פרסום ראשון: במיקרוסופט מעריכים שיעברו להצפנה פוסט קוונטית שנתיים לפני כולם
החברה הכריזה היום על אסטרטגיית Quantum Safe Program שנועדה להשלים מעבר מלא להצפנה פוסט קוונטית עד 2033, שנתיים לפני רוב הממשלות
סאטיה נדלה, מנכ"ל מיקרוסופט. תמונה: מיקרוסופט
המחשוב הקוונטי מבטיח לשנות עולמות שלמים, אבל יחד איתו מגיע גם צד פחות נוצץ ויותר אפל: איום על ההצפנות ששומרות על הסודות שלנו. מחשב קוונטי חזק מספיק יוכל לפרק אלגוריתמים שמגנים היום על סיסמאות, עסקאות בנקאיות ומידע רגיש בארגונים. אמנם ההערכות מדברות על עוד עשור עד שנראה יכולות כאלה בפועל, אבל ההאקרים כבר ערוכים – הם אוספים עכשיו מידע מוצפן בתקווה לפרוץ אותו בעתיד, בשיטה שמכונה Harvest Now, Decrypt Later. מי שלא מתכונן בזמן, עלול לגלות בעוד כמה שנים שהעבר שלו הפך לנגיש לכולם.
כאן נכנסת לתמונה מיקרוסופט, שהכריזה הערב (ד') על Quantum Safe Program – תוכנית מקיפה שנועדה להגן על לקוחותיה מהיום שאחרי הקוונטים. את המהלך מובילים מיכל ברוורמן-בלומנשטיק, CTO של חטיבת האבטחה הגלובלית של מיקרוסופט ומנכ"לית מיקרוסופט ישראל מחקר ופיתוח, ומארק ראסינוביץ’, ה-CTO של Azure. השניים הציבו יעד שאפתני במיוחד: להשלים את המעבר להצפנה פוסט־קוונטית עד 2033, שנתיים לפני שברוב הממשלות בכלל מתכננים להגיע לשם, ולאפשר גישה מוקדמת לכולם כבר ב2029.
יישום הדרגתי
בשיחה עם ITtime מספרים במיקרוסופט כי המעבר להצפנה פוסט קוונטית יתבצע בהדרגה לאורך שמונה השנים הקרובות עד להטמעה מלאה בשנת 2033. בשלב הראשון יבוצע מיפוי מלא של כלל השימושים בהצפנה, ויוטמעו אלגוריתמים חדשים ברכיבים קריטיים כמו SymCrypt ו-TLS. בהמשך יתרחב המהלך לשירותים כמו Entra לניהול זהויות, מערכות לניהול מפתחות וחתימות דיגיטליות, ובסופו של דבר לכל מוצרי החברה, בהם Windows, Azure, Microsoft 365, שירותי AI ותשתיות רשת.
במקביל, במיקרוסופט מציינים כי שיתופי פעולה בין חברות וגופים ממשלתיים הם קריטיים עבור השלמת המעבר לעידן הקוונטי. החברה פועלת בימים אלה במסגרות שונות ובהן יוזמת ההצפנה הפוסט קוונטית של NIST, מרכז המצוינות הלאומי לאבטחת סייבר (NCCoE), קבוצת התקינה IETF, פרויקט Open Quantum Safe וקואליציית MITRE. מטרת שיתופי הפעולה הללו היא לפתח אלגוריתמים עמידים לקוונטום, לתמוך באימוצם בפרוטוקולים סטנדרטיים כמו TLS ו-X.509 ולקדם אימוץ מואץ הן במגזר הפרטי והן בקוד הפתוח.
המכשול המרכזי: הפער בין המדינות השונות
במיקרוסופט מסבירים כי האסטרטגיה שלהם מיושרת עם הנחיות גופי הממשל האמריקאי, בהם OMB, CISA, NIST ו-NSA, וכן מותאמת ליוזמות של האיחוד האירופי, יפן, קנדה, אוסטרליה ובריטניה. נזכיר כי המדינות האלו הציבו יעד להשלמת הטמעה של מערכות הגנה קוונטיות עד שנת 2035, כך שמיקרוסופט למעשה מציבה דדליין שאפתני להקדמת לוחות הזמנים ולא ברור מי מהמדינות יוכלו לעמוד ברף.
בפוסט הרשמי שפורסם היא ממליצה לחברות לתעדף את הנושא באופן מיידי, תוך כדי מתן תשומת לב לסטנדרטים השונים בין במדינות, לאמץ תקנים בינלאומיים, להציב לוחות זמנים ברורים ומוקדמים ולפרסם תוכניות מעבר שקופות תוך מינוי של כוח אדם מיומן למשימה מוקדם ככל האפשר.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
אך לטענת גורמים בחברה, יתרונה אינו מסתכם בהקדמת לוחות הזמנים וכי היא כבר שילבה אלגוריתמים פוסט קוונטיים במוצרים בהם משתמשים מיליוני אנשים וארגונים מדי יום. עוד מדגישים שם את ההשקעה ביכולות של גמישות קריפטוגרפית (crypto agility), שמאפשרת להחליף אלגוריתמים בעתיד בלי לפרק מערכות שלמות. במקביל, החברה מפתחת יחד עם האקדמיה והתעשייה טכנולוגיות נוספות הצפויות להפוך לתקנים בינלאומיים.
לצד כל אלה, מיקרוסופט שחררה כבר היום יכולות PQC מוקדמות לחלק ממשתמשי Windows ולינוקס, כדי לאפשר ללקוחות להתנסות בהן, לאתר אתגרים פוטנציאליים ולהיערך מבעוד מועד למעבר המלא.
