھی ان سسٹمز کو سالانہ اپ ڈیٹ کرنے کی ضرورت ہوگی، اور کانگریس کو سالانہ اسٹیٹس بریفنگ ملے گی۔
اس کے بعد، سائبرسیکیوریٹی اور انفراسٹرکچر سیکیورٹی ایجنسی (CISA) نے اہم بنیادی ڈھانچے کی تنظیموں کے لیے رہنما خطوط کا ایک سیٹ شائع کیا جس کا مقصد ایک ہموار منتقلی ہے۔ اگرچہ NIST کے حتمی معیار کی 2024 سے پہلے تصدیق ہونے کا امکان نہیں ہے، لیکن CISA نے ایک دستاویز جاری کی - 'پوسٹ کوانٹم کرپٹوگرافی کے لیے کریٹیکل انفراسٹرکچر کی تیاری' - کوانٹم کمپیوٹنگ اور HNDL حملوں کے خطرات کو کم کرنے کے لیے اب ہجرت شروع کرنے کے لیے اہم بنیادی ڈھانچے کی ضرورت پر زور دینا۔
اہم بات یہ ہے کہ اب ہجرت شروع کرنے کے فائدہ پر زور دینے کی کوششوں میں CISA تنہا نہیں ہے۔ ہوم لینڈ سیکورٹی کے محکمہ (DHS) نے ان کے اپنے 'پوسٹ کوانٹم کرپٹوگرافی روڈ میپ' فوری طور پر بنیاد ڈالنا شروع کرنے کی ضرورت پر زور دیتے ہوئے، اور کلاؤڈ سیکورٹی الائنس (CSA) نے اپریل 2030 کی آخری تاریخ مقرر کی ہے جس کے ذریعے تمام کاروباری اداروں کو پوسٹ کوانٹم انفراسٹرکچر کو نافذ کرنا چاہیے تھا۔
وفاقی ایجنسیوں اور اس سے آگے کے لیے اگلے اقدامات
جیسے جیسے حکومتیں اور ریگولیٹرز کارروائی کا مطالبہ کرنا شروع کر دیتے ہیں، خاص طور پر جب بات زیادہ داؤ والے سرکاری اداروں اور صنعتوں کو منتقل کرنے کی ہوتی ہے، تو غیر عملی کی لاگت بڑھ رہی ہے۔
لیکن روڈ میپس اور PKC کا آج کہاں استعمال کیا جاتا ہے اس کا جائزہ لینے کی واضح ابتدائی ضرورت کے علاوہ، آپ کو اور کس چیز پر غور کرنا چاہیے؟
- کرپٹو چستی، انٹرآپریبلٹی، اور پیچھے کی طرف مطابقت کو ترجیح دیں۔
منتقلی کے بارے میں سوچتے وقت، مندرجہ ذیل تین تصورات کو ذہن میں رکھنا ضروری ہے تاکہ یہ یقینی بنایا جا سکے کہ آپ چستی کے ساتھ سلامتی کو متوازن کر رہے ہیں۔
- انٹرآپریبل حل کا استعمال: تاکہ آپ شراکت داروں کے ساتھ محفوظ مواصلت قائم کر سکیں، قطع نظر اس کے کہ وہ جو بھی خفیہ کاری الگورتھم استعمال کرتے ہیں۔
- پسماندہ مطابقت کو یقینی بنانا: لہذا کوانٹم سیف انکرپشن کو آپ کے موجودہ آئی ٹی سسٹمز میں بغیر کسی رکاوٹ کے متعارف کرایا جا سکتا ہے۔
- کرپٹو چستی کی مشق کرنا: لہذا آپ NIST کے پوسٹ کوانٹم الگورتھم یا روایتی خفیہ کاری کا کوئی بھی مجموعہ استعمال کر سکتے ہیں
- ایسی مصنوعات متعارف کروائیں جو ان تصورات کی عکاسی کرتی ہیں تاکہ لچک کی ایک بڑی سطح حاصل کی جا سکے۔
حل فراہم کرنے والے کو منتخب کرنے کے بعد، اس بات پر غور کرنا ضروری ہے کہ آیا وہ جو پروڈکٹس پیش کرتے ہیں ان میں ان ستونوں کو ڈیزائن میں بیک کیا گیا ہے۔
پوسٹ کوانٹم ہجرت میں ایک تعارفی قدم کی ایک مثال عوامی انٹرنیٹ نیٹ ورک کے ذریعے ڈیٹا کمیونیکیشن کے بہاؤ کو محفوظ بنانے کے لیے کوانٹم سیف ورچوئل پرائیویٹ نیٹ ورک (VPN) کا انتخاب کرنا ہے۔ پوسٹ کوانٹم کی 'ہائبرڈ پوسٹ کوانٹم VPNحال ہی میں نیٹو کی طرف سے کامیابی کے ساتھ ٹرائل کیا گیا، اور ایک انٹرآپریبل سسٹم کو برقرار رکھنے کے لیے نئے کوانٹم سیکیور اور روایتی انکرپشن الگورتھم کو ملایا گیا۔
- شناخت کو نظر انداز نہ کریں - حقیقت میں، آپ کو اس کے ساتھ شروع کرنا چاہئے
آپ اپنے تمام دیگر خفیہ کاری کو محفوظ کر سکتے ہیں، لیکن اگر کوئی آپ کے شناختی نظام تک رسائی حاصل کر سکتا ہے، تو اس سے کوئی فرق نہیں پڑتا کہ آپ اور کیا کرتے ہیں - آپ کے سسٹمز سوچیں گے کہ وہ صحیح شخص ہیں، تاکہ وہ آپ کے سسٹمز تک 'جائز' رسائی حاصل کر سکیں اور بنیادی ڈھانچہ.
یعنی، اگر آپ نے شناخت پر بھی غور نہیں کیا ہے تو اپنے پورے انفراسٹرکچر کو محفوظ بنانے کا کوئی فائدہ نہیں ہے، اور انفارمیشن سیکیورٹی ایکو سسٹم کے فرنٹ اینڈ سے شروع ہونے سے آپ کو کسی تنظیم کے لیے اپ گریڈ کرنے کے لیے تاریخی طور پر سب سے زیادہ چیلنجنگ سسٹم سے نمٹنے کی اجازت ملے گی۔ یا تبدیل کریں.
مستقبل میں، ہمیں اپنے تمام ڈیجیٹل انفراسٹرکچر کو کوانٹم پروف اینڈ ٹو اینڈ ہونے کی ضرورت ہوگی، لیکن، اگر آپ کو یقین نہیں ہے کہ کہاں سے آغاز کرنا ہے، تو شناخت کو اب سب سے اہم خیال ہونا چاہیے کیونکہ یہ محل کی کلید ہے۔
اسپانسر
پوسٹ کوانٹم آنے والے وقت میں ڈائمنڈ اسپانسر ہے۔ NYC میں IQT کوانٹم سائبرسیکیوریٹی ایونٹ، 25-27 اکتوبر، 2022. سی ای او اینڈرسن چانگ افتتاحی کلیدی خطبہ دیں گے۔
