«الأمن السيبراني» يعتمد مستويين للتشفير ويغلق ثغرات «المولدات المتوقعة»
طرحت الهيئة الوطنية للأمن السيبراني التحديثات الجديدة للمعايير الوطنية للتشفير عبر منصة ”استطلاع“، بهدف وضع الحد الأدنى لمتطلبات التشفير المقبولة للأغراض المدنية والتجارية، وحماية البيانات والأنظمة والشبكات الوطنية.
تحدد المعايير الوطنية للتشفير مستويين رئيسيين من القوة، وهما المستوى الأساسي ”MODERATE“ والمستوى المتقدم ”ADVANCED“، لتوفير المرونة وكفاءة التنفيذ.
وصُممت مستويات القوة بحيث يحقق المستوى الأساسي أمانًا يعادل 128 - بت، بينما يضمن المستوى المتقدم أمانًا يصل إلى 256 - بت،
ويحق لكل جهة اختيار مستوى التشفير المناسب حسب طبيعة البيانات والأنظمة والشبكات المراد حمايتها ومستوى حساسيتها، مع الالتزام بالحد الأدنى المطلوب وفق السياسات الوطنية الصادرة عن الهيئة.
وتشدد الوثائق الأخرى للهيئة على تخصيص مستوى القوة المناسب لكل جهة وطنية لضمان حماية البيانات والشبكات، بحيث يجب على كل نظم التشفير تحقيق المستوى المحدد.
وإذا كان مستوى الأمان المستهدف متقدمًا، يجب أن يحقق جميع مكونات النظام هذا المستوى، بينما يمكن للمستوى الأساسي أن يُطبق على جميع مكونات النظام سواء بالمستوى الأساسي أو المتقدم.
تنظم الوثيقة المعايير الوطنية للتشفير في المملكة عبر مجموعة من الأقسام التفصيلية التي تغطي مختلف جوانب الحماية السيبرانية.
ويستعرض القسم الأول الخوارزميات المتماثلة وغير المتماثلة المقبولة، بما في ذلك أطوال المفاتيح والكتل ومتجهات التهيئة، إضافة إلى خوارزميات ما بعد الحوسبة الكمية.
أما القسم الثاني فيتعلق بالتصاميم المتماثلة وغير المتماثلة، ويغطي عمليات التشفير، والتوقيع الرقمي، والاتفاق على المفاتيح ونقلها، بالإضافة إلى دوال حماية المفاتيح واشتقاقها، وتصاميم التشفير المتكامل وكامل المسار.
ويتناول القسم الثالث متطلبات التشفير للبروتوكولات الأكثر شيوعًا مثل IPsec وTLS وDNSSEC وSSH وBluetooth, إضافة إلى شبكات UMTS وLTE و 5G, وبروتوكولات WPA وكيربيروس، في حين يخصص القسم الرابع لقائمة الخوارزميات والمتطلبات الخاصة بالشهادات وصلاحيتها.
ويستعرض القسم الخامس متطلبات حماية المفاتيح وإدارة دورة حياتها من إنشائها حتى إتلافها، بينما يركز القسم السادس على الحد الأدنى من المتطلبات عند استخدام مولدات الأعداد العشوائية، ويخصص القسم السابع لمتطلبات التوزيع الكمي للمفاتيح ”QKD“. أخيرًا،
يحتوي القسم الثامن على ملاحق شاملة تتناول معلومات إضافية حول التشفير، وتعزيز الخصوصية، والتحديات الأمنية مثل هجمات القنوات الجانبية، إلى جانب التشفير المبني على الهوية والسمات، والتعريفات والاختصارات، وجدول التعديلات التي أجريت على الوثيقة.
أكدت الهيئة الوطنية للأمن السيبراني على أهمية استخدام مولدات الأعداد العشوائية عالية الجودة لضمان أمان نظم التشفير، موضحة أن ذلك يشمل استخدام المولدات ذات العشوائية التامة ”TRNGs“، أو المولدات الكمية للأعداد العشوائية ”QRNGs“، أو المولدات الهجينة للأعداد شبه العشوائية ”Hybrid-PRNGs“.
شددت الهيئة على منع الاعتماد على المولدات المحددة للأعداد شبه العشوائية القابلة للتوقع، والتأكد من توليد بذور عشوائية حديثة بدرجة 128 - بت للمستوى الأساسي و 256 - بت للمستوى المتقدم، من مصادر موثوقة وغير محددة.
ويجب كذلك إعادة تجديد البذرة العشوائية بشكل دوري أو عند الحاجة، فضلاً عن اجتياز هذه المولدات للاختبارات الإحصائية المعيارية للأعداد العشوائية قبل اعتمادها، باستخدام مجموعات اختبار متقدمة مثل NIST SP 800-22 وDieharder, لضمان مستوى عالٍ من الأمان في جميع أنظمة التشفير الوطنية.
تضمنت الوثيقة أيضًا المعايير الخاصة بحلول التوزيع الكمي للمفاتيح ”QKD“، التي تهدف إلى تعزيز الحماية ضد التهديدات السيبرانية المستقبلية.
وتشدد الهيئة على ضرورة تنفيذ QKD بطريقة هجينة تجمع بين خوارزميات ما بعد الحوسبة الكمية والخوارزميات الكلاسيكية لضمان التوثيق والاتفاق على المفاتيح بشكل آمن، مع مراقبة معدل خطأ البت الكمي ”QBER“ بشكل مستمر لاكتشاف أي تداخل محتمل.
تشمل الإجراءات حماية حلول QKD من هجمات الوسيط ”Man-in-the-Middle“ التي تستهدف البنية التحتية للشبكات، مع مراعاة القيود الفنية والمخاطر السيبرانية المصاحبة وطرق التعامل معها.
وتشدد الوثيقة على الالتزام بالمعايير الدولية لضمان التوافقية والأمان، مثل ISO/IEC 23837 وETSI GS QKD 008 وETSI GS QKD 016، بما يضمن أعلى مستويات الحماية للبيانات والاتصالات المستقبلية.
