إلحاح اعتماد تشفير ما بعد الكمية

قبل عام ، نشر المعهد الوطني للمعايير والتكنولوجيا (NIST) أول معيار رسمي على الإطلاق لخوارزميات تشفير ما بعد كوينتوم (PQC). كان المعيار نتيجة لمذكرة 2022 من إدارة بايدن التي تتطلب من الوكالات الفيدرالية الانتقال إلى الأمان القائم على PQC بحلول عام 2035.

يعتمد التشفير على مشاكل الرياضيات التي يكاد يكون من المستحيل حلها ، ولكن من السهل التحقق مما إذا كان الحل صحيحًا. مسلحًا بمشاكل الرياضيات هذه ، فقط صاحب المفتاح السري يمكنه التحقق من حلهم والوصول إلى البيانات السرية. اليوم ، يعتمد معظم التشفير عبر الإنترنت على واحدة من اثنين من هذه الخوارزميات: إما RSA أو تشفير المنحنى الإهليلجي.

سبب القلق هو أن أجهزة الكمبيوتر الكمومية ، إذا تم بناء واحدة كبيرة بما يكفي على الإطلاق ، من شأنها أن تجعل العمل السهل للمشاكل “الصعبة” الكامنة وراء طرق التشفير الحالية. لحسن الحظ ، هناك مشاكل رياضية أخرى يبدو أنها صعبة على قدم المساواة لأجهزة الكمبيوتر الكمومية ونظرائها الكلاسيكي الحاليين. هذا هو أساس التشفير بعد الربع: التشفير آمن ضد أجهزة الكمبيوتر الكمومية الافتراضية.

مع حدوث الرياضيات وراء PQC ، والمعايير في متناول اليد ، فإن عمل التبني جاري الآن. هذا ليس بالأمر السهل: سيتعين على كل جهاز كمبيوتر أو كمبيوتر محمول أو هاتف ذكي أو سيارة ذاتية القيادة أو جهاز إنترنت الأشياء تغيير طريقة تشغيل التشفير.

علي الكافاراني هو زميل أبحاث في معهد أكسفورد الرياضي الذي ساهم في تطوير معايير NIST PQC. كما أسس شركة ، PQShield ، للمساعدة في جلب تشفير ما بعد الربع إلى العالم الحقيقي من خلال مساعدة الشركات المصنعة للمعدات الأصلية في تنفيذ البروتوكولات الجديدة. تحدث مع IEEE Spectrum عن كيف يسير التبني وما إذا كانت المعايير الجديدة سيتم تنفيذها في الوقت المناسب للتغلب على التهديد الذي يلوح في الأفق لأجهزة الكمبيوتر الكم.

ما الذي تغير في هذه الصناعة منذ ظهور معايير NIST PQC؟

علي الكافارانيPqshield

علي الكافاراني: قبل ظهور المعايير ، لم يكن الكثير من الناس يتحدثون عن ذلك على الإطلاق ، بروح “إذا كانت تعمل ، لا تلمسها”. بمجرد نشر المعايير ، تغيرت القصة بأكملها ، لأنها الآن ليست الضجيج الكمومي الافتراضي ، إنها مشكلة الامتثال. هناك معايير نشرتها الحكومة الأمريكية. هناك مواعيد نهائية للتبني. و 2035 [deadline] اجتمعت مع المنشور من [the National Security Agency]، وتم تبنيه في تشريعات رسمية أقر الكونغرس وبالتالي لا توجد طريقة للتغلب عليه. إنها الآن مشكلة الامتثال.

من قبل ، اعتاد الناس أن يسألونا ، “متى تعتقد أن لدينا كمبيوتر الكم؟” لا أعرف متى سنحصل على كمبيوتر الكم. ولكن هذه هي المشكلة ، لأننا نتحدث عن خطر يمكن أن يتحقق في أي وقت. قرر بعض الأشخاص الآخرين الأكثر ذكاءً الذين يمكنهم الوصول إلى مجموعة واسعة من المعلومات في عام 2015 لتصنيف الحوسبة الكمومية كتهديد حقيقي. لذلك كان هذا العام سنة تحويلية ، لأن السؤال ذهب من “لماذا نحتاجه؟” إلى “كيف سنستخدمه؟” وبدأت سلسلة التوريد بأكملها في النظر إلى من سيفعل ما ، من تصميم الرقائق إلى طبقة أمان الشبكة ، إلى البنية التحتية الوطنية الحرجة ، إلى بناء مجموعة أمان شبكة ما بعد كوارت.

التحديات في تنفيذ PQC

ما هي بعض صعوبات تنفيذ معايير NIST؟

الكافاراني: لديك الرياضيات الجميلة ، لديك الخوارزميات من NIST ، ولكن لديك أيضًا الغرب البري للأمن السيبراني. تنتقل هذه البنية التحتية من أصغر أجهزة الاستشعار ومفاتيح السيارات ، وما إلى ذلك ، إلى أكبر خادم يجلس هناك ويحاول أن يحاول مئات الآلاف من المعاملات في الثانية ، ولكل منها متطلبات أمان مختلفة ، ولكل منها متطلبات استهلاك الطاقة المختلفة. الآن هذه مشكلة مختلفة. هذه ليست مشكلة رياضية ، هذه مشكلة في التنفيذ. هذا هو المكان الذي تحتاج فيه إلى شركة مثل PQShield ، حيث نجمع مهندسي الأجهزة ، ومهندسي البرامج الثابتة ، ومهندسي البرمجيات ، وعلماء الرياضيات ، وكل شخص آخر من حولهم ليقولوا بالفعل ، “ماذا يمكننا أن نفعل مع حالة الاستخدام هذه؟”

التشفير هو العمود الفقري للبنية التحتية للأمن السيبراني ، والأسوأ من ذلك ، إنها القطعة غير المرئية التي لا يهتم بها أحد حتى تنكسر. إذا كان يعمل ، لا أحد يلمسها. يتحدثون عن ذلك فقط عندما يكون هناك خرق ، ثم يحاولون إصلاح الأشياء. في النهاية ، عادة ما يضعون باندا. هذا أمر طبيعي ، لأن الشركات لا تستطيع بيع ميزة الأمان للعملاء. كانوا يستخدمونه فقط عندما تجبرهم الحكومات ، كما هو الحال عندما تكون هناك مشكلة الامتثال. والآن أصبحت مشكلة أكبر بكثير ، حيث يخبرهم أحدهم ، “أنت تعرف ما ، كل التشفير الذي كنت تستخدمه على مدار الخمسة عشر عامًا الماضية ، 20 عامًا ، تحتاج إلى تغييره ، في الواقع”.

هل هناك مخاوف أمنية لتطبيقات خوارزمية PQC؟

الكافاراني: حسنًا ، لم نفعل ذلك من قبل. لم يتم اختباره في المعركة. والآن ما نقوله هو ، “مهلا ، AMD وبقية الأجهزة أو عالم أشباه الموصلات يذهبون ويضعون كل تلك الخوارزميات الجديدة في الأجهزة ، وثقنا ، سيعملون بشكل جيد ، ومن ثم لن يتمكن أحد من اختراقها واستخراج المفتاح”. هذا ليس سهلاً ، أليس كذلك؟ لا أحد لديه الشجاعة ليقول هذا.

لهذا السبب ، في PQShield ، لدينا فرق الضعف التي تحاول كسر تصميماتنا الخاصة ، بشكل منفصل عن تلك الفرق التي تصمم الأشياء. عليك أن تفعل هذا. يجب أن تكون خطوة واحدة أمام المهاجمين. هذا كل ما عليك فعله ، وهذا كل ما يمكنك فعله ، لأنه لا يمكنك القول ، “حسنًا ، لدي شيء آمن. لا أحد يستطيع كسره”. إذا قلت ذلك ، فأنت ستأكل فطيرة متواضعة في غضون 10 سنوات ، لأنه ربما سيأتي شخص ما بطريقة لكسرها. تحتاج فقط إلى القيام بهذا الابتكار المستمر واختبار الأمن المستمر لمنتجاتك.

نظرًا لأن PQC جديد ، ما زلنا لم نر جميع الإبداع للمهاجمين الذين يحاولون تجاوز الرياضيات الجميلة ، والتوصل إلى هجمات القناة الجانبية الإبداعية والسيئة التي تضحك فقط على الرياضيات. على سبيل المثال ، تنظر بعض الهجمات إلى استهلاك الطاقة التي تأخذها الخوارزمية على الكمبيوتر المحمول ، وتستخرج المفتاح من الاختلافات في استهلاك الطاقة. أو هناك هجمات توقيت تنظر إلى المدة التي يستغرقها ذلك لتشفير نفس الرسالة 100 مرة وكيف يتغير ذلك ، ويمكنهم بالفعل استخراج المفتاح. لذلك هناك طرق مختلفة لمهاجمة الخوارزميات هناك ، وهذا ليس جديدًا. ليس لدينا مليارات من هذه الأجهزة في أيدينا الآن والتي لديها تشفير ما بعد الربع الذي اختبره الناس.

التقدم في اعتماد PQC

كيف تقول أن التبني كان مستمرًا حتى الآن؟

الكافاراني: حقيقة أن الكثير من الشركات بدأت فقط عندما تم نشر المعايير ، فإنها تضعنا في وضع حيث يوجد بعض المتقدمين جيدًا في أفكارها وعملياتها واعتمادها ، وهناك آخرون جددهم تمامًا لأنهم لم يكونوا ينتبهون ، وكانوا يركلون العلبة على الطريق. غالبية أولئك الذين كانوا يركلون العلبة على الطريق هم الذين لا يجلسون في سلسلة التوريد ، لأنهم شعروا بأنها مسؤولية شخص آخر. لكنهم لم يفهموا أنهم اضطروا إلى التأثير على مورديهم عندما يتعلق الأمر بمتطلباتهم وجداول الزمن والتكامل والعديد من الأشياء التي يتعين عليهم إعدادها. هذا ما يحدث الآن: الكثير منهم يقومون بالكثير من العمل.

الآن ، أولئك الذين يجلسون في سلسلة التوريد ، حقق عدد قليل منهم تقدمًا كبيرًا وبدأوا في تضمين تصميمات تشفير ما بعد الربع في منتجات جديدة ، ويحاولون تحديد طريقة لترقية المنتجات الموجودة بالفعل على الأرض.

لا أعتقد أننا في مكان رائع ، حيث يفعل الجميع ما يفترض أن يفعلوه. هذا ليس هو الحال. لكنني أعتقد أنه منذ العام الماضي ، عندما كان الكثير من الناس يسألون “متى تعتقد أن لدينا كمبيوتر الكم؟” وتسأل الآن “كيف يمكنني أن أكون متوافقًا؟ أين تعتقد أنني يجب أن أبدأ؟ وكيف يمكنني تقييم المكان الذي يمكن أن أفهم فيه البنية التحتية لفهم أين هي الأصول الأكثر قيمة ، وكيف يمكنني حمايتها؟ ما هو التأثير الذي يمكن أن أمارسه على موردي؟” أعتقد أنه تم إحراز تقدم كبير.

هل هو كاف؟ لا يكفي أبدًا في الأمن. الأمن صعب لعنة. إنه موضوع متعدد التخصصات. هناك نوعان من الأشخاص: أولئك الذين يحبون بناء منتجات أمنية ، وأولئك الذين يحبون كسرها. نحن نحاول الحصول على معظم أولئك الذين يحبون تقسيمهم إلى الجانب الأيمن من التاريخ حتى يتمكنوا من جعل المنتجات أقوى بدلاً من جعل تلك الموجودة في الواقع عرضة للاستغلال.

هل تعتقد أننا سنجعل ذلك بحلول عام 2035؟

الكافاراني: أعتقد أن غالبية البنية التحتية لدينا يجب أن تكون بعد كمية آمنة بحلول عام 2035 ، وهذا شيء جيد. هذا فكرة جيدة. الآن ، ماذا يحدث إذا أصبحت أجهزة الكمبيوتر الكمومية حقيقة واقعة قبل ذلك؟ هذا موضوع جيد للمسلسل التلفزيوني أو لفيلم. ماذا يحدث عندما تكون معظم الأسرار قابلة للقراءة؟ الناس لا يفكرون بجد بما فيه الكفاية حول هذا الموضوع. لا أعتقد أن أي شخص لديه إجابة لذلك.