من المتوقع أن تحل الحوسبة الكمومية المشكلات المعقدة ، لكن التكنولوجيا لديها انخفاض مظلم ، وهو قدرتها على جعل التشفير الكلاسيكي قديمًا. هذا يعني أن كل ملف في حالة راحة وفي الحركة معرض للخطر دون قيود.
“[T]يقول تيموثي بيتس ، منظمة العفو الدولية ، الأمن السيبراني ، الأمن السيبراني وأستاذ الممارسة في الممارسة جامعة ميشيغان و Lenovo CTO السابق ، في مقابلة عبر البريد الإلكتروني. “الحوسبة الكمومية لديها القدرة على جعل طرق التشفير الحالية لدينا ، مثل RSA و ECC ، عفا عليها الزمن تقريبًا بين عشية وضحاها. انها ليست مسألة إذا ولكن متى. هذا “عندما” يمكن أن يكون عاجلاً مما نعتقد أنه بالنظر إلى وتيرة التطورات الكمومية. الآثار المترتبة على الاتصالات الآمنة والأنظمة المالية وحتى الأمن القومي مذهلة. ”
كما هو الحال دائمًا ، فإن الممثلين السيئين لديهم ميزة
إن “الفائزين” المحتملين لتهديد التشفير هم البلدان غير المقيدة بأطر أخلاقية أو تنظيمية صارمة. يقول بيتس إنهم سوف يستفيدون من كمية لخرق بروتوكولات الأمن دون تردد. تقوم منصات الكم كخدمة (QAAs) بتخفيض الشريط للجهات الفاعلة الضارة ، وعدم التماثل بين المنظمات المقيدة التنظيمية والكيانات المارقة يعطي الأخير ميزة كبيرة.
“يجب إعطاء الأولوية لتشفير الكم آمن. تحتاج الصناعة إلى تقييد تطوير معايير التشفير بعد الربع وتضمينها في أنظمة حرجة الآن ، وليس لاحقًا. يقول بيتس: “التعاون بين رواد الحوسبة الكمومية وقادة الأمن السيبراني والمنظمين سيكون أمرًا ضروريًا للبقاء في المقدمة”. “يجب على الحكومات تبني سياسات تشجع التنمية الكمومية المسؤولة مع إنشاء معايير دولية لردع سوء الاستخدام.”
ويعتقد أيضًا أن CIOs و CTOs و CISO يجب أن يتجمعوا معًا لتبادل الذكاء وموارد البلياردو واختبار التقنيات الكمومية الناشئة في البيئات التي يتم التحكم فيها لأنه لا يمكن لأحد التعامل مع المشكلة وحدها.
تيموثي بيتس ، جامعة ميشيغان
تيموثي بيتس ، جامعة ميشيغان
“ابدأ في تجريب التقنيات المقاومة للكمية اليوم. من الأفضل مواجهة حالات فشل صغيرة يتم التحكم فيها الآن من الانتهاكات الكارثية لاحقًا. دفع للاستثمارات في تقنيات الكم وخطوط أنابيب المواهب. يقول بيتس: “ستكون هذه هي Linchpins لبقاء منظمتك في عالم ما بعد الربع”.
“في حين أن المنافسة تدفع الابتكار ، فإن التعاون يضمن المرونة. التواصل مع أقرانهم والمنظمين وحتى المنافسين لتطوير ضمانات جماعية. الحوسبة الكمومية ليست تهديدًا يلوح في الأفق ، إنه حقيقة وشيكة. يجب أن يكون ردنا استراتيجيًا وتعاونيًا وفوريًا. لا يمكن أن تكون المخاطر أعلى ، والساعة تدق. دعونا لا ننشغل على الجانب الخطأ من التاريخ. ”
CISOs قلقة بحق
أرسلت الحوسبة الكمومية الرعشات أسفل العمود الفقري من CIOs و CTOs و CISO. بينما هناك دائمًا الابتكار ، مثل بعد تشفير الكم (PQC) ، والسؤال هو هل سيحدث هذا الابتكار قريبًا بما فيه الكفاية؟
يقول جون فرنسا ، CISO في CISO: “ما يختلف هو أن الحوسبة الكمومية ، بدلاً من أن تكون تطورًا ISC2، منظمة عضو غير ربحية لمحترفي الأمن السيبراني ، في مقابلة عبر البريد الإلكتروني. “أحد المخاوف هو حل وسط التشفير غير المتماثل الكلاسيكي. ومع ذلك ، هناك أيضًا تشفير كمية مرنة وخوارزميات وأجنحة تشفير مصممة مصممة لتكون مرنة للحساب الكمي الناشئ – إنها تتشكل لتكون سباقًا لتصبح مرنة [and] آمن.”
ومن الأمثلة على الأجنحة المرنة الكمومية حاليًا بلورات ديليثومو Crstals Kyberو العضلة العاصرة+ و فالكون.
جون فرنسا ، ISC2
جون فرنسا ، ISC2
“[T]يُعرف حل المشكلة: التغيير من الأجنحة الضعيفة الكمومية إلى الأجنحة الآمنة الكمومية. [It] يقول فرنسا: “القلق هو أن هذا أ ضخم تغيير المهمة. يعتمد كل شيء رقمي تقريبًا على التشفير غير المتماثل ، وسيستغرق تغيير هذه المليارات من الكيانات إلى أجنحة جديدة وقتًا. بالنسبة للبعض ، لن يكون هذا ممكنًا بسبب قيود الحساب ، وإمكانية الوصول ، وما إلى ذلك ، لذلك سيكون لدينا أيضًا مشكلة “إرث”. ”
تعترف أقسام تكنولوجيا المعلومات بالدهاء أيضًا بالتهديد
الجهات الفاعلة السيئة جمع مجموعات ضخمة من البيانات بقصد حصادها الآن وفك تشفيرها لاحقًا.
“[O]حياتك على الإنترنت – الخدمات المصرفية ، المرافق ، كل شيء. يقول تروي نيلسون ، كبير موظفي التكنولوجيا في مجال حلول الأمن السيبراني: “إذا كانت أجهزة الكمبيوتر الكم موجودة اليوم ، فسيكون هناك إغلاق عالمي للخدمات”. LastWall، في مقابلة عبر البريد الإلكتروني. “أكبر اهتماماتي هي أن التعليم في الوقت الحالي غير موجود ، وأن الناس ليسوا على دراية ، أو أن الأشخاص في الأماكن الصحيحة لا يدركون ، أو على دراية بما يكفي لبدء التفاعل. [W]E انظر الجهات الفاعلة الحكومية التي تعترض أجهزة توجيه الإنترنت الأساسية لتحويل حركة المرور ، ولديهم مستودعات مليئة بجميع بيانات الإنترنت الخاصة بنا والتي في وقت ما ، سواء كانت ثلاث أو خمس سنوات من الآن ، عندما يكون لديهم إمكانية الوصول إلى كمبيوتر الكم ، سيكونون قادرين على فك تشفير كل ما يلتقطونه حاليًا. ”
من المحتمل أن تؤدي الشركات إلى تفاقم المشكلة من خلال الفشل في فهم التهديد وتأجيل الاستثمار.
يقول نيلسون: “لا يمكن لأي من أجهزة الكمبيوتر الكمومية التي يتم تقديمها كخدمة اليوم أن يكسر تشفيرنا الحديث ، ولكن عندما تصبح أجهزة كمبيوتر كمية كمية كاملة من Qubit يمكنها كسر التشفير الحديث ، نحتاج إلى استخدام خوارزميات مقاومة للكمية”. “[I]لم يكن لديك ميزانية للبدء في الانتقال إلى خوارزميات جديدة ، ابدأ في عمل مخزون تشفير [because] ربما لا تكون الكثير من المنظمات والوكالات على دراية بخوارزميات التشفير التي يستخدمونها ، حيث يستخدمونها أو ما يتم استخدامه من أجله. إذا كان لديك ملخص تنفيذي عن التشفير الخاص بك ، ويمكنك رؤية نقاط الضعف الخاصة بك ، ويمكنك التخطيط للترقية والبدء في الحصول على فكرة عن كيفية ملاءمة ذلك في دورة الميزانية الخاصة بك. ”
سيباستيان ستراوب ، مهندس الحلول الرئيسية في مزود حلول حماية البيانات على مستوى المؤسسة N2WSيقول ثلاثة أشياء يجب أن تحدث: تطوير تشفير ما بعد الربع قبل أن يتم سلاح أجهزة الكمبيوتر الكم ؛ مرور التنظيم المصمم لمنع سباق التسلح الكم من خلال الاتفاقيات الدولية ؛ والتعليم بين المتخصصين في تكنولوجيا المعلومات.
“مع وجود منصات QAAS متوفرة بالفعل اليوم ، يمكن للمتسللين الذين ترعاه الدولة تجربة الحوسبة الكمومية دون القلق بشأن الرقابة. ومن الأمثلة IBM الكمو Amazon Braketو Microsoft Azure Quantum، و زاندويقول ستراوب في مقابلة عبر البريد الإلكتروني. “يمكن أن تساعد التدابير الدفاعية مثل PQC و Zero-Rust في تسوية ملعب الملعب قبل أن نفقد عقولنا-إذا بدأنا في تنفيذها الآن.”
بيتر أودونوغو ، كبير مسؤولي التكنولوجيا في شركة Solutions Technology Solutions تايتو أثينييقول على الرغم من أن أجهزة الكمبيوتر الكم قادرة على كسر RSA-2048 على الأرجح على بعد عقود ، إلا أن التدابير الاستباقية ضرورية مع ذلك.
يقول أودونوغو: “الجدول الزمني للابتكار لا يقل عن الاستعداد التكنولوجي وأكثر من ذلك حول كيفية تنفيذ المؤسسات التي تنفذ بسرعة حلول مقاومة للكمية للبقاء في صدارة التهديدات الناشئة”. “يجب على المنظمات تنفيذ PQC كعنصر في الموقف الأمني الحديث. يتطلب الترحيل إلى تشفير ما بعد الربع نهجًا متعدد السنوات متعددة الجوانب نحو الامتثال لتفويضات PQC وحماية الأصول الرقمية من التهديدات الكمية المستقبلية. على الرغم من أن هذا ليس انتقالًا سهلاً ، إلا أنه أمر ضروري. يجب أن تبدأ المنظمات في تنفيذ هذه التدابير للبقاء في صدارة التهديدات الكمومية الناشئة ، أو أنها تخاطر بالتحديات الأمنية طويلة الأجل. ”
وهو يعتقد أن على المؤسسات أن تنشئ مركزًا مركزيًا للتميز (COE) لخفة التشفير لأنها ستوفر طائرة سياسة تشفير موحدة في جميع عناصر البنية التحتية ، وإدارة توليد المفاتيح والتخزين والتناوب والنشر. من خلال مركزية هذه الوظائف ، يكتسب محترفي إدارة المخاطر الرقابة والتحكم اللازمة لضمان اتخاذ القرارات المناسبة القائمة على المخاطر. كما أنها في وضع أفضل للتكيف مع تحديات التشفير المتطورة مع الحفاظ على الأمن القوي والامتثال.
حان الوقت للبدء الآن
بالإضافة إلى توليد مخزون تقني لاستخدام التشفير ، Konstantinos Karagiannis ، رئيس خدمات الحوسبة الكمومية في شركة الاستشارات التجارية بروفتي، يحذر من أن المنظمات يجب أن تدرس أيضًا أي بائعي أطراف ثالثة يستخدمون وخطط PQC الخاصة بهم.
“في 13 أغسطس 2024 ، نشرت NIST مجموعة معاييرها الأولى للتشفير بعد كوينتوم. يقول كاراجيانيس في مقابلة عبر البريد الإلكتروني: “ستقوم المجموعة بتوحيد المزيد من الأصفار في المستقبل أيضًا”. “أعطت NIST تواريخ عام 2030 لتهدئة و 2035 لعدم سماع التشفير الضعيف ، لذلك يجب أن يكون من الممكن لمعظم الشركات الوفاء بهذه المواعيد النهائية.”
على الرغم من أن المواعيد النهائية يجب أن تحمي معظم أنواع البيانات ، إلا أن بعض الأسرار ذات العمر الافتراضي الطويل قد لا تزال تتسرب. الجهات الفاعلة السيئة ، وخاصة الدول القومية ، كانت تحصد بالفعل أسرار تجارية ومعلومات عن الرعاية الصحية والمعلومات المبوبة الحكومية التي ستبقى ذات أهمية حتى بعد عقود من حصادها.
“ما يقلقني الأكبر هو أن الشركات ستعتقد أن لديها وقتًا طويلاً لأن أجهزة الكمبيوتر الكم قد تكون على بعد عقد من الزمان من تكسير التشفير. يقول كاراجيانيس: “الرأي العام يتأرجح بسرعة ، كما رأينا عندما انخفضت القيمة الكمومية بعد أن علق الرئيس التنفيذي لشركة Nvidia على المدة التي ستستغرقها قبل أن توفر أجهزة الكمبيوتر الكم قيمة”. “كما ذكرنا ، Harvest-Now ، تعني هجمات Decrypt-Later أن بياناتك يمكن أن تنتظر فك التشفير من قبل المهاجم حتى أثناء قراءة هذه الكلمات. يحتاج الجميع إلى بدء عملية الترحيل هذا العام. ”
ويقول إن الوكالات الفيدرالية فقط مطلوبة حاليًا لبدء هجرة PQC. يحتاج المنظمون في القطاع الخاص إلى اتباع المثال الذي وضعه بسرعة مذكرة البيت الأبيض NSM-10 وتطلب من الشركات أن تمر بخطوات بناء مخزون تشفير ، وخلق خطة ترحيل بحلول عام 2030 ، ثم تنفيذ الخطة.
“نحتاج أيضًا إلى الشركات المصنعة للنظام ومقدمي البرامج وشركات الخدمات السحابية للبدء في تقديم حلول PQC. من الناحية المثالية ، فإن أي شيء تشتريه لمدة عام أو عامين من الآن سيحصل على PQC على متنها ، مما يجعل عملية ترحيل الأنظمة القديمة عملية لمرة واحدة نحتاجها جميعًا إلى الوصول إليها. يقول كاراجيانس: “يجب أن تتوفر منظمات جديدة تشكلت في نهاية العقد ،”. “ابدأ الرحلة إلى PQC اليوم.”
