מדינת ישראל עלולה לעמוד בפני איום פריצה קוונטית כבר בשנים הקרובות, שתאפשר לחדור לכל מידע מוצפן שנשמר במחשבי הממשלה והצבא. ממסמך הנחיות שהגיע לידי ynet עולה שמערך הדיגיטל הלאומי מנחה בימים אלו את כל גופי הממשלה להתחיל בהיערכות לקראת הסכנה.
על פי ההנחיות, כל גוף ממשלתי צריך לערוך מיפוי של כל תשתיות המחשוב והתקשורת שלו, לאתר את כל המידע העלול להיחשף ולהעריך את הנזק שעלול להיגרם. לאחר מכן יבוצע פרויקט הצפנה "פוסט קוונטית" שימנע אפשרות של מחשבים קוונטיים לחדור למחשוב הממשלתי.
האיום הקוונטי
המחשבים הקוונטיים נמצאים עדיין בחיתוליהם, אבל העוצמה הגלומה בהם הולכת וגדלה. בתוך שנים ספורות הם צפויים להגיע לשוק והחשש הוא שלצד התרומה העצומה לאנושות, הם מהווים גם סכנה גדולה: אותם מחשבים יוכלו לפצח כל הצפנה שקיימת כיום, כולל של מערכות הבנקאות העולמית ושל מערכות ביטחון ומודיעין של מדינות שונות. הבעיה חמורה אף יותר, שכן תוקפים יכולים לאסוף כבר היום מידע מוצפן ולפענח אותו כשייכנסו לשימוש המחשבים הקוונטיים.
"האיום הקוונטי אינו תרחיש עתידני רחוק אלא מציאות מיידית הדורשת היערכות מהירה ומקיפה" נכתב במסמך של מערך הדיגיטל. המסמך מציג שורה ארוכה של איומים פוטנציאליים מצד מחשב קוונטי זדוני.
כך למשל תוקף עלול לבצע הקלטה של תעבורה מוצפנת או לגנוב מחשב עם מידע מוצפן, ולפענח אותם בעת זמינות מחשוב קוונטי. הוא עלול לזייף חתימות דיגיטליות, לשבור הגנת בלוקצ'יין ולגרום להכחשת העברת כספים, כמו גם לכרות באופן לא הוגן מטבעות קריפטו או לבצע מתקפות סייבר שמערכות ההגנה הנוכחיות אינן מסוגלות להתמודד איתן.
החשש מאיומים אלה מוביל מדינות רבות לחפש פתרון כבר עכשיו. אחד הפתרונות המובילים מכונה "הצפנת פוסט-קוונטום" (post-quantum cryptography). הרעיון פשוט: מכיוון שבינתיים לא קיימים מחשבים קוונטיים, צריך לפתח אלגוריתם הצפנה שפועל על מחשב רגיל, ועדיין שההצפנה הזו תהיה עמידה בפני מחשב קוונטי.
מי שמוביל את המאמץ הזה הוא המכון האמריקאי לתקנים ולטכנולוגיה (NIST), שהציג לאחרונה שלושה אלגוריתמים פוסט קוונטיים שפיתחו חוקרים בתחום. כעת ההנחיה לארגונים ממשלתיים היא להיערך להתקפות קוונטיות ולבחון מעבר לשימוש בהצפנות החדשות.
מיפוי הסכנות – עד סוף 2025
לפי ההנחיה של מערך הדיגיטל, משרדי הממשלה והארגונים הממשלתיים יצטרכו לדרוש יכולת הצפנה פוסט קוונטית בכל התקשרות חדשה עם חברות חיצוניות. כמו כן כל היחידות נדרשות לערוך "מיפוי מקיף ויסודי להבנת רמת האיום" עד סוף שנת 2025.
המיפוי צריך לציין נכסים מוצפנים, שעלולים להפוך ליעד ל"איסוף", או שכבר נאספו במתקפות סייבר. כמו כן הוא צריך לכלול הערכה של הנזק שייגרם אם המידע ידלוף, ותוכנית להתמודדות עם הנזק אם אכן יקרה. כל מערכת הצפנה שפותחה על ידי משרד ממשלתי נדרשת לשדרוג להצפנה פוסט קוונטית.
עפרה פרנקל, מנהלת מערכות מידע ממשלתית ראשית במערך הדיגיטל הלאומי, אומרת שהמערך עוקב כל העת אחר מגמות וטכנולוגיות חדשות, וזה מה שמביא אותו כעת להנחות את משרדי הממשלה להערכות לקראת עידן הפוסט-קוונטום.
"קשה לשים את האצבע מתי זה הולך לקרות", מסבירה פרנקל, "לפני 25 שנה כשהיה חשש מפני האירוע של באג ,2000 ידענו את היום והשעה שבו זה עלול לקרות. במקרה של הקוונטים יש אסכולות שונות, שמדברות על יכולת מחשוב קוונטי החל מבעוד שנה - שנה וחצי, כאשר יש את אלו הטוענים שכבר יש מדינות המסוגלות ליישם את הטכנולוגיה כבר עכשיו. ויש כמובן את אלו שטוענים שמדובר בטווח של 10-15 שנים קדימה".
למה בחרתם דווקא את העיתוי הזה להוציא את ההנחיה?
"אנחנו מאזינים למה שקורה בעולם ורואים היערכות. ארה"ב מובילה את התחום הזה והם מרעננים עכשיו לכל גופי הממשלה את ההנחיות בנושא. יש מסמך שיצא עוד בתקופת ממשל ביידן, שקיבל בחודש האחרון עדכון בצו נשיאותי. אנחנו מעדיפים להיות ערוכים מבחינת המיפוי, ולהיות בשלב שבו לפחות ברור לנו מה גודל הסיכון שאנחנו עומדים מולו".
הסיכון הוא כל המידע שהממשלה מחזיקה בו, לא כך? הרי אין מידע שזה תקין שהוא ידלוף
"ההנחיות של הממשלה הן שכל המידע והמערכות צריכים להיות מוצפנים. הבעיה שלנו זה שגם כשאנחנו יודעים שזה מוצפן, זה אולי לא מספיק".
"מיפוי" זו בדרך כלל מילת קוד ל"אני לא יודע איפה הדברים שלי". אתם יודעים להגיד איפה נשמר המידע של משרדי ממשלה?
"התשובה היא חלקית. אנחנו לא מצפים שנכיר הכל, בגלל זה ההנחיה היא למשרדי הממשלה. אם מנהל מערכות מידע במשרד ממשלתי לא מכיר את כל מאגרי המידע שלו, זה חמור מאוד. אבל אני מעריכה שאנשי המקצוע הרלוונטיים אכן מכירים".
אילו מאגרי מידע נראים לך רגישים במיוחד, שאיתם כדאי להתחיל?
"אני חושבת שכל מאגר ממשלתי, בסוף יש לו את הרגישות שלו. כדי שהממשלה תוכל להמשיך לתפקד, כמעט כל מאגר ממשלתי צריך להיות קיים. ברור שמאגרים שמחזיקים מידע אישי, מידע שקשור לצנעת הפרט, מידע רפואי, הם תמיד בסיווג גבוה יותר".
הדרך להתמודד בצורה מיטבית מול מחשב קוונטי היא כנראה באמצעות מחשב קוונטי אחר, בטכנולוגיה המכונה "הצפנה קוונטית". הרעיון התיאורטי מכונה "הפצת מפתח קוונטי" (Quantum Key Distribution – QKD) והוא משתמש בתופעת "שזירה קוונטית" (Quantum Entanglement), שבה נוצר קשר מסתורי בין חלקיקים תת-אטומיים - גם אם המרחק ביניהם עצום.
בהצפנה מסוג זה ניתן לזהות מיידית כל ניסיון לא-מורשה לגשת למידע. לצד זאת, במערך הדיגיטל עוד לא נמצאים שם, כאשר גם אלגוריתמים פוסט קוונטיים נראים עדיין כמשימה קשה לביצוע.
אתם מתכוונים ליישם את האלגוריתמים של NIST?
"הם בשלבים מאוד ראשוניים של בחינת היישום שלהם, ועוד לא נבחנו מספיק טוב בהיבטי הביצועים ובהיבטים אחרים, כך שכרגע הצפנה כזו עוד לא יישומית. יש כמה תאוריות בנושא, אבל מי שמנסה ליישם אותן נתקבל בבעיית ביצועים מאוד קשה".
"נכון לעכשיו עדיין אין משהו שאנחנו יכולים להצביע עליו ולהגיד 'הנה, זה האלגוריתם'. אין אפילו חברה אחת שיצאה עם משהו דומה שאפשר לרכוש אותו. אנחנו רוצים קודם כל למפות ולהבין מה צריך להחליף. כך נוכל להכין את משרדי הממשלה למצב שבו כאשר האלגוריתמים יהיו קיימים, ההחלפה תהיה קלה יחסית".
