رمزنگاری پساکوانتومی دیگر نظری نیست: نقشه راه مهاجرت شما
در اوت ۲۰۲۴، مؤسسه ملی استاندارد و فناوری آمریکا (NIST) نخستین استانداردهای نهایی رمزنگاری پساکوانتومی در تاریخ خود را منتشر کرد: FIPS 203 (ML-KEM، مبتنی بر CRYSTALS-Kyber)، FIPS 204 (ML-DSA، مبتنی بر CRYSTALS-Dilithium) و FIPS 205 (SLH-DSA، مبتنی بر SPHINCS+). این استانداردها فرایند استانداردسازی چندسالهای را به پایان میرسانند که شامل رقابت جهانی رمزنگاری، بررسی عمومی و چندین دور تحلیل رمزنگاری (cryptanalysis) بوده است. رمزنگاری پساکوانتومی دیگر یک مسئله تحقیقاتی نیست – بلکه یک مسئله مهندسی و مهاجرت است.
چرا فوریت این موضوع اکنون واقعی است، نه ۱۰ سال دیگر
چارچوب رایج در مورد رمزنگاری پساکوانتومی این گونه القا میکند که مهاجرت میتواند تا زمانی که رایانههای کوانتومی به اندازه کافی قدرتمند شوند تا رمزنگاری RSA و خمهای بیضوی را بشکنند – قابلیتی که بیشتر تخمینها آن را ۱۰ تا ۲۰ سال آینده میدانند – به تعویق بیفتد. این چارچوب به شکلی خطرناک اشتباه است و دلیل آن مدل تهدیدی به نام «اکنون جمعآوری کن، بعداً رمزگشایی کن» (HNDL) است.
دشمنان دولتی و بازیگران تهدید پیچیده هماکنون در حال جمعآوری ترافیک رمزنگاریشده شبکه هستند. جلسات TLS، تونلهای VPN، ایمیلهای رمزنگاریشده و فراخوانیهای حساس API ضبط و ذخیره میشوند. دادههای رمزنگاریشده امروز غیرقابل فهم هستند، اما اگر یک رایانه کوانتومی به اندازه کافی قدرتمند در سال ۲۰۳۵ یا ۲۰۴۰ در دسترس باشد، آن ترافیک ذخیرهشده میتواند به صورت پسنگر رمزگشایی شود.
این بدان معناست که دادههایی که امروز با RSA-2048 یا ECDH P-256 رمزنگاری میشوند – اگر همچنان در ۱۵ سال آینده باید محرمانه بمانند – از منظر محرمانگی بلندمدت عملاً از هماکنون به خطر افتادهاند. ارتباطات دولتی، دادههای امنیت ملی، تاریخچه تراکنشهای مالی، سوابق بهداشتی و موافقتنامههای قراردادی بلندمدت همگی در این دسته قرار میگیرند. برای سازمانهایی که الزامات طولانی برای طبقهبندی دادهها دارند، ساعت مهاجرت سالها پیش شروع به کار کرده است.
استانداردهای NIST واقعاً چه مشخصاتی دارند
سه استاندارد نهایی شده، توابع رمزنگاری متفاوتی را پوشش میدهند:
FIPS 203 / ML-KEM (پیشتر CRYSTALS-Kyber) یک مکانیسم کپسولهسازی کلید (key encapsulation mechanism) است – جایگزین مقاوم در برابر کوانتوم برای تبادل کلید RSA و Diffie-Hellman در پروتکلهایی مانند TLS. این مکانیسم بر پایه سختی مسئله «یادگیری با خطاهای مدولار» (Module Learning With Errors) استوار است، یک ساختار ریاضی مبتنی بر شبکه (lattice) که تصور میشود در برابر حملات کلاسیک و کوانتومی مقاوم است. ML-KEM در سه مجموعه پارامتر ارائه میشود: ML-KEM-512 (امنیت قابل مقایسه با AES-128)، ML-KEM-768 (قابل مقایسه با AES-192) و ML-KEM-1024 (قابل مقایسه با AES-256).
FIPS 204 / ML-DSA (پیشتر CRYSTALS-Dilithium) یک طرح امضای دیجیتال است – جایگزین امضاهای ECDSA و RSA که در امضای کد، مراجع گواهی (certificate authorities)، امضای ایمیل و نشانههای احراز هویت استفاده میشوند. این طرح نیز مبتنی بر شبکه است و امنیت قوی با اندازههای نسبتاً فشرده کلید و امضا ارائه میدهد.
FIPS 205 / SLH-DSA (پیشتر SPHINCS+) یک طرح امضای مبتنی بر هش (hash-based signature) است. امضاهای مبتنی بر هش سابقه طولانیتری در بررسی رمزنگاری (cryptanalytic scrutiny) نسبت به طرحهای مبتنی بر شبکه دارند و SLH-DSA را به یک گزینه پشتیبان محافظهکارانه برای سازمانهایی تبدیل میکند که به تنوع در مبانی رمزنگاری خود نیاز دارند. بهای این گزینه، اندازههای بزرگتر امضا است.
NIST همچنین در حال استانداردسازی FALCON (اکنون FN-DSA) به عنوان چهارمین طرح امضا است که برای محیطهای محدود بهینه شده است. این طرح امضاهای کوچکتری نسبت به ML-DSA ارائه میدهد اما الزامات پیادهسازی پیچیدهتری دارد.
پیچیدگی مهاجرت که بیشتر سازمانها آن را دستکم میگیرند
مهاجرت رمزنگاری در ظاهر مانند یک تعویض کتابخانه (library swap) به نظر میرسد – جایگزینی الگوریتمهای قدیمی با الگوریتمهای جدید – اما در عمل به یک ممیزی زیرساخت چندساله نزدیکتر است. رمزنگاری در هر لایه از پشته فناوری یک سازمان جاسازی شده است: زنجیرههای گواهی TLS، کلیدهای میزبان SSH، خطوط لوله امضای کد، ماژولهای امنیتی سختافزاری (HSM)، امضای سیستمعامل (firmware)، رمزنگاری ایمیل S/MIME، پروتکلهای VPN، کلیدهای امضای JWT، رمزنگاری پایگاه داده، رمزنگاری پشتیبان و موارد دیگر.
بسیاری از این سیستمها پیچهای پیکربندی آسانی برای تغییر خانواده الگوریتمها در معرض نمایش نمیگذارند. HSMها برای پشتیبانی از الگوریتمهای جدید نیاز به بهروزرسانی سیستمعامل یا جایگزینی سختافزار دارند. زیرساخت مرجع صدور گواهی (PKI) باید بازسازی یا ارتقا یابد. فروشندگان و شرکای بالادستی و پاییندستی باید از همان الگوریتمها پشتیبانی کنند تا احراز هویت متقابل کار کند. سیستمهای کنترل صنعتی، دستگاههای تعبیهشده (embedded) و سختافزار اینترنت اشیاء با طول عمر عملیاتی ۱۰ تا ۱۵ سال ممکن است هرگز سیستمعامل مقاوم در برابر کوانتوم دریافت نکنند.
اصل چابکی رمزنگاری (crypto-agility) – طراحی سیستمها به گونهای که بتوان عناصر رمزنگاری را بدون تغییر معماری جابجا کرد – پاسخ درست برای سیستمهای جدید است، اما بیشتر سازمانها با سیستمهایی کار میکنند که بدون این اصل ساخته شدهاند. بازسازی (retrofitting) چابکی رمزنگاری نیازمند همان کار کشف و موجودیبرداری است که خود مهاجرت انجام میدهد.
طرحهای ترکیبی: پل عملی
گروه مهندسی اینترنت (IETF) و پیادهسازیهای اصلی TLS بر روی تبادل کلید ترکیبی به عنوان استراتژی مهاجرت برای TLS توافق کردهاند: ترکیب یک الگوریتم کلاسیک (ECDH) با یک الگوریتم پساکوانتومی (ML-KEM) در یک دستافشانی (handshake)، به طوری که جلسه تا زمانی که یکی از الگوریتمها امن باشد، محافظت میشود. این رویکرد هم در برابر ضعفهای کشفنشده در الگوریتمهای جدید پساکوانتومی و هم در برابر حملات «اکنون جمعآوری کن، بعداً رمزگشایی کن» با استفاده از رایانههای کوانتومی محافظت میکند.
گوگل از سال ۲۰۲۳ با استفاده از ترکیبی از X25519 و ML-KEM-768، تحتعنوان X25519MLKEM768، تبادل کلید ترکیبی را در مرورگر Chrome آزمایش کرده است. Cloudflare نیز آن را در شبکه لبهای خود مستقر کرده است. جدیدترین نسخههای BoringSSL، OpenSSL 3.x (از طریق ارائهدهنده OQS) و LibreSSL از طرحهای ترکیبی پشتیبانی میکنند. برای TLS، مسیر مهاجرت نسبتاً روشن است و ابزارها به سرعت در حال بلوغ هستند.
برای طرحهای امضا، مهاجرت کندتر است زیرا گواهیها باید توسط مراجع صدور گواهی معتبر (trusted CAs) دوباره صادر شوند. انجمن مرجع صدور گواهی/مرورگر (CA/B Forum) در حال کار بر روی استانداردهای گواهیهای پساکوانتومی است، اما استقرار گسترده گواهیهای با امضای پساکوانتومی احتمالاً ۳ تا ۵ سال با پشتیبانی گسترده مرورگرها و فروشگاههای اعتماد سیستمعامل فاصله دارد.
چارچوب اولویتبندی مهاجرت شما
همه چیز نیازی به مهاجرت همزمان ندارد. یک رویکرد مبتنی بر ریسک، اولویتبندی را بر اساس دو بعد انجام میدهد: میزان حساسیت دادهها و مدت زمان محرمانه ماندن آنها.
با تبادل کلید در TLS رو به بیرون شروع کنید: این بیشترین میزان مواجهه با تهدید HNDL است، ابزارها امروز در دسترس هستند و طرحهای ترکیبی به این معناست که نیازی به رها کردن الگوریتمهای کلاسیک ندارید. ارتقاء به کتابخانه TLS با پشتیبانی از ML-KEM و فعالسازی تبادل کلید ترکیبی در متعادلکنندههای بار و دروازههای API شما در کوتاهمدت قابل انجام است.
سپس، زیرساخت PKI و گواهی خود را موجودیبرداری کنید. تمام مراجع صدور گواهی – داخلی و خارجی – و پیکربندی الگوریتم آنها را شناسایی کنید. برای پیچیدگی عملیاتی اجرای PKI موازی (کلاسیک و پساکوانتومی) در طول دوره انتقال برنامهریزی کنید، زیرا همه کلاینتها بلافاصله از گواهیهای پساکوانتومی پشتیبانی نخواهند کرد.
ناوگان HSM خود را ارزیابی کنید. بیشتر HSMهای ساختهشده قبل از ۲۰۲۲ به صورت بومی از ML-KEM یا ML-DSA پشتیبانی نمیکنند. فروشندگان HSM از جمله Thales، Entrust و Utimaco نقشه راه PQC خود را منتشر کردهاند، اما چرخههای جایگزینی سختافزار طولانی و تأیید بودجه کند است. همین حالا گفتگوهای تدارکات را شروع کنید.
اسرار بلندمدت بالاترین اولویت مهاجرت هستند. کلیدهای رمزنگاری محافظ دادههای بایگانیشده، کلیدهای خصوصی CA ریشه، اعتبارنامههای VPN بلندمدت و کلیدهای امضای کد که نرمافزار را در دورههای چندساله تأیید میکنند، همگی نیاز فوری به محافظت مقاوم در برابر کوانتوم دارند. پشتیبانهای رمزنگاریشده با RSA از سال ۲۰۲۴ همچنان توسط یک دشمن کوانتومی در سال ۲۰۴۰ قابل بازیابی خواهند بود.
چه مواردی را باید در این فصل پیادهسازی کرد
تبادل کلید ترکیبی را در TLS برای نقاط پایانی خارجی فعال کنید – هم سمت سرور (nginx، HAProxy، Cloudflare، AWS ALB) و هم سمت کلاینت در جاهایی که پشته TLS را کنترل میکنید. پیش از استقرار گسترده، سازگاری با پایگاه مشتریان موجود خود را آزمایش کنید. با استفاده از ابزارهایی مانند Venafi یا موتور اسرار PKI HashiCorp Vault، یک موجودیبرداری از تمام داراییهای رمزنگاری انجام دهید. با فروشنده HSM خود درباره جدول زمانی PQC آنها مشورت کنید. ارزیابی کنید که آیا هر دادهای که امروز رمزنگاری میکنید، نیاز محرمانگی فراتر از سال ۲۰۳۵ دارد. یک ارزیابی ریسک کتبی به مدیر امنیت اطلاعات (CISO) یا مدیریت ارشد امنیت ارائه دهید که مواجهه با تهدید HNDL را کمّیسازی کند – بیشتر بودجههای امنیتی به چارچوببندی ریسک مشخص سریعتر از بحثهای انتزاعی جدول زمانی واکنش نشان میدهند.
رمزنگاری پساکوانتومی مشکلی نیست که با انتظار کشیدن خود به خود حل شود. استانداردها نهایی شدهاند، ابزارها برای موارد استفاده با اولویت بالا وجود دارند، و تهدید «اکنون جمعآوری کن، بعداً رمزگشایی کن» واقعی و مداوم است. سازمانهایی که هماکنون موجودیبرداری مهاجرت خود را شروع کنند، سالها فرصت خواهند داشت تا به روشمند عمل کنند. آنهایی که منتظر میمانند تا رایانههای کوانتومی به صورت آشکار سیستمهای تولیدی را تهدید کنند، تحت شرایط اضطراری مهاجرت را انجام خواهند داد.