استانداردهای پساکوانتومی NIST منتشر شدند. زیرساخت شما آماده نیست.

در آگوست ۲۰۲۴، مؤسسه ملی استاندارد و فناوری (NIST) سه استاندارد نهایی رمزنگاری پساکوانتومی (PQC) را منتشر کرد: FIPS 203 (ML-KEM مبتنی بر CRYSTALS-Kyber)، FIPS 204 (ML-DSA مبتنی بر CRYSTALS-Dilithium) و FIPS 205 (SLH-DSA مبتنی بر SPHINCS+). اینها حاصل یک فرایند هشت‌ساله استانداردسازی هستند که از سال ۲۰۱۶ آغاز شد. استانداردها وجود دارند. مدل تهدید واقعی است. آنچه هنوز رخ نداده، هرگونه مهاجرت معنادار زیرساخت واقعی اینترنت است.

الگوریتم‌های رمزنگاری که امروزه بیشتر اینترنت را محافظت می‌کنند — RSA-2048، ECDH P-256، ECDSA — به مسائل ریاضی (تجزیه اعداد صحیح و لگاریتم گسسته) وابسته هستند که رایانه‌های کلاسیک نمی‌توانند به‌طور کارآمد حل کنند. یک رایانه کوانتومی مرتبط با رمزنگاری (CRQC) که الگوریتم شور را اجرا کند، می‌تواند این موارد را در عرض چند ساعت بشکند. چنین دستگاهی امروزه وجود ندارد، اما تهدید «اکنون جمع‌آوری کن، بعداً رمزگشایی کن» از همین حالا فعال است: بازیگران دولتی امروز ترافیک رمزگذاری‌شده را برای رمزگشایی پس از بلوغ سخت‌افزار کوانتومی جمع‌آوری می‌کنند.

آنچه NIST واقعاً استاندارد کرد

FIPS 203 / ML-KEM سازوکار اصلی کپسوله‌سازی کلید برای رمزگذاری عمومی و تبادل کلید است — جایگزین مستقیم RSA و ECDH در پروتکل‌هایی مانند TLS. این استاندارد سه مجموعه پارامتر دارد: ML-KEM-512، ML-KEM-768 و ML-KEM-1024 که سطح امنیت را با اندازه کلید و متن رمز متعادل می‌کند. ML-KEM-768 به‌عنوان گزینه پیش‌فرض عملی در نظر گرفته می‌شود و امنیتی قابل مقایسه با AES-192 ارائه می‌دهد.

FIPS 204 / ML-DSA به امضای دیجیتال می‌پردازد و جایگزین RSA و ECDSA در زنجیره گواهی، امضای کد و سیستم‌های احراز هویت می‌شود. مانند ML-KEM، سه نوع پارامتر دارد (ML-DSA-44، ML-DSA-65، ML-DSA-87). نکته مهم: امضاهای ML-DSA به‌طور قابل توجهی بزرگ‌تر از امضاهای ECDSA هستند — ML-DSA-65 امضاهای ۳۳۰۹ بایتی در مقابل ۶۴–۷۲ بایت ECDSA تولید می‌کند. این امر پیامدهای واقعی برای اندازه زنجیره گواهی در دست‌دهی TLS دارد.

FIPS 205 / SLH-DSA یک طرح امضای مبتنی بر هش بدون حالت است که مفروضات امنیتی محافظه‌کارانه‌تری نسبت به ML-DSA دارد، زیرا تنها به امنیت تابع هش متکی است و نه مسائل شبکه‌ای. کندتر است و امضاهای بزرگ‌تری تولید می‌کند، بنابراین برای امضاهای طولانی‌مدت روی گواهی‌های ریشه و سفت‌افزار مناسب‌تر است تا احراز هویت با توان عملیاتی بالا.

وضعیت امروز اینترنت کجاست

پشتیبانی مرورگر از تبادل کلید ترکیبی حتی قبل از نهایی شدن استانداردها فراهم شد. Chrome از X25519Kyber768 (یک ترکیب از ECDH کلاسیک با Kyber) به‌طور پیش‌فرض در Chrome ۱۲۴ (آوریل ۲۰۲۴) فعال کرد. Cloudflare و Google از اواخر سال ۲۰۲۳ در زیرساخت لبه خود از PQC ترکیبی برای TLS استفاده می‌کنند. اما این تنها تبادل کلید را پوشش می‌دهد — زنجیره گواهی که هویت سرور را تأیید می‌کند همچنان از ECDSA یا RSA استفاده می‌کند.

اکوسیستم گواهی اساساً مهاجرت نکرده است. حدود ۲۰۰ میلیون گواهی TLS فعال که در اواسط سال ۲۰۲۵ در حال استفاده هستند، عمدتاً ECDSA یا RSA هستند. مراجع صدور گواهی از جمله DigiCert و Let's Encrypt آزمایش صدور گواهی PQC را آغاز کرده‌اند، اما هنوز تولید انبوه گواهی‌های PQC را در مقیاس عرضه نکرده‌اند. مشکل در حال تشدید است: گواهی‌های PQC با امضاهای ML-DSA اندازه دست‌دهی TLS را به‌طور قابل توجهی افزایش می‌دهند و احتمالاً باعث اختلال در کلاینت‌های دارای محدودیت اندازه بسته یا تأثیر بر عملکرد در اتصالات با تأخیر بالا می‌شوند.

پروتکل‌های VPN نیز عقب هستند. پیاده‌سازی‌های WireGuard، OpenVPN و IPsec/IKEv2 از نظر پشتیبانی از PQC بسیار متفاوت هستند. OpenSSH در نسخه ۸.۵ (۲۰۲۱) پشتیبانی از تبادل کلید ترکیبی sntrup761x25519-sha512 را اضافه کرد و در نسخه ۹.۰ (۲۰۲۲) آن را به‌عنوان پیش‌فرض قرار داد و به یکی از اولین ادغام‌های گسترده PQC تبدیل شد. اما محصولات VPN مورد استفاده در محیط‌های سازمانی — Cisco، Palo Alto، Fortinet — جدول زمانی متفاوتی دارند و بسیاری هنوز پشتیبانی از PQC را برای سال‌های ۲۰۲۶–۲۰۲۷ برنامه‌ریزی می‌کنند.

جدول زمانی پیش روی سازمان‌ها

جدول زمانی دولت ایالات متحده دقیق‌ترین است. مجموعه الگوریتم امنیت ملی تجاری ۲.۰ (CNSA 2.0) سازمان امنیت ملی (NSA) مهاجرت به PQC را برای سیستم‌های امنیت ملی الزامی می‌کند، با مهلت‌های متفاوت بر اساس نوع سیستم. امضای نرم‌افزار و سفت‌افزار: تا سال ۲۰۲۵. تجهیزات شبکه: تا سال ۲۰۲۶. سیستم‌های عامل: تا سال ۲۰۲۷. اکثر سیستم‌های طبقه‌بندی‌شده و حساس دولتی: تا سال ۲۰۳۳. راهنمای خود NIST در انتشار ویژه ۱۸۰۰-۳۸B نقشه راه مهاجرت برای سازمان‌های فدرال با جدول زمانی مشابه ارائه می‌دهد.

برای سازمان‌های خصوصی، هنوز الزام قانونی وجود ندارد — اما در حال تغییر است. دستورالعمل NIS2 اتحادیه اروپا شامل الزامات چابکی رمزنگاری است و ENISA (آژانس امنیت سایبری اتحادیه اروپا) دستورالعمل‌های مهاجرت PQC را منتشر کرده است که به سازمان‌ها توصیه می‌کند تا سال ۲۰۲۵ مراحل فهرست‌برداری و برنامه‌ریزی را کامل کرده و از سال ۲۰۲۶ مهاجرت فعال را آغاز کنند. تنظیم‌گران بخش مالی در بریتانیا و اتحادیه اروپا نیز راهنمایی مشابهی صادر کرده‌اند.

پنجره «اکنون جمع‌آوری کن، بعداً رمزگشایی کن» محرک اصلی اولویت‌بندی است. هر داده‌ای که نیاز به محرمانگی بیش از ۵–۱۰ سال دارد، اگر امروز با رمزنگاری کلاسیک منتقل شود، باید در معرض خطر تلقی شود. سوابق بهداشتی، قراردادهای مالی، مالکیت فکری و ارتباطات طبقه‌بندی‌شده همگی در این دسته قرار می‌گیرند.

چالش‌های فنی که مهاجرت واقعاً شامل می‌شود

مهاجرت PQC یک جایگزینی ساده نیست. اندازه بزرگ‌تر کلید و امضا در الگوریتم‌های پساکوانتومی مشکلات سازگاری زنجیره‌واری ایجاد می‌کند. کلیدهای عمومی ML-KEM-768 ۱۱۸۴ بایت در مقابل ۳۲ بایت برای X25519 هستند. کلیدهای عمومی ML-DSA-65 ۱۹۵۲ بایت هستند. پروتکل‌هایی با هدرهای اندازه ثابت، ماژول‌های امنیتی سخت‌افزاری با محدودیت اندازه کلید و سیستم‌عامل HSM که قبل از PQC ساخته شده‌اند، همه نیاز به به‌روزرسانی یا جایگزینی دارند.

کتابخانه‌های رمزنگاری از اکثر برنامه‌ها جلوتر هستند. OpenSSL 3.x از PQC از طریق ارائه‌دهنده Open Quantum Safe (OQS) پشتیبانی می‌کند. BoringSSL (مورد استفاده Chrome و Android) Kyber را ادغام کرده است. کتابخانه liboqs تأییدشده NIST پیاده‌سازی‌های مرجع را فراهم می‌کند. اما ادغام این موارد در سیستم‌های تولیدی نیاز به آزمایش برای پسرفت عملکرد دارد، به‌ویژه در سیستم‌های جاسازی‌شده و دستگاه‌های IoT محدود که سربار محاسباتی ML-KEM ممکن است قابل توجه باشد.

زیرساخت مرجع صدور گواهی نیاز به به‌روزرسانی قابل توجهی دارد. صدور گواهی‌های PQC نیازمند به‌روزرسانی نرم‌افزار CA، HSMهای قادر به عملیات ML-DSA، پاسخ‌دهندگان OCSP و نقاط توزیع CRL است. کل زنجیره PKI — CAهای ریشه، CAهای میانی، گواهی‌های برگ — باید به‌صورت هماهنگ مهاجرت کند و در طول یک دوره انتقالی که می‌تواند یک دهه طول بکشد، سازگاری معکوس را حفظ کند.

آنچه سازمان‌ها باید اکنون انجام دهند

انجام فهرست‌برداری رمزنگاری. هر سیستم، سرویس و جریان داده‌ای که از رمزنگاری کلید عمومی استفاده می‌کند را نقشه‌برداری کنید. این شامل نقاط پایانی TLS، VPNها، زیرساخت SSH، خطوط امضای کد، سیستم‌های PKI، پایگاه‌های داده رمزگذاری‌شده و هر HSM یا کارت هوشمند است. NIST SP 1800-38B یک روش‌شناسی دقیق برای این فرایند فهرست‌برداری ارائه می‌دهد.

اولویت‌بندی بر اساس حساسیت و ماندگاری داده. سیستم‌هایی که داده‌هایی با نیاز به محرمانگی فراتر از ۲۰۳۰ را منتقل یا ذخیره می‌کنند، باید در صدر صف مهاجرت قرار گیرند. حملات جمع‌آوری-اکنون-رمزگشایی-بعداً تهدید را همین امروز واقعی می‌کنند، حتی اگر رایانه کوانتومی هنوز وجود نداشته باشد.

فعال‌سازی رمزنگاری ترکیبی در صورت امکان. حالت‌های ترکیبی (کلاسیک + PQC) مقاومت کوانتومی را بدون قربانی کردن امنیت کلاسیک در صورت آسیب‌پذیری الگوریتم PQC فراهم می‌کنند. RFC 9370 IETF تبادل کلید ترکیبی برای TLS 1.3 را استاندارد کرده است. اکثر کتابخانه‌های مدرن TLS امروزه از حالت ترکیبی X25519MLKEM768 پشتیبانی می‌کنند.

به‌روزرسانی وابستگی‌های کتابخانه رمزنگاری. به OpenSSL 3.3+، ساخت‌های BoringSSL مورخ بعد از ژانویه ۲۰۲۴ یا معادل با پشتیبانی ارائه‌دهنده OQS ارتقا دهید. هر کد رمزنگاری یا شتاب سخت‌افزاری که ممکن است مفروضات الگوریتم کلاسیک را سخت‌کد کرده باشد، حسابرسی کنید.

با مرجع صدور گواهی و فروشندگان PKI خود در ارتباط باشید. از DigiCert، Sectigo، Let's Encrypt و اپراتورهای CA داخلی خود نقشه راه مهاجرت PQC و تعهدات زمانی آنها را بپرسید. آن تاریخ‌ها را در افق برنامه‌ریزی خود بگنجانید.

برای آزمایش عملکرد برنامه‌ریزی کنید. الگوریتم‌های PQC به طور یکنواخت کندتر نیستند، اما متفاوت هستند. ML-KEM در نرم‌افزار سریع است؛ امضاهای مبتنی بر هش مانند SLH-DSA کند هستند. بارهای کاری خاص خود را محک بزنید — به‌ویژه هر چیزی که حجم بالایی از تأیید امضا انجام می‌دهد، مانند یک CDN، متعادل‌کننده بار یا سرویس احراز هویت در مقیاس.

تهدید کوانتومی قریب‌الوقوع نیست به این معنا که «یک CRQC سال آینده وجود خواهد داشت». تخمین‌های معتبر از IBM، Google و محققان دانشگاهی، رایانش کوانتومی مرتبط با رمزنگاری را حداقل ۱۰–۱۵ سال آینده تحت مسیرهای فعلی قرار می‌دهند. اما مهاجرت‌های رمزنگاری ۵–۱۵ سال طول می‌کشد تا در زیرساخت پیچیده کامل شوند. NIST استانداردها را منتشر کرد. ساعت مهاجرت شروع شد. سازمان‌هایی که اکنون برنامه‌ریزی سیستماتیک و مهاجرت زودهنگام را آغاز کنند، هنگام رسیدن مهلت‌های قانونی — یا زمانی که یک پیشرفت رایانش کوانتومی جدول زمانی را تغییر دهد — از وضعیت بحرانی دور خواهند ماند.