โครงสร้างพื้นฐาน PQC การชำระเงิน: เหตุใดธนาคารจึงควรแทนที่ราง ดั้งเดิม ไม่ใช่ปรับเปลี่ยน
ฐานการเข้ารหัสที่รับรองทุกการชำระเงินขายส่งในปัจจุบัน — RSA, ECDSA, ECDH — มีวันหมดอายุ Quantum Computing Cybersecurity Preparedness Act ⧉ ของสหรัฐฯ เขียนวันหมดอายุนั้นลงในกฎหมายการจัดซื้อจัดจ้างของรัฐบาลกลางในปลายปี 2022 BIS Working Paper No. 1208 ⧉ ใส่วันหมดอายุเดียวกันลงในกรอบการกำกับดูแลสำหรับธนาคารกลาง NIST FIPS 203 ⧉ และ FIPS 204 ⧉ เผยแพร่ตัวแทนในเดือนสิงหาคม 2024
โครงสร้างพื้นฐานการชำระเงินยังไม่ได้ซึมซับความหมายของเรื่องนี้
บทความนี้คือเหตุผลเชิงวิศวกรรมสำหรับการแทนที่มากกว่าการปรับเปลี่ยน เขียนขึ้นสำหรับสถาปนิกที่เข้าใจอัลกอริทึมเหล่านี้อยู่แล้ว และต้องตัดสินใจว่าจะทำอย่างไรกับ SWIFT MT, ข้อความ pacs และ pain ของ ISO 20022, อินเทอร์เฟซ RTGS, ฟาร์ม HSM และลำดับชั้นใบรับรองที่อยู่ภายใต้ทั้งหมดนั้น
บทสรุปผู้บริหาร / ประเด็นสำคัญ
- เก็บเกี่ยวตอนนี้-ถอดรหัสภายหลัง (HNDL) คือภัยคุกคามเชิงปฏิบัติการ ผู้ไม่หวังดีบันทึกทราฟฟิกการชำระเงินที่ถูกเข้ารหัสในปี 2026 เพื่อถอดรหัสเมื่อมีคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องในการวิเคราะห์การเข้ารหัส (CRQC) ทราฟฟิกที่ถูกดักจับรวมถึงคำสั่งการชำระบัญชี ข้อมูลผู้รับผลประโยชน์ และวัสดุการรับรองความถูกต้องที่มีความอ่อนไหวยาวนาน
- NIST ได้กำหนดมาตรฐานตัวแทนแล้ว ML-KEM (FIPS 203) สำหรับการห่อหุ้มกุญแจ และ ML-DSA (FIPS 204) สำหรับลายเซ็นดิจิทัลคือค่าเริ่มต้น SLH-DSA (FIPS 205) ครอบคลุมตัวสำรองแบบไร้สถานะที่อิงแฮช
- ส่วนต่างขนาดทำลายสมมติฐานดั้งเดิม กุญแจสาธารณะและลายเซ็นมีขนาดใหญ่กว่าค่าเทียบเท่า RSA-2048 ถึง 5–20 เท่า สิ่งนั้นชนกับ MTU บนเครือข่ายการชำระเงิน สมมติฐานบัฟเฟอร์คงที่ในตัวจัดการข้อความ MT และทรูพุตการเข้ารหัสของฟลีต HSM ที่ติดตั้งอยู่
- ไฮบริด (คลาสสิก + PQC) คือยานพาหนะการย้ายระบบ ไม่ใช่ปลายทาง TLS แบบไฮบริดและ X.509 แบบไฮบริดซื้อเวลาทำงานร่วมกันได้สองถึงสามปีระหว่างที่ราง การผลิตถูกแทนที่ ทั้งสองไม่แก้ปัญหาความจุที่อยู่เบื้องล่าง
- PKI คือกำแพงรับน้ำหนัก หน่วยงานออกใบรับรองที่อัลกอริทึมลายเซ็นกลายเป็นปลอมแปลงได้ ทำให้ใบรับรองทุกใบที่อยู่ภายใต้เป็นโมฆะ ความเสี่ยงเชิงสถาบันของธนาคารคือห่วงโซ่ ไม่ใช่จุดปลายใดจุดปลายหนึ่ง
- ความคล่องตัวด้านการเข้ารหัสคือคุณสมบัติเชิงสถาปัตยกรรมที่ต้องวิศวกรรมเพื่อสนับสนุน ตัวระบุอัลกอริทึม รูปแบบกุญแจ ซองลายเซ็น และพาร์ติชั่น HSM ต้องสามารถกำหนดพารามิเตอร์ได้ทั้งหมด อะไรก็ตามที่ตรึง RSA ไว้ตอนคอมไพล์ คือหนี้ทางเทคนิคที่จะถึงกำหนดชำระพร้อมกัน
เก็บเกี่ยวตอนนี้ ถอดรหัสภายหลัง: แบบจำลองภัยคุกคามที่ตัดทางเลือกที่จะรอออกไป #
HNDL กลับด้านไทม์ไลน์การเข้ารหัสตามปกติ การประเมินความเสี่ยงแบบเดิมถามว่าภัยคุกคามจะปรากฏเมื่อใด HNDL ถามว่าข้อมูลที่ถูกดักจับวันนี้จะกลายเป็นประโยชน์ต่อผู้ไม่หวังดีเมื่อใด สำหรับข้อความการชำระเงิน — ตัวตนผู้รับผลประโยชน์ หมายเลขบัญชี ข้อมูลการโอนเงินที่มีโครงสร้าง เพย์โหลดการคัดกรองการคว่ำบาตร คำสั่งการชำระบัญชีภายในธนาคาร — หน้าต่างความอ่อนไหวคือหลายปีถึงหลายทศวรรษ ทราฟฟิกส่วนใหญ่ถูกบันทึกอยู่ที่ใดที่หนึ่งในขณะนี้
ไทม์ไลน์ CNSA 2.0 ของ NSA ⧉ ให้เวลาระบบความมั่นคงแห่งชาติจนถึงปี 2035 เพื่อทำการเปลี่ยนผ่านให้เสร็จสมบูรณ์ ผู้กำกับดูแลทางการเงินกำลังเคลื่อนไหวด้วยตารางเวลาที่เร็วกว่า — ความคาดหวังของ PRA เกี่ยวกับความยืดหยุ่นในการดำเนินงาน ⧉ ปฏิบัติต่อความคล่องตัวด้านการเข้ารหัสในฐานะความเสี่ยงการกระจุกตัวของบุคคลที่สาม ความคาดหวังในปี 2026 คือราง การชำระเงินที่มีนัยสำคัญต้องเผยแพร่แผนการย้ายระบบ PQC ของตนในเอกสารรับรองตนเองด้านความยืดหยุ่น
ผู้ไม่หวังดีที่ใช้ HNDL ไม่จำเป็นต้องมี CRQC วันนี้ ผู้ไม่หวังดีต้องการ:
- ตำแหน่งในเครือข่าย การดักฟังสายเคเบิลใต้ทะเล การดักจับระดับ ISP และมิดเดิลบ็อกซ์ที่ถูกประนีประนอม อยู่ในขอบเขตทั้งหมด ทราฟฟิกการชำระเงินขายส่งกระจุกตัวผ่านเส้นทางเครือข่ายจำนวนน้อย
- พื้นที่จัดเก็บ ข้อมูลการชำระเงินที่มีโครงสร้างขนาดเพตะไบต์เป็นคลังที่จัดการได้ในปี 2026
- ความอดทน การดักจับไม่มีต้นทุนต่อข้อความที่ถูกสกัด ผลลัพธ์มาทีหลัง
ข้อโต้แย้งเรื่องการย้ายระบบจึงไม่ใช่ "คอมพิวเตอร์ควอนตัมอาจมาถึงในปี 2035" แต่เป็น "เซสชั่น TLS ใดก็ตามที่เสร็จสิ้นในคืนนี้ด้วยการแลกเปลี่ยนกุญแจ RSA-2048 ถูกเปิดเผยตราบเท่าที่ข้อมูลภายในยังคงมีความอ่อนไหว"
ปัญหาขนาดคือปัญหาเชิงวิศวกรรม #
การอภิปรายสาธารณะเกี่ยวกับการย้ายระบบ PQC มักเน้นที่การเลือกอัลกอริทึม ปัญหาที่ยากกว่าคือเรื่องมิติ
| พรีมิทีฟ | กุญแจสาธารณะ | ลายเซ็น / ไซเฟอร์เท็กซ์ |
|---|---|---|
| RSA-2048 | 256 ไบต์ | 256 ไบต์ (ลายเซ็น) |
| ECDSA P-256 | 64 ไบต์ | 64 ไบต์ (ลายเซ็น) |
| ML-KEM-768 | 1,184 ไบต์ | 1,088 ไบต์ (ไซเฟอร์เท็กซ์) |
| ML-DSA-65 | 1,952 ไบต์ | 3,309 ไบต์ (ลายเซ็น) |
| SLH-DSA-128f | 32 ไบต์ | 17,088 ไบต์ (ลายเซ็น) |
ตัวเลขเหล่านั้นเชื่อมโยงโดยตรงกับโหมดความล้มเหลวที่โครงสร้างพื้นฐานการชำระเงินดั้งเดิมไม่เคยถูกออกแบบให้รองรับ:
- การแยกย่อยแพ็กเก็ตบนเส้นทาง ClientHello ที่ส่ง ML-KEM-768 แบบไฮบริดบวกกับ X25519 แบบคลาสสิก เกินขนาด MTU อีเทอร์เน็ตทั่วไปที่ 1,500 ไบต์ มิดเดิลบ็อกซ์ระหว่างจุดปลายการชำระเงินสองจุดแยกย่อย ทิ้ง หรือเขียนทับการจับมือ ความล้มเหลวปรากฏเป็นข้อผิดพลาด TLS เป็นพักๆ ที่ดูเหมือนเสียงรบกวนเครือข่ายชั่วคราว
- สมมติฐานบัฟเฟอร์ในตัวจัดการ MT การผสานรวม SWIFT MT จำนวนมากส่งซองที่ลงนามแล้วซึ่งมีขนาดสำหรับ ECDSA ใส่ลายเซ็น ML-DSA ลงในซองเดียวกัน แล้วตัวแยกวิเคราะห์จะตัดข้อมูลหรือปฏิเสธ
- ทรูพุต HSM การลงนาม ML-DSA บนฟลีต HSM ที่ติดตั้งอยู่ ช้ากว่า ECDSA 3–10 เท่าต่อการดำเนินการ บนฮาร์ดแวร์ที่งบประมาณกุญแจต่อวินาทีร้อนแรงอยู่แล้วในช่วงหน้าต่างแบทช์สิ้นวัน
- น้ำหนักห่วงโซ่ใบรับรอง ลำดับชั้น CA สี่ระดับที่ออกใหม่ด้วยลายเซ็น ML-DSA เพิ่มขึ้นจากประมาณ 6 KB เป็นประมาณ 60 KB การจับมือ TLS ทุกครั้งไปยังราง ต้องจ่ายค่านั้น
เส้นทางการปรับเปลี่ยนคือการแยกประเมินข้อจำกัดเหล่านี้แยกชิ้น — บัฟเฟอร์ใหญ่ขึ้นตรงนี้ HSM เร็วขึ้นตรงนั้น ความอดทนต่อการแยกย่อยในมิดเดิลบ็อกซ์ นั่นคือสะพานหกเดือนที่ป้องกันได้ ไม่ใช่สถาปัตยกรรม
ปรับเปลี่ยนกับแทนที่: การตัดสินใจที่กำหนดโครงการ #
การวางกรอบที่ตรงไปตรงมาคือ การปรับเปลี่ยนเป็นแผนการย้ายระบบที่ควบคุมได้แต่มีอายุการใช้งานสั้น และการแทนที่คือปลายทางเดียวที่มีเสถียรภาพ การตัดสินใจคือธนาคารจัดสรรงบให้ทางไหนก่อน และหน้าต่างการปรับเปลี่ยนจะเปิดอยู่นานเพียงใดก่อนกลายเป็นแก้ขัดถาวร
การปรับเปลี่ยนหมายถึง:
- TLS แบบไฮบริด (ML-KEM + X25519) ที่สิ้นสุดที่ขอบเขตราง ที่มีอยู่
- ใบรับรองที่ลงนามสองชั้น (RSA หลัก ML-DSA รอง) ออกจาก CA รองที่รองรับ PQC
- บัฟเฟอร์ MT ที่ใหญ่ขึ้นและนโยบาย MTU ที่เข้มงวดยิ่งขึ้นบน VPN การชำระเงิน
- การอัปเดตเฟิร์มแวร์ HSM ที่ผู้ขายรองรับพรีมิทีฟ PQC การแทนที่ HSM เต็มรูปแบบที่ผู้ขายไม่รองรับ
งานนั้นทำได้ ไม่ได้แก้ปัญหาพื้นฐานที่ว่า SWIFT MT และการนำ ISO 20022 ไปใช้จำนวนมากเข้ารหัสซองการเข้ารหัสไว้ภายในรูปแบบข้อความที่ตรึงอัลกอริทึมไว้ การเปลี่ยนผ่านอัลกอริทึมครั้งต่อไป — และจะมีหนึ่งครั้งแน่นอน เมื่อ ML-KEM แสดงจุดอ่อนในที่สุดหรือมาตรฐานใหม่เข้ามาแทนที่ — รันการย้ายระบบเดิมอีกครั้งบนราง เดิม
การแทนที่หมายถึงการยอมรับว่าชั้นการเข้ารหัสไม่ใช่คุณสมบัติของรูปแบบข้อความ เป็นคุณสมบัติของบริการซองที่แยกออกได้ ซึ่งรูปแบบข้อความเรียกใช้ ในรูปธรรม:
- ขอบเขตความปลอดภัยการขนส่งย้ายไปยังเซอร์วิสเมชหรือไซด์คาร์ที่ยุติ TLS แบบไฮบริดและนำเสนอข้อความเคลียร์เท็กซ์ให้กับราง ด้วยอินเทอร์เฟซที่เสถียร
- ลายเซ็นระดับข้อความถูกผลิตโดยบริการลงนามเฉพาะ ซึ่งทางเลือกอัลกอริทึมเป็นพารามิเตอร์การกำหนดค่า ไม่ใช่สมมติฐานที่ฮาร์ดโค้ด
- ใบรับรองออกจาก CA ที่อัลกอริทึมการลงนามของตัวเองสามารถหมุนเวียนได้
- พาร์ติชั่น HSM ถูกระบุตามวัตถุประสงค์ (การขนส่ง การลงนาม การห่อหุ้มกุญแจ) แทนที่จะระบุตามรูปแบบข้อความ
การออกแบบการแทนที่ยังอยู่รอดผ่านการเปลี่ยนอัลกอริทึมครั้งต่อไปโดยไม่ต้องแตะราง อีก
สถาปัตยกรรมที่คล่องตัวด้านการเข้ารหัส ทีละชั้น #
ชั้นโครงสร้างพื้นฐานที่สำคัญต่อการย้ายระบบ PQC ไม่ใช่ชั้นธุรกิจของ "ข้อมูล การควบคุม เศรษฐศาสตร์" ที่เหมาะกับเรื่องเล่าธนาคารทั่วไป ชั้นที่สำคัญคือชั้นการเข้ารหัส
| ชั้น | ทำอะไร | คำถาม PQC | คำสั่งเชิงสถาปัตยกรรม |
|---|---|---|---|
| HSM / การจัดการกุญแจ | สร้าง จัดเก็บ และดำเนินการบนวัสดุกุญแจภายใต้การแยกฮาร์ดแวร์ | เฟิร์มแวร์ HSM ที่ติดตั้งอยู่รองรับ ML-KEM, ML-DSA และ API การห่อหุ้มกุญแจแบบไฮบริดหรือไม่ ส่วนต่างทรูพุตการลงนามเทียบกับ ECDSA บนฮาร์ดแวร์เดียวกันเป็นเท่าใด | ทำสำมะโนทุกพาร์ติชั่น HSM ตามการรองรับอัลกอริทึมและความจุต่อวินาที ปลดประจำการอะไรก็ตามที่ตรึง RSA โดยไม่มีเส้นทางเฟิร์มแวร์ ตั้งพาร์ติชั่น PQC เฉพาะก่อนการตัดเข้าการผลิต |
| PKI / หน่วยงานออกใบรับรอง | ออก เพิกถอน และเชื่อมต่อความน่าเชื่อถือผ่านใบรับรอง X.509 | CA สามารถลงนามด้วย ML-DSA วันนี้ได้หรือไม่ มีกระบวนการที่ผ่านการทดสอบสำหรับการหมุนรูทและการออกห่วงโซ่ใหม่หรือไม่ ตัวตอบสนอง CRL และ OCSP มีขนาดรองรับน้ำหนักลายเซ็น ML-DSA หรือไม่ | ถือว่าสแต็ก CA เป็นกำแพงรับน้ำหนัก ตั้ง CA รองที่รองรับ PQC ตอนนี้ จับเวลาการหมุนรูทตามการพึ่งพาใบรับรองที่มีอายุยาวที่สุด ไม่ใช่ตามความสะดวก |
| การขนส่ง / เครือข่าย | ยุติ TLS, IPsec และ MACsec ระหว่างจุดปลายการชำระเงิน | โหลดบาลานเซอร์ WAF และเส้นทางมิดเดิลบ็อกซ์ทนต่อการจับมือไฮบริดที่เกิน MTU ดั้งเดิมหรือไม่ ตั๋วการต่อเซสชั่นมีขนาดรองรับกุญแจ PQC หรือไม่ | ย้ายการยุติ TLS ไปยังขอบเขตที่คล่องตัวด้านการเข้ารหัส (ไซด์คาร์หรือเมช) เพิ่มนโยบาย MTU บน VPN การชำระเงิน ทดสอบเส้นทางเต็มโดยจงใจชักนำการแยกย่อย |
| แอปพลิเคชัน / เพย์โหลดข้อความ | ส่งข้อความ SWIFT MT, ISO 20022 pacs / pain / camt และซองการเข้ารหัสของข้อความเหล่านั้น | ตัวจัดการข้อความของราง ทนต่อซองที่ลงนามขนาด ML-DSA หรือไม่ ตัวแยกวิเคราะห์ตัวกลางตระหนักถึงอัลกอริทึมหรือตัดข้อมูลตามความยาว | แยกซองออกจากเพย์โหลด ลงนามที่ขอบเขตบริการ ไม่ใช่ภายในตัวจัดการรูปแบบข้อความ ปฏิบัติต่อตัวระบุอัลกอริทึมในฐานะข้อมูล ไม่ใช่สคีมา |
| การตรวจสอบ / หลักฐาน | ผลิตห่วงโซ่ความน่าเชื่อถือทางการเข้ารหัสที่ผู้กำกับดูแลและลูกค้าพึ่งพา | บันทึกที่ลงนามแล้วในอดีตยังตรวจสอบได้หรือไม่เมื่ออัลกอริทึมการลงนามเลิกใช้ มีแผนลายเซ็นเก็บถาวรระยะยาวหรือไม่ | ลงนามตอบรับคลังเก็บด้วยพรีมิทีฟที่อิงแฮช (SLH-DSA) เพื่อความมั่นใจที่อยู่รอดผ่านการแตกของอัลกอริทึมใดอัลกอริทึมหนึ่ง ปฏิบัติต่อห่วงโซ่การตรวจสอบในฐานะวัตถุที่ถูกกำกับ ไม่ใช่ผลพลอยได้จากการสร้าง |
วินัยคือทำให้การเลือกอัลกอริทึมทุกครั้งเป็นค่าการกำหนดค่าในทุกชั้น สถาบันที่ฮาร์ดโค้ด RSA-2048 ในชั้นใดชั้นหนึ่งสืบทอดเหตุการณ์สิ้นอายุการใช้งานที่ประสานงานกัน เมื่ออัลกอริทึมนั้นล่ม
ความหมายตามประเภทธนาคาร #
โปรไฟล์ความเสี่ยงแตกต่างกันตามสถาบัน คำสั่งจึงแตกต่างกันตามไปด้วย
ธนาคารระดับโลก #
ธนาคารระดับโลกดำเนินการฟลีต HSM ที่ติดตั้งใหญ่ที่สุด ห่วงโซ่ใบรับรองที่ยาวที่สุด และเส้นทางเครือข่ายที่ซับซ้อนที่สุดระหว่างคู่สัญญา ความเสี่ยงเด่นไม่ใช่การเลือกอัลกอริทึม — แต่เป็นต้นทุนการประสานงานในการเปลี่ยนอัลกอริทึมข้ามบริการภายในหลายร้อยรายการและคู่สัญญาภายนอกหลายสิบรายพร้อมกัน
คำสั่งคือจัดสรรงบให้ CA ที่รองรับ PQC ขอบเขตการขนส่งที่คล่องตัวด้านการเข้ารหัส และบริการลงนามที่กำหนดพารามิเตอร์อัลกอริทึมได้ เป็นงานปี 2026 ก่อนที่ราง ใดราง หนึ่งจะถูกปรับเปลี่ยน การปรับเปลี่ยนจึงกลายเป็นการเปลี่ยนแปลงการผลิตประจำภายในกรอบงานที่รู้จัก หากไม่มีกรอบงาน การปรับเปลี่ยนราง ทุกครั้งจะถกเถียงการตัดสินใจเชิงสถาปัตยกรรมเดิมอีกครั้ง
ธนาคารระดับภูมิภาค #
ธนาคารระดับภูมิภาคมีพื้นผิวอัลกอริทึมน้อยกว่า แต่มีพนักงานเฉพาะทางตามสัดส่วนน้อยกว่า ความเสี่ยงเด่นคือการล็อกอินกับผู้ขาย HSM ในอัลกอริทึมที่ผู้ขายไม่ได้ผูกมัดที่จะรองรับ
คำสั่งคือเขียนการรองรับ PQC — โดยเฉพาะ ML-KEM และ ML-DSA พร้อมเส้นทางอัปเกรดเฟิร์มแวร์ที่ผ่านการทดสอบ — ลงในการต่อสัญญา HSM ทุกฉบับตั้งแต่ปี 2026 เป็นต้นไป ธนาคารที่ไม่มีข้อกำหนดนั้นสืบทอดการแทนที่ฮาร์ดแวร์แบบบังคับตามตารางเวลาของผู้ขาย ไม่ใช่ของตน
ฟินเทคและ PSP #
ผู้ให้บริการการชำระเงินและฟินเทคโดยปกตินั่งอยู่ระหว่างคู่สัญญาธนาคารและระบบร้านค้าหรือผู้ใช้ปลายทาง ความเสี่ยงด้านการเข้ารหัสของพวกเขาคือขอบเขต API ทั้งสองด้าน
คำสั่งคือเผยแพร่อินเทอร์เฟซ TLS แบบไฮบริด — คลาสสิกบวก ML-KEM — บนด้านที่หันเข้าหาธนาคาร เป็นเกณฑ์มาตรฐานในการสนทนาเชิงพาณิชย์ปี 2026 ฟินเทคที่มาพร้อมกับการทำงานร่วมกันได้ของ PQC ที่สาธิตแล้ว ชนะรอบการผสานรวมเหนือฟินเทคที่ยังไม่ได้เริ่ม
เหรัญญิกองค์กร #
เหรัญญิกไม่ได้ดำเนินการโครงสร้างพื้นฐานการเข้ารหัสโดยตรง พวกเขาบริโภค — API ของธนาคารทุกตัว การโอนไฟล์ที่ปลอดภัยทุกครั้ง การยืนยันที่ลงนามทุกฉบับ พึ่งพา PKI ของธนาคาร
คำสั่งคือเพิ่มสามคำถามลงในทุก RFP ของธนาคารในปี 2026: ธนาคารใช้อัลกอริทึม PQC ใดในปัจจุบันใน TLS ที่หันเข้าหาลูกค้า แผนของธนาคารสำหรับการยืนยันการชำระเงินที่ลงนามด้วย ML-DSA เป็นอย่างไร และธนาคารตั้งใจจะรักษาความสามารถในการตรวจสอบบันทึกที่ลงนามในอดีตอย่างไรเมื่อ RSA เลิกใช้ ธนาคารที่ไม่สามารถตอบคำถามเหล่านั้นกำลังส่งสัญญาณบางอย่างเกี่ยวกับความพร้อมทางวิศวกรรมที่อยู่เบื้องล่าง
อะไรจะเกิดขึ้นต่อไป #
คลื่นแรกของการปรับใช้ PQC ในการชำระเงินจะมองไม่เห็นต่อผู้ใช้ปลายทาง TLS แบบไฮบริดปรากฏในการจับมือ ห่วงโซ่ใบรับรองเติบโต ความหน่วงการลงนาม HSM ค่อยๆ เพิ่มขึ้นไม่กี่มิลลิวินาที และราง ยังคงทำงานต่อไป นั่นคือเส้นทางความสำเร็จ
ความล้มเหลวที่มองเห็นจะถูกขับเคลื่อนด้วยการปรับเปลี่ยน: ราง ที่ไม่สามารถยอมรับซองที่ลงนามด้วย ML-DSA ได้โดยไม่ตัดข้อมูล, CA ที่จุดกระจาย CRL สำลักน้ำหนักลายเซ็นใหม่, มิดเดิลบ็อกซ์ที่แยกย่อยการจับมือไฮบริดเป็น ClientHello ที่จัดเรียงใหม่ ความล้มเหลวเหล่านั้นจะลงสู่การผลิตตลอดปี 2027
การตัดสินใจเชิงสถาปัตยกรรมในปี 2026 คือ จะจัดสรรงบให้โครงสร้างพื้นฐานการแทนที่ที่ทำให้การปรับเปลี่ยนไม่จำเป็น หรือจะจัดสรรงบให้ลำดับการแก้ไขเฉพาะราง ที่แต่ละครั้งดูถูกกว่าทีละชิ้น และรวมกันเป็นการย้ายระบบที่ยาวขึ้น แพงขึ้น ธนาคารที่เลือกเส้นทางแรกจะดำเนินการที่เงียบกว่าตลอดการเปลี่ยนผ่าน ธนาคารที่เลือกเส้นทางที่สองจะใช้เวลาที่เหลือของทศวรรษอธิบายรายงานการตรวจสอบเหตุการณ์ให้ผู้กำกับดูแลฟัง
PQC ไม่ใช่ปัญหาการเข้ารหัสที่แต่งกายเป็นปัญหาโครงสร้างพื้นฐาน เป็นปัญหาโครงสร้างพื้นฐานที่บังเอิญการเข้ารหัสเป็นจุดเริ่มต้น
คำถามที่พบบ่อย #
มีกำหนดเส้นตายที่บังคับให้ต้องทำงานนี้หรือไม่?
กำหนดเส้นตายเชิงกำกับดูแลที่เข้มแข็งขึ้นอยู่กับเขตอำนาจ Quantum Computing Cybersecurity Preparedness Act ⧉ ของสหรัฐฯ ผูกพันระบบของรัฐบาลกลาง ไทม์ไลน์ NSA CNSA 2.0 ⧉ มุ่งเป้าปี 2035 สำหรับระบบความมั่นคงแห่งชาติ การเผยแพร่ BIS Project Leap ⧉ และโปรแกรมงานของ FSB กำลังดึงขอบฟ้านั้นเข้ามาใกล้ขึ้นสำหรับโครงสร้างพื้นฐานการชำระเงินเชิงระบบ HNDL หมายความว่านาฬิกาเชิงปฏิบัติการเริ่มเดินก่อนวันที่ระบุไว้ใดๆ อย่างมาก
ทำไม ML-KEM จึงเป็นการห่อหุ้มกุญแจที่แนะนำ แทนที่จะเป็นอะไรที่เร็วกว่า?
ML-KEM (เวอร์ชั่นมาตรฐานของ CRYSTALS-Kyber) มีการรวมขนาดไซเฟอร์เท็กซ์และขนาดกุญแจที่เล็กที่สุดในบรรดาผู้สมัครแลตทิซ พร้อมการนำไปใช้ที่เติบโตเต็มที่และการแข็งแกร่งต่อช่องทางด้านข้าง NIST เผยแพร่เป็น FIPS 203 ⧉ ผู้สมัครที่เร็วกว่ามีอยู่ แต่มาพร้อมขนาดที่ใหญ่ขึ้นหรือช่วงความมั่นใจที่อ่อนแอกว่าในพารามิเตอร์ความปลอดภัย
ทำไมไม่ใช้ SLH-DSA ทุกที่แทน ML-DSA?
SLH-DSA (เวอร์ชั่นมาตรฐานของ SPHINCS+) อิงแฮชและพึ่งพาความปลอดภัยของฟังก์ชั่นแฮชเท่านั้น ซึ่งเป็นสมมติฐานที่อนุรักษ์นิยมที่สุดที่มีอยู่ ลายเซ็นมีขนาดใหญ่กว่า ML-DSA 5–20 เท่า นั่นยอมรับได้สำหรับการลงนามตอบรับเก็บถาวร แต่ใช้ไม่ได้สำหรับการลงนามธุรกรรมที่ขนาดสำคัญต่อข้อความ รูปแบบมาตรฐานคือ ML-DSA สำหรับการลงนามในการผลิตและ SLH-DSA สำหรับความมั่นใจในการเก็บถาวร
ธนาคารรอจนกว่าราง จะเผยแพร่โปรไฟล์ PQC ได้หรือไม่?
ธนาคารที่รอสืบทอดหน้าต่างการย้ายระบบที่ราง เผยแพร่ ซึ่งสั้นกว่ารอบการเปลี่ยนแปลงภายในของธนาคารเอง ตอนที่ SWIFT ผู้ดำเนินการ RTGS ในท้องถิ่น และ CCP ที่เกี่ยวข้องแต่ละรายเผยแพร่โปรไฟล์ PQC หน้าต่างการย้ายระบบจะมีระยะเวลาสิบสองถึงยี่สิบสี่เดือน ธนาคารที่ไม่ได้สร้างความสามารถ CA การขนส่ง และ HSM ไว้ล่วงหน้าจะไม่สามารถบรรลุได้โดยไม่ใช้ทางลัดเชิงปฏิบัติการ
สิ่งเดียวที่ให้ผลกระทบสูงสุดที่ควรจัดสรรงบให้ก่อนคืออะไร?
หน่วยงานออกใบรับรองรองที่รองรับ PQC ผสานเข้ากับ PKI ที่มีอยู่ ซึ่งสามารถออกใบรับรองสองอัลกอริทึม (RSA บวก ML-DSA) โดยไม่รบกวนความน่าเชื่อถือในการผลิต นั่นสร้างพรีมิทีฟการหมุนเวียน อย่างอื่นทุกอย่าง — การอัปเกรดการขนส่ง การวางแผนพาร์ติชั่น HSM การเปลี่ยนแปลงซองข้อความ — สามารถจัดตารางรอบมันได้
อ้างอิง #
- Congress.gov, (2022). H.R. 7535 — Quantum Computing Cybersecurity Preparedness Act ⧉.
- NIST, (2024). FIPS 203 — Module-Lattice-Based Key-Encapsulation Mechanism Standard ⧉.
- NIST, (2024). FIPS 204 — Module-Lattice-Based Digital Signature Standard ⧉.
- NIST, (2024). FIPS 205 — Stateless Hash-Based Digital Signature Standard ⧉.
- NSA, (2022). Commercial National Security Algorithm Suite 2.0 ⧉.
- BIS, (2024). Working Paper No. 1208 — Project Leap: Quantum-proofing the financial system ⧉.
- Bank of England (PRA), (2024). SS1/21 — Operational resilience: Impact tolerances for important business services ⧉.
ตรวจสอบล่าสุด .
ทบทวนล่าสุด .