1. صفحه نخست
  2. اخبار امنیت اطلاعات
  3. وقت آن است که تیم‌های امنیتی خود را برای مقابله با اثرات سوء رایانش کوانتومی آماده بکنند

وبلاگ بیت دیفندر

اخبار ، دیدگاه ها و نگرش کارشناسان بیت دیفندر

وقت آن است که تیم‌های امنیتی خود را برای مقابله با اثرات سوء رایانش کوانتومی آماده بکنند

در گروهاخبار امنیت اطلاعات، ۱۴۰۰/۲/۲۸

اینطور به نظر می‌رسد که هر هفته خبرهای جدیدی می‌رسد از اجرایی کردن فناوری رایانش کوانتومی. گرچه این خبر خوبیست -زیرا از مزایای این فناوری زیاد شنیده‌ایم و وعده‌های خوبی نیز به ما داده شده است- اما همچنین باعث می‌شود جامعه با بزرگ‌ترین مشکلات دست و پنجه نرم کند: پیشرفت‌های احتمالی در فناوری هوش مصنوعی، مدل‌سازی پیچیده در زمینه همجوشی هسته‌ای[1]، سلول‌های پیشرفته‌ی خورشیدی و مدل‌سازی بازارهای مالی. با این همه قابل‌ملاحظه‌ترین تأثیر برای حرفه‌ای‌های امنیتی تأثیر روی کریپتوگرافی است و اینکه چطور فناوری رایانش کوانتومی در آینده بسیاری از الگوریتم‌های کریپتوگرافیک را که امروزه به کار می‌روند منسوخ خواهد نامید. برای مثال طرح‌های کریپتوگرافی رمز عمومی که به طور گسترده مورد استفاده قرار می‌گیرند به عدم توانایی رایانش کلاسیک در خصوص حل اعداد طبیعی در اعداد صحیح بزرگ بستگی دارد. اما این کار برای یک کامپیوتر کوانتومی همچون آب خوردن خواهد بود. بسیاری از مدیران امنیتی و CIOها به اشتباه فکر می‌کنند اجرایی شدن رایانش کوانتومی بسیار دور است و نیازی نیست خود را نگران کنند. اما اخباری در خصوص پیشرفت‌های رایانش کوانتومی به گوش می رسد. همین هفته پیش گولدمن ساکس بانکداری سرمایه‌گذاری جهانی علنی اعلام کرد که داشته چندین سال با یک شرکت سیلیکون ولی به نام QC Ware همکاری می‌کرده است. همکاری این دو شرکت در راستای حل محاسبات پیچیده بازار بوده است. رایانش کوانتومی و اثر آن بر روی امنیت سازمانی بیش از آنچه انتظار می‌رود در حال محقق شدن است.

ساخت الگوریتم‌های انعطاف‌پذیر کوانتومی

 وقتی صحبت از محافظت داده‌های سازمانی در برابر قدرت رایانش کوانتومی –که نقشه‌ها و برنامه‌های سنتی رمزگذاری را به چالش می‌کشد- به میان می‌آید باید کمی امید داشت. اما با این حال ارگان‌های استاندارد، دولت‌ها و سازمان‌های کاربر نهایی وقت کافی برای انجام امور لازم ندارد و خیلی زود شاهد اجرایی‌سازی فناوری رایانش کوانتومی خواهیم بود. اولین کاری که سازمان‌ها –از جمله انستیتوی ملی استانداردها و فناوری آمریکا (NIST)- باید انجام دهند توسعه الگوریتم‌های کریپتوگرافیک پساکوانتومی است که در برابر حملات مبتنی بر رایانش کوانتومی انعطاف‌پذیر باشند. البته توسعه الگوریتم‌های کریپتوگرافیک پساکوانتومی تازه اول ماجراست. این پروتکل‌ها به زیرساخت‌هایی به جا و به موقع نیاز دارند؛ آن‌ها باید در سیستم‌های امنیتی و فناوری کسب و کار فعلی و همچنین جدید پیاده‌سازی شوند. سازمان‌ها به نوبه‌ی خود باید لیستی از همه سیستم‌های خود را که به برنامه‌های کریپتوگرافیِ در معرض خطر وابسته هستند تهیه کنند و مشخص نمایند آیا آن‌ها می‌توانند با برنامه‌های جدید آن سیستم‌ها را آپگرید کنند یا خیر. و یا آیا آن‌ها موقع سر رسیدن رایانش کوانتومی نیاز به تعویض خواهند داشت یا خیر. همچنین باید به مسیرهای آپگرید محصولات جدید به محض اتخاذشان نیز فکر کنند. شاید کمی طول بکشد تا کامپیوترهای کوانتومی به دست مجرمان معمول در فضای آنلاین بیافتد اما دولت‌های ملی و سازمان‌های به شدت همسو با دولت‌های ملی احتمالاً جزو اولین‌ها در دریافت این قابلیت‌ها خواهند بود.  NIST و National Cybersecurity Center of Excellence در این پرونده خواهند بود. اواخر ماه گذشته آن‌ها مقاله‌ای را منتشر کردند تحت عنوان Getting Ready for Post-Quantum Cryptography: Exploring Challenges Associated with Adopting and Using Post-Quantum Cryptographic Algorithms.

برخی سازمان‌ها می‌توانند از همین الان روی مبحث ایجاد انعطاف‌پذیری کار کنند

وقتی کامپیوترهای کوانتومی از راه برسند و بتوانند اعداد طبیعی را در اعداد صحیح بزرگ حل کنند، همه کلیدهای ذخیره‌شده در کل سازمان را باید (اگر بخت یار باشد) با کلیدهایی که در مقابل حملات کوانتومی مقاومند عوض کرد. همچنین بک‌آپ‌های قدیمی داده نیز باید به طور امنی از بین برده شده و یا از نو رمزگذاری شود. وقتی رایانش کوانتومی سر و کله‌اش پیدا شود، سازمان‌ها هیچ رقمه نخواهند توانست تماماً به محرمانه بودن داده‌های رمزگذاری‌شده‌ و ذخیره‌شده‌شان اعتماد کنند. همچنین یکپارچگی داده‌ها نیز زیر سوال خواهد رفت زیرا مجرمان هر کاری که بتوانند برای دستکاری داده‌ها خواهند کرد. در گزارش NIST اینطور هشدار داده شده است که، «یکپارچگی و منابع اطلاعاتی غیرقابل اطمینان خواهند شد؛ مگر آنکه پردازش شوند یا با استفاده از مکانیزمی که در مقابل حملات مبتنی بر رایانش کوانتومی آسیب‌پذیر نباشد کپسوله شوند (مانند امضای مجدد یا زدن مهر زمان[2])». همچنین اگر فردی شرور خواست کپی از داده‌های رمزگذاری‌شده قبلی بدزدد سازمان هیچ کاری از دستش ساخته نخواهد بود. خوشبختانه در راستای ساخت الگوریتم‌های کریپتو تلاش‌های بسیاری صورت گرفته. همین اقدامات می‌تواند تا حدی به افرادی که می‌ترسند این اتفاق در دنیای واقعی رخ دهد قوت قلب باشد. این اقدامات همچنین روز به روز بیشتر و جدی‌تر نیز پیگیری می‌شود. با این همه از آنجایی که هیچ کسی درکی از اثر رایانش کوانتومی یا غایت قابلیت آن ندارد کاملاً مشخص نیست چه الگوریتم‌هایی در برابر قدرت‌های نابودگر –در بخش رمزنگاری- رایانش کوانتومی انعطاف‌پذیر خواهد بود. هنوز هم به نقل از NIST و  NCCoE، کلی چیز وجود دارد که سازمان‌ها می‌توانند برای آماده‌سازی خود در برابر رایانش کوانتومی انجام دهند (منظور اثری است که کریپتوگرافی پساکوانتومی روی فرآیند رمزگذاری خواهد گذاشت). ابتدا سازمان‌ها باید مشخص کنند کجای شرکت‌شان الگوریتم‌هایی وجود دارد که در خطرند و به نوعی اقدام اصلاحی نیاز خواهند داشت؛ کدام نه تنها شامل ابزارها و محصولات امنیتی که همچنین شامل ابزارها و محصولاتی که توسط ارائه‌دهندگان سرویسشان مورد استفاده قرار می‌گیرند نیز می شوند (همینطور نرم‌افزارها و سخت‌افزارهایی که هر جای دیگر سازمان استفاده می‌شوند). برای شناسایی نقشه‌های رمزگذاری در معرض خطر، سازمان‌ها می‌بایست نهادهای استاندارد رمزگذاری و نیز سازمان‌های مربوطه که مشغول شناسایی و نشر چنین نقشه‌هایی هستند را مورد بررسی و نظارت قرار دهند. برخی از این  استانداردها که سازمان‌ها باید مورد نظارت قرار دهند عبارتند از Internet Engineering Task Force، International Organization for Standardization/International Electrotechnical Commission، American National Standards Institute/International Committee for Information Technology Standards، Trusted Computing Group و غیره.

گذار موفق از کوانتوم مستلزم همکاری عمومی-خصوصی خواهد بود

 صنعت خصوصی به سهم خود می‌بایست ابزارهایی را بسازد که به سازمان‌ها در شناسایی کارکرد سیستم‌های کریپتگرافیک در معرض خطر (در شاکله سازمانی) و نیز تهیه لیست موجودی از این سیستم‌ها کمک می‌کنند. وقتی این کار صورت گرفت، سازمان‌ها سپس می‌بایست به این فکر کنند که چطور این سیستم‌های کریپتوگرافیک باید تعویض شوند. برای بیشتر سازمان‌ها هیچیک از مواردی که اشاره کردیم آسان نخواهد بود. فروشندگان ملزم خواهند به دقیق کار کردن با مشتریان خود و نیز اطلاع‌رسانی به آن‌ها در خصوص نحوه آپدیت کردن رمزگذاری: سازمان‌ها می‌بایست خود را آماده‌ی ریسک‌های رمزگذاری پساکوانتومی بکنند، مشخص کنند چه الگوریتم‌های رمزگذاری در شاکله‌شان همچنان دارد استفاده می‌شود و بعد باید مسیر مهاجرتی را برای آن الگوریتم‌ها در نظر گرفته یا سیستم‌های وابسته به آن الگوریتم‌ها را به کل عوض کنند. سازمان‌ها در نهایت می‌بایست ارزش این سیستم‌ها را سبک و سنگین کنند؛ همچنین حساسیت و ارزش داده‌هایی که تحت‌الشعاع قرار گرفته‌اند و بعد می‌بایست برای اصلاح آن‌ها اقدامات درست بردارند. گرچه هنوز کسی نمی‌داند چه زمان رایانش کوانتومی پیاده‌سازی خواهد شد و قادر خواهد بود کریپتوی امروزی را در هم شکند، اما سازمان‌ها یقیناً بهتر است خود را آماده کنند و موقع رسیدن این فناوری دست و پای خود را گم نکنند. آن‌ها نمی‌دانند باید چطور در این مسیر قدم پیش رو بگذارند و از سیستم‌های خود در برابر دستکاری‌های آتی ناشی از فناوری رایانش کوانتومی محافظت کنند. زیرا وقتی این اتفاق رخ دهد همه داده‌هایی که تا به امروز محافظت می‌شدند در معرض دستکاری خواهند بود.

[1]فرایندی عکس عمل شکافت هسته‌ای است. در فرایند همجوشی هسته‌ای هسته‌های سبک مانند هیدروژن، دوتریوم و تریتیوم با یکدیگر همجوشی داده شده و هسته‌های سنگین‌تر و مقداری انرژی تولید می‌شود.

[2] Timestamped