ويمثل مدخل الحاسوب الكمي أحد أهم تحولات النموذج في تاريخ أمن المعلومات. وفي حين تعد الحواسيب الكميّة بتطورات ثورية في ميادين تتراوح بين اكتشاف المخدرات والنمذجة المالية، فإنها تشكل في نفس الوقت تهديداً وجودياً للمؤسسات البكائية التي تؤمن عالمنا الرقمي. وفيما يتعلق بالمهنيين الأمنيين، فإن السؤال هو ما إذا كانت الحواسيب الكميّة ستكسر معايير التشفير الحالية، ولكن متى - وما إذا كانت المنظمات ستستعد لهذا الانتقال الحتمي.
The urgency of post-quantum cryptography preparation cannot be overstated. وتشير التقديرات الحالية إلى أن الحواسيب الكميّة ذات الصلة بالتبريد يمكن أن تظهر في غضون السنوات العشر إلى الخمس عشرة القادمة، مع تحذير بعض الخبراء بأن الجدول الزمني قد يكون أقصر [1]. وعندما تصل هذه العتبة، تصبح جميع النظم التشفيرية العامة التي تستخدم حالياً - بما في ذلك RSA، و Elliptic Curve Cryptography (ECC) و Diffie-Hellman الرئيسية للتبادل - عرضة للهجمات الكمية باستخدام خوارزمية Shor [2]. وتمتد الآثار إلى أبعد من الشواغل النظرية، مما يؤثر على كل شيء من تأمين الاتصالات والتوقيعات الرقمية لحجب التكنولوجيات والهياكل الأساسية للإنترنت.
وما يجعل التهديد الكمي تحدياً بوجه خاص هو طابعه الرجعي. ويقوم المتنوعون بالفعل بجمع بيانات مشفرة اليوم مع توقع فك شفرتها عندما تصبح الحواسيب الكمية متاحة - استراتيجية تعرف باسم " الحصاد الآن " بعد فك شفرة ]٣[. هذا يعني أن البيانات الحساسة المشفوعة بالمعايير الحالية قد تتعرض للخطر بالفعل حتى لو لم تكن قدرات التشفير موجودة بعد وبالنسبة للمنظمات التي تتناول معلومات حساسة طويلة الأجل، فإن نافذة تنفيذ الحلول الكمية المقاومة تغلق بسرعة.
ويقود المعهد الوطني للمعايير والتكنولوجيا الجهد العالمي لتوحيد الخوارزميات البكائية بعد الكواشف، وتوج بنشر المجموعة الأولى من المعايير الكمية المقاومة في عام 2022 [4]. ومع ذلك، فإن التوحيد ليس إلا بداية ما يبشر بأن يكون واحدا من أكثر الهجرة الأمنية تعقيدا وبعيد المدى في التاريخ. ويجب على المنظمات الآن أن تبدأ العملية الصعبة المتمثلة في جرد أصولها البدائية، وتقييم المخاطر الكمية، ووضع استراتيجيات شاملة للهجرة تكفل الأمن والاستمرارية التشغيلية على السواء.
Understanding the Quantum Cryptographic الهروب من الأراضي
وللإعداد الفعلي لحقبة ما بعد الكواتي، يجب على المهنيين الأمنيين أن يفهموا أولا الطابع الأساسي للتهديد الكمي وكيف يختلف عن الهجمات الحسابية الكلاسيكية. وتقوم الحواسيب الكهرمائية بتفعيل مبادئ الميكانيكيات الكميّة - التخمين والتشابك - لإجراء حسابات معينة أسرع بكثير من الحواسيب الكلاسيكية [5]. بينما هذه الميزة الكميّة لا تنطبق على جميع المشاكل الحسابية، لها آثار مدمّرة على المشاكل الرياضية التي ترتكز على التشفير الحديث.
أهم تهديد كمي يأتي من خوارزمية (شور) التي طورها الرياضي (بيتر شور) عام 1994. ويمكن لهذه الخوارزمية الكميّة أن تُضمِّن بفعالية المُعدَّلات الكبيرة وأن تحل مشاكل اللوغاريت المتباينة - وهي الأسس الرياضية لوكالة الأمن الإقليمي، وجماعة شرق أوروبا، ونظم التبريد الخاصة بديفي - هيلمان [6]. ما يجعل خوارزمية (شور) خطيرة بشكل خاص هو أنها توفر سرعة هائلة على أفضل الخوارزميات التقليدية المعروفة لهذه المشاكل وفي حين أن استخدام مفتاح RSA 2048 من طراز RSA سيتطلب حواسيب كلاسيكية أطول من عمر الكون، فإن حاسوبا كميا كبيرا بما فيه الكفاية يمكن أن يؤدي نفس المهمة في ساعات أو أيام.
وتمتد الآثار إلى ما يتجاوز الخوارزميات المشفرة الفردية إلى هياكل الأمن بأكملها. :: أمن النقل، الذي يكفل الاتصالات على شبكة الإنترنت، يعتمد اعتماداً كبيراً على الخوارزميات القابلة للتداول الكمي للتبادل الرئيسي والتوقيعات الرقمية. وتواجه بروتوكولات الشلط المضمون، والشبكات الخاصة البصرية، ونظم الرسائل المشفرة، أوجه ضعف مماثلة [7]. بل إن تكنولوجيات الشباك، التي اكتسبت أهمية بالنسبة لممتلكاتها الأمنية، تتوقف على التوقيعات الرقمية ذات المنحنى الشهير التي ستحطم بواسطة الحواسيب الكمية.
على أي حال، من المهم ملاحظة أنه ليس كل النظم البدائية عرضة للهجمات الكميّة خوارزميات التشفير الرمزية مثل معيار التشفير المتقدم تتأثر بحساب كمي عبر خوارزمية غروفر التي توفر سرعة رباعية للبحث عن قواعد بيانات غير مرخصة [8]. This means that AES-128 would have the effective security of AES-64 against quantum attacks, while AES-256 would maintain roughly AES-128 level security. في حين أن هذا يمثل تخفيضاً في القوّة الأمنيّة، فإنّه أقل كارثية بكثير من الكسر الكامل الذي يوفره خوارزميّة (شور) ضدّ نظم المفاتيح العامة.
وظائف (هاش) تواجه تهديدات كمية مماثلة خلال خوارزمية (غروفر) فعلياً تخفض قوتها الأمنية إلى النصف SHA-256 would provide approximately 128 bits of quantum security, while SHA-512 would maintain roughly 256 bits of security [9]. ويتسم هذا الفهم بأهمية حاسمة بالنسبة للمنظمات التي تخطط لعمليات الانتقال التي تمر بها بعد الكوارث، لأنه يساعد على إعطاء الأولوية للنظم التي تتطلب اهتماما فوريا والتي يمكن معالجتها من خلال زيادات بسيطة نسبيا في طولها.
ولا يزال الجدول الزمني للأخطار الكمية موضوعا للمناقشة المكثفة والمضاربة داخل المجتمع البدائي. وتشير التقديرات المتحفظة إلى أن الحواسيب الكميّة ذات الصلة بالتبريد قد تظهر في الفترة من 15 إلى 30 سنة، بينما تضع التوقعات الأكثر عدوانية الجدول الزمني في الفترة من 10 إلى 15 سنة [10]. بيد أن عدة عوامل يمكن أن تعجل بهذا الجدول الزمني، بما في ذلك التقدم المحرز في تصحيح الأخطاء الكمية، أو إدخال تحسينات على المعدات الكمية، أو حدوث زيادات كبيرة في الاستثمار الحاسوبي الكمي من جانب الدول القومية أو شركات التكنولوجيا الكبيرة.
NIST Post-Quantum التشفير المعايير: مؤسسة الأمن المستقبلي
وقد اضطلع المعهد الوطني للمعايير والتكنولوجيا بدور محوري في إعداد العالم للانتقال في مرحلة ما بعد الكواتم من خلال عملية التوحيد الشامل للتوحيد القياسي لما بعد الكواتم. وتمثل هذه المبادرة، التي أُطلقت في عام 2016، واحدة من أكثر الجهود شمولا وشفافية في مجال التوحيد القياسي في التاريخ، بمشاركة باحثين من جميع أنحاء العالم في تقييم واختيار خوارزميات مقاومة للكم [11].
In July 2022, NIST announced the first set of post-quantum cryptographic standards, marking a historicmark in the transition to quantum-resistant security. وتمثل الخوارزميات المختارة نُهجا مختلفة لتحقيق المقاومة الكميّة، لكل منها قوة فريدة ومبادلات تجعلها مناسبة لمختلف التطبيقات والبيئات [12].
For digital signatures, NIST selected CRYSTALS-Dilithium as the primary standard, with FALCON and SPHINCS+ as additional approved algorithms. ويستند نظام " CRYSTALS-Dilithium " إلى مشكلة التعلّم بالعقيدات مع المخالفات، ويوفر توازنا جيدا بين الأمن والأداء وحجم التوقيع [13]. وتوفر الخوارزمية ضمانات أمنية قوية ضد الهجمات الكلاسيكية والكمية على حد سواء، مع الحفاظ على متطلبات حسابية معقولة لمعظم الطلبات.
فالكون، استناداً إلى مشكلة البطاقات النووية، يقدم أحجاماً للتوقيع أصغر من الديليثيوم ولكنه يتطلب اعتبارات تنفيذية أكثر تعقيداً [14]. وتجعل توقيعاتها المدمجة جذابة بوجه خاص للتطبيقات التي يقيد فيها عرض النطاق الترددي أو التخزين، مثل النظم المدمجة أو البيئات التجارية ذات التردد العالي.
ويمثل هذا البرنامج نهجاً مختلفاً اختلافاً جوهرياً، مستخدماً التوقيعات القائمة على الحشيش والتي لا تعتمد إلا على أمن وظائف الحشيش الغامض [15]. وفي حين أن التوقيعات على نظام سبينس + أكبر بكثير من البدائل القائمة على التكتل، فإن الخوارزمية توفر مزايا فريدة من حيث الافتراضات الأمنية والثقة الطويلة الأجل، مما يجعلها قيمة بالنسبة للتطبيقات التي تتطلب أعلى مستويات ضمان الأمن.
For key establishment and encryption, NIST standardized CRYSTALS-Kyber, another lattice-based algorithm that provides efficient key encapsulation mechanisms [16]. وتوفر كيبر سمات أداء ممتازة وقد صممت مع مراعاة أمن التنفيذ، بما في ذلك مقاومة الهجمات على القنوات الجانبية التي اجتاحت بعض عمليات التنفيذ البدائية.
وحددت عملية التوحيد أيضاً عدة خوارزميات لتوحيد المعايير في المستقبل، مع التسليم بأن المشهد بعد الكواشف سيتطلب على الأرجح اتباع نهج متعددة لمعالجة مختلف حالات الاستخدام والاحتياجات الأمنية. ويشمل ذلك الخوارزميات القائمة على الشفرة مثل الكلاسيكي ماكليس، التي توفر ضمانات أمنية قوية ولكنها تتطلب أحجاما رئيسية كبيرة جدا، والخرغاريتمات القائمة على التجانس، على الرغم من أن هذه الفئة الأخيرة قد واجهت تقدما كبيرا في التحليل مما أثار بعض النُهج موضع التساؤل [17].
ويكتسي فهم هذه المعايير أهمية حاسمة بالنسبة للفنيين الأمنيين لأن كل خوارزمية تأتي بمتطلبات محددة للتنفيذ، وخصائص الأداء، والاعتبارات الأمنية. فعلى سبيل المثال، يتطلب نظام CRYSTALS-Dilithium اهتماماً دقيقاً لتوليد الأعداد العشوائية وحماية القنوات الجانبية، في حين يجب على تنفيذات " فالكون " أن تعالج بطريقة مأمونة خام معقَّدة [18].
وتوفر معايير قوائم الجرد الوطنية أيضا توجيها مفصلا بشأن اختيار البارامترات، مع اختلاف مستويات الأمن المقابلة لمختلف نقاط القوة الأمنية التقليدية. ويهدف المستوى الأمني 1 إلى مواكبة أمن AES-128, Level 3 matches AES-192, and Level 5 matches AES-256 [19]. ويساعد هذا التصنيف المنظمات على اختيار الخوارزميات المناسبة استنادا إلى متطلباتها الأمنية المحددة والتسامح إزاء المخاطر.
التشفير جرد الأصول: تحديد مدى تأثرك
وقبل أن تتمكن المنظمات من البدء في تنفيذ التصنيف بعد الكواشف، يجب عليها أولاً أن تفهم مشهدها التشفيري الحالي من خلال إجراء جرد شامل للأصول وتقييم الضعف. هذه العملية، التي كثيرا ما تسمى الاكتشافات البدائية أو تقييم الخلايا، تنطوي على تحديد كل حالة تستخدم فيها الخوارزميات البكائية في جميع مراحل تكنولوجيا المنظمة [20].
The scope of cryptographic asset inventory extends far beyond obvious applications like TLS certificates and VPN formations. وتعتمد المنظمات الحديثة على التبريد بطرق لا حصر لها، قد لا يكون الكثير منها واضحاً على الفور لدى الأفرقة الأمنية. إن تشفير قاعدة البيانات، والتشفير في نظام الملفات، وشهادات التوقيع على المدونة، والعلامات المثبتة للأجهزة المحمولة، ونظم إدارة الأجهزة المحمولة، وأمن الأجهزة المدمجة، كلها تمثل نقاط الضعف الكمية المحتملة [21].
وتطرح الهياكل الأساسية للشبكات تحديات شديدة التعقيد في مجال الجرد لأن عمليات التنفيذ البكائي كثيرا ما تكون متأصلة في المعدات والبرمجيات الثابتة. وكثيرا ما تشمل أجهزة التبريد، والمفاتيح، وجداول الحماية، وموازين الحمولة، القدرات التشفيرية التي قد لا تكون سهلة الظهور أو قابلة للتشكيل. وتطرح نظم المجاملة تحديات إضافية، حيث أنها قد تستخدم تطبيقات مشفرة قديمة يصعب تحديدها أو تعديلها [22].
وتضيف خدمات السحاب طبقة أخرى من التعقيد إلى جهود الجرد البدائي. ويجب على المنظمات التي تستخدم البنية التحتية كخدمة (IaaS)، أو منبر كخدمة (PaaaS)، أو برامجيات كخدمة (SaaaS) أن تفهم كيف يقوم مقدمو خدماتها السحابية بتنفيذ نظام التبريد، وما هي طرق الهجرة التي ستكون متاحة للخرغاريتمات اللاحقة للكاكاو. ولا يشمل ذلك الخوارزميات البكائية المستخدمة في تأمين البيانات العابرة والراحة فحسب، بل يشمل أيضا النظم الأساسية للإدارة ووحدات أمن المعدات التي تدعم عمليات التنفيذ هذه [23].
وربما يمثل الترميز على مستوى التطبيق أكثر الجوانب تنوعا وتحديا في جرد الأصول. ويمكن للتطبيقات العرفية أن تنفذ الترميز بطرق عديدة، بدءاً من تسرع كلمة المرور البسيطة إلى بروتوكولات التبريد المعقدة لضمان الاتصالات. وتضيف المكتبات والأطر الخاصة بالأطراف الثالثة تعقيدات إضافية، لأنها قد تشمل عمليات تنفيذ مبدئية غير واضحة على الفور من وثائق التطبيقات [24].
The inventory process should document not only which cryptographic algorithms are in use, but also their specific implementations, key sizes, and operational contexts. وهذه المعلومات بالغة الأهمية لتحديد أولويات جهود الهجرة وفهم الأثر المحتمل للهجمات الكمية. فعلى سبيل المثال، قد تتطلب مفاتيح بدل الإقامة اليومي المستخدمة في التوقيع على الوثائق الطويلة الأجل اهتماما أكثر إلحاحا من تلك المستخدمة في تشفير الدورة القصيرة الأجل [25].
ويمكن لأدوات الاكتشاف الآلي أن تعجل عملية الجرد بشكل كبير، ولكن يجب استكمالها بتحليل يدوي واستعراض للخبراء. ويمكن لأدوات المسح الشبكي أن تحدد عمليات تنفيذ نظام TLS واستخدام الشهادات، في حين يمكن لأدوات الاختبار الأمني التطبيقي أن تكشف المكتبات المشفرة وتشكيلاتها. غير أن هذه الأدوات قد تفتقد إلى الترميز أو التنفيذ العرفي أو الاستخدام البدائي الذي يحدث في السياقات غير القياسية [26].
وينبغي أيضا أن تنظر عملية الجرد في دورة الحياة التشغيلية للأصول البكتريولوجية. ولا يمكن لبعض النظم أن تستخدم التشفير إلا خلال عمليات محددة أو في ظروف معينة، مما يجعلها يصعب كشفها عن طريق المسح الآلي. Others may have cryptographic capabilities that are currently disabled but could be activated in the future [27].
وينبغي أن تشمل وثائق الأصول البكتريولوجية ليس فقط التفاصيل التقنية بل أيضا سياق الأعمال التجارية وتقييم المخاطر. إن فهم النظم البالغة الأهمية لعمليات الأعمال، التي تعالج البيانات الحساسة، والتي تواجه تهديدات خارجية، يساعد على إعطاء الأولوية لجهود الهجرة وتخصيص الموارد. This business context is essential for making informed decisions about migration timelines and implementation approaches [28].
Migration Strategy Development: Planning Your Post-Quantum Transition
ويتطلب وضع استراتيجية فعالة للهجرة في فترة ما بعد الكوارث النظر بعناية في العوامل التقنية والتشغيلية والتجارية التي ستؤثر على الجدول الزمني ونهج الانتقال. وخلافا للتحسينات التكنولوجية النموذجية التي يمكن تنفيذها تدريجيا، يمثل الانتقال بعد الكواشف تغييرا أساسيا في الهياكل الأساسية الأمنية التي يجب تنسيقها في جميع المنظمات والنظم الإيكولوجية الشريكة لها [29].
The migration strategy should begin with risk-based prioritization that considers both the quantum threat timeline and the specific vulnerabilities of different systems. وينبغي أن تحظى الأهداف ذات القيمة العالية التي تعالج البيانات الحساسة الطويلة الأجل بالاهتمام على سبيل الأولوية، وكذلك النظم التي تواجه خصومين متطورين ربما يكونون بالفعل يجمعون بيانات مشفرة من أجل فك التشفير في المستقبل. كما أن نظم تحديد المواقع العامة والجهات المشاركة في العمليات التجارية البالغة الأهمية تستحق الاهتمام المبكر بسبب تأثيرها المحتمل على استمرارية تصريف الأعمال [30].
وتوفر النهج الهجينة التي تجمع بين الخوارزميات الكلاسيكية وما بعد الكواشف مسارا عمليا إلى الأمام خلال الفترة الانتقالية. وتوفر هذه العمليات الهجينة الحماية من الهجمات الكلاسيكية والكمية على حد سواء، مع السماح للمنظمات بأن تكتسب خبرة في خوارزميات ما بعد الكوان قبل الالتزام التام بها. وقد أوصت وكالة الأمن الوطني على وجه التحديد بنُهُج هجينة لنظم الأمن الوطنية، مع الاعتراف بفوائدها الأمنية ودورها في تيسير الهجرة التدريجية [31].
ويتطلب تنفيذ التشفير المختلط النظر بعناية في الآثار المترتبة على الأداء ومتطلبات التوافق. وتتسم الخوارزميات اللاحقة للكاكاو عموما بخصائص أداء مختلفة عن خصائص نظرائها الكلاسيكيين، مع أحجام رئيسية أكبر، أو أحجام التوقيع، أو متطلبات حسابية. ويجب على المنظمات أن تقيِّم ما إذا كانت هياكلها الأساسية القائمة يمكنها دعم هذه الاحتياجات أو ما إذا كان من الضروري تحسين المعدات [32].
ويمثل الاختبار والتحقق عناصر حاسمة في أي استراتيجية للهجرة. وتعد الخوارزميات اللاحقة للكاكاو جديدة نسبيا مقارنة بالنظم الكلاسيكية للتبريد، وقد تكون لدى تنفيذها اعتبارات أمنية مختلفة أو احتياجات تشغيلية مختلفة. وينبغي ألا يشمل الاختبار الشامل التحقق الوظيفي فحسب، بل ينبغي أن يشمل أيضا اختبار الأداء، والاختبارات الأمنية، واختبار قابلية التشغيل المتبادل مع النظم القائمة والمنظمات الشريكة [33].
وينبغي أن تتناول استراتيجية الهجرة أيضا الاعتبارات الرئيسية المتعلقة بسلطات الإدارة والشهادة. وسيتطلب التصنيف بعد الكواشف أشكالا جديدة من الشهادات، وإجراءات الجيل الرئيسي، والممارسات الإدارية الرئيسية. ويجب على المنظمات أن تخطط لنقل نظمها الأساسية العامة وأن تنسق مع سلطات الشهادات لضمان توافر شهادات ما بعد الكواشف عند الحاجة [34].
ويمثل تنسيق شؤون البائعين جانبا حاسما آخر من جوانب التخطيط للهجرة. وتعتمد منظمات كثيرة على بائعين من أطراف ثالثة من أجل تنفيذ عمليات التبريد، وسيتطلب الانتقال في مرحلة ما بعد الكواشف تنسيقا وثيقا مع هؤلاء البائعين لضمان توافر حلول مقاومة للكم في الوقت المناسب. ولا يشمل ذلك بائعي البرمجيات فحسب، بل يشمل أيضا صناع الأجهزة، ومقدمي الخدمات السحابية، ومقدمي خدمات الأمن المنظمين [35].
وينبغي أن تشمل الاستراتيجية التخطيط للطوارئ لمختلف السيناريوهات، بما في ذلك التطوير الكمي المعجل الذي يقصر الجدول الزمني المتوقع للتهديدات الكمية. وينبغي للمنظمات أن تحدد النظم التي يمكن نقلها بسرعة إذا لزم الأمر، والتي تتطلب تعديلا أو استبدالا أوسع نطاقا. ويساعد تخطيط الطوارئ هذا على ضمان أن تتمكن المنظمات من الاستجابة بسرعة لمناظر الخطر المتغيرة [36].
ويجب إدماج التدريب وتنمية المهارات في استراتيجية الهجرة منذ البداية. ويستحدث التشفير بعد الكواشف مفاهيم جديدة، وخوارزميات، واعتبارات تنفيذ قد تكون غير مألوفة للأفرقة الأمنية القائمة. وينبغي للمنظمات أن تخطط لبرامج التدريب، وجهود التصديق، وأنشطة نقل المعارف التي ستُعد أفرقةها في فترة ما بعد الكوارث [37].
أفضل ممارسات التنفيذ: نشر التشريفات بعد الكيان
ويتطلب التنفيذ الناجح للتبريد بعد الكواشف التقيد بالمبادئ الأمنية الراسخة مع التكيف مع الخصائص والمتطلبات الفريدة من نوعها من الخوارزميات المقاومة للكم. ويجب أن توازن عملية التنفيذ بين اعتبارات الأمن والأداء والاعتبارات التشغيلية مع الحفاظ على التوافق مع النظم والعمليات القائمة [38].
وتمثل القابلية التشفيرية مبدأً أساسياً ينبغي أن يسترشد به جميع عمليات التنفيذ اللاحقة للكوارث. وينبغي تصميم النظم لدعم الخوارزميات البكائية المتعددة وتيسير الانتقال من الخوارزميات في المستقبل دون الحاجة إلى إدخال تعديلات واسعة النطاق على النظام. ويسلّم هذا النهج بأن المشهد بعد الكواتيم لا يزال يتطور وأن المنظمات قد تحتاج إلى تكييف خياراتها البكتريولوجية مع وضع خوارزميات جديدة أو أن الخوارزميات القائمة تواجه هجمات جديدة [39].
ويتطلب تنفيذ القابلية للتبريد تخطيطاً معمارياً دقيقاً وتفاعلاً موحّداً يُستشف من منطق التطبيق العمليات البدائية المجردة. وينبغي للمنظمات أن تعتمد مكتبات وأطراً تشفيرية تدعم الخوارزميات المتعددة وتوفر وصلات بينية نظيفة لاختيار الخوارزميات وتشكيلها. This approach facilitates not only the current post-quantum transition but also future cryptographic evolution [40].
ويجب أن تكون مقاومة الهجوم على جانب القناة أحد الاعتبارات الرئيسية في عمليات التنفيذ اللاحقة للكوارث. والكثير من خوارزميات ما بعد الكوانتيوم لديها أوجه ضعف جانبية مختلفة عن الخوارزميات الكلاسيكية، ويجب تصميم عمليات التنفيذ بعناية لمنع تسرب المعلومات عن طريق التوقيت أو استهلاك الطاقة أو الانبعاثات الكهرومغناطيسية. ويكتسي هذا الأمر أهمية خاصة بالنسبة للتنفيذات في النظم المتأصلة أو غيرها من البيئات التي قد يكون فيها للمهاجمين إمكانية الوصول الفعلي [41].
ويستلزم توليد عدد من الرُّضَّع اهتماماً خاصاً في عمليات تنفيذ ما بعد الكومة لأن العديد من الخوارزميات المقاومة كمياً تعتمد اعتماداً كبيراً على عشوائيات عالية الجودة لأمنها. ويجب على المنظمات أن تكفل تلبية عدد المولدات العشوائية للمتطلبات الجاهزة من خوارزميات ما بعد الكواشف، وأن تكون هذه المولدات مزودة بذورها وصيانتها على النحو المناسب. ويمكن أن يؤدي الضعف العشوائي إلى المساس تماما بأمن نظم ما بعد الكواشف، مما يجعل هذا الأمر من الاعتبارات الحاسمة للتنفيذ [42].
ويجب تكييف ممارسات الإدارة الرئيسية بحيث تستوعب مختلف خصائص الخوارزميات اللاحقة للكاكاو. وغالبا ما تكون مفاتيح ما بعد الكواشف أكبر من المفاتيح الكلاسيكية، مما يتطلب تحديث نظم التخزين الرئيسية، وآليات التوزيع الرئيسية، والإجراءات الاحتياطية الرئيسية. ويجب على المنظمات أيضا أن تنظر في إدارة دورة الحياة لمفاتيح ما بعد الكواشف، بما في ذلك إجراءات التوليد والتوزيع والتناوب والتدمير [43].
ويكتسب الأداء الأمثل أهمية خاصة في خوارزميات ما بعد الكواشف لأنها كثيرا ما تكون لها متطلبات حسابية مختلفة عن المعايير التقليدية. وينبغي أن تجري المنظمات اختبارات أداء شاملة لتحديد الاختناقات وتحقيق التنفيذ الأمثل لحالات استخدامها المحددة. ويمكن أن يشمل ذلك تعجيل المعدات، وضبط البارامترات الخوارزمية، أو إجراء تعديلات معمارية لتلبية احتياجات الأداء [44].
ولا بد من اختبار قابلية التشغيل البيني لضمان إمكانية التواصل الفعال مع النظم والمنظمات الأخرى. وسيحدث الانتقال بعد الكواشف تدريجيا عبر مختلف المنظمات والنظم، مما يتطلب اهتماما دقيقا بالمفاوضات المتعلقة بالبروتوكولات، واختيار الخوارزميات، وآليات الانهيار. وينبغي للمنظمات أن تختبر تنفيذها في ضوء عمليات التنفيذ المتعددة الأخرى لضمان التوافق الواسع [45].
وينبغي أن يشمل التحقق الأمني اختبارات الأمن التقليدية والاعتبارات الكمية المحددة. ويشمل ذلك إجراء اختبارات لمواطن الضعف في التنفيذ، وتسرب القنوات الجانبية، والتعامل السليم مع حالات الحواف أو ظروف الخطأ. وينبغي للمنظمات أيضا أن تنظر في إجراء تحليل أمني رسمي أو استعراضات أمنية لأطراف ثالثة من أجل التنفيذات الحرجة [46].
وينبغي تعزيز قدرات الرصد وقطع الأشجار من أجل تسليط الضوء على عمليات التبريد بعد الكواشف. ويشمل ذلك استخدام خوارزميات قطع الأشجار، ومقاييس الأداء، وظروف الخطأ، والأحداث الأمنية. ويساعد الرصد السليم المنظمات على الكشف عن قضايا التنفيذ، أو مشاكل الأداء، أو الحوادث الأمنية المحتملة المتصلة بنشرها بعد الكوارث [47].
تقييم المخاطر والتخطيط الزمني: الموازنة بين الحاجة الملحة والطابع العملي
ويتطلب الإعداد الفعال لما بعد الكوارث تقييما متطورا للمخاطر يوازن بين الجدول الزمني غير المؤكد للتهديدات الكمية والقيود العملية لإدارة التغيير في المنظمة. ويجب ألا ينظر هذا التقييم في العوامل التقنية فحسب بل أيضاً في استمرارية تصريف الأعمال، وتوافر الموارد، والأولويات الاستراتيجية التي تؤثر على الجداول الزمنية للتنفيذ [48].
The risk assessment process should begin with threat modeling that considers the specific adversaries and attack scenarios relevant to the organization. وقد تتاح للجهات الفاعلة التابعة للدولة التي لديها موارد كبيرة إمكانية الحصول على قدرات حاسوبية كمية قبل أن تصبح متاحة تجارياً، مما يجعلها تحظى بالأولوية لدى المنظمات التي تعالج معلومات حكومية أو عسكرية حساسة. وبالمثل، قد تواجه المنظمات في قطاعات الهياكل الأساسية الحيوية مخاطر متزايدة بسبب أهميتها الاستراتيجية [49].
وتؤدي فترات حساسية البيانات والاحتفاظ بها أدوارا حاسمة في تقييم المخاطر لأنها تحدد نافذة الضعف بالنسبة لأنواع مختلفة من المعلومات. وتواجه البيانات التي يجب أن تظل سرية لعدة عقود مخاطر كمية أكبر من المعلومات التي تقصر فترات الحساسية. وينبغي للمنظمات أن تصنف بياناتها على أساس مستويات الحساسية ومتطلبات الاحتفاظ بها لتحديد أولويات جهود الحماية على النحو المناسب [50].
نموذج التهديد "المرفأ الآن" يتطلب اهتماماً خاصاً في تخطيط الجدول الزمني لأنه يعني أن بعض البيانات قد تتعرض للخطر وينبغي للمنظمات التي تعالج معلومات شديدة الحساسية أن تنظر في هذا التهديد عند وضع جداول زمنية للهجرة، وقد تحتاج إلى تنفيذ تدابير الحماية اللاحقة للكم قبل أن تكون ضرورية [51].
وينبغي لتقييم أثر الأعمال التجارية أن يقيّم العواقب المحتملة للهجمات الكمية على مختلف النظم والعمليات. ولا يشمل ذلك الخسائر المالية المباشرة فحسب، بل يشمل أيضا الأضرار التي تلحق بالسمعة، والعقوبات التنظيمية، والعيوب التنافسية، والاضطرابات التشغيلية. ويساعد فهم هذه الآثار المحتملة المنظمات على تخصيص الموارد على النحو المناسب وعلى تبرير الاستثمار في الأعمال التحضيرية اللاحقة للكوارث [52].
ويجب تقييم القيود المفروضة على الموارد وتنافس الأولويات تقييما واقعيا عند وضع جداول زمنية للتنفيذ. وتمثل الهجرة اللاحقة للكوارث مهمة تتطلب موارد تقنية كبيرة، واستثمارات تدريبية، وجهودا تنسيقية. ويجب على المنظمات أن توازن بين هذه المتطلبات وبين المبادرات الأمنية الأخرى وأولويات الأعمال التجارية لوضع خطط تنفيذ قابلة للتحقيق [53].
وتؤثر اعتبارات تعول البائعين وسلسلة الإمدادات تأثيراً كبيراً في تخطيط الجدول الزمني لأن المنظمات كثيراً ما تعتمد على مقدمي الخدمات من الأطراف الثالثة في عمليات التنفيذ البكتري. وقد يؤدي توافر حلول ما بعد الكواتي من البائعين الرئيسيين إلى تقييد الأطر الزمنية للهجرة، مما يتطلب من المنظمات العمل عن كثب مع مورديها لضمان توافر بدائل مقاومة للكم في الوقت المناسب [54].
وقد تؤثر متطلبات التنظيم والامتثال أيضاً على تخطيط الجدول الزمني، لا سيما بالنسبة للمنظمات في الصناعات التي تخضع لضوابط تنظيمية شديدة. وفي نهاية المطاف، يمكن لبعض الأطر التنظيمية أن تُلزم بتصوير ما بعد الكواشف، في حين قد تقدم أطر أخرى إرشادات أو حوافز للتبني المبكر. وينبغي للمنظمات أن ترصد التطورات التنظيمية وأن تدمج متطلبات الامتثال في عمليات التخطيط الخاصة بها [55].
وينبغي أيضاً أن ينظر تقييم المخاطر في إمكانية البدء الزائف أو إجراء تغييرات في الخوارزميات قد تتطلب إعادة تنفيذ حلول ما بعد الكواتم. While NIST has standardized initial post-quantum algorithms, the field continues to evolution, and new cryptanalytic advances could affect the security of current algorithms. وينبغي للمنظمات أن تخطط لإمكانية انتقال الخوارزمية وأن تبني المرونة في تنفيذها [56].
ويساعد تخطيط السيناريو المنظمات على الاستعداد لمستقبل مختلف فيما يتعلق بالجداول الزمنية للتنمية الكمي وتطور التهديدات. ويشمل ذلك السيناريوهات التفاؤلية التي تتطور فيها التهديدات الكميّة ببطء، والسيناريوهات المتشائمة التي تظهر فيها القدرات الكميّة في وقت أقرب من المتوقع، ومختلف السيناريوهات الوسيطة. فوجود خطط لسيناريوهات مختلفة يساعد المنظمات على الاستجابة على النحو المناسب للظروف المتغيرة [57].
الاختبار والتقييم الأطر: كفالة الأمن في فترة ما بعد القدس
وتمثل الاختبارات الشاملة والتحقق من صحتها عوامل نجاح حاسمة في عمليات التبريد بعد الكواشف لأن هذه الخوارزميات وتنفيذها أقل نضجا من النظم البكائية الكلاسيكية. ويجب على المنظمات أن تضع أطراً اختبارية متينة تعالج التصحيح الوظيفي والخصائص الأمنية على حد سواء، مع مراعاة الخصائص الفريدة للمقاييس الكمية [58].
وينبغي للاختبارات الوظيفية التحقق من أن عمليات التنفيذ اللاحقة للكوارث تؤدي بشكل صحيح عمليات التبريد المزمع تنفيذها في ظروف التشغيل العادية. ويشمل ذلك اختبار الجيل الرئيسي، وعمليات التشفير والتشفير، وإنشاء التوقيعات الرقمية والتحقق منها، وبروتوكولات التبادل الرئيسية. ويجب أن تشمل الاختبارات الوظيفية لا حالات الاستخدام المعتادة فحسب، بل تشمل أيضاً الحالات المؤثرة وظروف الخطأ التي قد لا تكون واضحة على الفور [59].
ويكتسي اختبار قابلية التشغيل البيني أهمية خاصة في فترة ما بعد الكواشف لأن اختلاف تنفيذ الخوارزميات نفسها قد يكون له اختلافات طفيفة في سلوكها أو مناولة البارامترات. وينبغي للمنظمات أن تختبر تنفيذها في ضوء عمليات التنفيذ المتعددة الأخرى لضمان التوافق على نطاق واسع وتحديد المسائل المحتملة المتعلقة بإمكانية التشغيل المتبادل قبل النشر [60].
ويجب أن يقيّم اختبار الأداء متطلبات الحساب والذاكرة والزوارق من الخوارزميات بعد الكواشف في بيئات تشغيلية واقعية. ولا ينبغي أن يقيس هذا الاختبار الأداء المتوسط فحسب، بل أيضا الأداء والأداء في أسوأ الحالات في ظل ظروف الإجهاد. وينبغي للمنظمات أيضاً أن تقيِّم أثر الخوارزميات التي تلي الكواشف على أداء النظام العام وخبرة المستعملين [61].
وتتطلب الاختبارات الأمنية لتنفيذات ما بعد الكواشف اتباع نُهُج متخصصة تعالج نقاط الضعف والهجمات الفريدة ذات الصلة بالخوارزميات المقاومة للكم. ويشمل ذلك إجراء اختبارات لمواطن الضعف في القنوات الجانبية، وهجمات الحقن الخاطئة، ومواطن الضعف الخاصة بالتنفيذ والتي قد لا تؤثر على النظم البكائية الكلاسيكية. وينبغي أن تنظر المنظمات في أدوات الاختبار الأمني الآلية وفي التحليلات الأمنية اليدوية [62].
وينبغي أن يتحقق اختبار التحقق من صحة التشفير من أن التنفيذ ينفذ بشكل صحيح الخوارزميات المحددة وأن يسفر عن نتائج تضاهي التنفيذ المرجعي أو ناقلات الاختبار. ويساعد هذا الاختبار على تحديد أخطاء التنفيذ التي يمكن أن تضر بالأمن أو التشغيل المتبادل. وينبغي للمنظمات أن تستخدم ناقلات الاختبار الرسمية عند توافرها وأن تضع حالات اختبار إضافية لحالات استخدامها المحددة [63].
وينبغي أن يقيّم اختبار الإجهاد وتقييم التسامح إزاء الأخطاء كيفية التصرف في عمليات تنفيذ ما بعد الكواشف في ظل ظروف ضارة مثل استنفاد الموارد، أو فشل الشبكات، أو اختلال المعدات. ويساعد هذا الاختبار على تحديد أساليب الفشل المحتملة ويكفل فشل التنفيذ بأمان عندما لا يمكن تشغيله عادة [64].
وينبغي لبرامج الاختبار الطويلة الأجل أن تقيِّم استقرار وموثوقية عمليات التنفيذ اللاحقة للكوارث على مدى فترات طويلة. ويشمل ذلك إجراء اختبارات لتسرب الذاكرة، وتدهور الأداء، وغير ذلك من المسائل التي قد لا تصبح واضحة إلا خلال العملية الممتدة. والاختبارات الطويلة الأجل مهمة بوجه خاص بالنسبة للخرغاريتمات التي تلي الكواشف لأنها لا تملك تاريخا تشغيليا أقل من النظم الكلاسيكية [65].
وينبغي لأطر اختبار التراجع أن تكفل ألا تؤدي عمليات التحديث والتعديلات المدخلة على عمليات تنفيذ ما بعد الكواشف إلى ظهور مواطن ضعف جديدة أو إلى كسر القدرة الوظيفية القائمة. ويشمل ذلك إجراء اختبارات ليس فقط للتنفيذات البدائية نفسها، بل أيضا دمجها مع عناصر النظام الأخرى وتفاعلها مع الضوابط الأمنية القائمة [66].
ويوفر التحقق من صحة الأطراف الثالثة والاستعراض الأمني المستقل ضماناً إضافياً للتنفيذات الحرجة اللاحقة للكوارث. وينبغي للمنظمات أن تنظر في الاستعانة بخبراء أمن خارجيين أو بهيئات تصديق لاستعراض تنفيذها والتحقق من ممتلكاتها الأمنية. ويمكن لهذا التثبت الخارجي أن يحدد المسائل التي قد تفوت الاختبار الداخلي وأن يوفر ثقة إضافية في أمن التنفيذ [67].
وينبغي أن يوسع الرصد والتحقق المستمران نطاق جهود الاختبار في البيئة التشغيلية لكشف المسائل التي قد لا تكون واضحة أثناء الاختبار السابق للنشر. ويشمل ذلك رصد شذوذ الأداء، والأحداث الأمنية، والمسائل التشغيلية التي يمكن أن تبين مشاكل التنفيذ أو التهديدات الناشئة [68].
الاستنتاج: الإعداد للمستقبل الكمي
ويمثل الانتقال إلى الترميز بعد الكواشف أحد أهم التحديات الأمنية في عصرنا، مما يتطلب من المنظمات إعادة التفكير بصورة أساسية في نهجها إزاء الأمن البكتري مع الحفاظ على استمرارية العمليات وفعالية الأعمال. ولا يتطلب النجاح في هذا الانتقال الخبرة التقنية فحسب بل يتطلب أيضا التخطيط الاستراتيجي وإدارة المخاطر والالتزام التنظيمي بالامتياز الأمني الطويل الأجل.
فالتهديد الكمي ليس شاغلا نظريا بعيد المنال ولكنه تحد عملي فوري يتطلب اتخاذ إجراءات اليوم. وستصبح المنظمات التي تبدأ أعمالها التحضيرية لما بعد الكوارث الآن في وضع أفضل لحماية أصولها، والحفاظ على ثقة العملاء، وكفالة استمرارية تصريف الأعمال مع استمرار القدرات الحاسوبية الكمية. Those who delay risk finding themselves vulnerable to quantum attacks or scrambling to implement hasty solutions under pressure.
ويتطلب الطريق إلى الأمام نهجا متوازنا يجمع بين الإلحاح والعملية، ويعترف بأهمية الإعداد الكمي وقيود التنفيذ في العالم الحقيقي. وينبغي أن تبدأ المنظمات بجرد شامل للأصول وتقييم المخاطر، وأن تضع استراتيجيات واقعية للهجرة تراعي ظروفها المحددة، وأن تنفذ حلولا لما بعد الكوارث باستخدام المبادئ الأمنية وأفضل الممارسات المعمول بها.
وستجلب فترة ما بعد الكواتم التحديات والفرص للمهنيين الأمنيين. وفي حين أن عملية الانتقال ستتطلب بذل جهود واستثمارات كبيرة، فإنها تتيح أيضا فرصة لتحديث الهياكل الأمنية، وتحسين القدرة على التبريد، وبناء أسس أمنية أكثر مرونة للمستقبل. وستظهر المنظمات التي تقترب من هذا الانتقال استراتيجيا ومنهجيا أقوى وأكثر أمنا في العصر الكمي.
وقد حان الوقت الآن لإعداد ما بعد الكواتم. ويقترب المستقبل الكمي بسرعة، ويجب على المنظمات أن تتصرف بشكل حاسم لحماية أثمن أصولها من هذا التهديد الناشئ. وببدء الرحلة اليوم، يمكن للمهنيين الأمنيين أن يكفلوا أن تكون منظماتهم مستعدة لما قد يجلبه المستقبل الكمي.
المراجع
[1] IBM Security. "Cost of a Data Breach Report 2021." _
[2] Shor, P. W. "Algorithms for quantum computation: discrete logarithms and factoring." Proceedings 35th Annual Symposium on Foundations of Computer Science, 1994.
[3] Mosca, M. "Cybersecurity in an era with quantum computers: will we be ready؟" IEEE Security " Privacy, 2018.
[4] NIST. "التوحيد التشفيري للقدرات" _
[5] Nielsen, M. A., " Chuang, I. L. "Quantum Computation and Quantum Information." Cambridge University Press, 2010.
[6] Preskill, J. "Quantum Computing in the NISQ era and beyond." كوانتوم، 2018.
[7] Kampanakis, P., " Panburana, P. " The Viability of Post-quantum X.509 Certificates. IACR Cryptology ePrint Archive, 2018.
[8] Grover, L. K. "A fast quantumميكانيكيal algorithm for database search." Proceedings of the 28th Annual ACM Symposium on Theory of Computing, 1996.
[9] Bernstein, D. J. "Cost analysis of hash collisions: Will quantum computers make SHARCS obsolete? Workshop Record of SHARCS, 2009.
[10] National Academy of Sciences. "الحساب الكمي: التقدم والتوقعات" The National Academies Press, 2019.
[11] Moody, D., et al. تقرير عن الجولة الثالثة من عملية التوحيد القياسي لعلم التشفير NIST Internal Report 8413, 2022.
[12] NIST. "المعيار 203: معيار آلية المكبّر الموحّد (Lattice)" 2024.
[13] Bai, S., et al. "مشروع توقيع رقمي على أساس لاتيسي" IACR Transactions on Cryptographic hardware and Embedded Systems, 2018.
[14] Fouque, P. A., et al. التوقيعات على اتفاق "إن تي آر". Submission to NIST Post-Quantum Cryptography Standardization, 2020.
[15] Bernstein, D. J., et al. "SSPHINCS+: Submission to the NIST post-quantum project." 2020.
[16] Bos, J., et al. "CRYSTALS-Kyber: a CCA-Secure module-lattice-based KEM." 2018 IEE European Symposium on Security and Privacy, 2018.
[17] Castryck, W., " Decru, T. "An efficient key recovery attack on SIDH." Advances in Cryptology - EUROCRYPT 2023.
[18] Ravi, P., et al. "ساعدت القناة الجانبية هجوم التزوير الوجودي على ديليثيوم" IACR Transactions on Cryptographic hardware and Embedded Systems, 2022.
[19] NIST. "شروط الأمن للطرائق المشفرة"
[20] Bindel, N., et al. "التحويل إلى هيكل أساسي عام مقاوم للكم" Post-Quantum التشفير 2017
[21] Fluhrer, S. "Cryptographic Agility and Interoperability." فرقة عمل هندسة الإنترنت، 2019.
[22] Hoffman, P., " Schlyter, J. "The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS Protocol: TLSA). RFC 6698, 2012.
[23] Barker, E., " Roginsky, A. "Transitioning the Use of Cryptographic Algorithms and Key Lengths." NIST Special Publication 800-131A Rev. 2, 2019.
[24] McGrew, D., et al. Framework for Algorithm Agility in the Internet Key Exchange Protocol Version 2 (IKEv2). RFC 7296, 2014.
[25] Housley, R. "Guidelines for Cryptographic Algorithm Agility and Selecting Mandatory-to-Implement Algorithms." RFC 7696, 2015.
[26] Aviram, N., et al. "الإنفصال عن الـ "تي إل إس" باستخدام "SSLv2" ندوة الأمن الـ 25 في يونيسيكس، 2016
[27] Bhargavan, K., " Leurent, G. "n the practical (in-)security of 64-bit block ciphers." Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, 2016.
[28] Cremers, C., et al. "تحليل رمزي شامل لـ "تي إل إس 1.3 Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security, 2017.
[29] NSA. "الحساب الكهرومغناطيسي" "وبعد الكوانتيوم" Cybersecurity Information Sheet, 2021.
[30] ENISA. "العملية التشفيرية" "الحالة الحالية وتخفيف الكم" European Union Agency for Cybersecurity, 2021.
[31] NSA. "الأمن القومي التجاري" مستشار أمن السيبر 2022
[32] Paquin, C., et al. "تخصيص ما بعد الكينتوم في TLS" Post-Quantum التشفير 2019
[33] Sikeridis, D., et al. "دراسة الأداء" Network and Distributed Systems Security Symposium, 2020.
[34] Ounsworth, M., " Pala, M. "Internet X.509 الجمهور Key Infrastructure: Algorithm Identifiers for HSS and XMSS." RFC 8708, 2020.
[35] Kampanakis, P., et al. تأثير الحوسبة الكوانتيومية على التشفير الحالي
[36] Chen, L., et al. "تقرير عن التشفير بعد الكينتوم" NIST Internal Report 8105, 2016.
[37] Alagic, G., et al. تقرير عن الجولة الثانية من عملية التوحيد القياسي لعلم التشفير NIST Internal Report 8309, 2020.
[38] Ducas, L., et al. توقيعات رقمية من البطاطس Transactions on Cryptographic hardware and Embedded Systems, 2018.
[39] Fluhrer, S. "Cryptographic Algorithm Agility." فرقة عمل هندسة الإنترنت، 2019.
[40] McGrew, D., " Hoffman, P. "Cryptographic Algorithm Agility and Selecting Mandatory-to-Implement Algorithms." RFC 7696, 2015.
[41] Ravi, P., et al. "هجمات "جينريك سايد تشانل" على "سي أي سي إي إي" و "كي إم إس" IACR Transactions on Cryptographic hardware and Embedded Systems, 2020.
[42] Barker, E., " Kelsey, J. " Recommendation for Random Number Generation Using Deterministic Random Bit Generators." NIST Special Publication 800-90A Rev 1, 2015.
[43] Barker, E. "Recommendation for Key Management: Part 1 -- General." NIST Special Publication 800-57 Part 1 Rev. 5, 2020.
[44] Alkim, E., et al. "الكم من التبادلات الرئيسية، أمل جديد" "الندوة الأمنية الـ 25، 2016"
[45] Stebila, D., " Mosca, M. "Post-quantum key exchange for the Internet and the Open Quantum Safe project." Selected Areas in Cryptography, 2017.
[46] Bernstein, D. J., et al. "التبريد النباتي" الطبيعة 2017
[47] Barker, E., " Dang, Q. " Recommendation for Key Management: Part 3 - Application-Specific التوجيه الإداري الرئيسي NIST Special Publication 800-57 Part 3 Rev 1, 2015.
[48] Mosca, M., " Mulholland, J. "A methodology for quantum risk assessment." Global Risk Institute, 2017.
[49] CISA. "كمبيوتر كوميدي للاستعداد لأمن السيبر" Cybersecurity and Infrastructure Security Agency, 2021.
[50] Barker, E., " Roginsky, A. "Transitioning the Use of Cryptographic Algorithms and Key Lengths." NIST Special Publication 800-131A Rev. 2, 2019.
[51] Mosca, أمن الفضاء في حقبة بها كمبيوترات كمية هل سنكون مستعدين؟ IEEE Security " Privacy, 2018.
[52] Deloitte. "التقنيات الكوية وتأثيرها على أمن الفضاء الإلكتروني" Deloitte Insights, 2020.
[53] PwC. "التهديد الكمي لأمن الفضاء الإلكتروني." برايس ووتر هاوس كوبرز، 2019.
[54] ETSI. "التشفير الآمن والأمن" European Telecommunications Standards Institute, 2015.
[55] BSI. "الآليات التشفيرية: توصيات ومحركات رئيسية" Federal Office for Information Security, 2021.
[56] ANSSI. "ورقة عمل بشأن التوزيع الرئيسي للكميات" French National Cybersecurity Agency, 2020.
[57] RAND Corporation. "كمية الحاسوب وتأثيرها على التشفير" RAND Research Report, 2019.
[58] NIST. "المبادئ التوجيهية لبرمجيات التقييم الإلغامي" NIST Special Publication 800-140, 2020.
[59] ISO/IEC. تكنولوجيا المعلومات - تقنيات الأمن - أساليب الاختبار للتخفيف من أصناف الهجوم غير الغازية ISO/IEC 17825:2016.
[60] IETF. Cryptographic Algorithm Agility and Selecting Mandatory-to-Implement Algorithms." RFC 7696, 2015.
[61] Avanzi, R., et al. "مواصفات (كريستالز) و(كايبر ألغوريثم) والتوثيق الداعمة" NIST Post-Quantum Cryptography Standardization, 2020.
[62] Kocher, P., et al. "تحليل القوى المتباين" المؤتمر الدولي السنوي لعلم التشفير، 1999.
[63] NIST. "البرنامج التشفيري" _
[64] المعايير المشتركة. "منهجية مشتركة لتقييم أمن تكنولوجيا المعلومات" الصيغة 3-1 التنقيح 5، 2017.
[65] FIPS. "شروط الأمن للطرائق المشفرة" "إف بي إس 140-3، 2019"
[66] OWASP. "صحيفة المخبأ" Open Web Application Security Project, 2021.
[67] CC. Criteria for Information Technology Security Evaluation." ISO/IEC 15408, 2012.
[68] NIST. "دليل لإجراء تقييم المخاطر" NIST Special Publication 800-30 Rev. 1, 2012.