الهيمنة الكمومية التي تم فهمها بشكل خاطئ، لن تقلق قبل عام 2030

في الوقت الحاضر، تتسم التوقعات بشأن موعد ظهور “الكمبيوترات الكمومية ذات الصلة بالتشفير (CRQC)” في السوق غالبًا بالتحفظ المفرط والمبالغة — مما أدى إلى الدعوة للانتقال الفوري والشامل إلى التشفير بعد الكمّية.

لكن هذه الدعوات تتجاهل غالبًا تكاليف ومخاطر الانتقال المبكر، وتغفل عن الاختلافات الجذرية في خصائص المخاطر بين مختلف الأصول التشفيرية:

• التشفير بعد الكم (Post-quantum encryption) يتطلب بالفعل نشره على الفور، رغم تكلفته العالية: هجمات “الاختراق أولاً، ثم فك التشفير” (HNDL) تحدث بالفعل. البيانات الحساسة المشفرة اليوم، حتى لو ظهر كمبيوتر كمومي بعد عقد من الزمن، لا تزال قد تكون ذات قيمة. على الرغم من أن تنفيذ التشفير بعد الكم يتضمن زيادة في الأداء ومخاطر تنفيذ، إلا أن تلك البيانات التي تتطلب الحفاظ على سريتها على المدى الطويل لا خيار لها غير ذلك لمواجهة هجمات HNDL.
• التوقيعات بعد الكم (Post-quantum signatures) تواجه منطق حسابي مختلف تمامًا: فهي لا تتأثر بهجمات HNDL. علاوة على ذلك، فإن تكلفة ومخاطر التوقيعات بعد الكم (حجم أكبر، أداء أضعف، عدم نضوج التقنية، والثغرات المحتملة) تفرض علينا اعتماد استراتيجية انتقال مدروسة، وليست عاجلة.

فهم هذه الاختلافات ضروري جدًا. فالسوء في الفهم قد يشتت تحليل التكاليف والفوائد، ويؤدي إلى إغفال التهديدات الأمنية الأكثر إلحاحًا، مثل أخطاء البرمجيات.

في عملية الانتقال إلى التشفير بعد الكم، التحدي الحقيقي هو مواءمة الشعور بالإلحاح مع التهديدات الواقعية. ستوضح الأقسام التالية، من خلال تغطية التشفير، والتوقيعات، وإثباتات المعرفة الصفرية (خصوصًا تأثيرها على البلوكشين)، المفاهيم الخاطئة الشائعة حول التهديدات الكمومية.

كم نبتعد عن التهديد الكمومي؟

على الرغم من الضجيج الإعلامي، فإن احتمالية ظهور “الكمبيوترات الكمومية ذات الصلة بالتشفير (CRQC)” في القرن العشرين منخفضة جدًا.

ما أعنيه بـ"CRQC" هو كمبيوتر كمومي متسامح ومعتمد على التصحيح، بحجم كافٍ لتشغيل خوارزمية Shor في وقت معقول لاختراق التشفير باستخدام المنحنيات البيضاوية أو RSA (مثلاً، في أقل من شهر لاختراق secp256k1 أو RSA-2048).

من خلال دراسة معالم الإنجاز والموارد بشكل عقلاني، لا تزال المسافة بعيدة جدًا عن بناء مثل هذه الآلة. على الرغم من ادعاءات بعض الشركات بأن CRQC قد تظهر قبل عام 2030 أو 2035، إلا أن التقدم المعلن عنه حاليًا لا يدعم هذه الادعاءات.

بواقعية، وبمراجعة جميع البنى التحتية الحالية — من أنظمة الحصر الأيونية، إلى الكيوبتات فائقة التوصيل، إلى الأنظمة القائمة على الذرات المحايدة — لا يوجد منصة واحدة تقترب من توفير عشرات الآلاف إلى الملايين من الكيوبتات الفيزيائية اللازمة لتشغيل خوارزمية Shor (اعتمادًا على معدل الخطأ وخطة التصحيح).

العوائق ليست فقط بعدد الكيوبتات الفيزيائية، بل تشمل أيضًا دقة البوابات (Gate Fidelity)، وترابط الكيوبتات، وعمق الدوائر التصحيحية المستمرة اللازمة لتشغيل الخوارزمية الكمومية العميقة. على الرغم من أن بعض الأنظمة الحالية تجاوزت ألف كيوبت فيزيائي، فإن مجرد النظر إلى العدد هو مضلل جدًا: فهذه الأنظمة تفتقر إلى الترابط والدقة اللازمينين لإجراء الحسابات التشفيرية.

المعالجات الحديثة بدأت تقترب من عتبة الخطأ الفيزيائي التي تتطلبها تصحيحات الكم، لكن لم يُظهر بعد أحد أن هناك كيوبتات منطقية ذات عمق دوائر تصحيح مستمر يتجاوز بضع كيوبتات… ناهيك عن تطبيق خوارزمية Shor الواقعي التي تتطلب آلاف الكيوبتات ذات الدقة العالية، والدوائر العميقة، والتصحيح المقاوم للأخطاء. بين إثبات إمكانية التصحيح الكمومي من حيث المبدأ، وتحقيق الحجم المطلوب لهجمات التشفير، هناك فجوة ضخمة لا تزال قائمة.

باختصار: إلا إذا زاد عدد الكيوبتات الفيزيائية ودقتها بمقادير عدة، فإن CRQC لا تزال بعيدة المنال.

ومع ذلك، من السهل جدًا أن يخلط الناس بسبب البيانات الصحفية للشركات والتغطية الإعلامية. إليك بعض مصادر سوء الفهم الشائعة:

• الادعاء بـ"عرض التميز الكمومي": هذه العروض تستهدف حاليًا مهامًا مصممة خصيصًا. اختيار هذه المهام ليس لأنها عملية، بل لأنها يمكن تشغيلها على الأجهزة الحالية، وتظهر تسريعًا كموميًا هائلًا — وغالبًا ما يتم إخفاؤه في الإعلان.
• الشركات التي تدعي امتلاك آلاف الكيوبتات الفيزيائية: غالبًا ما يكون ذلك مرتبطًا بالمحوسة الكمومية التبادلية (Quantum Annealers)، وليس الآلات التي تستخدم خوارزمية Shor لاختراق التشفير بالمفاتيح العامة.
• سوء استخدام مصطلح “الكيوبت المنطقي”: فخوارزميات كمومية مثل خوارزمية Shor تتطلب آلاف الكيوبتات المنطقية المستقرة. عبر التصحيح الكمومي، يمكن استخدام العديد من الكيوبتات الفيزيائية لتحقيق كيوبت منطقي واحد — عادة من مئات إلى آلاف. لكن بعض الشركات أساءت استخدام هذا المصطلح بشكل مفرط. على سبيل المثال، إعلان حديث زعم أن استخدام كيوبت فيزيائيين فقط لكل كيوبت منطقي، مع تمثيل 48 كيوبت منطقي، معتمد على رموز ذات تكرار منخفض لا يمكنها تصحيح الأخطاء، فقط اكتشافها. الكيوبتات المنطقية التي تستخدم في هجمات التشفير، والتي تتحمل التصحيح، تتطلب كل واحدة منها مئات إلى آلاف الكيوبتات الفيزيائية.
• التلاعب بالتعريفات: فالعديد من الخرائط الطريقية تستخدم مصطلح “الكيوبت المنطقي” لوصف كيوبتات تدعم عمليات كلودفورد (Clifford)، والتي يمكن تقليدها بكفاءة على الحواسيب الكلاسيكية، وبالتالي فهي غير كافية لتشغيل خوارزمية Shor.

حتى لو كانت خارطة الطريق تهدف إلى “تحقيق آلاف الكيوبتات المنطقية بحلول X سنة”، فهذا لا يعني أن الشركة تتوقع أن تتمكن من تشغيل خوارزمية Shor لكسر التشفير الكلاسيكي في ذلك الوقت.

هذه الأساليب التسويقية تشوه بشكل كبير تصور الجمهور (بل وبعض المراقبين المخضرمين) لمدى قرب التهديدات الكمومية.

ومع ذلك، بعض الخبراء يشعرون بحماسة تجاه التقدم. سكوت آرونسون قال مؤخرًا إنه بالنظر إلى سرعة التقدم في الأجهزة، يعتقد أن “تشغيل خوارزمية Shor على كمبيوتر كمومي مقاوم للأخطاء قبل الانتخابات الرئاسية الأمريكية القادمة هو ممكن”. لكنه أوضح أن ذلك لا يعني وجود CRQC التي تشكل تهديدًا حقيقيًا للتشفير: حتى تحليل رقم 15 من خلال أنظمة مقاومة للأخطاء يُعتبر “تنبؤًا ناجحًا”. وهذا بالطبع لا يساوي كسر RSA-2048.

في الواقع، جميع تجارب تحليل رقم 15 على الكمبيوتر الكمومي تستخدم دوائر مبسطة، وليس خوارزمية Shor الكاملة المقاومة للأخطاء؛ وتحليل رقم 21 يتطلب إشارات وتسهيلات إضافية.

بعبارة بسيطة، لا يوجد أي تقدم علني يثبت أننا قادرون خلال الخمسة أعوام القادمة على بناء كمبيوتر كمومي يكسر RSA-2048 أو secp256k1.

حتى خلال العشر سنوات القادمة، هذا يبقى توقعًا متشددًا جدًا.

الحكومة الأمريكية اقترحت إكمال الانتقال إلى التشفير بعد الكم للأنظمة الحكومية قبل عام 2035، وهو جدول زمني للمشروع، وليس تنبؤًا بظهور CRQC في ذلك الوقت.

هل هجمات HNDL تنطبق على نوع معين من أنظمة التشفير؟

“HNDL (Harvest Now, Decrypt Later)” تعني أن المهاجم يخزن الاتصالات المشفرة الآن، ثم يفك تشفيرها عندما يظهر الكمبيوتر الكمومي في المستقبل.

من المحتمل أن يكون المنافسون على مستوى الدولة قد قاموا بالفعل بأرشفة الاتصالات المشفرة للحكومة الأمريكية على نطاق واسع، بهدف فك تشفيرها لاحقًا. لذلك، يتطلب النظام التشفيري الانتقال على الفور، خاصة في الحالات التي تتجاوز مدة سرية المعلومات 10–50 سنة.

ولكن، جميع التوقيعات الرقمية (Digital Signatures) المستندة إلى البلوكشين تختلف عن التشفير: فهي لا تحتوي على معلومات سرية يمكن استغلالها في هجمات تتبع.

بمعنى آخر، عند ظهور الكمبيوتر الكمومي، يمكن للمهاجم أن يبدأ في تزوير التوقيعات من تلك اللحظة، لكن التوقيعات السابقة لن تتأثر — لأنها لا تحتوي على أسرار يمكن الكشف عنها، طالما يمكن إثبات أن التوقيع تم إنتاجه قبل ظهور CRQC، فلن يكون قابلاً للتزوير.

لذا، فإن الانتقال إلى التوقيعات بعد الكم أقل إلحاحًا بكثير من الانتقال إلى التشفير.

كما اتخذت المنصات الرائدة استراتيجيات مقابلة:

• Chrome و Cloudflare أطلقا وضعًا مختلطًا لبروتوكول TLS باستخدام X25519+ML-KEM.
• Apple iMessage (PQ3) و Signal (PQXDH، SPQR) أطلقا أيضًا التشفير بعد الكم بشكل مختلط.

لكن تنفيذ التوقيعات بعد الكم على البنى التحتية الحيوية للويب تم تأجيله عمدًا — سيُطبق فقط عندما يقترب CRQC بشكل حقيقي، لأن الأداء الحالي للتوقيعات بعد الكم لا يزال متراجعًا بشكل ملحوظ.

الوضع نفسه ينطبق على zkSNARKs (تقنية إثبات المعرفة الصفرية المختصرة غير التفاعلية): حتى مع استخدام منحنيات بيضاوية (غير آمنة ضد PQ)، فإن خصائصها في المعرفة الصفرية تظل قائمة في بيئة الكم.

إثباتات المعرفة الصفرية تضمن عدم كشف أي شهادة سرية، لذا لا يمكن للمهاجم “جمع الشهادات الآن، وفك التشفير لاحقًا”. لذلك، zkSNARKs ليست عرضة بسهولة لهجمات HNDL. تمامًا كما أن التوقيعات التي تُنتج اليوم آمنة، فإن أي إثبات zkSNARK تم إنتاجه قبل ظهور الكمبيوتر الكمومي يظل موثوقًا — حتى لو استخدم تشفير المنحنيات البيضاوية. فقط بعد ظهور CRQC، سيكون المهاجم قادرًا على تزوير أدلة الادعاءات الزائفة. ويتم استمرارية التبادل القيمي على مدار الساعة لبناء عالم رقمي جديد يتجاوز حجم الاقتصاد البشري بكثير.