במאמר זה נסביר מהי הצפנה פוסט קוונטית (PQC) ונפרט את ההשפעות שיהיו לה על 3 תקני האבטחה העיקריים תקן למודולי פלטפורמה אמינים (TPMs), תקן 62443 של הנציבות הבינלאומית לאלקטרוטכניקה (IEC) ותקן 21434 של ארגון התקינה הבינלאומי/ האיגוד העולמי של מהנדסי רכב (ISO/SAE) . בנוסף, נפרט איך כל זה משפיע על אבטחת מערכות משובצות.
-
הצפנה פוסט קוונטית (PQC)
המונח PQC מתייחס לשינויים העתידיים באלגוריתמים להצפנה, במיוחד לאלו המשמשים במפתח ציבורי להצפנה בדרך כלל נקראת בשם PKI (תשתית מפתח ציבורי). ככל שמחשבים קוונטיים הופכים למקוונים עם יכולות מתקדמות, תוך שימוש בכלי מתמטי שנקרא האלגוריתם של Shor (Shor’s Algorithm), ניתן לצפות שניתן יהיה לפרק לגורמים את כל האלגוריתמים הקיימים המבוססים על מפתח ציבורי על מנת למצוא את המפתחות הפרטיים. פעולה פשוטה כזו היא בלתי אפשרית עם המחשבים המסורתיים, אך עם האלגוריתם של Shor שפועל במחשבים קוונטים ניתן יהיה לפצח מפתח RSA באורך של 2048 סיביות. מימוש ההשערה הזו יהיה צורך רק ב-4098 קיוביטים כיום, המחשב הקוונטי הגדול ביותר מפרסם שיש לו עוצמה של 432 קיוביטים. אפשר להניח שעד לשנים 2030-2035 יהיו מחשבי קוונטים עם מספיק עוצמה לפיצוח רוב אלגוריתמי PKI שקיימים כיום (למשל Diffie-Hellman, Elliptic Curve (ECC) ו- RSA).
ציטוט מאתר PQC של NIST: “במבט לאחור, לפריסת התשתית המודרנית של הצפנת המפתח הציבורי נדרשו כמעט שני עשורים. לכן בלי קשר לשאלה אם אנו יכולים לשער את הזמן המדויק שבו יגיע עידן מחשוב קוונטי, אנו חייבים להתחיל כבר עתה להכין את מערכות אבטחת המידע שלנו, כדי שהן יוכלו להיות חסינות למחשוב קוונטי”.
לפעמים, המונחים Quantum-resistant, quantum-safe ו- Post Quantum Cryptography משמשים לסירוגין לתיאור אלגוריתמים חדשים אלו. לא חשוב המונח שבו נשתמש, התפיסה מאחורי אלגוריתמים חדשים אלו היא שהם יפעלו במכשירי הצפנה/פענוח סטנדרטים, ויהיו עמידים בפני התקפות מחשוב קלאסי וגם בפני התקפות מחשוב קוונטי.
בהינתן העובדה שרוב אתרי האינטרנט כיום מבוססים על תשתית PKI המבוססת על אלגוריתמים אלו (למשל Diffie-Hellman, Elliptic Curve (ECC) ו- RSA), החיפוש אחר אלגוריתמים חדשים שיהיו עמידים במידה רבה בפני התקפה הינה בעלת חשיבות עליונה,. המכון הלאומי לתקנים וטכנולוגיה של ארה”ב (NIST) מקיים תחרות שנמשכת בימים אלו לאיתור אלגוריתמי ה- PQC הטובים ביותר, שיחליפו את אלו הקיימים, אשר אינם עמידים בפני PQC. מכון NIST החל בתהליך ב- 2016 וכיום עומד בסיבוב הרביעי של המיונים והשלמת התקן החדש. רבים מאמינים שבמכון NIST ישלימו את אלגוריתמי PQC אלו לפני סוף שנת 2025. כאשר הם יושלמו, הם יהפכו לתקן PKI החדש.
-
השפעות PQC על TPM, IEC 62443 ו- ISO/SAE 21434
התקן מודולי פלטפורמה אמינים (TPM) הוא תקן בינלאומי עבור מעבד-עזר לאבטחה, בקר זעיר ייעודי שמתוכנן לאבטח חומרה דרך מפתחות מוצפנים משולבים. את התקן פיתחה הקבוצה Trusted Computing Group (TCG) וכיום לא נדרשים לו אלגוריתמי PQC. לכן, ציות מוקפד בלבד למפרטי TPM האחרונים לא יבטיח תאימות ל- PQC.
סדרת התקנים IEC 62443 כוללת תקנים בינלאומיים לאבטחת סייבר של מערכות אוטומציה ובקרה תעשייתיות (IACS). התקנים מספקים הנחיות ודרישות לאבטחת רשתות והתקנים של IACS מפני איומי סייבר, עם התמקדות באתגרים הייחודיים שמעמידה הסביבה התעשייתית.
סדרת התקנים IEC 62443 כוללת כמה חלקים, כל אחד עונה על היבטים מסוימים של אבטחת סייבר של IACS. חלקים 1-4 של התקן עוסקים בעקרונות הבסיסיים של אבטחת IACS, לרבות הערכות סיכונים, מדיניות אבטחה ודרישות אבטחה מרכיבי מערכות. החלק 4-2 עוסק בפירוט רכיבי אבטחה. בסעיף זה נכללת הקריאה המפורשת לשימוש בהצפנת מפתח עיקרי. התקן הנוכחי לא מפרסם קריאה לדרישות PQC. לכן, ציות מוקפד בלבד ל- IEC 62443 לא יבטיח תאימות ל- PQC.
התקן ISO/SAE 21434 נושא את הכותרת ‘רכב כביש – הנדסת אבטחת סייבר’. התקן הוא תקן אבטחת סייבר שפותח במשותף על ידי קבוצות העבודה של ISO ו- SAE. הוא מציע אמצעי הגנה בסייבר לאורך חיי הפיתוח של רכב כביש. התקן פורסם באוגוסט 2021. הוא לא מפרסם קריאה מפורשת עבור אלגוריתמי PQC.
-
ההשלכות על אבטחת מערכות משובצות
מתוך האמור לעיל מסתבר שתהליך PQC יגרום להשלכות הבאות על המערכות המשובצות:
- הקפדה מיוחדת על התקן TPM, התקן IEC 62443-4-2 והתקן ISO/SAE 21434 הנוכחיים לא תוביל לתאימות בהקשר לאלגוריתמי PQC החדשים העתידים לבוא. אף לא אחד מהתקנים הקיימים נלקח בחשבון בשינויים של PQC.
- השלמה של אלגוריתמי PQC תארך זמן מה, לפני קבלת רשימת דרישות מלאה (סביר להניח שבשנים 2024-2026).
- ברגע שמכון NIST ישלים את אלגוריתמי PQC אלו ויהפוך אותם לתקנים, אנו מצפים לראות שלב ראשון בגישה, שבו קודם יאמצו אותם בסביבות שנתונות בסיכון גבוה ביותר (כנראה תשתיות קריטיות, יישומי חלל אויר – צבא ומערכות פיננסיות).
- כל יצרן ציוד מקורי (OEM), יצרן תכנון מקורי (ODM) או יצרן של מערכות משובצות שיפרוש יישומים מעתה ועד 2030 עם חיי מחזור מצופים של 10 שנים לפחות, יצטרך להיות מודע לדרך שבה יוכל להתאים, להחליף או לעדכן בכל דרך אחרת את המערכות שלו, כדי שאלו יהיו תואמות לאלגוריתמי PQC לצורך יעילות אבטחה מרבית.
-
מסקנות ויתרונות של רכיבי FPGA
רכיבי FPGA (מערכי שערים לתכנות בשטח) נחשבים לחומרה גמישה או לחומרה מתכנתת. הם טובים מאוד למימוש יעיל של פונקציות מתמטיות מורכבות. אצלנו, בחברת Lattice יש כבר אלגוריתמי PQC שנמצאים בגמר של ‘הסיבוב השלישי’ אשר פועלים ברבים מבין מוצרי FPGA. יש לנו דרכים להבטיח לך שתוכל לעמוד בתאימות ל- PQC בעתיד, ככל שהתקנים האלו יתפתחו.
אתה מוזמן לבקר בביתן 50 בתערוכת ניו-טק ולבחון את המוצרים המתקדמים ותוכניות העבודה שלנו, ולבדוק איך אנו יכולים לעזור לך להיות בתאימות בעתיד ל- PQC במערכות המשובצות שלך.
