"עולם הקריפטו הוא בלאגן מבחינת אבטחה"

"אין ארגון שיודע באיזה קריפטו הוא משתמש והיכן", מזהיר מייק אוסבורן, ראש תחום הקריפטוגרפיה ביחידת המחקר של יבמ, ומתריע שאם ארגונים לא יפעלו עכשיו - הם יסבלו מזה מאוד בעוד כמה שנים

מייק אוסבורן, ראש תחום קריפטוגרפיה ביחידת המחקר של יבמ.

המחשוב הקוונטי הוא תחום שאולי פחות מדברים עליו בעולם המחשוב – בטח פחות מאשר על מושגים כמו ענן, גיימינג, מדיה וחברתית וכמובן אבטחה – אבל הוא בין התחומים הכי נחקרים ומתפתחים בעולם הטכנולוגיה. המחקר עליו החל אמנם לפני כמעט 50 שנה, אבל בשנים האחרונות הוא הלך ותפס תאוצה.

יבמ היא אחת החברות הבולטות בתחום, ומוקדם יותר החודש היא הגיעה לנקודת ציון: היא הציגה את המעבד הקוונטי הראשון עם כוח עיבוד של 100 קיוביט. זאת, בהתאם למפת הדרכים שעליה היא הכריזה בשנה שעברה, שאם היא תעמוד בה, עד סוף 2022 תציג החברה מעבד עם כוח של 433 קיוביט ובסוף 2023 היא תציג מעבד עם כוח של 1,121 קיוביט. כלומר, יותר מפי 10 לעומת המעבד הנוכחי – בכשנתיים בלבד.

בשבוע שעבר שהה החתום מטה בסיור במעבדות של יבמ בציריך, שווייץ, והתרשם באופן בלתי אמצעי כיצד החוקרים שלה עושים את זה, והופכים את המשוואות המתמטיות המסובכות לכוח מחשוב.

מחשוב קוונטי ואבטחה – גם כאן יש מה לדאוג

מאחורי המשוואות, הקיוביטים והמחשוב הקוונטי בכלל יש את נושא האבטחה, ואם להתרשם לפי מה שאומרים ביבמ, יש לנו הרבה מה לדאוג גם כאן, אולי אפילו יותר מאשר בשטחים אחרים בעולם המחשוב. חלק מזה הוא עקב הממשק שבין המחשוב הקוונטי ליישומים הרלוונטיים בעולם הקריפטו (שאסוציאטיבית מתקשר אצלנו למטבעות וירטואליים, אבל זה רק אחד התוצרים שלו). לדברי מייק אוסבורן, ראש תחום קריפטוגרפיה ביחידת המחקר של יבמ, "עולמות הקריפטו והקוונטום מביאים אתם איומים עתידיים רבים, ובראשם שהדטה שאנחנו מגנים עליה כיום תאבד לטובת הקריפטו העתידי. בהחלט ייתכן שהמכונות יקבלו יכולת בינה כזאת שתאפשר להן לגנוב מאתנו דטה ואפילו כסף, למשל. אנחנו צריכים להיערך כדי להגן מפני זה. ככל שהטכנולוגיות בתחום זה לא יהיו בטוחות, יהיו לנו יותר בעיות בעתיד".

יבמ פועלת ומשקיעה לא מעט כדי שהפיתוחים שלה בתחום יהיו בטוחים – Crypto Quantum Safe, במיוחד כשזה נוגע לניהול מפתחות קריפטו ולטרנזקציות של יישומים. אלא שמדברי אוסבורן עולה תמונה די מבהילה, שלפיה ייתכן שגם אם הענק הכחול, או כל חברה אחרת, ישקיעו את מרב המשאבים שיש להם בתחום, זה לא יהיה מספיק. "האלגוריתמים שלנו הם Quantum Safe", אמר אוסבורן, "אבל גם אם הם כאלה כיום, כשתגיע הקריפטוגרפיה החדשה הם כבר יהיו לא מוגנים ויצטרכו להגן עליהם מחדש. זאת בעיה שקיימת כיום, אבל את ההשפעה הגדולה שלה נראה בעתיד".

לפני כשנה השיקה יבמ שני כלים רלוונטיים: האחד הוא שירות תמיכה ב-Quantum Safe Crypto, שנועד לאבטח העברת דטה – בין אם בתוך הארגון או ממנה החוצה – באמצעות אלגוריתם שהוא Quantum Safe, והשני הוא שירות מורחב של הגנת קריפטו על הענן שלה, שנועד להגנה על הנתונים בתוך יישומים. ההגנה מכסה סכימות של הצפנה במאגרי מידע ואימות חתימה דיגיטלית.

האם נעשים מאמצים בתחום גם ברמת הרגולציה?
"כן. NIST (ר"ת National Institute for Standards and Technology – המכון הפדרלי האמריקני שעוסק בטכנולוגיה ובתיקנון שלה; י"ה) פועל חזק בעולם הקריפטו, בין היתר באמצעות תחרות שנתית שהוא עורך, שבה הוא מזמין מפתחים וחברות להתחרות עם טכנולוגיות בתחום. השנה, שלושה מהפיינליסטים בתחרות הם אנשי יבמ".

מה בעצם מהות הבעיה?
"יש כאן שתי מהויות: האחת היא שמדובר במשוואות מתמטיות מסובכות, שהתוצאה שלהן היא מספר גדול, שעל בסיסו צריכים למצוא פקטור. אבל אם אתה צריך למצוא שני פקטורים – זה קשה. אנחנו מנסים לפתור את זה על ידי פיתוח של קריפטו בהתבסס על בעיות מתמטיות קשות, כשאין המהרה של הקריפטו. אנחנו מציעים הצפנה מבוססת סריג (Lattice. סריג, על פי ויקיפדיה, הוא 'מבנה אינסופי מחזורי, המתאפיין בכך שהזזות בכיוונים שונים מותירות אותו בעינו'). בנוסף, אם יש אלגוריתם שנפרץ, יש אלגוריתם אלטרנטיבי.

הבעיה השנייה נמצאת בארגונים: עולם הקריפטו הוא בלאגן, ואין ארגון שיודע באיזה קריפטו הוא משתמש והיכן. אם אתה צריך להעביר את הארגון שלך בביטחון למחשוב קוונטי, אתה צריך לדעת איפה הקריפטו שלך ואיך עושים אותו בטוח".

למה זה קורה?
"גם בגלל חוסר מודעות וגם בגלל מחסור בתקנים, בסטנדרטיזציה. הרגולטורים אמנם פועלים בתחום, דוגמת התחרות של NIST, אבל יחסית לאט".

כדי לבצע פיתוח מאובטח מהבחינה הזאת, לדברי אוסבורן, "האידיאל הוא שהפיתוח ייעשה בצורה כמה שיותר אוטומטית וכמה שפחות עם מעורבות אנושית, למשל באמצעות DevSecOps, ולהשאיר את הפיתוח בתוך הארגון".

מה אתה ממליץ למנהלי ה-IT לעשות?
"ראשית, לבנות אסטרטגיה של ממשל IT – לפתח מודעות לבעיה ולהבין כיצד הם מתכוונים למשול בה. שנית, אם הארגון מתכוון להעביר את המידע שלו לענן וספק הענן עושה את האבטחה עבורו – זה טוב. באופן כללי, ענן יותר מאובטח, מאחר שהוא יותר הומוגני מבחינה טכנולוגית".

אוסבורן עובד לא מעט עם המהנדסים והחוקרים ממעבדת המחקר של יבמ בחיפה, ויש לו רק דברים טובים להגיד עליהם: "אם בעבר, המחקר של יבמ היה ממוקד במעבדה, בכל אחת מהמעבדות, כעת הוא מתבצע בשיתוף פעולה בין המעבדות השונות, ובין היתר בינינו לבין המעבדה בחיפה. המהנדסים בחיפה הם מאוד מאפשרים – הם לוקחים את הטכנולוגיה ואת ההצפנה מאפשרים אותן, כולל את הבינה המלאכותית".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים