فناوریهای کوانتومی و امنیت سایبری در اتحادیه اروپا
زاویه؛ مرکز مطالعات سیاست اروپا[1] در مارس ۲۰۲۳ یک گروه ویژه برای فناوریهای کوانتومی و امنیت سایبری راهاندازی کرد تا چالشهای چندوجهی ناشی از تقاطع این دو حوزه را بررسی کند. این گروه ویژه چندرشتهای که از ذینفعان مختلفی تشکیل شده بود، به دنبال تدوین دستورالعملهای عملی برای دولتها و کسبوکارها برای تسهیل ادغام فناوریهای کوانتومی در اتحادیه اروپا و درعینحال کاهش خطرات مرتبط با امنیت سایبری بود. این بحثها به توصیههایی برای سیاستهای نهادهای اتحادیه اروپا، کشورهای عضو، بخش خصوصی و جامعه تحقیقاتی برای ترویج توسعه و استقرار فناوریهای مقاوم در برابر کوانتوم منجر شد.
در حال حاضر شاهد دوران انقلاب کوانتومی هستیم، دورانی که در آن فناوری مدرن، مداخله مستقیم سیستمهای کوانتومی منفرد و بهرهبرداری کامل از پدیدههای کوانتومی را امکانپذیر ساخته است. این دستاوردهای علمی که مدتها انتظار آنها را میکشیدیم، راه را برای طبقه جدیدی از فناوریهای مبتنی بر مکانیک کوانتومی هموار کردهاند. پیشرفتهای فناوریهای کوانتومی این پتانسیل را دارد که دنیای ما را همانطور که میشناسیم، متحول کند و تأثیر مثبتی بر بخشهای متعددی از اقتصاد جهانی، از جمله صنایع داروسازی، مدلسازی آبوهوا و اقلیم و مدیریت پرتفوی مالی داشته باشد. کاربردهای خاص این فناوری میتواند شامل بهبود شبیهسازیهای مولکولی برای ارتقای باتریهای خودروهای الکتریکی، بهینهسازی جریان ترافیک شهری یا بهبود مدلهای تولید داده برای ارتقای یادگیری ماشین باشد. این مزایا ناشی از برتریهای محاسباتی این فناوری در حل مسائل به روشهای جدید و غیرمتعارف در مقایسه با استفاده از رایانههای سنتی است.
با وجود اینکه قدرت محاسباتی جدید فناوریهای کوانتومی نویدبخش است، اما جنبه منفی آن نیز در حوزه امنیت سایبری قابل توجه است. درحالیکه این فناوریها مزایایی برای تقویت امنیت سایبری ارائه میدهند، مهمترین نگرانی این است که یک رایانه کوانتومی بزرگمقیاس بتواند الگوریتمهای رمزنگاری رایج را بشکند و دادههای محرمانه را به خطر بیندازد. اکثر برنامههای کاربردی اینترنتی برای اطمینان از محرمانه بودن، صحت و یکپارچگی دادهها به رمزنگاری متکی هستند. یک رایانه کوانتومی با قابلیت رمزنگاری[2] (CRQC) که بتواند الگوریتمهای رمزنگاری را بشکند، پیامدهای بزرگی برای امنیت سایبری خواهد داشت.
در حال حاضر، رایانههای کوانتومی موجود برای ایجاد تهدید فوری، بسیار کوچک و مستعد خطا هستند. به گفته کارشناسان، ظهور یک رایانه کوانتومی با قابلیت شکستن الگوریتمهای رمزنگاری (CRQC) در 5 تا 10 سال آینده بعید است، اما در 30 سال آینده بسیار محتمل است. بااینوجود، مقابله با این تهدید باید مدتها قبل از در دسترس قرار گرفتن CRQC آغاز شود، به دو دلیل اصلی:
۱. دادههای رمزگذاری شده حساس میتوانند ذخیره شوند و سپس با یک CRQC رمزگشایی شوند (پدیدهای که بهعنوان «اکنون هک کنید، بعداً رمزگشایی کنید» شناخته میشود)[3]. این بدان معناست که حتی اگر در حال حاضر شکستن کدگذاری اطلاعات دشوار باشد، مهاجمین میتوانند دادهها را ذخیره کنند و منتظر بمانند تا فناوری کوانتومی پیشرفت کند و بتوانند آنها را رمزگشایی کنند.
۲. فرآیند انتقال به انواع جدیدی از رمزنگاری که میتوانند این تهدید را کاهش دهند، یک تلاش زمانبر است. سازمانها نمیتوانند بهسرعت سیستمهای رمزنگاری خود را تغییر دهند، زیرا این کار نیازمند بهروزرسانی نرمافزار، آموزش کارکنان و اطمینان از سازگاری با سیستمهای موجود است.
بنابراین، حتی اگر CRQCها هنوز یک تهدید فوری نیستند، اهمیت دارد که همین حالا برای مقابله با آنها اقداماتی انجام شود. این اقدامات میتواند شامل تحقیق و توسعه در مورد الگوریتمهای رمزنگاری مقاوم در برابر کوانتوم، ارتقای آگاهی در مورد این تهدید و ایجاد برنامههایی برای انتقال تدریجی به سیستمهای رمزنگاری جدیدتر باشد.
خوشبختانه، رایانههای کوانتومی تنها برای دستههای خاصی از مسائل ریاضی مزیتهای محاسباتی ارائه میدهند. این موضوع امکان توسعهی رمزنگاری بر اساس مسائل ریاضی مقاوم در برابر حملات رایانههای کوانتومی را فراهم میکند؛ بنابراین، رمزنگاری مقاوم در برابر کوانتوم میتواند به کاهش تهدید ناشی از این رایانهها کمک کند. با وجود این راهحلها، باید بر چند چالش غلبه کرد:
۱. پیادهسازی سریع و آسان نیست: رمزنگاری مقاوم در برابر کوانتوم راهحلی فوری و آسان نیست و پذیرش آن ممکن است نیازمند یک فرآیند پیچیده باشد.
۲. نیاز به استانداردسازی: علاوه بر خود رمزنگاری مقاوم در برابر کوانتوم، برای بسیاری از پروتکلهایی که از رمزنگاری استفاده میکنند، باید استانداردهایی توسعه داده شود.
۳. طولانی بودن فرآیند: بهطور خلاصه، انتقال به رمزنگاری مقاوم در برابر کوانتوم یک فرآیند طولانی است که نیاز به برنامهریزی دقیق دارد و باید قبل از در دسترس قرار گرفتن رایانههای کوانتومی با قابلیت رمزنگاری آغاز شود. تأخیر در این امر میتواند باعث آسیبپذیری سیستمهای موجود در برابر حملات احتمالی آینده شود.
در طول این فرآیند، انعطافپذیری رمزنگاری باید اولویت اصلی باشد تا امکان گذارهای نرمتر در آینده را تسهیل کند. انعطافپذیری به معنای توانایی تغییر الگوریتمهای رمزنگاری بدون نیاز به تغییرات عمده در سیستم است. این امر به سیستمها امکان میدهد تا با پیشرفتهای فناوری در آینده سازگار شوند و از حملات جدید محافظت کنند؛ بنابراین، با وجود راهحلهای رمزنگاری مقاوم در برابر کوانتوم، مقابله با تهدید CRQCها نیازمند برنامهریزی دقیق و یک فرآیند مهاجرت تدریجی است که باید از هماکنون آغاز شود. از سوی دیگر، با ظهور عصر جدید فناوریهای کوانتومی، استفاده از فرصت برای تعیین چگونگی کمک این فناوریها به ایجاد جوامع بهتر و آیندهای پایدارتر، بسیار مهم است. در حال حاضر، درک ما از تأثیر بالقوه فناوریهای کوانتومی هنوز ناقص است. با توجه به خطرات ناشی از توسعه فناوریهایی که در حال حاضر از آنها آگاه نیستیم و بنابراین هنوز در نظر نگرفتهایم، دیدگاهها در مورد تأثیر این فناوریها باید گستردهتر شود تا پیامدهای گستردهتر اجتماعی ناشی از پیشرفتهای کوانتومی را در نظر بگیرد. این امر مستلزم رسیدگی به مسائل اجتماعی مختلفی از جمله دسترسی عادلانه به این راهحلها، توسعه اخلاقی و احترام به حقوق بشر میباشد. علاوه بر این، حکمرانی فناوریهای کوانتومی چالشهای منحصربهفردی را به همراه دارد. این حوزه نهتنها با سرعت بیسابقهای در حال تکامل است، بلکه درک ما از این فناوری، کاربردهای آن و ارتباطات بالقوه آن با سایر فناوریهای نوظهور و غیرقابل پیشبینی (مانند هوش مصنوعی مولد و مدلهای زبانی بزرگ) هنوز بسیار محدود است؛ بنابراین، با پیشرفت بیشتر در توسعهی این فناوریها، ترویج حکمرانی مسئولانهی فناوریهای کوانتومی ضروری است.
در این گفتمان، «مسئولانه» به «استفاده از فناوریهای کوانتومی با آگاهی از قدرت تأثیرات آنها» اشاره دارد. برخی از اصول کلی برای حکمرانی مسئولانهی کوانتومی میتواند شامل حفاظت در برابر خطرات و مشارکت ذینفعان در فرآیند توسعهی این فناوریها باشد. این گزارش در رابطه با حاکمیت تعامل بین فناوریهای کوانتومی و امنیت سایبری، به دنبال حمایت از ابتکارات اتحادیه اروپا در ایجاد یک چارچوب سیاستی قوی است که ضمن تسهیل ادغام فناوریهای کوانتومی، چالشهای آنها در برابر امنیت اطلاعات را نیز مورد توجه قرار دهد. در این راستا، کارشناسان بر ضرورت اختصاص بودجه اتحادیه اروپا به رمزنگاری مقاوم در برابر کوانتوم تأکید میکنند، از جمله تحلیل رمزنگاری برای آزمایش راهحلهای جدید، بهترین شیوههای انتقال سیستمهای فناوری اطلاعات و چابکی رمزنگاری. همچنین بر اهمیت آغاز به موقع انتقال به رمزنگاری مقاوم در برابر کوانتوم با توجه به پیچیدگی و طولانی بودن این فرآیند تأکید کرده و یک رویکرد ترکیبی را در طول دوره انتقال توصیه میکنند و نیاز به یک استراتژی و سیاست هماهنگ اروپایی برای این انتقال را در کنار اهمیت همکاری و استانداردسازی بینالمللی مورد تأکید قرار میدهند. علاوه بر این، تشویق ابتکاراتی برای ارزیابی خطرات و تهدیدات بالقوه ناشی از فناوریهای کوانتومی بسیار مهم است. کشورهایی مانند ایالاتمتحده آمریکا این فوریت را تشخیص دادهاند و از سازمانها میخواهند که خطرات کوانتومی را بهطور جامع ارزیابی کنند. همچنین، ارتقای آگاهی، رسیدگی به شکاف استعداد در بخش کوانتومی، سرمایهگذاری در توسعه مهارتهای کوانتومی و امنیت سایبری و مدرنسازی روشهای اجرایی مانند کنترل صادرات دوگانه، ضروری است.
بهطور تفصیلی، گروه ویژه توصیههای زیر را به سیاستگذاران، بخش خصوصی و جامعه تحقیقاتی ارائه میکند:
- حمایت از تحقیقات در تقاطع فناوریهای کوانتومی و امنیت سایبری
ادامه پیشرفت تحقیقات در فناوریهای کوانتومی و بهطور خاص، درک چگونگی تأثیر این فناوریها بر امنیت سایبری و اکوسیستم دیجیتال، اهمیت فزایندهای پیدا کرده است. گروه ویژه اولویتهای زیر را برای بودجه تحقیقاتی اروپا در کوتاهمدت توصیه میکند:
- رمزنگاری مقاوم در برابر کوانتوم
- به کارگیری بهترین شیوهها برای انتقال سیستمهای فناوری اطلاعات
- چابکی رمزنگاری
- ترویج چابکی رمزنگاری و سیاستهای هماهنگی در سطح اتحادیه اروپا برای تسهیل انتقال به رمزنگاری مقاوم در برابر کوانتوم
تغییر به رمزنگاری مقاوم در برابر کوانتوم، یک فرآیند پیچیده و طولانی است که نیاز به برنامهریزی دقیق دارد و باید قبل از در دسترس قرار گرفتن رایانههای کوانتومی با قابلیت رمزنگاری آغاز شود. این گزارش توصیه میکند هنگام برنامهریزی برای انتقال به رمزنگاری مقاوم در برابر کوانتوم، اولویت با چابکی رمزنگاری باشد و از طرحهای ترکیبی که از الگوریتمهای کلاسیک و مقاوم در برابر کوانتوم استفاده میکنند، بهرهمند شود. علاوه بر این، سیاستهای انتقال به رمزنگاری مقاوم در برابر کوانتوم باید در سطح اتحادیه اروپا با ایجاد پروژههای ویژه (مانند پروژه رمزنگاری پس از کوانتوم مرکز ملی برتری امنیت سایبری ایالاتمتحده) برای به اشتراکگذاری دستورالعملها و بهترین شیوهها بین کشورهای عضو، هماهنگ شود.
- حمایت از استانداردسازی رمزنگاری مقاوم در برابر کوانتوم
اتحادیه اروپا میتواند تأکید بیشتری بر ارزش مشارکت محققان اروپایی در فرآیند استانداردسازی داشته باشد. با برجسته کردن مشارکت محققان خود، اتحادیه اروپا میتواند خود را بهعنوان رکن اصلی فرآیند استانداردسازی جهانی معرفی کند و در این راستا، برای تقویت جایگاه خود و تقویت نوآوری بیشتر، افزایش بودجه تحقیقاتی در داخل اتحادیه اروپا ضروری است.
- تشویق ابتکارات برای ارزیابی خطرات و تهدیدات بالقوه ناشی از فناوریهای کوانتومی
سازمانهایی که زیرساخت رمزنگاری مخصوص به خود را دارند، باید برنامهریزی مقاومت در برابر کوانتوم را برای آینده در نظر بگیرند. بهعنوان نقطه شروع برای انتقال یک سازمان به رمزنگاری مقاوم در برابر کوانتوم، کارشناسان انجام ارزیابی آسیبپذیری کوانتومی را توصیه میکند. قانون مجوز دفاع ملی ایالاتمتحده آمریکا در سال ۲۰۲۱ که وزارت دفاع ایالاتمتحده آمریکا را ملزم به انجام چنین ارزیابی جامعی از خطرات بالقوه میکند، از این فرایند پیروی میکند. کمیسیون اروپا نیز میتواند چنین ابتکاری را از طریق توصیههایی برای راهنمایی کشورهای عضو و شرکتها در مورد چگونگی برخورد با جنبههای خطر امنیت سایبری فناوریهای محاسبات کوانتومی، ترویج دهد.
- اعمال رویکرد مبتنی بر اصول به حکمرانی کوانتومی و تقویت هماهنگی بینالمللی
با توجه به تغییر سریع چشمانداز فناوریهای کوانتومی، رویکرد حکمرانی مطلوب، رویکردی است که بتواند مخاطرات را بدون محدود کردن کاوش در پتانسیل فناوریهای کوانتومی مدیریت کند. در این زمینه، رویکرد مبتنی بر اصول برای حکمرانی میتواند مفید باشد. برخی از اصول کلی برای حکمرانی مسئولانهی کوانتومی میتوانند شامل حفاظت در برابر خطرات و مشارکت ذینفعان در فرآیند توسعهی فناوریهای کوانتومی باشند. با اعمال چنین اصولی، یک استراتژی حکمرانی ممکن است شامل استفاده از «یک محیط شبیهسازیشده و ایزوله» برای مناطقی باشد که هنوز بهطور کامل شناخته نشدهاند یا ممکن است خطرات بیشتری داشته باشند. این امر یک محیط کنترل شده را فراهم میکند که در آن دولت و صنعت میتوانند برای توسعه، استقرار و آزمایش برنامههای کاربردی کوانتومی و ترکیبی کوانتومی برای استفاده در آینده نزدیک همکاری کنند.
- افزایش آگاهی در مورد فناوریهای کوانتومی در بخشهای عمومی و خصوصی
میزان آگاهی در مورد فناوریهای کوانتومی در سراسر بخشها، بهویژه در ارتباط با رابطهی این فناوریها با امنیت سایبری بسیار نگرانکننده است. در این راستا، برگزاری کمپینهای آگاهیبخشی برای سازمانهای دولتی و خصوصی اکیداً توصیه میشود. به این منظور، اتحادیه اروپا میتواند از ایجاد پلتفرمهایی برای برقراری ارتباط مستقیم با متخصصان حوزهی کوانتوم یا نمایش بهترین شیوهها در کاربردهای فناوری کوانتومی و روند انتقال به این فناوریها حمایت کند.
- اجرای سیاستهایی برای ترویج نیروی کاری آماده برای آینده با مهارتهای کوانتومی و امنیت سایبری
امروزه شکاف قابلتوجهی در رابطه با مسئله استعداد در حوزه کوانتوم شکل گرفته است. سازمانهایی که به دنبال حل این مشکل هستند، نهتنها باید نیازهای خود را در حوزه نیروی کار به دقت شناسایی کنند، بلکه باید تنوع را در مسیر جذب استعدادها ایجاد کرده و بر حفظ استعدادها تمرکز کنند. کارشناسان اکیداً توصیه میکنند که کمیسیون اروپا سرمایهگذاری در توسعه مهارتهای کوانتومی، بهطور خاص در تقاطع فناوری کوانتومی و امنیت سایبری را برای پرورش نسل جدیدی از متخصصان، در اولویت قرار دهد.
- بهروزرسانی سیاستهای کنترل صادرات دو منظوره
استقبال گسترده از تحقیقات فناوری کوانتومی میتواند سرعت پیشرفت را افزایش دهد، اما خطر سوء استفاده توسط بازیگران مخرب را نیز به همراه دارد. درحالیکه همکاری آزادانه نوآوری را تقویت میکند، نگرانیهایی در مورد امنیت ملی و حفاظت از اطلاعات حیاتی وجود دارد. موضوع گشودگی در تحقیقات بهطور مستقیم با سیاستهای کنترل صادرات دو منظوره مرتبط است که زمانی به کار میرود که دولتها نیاز به محدود کردن انتقال بینالمللی فناوریهای خاص را تعیین میکنند. در این راستا، اتحادیه اروپا باید بهروزرسانی سیستمهای کنترل صادرات خود را در نظر بگیرد. در واقع، در شرایط کنونی عدم شفافیت در مورد نحوهی تأثیر سیاستهای کنترل صادرات دو منظوره بهعنوانمثال بر یک فرد غیرمقیم (شهروند غیر اروپایی) که از طریق فضای ابری از یک رایانه کوانتومی استفاده میکند، وجود دارد و با بلوغ محاسبات کوانتومی، این کنترلها باید با واقعیتهای معاصر مانند دسترسی از طریق سرویسهای ابری سازگار شوند. این امر ضرورت مدرنسازی روشهای اجرایی را برای اطمینان از اینکه ابزارهایی مانند کنترل صادرات همچنان مرتبط و مؤثر باشند، برجسته میکند. علاوه بر این، اتحادیه اروپا میتواند از طریق ابتکاراتی مانند شورای تجارت و فناوری اتحادیه اروپا و ایالاتمتحده آمریکا در تسهیل شفافیت، تبادل اطلاعات و همکاری در مورد سیاستهای زنجیره ارزش کوانتوم، نقش ارزشمندی ایفا کند. بهطور کلی، توصیه کارشناسان، استفاده از رویکرد مبتنی بر ریسک است که از طریق محدودیتهای بیشازحد، ناخواسته مانع پیشرفت فناوری نشود. برای تقویت انسجام سیاستی، اتحادیه اروپا باید شفافیت، تبادل اطلاعات و همکاری در مورد شیوههای حکمرانی با کشورهای متحد را افزایش دهد.
در پایان باید گفت که این گزارش چارچوبی جامع برای رسیدگی به پیامدهای عمیق فناوری کوانتومی برای امنیت سایبری ارائه میکند. توصیههای سیاستگذارانه آن ناظر بر تشویق به گسترش تحقیقات بنیادی و درعینحال ایجاد استراتژیهای پیشدستانه، استانداردها و سیاستهایی برای استفاده مسئولانه و ایمن از این قابلیتها است. شایان توجه است که اتحاد و هماهنگسازی تلاشهای سیاستگذاران، رهبران صنعت و جامعه تحقیقاتی برای تحقق بخشیدن به پتانسیل عظیم محاسبات کوانتومی در عین مدیریت مناسب مخاطرات و تهدیدات آن، اولویت اصلی اتحادیه اروپا است.
[1] Centre for European Policy Studies
[2] cryptographically relevant quantum computer (CRQC)
[3] hack now, decrypt later