GeekAlerts

جایی برای گیک‌ها

·

گیک‌چه نیم‌رخ
گیک‌چه

نقشه راه کانادا برای گذار به رمزنگاری پسا کوانتومی

نقشه راه کانادا برای گذار به رمزنگاری پسا کوانتومی

هر سازمانی که سیستم‌های کامپیوتری و فناوری اطلاعات داره، باید قطعات امنیت سایبری خودش رو طوری به‌روز کنه که در برابر کامپیوترهای کوانتومی آینده امن باشه. کامپیوترهای کوانتومی تهدیدی جدی برای رمزنگاری‌های فعلی به حساب میان. برای مقابله با این تهدید، «مرکز امنیت سایبری کانادا» توصیه کرده که همه به سمت رمزنگاری پسا کوانتومی یا همون PQC برن.

این مقاله در واقع نقشه راه دولت کانادا برای کوچ دادن سیستم‌های فناوری اطلاعات غیرطبقه‌بندی شده به سمت استفاده از PQC هست. این نقشه راه شامل مراحل مهم، وظایف و راهنمایی‌های لازم برای برنامه‌ریزی و اجرای این پروژه در وزارت‌خونه‌هاست.

برنامه زمان‌بندی و وظایف اصلی وزارت‌خونه‌ها و سازمان‌های فدرال این‌ها هستن:

  • آوریل ۲۰۲۶: تهیه یه برنامه اولیه برای مهاجرت به PQC در هر وزارت‌خونه.
  • از آوریل ۲۰۲۶ به بعد (هر سال): گزارش دادن در مورد پیشرفت پروژه مهاجرت به PQC.
  • پایان سال ۲۰۳۱: تموم شدن مهاجرت سیستم‌های با اولویت بالا به PQC.
  • پایان سال ۲۰۳۵: تموم شدن مهاجرت بقیه سیستم‌ها به PQC.

مقدمه‌ای بر ماجرا

مرکز امنیت سایبری کانادا به سازمان‌هایی که سیستم‌های کامپیوتری دارن، توصیه کرده که برای جایگزین کردن رمزنگاری کلید عمومی که در برابر کامپیوترهای کوانتومی آینده آسیب‌پذیره، به سمت استفاده از PQC برن. برای امن کردن سیستم‌های کامپیوتری دولت کانادا و داده‌های شهروندان، تمام موارد استفاده از رمزنگاری کلید عمومی باید عوض بشن.

موسسه ملی استاندارد و فناوری آمریکا (NIST) با همکاری متخصص‌های رمزنگاری از سراسر دنیا، الگوریتم‌های PQC رو استانداردسازی کرده تا جایگزین رمزنگاری کلید عمومی فعلی بشن. مرکز امنیت سایبری هم تو یه راهنمای دیگه به اسم «الگوریتم‌های رمزنگاری برای اطلاعات غیرطبقه‌بندی، حفاظت‌شده A و حفاظت‌شده B (ITSP 40.111)» الگوریتم‌های PQC پیشنهادی خودش رو اعلام کرده. همین‌طور که استانداردهای پروتکل‌های امنیت شبکه از الگوریتم‌های PQC پشتیبانی کنن، مرکز امنیت سایبری هم راهنمای «پیکربندی امن پروتکل‌های شبکه (ITSP.40.062)» رو به‌روز میکنه. شرکت‌های تولیدکننده هم دارن به سرعت PQC رو تو محصولاتشون جا میدن تا نیازهای دولت و صنعت رو برآورده کنن.

مهاجرت به PQC تو دولت کانادا به تعهد زیادی احتیاج داره و چند سال طول میکشه. مرکز امنیت سایبری با دبیرخانه هیئت خزانه‌داری کانادا (TBS) و خدمات اشتراکی کانادا (SSC) همکاری میکنه تا راهنمایی‌ها، پشتیبانی و سیاست‌های لازم رو آماده کنن. وزارت‌خونه‌ها باید به طور دقیق بدونن که از چه رمزنگاری‌هایی استفاده میکنن. زیرساخت‌های فناوری اطلاعات، هم سخت‌افزار و هم نرم‌افزار، و همین‌طور داده‌ها باید تو کل سازمان تحلیل بشن. شروع زودهنگام این مهاجرت خیلی مهمه تا بشه از بودجه‌های معمول چرخه عمر فناوری اطلاعات تا جای ممکن استفاده کرد.

این سند، نقشه راه پیشنهادی مرکز امنیت سایبری برای مهاجرت سیستم‌های کامپیوتری غیرطبقه‌بندی شده تو دولت کانادا به سمت استفاده از PQC هست. تو این سند، دست‌اندرکاران، فازهای اجرایی، مراحل مهم و نحوه مدیریت این فعالیت امنیت سایبری در سطح دولت مشخص شده. هدف اینه که فعالیت‌ها و زمان‌بندی‌های کلیدی مشخص بشن تا به هماهنگی برنامه‌ریزی وزارت‌خونه‌ها برای مهاجرت به PQC کمک کنه. مخاطب این سند مدیران سیستم‌های کامپیوتری تو وزارت‌خونه‌ها و سازمان‌های فدرال و تصمیم‌گیرنده‌هایی هستن که مسئولیت مهاجرت به PQC رو به عهده دارن.

دست‌اندرکاران و برنامه‌ریزی

مرکز امنیت سایبری، مرجع اصلی فنی برای امنیت فناوری اطلاعات در دولت کاناداست. این مرکز به عنوان بخشی از سازمان امنیت ارتباطات کانادا، وظایف زیر رو به عهده داره:

  • افزایش آگاهی وزارت‌خونه‌های دولت در مورد تهدید کامپیوترهای کوانتومی برای رمزنگاری.
  • ارائه راهنمایی در مورد توصیه‌های رمزنگاری، مثل استفاده از PQC.
  • ارائه توصیه‌هایی برای گنجوندن رمزنگاری در یک وضعیت امنیت سایبری قوی.

این مرکز به ارائه مشاوره و راهنمایی‌های مرتبط برای پشتیبانی از وزارت‌خونه‌ها و سازمان‌های دولتی در مهاجرت به PQC ادامه میده.

دبیرخانه هیئت خزانه‌داری کانادا (TBS) مسئول ایجاد و نظارت بر رویکرد کلی دولت برای مدیریت امنیت، از جمله امنیت سایبری، از طریق رهبری سیاست‌ها، جهت‌دهی استراتژیک و نظارته. در ماه می ۲۰۲۴، TBS «استراتژی امنیت سایبری سازمانی دولت کانادا» رو منتشر کرد که یکی از اقدامات کلیدی اون، انتقال سیستم‌های دولت به سمت استفاده از PQC استاندارد برای محافظت از اطلاعات و دارایی‌های دولت در برابر تهدید کوانتومیه. TBS ابزارهای سیاستی لازم رو صادر میکنه تا مقامات مسئول رو ملزم به ایجاد یه برنامه مهاجرت به PQC برای وزارت‌خونه خودشون و همچنین گزارش پیشرفت کار تحت فرآیندهای گزارش‌دهی موجود کنه.

خدمات اشتراکی کانادا (SSC) زیرساخت‌ها و خدمات فناوری اطلاعات رو به نمایندگی از بسیاری از وزارت‌خونه‌ها و سازمان‌های دولتی مدیریت میکنه. به خاطر نقش حیاتی SSC در نوسازی سیستم‌های دولتی، این سازمان از قبل در حال تهیه یه برنامه برای مهاجرت به PQC هست و مستقیما با مرکز امنیت سایبری و TBS برای مشاوره در مورد امکان‌سنجی پیاده‌سازی همکاری میکنه.

وزارت‌خونه‌ها و سازمان‌های فدرال دولت کانادا مسئول مدیریت ریسک‌های امنیت سایبری در حوزه‌های برنامه‌ای خودشون هستن. اونها مسئول نگهداری نرم‌افزارهای نصب شده روی زیرساخت‌های مدیریت شده توسط SSC و هر زیرساخت دیگه‌ای که جدا از SSC مدیریت میشه، از جمله خدمات ابری قراردادی، خواهند بود. وزارت‌خونه‌ها و سازمان‌ها باید یه برنامه مهاجرت به PQC مخصوص خودشون تهیه کنن که انتقال سیستم‌های تحت مسئولیتشون به PQC رو پوشش بده. اونها مسئول اجرای این برنامه و همچنین پیگیری و گزارش پیشرفت کار هستن. این سند شامل ملاحظات اولیه‌ایه که میشه برای تهیه برنامه مهاجرت به PQC استفاده کرد، اما راهنمایی و پشتیبانی بیشتری توسط TBS، SSC و مرکز امنیت سایبری ارائه خواهد شد.

فازهای اجرایی

این نقشه راه، ۳ فاز پیشنهادی برای اجرای مهاجرت به PQC رو مشخص میکنه. این فازها احتمالا با هم همپوشانی دارن.

فاز ۱: آماده‌سازی

در این فاز، وزارت‌خونه‌ها و سازمان‌ها مسئول تهیه یه برنامه مهاجرت به PQC برای سیستم‌های تحت مسئولیت خودشون هستن. برای تهیه این برنامه، پیشنهاد میشه یه کمیته تشکیل بشه و یه مدیر اختصاصی برای این مهاجرت مشخص بشه. این کمیته باید از افراد کلیدی در سراسر سازمان تشکیل بشه و حداقل یه عضو از مدیریت ارشد داشته باشه تا حمایت و پشتیبانی اجرایی تضمین بشه. علاوه بر بخش‌های فنی که مسئول مدیریت سیستم‌های کامپیوتری هستن، پیشنهاد میشه افرادی از بخش‌های غیرفنی مثل مالی، مدیریت پروژه، تدارکات و مدیریت دارایی هم تو این کمیته باشن.

برنامه مهاجرت به PQC باید به طور مداوم در طول اجرای فازهای بعدی بازبینی و تکمیل بشه. نسخه اولیه این برنامه باید افراد مسئول برای موارد زیر رو مشخص کنه:

  • اجرای برنامه
  • برنامه‌ریزی مالی
  • استراتژی آموزشی برای اطلاع‌رسانی به کارکنان در مورد تهدید کوانتومی و پیشرفت این مهاجرت در سازمان
  • سیاست‌های تدارکات برای تجهیزات جدید
  • رویکردهایی برای شناسایی سیستم‌های آسیب‌پذیر تا یه فهرست برای انتقال آماده بشه
نقش‌ها و مسئولیت‌ها

برنامه مهاجرت به PQC باید افراد مسئول برای کارهای مختلف در اجرای برنامه رو مشخص کنه. در نهایت، «مقام مسئول امنیت سایبری» (DOCS) مسئول کاهش ریسک کوانتومی برای امنیت سایبریه. پیشنهاد میشه که DOCS یا یه مقام اجرایی منتخب، به عنوان «مدیر اجرایی مهاجرت به PQC» منصوب بشه تا نظارت، پاسخگویی و حمایت اجرایی برای اجرای برنامه رو فراهم کنه.

هماهنگی و تعامل بین بخشی میتونه توسط «مدیر فنی مهاجرت به PQC» انجام بشه. مدیر فنی مسئول تسهیل هماهنگی در سراسر سازمان خواهد بود که میتونه شامل ارائه خدمات، مدیریت شبکه و تدارکات فناوری اطلاعات و همچنین سایر حوزه‌های مرتبط با مهاجرت باشه. کمیته‌ای که برای تهیه برنامه مهاجرت به PQC تشکیل شده، میتونه برای مدیریت اجرای برنامه هم استفاده بشه.

برنامه‌ریزی مالی

وزارت‌خونه‌ها و سازمان‌ها باید انتظار داشته باشن که بسیاری از سیستم‌های کامپیوتری موجود نیاز به تعویض یا قراردادهای خدماتی جدید برای پشتیبانی از PQC دارن. اجرای این مهاجرت تاثیرات استخدامی هم داره که ممکنه به استخدام نیروی جدید، پیمانکاران خارجی یا تخصیص مجدد نقش‌ها نیاز داشته باشه که میتونه بر پروژه‌ها یا فعالیت‌های کاری دیگه تاثیر بذاره. برنامه مهاجرت به PQC باید یه برآورد هزینه داشته باشه که شامل تخصیص منابع برای تکمیل اجرا باشه. نسخه اولیه برنامه برآورد هزینه جامعی نخواهد داشت، اما تخمین‌های مالی با پیشرفت فازهای شناسایی و انتقال دقیق‌تر میشن.

هزینه‌های مرتبط با این مهاجرت به PQC میتونه با استفاده از چرخه‌های عمر تجهیزات کامپیوتری و برنامه‌های نوسازی سیستم‌های موجود کاهش پیدا کنه. برای این کار، خیلی مهمه که فازهای اولیه این برنامه به سرعت انجام بشه تا مشخص بشه از کجا میشه این صرفه‌جویی در هزینه‌ها رو انجام داد. تاخیرهایی که منجر به تدارکات عجولانه بشن، هزینه‌ها رو افزایش میدن.

استراتژی آموزشی

خیلی مهمه که کارکنان در سراسر سازمان از تهدید کوانتومی و تاثیری که ممکنه روی سیستم‌هایی که استفاده میکنن یا مسئولش هستن داشته باشه، آگاه باشن. از پلتفرم GCxchange متعلق به TBS برای به اشتراک گذاشتن اسناد با وزارت‌خونه‌ها و سازمان‌ها استفاده میشه، از جمله مطالبی که توسط مرکز امنیت سایبری تولید شده، مثل ارائه‌ها و نشریات برای مخاطبان مختلف. مرکز یادگیری مرکز امنیت سایبری هم مطالب درسی برای آموزش در مورد تهدید کوانتومی برای رمزنگاری ارائه خواهد داد. مدیران ارشد باید در جریان قرار بگیرن تا از تاثیری که مهاجرت به PQC بر عملیات اونها خواهد داشت، آگاه باشن.

با پیشرفت مهاجرت به PQC، مهمه که مدیران ارشد از تحولات و پیشرفت‌ها، از جمله هرگونه چالش یا مانع جدیدی که تیم‌ها ممکنه با اون روبرو بشن، مطلع نگه داشته بشن.

سیاست‌های تدارکات

برای به حداکثر رسوندن عمر سیستم‌های جدید، وزارت‌خونه‌ها و سازمان‌ها باید اطمینان حاصل کنن که خریدهای جدید نیازمندی‌هایی برای پشتیبانی از PQC دارن. مرکز امنیت سایبری به شدت توصیه میکنه که سیستم‌ها از استانداردهای امنیت سایبری معتبر استفاده کنن. پیروی از استانداردها، تضمین بررسی امنیتی مستقل رو فراهم میکنه و قابلیت همکاری رو برای جلوگیری از وابستگی به یه فروشنده خاص ترویج میده. بعضی از استانداردهای امنیت سایبری هنوز در حال بازبینی برای پشتیبانی از PQC هستن. مرکز امنیت سایبری در حال به‌روزرسانی «راهنمای پیکربندی امن پروتکل‌های شبکه (ITSP.40.062)» همزمان با نهایی شدن پشتیبانی از PQC در استانداردهاست. انتظار میره که پشتیبانی از PQC در حال حاضر در بعضی از دسته‌بندی‌های محصولات موجود نباشه.

مرکز امنیت سایبری بندهای قراردادی پیشنهادی برای سیستم‌های حاوی ماژول‌های رمزنگاری داره. این موارد در صورت درخواست در دسترس هستن و به طور گسترده‌تری هم در دسترس قرار خواهند گرفت. به طور کلی، وزارت‌خونه‌ها و سازمان‌ها باید بهترین شیوه‌های زیر رو برای تدارکات در نظر بگیرن:

  • قراردادها بندهایی داشته باشن که تضمین کنه فروشنده پشتیبانی از PQC مطابق با توصیه‌های مرکز امنیت سایبری در «الگوریتم‌های رمزنگاری برای اطلاعات غیرطبقه‌بندی، حفاظت‌شده A و حفاظت‌شده B (ITSP.40.111)» رو شامل میشه.
  • ماژول‌های رمزنگاری توسط «برنامه اعتبارسنجی ماژول رمزنگاری» تایید شده باشن.
  • پشتیبانی از «چابکی رمزنگاری» برای امکان تغییرات پیکربندی در آینده وجود داشته باشه.

هر چه زودتر PQC در بندهای تدارکات گنجونده بشه، هزینه‌هایی که وزارت‌خونه‌ها در طول مهاجرت با اون روبرو میشن کمتر خواهد بود.

برنامه‌ریزی رویکردهای شناسایی

فاز بعدی در این نقشه راه، شناسایی محل استفاده از رمزنگاری در سیستم‌های کامپیوتریه. این شناسایی که گاهی بهش «کشف رمزنگاری» هم میگن، برای ایجاد یه فهرست از سیستم‌هایی که باید منتقل بشن، ضروریه. برنامه مهاجرت به PQC باید شامل رویکردهایی باشه که برای شناسایی سیستم‌ها و ساخت این فهرست انجام میشه. جزئیات بیشتر در مورد شناسایی در بخش بعدی ارائه شده.

فاز ۲: شناسایی

شناسایی اینکه رمزنگاری کجا و چطور استفاده میشه، یه گام حیاتی در فرآیند مهاجرت به PQC هست. سیستم‌هایی که از رمزنگاری استفاده میکنن شامل این موارد میشن:

  • خدمات شبکه
  • سیستم‌عامل‌ها
  • برنامه‌های کاربردی
  • خطوط توسعه کد
  • تمام دارایی‌های فیزیکی فناوری اطلاعات مثل:
    • رک‌های سرور
    • کامپیوترهای رومیزی
    • لپ‌تاپ‌ها
    • تلفن‌های همراه
    • لوازم شبکه
    • چاپگرها
    • تلفن‌های اینترنتی
    • ماژول‌های امنیتی سخت‌افزاری
    • کارت‌های هوشمند
    • توکن‌های سخت‌افزاری

این‌ها ممکنه به صورت محلی، در پلتفرم‌های کامپیوتری قراردادی، یا یه ارائه‌دهنده خدمات ابری میزبانی بشن، یا در اختیار کارمندان باشن. دامنه وسیعه و همین موضوع شناسایی رو به یه کار چالش‌برانگیز تبدیل میکنه.

اطلاعات جمع‌آوری شده در این فاز برای ایجاد یه فهرست استفاده میشه که باید شامل اطلاعات زیر برای هر سیستم باشه:

  • اجزای سیستمی که از رمزنگاری استفاده میکنن
  • فروشنده و نسخه محصول برای هر یک از اجزا
  • کنترل‌های امنیتی که به رمزنگاری شناسایی شده متکی هستن
  • مناطق امنیتی شبکه قابل اعمال
  • پیکربندی‌های رمزنگاری فعلی
  • پلتفرم میزبانی
  • وابستگی‌های سیستم
  • قراردادهای خدماتی مرتبط و تاریخ انقضای اونها
  • سال مورد انتظار برای به‌روزرسانی سیستم یا اجزای اون
  • فرد مسئول در وزارت‌خونه
  • اینکه آیا سیستم باید برای مهاجرت در اولویت قرار بگیره یا نه

اطلاعات فنی دیگه‌ای هم ممکنه برای گنجوندن در فهرست مرتبط باشه. مرکز امنیت سایبری با افزایش تجربه در دولت کانادا، راهنمایی‌های بیشتری به وزارت‌خونه‌ها ارائه خواهد داد.

وزارت‌خونه‌ها باید سیستم‌هایی رو که برای مهاجرت به PQC اولویت بالایی دارن، شناسایی کنن. سیستم‌هایی که از محرمانگی اطلاعات در حال انتقال بر روی مناطق شبکه عمومی محافظت میکنن، ممکنه به دلیل تهدید «الان برداشت کن، بعدا رمزگشایی کن» (HNDL) زودتر از انتظار در معرض خطر قرار بگیرن. تهدید HNDL زمانیه که یه مهاجم اطلاعات رمزگذاری شده رو رهگیری میکنه، اون رو ذخیره میکنه و بعدا در آینده، زمانی که کامپیوترهای کوانتومی به اندازه کافی قدرتمند وجود داشته باشن، اون رو رمزگشایی میکنه. توصیه میشه که هر سیستمی که در برابر تهدید HNDL آسیب‌پذیره، برای مهاجرت به PQC در اولویت بالا قرار بگیره. ملاحظات دیگه شامل طول عمر اطلاعات، پشتیبانی از چابکی رمزنگاری و تاثیر در صورت به خطر افتادن اطلاعاته. انجام یه ارزیابی ریسک برای تهدید کوانتومی برای اطمینان از اولویت‌بندی صحیح سیستم‌ها میتونه ارزشمند باشه.

کشف سیستم‌های حاوی رمزنگاری آسیب‌پذیر باید از روش‌های متعددی استفاده کنه. استفاده از فرآیندهای مدیریت خدمات فناوری اطلاعات (ITSM) موجود در سازمان میتونه یه راه کارآمد برای تهیه یه فهرست اولیه در وزارت‌خونه باشه. کمیته‌های مدیریت چرخه عمر و تغییرات باید بسیاری از اطلاعات مورد نیاز برای یه ورودی در فهرست سیستم رو داشته باشن. با این حال، در عمل، بلوغ ITSM ممکنه در وزارت‌خونه‌های مختلف متفاوت باشه.

ابزارها و خدمات نرم‌افزاری برای تکمیل کشف رمزنگاری ضروری خواهند بود. این کار ممکنه از خدمات امنیت سایبری موجود، مثل راه‌حل‌های مدیریت اطلاعات و رویدادهای امنیتی (SIEM)، نظارت و بازرسی شبکه، و فناوری‌های تشخیص و پاسخ نقطه پایانی (EDR) استفاده کنه. این خدمات ممکنه به تغییرات پیکربندی، پلاگین‌های شخص ثالث یا فیلترهای اضافی برای شناسایی استفاده از رمزنگاری نیاز داشته باشن. ابزارهای مستقل برای کشف رمزنگاری از فناوری‌هایی برای اسکن شبکه‌ها، میزبان‌ها، فایل‌های لاگ یا کد منبع استفاده میکنن. «برنامه حسگرهای مرکز امنیت سایبری» ابزاریه که انتظار میره به وزارت‌خونه‌ها در شناسایی کمک کنه. راهنمایی‌های اضافی در مورد ابزارها و خدمات کشف رمزنگاری توسط «کمیته سه‌جانبه امنیت فناوری اطلاعات» که شامل TBS، SSC و مرکز امنیت سایبریه، به وزارت‌خونه‌ها ارائه خواهد شد.

مهمه که در تکمیل کشف غرق نشید و با یه فهرست اولیه و ناقص شروع کنید و اقداماتی برای بهبود تدریجی داده‌ها انجام بدید.

در طول فاز شناسایی، وزارت‌خونه‌ها باید از این فهرست برای تعامل با فروشندگان و پیمانکاران فناوری اطلاعات مرتبط استفاده کنن تا برنامه‌های اونها برای پیاده‌سازی PQC در محصولات و خدماتشون رو مشخص کنن. درک اینکه کدوم اجزای سیستم واجد شرایط ارتقا در مقابل تعویض خواهند بود، به فاز بعدی یعنی تهیه برنامه انتقال کمک خواهد کرد.

فاز ۳: انتقال

فاز انتقال از فهرستی که در فاز شناسایی ایجاد شده برای برنامه‌ریزی و اجرای ارتقا، تعویض، تونل‌زنی و/یا ایزوله‌سازی سیستم‌ها استفاده میکنه.

علاوه بر داده‌های فهرست، برنامه باید منابع وزارت‌خونه برای شناسایی و ارزیابی راه‌حل‌ها، انجام تدارکات لازم، تست و استقرار رو در نظر بگیره. برنامه برای هر سیستم معمولا به چندین مرحله نیاز داره و باید با فرآیندهای مدیریت تغییرات فناوری اطلاعات موجود یکپارچه بشه تا آمادگی مناسب تضمین بشه، از جمله:

  • یه ارزیابی تاثیر
  • یه برنامه برای بازگشت به حالت قبل
  • یه محیط آزمایشی برای تست تغییرات
  • نظارت برای تایید عملکرد موفقیت‌آمیز پس از انتقال

برای هر سیستم، تیم‌های فنی باید راه‌حل‌هایی برای گنجوندن PQC یا کاهش تهدید کوانتومی به روش‌های دیگه شناسایی و ارزیابی کنن. در دسترس بودن محصولات با قابلیت PQC ممکنه در مراحل اولیه محدود باشه، اما فروشندگان با نهایی شدن به‌روزرسانی‌های استانداردهای پروتکل، به سرعت در حال پذیرش PQC هستن. راه‌حل‌ها باید تمام الزامات تدارکات تعیین شده در فاز آماده‌سازی رو برآورده کنن.

بسیاری از سیستم‌ها باید سازگاری با نسخه‌های قدیمی‌تر رو حفظ کنن تا امکان ادامه کار با سیستم‌های منتقل نشده برای مدتی فراهم بشه. مرحله اول برای انتقال یه سیستم ممکنه پشتیبانی از استفاده از PQC باشه و به دنبال اون مرحله دوم برای غیرفعال کردن رمزنگاری قدیمی و آسیب‌پذیر.

ممکنه انتقال بعضی از سیستم‌های قدیمی به PQC بدون تعویض کامل سیستم امکان‌پذیر نباشه. برای رسیدن به مراحل مهم مهاجرت، ممکنه لازم باشه چنین سیستم‌هایی رو در شبکه ایزوله کرد یا ترافیک رو در یه لایه کپسوله‌سازی محافظت شده با PQC تونل‌زنی کرد. چنین تصمیماتی باید در طول برنامه‌ریزی فاز انتقال گرفته بشه.

نسخه‌های اولیه برنامه مهاجرت به PQC ممکنه جزئیات محدودی در مورد فاز انتقال داشته باشن؛ با این حال، با پیشرفت تلاش‌های شناسایی، این بخش باید گسترش پیدا کنه.

مراحل مهم و وظایف اصلی

مراحل مهم و وظایف اصلی برای وزارت‌خونه‌ها و سازمان‌های فدرال به شرح زیره:

  • آوریل ۲۰۲۶: تهیه یه برنامه اولیه برای مهاجرت به PQC در هر وزارت‌خونه.
  • از آوریل ۲۰۲۶ به بعد (هر سال): گزارش دادن در مورد پیشرفت پروژه مهاجرت به PQC.
  • پایان سال ۲۰۳۱: تکمیل مهاجرت سیستم‌های با اولویت بالا به PQC.
  • پایان سال ۲۰۳۵: تکمیل مهاجرت بقیه سیستم‌ها به PQC.

این مراحل برای تکمیل مهاجرت به این معنیه که الگوریتم‌های آسیب‌پذیر در برابر کوانتوم غیرفعال، ایزوله یا تونل‌زنی شدن. یعنی به جای اینکه فقط از PQC پشتیبانی بشه، ریسک کوانتومی کاهش پیدا کرده. برای وزارت‌خونه‌ها و سازمان‌ها خیلی مهمه که برنامه مهاجرت به PQC خودشون رو برای انتقال هرچه سریع‌تر سیستم‌ها ایجاد، بازبینی و دنبال کنن تا به تاریخ‌های تعیین شده برسن.

مدیریت و هماهنگی

نهادهای حاکمیتی مرتبط در دولت کانادا

وزارت‌خونه‌ها و سازمان‌ها مسئول مدیریت ریسک‌های امنیت سایبری در حوزه‌های برنامه‌ای خودشون هستن. با این حال، طرح‌های گسترده در سطح دولت، مثل این مهاجرت به PQC، به یه رویکرد کلی دولتی نیاز داره که در سطح سازمانی و مطابق با مسئولیت‌های مشخص شده در ابزارهای سیاستی TBS مدیریت بشه.

کمیته سه‌جانبه امنیت فناوری اطلاعات شامل TBS، SSC و مرکز امنیت سایبریه. این کمیته یه نهاد متمرکزه که مشاوره، راهنمایی، نظارت و جهت‌دهی در مورد طرح‌های امنیت سایبری گسترده در دولت کانادا، مثل مهاجرت به PQC، رو ارائه میده. این کمیته از وزارت‌خونه‌ها و سازمان‌ها تحت اختیارات TBS پشتیبانی میکنه.

هیئت بازبینی معماری سازمانی دولت کانادا (GC EARB) یه مکانیسم حاکمیتی فراهم میکنه تا ارزیابی کنه که آیا سیستم‌های سازمانی پیشنهادی با چارچوب معماری سازمانی دولت کانادا همسو هستن یا نه. این چارچوب تضمین میکنه که حوزه‌های معماری کسب‌وکار، اطلاعات، برنامه، فناوری، امنیت و حریم خصوصی با «معماری سازمانی هدف خدمات و دیجیتال» مطابقت دارن. الزامات امنیت سایبری، مثل انطباق با توصیه‌های رمزنگاری مرکز امنیت سایبری، بخشی از معماری سازمانی هدف دولت کاناداست که با جهت‌گیری استراتژیک کلی TBS و ابزارهای سیاستی TBS همسوئه.

دولت کانادا کمیته‌های هماهنگی بین‌وزارتخانه‌ای علوم و فناوری کوانتومی (S&T) در سطوح ارشد اجرایی داره تا تلاش‌ها رو همگام‌سازی کنه و رهبری کانادا رو در علوم و فناوری کوانتومی حفظ کنه. این کمیته‌ها بر اقدامات دولت فدرال در حمایت از «استراتژی ملی کوانتومی کانادا» (NQS) نظارت میکنن، از جمله نقشه راه NQS در مورد ارتباطات کوانتومی و رمزنگاری پسا کوانتومی.

گزارش‌دهی در مورد پیشرفت

نظارت بر پیشرفت مهاجرت به PQC در دولت کانادا برای نظارت و حاکمیت موثر بر فعالیت‌ها ضروریه. این کار پاسخگویی و تکمیل مراحل مهم رو تضمین میکنه. TBS بر انطباق با ابزارهای سیاستی خودش مطابق با «چارچوب مدیریت انطباق» هیئت خزانه‌داری نظارت میکنه. همچنین پیشرفت برنامه وزارت‌خونه‌ها در زمینه خدمات و دیجیتال رو که شامل امنیت سایبری میشه، طبق الزامات «سیاست خدمات و دیجیتال» پیگیری میکنه. گزارش‌دهی در مورد پیشرفت وزارت‌خونه‌ها و فعالیت‌های مورد نیاز برای تکمیل مهاجرت به PQC توسط TBS به عنوان بخشی از گزارش‌های سالانه برای برنامه وزارت‌خونه‌ها در زمینه خدمات و دیجیتال درخواست و جمع‌آوری خواهد شد.

منابع و پشتیبانی اضافی

از پلتفرم GCxchange متعلق به TBS برای به اشتراک گذاشتن اسناد با وزارت‌خونه‌ها و سازمان‌های فدرال برای کمک به مهاجرت به PQC استفاده خواهد شد. مرکز امنیت سایبری به انتشار راهنمایی‌ها و توصیه‌ها برای سازمان‌ها در وب‌سایت مرکز امنیت سایبری (cyber.gc.ca) ادامه خواهد داد.

برای درخواست اطلاعات بیشتر در مورد تهدید کوانتومی، PQC، یا این نقشه راه، لطفا از اطلاعات تماس مرکز امنیت سایبری که در ابتدای سند اصلی ذکر شده، استفاده کنید. شماره تلفن‌های ۶۱۳-۹۴۹-۷۰۴۸ و ۱-۸۳۳-CYBER-88 و ایمیل cryptography-cryptographie@cyber.gc.ca برای این منظور در نظر گرفته شدن.

منابع

خانههوش‌مصنوعیگیک و تکنولوژیعلمیسلامتکار و تحصیلاخبار ۲۴ ساعت اخیر (2)

© ۲۰۲۵ GeekAlerts . تمامی حقوق محفوظ است.

دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *