Migration Roadmap | QUANTA Platform

ภาพรวมการเปลี่ยนผ่านสู่ยุคควอนตัม

การคาดการณ์ระยะเวลาและทรัพยากรที่ต้องใช้เพื่อเตรียมความพร้อมสำหรับยุคควอนตัม อาจเป็นเรื่องยาก ทั้งนี้ องค์กรสามารถศึกษาตัวอย่างการเปลี่ยนแปลงอัลกอริทึมระบบรหัสลับในอดีตเพื่อใช้เป็นกรอบอ้างอิงเบื้องต้น

บทเรียนจากอดีต: การเปลี่ยนผ่านจาก DES สู่ AES

ในอดีต Data Encryption Standard (DES) เคยเป็นมาตรฐานตั้งแต่ปี 2519 แต่เมื่อถูกถอดรหัสได้ จึงถูกแทนที่ด้วย 3DES และ AES ในเวลาต่อมา การศึกษาพบว่าบางองค์กรใช้เวลา นานถึง 20 ปี ในการเปลี่ยนผ่านอย่างสมบูรณ์

"ผู้เชี่ยวชาญจึงได้ประมาณการเวลาที่องค์กรต้องใช้ในการเปลี่ยนแปลงระบบรหัสลับให้เป็น PQC ว่าจะอยู่ในกรอบระยะเวลาที่ใกล้เคียงกัน คือ ประมาณ 5 – 20 ปี ด้วยเหตุนี้องค์กรควรเริ่มต้นวางแผนตั้งแต่เนิ่นๆ"

อ้างอิงข้อมูลจาก: A guide to a quantum-safe organization, QED-C (2022)

กรอบเวลาเชิงกลยุทธ์ในการเปลี่ยนผ่านระบบ

2035 →

1 2024 – 2026

การสำรวจและประเมินความเสี่ยง

ระบุสินทรัพย์ที่มีมูลค่าสูงและช่องทางการสื่อสารที่เสี่ยงต่อการถูกโจมตีในทุกภาคส่วน

2 2027 – 2030

การบูรณาการ PQC

เริ่มใช้อัลกอริทึมที่ผ่านการรับรองจาก NIST (ML-KEM, ML-DSA) ในจุดเชื่อมต่อโครงสร้างพื้นฐานหลัก

3 2031 – 2034

การทำงานร่วมกันเต็มรูปแบบ

เปลี่ยนผ่านระบบเครือข่ายเกตเวย์ทางการเงินและระบบควบคุมพลังงานทั่วประเทศ

Target

2035

ความทนทานต่อควอนตัม

บรรลุเป้าหมายการเปลี่ยนผ่านระบบ PQC อย่างสมบูรณ์ ปลอดภัยจากคอมพิวเตอร์ควอนตัมในยุคแรก

ข้อเสนอแนะการระบบจาก NIST

สถาบัน NIST ได้กำหนดแนวทางแบบเป็นขั้นตอน เพื่อให้มั่นใจว่าการเปลี่ยนผ่านระบบไปสู่อัลกอริทึม PQC อย่าง ML-KEM และ ML-DSA จะเป็นไปอย่างราบรื่นและปลอดภัย

อ้างอิง: NIST Cybersecurity White Paper (CSWP) และแนวทางการเตรียมความพร้อม

1 ระยะการค้นหา (Discovery)

ระบุจุดที่มีการใช้งานการเข้ารหัสลับแบบกุญแจสาธารณะทั้งหมดภายในเครือข่าย แอปพลิเคชัน และฮาร์ดแวร์ของคุณ

2 การประเมินความเสี่ยง (Risk Assessment)

จัดลำดับความสำคัญของระบบตามความอ่อนไหวและอายุความลับของข้อมูล ข้อมูลที่ต้องเก็บเป็นความลับหลายสิบปีจะเสี่ยงต่อการเก็บเกี่ยวข้อมูลเพื่อถอดรหัสลับในภายหลัง (Harvest Now, Decrypt Later: HNDL)

3 การใช้งานแบบไฮบริด (Hybrid Implementation)

ในช่วงเปลี่ยนผ่าน ให้ใช้งานอัลกอริทึม PQC ควบคู่กับอัลกอริทึมดั้งเดิม (เช่น ML-KEM + X25519) เพื่อให้ระบบยังคงได้มาตรฐานเดิมและสามารถต้านทานควอนตัมได้พร้อมกัน

📋 7 ขั้นตอนการเตรียมความพร้อม (7 Steps to Readiness)

1. จัดทำแผนงาน

กำหนดบุคลากรพัฒนา Roadmap และประเมินค่าใช้จ่ายแต่เนิ่นๆ

2. เสริมสร้างความตระหนักรู้

ให้ความรู้แก่บุคลากรและฝ่ายจัดซื้อเพื่อเลือกใช้เทคโนโลยีที่เหมาะสม

3. กำหนดความรับผิดชอบ

มอบหมายความรับผิดชอบให้เจ้าหน้าที่ในส่วนงานที่เกี่ยวข้องอย่างชัดเจน

4. จัดทำรายการสินทรัพย์

ทำรายการสินทรัพย์สารสนเทศที่เกี่ยวกับข้อมูลสำคัญและระบบรหัสลับทั้งหมด

5. ประเมินเทคโนโลยี

ประเมินความเหมาะสมของการประยุกต์ใช้ PQC และระบบแบบผสม (Hybrid)

6. ทดลองและทดสอบ

ดำเนินการทดสอบระบบในสภาพแวดล้อมจำลองเพื่อวิเคราะห์ผลกระทบ

7. ติดตามความก้าวหน้า

ติดตามพัฒนาการของคอมพิวเตอร์ควอนตัมและประเมินความเสี่ยงอย่างสม่ำเสมอ

รายการสินทรัพย์ทางสารสนเทศ

คุณไม่สามารถปกป้องสิ่งที่คุณมองไม่เห็นได้ การจัดทำรายการสินทรัพย์ที่ครอบคลุมถือเป็นเงื่อนไขพื้นฐานก่อนการเปลี่ยนผ่านระบบ โดยแบ่งองค์ประกอบหลักออกเป็น 2 ส่วน

1
Data Asset Inventory

การสำรวจข้อมูลสารสนเทศทั้งหมดในองค์กร จัดประเภทความสำคัญ และประเมินอายุการใช้งานของข้อมูล (Security Shelf Life)

2
Crypto Asset Inventory

การสำรวจระบบรหัสลับทั้งหมดที่ใช้ปกป้องข้อมูล ซึ่ง CBOM เป็นหนึ่งในเครื่องมือสำคัญสำหรับขั้นตอนนี้

เครื่องมือ CBOM (Cryptographic Bill of Materials)

CBOM คือรายการสินทรัพย์การเข้ารหัสทั้งหมด รวมถึงอัลกอริทึม ขนาดกุญแจ ใบรับรอง และไลบรารีที่ใช้ทั่วทั้งองค์กร ซึ่งช่วยให้สามารถระบุระบบที่มีช่องโหว่ได้อย่างรวดเร็วและแม่นยำ

Algorithms

RSA, ECDSA, AES

Key Sizes

2048-bit, 256-bit

Libraries

OpenSSL, BouncyCastle

Protocols

TLS 1.2, TLS 1.3, SSH

1. ทำไมต้องเริ่มที่ CBOM?

"You cannot protect what you cannot see."

• หากไม่มี CBOM เมื่อถึงเวลาเปลี่ยนผ่านระบบไป PQC ไอทีจะไม่รู้เลยว่าต้องไปแก้โค้ดตรงไหน หรือเซิร์ฟเวอร์ตัวไหนยังใช้อัลกอริทึมเก่าอยู่
• การมี CBOM ทำให้องค์กรสามารถตอบสนองต่อช่องโหว่ (Vulnerabilities) ใหม่ๆ ได้อย่างรวดเร็วและแม่นยำ

2. ความเชื่อมโยงกับ Mosca's Model

X + Y > Z

ตัวแปร X (เวลาที่ใช้ในการเปลี่ยนผ่านระบบ) จะใช้เวลานานแค่ไหน ขึ้นอยู่กับความซับซ้อนของ CBOM หากระบบในองค์กรมีการฝัง (Hardcoded) อัลกอริทึมแบบเก่าไว้มาก ค่า X ก็จะยิ่งเพิ่มขึ้น ทำให้เสี่ยงต่อภัยคุกคามควอนตัมเร็วขึ้น

การจัดทำ CBOM ด้วยระบบอัตโนมัติ

Source Code Scanners

สแกนหาฟังก์ชันที่เกี่ยวกับการเข้ารหัสในโค้ด (เช่น การเรียกใช้ KeyPairGenerator)

Network Traffic Analyzers

ดักจับแพ็กเกจในเครือข่ายเพื่อตรวจสอบการใช้งาน TLS หรือ Cipher Suite เก่าๆ

Binary Scanners

ตรวจสอบไฟล์แอปพลิเคชันที่ถูกคอมไพล์แล้ว (.dll, .jar) เพื่อหาไลบรารีเข้ารหัสเดิม

ความคล่องตัวด้านระบบรหัสลับ

อ้างอิง: NIST CSWP 39

การเตรียมระบบสำหรับอนาคตไม่ใช่แค่การเปลี่ยนอัลกอริทึม แต่ต้องสร้างความคล่องตัวให้กับสถาปัตยกรรม (Architectural Agility) เพื่อให้องค์กรสามารถตอบสนองต่อการเปลี่ยนแปลงมาตรฐานและช่องโหว่ใหม่ๆ ได้อย่างทันท่วงที

Crypto-Agility คืออะไร?

คือความสามารถในการสับเปลี่ยนอัลกอริทึมการเข้ารหัสที่ล้าสมัยหรือมีช่องโหว่ด้วยอัลกอริทึมใหม่ได้อย่างราบรื่น โดยไม่ต้องแก้ไขโครงสร้างพื้นฐานหลักหรือตรรกะของแอปพลิเคชันขนานใหญ่ การออกแบบระบบให้มี Crypto-Agility จะลดต้นทุนและความเสี่ยงในการอัปเกรดระบบในอนาคตได้อย่างมหาศาล

สถาปัตยกรรม Crypto API

การนำ Crypto API มาใช้เป็นตัวกลาง (Abstraction Layer) ระหว่างแอปพลิเคชันและผู้ให้บริการเข้ารหัส (Cryptographic Service Provider) จะช่วยให้องค์กรสามารถเปลี่ยนอัลกอริทึมได้โดยอ้างอิงจาก Algorithm Policy โดยไม่ต้องแก้ไขโค้ดของแอปพลิเคชัน (Hardcoded)

Algorithm Abstraction

แยกตรรกะการเข้ารหัสออกจากแอปพลิเคชันหลัก ทำให้สามารถอัปเดตไลบรารีได้โดยไม่ต้องแก้โค้ดธุรกิจ

Hybrid Cryptography

รองรับการใช้งานอัลกอริทึมคลาสสิกและ PQC ควบคู่กัน เพื่อป้องกันกรณีที่อัลกอริทึมใหม่พบช่องโหว่

Automated Rotation

ระบบการจัดการใบรับรองและกุญแจแบบอัตโนมัติ (Automated Key Management) ลดข้อผิดพลาดจากมนุษย์