পোস্ট-কোয়ান্টাম পেমেন্ট পরিকাঠামো: কেন ব্যাংক লিগ্যাসি রেল অভিযোজন না করে প্রতিস্থাপন করতে পারে
আজ উৎপাদনে প্রতিটি পাইকারি পেমেন্ট প্রমাণীকরণকারী ক্রিপ্টোগ্রাফিক প্রিমিটিভ — RSA, ECDSA, ECDH — একটি মেয়াদ-শেষের তারিখ বহন করে। মার্কিন Quantum Computing Cybersecurity Preparedness Act ⧉ ২০২২ সালের শেষে সেই মেয়াদকে ফেডারেল ক্রয় আইনে লিখে দিয়েছে। BIS Working Paper No. 1208 ⧉ কেন্দ্রীয় ব্যাংকের তত্ত্বাবধান কাঠামোয় একই মেয়াদ স্থাপন করেছে। NIST FIPS 203 ⧉ ও FIPS 204 ⧉ ২০২৪ সালের অগস্টে প্রতিস্থাপনগুলি প্রকাশ করেছে।
পেমেন্ট পরিকাঠামো এর অর্থ এখনো শোষণ করেনি।
এই নিবন্ধ অভিযোজনের পরিবর্তে প্রতিস্থাপনের প্রকৌশল যুক্তি। এটি সেই স্থপতিদের জন্য, যাঁরা অ্যালগরিদম ইতিমধ্যেই বোঝেন এবং SWIFT MT, ISO 20022 pacs ও pain বার্তা, RTGS ইন্টারফেস, HSM এস্টেট ও তার নিচের শংসাপত্র শ্রেণিবিন্যাস নিয়ে সিদ্ধান্ত নিতে চান।
নির্বাহী সারসংক্ষেপ / মূল বিষয়
- এখন-সংগ্রহ-পরে-ডিক্রিপ্ট (HNDL) হলো অপারেশনাল হুমকি। প্রতিপক্ষ ২০২৬-এ এনক্রিপ্ট করা পেমেন্ট ট্র্যাফিক রেকর্ড করছে, যাতে ক্রিপ্টোএনালিটিক্যালি প্রাসঙ্গিক কোয়ান্টাম কম্পিউটার (CRQC) আসার পর ডিক্রিপ্ট করা যায়। ধরা পড়া ট্র্যাফিকে রয়েছে নিষ্পত্তি নির্দেশ, সুবিধাভোগী তথ্য ও দীর্ঘমেয়াদি সংবেদনশীল প্রমাণীকরণ উপাদান।
- NIST প্রতিস্থাপন মানক করেছে। কী এনক্যাপসুলেশনের জন্য ML-KEM (FIPS 203) ও ডিজিটাল স্বাক্ষরের জন্য ML-DSA (FIPS 204) ডিফল্ট। SLH-DSA (FIPS 205) স্টেটলেস হ্যাশ-ভিত্তিক ফলব্যাক হিসেবে রয়েছে।
- আকার-পার্থক্য লিগ্যাসি অনুমান ভাঙে। পাবলিক কী ও স্বাক্ষর RSA-2048 সমতুল্যের চেয়ে ৫–২০× বড়। সেটি পেমেন্ট নেটওয়ার্কে MTU, MT বার্তা হ্যান্ডলারে স্থির-বাফার অনুমান ও স্থাপিত HSM বহরের ক্রিপ্টোগ্রাফিক থ্রুপুটের সঙ্গে সংঘর্ষে পড়ে।
- হাইব্রিড (ক্ল্যাসিকাল + PQC) মাইগ্রেশন বাহন, গন্তব্য নয়। হাইব্রিড TLS ও হাইব্রিড X.509 প্রোডাকশন রেল প্রতিস্থাপনের সময় দুই থেকে তিন বছর আন্তঃকার্যকারিতা কেনে। মূল ধারণক্ষমতা সমস্যা সমাধান করে না।
- PKI হলো লোড-বহনকারী দেয়াল। যে শংসাপত্র কর্তৃপক্ষের স্বাক্ষর অ্যালগরিদম জালিযোগ্য হয়ে যায়, তার নিচের প্রতিটি শংসাপত্র অবৈধ হয়। ব্যাংকের প্রাতিষ্ঠানিক এক্সপোজার একক এন্ডপয়েন্ট নয়, বিশ্বাসের চেইন।
- ক্রিপ্টো-চটপটে সেই স্থাপত্য ধর্ম যার জন্য নকশা করতে হয়। অ্যালগরিদম শনাক্তকারী, কী ফরম্যাট, স্বাক্ষর এনভেলপ ও HSM পার্টিশন — সব প্যারামিটারযোগ্য হতে হবে। কম্পাইল-সময়ে RSA-র সঙ্গে স্থির করা সব কিছু এমন প্রযুক্তিগত ঋণ, যা একসঙ্গে দাবি হয়ে আসবে।
এখন সংগ্রহ, পরে ডিক্রিপ্ট: যে হুমকি মডেল অপেক্ষার বিকল্প তুলে নেয় #
HNDL স্বাভাবিক ক্রিপ্টোগ্রাফিক সময়রেখাকে উল্টে দেয়। প্রচলিত ঝুঁকি মূল্যায়ন প্রশ্ন করে হুমকি কখন বাস্তবায়িত হবে। HNDL প্রশ্ন করে আজ ধরা পড়া তথ্য প্রতিপক্ষের কাছে কখন কাজের হয়ে উঠবে। পেমেন্ট বার্তার ক্ষেত্রে — সুবিধাভোগী পরিচয়, অ্যাকাউন্ট নম্বর, কাঠামোগত রেমিট্যান্স তথ্য, নিষেধাজ্ঞা স্ক্রিনিং পেলোড, অন্তঃব্যাংক নিষ্পত্তি নির্দেশ — সংবেদনশীলতার জানালা বছর থেকে দশকের। সেই ট্র্যাফিকের অধিকাংশই এখনই কোথাও না কোথাও রেকর্ড হচ্ছে।
NSA-র CNSA 2.0 সময়রেখা ⧉ জাতীয়-নিরাপত্তা ব্যবস্থাকে ২০৩৫ পর্যন্ত সময় দেয়। আর্থিক তত্ত্বাবধায়করা দ্রুত সময়সূচিতে চলছেন — PRA-র অপারেশনাল স্থিতিস্থাপকতার প্রত্যাশা ⧉ ক্রিপ্টোগ্রাফিক চটপটিতাকে তৃতীয়-পক্ষ ঘনত্ব ঝুঁকি হিসেবে গণ্য করে। ২০২৬-এ প্রত্যাশা হলো গুরুত্বপূর্ণ পেমেন্ট রেল তাদের স্থিতিস্থাপকতা স্ব-প্রমাণনে PQC মাইগ্রেশন পরিকল্পনা প্রকাশ করবে।
HNDL প্রতিপক্ষের আজ CRQC লাগে না। যা লাগে:
- নেটওয়ার্ক অবস্থান। সাবমেরিন-কেবল ট্যাপ, ISP-স্তরের ক্যাপচার ও আপোসকৃত মিডলবক্স — সবই পরিধির মধ্যে। পাইকারি পেমেন্ট ট্র্যাফিক অল্পসংখ্যক নেটওয়ার্ক পথের মাধ্যমে ঘনীভূত হয়।
- স্টোরেজ। ২০২৬-এ এক পেটাবাইট কাঠামোগত পেমেন্ট তথ্য একটি পরিচালনযোগ্য আর্কাইভ।
- ধৈর্য। প্রতি বার্তা ক্যাপচার করতে কোনো খরচ নেই। ফলন পরে আসে।
মাইগ্রেশন যুক্তি তাই "কোয়ান্টাম কম্পিউটার ২০৩৫-এ আসতে পারে" নয়। যুক্তিটি হলো "আজ রাতে RSA-2048 কী এক্সচেঞ্জ দিয়ে সম্পন্ন হওয়া যেকোনো TLS সেশন ততদিন উন্মুক্ত, যতদিন তার ভেতরের তথ্য সংবেদনশীল থাকে।"
আকার সমস্যাই প্রকৌশল সমস্যা #
PQC মাইগ্রেশন নিয়ে সর্বজনীন আলোচনা সাধারণত অ্যালগরিদম নির্বাচনের দিকে ঝোঁকে। কঠিন সমস্যা মাত্রিক।
| প্রিমিটিভ | পাবলিক কী | স্বাক্ষর / সাইফারটেক্সট |
|---|---|---|
| RSA-2048 | ২৫৬ বাইট | ২৫৬ বাইট (স্বাক্ষর) |
| ECDSA P-256 | ৬৪ বাইট | ৬৪ বাইট (স্বাক্ষর) |
| ML-KEM-768 | ১,১৮৪ বাইট | ১,০৮৮ বাইট (সাইফারটেক্সট) |
| ML-DSA-65 | ১,৯৫২ বাইট | ৩,৩০৯ বাইট (স্বাক্ষর) |
| SLH-DSA-128f | ৩২ বাইট | ১৭,০৮৮ বাইট (স্বাক্ষর) |
এই সংখ্যাগুলি সরাসরি সেই ব্যর্থতা-রূপগুলির সঙ্গে মিলে যায়, যেগুলির জন্য লিগ্যাসি পেমেন্ট পরিকাঠামো কখনো নকশা করা হয়নি:
- পথে প্যাকেট খণ্ডিতকরণ। হাইব্রিড ML-KEM-768 ও ক্ল্যাসিকাল X25519 বহনকারী ClientHello সাধারণ ১,৫০০-বাইট ইথারনেট MTU অতিক্রম করে। দুই পেমেন্ট এন্ডপয়েন্টের মধ্যবর্তী মিডলবক্স খণ্ডিত করে, ফেলে দেয় অথবা হ্যান্ডশেক পুনর্লিখন করে। ব্যর্থতা ক্ষণস্থায়ী নেটওয়ার্ক গোলমালের মতো দেখায় বিরতিহীন TLS ত্রুটি হিসেবে।
- MT হ্যান্ডলারে বাফার অনুমান। বহু SWIFT MT ইন্টিগ্রেশন ECDSA-র জন্য আকারিত স্বাক্ষরিত এনভেলপ বহন করে। একই এনভেলপে ML-DSA স্বাক্ষর ঢোকালে পার্সার হয় ছেঁটে ফেলে, না হয় প্রত্যাখ্যান করে।
- HSM থ্রুপুট। স্থাপিত HSM বহরে ML-DSA স্বাক্ষরন প্রতি অপারেশনে ECDSA-র চেয়ে ৩–১০× ধীর, এমন হার্ডওয়্যারে যার প্রতি-সেকেন্ড কী বাজেট ইতিমধ্যেই দিনশেষ ব্যাচ জানালায় উত্তপ্ত।
- শংসাপত্র চেইন ওজন। ML-DSA স্বাক্ষর দিয়ে পুনঃইস্যু করা চার-স্তরের CA শ্রেণিবিন্যাস প্রায় ৬ KB থেকে প্রায় ৬০ KB-তে বাড়ে। রেলে প্রতিটি TLS হ্যান্ডশেক সেই দাম দেয়।
অভিযোজন পথ হলো এই সীমাবদ্ধতাগুলি আলাদা আলাদা সামলানো — এক জায়গায় বড় বাফার, আরেক জায়গায় দ্রুততর HSM, মিডলবক্সে খণ্ডিতকরণ সহনশীলতা। এটি ছয় মাসের যৌক্তিক সেতু। স্থাপত্য নয়।
অভিযোজন বনাম প্রতিস্থাপন: যে সিদ্ধান্ত কর্মসূচি নির্ধারণ করে #
সৎ চিত্র হলো অভিযোজন একটি স্বল্প-মেয়াদি নিয়ন্ত্রিত মাইগ্রেশন পরিকল্পনা, আর প্রতিস্থাপনই একমাত্র স্থিতিশীল গন্তব্য। সিদ্ধান্ত হলো ব্যাংক কোনটিতে আগে অর্থায়ন করে, এবং স্থায়ী জোড়াতালিতে পরিণত হওয়ার আগে অভিযোজনের জানালা কত দিন খোলা থাকে।
অভিযোজন মানে:
- বিদ্যমান রেল সীমানায় সমাপ্ত হাইব্রিড TLS (ML-KEM + X25519)।
- PQC-সক্ষম অধস্তন CA থেকে ইস্যু করা দ্বৈত-স্বাক্ষরিত শংসাপত্র (প্রাথমিক RSA, দ্বিতীয় ML-DSA)।
- পেমেন্ট VPN-এ বড় MT বাফার ও কঠোর MTU নীতি।
- বিক্রেতা যেখানে PQC প্রিমিটিভ সমর্থন করে সেখানে HSM ফার্মওয়্যার আপডেট; যেখানে করে না সেখানে পূর্ণ HSM প্রতিস্থাপন।
এই কাজ করা যায়। মূল সমস্যা এতে সমাধান হয় না — SWIFT MT ও বহু ISO 20022 বাস্তবায়ন ক্রিপ্টোগ্রাফিক এনভেলপকে এমন বার্তা ফরম্যাটের ভেতর এনকোড করে যা অ্যালগরিদমকে স্থির করে রাখে। পরবর্তী অ্যালগরিদম পরিবর্তন — যা ঘটবেই, যখন ML-KEM কোনো দুর্বলতা দেখাবে বা নতুন মান এসে স্থলাভিষিক্ত হবে — একই রেলে একই মাইগ্রেশন আবার চালায়।
প্রতিস্থাপন মানে স্বীকার করা যে ক্রিপ্টোগ্রাফিক স্তর বার্তা ফরম্যাটের ধর্ম নয়। এটি একটি পৃথকযোগ্য এনভেলপ পরিষেবার ধর্ম, যাকে বার্তা ফরম্যাট ডাকে। বাস্তবে:
- ট্রান্সপোর্ট নিরাপত্তা সীমা একটি সার্ভিস মেশ বা সাইডকারে সরে যায়, যা হাইব্রিড TLS সমাপ্ত করে এবং স্থিতিশীল ইন্টারফেস দিয়ে রেলে ক্লিয়ারটেক্সট বার্তা উপস্থাপন করে।
- বার্তা-স্তরের স্বাক্ষর একটি ডেডিকেটেড স্বাক্ষর পরিষেবা তৈরি করে, যার অ্যালগরিদম পছন্দ কনফিগারেশন প্যারামিটার, হার্ড-কোডেড অনুমান নয়।
- শংসাপত্র এমন CA থেকে ইস্যু হয়, যার স্বাক্ষর অ্যালগরিদম নিজেই ঘোরানোযোগ্য।
- HSM পার্টিশন বার্তা ফরম্যাট অনুসারে নয়, উদ্দেশ্য অনুসারে চিহ্নিত (ট্রান্সপোর্ট, স্বাক্ষর, কী এনক্যাপসুলেশন)।
প্রতিস্থাপন নকশা রেল না ছুঁয়ে পরবর্তী অ্যালগরিদম পরিবর্তন সামলায়।
ক্রিপ্টো-চটপটে স্থাপত্য, স্তরে স্তরে #
PQC মাইগ্রেশনে গুরুত্বপূর্ণ পরিকাঠামো স্তর "তথ্য, নিয়ন্ত্রণ, অর্থনীতি" নামক সাধারণ ব্যাংকিং স্তর নয়। গুরুত্বপূর্ণ স্তরগুলি ক্রিপ্টোগ্রাফিক।
| স্তর | কী করে | PQC প্রশ্ন | স্থাপত্য নির্দেশ |
|---|---|---|---|
| HSM / কী-ব্যবস্থাপনা | হার্ডওয়্যার বিচ্ছিন্নতার অধীনে কী উপাদান তৈরি, সংরক্ষণ ও পরিচালনা করে | স্থাপিত HSM ফার্মওয়্যার কি ML-KEM, ML-DSA ও হাইব্রিড কী-এনক্যাপসুলেশন API সমর্থন করে? একই হার্ডওয়্যারে ECDSA-র তুলনায় স্বাক্ষর থ্রুপুট পার্থক্য কত? | প্রতিটি HSM পার্টিশন অ্যালগরিদম সমর্থন ও প্রতি-সেকেন্ড সক্ষমতা অনুসারে তালিকাভুক্ত করুন। ফার্মওয়্যার পথ ছাড়া RSA-তে স্থির যা কিছু আছে তা অবসান করুন। প্রোডাকশন কাটওভারের আগে ডেডিকেটেড PQC পার্টিশন দাঁড় করান। |
| PKI / শংসাপত্র কর্তৃপক্ষ | X.509 শংসাপত্রের মাধ্যমে বিশ্বাস ইস্যু, প্রত্যাহার ও চেইন করে | CA কি আজ ML-DSA দিয়ে স্বাক্ষর করতে পারে? রুট ঘোরানো ও চেইন পুনঃইস্যুর পরীক্ষিত প্রক্রিয়া আছে কি? CRL ও OCSP রেসপন্ডার কি ML-DSA স্বাক্ষর ওজনের জন্য আকারিত? | CA স্ট্যাককে লোড-বহনকারী দেয়াল হিসেবে গণ্য করুন। এখনই একটি PQC-সক্ষম অধস্তন প্রতিষ্ঠিত করুন। রুট ঘোরানোর সময় দীর্ঘতম-জীবী শংসাপত্র নির্ভরতা অনুসারে স্থির করুন, সুবিধার জন্য নয়। |
| ট্রান্সপোর্ট / নেটওয়ার্ক | পেমেন্ট এন্ডপয়েন্টের মধ্যে TLS, IPsec ও MACsec সমাপ্ত করে | লোড ব্যালেন্সার, WAF ও মিডলবক্স পথ কি লিগ্যাসি MTU অতিক্রমকারী হাইব্রিড হ্যান্ডশেক সহ্য করে? সেশন-পুনরায়-সূচনা টিকেট কি PQC কী-র জন্য আকারিত? | TLS সমাপ্তি ক্রিপ্টো-চটপটে সীমানায় (সাইডকার বা মেশ) সরান। পেমেন্ট VPN-এ MTU নীতি বাড়ান। ইচ্ছাকৃত খণ্ডিতকরণ আরোপ করে পূর্ণ পথ পরীক্ষা করুন। |
| অ্যাপ্লিকেশন / বার্তা পেলোড | SWIFT MT, ISO 20022 pacs / pain / camt বার্তা ও তাদের ক্রিপ্টোগ্রাফিক এনভেলপ বহন করে | রেলের বার্তা হ্যান্ডলার কি ML-DSA-আকারের স্বাক্ষরিত এনভেলপ সহ্য করে? মধ্যবর্তী পার্সার কি অ্যালগরিদম-সচেতন, না দৈর্ঘ্যে ছেঁটে দেয়? | এনভেলপকে পেলোড থেকে আলাদা করুন। বার্তা-ফরম্যাট হ্যান্ডলারের ভেতরে নয়, পরিষেবা সীমানায় স্বাক্ষর করুন। অ্যালগরিদম শনাক্তকারীকে স্কিমা নয়, তথ্য হিসেবে গণ্য করুন। |
| অডিট / প্রমাণ | তত্ত্বাবধায়ক ও গ্রাহকের নির্ভরশীল ক্রিপ্টোগ্রাফিক হেফাজত শৃঙ্খল তৈরি করে | স্বাক্ষর অ্যালগরিদম অবসানের পর ঐতিহাসিক স্বাক্ষরিত রেকর্ড কি যাচাইযোগ্য থাকবে? দীর্ঘমেয়াদি আর্কাইভাল স্বাক্ষর পরিকল্পনা আছে কি? | যেকোনো একক অ্যালগরিদম ভাঙন সামলাতে পারে এমন নিশ্চয়তার জন্য হ্যাশ-ভিত্তিক প্রিমিটিভ (SLH-DSA) দিয়ে আর্কাইভ পাল্টা-স্বাক্ষর করুন। অডিট চেইনকে বিল্ড-উপজাত নয়, নিয়ন্ত্রিত আর্টিফ্যাক্ট হিসেবে গণ্য করুন। |
শৃঙ্খলা হলো প্রতিটি স্তরে প্রতিটি অ্যালগরিদম পছন্দকে কনফিগারেশন মান বানানো। কোনো স্তরে RSA-2048 হার্ড-কোড করলে প্রতিষ্ঠান এমন সমন্বিত জীবন-শেষ ঘটনা উত্তরাধিকার পায়, যেদিন সেই অ্যালগরিদম পড়বে।
এর অর্থ ব্যাংক ধরন অনুসারে #
এক্সপোজার প্রোফাইল প্রতিষ্ঠান অনুসারে আলাদা। নির্দেশও সেই অনুসারে আলাদা।
গ্লোবাল ব্যাংক #
গ্লোবাল ব্যাংক বৃহত্তম স্থাপিত HSM বহর, দীর্ঘতম শংসাপত্র চেইন ও প্রতিপক্ষের মধ্যে সবচেয়ে জটিল নেটওয়ার্ক পথ পরিচালনা করে। প্রধান ঝুঁকি অ্যালগরিদম নির্বাচন নয় — শত শত অভ্যন্তরীণ পরিষেবা ও কয়েক ডজন বাহ্যিক প্রতিপক্ষের মধ্যে একসঙ্গে অ্যালগরিদম পরিবর্তনের সমন্বয় খরচ।
নির্দেশ: কোনো একটি রেল অভিযোজনের আগে ২০২৬-এর কাজ হিসেবে PQC-সক্ষম CA, ক্রিপ্টো-চটপটে ট্রান্সপোর্ট সীমা ও অ্যালগরিদম-প্যারামিটারযোগ্য স্বাক্ষর পরিষেবায় অর্থায়ন করুন। তখন অভিযোজন একটি জ্ঞাত কাঠামোর ভেতরে রুটিন প্রোডাকশন পরিবর্তনে পরিণত হয়। কাঠামো ছাড়া প্রতিটি রেল অভিযোজন একই স্থাপত্য সিদ্ধান্ত নতুন করে শুরু করে।
আঞ্চলিক ব্যাংক #
আঞ্চলিক ব্যাংকের অ্যালগরিদমিক পৃষ্ঠ ছোট, কিন্তু বিশেষজ্ঞ কর্মী আনুপাতিকভাবে কম। প্রধান ঝুঁকি হলো বিক্রেতা সমর্থনে অঙ্গীকার করেনি এমন অ্যালগরিদমে HSM বিক্রেতা লক-ইন।
নির্দেশ: ২০২৬ থেকে প্রতিটি HSM চুক্তি নবায়নে PQC সমর্থন — নির্দিষ্টভাবে ML-KEM ও ML-DSA, পরীক্ষিত ফার্মওয়্যার আপগ্রেড পথ সহ — লিখুন। এই ধারা ছাড়া ব্যাংকগুলি নিজের সময়সূচি নয়, বিক্রেতার সময়সূচিতে জোরপূর্বক হার্ডওয়্যার প্রতিস্থাপন উত্তরাধিকার পায়।
ফিনটেক ও PSP #
পেমেন্ট পরিষেবা প্রদানকারী ও ফিনটেক সাধারণত ব্যাংক প্রতিপক্ষ এবং বণিক বা শেষ-ব্যবহারকারী সিস্টেমের মাঝে থাকে। তাদের ক্রিপ্টোগ্রাফিক এক্সপোজার দুই পাশের API সীমা।
নির্দেশ: ২০২৬-এর বাণিজ্যিক আলোচনার ন্যূনতম শর্ত হিসেবে ব্যাংক-মুখী দিকে হাইব্রিড TLS ইন্টারফেস — ক্ল্যাসিকাল ও ML-KEM — প্রকাশ করুন। যে ফিনটেক ইতিমধ্যেই PQC আন্তঃকার্যকারিতা প্রদর্শন করে এসেছে, সে ইন্টিগ্রেশন চক্রে এগিয়ে থাকা ফিনটেকের সঙ্গে জিতবে যে এখনো শুরু করেনি।
কর্পোরেট ট্রেজারার #
ট্রেজারার সরাসরি ক্রিপ্টোগ্রাফিক পরিকাঠামো পরিচালনা করেন না। তবে ভোগ করেন — প্রতিটি ব্যাংক API, প্রতিটি নিরাপদ ফাইল স্থানান্তর, প্রতিটি স্বাক্ষরিত নিশ্চয়তা ব্যাংকের PKI-র উপর নির্ভর করে।
নির্দেশ: ২০২৬-এ প্রতিটি ব্যাংক RFP-তে তিনটি প্রশ্ন যোগ করুন: ব্যাংক আজ গ্রাহক-মুখী TLS-এ কোন PQC অ্যালগরিদম ব্যবহার করছে, ML-DSA-স্বাক্ষরিত পেমেন্ট নিশ্চয়তার পরিকল্পনা কী, এবং RSA অবসানের পর ঐতিহাসিক স্বাক্ষরিত রেকর্ডের যাচাইযোগ্যতা ব্যাংক কীভাবে সংরক্ষণ করবে। যে ব্যাংকগুলি এই প্রশ্নের উত্তর দিতে পারে না, তারা তাদের অন্তর্নিহিত প্রকৌশল প্রস্তুতি সম্পর্কে সংকেত দিচ্ছে।
এরপর কী ঘটবে #
পেমেন্টে PQC স্থাপনার প্রথম তরঙ্গ শেষ-ব্যবহারকারীর কাছে অদৃশ্য থাকবে। হাইব্রিড TLS হ্যান্ডশেকে দেখা দেয়, শংসাপত্র চেইন বাড়ে, HSM স্বাক্ষর লেটেন্সি কয়েক মিলিসেকেন্ডে বেড়ে চলে এবং রেল কাজ করতে থাকে। এটাই সাফল্যের পথ।
দৃশ্যমান ব্যর্থতা অভিযোজন-চালিত হবে: এমন একটি রেল যা ML-DSA-স্বাক্ষরিত এনভেলপ ছাড়াই গ্রহণ করতে পারে না; এমন একটি CA যার CRL বিতরণ পয়েন্ট নতুন স্বাক্ষর ওজনে আটকে যায়; এমন একটি মিডলবক্স যা হাইব্রিড হ্যান্ডশেককে পুনঃক্রমিত ClientHello-তে খণ্ডিত করে। এই ব্যর্থতাগুলি ২০২৭ জুড়ে প্রোডাকশনে নামবে।
২০২৬-এর স্থাপত্য সিদ্ধান্ত হলো এমন প্রতিস্থাপন পরিকাঠামোয় অর্থায়ন করা যা অভিযোজনকে অপ্রাসঙ্গিক করে, নাকি রেল-নির্দিষ্ট সংশোধনের ধারায় অর্থায়ন করা যা পৃথকভাবে সস্তা মনে হয় কিন্তু মোটে দীর্ঘতর ও ব্যয়বহুল মাইগ্রেশনে যোগ হয়। যে ব্যাংক প্রথম পথ বেছে নেয়, সে রূপান্তরের সময় শান্ত অপারেশন চালাবে। যে দ্বিতীয় পথ বেছে নেয়, সে দশকের বাকি সময় তত্ত্বাবধায়কদের ঘটনা পর্যালোচনা ব্যাখ্যা করে কাটাবে।
PQC পরিকাঠামো সমস্যা সাজানো ক্রিপ্টোগ্রাফি সমস্যা নয়। এটি একটি পরিকাঠামো সমস্যা, যা ক্রিপ্টোগ্রাফি শুরু করেছে।
প্রায়শ জিজ্ঞাসিত প্রশ্ন #
এই কাজে কি কোনো সময়সীমা বাধ্যতামূলক?
কঠোর নিয়ন্ত্রক সময়সীমা এখতিয়ার অনুসারে আলাদা। মার্কিন Quantum Computing Cybersecurity Preparedness Act ⧉ ফেডারেল সিস্টেমকে আবদ্ধ করে। NSA CNSA 2.0 সময়রেখা ⧉ জাতীয়-নিরাপত্তা সিস্টেমের জন্য ২০৩৫-কে লক্ষ্য করে। BIS Project Leap ⧉ প্রকাশনা এবং FSB-র কর্ম কর্মসূচি সিস্টেমিক পেমেন্ট পরিকাঠামোর জন্য সেই দিগন্তকে এগিয়ে আনছে। HNDL মানে অপারেশনাল ঘড়ি এই নামমাত্র তারিখগুলির আগেই চালু হয়েছে।
ML-KEM কেন প্রস্তাবিত কী এনক্যাপসুলেশন, কোনো দ্রুততর কিছু নয়?
ML-KEM (CRYSTALS-Kyber-এর মানকীকৃত সংস্করণ) ছিল ল্যাটিস প্রার্থীদের মধ্যে ছোট সাইফারটেক্সট ও কী সাইজের সবচেয়ে শক্তিশালী সমন্বয়, পরিণত বাস্তবায়ন ও সাইড-চ্যানেল হার্ডেনিং সহ। NIST এটি FIPS 203 ⧉ হিসেবে প্রকাশ করেছে। দ্রুততর প্রার্থী রয়েছে, কিন্তু সেগুলি বড় আকার বা নিরাপত্তা প্যারামিটারে দুর্বল আস্থার ব্যবধান বহন করে।
ML-DSA-র বদলে সব জায়গায় SLH-DSA নয় কেন?
SLH-DSA (SPHINCS+-এর মানকীকৃত সংস্করণ) হ্যাশ-ভিত্তিক, তাই কেবল হ্যাশ-ফাংশন নিরাপত্তার উপর নির্ভর করে — যা প্রাপ্যতমদের মধ্যে সবচেয়ে রক্ষণশীল অনুমান। এর স্বাক্ষর ML-DSA-র তুলনায় ৫–২০× বড়। এটি আর্কাইভাল পাল্টা-স্বাক্ষরের জন্য গ্রহণযোগ্য, কিন্তু লেনদেনভিত্তিক স্বাক্ষরের জন্য অকার্যকর যেখানে প্রতি বার্তায় আকার গুরুত্বপূর্ণ। মানক প্যাটার্ন হলো প্রোডাকশন স্বাক্ষরের জন্য ML-DSA এবং আর্কাইভাল নিশ্চয়তার জন্য SLH-DSA।
ব্যাংক কি রেল PQC প্রোফাইল প্রকাশের জন্য অপেক্ষা করতে পারে?
যে ব্যাংক অপেক্ষা করে, সে রেল-প্রকাশিত মাইগ্রেশন জানালা উত্তরাধিকার পায়, যা ব্যাংকের নিজস্ব অভ্যন্তরীণ পরিবর্তন চক্রের চেয়ে ছোট। SWIFT, স্থানীয় RTGS অপারেটর ও প্রাসঙ্গিক CCP-রা যখন প্রত্যেকে তাদের PQC প্রোফাইল প্রকাশ করবে, তখন মাইগ্রেশন জানালা হবে বারো থেকে চব্বিশ মাস। যে ব্যাংকগুলি CA, ট্রান্সপোর্ট ও HSM সক্ষমতা আগে গড়েনি, তারা অপারেশনাল শর্টকাট ছাড়া তা পূরণ করবে না।
সবচেয়ে বেশি লিভারেজ-সম্পন্ন একটি জিনিস কোনটিতে আগে অর্থায়ন করা উচিত?
একটি PQC-সক্ষম অধস্তন শংসাপত্র কর্তৃপক্ষ, যা বিদ্যমান PKI-তে সংহত এবং প্রোডাকশন বিশ্বাস ব্যাহত না করে দ্বৈত-অ্যালগরিদম শংসাপত্র (RSA ও ML-DSA) ইস্যু করতে পারে। সেটি ঘূর্ণন প্রিমিটিভ প্রতিষ্ঠা করে। বাকি সব — ট্রান্সপোর্ট আপগ্রেড, HSM পার্টিশন পরিকল্পনা, বার্তা-এনভেলপ পরিবর্তন — তার চারপাশে সময়সূচি করা যায়।
তথ্যসূত্র #
- Congress.gov, (2022). H.R. 7535 — Quantum Computing Cybersecurity Preparedness Act ⧉।
- NIST, (2024). FIPS 203 — Module-Lattice-Based Key-Encapsulation Mechanism Standard ⧉।
- NIST, (2024). FIPS 204 — Module-Lattice-Based Digital Signature Standard ⧉।
- NIST, (2024). FIPS 205 — Stateless Hash-Based Digital Signature Standard ⧉।
- NSA, (2022). Commercial National Security Algorithm Suite 2.0 ⧉।
- BIS, (2024). Working Paper No. 1208 — Project Leap: Quantum-proofing the financial system ⧉।
- Bank of England (PRA), (2024). SS1/21 — Operational resilience: Impact tolerances for important business services ⧉।
সর্বশেষ পর্যালোচনা ।
সর্বশেষ পর্যালোচনা .