جدول زمانی مهاجرت به رمزنگاری پساکوانتومی مرکز ملی امنیت سایبری بریتانیا

0
41
جدول زمانی مهاجرت به رمزنگاری پساکوانتومی مرکز ملی امنیت سایبری بریتانیا

فعالیت‌هایی که سازمان‌ها باید برای مهاجرت ایمن به رمزنگاری پساکوانتومی در سال‌های آینده انجام دهند.

مهاجرت ملی به رمزنگاری پساکوانتومی (PQC) که با هدف کاهش تهدید کامپیوترهای کوانتومی آینده انجام می‌شود، یک تغییر گسترده فناوری است که چندین سال به طول خواهد انجامید.

مرکز ملی امنیت سایبری (NCSC) نیاز به ارائه راهنمایی در مورد فعالیت‌های اولیه مهاجرت و همچنین تعیین جدول‌های زمانی تقریبی برای صنعت، دولت و نهادهای نظارتی بریتانیا را تشخیص داده است. در این راهنما، NCSC برخی از تاریخ‌های کلیدی برای فعالیت‌های مهاجرت را مشخص می‌کند.

هرچند این جدول‌های زمانی برای تمامی سازمان‌ها مرتبط هستند، اما این راهنما عمدتاً برای تصمیم‌گیرندگان فنی و مسئولان ریسک در سازمان‌های بزرگ، اپراتورهای زیرساخت‌های حیاتی ملی (CNI) از جمله سیستم‌های کنترل صنعتی (ICS) و شرکت‌هایی که از فناوری اطلاعات سفارشی استفاده می‌کنند، تهیه شده است. سطح آمادگی رمزنگاری در صنایع مختلف متفاوت است، بنابراین میزان فعالیت‌ها ممکن است در هر دوره زمانی متغیر باشد، اما تمرکز بر تاریخ‌های کلیدی برای تصمیم‌گیری در مورد سرمایه‌گذاری و برنامه‌ریزی امنیت سایبری ضروری است.

نقاط عطف کلیدی

تا سال ۲۰۲۸

  • تعیین اهداف مهاجرت

  • انجام ارزیابی کامل برای شناسایی خدمات و زیرساخت‌هایی که نیاز به ارتقا به PQC دارند

  • تدوین یک برنامه اولیه برای مهاجرت

تا سال ۲۰۳۱

  • اجرای فعالیت‌های اولویت‌دار مهاجرت PQC

  • اصلاح برنامه و تهیه یک نقشه راه کامل برای تکمیل فرآیند مهاجرت

تا سال ۲۰۳۵

  • تکمیل فرآیند مهاجرت به PQC برای تمامی سیستم‌ها، خدمات و محصولات

ممکن است برخی فناوری‌های کمتر رایج تا سال ۲۰۳۵ به‌راحتی قابل مهاجرت نباشند. این موضوع می‌تواند بر برخی بخش‌ها تأثیر بیشتری داشته باشد، اما تمامی سازمان‌ها باید تلاش کنند تا به این تاریخ‌های کلیدی پایبند باشند.

پیش‌زمینه

تهدید کامپیوترهای کوانتومی در مقیاس بزرگ و مقاوم در برابر خطا برای رمزنگاری کنونی به‌خوبی شناخته شده است.

کامپیوترهای کوانتومی قادر خواهند بود مسائل پیچیده ریاضی که رمزنگاری کلید عمومی (PKC) امروزی بر آن‌ها متکی است را به‌طور مؤثر حل کنند.

بهترین راهکار برای کاهش این تهدید، مهاجرت به رمزنگاری پساکوانتومی (PQC) است که بر مبنای مسائل ریاضی‌ای طراحی شده که کامپیوترهای کوانتومی توانایی حل مؤثر آن‌ها را ندارند.

در نوامبر ۲۰۲۳، NCSC مقاله‌ای تحت عنوان گام‌های بعدی در آماده‌سازی برای رمزنگاری پساکوانتومی منتشر کرد و در آگوست ۲۰۲۴، تغییرات کوچکی برای انعکاس انتشار استانداردهای سه الگوریتم توسط NIST در آن اعمال شد. یکی از پیام‌های کلیدی این مقاله این بود که سازمان‌ها باید هم‌اکنون آماده‌سازی برای مهاجرت به PQC را آغاز کنند.

در یک پست تکمیلی تحت عنوان رمزنگاری پساکوانتومی، گام بعدی چیست؟، اولویت‌ها مشخص شد:

  • حمایت از بخش‌های تحت نظارت

  • حمایت از دولت مرکزی

  • اطمینان از دسترسی بریتانیا به مهارت‌های لازم برای تسهیل مهاجرت به PQC در آینده

مهاجرت به PQC یک تغییر در مقیاس جهانی برای سیستم‌های فناوری اطلاعات (IT) و فناوری عملیاتی (OT) است که معمولاً طی چندین دوره مدیریتی در سازمان‌های بزرگ اجرا می‌شود. مانند هر ارتقای بزرگ IT یا OT، هزینه‌های مالی کلی مهاجرت به PQC می‌تواند قابل توجه باشد، بنابراین سازمان‌ها باید منابع مالی لازم را هم برای فعالیت‌های مقدماتی و هم برای اجرای مهاجرت، در نظر بگیرند.

درباره این راهنما

این راهنما شامل موارد زیر است:

  • گام‌های لازم برای مهاجرت به PQC

  • تفاوت‌های احتمالی کارهای مقدماتی در بخش‌های مختلف

  • توصیه‌هایی درباره جدول‌های زمانی برای فعالیت‌های کلیدی در مسیر طولانی مهاجرت به PQC

این راهنما عمدتاً برای تصمیم‌گیرندگان فنی و مسئولان ریسک در سازمان‌های بزرگ، اپراتورهای زیرساخت‌های حیاتی ملی (CNI) از جمله سیستم‌های کنترل صنعتی (ICS) و شرکت‌هایی که از فناوری اطلاعات سفارشی استفاده می‌کنند، تهیه شده است.

شرکت‌های کوچک و متوسط (SMEs) معمولاً از فناوری‌های استاندارد مانند مرورگرها، سیستم‌های عامل و دستگاه‌های موبایل استفاده می‌کنند. برای این شرکت‌ها، مهاجرت به PQC ساده‌تر خواهد بود و باید به‌طور خودکار با به‌روزرسانی‌های ارائه‌دهندگان خدمات انجام شود. با این حال، در مواردی که از نرم‌افزارهای سفارشی یا تخصصی استفاده می‌شود، باید نسخه‌های سازگار با PQC شناسایی و جایگزین شوند که این فرآیند باید مطابق با جدول زمانی سازمان‌های بزرگ انجام شود.

تعیین اهداف مهاجرت

مهاجرت به رمزنگاری پساکوانتومی (PQC) در درجه اول یک اقدام کاهشی برای کاهش تهدیدات امنیت سایبری است. در حال حاضر، این تهدید ناشی از خطرات رمزنگاری مرتبط با محاسبات کوانتومی است. با این حال، با گسترش پذیرش PQC در آینده، سازمان‌هایی که به‌موقع مهاجرت نکنند، با سیستم‌های قدیمی و منسوخ مواجه خواهند شد که خطرات قابل‌توجهی به همراه دارند. بنابراین، اهداف اصلی مهاجرت باید بر ایجاد یک زیرساخت رمزنگاری قوی برای سازمان شما متمرکز باشد، اما این هدف باید در چارچوب گسترده‌ترِ مقاومت سایبری قرار گیرد.

علاوه بر این، باید چابکی سیستم‌های خود را برای آینده در نظر بگیرید. یکی از چالش‌های این مهاجرت این است که خدمات رمزنگاری، به‌ویژه در سیستم‌های قدیمی‌تر، طی سالیان متمادی به شیوه‌های گاه‌غیرسازمان‌یافته‌ای توسعه یافته‌اند. این پیچیدگی، شناسایی اجزای رمزنگاری موجود و اجرای استراتژی‌های کاهش تهدید را دشوارتر می‌کند. مهاجرت به PQC فرصتی برای ساده‌سازی زیرساخت‌های سازمانی است که به کاهش سایر ریسک‌های امنیت سایبری نیز کمک می‌کند.

کشف و ارزیابی

هرگونه مهاجرت فنی باید با ایجاد درک روشنی از وضعیت فعلی سیستم‌های سازمان آغاز شود. این شامل موارد زیر است:

  • شناسایی خدمات و برنامه‌های کلیدی

  • مستندسازی داده‌های ذخیره‌شده (شامل طول عمر مورد انتظار و ارزش آن برای مهاجمان)

  • شناسایی روش‌های حفاظت از داده در حین انتقال و هنگام ذخیره‌سازی

شما باید سیستم‌هایی که این خدمات را اجرا می‌کنند و مسیرهایی که داده‌های شما در آن پردازش می‌شود را ترسیم کنید و فرآیندهایی را برای شناسایی و مدیریت دارایی‌های سخت‌افزاری و نرم‌افزاری خود ایجاد نمایید.

همچنین باید نحوه مدیریت سیستم‌ها و خدمات خود را درک کنید. به‌عنوان مثال:

  • آیا سیستم‌های شما در محل (on-premises) اجرا می‌شوند یا در فضای ابری قرار دارند؟

  • آیا خودتان آن‌ها را مدیریت می‌کنید یا به ارائه‌دهندگان خدمات مدیریت‌شده (MSP) متکی هستید؟

برای بسیاری از سازمان‌ها، ارائه‌دهندگان خدمات مدیریت‌شده بخش عمده‌ای از زیرساخت فناوری اطلاعات را تأمین می‌کنند. در این صورت، اطمینان حاصل کنید که آن‌ها نیز فعالیت‌های ارزیابی را برای تمامی خدمات ارائه‌شده انجام می‌دهند.

شناسایی وضعیت کلی سیستم‌های شما باید شامل موارد زیر باشد:

  • سیستم‌ها و خدماتی که سازمان شما مدیریت می‌کند (اعم از داخلی و خدماتی که کاربران خارجی از آن استفاده می‌کنند)

  • محصولاتی که سازمان شما تولید یا استفاده می‌کند و دارای عملکرد رمزنگاری، امنیت سایبری، ارتباطات یا پردازش داده هستند

  • نرم‌افزارهای مورداستفاده در سازمان

  • سخت‌افزارهای شبکه و ارتباطات (مانند روترها، سوئیچ‌ها، مودم‌ها، دروازه‌های ارتباطی، VPNها و ایستگاه‌های پایه)

  • دستگاه‌های همراه تحت مدیریت سازمان

  • سرورها و ایستگاه‌های کاری

  • دستگاه‌های اینترنت اشیا (IoT) و سیستم‌های کنترل صنعتی (ICS) که عملکرد ارتباطی دارند

  • دستگاه‌ها و توکن‌های صادر شده برای کاربران نهایی

  • حسگرها و دستگاه‌های نصب‌شده در محیط‌های عملیاتی

این مرحله نیازی به ایجاد یک فهرست دارایی رسمی ندارد. در این مرحله، درک ماهیت هر سیستم مهم‌تر از فهرست‌برداری دقیق از تمام اجزا است. اما باید اندازه هر سیستم را تخمین بزنید و در صورت امکان، نسخه نرم‌افزار و سطح اصلاحات (patch levels) را مستند کنید. همچنین باید وابستگی‌های میان اجزای سیستم‌های خود را شناسایی کنید تا بتوانید مشخص کنید که کدام بخش از مهاجرت را می‌توان به سادگی، از طریق ارائه‌دهنده خدمات یا به‌روزرسانی‌های معمول انجام داد.

برای برخی از خدمات، به‌ویژه آن‌هایی که در محیط‌های IT یا OT تحت مدیریت مستقیم شما اجرا می‌شوند، ممکن است نیاز به درک دقیق‌تری از اجزای رمزنگاری آن‌ها داشته باشید تا بتوانید پروتکل‌ها و سخت‌افزارهای وابسته به رمزنگاری را به‌درستی نقشه‌برداری کنید.

انتخاب استراتژی مهاجرت

برای هر سیستم، سرویس یا محصولی که مسئولیت آن را بر عهده دارید، باید یک رویکرد مشخص برای مهاجرت انتخاب کنید.

در سیستم‌های مبتنی بر پلتفرم‌های عمومی (commodity platforms)، مهاجرت به PQC معمولاً توسط ارائه‌دهندگان خدمات انجام می‌شود، بنابراین ممکن است تغییرات عمده‌ای لازم نباشد، جز به‌روزرسانی‌های دوره‌ای که در چارچوب به‌روزرسانی سخت‌افزار و نرم‌افزارهای متداول مانند لپ‌تاپ‌ها، تلفن‌ها، سرورها و روترها قرار می‌گیرد.

در سیستم‌هایی که از فناوری‌های سفارشی استفاده می‌کنند، گزینه‌های مختلفی وجود دارد:

  • مهاجرت درجا (In-place migration): جایگزینی اجزای آسیب‌پذیر رمزنگاری کلید عمومی (PKC) با معادل‌های PQC، بدون تغییرات اساسی در سایر بخش‌های سیستم.

  • انتقال به پلتفرم جدید (Re-platforming): مهاجرت به یک پلتفرم جدید یا به‌روز شده که از PQC پشتیبانی می‌کند، که ممکن است فرصتی برای اصلاح معماری کلی سیستم نیز باشد (مثلاً انتقال از سرورهای محلی به فضای ابری).

  • بازنشسته کردن سرویس: تعیین یک تاریخ مشخص برای خروج سیستم از چرخه استفاده، به‌منظور جلوگیری از نیاز به مهاجرت.

  • ادامه استفاده تا پایان عمر مفید: در صورتی که یک سیستم به‌زودی از رده خارج می‌شود، ممکن است نیازی به مهاجرت آن نباشد.

  • پذیرش ریسک: در برخی موارد، ممکن است تصمیم گرفته شود که بدون اجرای اقدامات حفاظتی در برابر تهدیدات محاسبات کوانتومی، سیستم به کار خود ادامه دهد.

برخی سیستم‌ها نیز ممکن است اصلاً در معرض حملات کوانتومی نباشند (مثلاً اگر از رمزنگاری کلید عمومی استفاده نکنند)، که در این صورت نیازی به اقدام نیست. در مقابل، برخی از سیستم‌های قدیمی (مانند زیرساخت‌های فیزیکی طولانی‌مدت و پلتفرم‌های IT منسوخ) ممکن است قابل ارتقا به PQC نباشند. استراتژی مهاجرت شما باید این موارد را نیز در نظر بگیرد.

تدوین برنامه مهاجرت

در این مرحله، باید مجموعه‌ای از فعالیت‌های مهاجرت را تدوین کنید. این فرآیند شامل شناسایی موارد زیر است:

  • سرویس‌های اولویت‌دار، یعنی سرویس‌هایی که داده‌های ارزشمند یا طولانی‌مدت را پردازش می‌کنند

  • وابستگی‌های سخت‌افزاری طولانی‌مدت که ممکن است فرآیند مهاجرت را پیچیده کند

  • زنجیره تأمین و ارائه‌دهندگان خدمات که نقش کلیدی در اجرای مهاجرت دارند

  • ریسک‌های ناشی از سیستم‌های قدیمی، که نیاز به مدیریت دقیق دارند

برنامه مهاجرت شما باید شامل یک جدول زمانی برای هر یک از مراحل کلیدی باشد، از جمله:

  • بررسی فناوری‌های موجود

  • تأمین و خرید تجهیزات و نرم‌افزارهای موردنیاز

  • راه‌اندازی و تست

  • پشتیبان‌گیری از داده‌ها

  • اجرای مهاجرت

مچنین باید برنامه‌ای برای تداوم کسب‌وکار داشته باشید که میزان پذیرش قطعی‌های موقت در حین مهاجرت و برنامه‌های بازگشت (roll-back) در صورت بروز مشکلات را مشخص کند.

در اغلب موارد، لازم است که رمزنگاری سنتی PKC و PQC برای مدتی به‌صورت همزمان در محیط شما اجرا شوند. از آنجایی که PQC تغییرات سازگاری‌شکنی در رمزگذاری ایجاد می‌کند، باید به‌دنبال راهکارهایی باشید که قابلیت انعطاف‌پذیری رمزنگاری (Cryptographic Agility) را فراهم کنند تا در دوره مهاجرت، بتوانند از هر دو مجموعه الگوریتم‌های رمزنگاری پشتیبانی کنند.

اجرای برنامه مهاجرت

ما اکنون به آینده‌ای دورتر نگاه می‌کنیم. شما ابتدا فعالیت‌های اولویت‌دار را طبق برنامه مهاجرت خود انجام خواهید داد. با انجام این کار، احتمالاً برنامه خود را اصلاح خواهید کرد و همان‌طور که تأمین‌کنندگان شما برنامه‌های خود را تکامل می‌دهند، برنامه شما نیز تغییر خواهد کرد. همچنین، با بلوغ بیشتر اکوسیستم PQC و افزایش در دسترس بودن زیرساخت‌های تجاری مرتبط، می‌توانید دقت بیشتری به مراحل بعدی مهاجرت خود اضافه کنید.

مانند هر مهاجرت مهم فناوری اطلاعات، آزمایش و اعتبارسنجی باید بخش اصلی برنامه شما باشد و در اجرای آن گنجانده شود. شما باید اطمینان حاصل کنید که آزمایش‌ها نه تنها شامل ادغام کتابخانه‌ها و ماژول‌های نرم‌افزاری و سخت‌افزاری پشتیبان PQC در سیستم‌های منفرد است، بلکه همخوانی این اجزا با سایر خدمات را نیز، با توجه به وابستگی‌هایی که شناسایی کرده‌اید، پوشش می‌دهد.

پیکربندی نادرست رمزنگاری لزوماً به از دست رفتن سرویس منجر نمی‌شود، اما می‌تواند امنیت را تضعیف کند. بنابراین، شما باید آزمایش‌های بیشتری انجام دهید تا بررسی کنید که رمزنگاری واقعاً مطابق انتظار عمل می‌کند. برای مثال، هنگامی که مجموعه رمزنگاری‌های استاندارد PQC برای TLS در دسترس قرار گیرند، باید بررسی کنید که سیستم‌های شما واقعاً از این رمزنگاری‌ها استفاده می‌کنند و به روش‌های سنتی بازنمی‌گردند. ابزارهایی برای انجام این تحلیل در دسترس هستند.

همچنین باید فرآیند تضمین کیفی سختگیرانه‌ای داشته باشید که اطمینان حاصل کند اجرای مهاجرت PQC (و سایر اقدامات امنیت سایبری مرتبط) به اهداف اصلی شما دست یافته است. این فرآیند ممکن است شامل معیارهایی برای اندازه‌گیری موفقیت مهاجرت باشد. برای مثال، شما باید بتوانید مشخص کنید که چه تعداد از کلاینت‌های نرم‌افزاری شما از PQC استفاده می‌کنند و کدام‌یک هنوز از روش‌های سنتی استفاده می‌کنند. این معیارها به شما کمک می‌کنند تا میزان پیشرفت خود را در فرآیند مهاجرت ارزیابی کنید، مشخص کنید که آیا اقدامات اصلاحی مورد نیاز است یا خیر، و در نهایت تصمیم بگیرید که چه زمانی می‌توانید پشتیبانی از الگوریتم‌های سنتی را متوقف کنید.

ادامه این مقاله را می‌توانید از لینک زیر مطالعه کنید.

منبع: https://www.ncsc.gov.uk/guidance/pqc-migration-timelines

مقاله قبلیدرباره باج‌افزار BlackLock چه می‌دانیم
مقاله بعدیگزارش Citizen Lab : نگاهی اولیه به عملیات رو به گسترش جاسوس‌افزار پاراگون

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

This site uses Akismet to reduce spam. Learn how your comment data is processed.