ممارسة أمان استشرافية، لاستكشاف حلول الأمان المشتركة بين Web2 و Web3 في عصر ما بعد الكمي

في عصر التطور التكنولوجي السريع، يُعتبر الأمان رحلة مستمرة من الاستكشاف والتقدم. الحوسبة الكمية، باعتبارها تقنية متطورة، تُقدم فرصاً هائلة ولكنها تُشكل أيضاً تهديداً طويل الأمد لأنظمة التشفير باستخدام المفاتيح العامة الحالية (مثل RSA، ECC) التي تحمي الأمان الرقمي العالمي. إدراكاً لهذا الاتجاه، اخترنا الاستكشاف بشكل استباقي بدلاً من الانتظار السلبي.

اليوم، يُسعدنا أن نشارككم نتيجة استكشاف مهمة: كوكوين، بالتعاون مع المشروع مفتوح المصدر pqc-gateway (https://github.com/web3infra-foundation/pqc-gateway) التابع لمؤسسة البنية التحتية لـ Web3 (W3IF) والشريك التقنيflomesh.io، قد أكملت بنجاح إثبات المفهوم (POC) لبوابة تشفير مقاومة للحوسبة الكمية (PQC)، وقامت بفتحها لتجربة الجمهور. يُمثل ذلك خطوة قوية نحو رحلتنا الطويلة إلى الأمان ما بعد الكمي.

 

حول مؤسسة البنية التحتية لـ Web3 (W3IF)
مؤسسة W3IF (الموقع الرسمي:https://web3infra.foundation/) هي مؤسسة غير ربحية لتطوير البرمجيات المفتوحة المصدر مقرها هونغ كونغ، تهدف إلى جمع مشاريع البنية التحتية عالية الجودة المفتوحة المصدر الخاصة بـ Web3 على مستوى العالم، وتعزيز بناء نظام بيئي تقني لامركزي يغطي مجالات رئيسية مثل خوارزميات التوافق، الإثباتات القائمة على المعرفة الصفرية، مصادقة الهوية اللامركزية (DID)، والحوسبة الموثوقة. مشروع pqc-gateway، الذي يُعد جزءاً من هذا التعاون، يُعتبر عنصراً هاماً في نظام المؤسسة البيئي.

 

• PQC، وهو اختصار لـ post-quantum cryptography أو التشفير المقاوم للكمبيوترات الكمومية. لا يشير إلى خوارزمية محددة، ولكنه يمثل فئة من خوارزميات التشفير من الجيل القادم القادرة على مقاومة هجمات الكمبيوترات الكمومية المستقبلية.

• المشكلة الأساسية التي يعالجها هي: تعتمد أمان خوارزميات التشفير غير المتماثلة المستخدمة على نطاق واسع (مثل RSA، ECC) على التعقيد الحسابي لبعض المشكلات الرياضية. ومع ذلك، يمكن للكمبيوترات الكمومية استخدام الكيوبتات الفريدة الخاصة بها (مثل خوارزمية Shor) لحل هذه المشكلات في وقت قصير للغاية، مما يهدد أنظمة الأمان الخاصة بكل شيء من اتصالات الشبكة إلى أصول البلوكشين التي تعتمد على هذه الخوارزميات.
• تكمن قيمة PQC في حقيقة أنه حتى مع وجود كمبيوترات كمومية قوية، فإن كسر خوارزميات PQC نظريًا يعتبر صعبًا للغاية. يهدف إلى بناء جسر أمني جديد يمكنه العبور خلال "العصر الكمومي".

اتخذت الهيئات التنظيمية العالمية والمؤسسات المعنية بوضع المعايير إجراءات نشطة، مما يشير إلى اتجاه وأهمية هذا التحول:

• قاد المعهد الوطني للمعايير والتكنولوجيا (NIST) وأكمل عملية وضع معايير المجموعة الأولى من خوارزميات PQC (مثل Kyber، Dilithium، وغيرها)، مما يمثل مسارًا تقنيًا واضحًا ^[1]. وفي نفس الوقت، دخلت المزيد من الخوارزميات المرحلة النهائية من المسودة، ويشهد النظام البيئي تطورًا سريعًا.

• أصدرت وكالة الأمن القومي الأمريكية (NSA) استراتيجية وطنية ملزمة تتطلب الانتقال من الخوارزميات التقليدية للمفاتيح العامة (RSA، ECC) ليكتمل بحلول عام 2030. واعتبارًا من عام 2035، يجب أن تستخدم جميع الأجهزة والبرمجيات الجديدة المخصصة لأنظمة الأمن القومي خوارزميات PQC فقط ^[2].

• . كما بدأت لجنة الأوراق المالية والبورصات الأمريكية (SEC) في الاستعداد للمستقبل، حيث تقوم بصياغة اقتراح للمؤسسات المالية العالمية بعنوان "الجاهزية للتشفير ما بعد الكم للصناعة المالية (PQFIF)"، مما يشير إلى أن الأمان المقاوم للكم أصبح على وشك أن يصبح مطلبًا أساسيًا للامتثال المالي ^[3].

. كل هذا يشير إلى أن الانتقال إلى PQC لم يعد سؤال "إذا"، بل "متى" و"كيف".

 

في هذا السياق، دخلت كوكوين في شراكة مع مشروع pqc-gateway مفتوح المصدر وشريك تقنيflomesh.io تحت مؤسسة W3IF وذلك لوضع الاستكشاف النظري موضع التنفيذ. معًا، قمنا ببناء بيئة إثبات مفهوم لبوابة مقاومة للكم.

مبدأها الأساسي هو: أثناء إنشاء اتصال HTTPS بين متصفح المستخدم وخادم KuCoin، يتم استبدال خوارزميات تبادل المفاتيح والمصادقة من RSA/ECC التقليدية إلى خوارزميات مقاومة للكم (PQC) وفقًا لمسودة معيار NIST.

ندعوكم بصدق لتجربة هذه النتيجة الأولية: قم بزيارة https://pqctest.kucoin.biz ، حيث أن اتصالكم محمي بالفعل بواسطة التشفير ما بعد الكم.

للحصول على أفضل تجربة، يُوصى باستخدام إصدارات المتصفح التالية:

• Chrome: الإصدار 142.0.7444.135 أو أعلى

• Safari: الإصدار 26.0.1 أو أعلى

• Firefox: الإصدار 144.0.2 أو أعلى

على سبيل المثال، في متصفح Chrome، اضغط على F12 للدخول إلى وحدة التحكم، ثم اختر لوحة الأمان ، إذا كان متصفحك يدعم PQC، سترى في قسم الاتصال ضمن تبادل المفاتيح أن خوارزمية تبادل مفاتيحك قد استخدمت خوارزمية X25519MLKEM768 PQC، مما يشير إلى أن اتصالك محمي بواسطة PQC.

تحويل PQC من معايير نظرية إلى حلول قابلة للاستخدام في بيئات الإنتاج مليء بالتحديات. في هذه الممارسة الخاصة بـ POC، استكشفنا العديد من القضايا الأساسية مع فريق مشروع بوابة PQC التابع لمؤسسة W3IF و flomesh.io ، والتي تمثل أيضًا "المياه العميقة" التي تواجهها الصناعة ككل:

1. الأداء والعبء الإضافي: فن تحقيق التوازن بين الأمان والكفاءة، بالإضافة إلى مسارات التحسين المستقبلية

يُعد هذا التحدي الأكثر مباشرة لتنفيذ PQC، ويظهر بشكل رئيسي في جانبين: الحوسبة والاتصالات.

• العبء الحوسبي:العبء الحسابي لمعظم خوارزميات PQC يتجاوز بكثير خوارزميات ECC الحالية. على سبيل المثال، سرعة إنشاء التوقيع والتحقق من خوارزمية التوقيع Dilithium أبطأ بعدة مرات إلى عشرات المرات مقارنةً بـ ECDSA التقليدية. بالنسبة لبوابات منصات التداول عالية الأداء مثل KuCoin، يعني ذلك زيادة كبيرة في عبء وحدة المعالجة المركزية (CPU)، مما قد يؤثر مباشرةً على معدل استعلام النظام وزمن تأخير الخدمة.

• الحمل التواصلي (النطاق الترددي): هذه واحدة من أكبر التحديات الحالية لخوارزميات PQC.

• • تبادل المفاتيح: يبلغ حجم النص المشفر والمفتاح العام لخوارزمية Kyber حوالي 1-2 كيلوبايت، بينما حجم ECDH التقليدية فقط 32-64 بايت.
  • التوقيع: يبلغ حجم توقيعات Dilithium حوالي 2-4 كيلوبايت، بينما توقيعات ECDSA تكون عادةً بحجم 64-128 بايت فقط.
• تحديات الشهادات والبنية التحتية للمفاتيح العامة (PKI):
  • توسيع سلسلة الشهادات: سلاسل شهادات TLS عادةً ما تتضمن شهادات الكيانات النهائية، وشهادات الجهات الوسيطة، وشهادات الجذر. إذا تم استخدام توقيعات PQC لجميع هذه الشهادات، فقد يصل حجم سلسلة الشهادات بالكامل إلى عشرات الكيلوبايت. قد تضطر المتصفحات لتنزيل مئات الكيلوبايت من بيانات الشهادات أثناء عملية المصافحة، مما يمكن أن يؤثر بشكل كبير على سرعة تحميل الصفحة الأولى وتجربة المستخدم.
• التأثير العام والحلول المستقبلية: إذا تم استخدام خوارزميات PQC بالكامل لاستبدال الخوارزميات الحالية في مصافحة TLS 1.3، فقد يتسبب ذلك في زيادة حجم البيانات المنقولة بنسبة 10-20 ضعفًا. يعتبر هذا تحديًا كبيرًا للسيناريوهات الحساسة لزمن استجابة الشبكة والبيئات ذات النطاق الترددي المحدود (مثل شبكات الهاتف المحمول).

بالنظر إلى المستقبل، نخطط للعمل بشكل وثيق مع مؤسسة W3IF وشركائها التقنيين لاستكشاف حلول منهجية معًا:  

• • تفريغ عبء المعالجة على الأجهزة: البحث في استخدام أجهزة مخصصة (مثل بطاقات الشبكة الذكية، أو بطاقات تسريع التشفير) لتحمل المهام الحسابية المكثفة لخوارزميات PQC، مما يتيح لوحدة المعالجة المركزية (CPU) التركيز على الأعمال الأساسية.
  • تقنية ضغط الشهادات: استكشاف خوارزميات ضغط فعالة لمعالجة الحجم الكبير لشهادات PQC، وتقليل كمية البيانات المنقولة بشكل كبير دون المساس بالأمان.
  • تحسين مجموعة تعليمات وحدة المعالجة المركزية (CPU): الترويج لاعتماد مجموعات تعليمات وحدة المعالجة المركزية المحسّنة لخوارزميات PQC الرئيسية لتعزيز الكفاءة الحسابية من الأساس.

هدفنا النهائي هو تحقيق التوازن بين الأمان والكفاءة من خلال هذه الابتكارات التقنية.

 

2. البروتوكولات وقابلية التشغيل البيني: تعقيد التعاون البيئي

TLS هو نظام بيئي معقد للبروتوكولات، ويتطلب إدخال التشفير المقاوم للكم (PQC) تعاون جميع الأطراف، بما يشمل تمديدات البروتوكولات وأنظمة الشهادات.

• التوافق مع النظام البيئي الحالي ومسار النشر التدريجي: الابتكارات التكنولوجية الجذرية والشاملة ليست واقعية على مستوى بنية الإنترنت التحتية. لذلك، يُعتبر النشر التدريجي هو المسار الوحيد القابل للتنفيذ.
  • معالجة تحديات التوافق: في إثبات المفهوم (POC)، نجحنا في معالجة مشكلات التوافق مع النظام البيئي الحالي من خلال تصميم بوابة ذكية واستراتيجيات تفاوض البروتوكولات. يمكن لبوابتنا التعرف بذكاء على قدرات دعم PQC لدى العميل (المتصفح). بالنسبة للمتصفحات التي لا تدعم PQC بعد، يمكن للبوابة الرجوع بسلاسة إلى خوارزميات التشفير التقليدية، مما يضمن إمكانية وصول جميع المستخدمين إلى الموقع بسلاسة، وبالتالي ضمان التوفر الشامل للخدمة. هذا إنجاز رئيسي حققناه في هذه الممارسة.
  • الحالة الحالية وحدود دعم المتصفحات: لماذا ترى PQC حاليًا فقط على مستوى تبادل المفاتيح؟
    حاليًا، المتصفحات الرئيسية (Chrome، Safari، Firefox) في المراحل الأولى من دعم PQC. استراتيجيتها في الدعم تعتمد على التدريج والمراحل:

1. 1. الأولوية لدعم تبادل المفاتيح: إصدارات المتصفحات الحالية تدمج بشكل أساسي دعم خوارزميات PQC (مثل Kyber) في مرحلة تبادل المفاتيح. ويرجع ذلك إلى أن تبادل المفاتيح يؤثر بشكل مباشر على أمان مفاتيح الجلسات للاتصالات اللاحقة، وهو أمر أساسي للحماية من هجمات "التخزين الآن، فك التشفير لاحقًا". لذلك، عند الوصول إلى نطاق الاختبار الخاص بنا، يمكن لمتصفحك بالفعل التفاوض على مفتاح جلسة مقاوم للكم مع بوابتنا باستخدام خوارزميات PQC.
   2. التأخر في دعم التوقيعات الرقمية:دعم التوقيعات الرقمية (المستخدمة بشكل رئيسي لمصادقة هوية الخادم، أي التحقق من سلسلة الشهادات) لا يزال في طور التحسين داخل المتصفحات. لهذا السبب، ينعكس تطبيق التشفير المقاوم للكم (PQC) حاليًا بشكل رئيسي في مستوى تبادل المفاتيح. لا يزال يتعين على الصناعة بأكملها انتظار المتصفحات وسلطات إصدار الشهادات (CAs) لمواكبة التطورات بشكل كامل على مستوى التوقيعات. <br>

 

3. إدارة أمان المواد المفتاحية الحساسة<br>

لا تقتصر ترقيات التشفير على تغيير الخوارزميات فقط؛ بل تفرض أيضًا متطلبات جديدة لإدارة دورة الأمان الكاملة. التحدي الأكبر هنا يكمن في كيفية توليد، وتخزين، وتدوير، وإتلاف المفاتيح الخاصة المرتبطة بخوارزمية PQC بشكل آمن، مع ضمان عدم تسرب هذه المعلومات الحساسة الجديدة التي قد تكون أكثر تعقيدًا. تُعد هذه المهمة أكثر تعقيدًا وأهمية من مجرد استبدال الخوارزمية نفسها. نحن نعمل على تكييف والتحقق من نظام إدارة المفاتيح الناضج الحالي مع الميزات الجديدة لـ PQC. <br>

على الرغم من العديد من التحديات، فقد فتحت عملية التحقق من صحة إثبات المفهوم (POC) لهذا البوابة الباب أمامنا لتطبيقات أوسع لـ PQC. تمثل أمان منصة التداول نقطة الانطلاق فقط؛ إذ يواجه أمان البلوكشين نفسه، وخاصة أمان المحافظ والعقود الذكية، تحديات من الحوسبة الكمية. في المستقبل، سنعمل على توسيع رؤيتنا الاستكشافية لتشمل المجال على السلسلة، ملتزمين بحماية أمان الأصول الرقمية الشامل للمستخدمين: <br>

• محافظ مقاومة للكم: استكشاف استخدام خوارزميات PQC لتوليد وتخزين المفاتيح الخاصة، أو إنشاء أنظمة توقيع مقاومة للكم لحماية أصول المحافظ من تهديدات الحوسبة الكمية المستقبلية بشكل أساسي. <br>

• تطبيقات DApp الآمنة: دعم وتشجيع مطوري تطبيقات DApp على استخدام خوارزميات PQC لمصادقة هوية المستخدم وتوقيع المعاملات، لبناء أساس أمني ما بعد الكمي لكامل نظام التطبيقات اللامركزية. <br>

• المعاملات على السلسلة والعقود الذكية: البحث عن تنسيقات توقيعات المعاملات وآليات التحقق من العقود الذكية الجديدة المتوافقة مع PQC، لضمان بقاء العمليات على السلسلة آمنة وموثوقة في عصر الحوسبة الكمية. <br>

رؤيتنا هي بناء نظام حماية أمني ثلاثي الأبعاد مقاوم للتشفير الكمومي يمتد من منصات التداول إلى شبكات البلوكشين، ومن الخدمات المركزية إلى التطبيقات اللامركزية، مما يحقق حماية حقيقية لأمان الجميع على السلسلة. <br>

<br> يشكل هذا التعاون مع مؤسسة W3IF، <br> <br> flomesh.io <br> <br> ومشروعها المفتوح المصدر pqc-gateway، إلى جانب تحليلنا العميق للتحديات والتخطيط للمستقبل، مجرد نقطة انطلاق لـ KuCoin في الطريق الطويل نحو الهجرة ما بعد الكم. نحن لا ندعي بأننا قد حللنا جميع المشاكل، ولكننا نؤمن جازمين بأن الاستكشاف المبكر، والممارسة الفعّالة، والتعاون المفتوح هي أفضل الطرق لمواجهة حالات عدم اليقين المستقبلية. <br>

<br> **تعتبر KuCoin دائمًا أن أمن أصول المستخدمين وبياناتهم هو مسؤوليتها الأساسية.** من خلال الاستكشاف الشامل الذي يمتد من منصات التداول إلى نظام البلوكشين، نسعى ليس فقط لتعزيز حواجز التكنولوجيا الأمنية لدينا، ولكن أيضًا لتجميع أفضل الممارسات للصناعة في تطبيق التشفير المقاوم للكم. نتطلع للعمل مع المزيد من الشركاء والمستخدمين لبناء نظام بيئي أكثر أمانًا للأصول الرقمية يمكنه بثقة مواجهة عصر الحوسبة القادم. <br>

<br> لأن الأمان الحقيقي ينبع من احترام المستقبل واتخاذ خطوات عملية تبدأ من الأساس. <br>

<br> **المراجع:** <br>

<br> [1] معيار NIST للتشفير المقاوم للكم: <br> <br> https://csrc.nist.gov/projects/post-quantum-cryptography/selected-algorithms-2022 <br>
<br> [2] استشارة وكالة الأمن القومي (NSA) - الهجرة إلى التشفير الكمومي: <br> https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3498776/post-quantum-cryptography-cisa-nist-and-nsa-recommend-how-to-prepare-now/ <br>
<br> [3] توصيات مسودة SEC - PQFIF: <br> <br> https://www.sec.gov/files/cft-written-input-daniel-bruno-corvelo-costa-090325.pdf <br>

 

اخلاء المسؤوليه: تُرجمت هذه الصفحة باستخدام تقنية الذكاء الاصطناعي (المدعومة من GPT) لراحتك. للحصول على المعلومات الأكثر دقة، ارجع إلى النسخة الإنجليزية الأصلية.