ทำไม Microsoft ต้องเร่งสปีดขยับเดดไลน์เป็นปี 2029?
คุณ Mark Russinovich ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี (CTO) ของ Microsoft Azure ออกมาบอกตรงๆ เลยว่า "ความก้าวหน้าของการวิจัยและพัฒนาควอนตัมมันไปไวเกินคาด "ซึ่งหมายความว่า ควอนตัมคอมพิวเตอร์ที่มีความสามารถมากพอจะถอดรหัสลับในปัจจุบัน (Cryptographically Relevant Quamtum Computer) อาจจะมาถึงเร็วกว่าที่คิด และการเตรียมระบบรับมือมันใช้เวลานาน ขืนองค์กรต่างๆ ไม่เริ่มตอนนี้ บอกเลยว่าไม่ทันการณ์แน่ๆ ครับ
ด้วยเหตุนี้ Microsoft เลยต้องเร่งเครื่องโครงการ Microsoft Quantum Safe Program (QSP) เพื่อเปลี่ยนผ่านผลิตภัณฑ์และบริการสำคัญๆ ไปสู่ "วิทยาการรหัสลับยุคหลังควอนตัม" (Post-Quantum Cryptography หรือ PQC) ภายในปี 2029 พร้อมทั้งใส่เรื่องนี้เข้าไปในแผนความปลอดภัยหลักอย่าง Secure Future Intiative (SFI) ด้วยครับ
3 จุดโฟกัสที่ Microsoft กำลังลงมือทำ
เพื่อให้ระบบพร้อมรับมือ Microsoft ได้วางแนวทางหลักๆ ไว้ดังนี้ครับ
- อัปเกรดระบบเครือข่าย: หันมาใช้โปรโตคอล TLS 1.3 เพื่อความปลอดภัยที่หนาแน่นขึ้น
- สร้างความยืดหยุ่นทางรหัสลับ (Crypto-Agility): สำหรับข้อมูลที่จัดเก็บ เพื่อให้ระบบสามารถ "เปลี่ยนสลับ" อัลกอริทึมเข้ารหัสได้ง่ายๆ โดยไม่ต้องรื้อและออกแบบโครงสร้างระบบใหม่ทั้งหมดตั้งแต่ต้น
- เปลี่ยนผ่าน Trust Chains สู่ PQC: นำอัลกอริทึม PQC มาใช้กับระบบที่ต้องอาศัยความน่าเชื่อถือสูง เช่น การเซ็นโค้ด (Code Signing), การออกใบรับรอง (Certificate), การปกป้องคีย์ และกระบวนการอัปเดตระบบต่างๆ
Crypto-Agility คืออะไร?
Microsoft เน้นย้ำว่า สิ่งสำคัญคือการเลิกเขียนโค้ดแบบล็อกตายตัว (Hard-coded) ว่าต้องใช้รหัสตัวไหน แต่ต้องทำระบบให้พร้อมอัปเกรดอัลกอริทึมได้เหมือนเป็นงงานวิศวกรรมรูทีมทั่วไป ไม่ใช่ต้องมารื้อเขียนโค้ดกันใหม่แบบฉุกเฉินตอนที่รหัสโดนเจาะแล้ว ระบบที่ดีต้องอ่านข้อมูลเก่าที่เข้ารหัสแบบเดิมได้ยาวนานพอในระหว่างเปลี่ยนผ่าน แต่ในขณะเดียวกันก็ต้องเขียนข้อมูลใหม่ด้วยอัลกอริทึมล่าสุดที่ปลอดภัยที่สุดได้ด้วย
เทรนด์โลกที่บีบให้ต้องขยับ ไม่ใช่แค่ Microsoft ที่ตื่นตัว
ถ้าถามว่าทำไมต้องปี 2029? เพราะตอนนี้ยักษ์ใหญ่ค่ายอื่นและรัฐบาลสหรัฐฯ ก็ปักหมุดปีนี้กันหมดแล้วครับ
- รัฐบาลสหรัฐฯ: ประธานาธิบดีโดนัลด์ ทรัมป์ เพิ่งลงนามในคำสั่งบริหาร กำหนดเส้นตายที่เข้มงวดให้หน่วยงานรัฐบาลกลางย้ายสินทรัพย์ที่มีมูลค่าสูงและระบบที่มีผลกระทบสูงไปสู่ระบบ PQC
- Google: เมื่อเดือนมีนาคมที่ผ่านมา ประกาศโปรแกรมใหม่ใน Chrome เพื่อให้แน่ใจว่าใบรับรอง HTTPS จะปลอดภัยจากควอนตัม และประกาศกร้าวว่าจะย้ายโครงสร้างพื้นฐานของตัวเองให้ปลอดภัยจากควอนตัมภายในปี 2029 เช่นกัน
- Cloudflare: บริษัทโครงสร้างพื้นฐานเว็บระดับโลก ก็ประกาศแผนย้ายไปสู่ PQC ภายในปี 2029 ในทิศทางเดียวกันครับ
มหันตภัย "Harvest Now, Decrypt Later" และงานวิจัยที่ก้าวกระโดด
ทำไมต้องรีบเข้ารหัสใหม่ตั้งแต่วันนี้ ในเมื่อควอนตัมคอมพิวเตอร์ที่ใช้งานได้จริงยังสร้างไม่เสร็จสมบูรณ์?
นั่นเป็นเพราะภัยคุกคามประเภท "เจาะตอนนี้ไม่ได้ ไม่เป็นไร ขอสูบข้อมูลไปเก็บไว้ก่อน วันหน้าควอนตัมมาค่อยเอามาถอดรหัส" (Harvest Now, Decrypt Later) ซึ่งแฮกเกอร์หรือกลุ่มผู้ไม่หวังดีกำลังทำอยู่ครับ ข้อมูลสำคัญในวันนี้อาจจะรั่วไหลในอีกไม่กี่ปีข้างหน้าถ้าเราไม่รีบป้องกัน
ยิ่งไปกว่านั้น งานวิจัยล่าสุดยังน่ากลัวขึ้นเรื่อยๆ ครับ
- ทีมวิจัยของ Google เผยว่าพวกเขาสามารถพัฒนาควอนตัมอัลกอริทึมสำหรับเจาะรหัสแบบ Elliptic Curve (โดยเฉพาะ ECDLP-256) ได้อย่างก้าวกระโดด โดยใช้จำนวนคิวบิต (Qubits) และเกต (Gates) น้อยกว่าที่เคยคิดไว้มาก
- กลุ่มนักวิชาการจาก Caltech และ Oratomic ได้โชว์วิธีการแก้ไขข้อผิดพลาดแบบใหม่ (Error-correction) ที่อาจทำให้ Shor's Algorithm (อัลกอริทึมที่ใช้ถอดรหัส) สามารถใช้งานได้จริงโดยใช้คิวบิตแบบปรับโครงสร้างได้ (Reconfigurable Qubits) เพียง 10,000 คิวบิตเท่านั้น ซึ่งนั่นเพียงพอที่จะพังระบบรหัสยอดนิยมอย่าง RSA-2048 และ P-256 ได้เลยครับ
โลกไซเบอร์สเปซกำลังจะเปลี่ยนผ่านครั้งใหญ่ครับ การมาของควอนตัมไม่ใช่เรื่องไกลตัวอีกต่อไป ใครที่ดูแลระบบ IT หรือระบบความปลอดภัยในองค์กร ถึงเวลาต้องศึกษาเรื่อง Post-Quantum Cryptography (PQC) และ Crypto-Agility กันอย่างจริงจังแล้วนะครับ ก่อนที่เดดไลน์ปี 2029 จะมาถึง!
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก