المدفوعات المقاومة للحوسبة الكمية: لماذا يجب على الصناعة التحرّك الآن

TL;DR. تُهدّد الحوسبة الكمية تشفير أنظمة المدفوعات. تكشف الورقة البيضاء لـ EPAA عن المخاطر الهيكلية والحاجة الملحّة للهجرة إلى التشفير ما بعد الكمي.

Points clés

التهديد الكمي على أنظمة المدفوعات. ترتكز البنية التحتية للمدفوعات الحديثة على تشفير المفتاح العام — RSA و ECC و Diffie-Hellman — في توثيق المعاملات، وحماية بيانات حاملي البطاقات، وتأمين تبادل الرسائل بين المؤسسات المالية.
مخاطر "اجمع الآن وفُكّ التشفير لاحقاً". التهديد ليس محصوراً بتاريخ مستقبلي تبلغ فيه الحواسيب الكمية القدرة الكافية.
الأثر على مسارات المدفوعات كاملةً. تمتدّ التداعيات إلى عرض البنية التحتية للمدفوعات بأكملها:.
ما يجب على المؤسسات فعله الآن. الانتقال إلى التشفير المقاوم للحوسبة الكمية ليس ترقيةً واحدة بل برنامجاً متعدد السنوات يتطلب إعداداً منظماً:.

التهديد الكمي على أنظمة المدفوعات #

ترتكز البنية التحتية للمدفوعات الحديثة على تشفير المفتاح العام — RSA و ECC و Diffie-Hellman — في توثيق المعاملات، وحماية بيانات حاملي البطاقات، وتأمين تبادل الرسائل بين المؤسسات المالية. تُشكّل هذه الخوارزميات الأساس الذي تستند إليه SWIFT و SEPA وأنظمة التسوية الإجمالية في الوقت الفعلي، وكلّ مخطّط بطاقات قائم اليوم تقريباً.

الحواسيب الكمية المُشغّلة لخوارزمية Shor ستكون قادرة على كسر هذه الأوليات التشفيرية. ومع أن الآلات الكمية المتسامحة مع الأخطاء غير متوفرة بعدُ بالحجم المطلوب، فإن مسار تطوّر العتاد — كما برهنت عليه IBM و Google وآخرون — يجعل ذلك مسألة جدولٍ هندسي لا مسألةً نظرية. وقد قام National Institute of Standards and Technology (NIST) باستكمال أول مجموعة من معايير التشفير ما بعد الكمي (FIPS 203 و 204 و 205) استجابةً لذلك.

مخاطر "اجمع الآن وفُكّ التشفير لاحقاً" #

التهديد ليس محصوراً بتاريخ مستقبلي تبلغ فيه الحواسيب الكمية القدرة الكافية. فالجهات الفاعلة على مستوى الدول والخصوم المتطورون يعترضون ويخزّنون البيانات المشفّرة اليوم، بنيّة فكّ تشفيرها متى أصبحت الموارد الكمية متاحة. هذه الاستراتيجية المعروفة بـ harvest-now decrypt-later (HNDL) تعني أن أي بيانات مدفوعات ذات حساسية طويلة الأمد — السجلات التنظيمية، أرشيفات الامتثال، الالتزامات التعاقدية — معرّضة للخطر بالفعل.

بدأت الجهات التنظيمية المالية في الاستجابة. أصدرت Monetary Authority of Singapore (MAS) إرشاداتٍ بشأن الجاهزية الكمية. وأشارت Australian Prudential Regulation Authority (APRA) إلى المخاطر التشفيرية ضمن إطار مرونتها التقنية. ويفرض Digital Operational Resilience Act (DORA) الصادر عن الاتحاد الأوروبي إدارةً لمخاطر تقنية المعلومات والاتصالات تأخذ بعين الاعتبار التهديدات الناشئة، بما فيها الحوسبة الكمية.

الأثر على مسارات المدفوعات كاملةً #

تمتدّ التداعيات إلى عرض البنية التحتية للمدفوعات بأكملها:

مراسلات SWIFT: تعتمد صِيَغ رسائل MT و MX على TLS والتواقيع الرقمية لضمان التكامل والتوثيق. أي اختراقٍ لبنية المفاتيح يُقوّض نموذج الثقة الذي يربط أكثر من 11000 مؤسسة عالمياً.

SEPA والمدفوعات الفورية: يُعالج نظام SEPA Instant Credit Transfer التابع لـ European Payments Council معاملاتٍ غير قابلة للإلغاء في أقلّ من عشر ثوانٍ. والاختراق التشفيري بهذه السرعة لا يترك أي نافذة للتدخّل البشري أو التحقق اليدوي.

أنظمة المدفوعات الفورية: Faster Payments (المملكة المتحدة) و FedNow (الولايات المتحدة) و NPP (أستراليا) تتشارك جميعها الاعتماد على الأوليات التشفيرية الكلاسيكية لتوثيق الرسائل والتحقق من المشاركين.

الامتثال والبيانات طويلة العمر: سجلات المدفوعات المحفوظة لأغراض تنظيمية — كثيراً ما تكون إلزامية لفترة خمس إلى عشر سنوات أو أكثر — ستعيش أطول من ضمانات الأمن التي تقدّمها التشفيرات التي حمتها لحظة إنشائها. وعلى برامج الهجرة إلى ISO 20022 أن تأخذ في الحسبان العمر التشفيري للبيانات التي تُنتجها.

البلوكشين وتقنية السجل الموزّع: تواجه منصّات الأصول الرقمية وأدوات المدفوعات المُرمّزة المعتمدة على تشفير المنحنيات الإهليلجية تهديداً مباشراً ومفهوماً جيداً من الخوارزميات الكمية.

ما يجب على المؤسسات فعله الآن #

الانتقال إلى التشفير المقاوم للحوسبة الكمية ليس ترقيةً واحدة بل برنامجاً متعدد السنوات يتطلب إعداداً منظماً:

الجرد التشفيري: على المؤسسات فهرسة كلّ نظام وبروتوكول ومخزن بيانات يعتمد على تشفير المفتاح العام الكلاسيكي. يشمل ذلك شهادات TLS، وتوثيق واجهات برمجة التطبيقات، وتكوينات HSM، وأنظمة إدارة المفاتيح، وتشفير البيانات في حالة السكون.

اعتماد خوارزميات ما بعد الكم: أصدر NIST معياراً لـ ML-KEM (FIPS 203) لتغليف المفاتيح، و ML-DSA (FIPS 204) للتواقيع الرقمية. ينبغي للمؤسسات البدء باختبار هذه الخوارزميات في بيئاتٍ غير إنتاجية وتطوير خرائط طريقٍ للهجرة في الأنظمة الحرجة.

المرونة التشفيرية: يجب أن تُصمَّم الأنظمة — أو يُعاد هيكلتها — بحيث يمكن استبدال الخوارزميات التشفيرية دون الحاجة إلى إعادة تصميم تطبيقي كامل. ينطبق هذا المبدأ على بوابات المدفوعات وعلى البرامج الوسيطة لتبادل الرسائل وعلى واجهات برمجة التطبيقات المُوجّهة للعملاء على حدّ سواء.

النهج الهجينة: خلال الفترة الانتقالية، تُوفّر المخطّطات التشفيرية الهجينة التي تجمع بين الخوارزميات الكلاسيكية وما بعد الكمية دفاعاً عميقاً. يحفظ هذا النهج التوافق العكسي مع إدخال المقاومة الكمية.

مجموعة عمل EPAA والتعاون الصناعي #

أنشأت Emerging Payments Association Asia (EPAA) مجموعة عمل Quantum Safe Cryptography لمعالجة هذه التحديات بعمل صناعي منسّق. تجمع المجموعة مشاركين من منظومة المدفوعات بأكملها، تشمل IBM و HSBC و KPMG و JPMorgan Chase و PayPal، وغيرها.

عبر ورش عملٍ عُقدت في سيدني وهونغ كونغ وسنغافورة، طوّرت مجموعة العمل إطاراً مشتركاً لتقييم المخاطر الكمية في أنظمة المدفوعات وتحديد مسارات هجرة عملية. وتُمثّل الورقة البيضاء الناتجة — Quantum-Safe Payments: Why the Payments Industry Must Act Now — موقفاً توافقياً بشأن إلحاح هذا التحدّي وحجمه.

تخلُص تحليلات مجموعة العمل إلى أن الجاهزية المقاومة للحوسبة الكمية قرارٌ يخصّ البنية التحتية الراهنة، لا المستقبلية. والمؤسسات التي تتلكأ تُخاطر بعدم القدرة على تلبية التوقعات التنظيمية، أو حماية البيانات طويلة العمر، أو الحفاظ على قابلية التشغيل البيني مع شركاءٍ سبقوا في الهجرة.

عن المؤلف #

Sebastien Rousseau هو Senior Digital Product Manager في HSBC Bank plc، حيث يقود منتجات واجهات برمجة تطبيقات المدفوعات المؤسسية ضمن HSBC's Commercial & Investment Bank. أسهم في مجموعة عمل EPAA Quantum Safe Cryptography Working Group ويبحث في تطبيق التشفير ما بعد الكمي في الخدمات المالية. اقرأ المزيد عن Sebastien ❯