สรุปสาระจากการเสวนา “เมื่อ Quantum Computer ไล่ล่าคุณ: ยุทธศาสตร์การยกระดับความมั่นคงปลอดภัยไซเบอร์ในยุคควอนตัม”
เมื่อวันที่ 19 ธ.ค. 66 จัดโดย เนคเทค สวทช. ร่วมกับ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และสถาบันนโยบายสาธารณะและการพัฒนา สำนักงานสภาการเศรษฐกิจและสังคมแห่งชาติ (สศช.)
เรื่องของรหัสลับ หรือ หรือวิทยาการการเข้ารหัส (Cryptography) มีประวัติศาสตร์ยาวนานหลายพันปี ยกตัวอย่างการทำรหัสลับแบบหนึ่งที่เรียกว่า Scytale cipher ในช่วงก่อนคริสต์ศักราช 400 ปี คือ การนำหนังสัตว์มาเขียนตัวอักษรเรียงเป็นแถว ๆ โดยถอดรหัสเหล่านั้นได้ก็ต่อเมื่อต้องนำหนังสัตว์ไปพันกับไม้ทรงกระบอกที่มีขนาดเส้นผ่าศูนย์กลางเหมาะสมเท่านั้นเพื่อปกป้องความลับของข้อมูล
ปัจจุบันศาสตร์การเข้ารหัสลับมีความหมายที่กว้างขวางขึ้น นอกจากการปกป้องความลับของข้อมูลแล้ว ยังมีการใช้ในเรื่องการปกป้องความแท้จริง และการตรวจสอบที่มาของข้อมูล อย่างการทำลายมือชื่อดิจิทัล (Digital signature) หรือการเข้ารหัสที่ใกล้ตัวทุกคนมากที่สุด คือ การเชื่อมต่อที่มีความมั่นคงปลอดภัยระหว่างอุปกรณ์และเว็บ Server เมื่อใช้งานอินเทอร์เน็ตผ่านโปรโตคอลที่เรียกว่า https ที่ช่วยให้การส่งข้อมูลที่มีความละเอียดอ่อน อย่าง รหัสผ่าน ข้อมูลการทำธุรกรรม การซื้อสินค้าบนโลกออนไลน์ ให้มีความปลอดภัยมากยิ่งขึ้น ดร.สุนทร ศิระไพศาล นักวิจัย ทีมวิจัยความมั่นคงปลอดภัยสารสนเทศ อธิบาย
ศักยภาพของคอมพิวเตอร์ หรือ ซุปเปอร์คอมพิวเตอร์ในปัจจุบันจะต้องใช้เวลาหลักร้อยถึงหลักพันปีในการถอดรหัสลับข้อมูลที่มีการเข้ารหัสลับไว้ด้วยกุญแจรหัสลับที่ยาวเพียงพอ อย่างไรก็ตาม ความปลอดภัยของการเข้ารหัสในวันนี้ ไม่ได้รับประกันว่าข้อมูลของเราจะปลอดภัยตลอดไป ยกอย่างการโจมตีแบบ Harvest Now, Decrypt Later คือ การเก็บสะสมข้อมูลเอาไว้ก่อน เพื่อรอวันและเวลาที่ความก้าวหน้าของเทคโนโลยีจะสามารถถอดรหัสลับ ข้อมูลนั้นได้ และควอนตัมคอมพิวเตอร์ (Quantum Computer) ที่มีศักยภาพในการถอดรหัสข้อมูลที่เข้ารหัสลับโดยใช้ระยะเวลาเพียงหลักนาที อาจถูกพัฒนาสำเร็จได้ในอนาคตอันใกล้ ถึงแม้ว่าคอมพิวเตอร์ควอนตัมอาจจะไม่สามารถแทนที่คอมพิวเตอร์หรืออุปกรณ์อัจฉริยะที่เราใช้อยู่ในปัจจุบันทั้งหมด แต่ประชาชนทั่วไปอาจสามารถเข้าถึงคอมพิวเตอร์ควอนตัมได้ผ่านบริการในรูปแบบ Quantum Computing as a Service (QssS) ไม่ว่าจะเป็น IBM, Microsoft, Google, AWS, DWAVE, Baidu เป็นต้น ดร.ศรัณย์ สัมฤทธิ์เดชขจร กรรมการบริหาร และรักษาการผู้อำนวยการสถาบันนโยบายสาธารณะและการพัฒนาสำนักงานสภาการเศรษฐกิจและสังคมแห่งชาติ (สศช.) กล่าว
ยุทธศาสตร์การยกระดับความมั่นคงปลอดภัยไซเบอร์ในยุคควอนตัมของโลกและไทย
สถาบันมาตรวิทยาแห่งชาติของสหรัฐอเมริกา (The U.S. National Institute of Standards and Technology – NIST) ได้ริเริ่มกระบวนการ ประเมิน สร้างมาตรฐานเพื่อพัฒนาระบบ หรือ อัลกอริทึมการเข้ารหัสที่ปลอดภัยกับทั้งควอนตัมคอมพิวเตอร์และคอมพิวเตอร์ทั่วไป และสามารถทำงานร่วมกับโปรโตคอลและเครือข่ายการสื่อสารที่มีอยู่ได้ หรือที่เรียกว่า Post-quantum cryptography (PQC) ซึ่งปัจจุบันได้มีการประกาศร่างมาตรฐานจำนวน 3 ฉบับเพื่อขอรับความคิดเห็น และวางแผนจัดการประชุม NIST PQC standardization Conference ครั้งที่ 5 ในปีหน้าเพื่อหารือเกี่ยวกับแง่มุมต่างๆ ของอัลกอริทึม และเพื่อรับข้อเสนอสำหรับเกี่ยวกับการกำหนดมาตรฐานอีกด้วย https://csrc.nist.gov/…/three-draft-fips-for-post…
สำหรับประเทศไทย ดร.ศรัณย์ มองว่า ยังไม่สายที่จะนำเรื่องการรับมือ Quantum Computing นี้เข้าสู่ 13 หมุดหมายภายใต้แผนพัฒนาเศรษฐกิจและสังคมแห่งชาติ ฉบับที่ 13 (พ.ศ. 2566 – 2570) โดยเฉพาะอย่างหมุดหมายที่ 6 “ศูนย์กลางดิจิทัลและอิเล็กทรอนิกส์อัจฉริยะ” อย่างไรก็ตาม เรื่องโครงสร้างพื้นฐานด้านความปลอดภัยไซเบอร์ (Cyber Security) นั้นคลอบคลุมทุก ๆ หมุดหมายในการพัฒนาประเทศ ไม่เพียงเฉพาะหมุดหมายที่ 6 เท่านั้น ยกตัวอย่าง ในมิติภาคการผลิตและบริการเป้าหมาย ไม่ว่าจะเป็น หมุดหมายเรื่อง สินค้าเกษตร และเกษตรแปรรูปมูลค่าสูง การท่องเที่ยวที่เน้นคุณภาพและความยั่งยืน ฐานการผลิตยานยนต์ไฟฟ้าที่สำคัญของโลก การแพทย์และสุขภาพมูลค่าสูง โลจิสติกส์ที่สำคัญของภูมิภาค “ดังนั้น หากเราสามารถเชื่อมโยงการทำงานเพื่อพัฒนาตอบโจทย์ 13 หมุดหมายเข้าด้วยกัน ทำงานขยับไปพร้อมกัน ขับเคลื่อนทั้งองคาพยพเพื่อไม่ให้เกิดช่องโหว่ จะช่วยยกระดับขีดความสามารถของประเทศได้ ทั้งสร้างคน สร้างงาน สร้างอุตสาหกรรมไปพร้อมกัน” ดร.ศรัณย์ อธิบาย
นอกจากนี้ พลอากาศตรี อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ให้ข้อมูลเพิ่มเติมว่า “สกมช. ร่วมกับพันธมิตร เตรียมประกาศ Post-quantum cryptography guideline เพื่อให้ทุก ๆ หน่วยงานมีแนวทางในการรับมือ และชวนคิดกันว่าข้อมูลที่เก็บอยู่ในแต่ละหน่วยงานมีการเก็บรูปแบบไหน ปลอดภัยหรือไม่อย่างไร เพราะบ่อยครั้งเมื่อข้อมูลรั่วไหล อาจไม่จำเป็นต้องใช้เทคโนโลยีใด ๆ ถอดรหัสเลยเพราะไม่ได้เข้ารหัสแต่แรก เพราะฉะนั้นเรื่องการให้ความสำคัญกับเรื่องความปลอดภัยไซเบอร์ (Cyber Security) การสร้างความตระหนักเรื่องสุขอนามัยขั้นพื้นฐานทางไซเบอร์ (Cyber Hygiene) ต้องเริ่มตั้งแต่ตอนนี้”
3 ประเด็นที่องค์กรต้องเตรียมตั้งรับเพื่อความปลอดภัยของข้อมูล .
ถึงแม้ปัจจุบันกระบวนการการเพื่อสร้างมาตรฐานการเข้ารหัส PQC กำลังดำเนินอยู่ แต่องค์กรต่าง ๆ ควรการเตรียมตั้งแต่เนิ่น ๆ เพื่อให้สะดวกต่อการเปลี่ยนไปใช้มาตรฐานการเข้ารหัส PQC อย่างมีประสิทธิภาพ โดยคุณพรสรรค์ พรวัฒนาโชคชัย Business Development Director บริษัท บีทามส์ โซลูชั่น จำกัด ได้สรุปข้อมูลยุทธศาสตร์ของกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐ (DSH) (https://www.dhs.gov/quantum) สู่ 3 ประเด็นที่องค์กรต้องเตรียมพร้อม
1. การทำ Data Inventory องค์กรควรจัดทำรายการชุดข้อมูล หรือ ระบบ ว่าระบบใดที่จัดเก็บข้อมูลที่มีความละเอียดอ่อนและสำคัญซึ่งต้องได้รับการรักษาความปลอดภัยเป็นระยะเวลานาน และต้องระบุรายละเอียดเกี่ยวกับข้อมูล ไม่ว่าจะเป็น เทคโนโลยี หรือ ชนิดการเข้ารหัส (Cryptographic Technolgoy) การได้มาของข้อมูล (Data acquisition) มาตรฐานการรักษาความปลอดภัยข้อมูล (Data security standards) รวมถึงควรระบุว่าการเข้ารหัสกุญสาธารณะ (Public key cryptography) ไว้ที่ใดและเพื่อวัตถุประสงค์ใด และทำเครื่องหมายว่าข้อมูลดังกล่าวมีความเสี่ยง เพื่อให้สะดวกต่อการอัปเดท หรือ เปลี่ยนแปลงในอนาคต
2. การจัดลำดับความสำคัญ (Prioritizing) ว่าระบบหรือข้อมูลที่ต้องเปลี่ยนแปลงการเข้ารหัส (Cryptographic Technolgoy) เพื่อป้องกันการโจมตีด้วยควอนตัมคอมพิวเตอร์ในอนาคต
3. การพัฒนาแผนการ (Plan) สำหรับการเปลี่ยนแปลงระบบเมื่อมีการเผยแพร่มาตรฐาน (post-quantum cryptographic)
นอกจากนี้คุณพรสรรค์ยัง เล่าถึงบริการที่เกิดขึ้นในอนาคตเมื่อองค์กรต้องปรับตัวมาใช้ PQC ไม่ว่าจะเป็น
1. บริการให้คำปรึกษา (Consulting Services) เช่น การให้คำปรึกษาด้านการวางแผนองค์กรเพื่อการเปลี่ยน Traditional non-quantum resistant cryptographic algorithm เป็น Post Quantum Cryptography การจัดทำ Inventory ประเมินความเสี่ยง วางแผน กำหนดความสำคัญของระบบที่ต้องปรับเปลี่ยน การให้บริการเครื่องมือตรวจสอบ Cryptography ที่ใช้งานภายในองค์กร
2. บริการปรับเปลี่ยน (Migration) เช่น การปรับระบบเดิมที่มีการใช้งาน Traditional Crypto ไปใช้ PQC เช่น Web Server SSH Server File Server VPN Server หรือ การให้บริการใบรับรองอิเล็กทรอนิกส์ (Digital Certificate) ที่ใช้ PQC
3. บริการพัฒนาระบบงาน (Implementation) เช่น ระบบจัดทำเอกสารและลงลายมือชื่ออิเล็กทรอนิกส์ที่รองรับลายมือชื่อด้วย Algorithm แบบ PQC และ ระบบแลกเปลี่ยนข้อมูลที่รองรับการส่งข้อมูลผ่าน Protocol ที่ใช้ Algorithm แบบ PQC เป็นต้น
เนคเทค สวทช. กับงานวิจัยด้าน Quantum Technology .
NECTEC Quantum Random Number Generator ใช้เทคโนโลยีทางด้านควอนตัม โดยความปลอดภัยของระบบต่าง ๆ อยู่บนสมมุติฐานที่ว่ากุญแจรหัสลับที่ใช้จะต้องมาจากการสุ่มที่แท้จริง และไม่สามารถคาดเดาได้ เนื่องจากข้อจำกัดการสุ่มแบบเดิมที่ใช้การสุ่มที่มาจากโปรแกรมคอมพิวเตอร์ซึ่งให้ชุดเลขสุ่มที่สร้างมากจากอัลกอริทึมที่สามารถคำนวณย้อนกลับได้ จากข้อจำกัดดังกล่าวจึงเกิดการพัฒนาเทคโนโลยีการสุ่มตัวเลขโดยใช้เทคโนโลยีควอนตัม ทึ่เป็นการสกัดเลขสุ่มจากปรากฏการณ์ทางธรรมชาติ และให้ชุดเลขสุ่มแท้ ที่ไม่สามารถคำนวณย้อนกลับได้และคาดเดาล่วงหน้าไม่ได้ NECTEC Quantum Random Number Generator เป็นชุดอุปกรณ์ที่เป็นต้นแบบงานวิจัย โดยได้มีการนำไปเชื่อมต่อกับระบบคลาวด์ เพื่อเป็นต้นแบบงานวิจัยในรูปแบบ Cloud Platform ในชื่อ randomQ
Farmer ONE ระบบการให้บริการข้อมูลเกษตรกรกลาง ซึ่งเนคเทค สวทช. ได้เข้าไปมีส่วนช่วยในการ จัดทำระบบปกป้องเพิ่มความมั่นคงปลอดภัยของข้อมูล โดยออกแบบระบบให้มีการรวมข้อมูลมาไว้ที่ส่วนส่วนกลาง รวมถึงมีการตั้งรับกับการโจมตีข้อมูลที่อาจเกิดขึ้นในอนาตต และเริ่มทำการศึกษาเปลี่ยนแปลงอัลกอริทึมที่ใช้ในการเข้ารหัสข้อมูลเหล่านี้ให้เป็นนิรนาม รวมถึงวิธีการด้าน PQC อีกด้วย
Traceability ระบบการตรวจสอบย้อนกลับผลผลิตทางการเกษตรโดยเริ่มต้นจากทุเรียน ซึ่งเป็นผลไม้ไทยที่ได้รับความนิยมและมีการส่งออกไปจำหน่ายในต่างประเทศ โดยจำเป็นต้องมีการจัดทำมาตรฐานทั้งในเรื่องความปลอดภัย สารเคมี การปลูกที่เป็นมิตรต่อโลก ซึ่งข้อมูลการตรวจสอบย้อนกลับนี้หากถูกโจมตีอาจทำให้เกิดการปลอมแปลงมาตรฐานได้ เนคเทค สวทช. จึงริเริ่มศึกษาความเป็นไปได้ในการนำเทคโนโลยีที่เกี่ยวข้อง เช่น PQC เข้ามาประยุกต์ใช้เพื่อป้องกันการโจมตีดังกล่าว
