Sovereignty AI

The First Line of Defense Against Tomorrow’s Threats” 

Get started today Learn more
by tnbadmin
on พฤษภาคม 5, 2025

การถือกำเนิดของคอมพิวเตอร์ควอนตัมที่มีความสามารถสูง หรือ Cryptographically Relevant Quantum Computers (CRQCs) กำลังจะกลายเป็นภัยคุกคามร้ายแรงต่อโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure – PKI) ที่ใช้งานอยู่ในปัจจุบัน. ระบบการเข้ารหัสแบบกุญแจอสมมาตรที่ใช้กันอย่างแพร่หลาย เช่น RSA และ Elliptic Curve Cryptography (ECC) ซึ่งเป็นรากฐานความปลอดภัยของการสื่อสารดิจิทัลและการทำธุรกรรมออนไลน์จำนวนมาก อาศัยความยากทางคณิตศาสตร์ในการแยกตัวประกอบจำนวนเต็มขนาดใหญ่ (Integer Factorization) และการแก้ปัญหาลอการิทึมแบบไม่ต่อเนื่อง (Discrete Logarithm Problem – DLP) ตามลำดับ. อย่างไรก็ตาม อัลกอริทึมควอนตัมที่ชื่อว่า Shor’s algorithm สามารถแก้ปัญหาเหล่านี้ได้อย่างรวดเร็วในเวลาพหุนาม (polynomial time) ด้วยคอมพิวเตอร์ควอนตัม ทำให้ระบบ RSA และ ECC ไม่ปลอดภัยอีกต่อไป

ในขณะเดียวกัน อัลกอริทึมควอนตัมอีกตัวหนึ่งคือ Grover’s algorithm ก็ส่งผลกระทบต่อการเข้ารหัสแบบสมมาตร (Symmetric Cryptography) เช่น Advanced Encryption Standard (AES) โดยลดทอนความแข็งแกร่งของกุญแจลงครึ่งหนึ่งในทางทฤษฎี. แม้ว่าผลกระทบนี้จะรุนแรงน้อยกว่าภัยคุกคามต่อ PKI แต่ก็จำเป็นต้องปรับเพิ่มความยาวกุญแจเพื่อรักษาความปลอดภัยในระดับเดิม

ภัยคุกคามเหล่านี้ยิ่งทวีความรุนแรงขึ้นจากแนวคิด “Harvest Now, Decrypt Later” (HNDL) ซึ่งผู้ไม่ประสงค์ดีทำการดักจับและจัดเก็บข้อมูลที่เข้ารหัสในปัจจุบันไว้ เพื่อรอถอดรหัสในอนาคตเมื่อ CRQCs พร้อมใช้งาน. กลยุทธ์นี้ทำให้ข้อมูลที่ต้องการการปกป้องในระยะยาวมีความเสี่ยงทันที แม้ว่า CRQCs จะยังไม่เกิดขึ้นจริงก็ตาม

เพื่อรับมือกับภัยคุกคามนี้ การเปลี่ยนผ่านไปสู่การเข้ารหัสลับหลังยุคควอนตัม (Post-Quantum Cryptography – PQC) หรือการเข้ารหัสที่ทนทานต่อควอนตัม (Quantum-Resistant Cryptography) จึงเป็นสิ่งจำเป็นเร่งด่วน. สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ได้ริเริ่มโครงการ PQC Standardization เพื่อคัดเลือกและออกมาตรฐานอัลกอริทึม PQC ที่ปลอดภัยและใช้งานได้จริง. ในเดือนสิงหาคม 2024 NIST ได้เผยแพร่มาตรฐานชุดแรก ได้แก่ ML-KEM (Kyber) สำหรับการห่อหุ้มกุญแจ (Key Encapsulation), ML-DSA (Dilithium) และ SLH-DSA (SPHINCS+) สำหรับลายเซ็นดิจิทัล.  

องค์กรต่างๆ จำเป็นต้องเตรียมความพร้อมสำหรับการเปลี่ยนผ่านนี้โดยทันที ข้อเสนอแนะเชิงกลยุทธ์ที่สำคัญ ได้แก่ การเริ่มต้นทำบัญชีรายการสินทรัพย์การเข้ารหัส (Cryptographic Inventory) และการประเมินความเสี่ยงควอนตัม การวางแผนโดยคำนึงถึงความคล่องตัวในการเข้ารหัส (Crypto-Agility) เพื่อรองรับการเปลี่ยนแปลงในอนาคต การพิจารณาใช้แนวทางการเข้ารหัสแบบผสมผสาน (Hybrid Cryptography) เป็นมาตรการชั่วคราว การติดตามและปฏิบัติตามมาตรฐาน PQC ที่ประกาศใช้ และการใช้ประโยชน์จากเครื่องมือโอเพนซอร์ส เช่น Open Quantum Safe (OQS) เพื่อการทดลองและทดสอบ. การดำเนินการเชิงรุกและการวางแผนอย่างรอบคอบเป็นกุญแจสำคัญในการรักษาความปลอดภัยของข้อมูลในยุคควอนตัมที่กำลังจะมาถึง  

ภัยคุกคามควอนตัมต่อการเข้ารหัสลับ (The Looming Quantum Threat to Cryptography)
พื้นฐานคอมพิวเตอร์ควอนตัมและความเกี่ยวข้องกับการเข้ารหัสลับ (Quantum Computing Fundamentals and Cryptographic Relevance)

คอมพิวเตอร์ควอนตัมเป็นเครื่องคำนวณรูปแบบใหม่ที่ใช้ประโยชน์จากปรากฏการณ์ทางกลศาสตร์ควอนตัมเพื่อแก้ปัญหาทางคณิตศาสตร์บางประเภทที่คอมพิวเตอร์แบบดั้งเดิม (Classical Computer) ไม่สามารถทำได้ หรือทำได้ช้ามาก. หน่วยประมวลผลพื้นฐานของคอมพิวเตอร์ควอนตัมคือ คิวบิต (qubit) ซึ่งแตกต่างจากบิต (bit) ของคอมพิวเตอร์ดั้งเดิมที่แทนสถานะได้เพียง 0 หรือ 1 เท่านั้น คิวบิตสามารถอยู่ในสถานะซ้อนทับ (superposition) ของทั้ง 0 และ 1 ได้พร้อมกัน (∣ψ⟩=α∣0⟩+β∣1⟩ โดยที่ ∣α∣2+∣β∣2=1). นอกจากนี้ คิวบิตยังสามารถมีความพัวพัน (entanglement) ซึ่งหมายความว่าสถานะของคิวบิตหนึ่งสามารถเชื่อมโยงกับสถานะของคิวบิตอื่นได้ แม้จะอยู่ห่างกันก็ตาม  

คุณสมบัติเหล่านี้ โดยเฉพาะอย่างยิ่งการซ้อนทับและความพัวพัน ทำให้คอมพิวเตอร์ควอนตัมสามารถทำการคำนวณแบบขนาน (quantum parallelism) ได้ในระดับที่ไม่เคยมีมาก่อน. อย่างไรก็ตาม สิ่งสำคัญคือต้องเข้าใจว่าคอมพิวเตอร์ควอนตัมไม่ใช่เครื่องเร่งความเร็วสำหรับงานคำนวณทุกประเภท แต่เป็นเครื่องจักรสำหรับวัตถุประสงค์พิเศษ (special-purpose machines) ที่มีความสามารถโดดเด่นในการแก้ปัญหาเฉพาะบางอย่างเท่านั้น โดยเฉพาะปัญหาที่มีโครงสร้างทางคณิตศาสตร์ที่เหมาะสมกับอัลกอริทึมควอนตัม

ความเกี่ยวข้องที่สำคัญที่สุดของคอมพิวเตอร์ควอนตัมกับการเข้ารหัสลับคือ ความสามารถในการทำลายความปลอดภัยของระบบการเข้ารหัสที่ใช้กันอย่างแพร่หลายในปัจจุบัน. อัลกอริทึมควอนตัม เช่น Shor’s algorithm และ Grover’s algorithm ใช้ประโยชน์จากหลักการควอนตัมเพื่อแก้ปัญหาทางคณิตศาสตร์ที่เป็นรากฐานของความปลอดภัยในการเข้ารหัสแบบอสมมาตรและสมมาตรตามลำดับ ได้เร็วกว่าอัลกอริทึมที่ดีที่สุดที่ทราบสำหรับคอมพิวเตอร์ดั้งเดิมอย่างมาก

เพื่อประเมินภัยคุกคามนี้อย่างเป็นรูปธรรม จึงมีการนิยามคำว่า “Cryptographically Relevant Quantum Computer” (CRQC) ขึ้น หมายถึง คอมพิวเตอร์ควอนตัมที่มีขนาด (จำนวนคิวบิต) และความทนทานต่อความผิดพลาด (fault tolerance) เพียงพอที่จะทำลายการเข้ารหัสแบบกุญแจสาธารณะที่ใช้ในปัจจุบันได้ โดยหลักแล้วคือการใช้อัลกอริทึมของ Shor. การสร้าง CRQC ยังคงเป็นความท้าทายทางวิศวกรรมที่สำคัญ เนื่องจากต้องใช้คิวบิตจำนวนมากที่มีความเสถียรสูงและมีระยะเวลาการรักษาคุณสมบัติควอนตัม (coherence time) ที่ยาวนานพอ. อย่างไรก็ตาม ความก้าวหน้าในการวิจัยและพัฒนาคอมพิวเตอร์ควอนตัมในช่วงไม่กี่ปีที่ผ่านมา ทำให้หลายฝ่ายเชื่อว่าการสร้าง CRQC เป็นไปได้ในอนาคตอันใกล้

ความสามารถที่โดดเด่นของคอมพิวเตอร์ควอนตัมไม่ได้อยู่ที่การเร่งความเร็วการคำนวณทุกประเภท แต่เป็นการแก้ปัญหาเฉพาะทางบางอย่างได้อย่างมีประสิทธิภาพเหนือกว่าคอมพิวเตอร์แบบดั้งเดิมอย่างมหาศาล ปัญหาเหล่านี้รวมถึงการแยกตัวประกอบจำนวนเต็มขนาดใหญ่ และการแก้ปัญหาลอการิทึมแบบไม่ต่อเนื่อง ซึ่งเป็นหัวใจสำคัญของความปลอดภัยในการเข้ารหัสแบบกุญแจสาธารณะ (Public Key Infrastructure – PKI) นอกจากนี้ยังรวมถึงปัญหาการค้นหาข้อมูลในฐานข้อมูลที่ไม่มีการเรียงลำดับ ซึ่งส่งผลกระทบต่อความปลอดภัยของการเข้ารหัสแบบสมมาตร ความเฉพาะเจาะจงของภัยคุกคามนี้จึงเป็นเหตุผลหลักที่ทำให้การพัฒนาและการเปลี่ยนผ่านไปสู่ Post-Quantum Cryptography (PQC) มุ่งเน้นไปที่การปกป้องระบบกุญแจสาธารณะเป็นอันดับแรก.  

Shor’s Algorithm: การเจาะระบบการเข้ารหัสแบบกุญแจอสมมาตร (RSA, ECC) (Shor’s Algorithm: Breaking Asymmetric Cryptography)

อัลกอริทึมของ Shor ซึ่งพัฒนาโดย Peter Shor ในปี 1994 ถือเป็นหนึ่งในความก้าวหน้าที่สำคัญที่สุดในสาขาคอมพิวเตอร์ควอนตัม และเป็นสาเหตุหลักของความกังวลเกี่ยวกับความปลอดภัยของการเข้ารหัสลับในยุคควอนตัม. อัลกอริทึมนี้มีความสามารถในการแก้ปัญหาทางคณิตศาสตร์สองประเภทที่สำคัญ ได้แก่ การแยกตัวประกอบจำนวนเต็ม (integer factorization) และการแก้ปัญหาลอการิทึมแบบไม่ต่อเนื่อง (Discrete Logarithm Problem – DLP) ได้อย่างมีประสิทธิภาพบนคอมพิวเตอร์ควอนตัม.  

ความสามารถนี้ส่งผลกระทบโดยตรงต่อความปลอดภัยของระบบการเข้ารหัสแบบกุญแจอสมมาตรที่ใช้กันอย่างแพร่หลายที่สุดในปัจจุบัน:

  • RSA (Rivest–Shamir–Adleman): ความปลอดภัยของ RSA ขึ้นอยู่กับความยากในการแยกตัวประกอบของจำนวนเต็มขนาดใหญ่ N ซึ่งเป็นผลคูณของจำนวนเฉพาะสองตัว p และ q. คอมพิวเตอร์แบบดั้งเดิมต้องใช้เวลาในระดับเอ็กซ์โพเนนเชียล (exponential time) ในการแยกตัวประกอบ N ที่มีขนาดใหญ่พอ (เช่น 2048 บิต) ทำให้การโจมตีด้วยวิธีนี้เป็นไปไม่ได้ในทางปฏิบัติ (มีการประมาณว่าอาจใช้เวลาถึง 300 ล้านล้านปี). อย่างไรก็ตาม Shor’s algorithm สามารถแยกตัวประกอบ N ได้ในเวลาพหุนาม (polynomial time) หรือ O((logN)3) บนคอมพิวเตอร์ควอนตัมในอุดมคติ ทำให้ RSA ไม่ปลอดภัยอีกต่อไป.  
  • ECC (Elliptic Curve Cryptography): รวมถึงโปรโตคอลที่เกี่ยวข้อง เช่น ECDH (Elliptic Curve Diffie–Hellman) และ ECDSA (Elliptic Curve Digital Signature Algorithm) ความปลอดภัยของ ECC อาศัยความยากในการแก้ปัญหาลอการิทึมแบบไม่ต่อเนื่องบนเส้นโค้งวงรี (Elliptic Curve Discrete Logarithm Problem – ECDLP). Shor’s algorithm สามารถปรับใช้เพื่อแก้ปัญหา ECDLP ได้อย่างมีประสิทธิภาพเช่นกัน  

การประเมินทรัพยากรที่จำเป็นสำหรับการรัน Shor’s algorithm เพื่อทำลายการเข้ารหัสจริงยังคงเป็นประเด็นที่ศึกษาอย่างต่อเนื่อง มีการประมาณการว่าการทำลายคีย์ ECC ขนาด 256 บิต อาจต้องใช้คิวบิตประมาณ 2,500 คิวบิต ในขณะที่การทำลายคีย์ RSA ขนาด 2048 บิต อาจต้องใช้ประมาณ 4,000 คิวบิต. การศึกษาอื่นประเมินว่าการแก้ ECDLP บนฟิลด์เฉพาะ n บิต อาจต้องการคิวบิตประมาณ 9n+2⌈log2​(n)⌉+10 คิวบิต และเกต Toffoli จำนวนมากถึง 448n3log2​(n)+4090n3. ตัวเลขเหล่านี้ชี้ให้เห็นว่า ECC ซึ่งมีข้อได้เปรียบในด้านประสิทธิภาพ (ขนาดคีย์เล็กกว่า RSA สำหรับระดับความปลอดภัยคลาสสิกที่เท่ากัน) อาจกลายเป็นเป้าหมายที่ง่ายกว่าสำหรับคอมพิวเตอร์ควอนตัมเมื่อเทียบกับ RSA. ข้อได้เปรียบด้านขนาดคีย์ที่เล็กของ ECC ในโลกคลาสสิก กลับกลายเป็นจุดอ่อนในยุคควอนตัม เนื่องจากจำนวนคิวบิตที่น้อยลงหมายถึงความซับซ้อนที่ลดลงในการโจมตีด้วยควอนตัม อย่างไรก็ตาม การสร้างคอมพิวเตอร์ควอนตัมที่ทนทานต่อความผิดพลาด (fault-tolerant) ซึ่งมีคิวบิตคุณภาพสูงจำนวนมากและมี coherence time ที่ยาวนานพอ ยังคงเป็นอุปสรรคทางเทคโนโลยีที่สำคัญ

Grover’s Algorithm: การลดทอนความปลอดภัยของการเข้ารหัสแบบสมมาตร (AES) (Grover’s Algorithm: Weakening Symmetric Cryptography)

ในขณะที่ Shor’s algorithm เป็นภัยคุกคามต่อการเข้ารหัสแบบกุญแจอสมมาตร Grover’s algorithm ซึ่งพัฒนาโดย Lov Grover ในปี 1996 ส่งผลกระทบต่อการเข้ารหัสแบบสมมาตร (symmetric key cryptography) เช่น AES. อัลกอริทึมของ Grover จัดอยู่ในกลุ่มอัลกอริทึมการค้นหาควอนตัม (quantum search algorithm) ที่สามารถเร่งความเร็วการค้นหาในฐานข้อมูลที่ไม่มีการเรียงลำดับ (unstructured search) ได้อย่างมีนัยสำคัญ

โดยปกติแล้ว การค้นหาข้อมูลเป้าหมายในรายการขนาด N ที่ไม่มีการจัดเรียง คอมพิวเตอร์แบบดั้งเดิมจะต้องทำการตรวจสอบโดยเฉลี่ย N/2 ครั้ง หรือ N ครั้งในกรณีที่แย่ที่สุด. แต่ Grover’s algorithm สามารถค้นหารายการเป้าหมายได้โดยใช้การสอบถาม (query) ไปยัง “oracle” (ฟังก์ชันที่ระบุว่าข้อมูลที่กำลังพิจารณาใช่เป้าหมายหรือไม่) เพียงประมาณ 4π​N​ ครั้งเท่านั้น. การเร่งความเร็วแบบกำลังสอง (quadratic speedup) นี้ แม้จะไม่ใช่การเร่งความเร็วแบบเอ็กซ์โพเนนเชียลเหมือน Shor’s algorithm แต่ก็มีนัยสำคัญอย่างยิ่งสำหรับปัญหาการค้นหาขนาดใหญ่

ผลกระทบโดยตรงต่อการเข้ารหัสแบบสมมาตรคือการโจมตีแบบค้นหากุญแจ (key recovery attack). การค้นหากุญแจลับขนาด n บิต ด้วยวิธี brute-force บนคอมพิวเตอร์ดั้งเดิมจะต้องลองกุญแจที่เป็นไปได้ทั้งหมดประมาณ 2n ครั้ง. แต่ด้วย Grover’s algorithm ความซับซ้อนนี้จะลดลงเหลือประมาณ 2n/2 ครั้ง. ตัวอย่างเช่น การทำลาย AES-128 (กุญแจ 128 บิต) ด้วยวิธีดั้งเดิมต้องใช้ 2128 การดำเนินการ แต่ Grover’s algorithm ลดเหลือเพียง 264 การดำเนินการในทางทฤษฎี. กล่าวอีกนัยหนึ่ง Grover’s algorithm ลดทอนความแข็งแกร่งของกุญแจสมมาตรลงครึ่งหนึ่ง.  

เพื่อรับมือกับภัยคุกคามนี้ ชุมชนการเข้ารหัสลับได้เสนอแนวทางแก้ไขที่ค่อนข้างตรงไปตรงมา คือการเพิ่มความยาวของกุญแจเป็นสองเท่า. ตัวอย่างเช่น การเปลี่ยนไปใช้ AES-256 (กุญแจ 256 บิต) แทน AES-128 จะทำให้ความซับซ้อนของการโจมตีด้วย Grover’s algorithm เพิ่มขึ้นเป็น 2256/2=2128 ซึ่งถือว่าเพียงพอที่จะรักษาความปลอดภัยในระดับที่ยอมรับได้ในปัจจุบัน. NIST เองก็แนะนำให้ใช้ AES-256 เพื่อต้านทานการโจมตีด้วยควอนตัม

อย่างไรก็ตาม การประเมินภัยคุกคามจาก Grover’s algorithm เพียงแค่พิจารณาจำนวนการสอบถาม (query cost) อาจทำให้เข้าใจผิดได้. การนำ Grover’s algorithm มาใช้จริงเพื่อทำลายการเข้ารหัสที่แข็งแกร่งอย่าง AES นั้นต้องเผชิญกับต้นทุนและความท้าทายในทางปฏิบัติอย่างมหาศาล :  

  • การสร้างวงจรควอนตัม: ต้องสร้างวงจรควอนตัมแบบย้อนกลับได้ (reversible quantum circuit) สำหรับอัลกอริทึมการเข้ารหัสสมมาตร (เช่น การทำงานของ S-box และ key schedule ใน AES) ซึ่งเป็นเรื่องซับซ้อนและต้องใช้ทรัพยากร (คิวบิตและเกต) จำนวนมาก. มีงานวิจัยจำนวนมากที่พยายามลดขนาดและทรัพยากรของวงจรเหล่านี้.  
  • ต้นทุนการแก้ไขข้อผิดพลาดควอนตัม (QEC): การคำนวณด้วยควอนตัมมีความอ่อนไหวต่อสัญญาณรบกวน (noise) และข้อผิดพลาด (errors) การรัน Grover’s algorithm ที่ต้องทำซ้ำหลายรอบจำเป็นต้องมี QEC ที่มีประสิทธิภาพสูง ซึ่งเพิ่มค่าใช้จ่ายด้านทรัพยากรทางกายภาพ (physical qubits) อย่างมาก.  
  • ประสิทธิภาพการทำงานแบบขนาน: Grover’s algorithm ไม่สามารถขนาน (parallelize) ได้อย่างมีประสิทธิภาพเหมือนการค้นหาแบบดั้งเดิม การลดเวลาการทำงานลง S เท่า จำเป็นต้องใช้หน่วยประมวลผลควอนตัมแบบขนานถึง S2 ตัว ทำให้การเร่งความเร็วอย่างมีนัยสำคัญด้วยการขนานมีต้นทุนสูงมาก.  
  • ข้อจำกัดด้านความลึกของวงจร: คอมพิวเตอร์ควอนตัมในปัจจุบันและอนาคตอันใกล้มีข้อจำกัดด้านความลึกสูงสุดของวงจร (จำนวนการดำเนินการต่อเนื่อง) ที่สามารถรันได้อย่างน่าเชื่อถือ การรัน Grover’s algorithm สำหรับคีย์ขนาดใหญ่อาจต้องการความลึกของวงจรที่เกินขีดจำกัดนี้.  

ด้วยเหตุผลเหล่านี้ แม้ว่า Grover’s algorithm จะลดทอนความปลอดภัยทางทฤษฎีของการเข้ารหัสแบบสมมาตรลงครึ่งหนึ่ง แต่ต้นทุนและทรัพยากรที่ต้องใช้ในการโจมตี AES-256 ในทางปฏิบัติยังคงสูงมาก และอาจสูงกว่าทรัพยากรที่จำเป็นสำหรับ Shor’s algorithm ในการทำลาย RSA หรือ ECC อย่างมีนัยสำคัญ. การประเมินหนึ่งชี้ว่า Shor’s algorithm อาจทำลาย PKI ได้ในเวลาไม่กี่ชั่วโมงบน CRQC เครื่องเดียว ในขณะที่ Grover’s algorithm อาจต้องใช้เวลาหลายพันล้านปีบนเครื่องขนาดเดียวกันเพื่อทำลายคีย์สมมาตร. ดังนั้น ผลกระทบหลักของ Grover’s algorithm คือการกระตุ้นให้เกิดการเปลี่ยนไปใช้กุญแจสมมาตรที่มีความยาวมากขึ้น (เช่น AES-256) แทนที่จะทำให้การเข้ารหัสแบบสมมาตรหมดความน่าเชื่อถือไปโดยสิ้นเชิง.  

ตารางที่ 1: เปรียบเทียบการโจมตีแบบดั้งเดิมและแบบควอนตัมต่อระบบการเข้ารหัสลับ

ประเภทการเข้ารหัสพื้นฐานความปลอดภัยความซับซ้อนการโจมตีแบบดั้งเดิมอัลกอริทึมควอนตัมที่เกี่ยวข้องความซับซ้อนการโจมตีแบบควอนตัมผลกระทบจากควอนตัม
กุญแจอสมมาตร (RSA, ECC)ความยากในการแยกตัวประกอบ / แก้ DLPเอ็กซ์โพเนนเชียลShor’s Algorithmพหุนาม (O(log3N))ถูกทำลาย (Broken)
กุญแจสมมาตร (AES)ความยากในการค้นหากุญแจ (Key Exhaustion)เอ็กซ์โพเนนเชียล (O(2n))Grover’s Algorithmลดลงแบบกำลังสอง (O(2n/2))ต้องเพิ่มความยาวกุญแจเป็นสองเท่า
ฟังก์ชันแฮช (SHA-2, SHA-3)ความต้านทานการหาค่า Preimage / CollisionO(2n) / O(2n/2)Grover’s Algorithm (สำหรับ Preimage)ลดลงแบบกำลังสอง (O(2n/2) สำหรับ Preimage)อาจต้องเพิ่มขนาด Output

Export to Sheets

หมายเหตุ: N คือจำนวนที่ต้องการแยกตัวประกอบ หรือขนาดของกลุ่มใน DLP; n คือความยาวบิตของกุญแจ หรือขนาด Output ของฟังก์ชันแฮช

ตารางนี้สรุปให้เห็นภาพรวมที่ชัดเจนว่าผลกระทบของคอมพิวเตอร์ควอนตัมต่อการเข้ารหัสประเภทต่างๆ นั้นแตกต่างกันอย่างมีนัยสำคัญ การเข้ารหัสแบบกุญแจอสมมาตรเผชิญกับภัยคุกคามระดับ存亡 (existential threat) จาก Shor’s algorithm ที่เปลี่ยนความซับซ้อนจากเอ็กซ์โพเนนเชียลเป็นพหุนาม ในขณะที่การเข้ารหัสแบบสมมาตรเพียงแค่ถูกลดทอนความแข็งแกร่งลง ซึ่งสามารถแก้ไขได้โดยการเพิ่มความยาวกุญแจ ส่วนฟังก์ชันแฮชได้รับผลกระทบน้อยที่สุด นี่คือเหตุผลที่ความพยายามในการพัฒนา PQC จึงมุ่งเน้นไปที่การทดแทนระบบกุญแจอสมมาตรเป็นหลัก

“Harvest Now, Decrypt Later” (HNDL): ภัยคุกคามเงียบ (The Silent Threat)

นอกเหนือจากภัยคุกคามโดยตรงจากอัลกอริทึมควอนตัมแล้ว ยังมีกลยุทธ์การโจมตีทางไซเบอร์ที่น่ากังวลอีกรูปแบบหนึ่งซึ่งเกี่ยวข้องกับอนาคตของคอมพิวเตอร์ควอนตัม นั่นคือ “Harvest Now, Decrypt Later” (HNDL) หรือที่เรียกว่า “retrospective decryption” หรือ “store now, decrypt later”. แนวคิดหลักของ HNDL คือการที่ผู้ไม่ประสงค์ดี (เช่น หน่วยงานข่าวกรองของรัฐ หรือกลุ่มอาชญากรไซเบอร์ที่มีทรัพยากรสูง) ทำการดักจับและรวบรวมข้อมูลที่เข้ารหัสไว้ในปัจจุบัน แม้ว่าจะยังไม่สามารถถอดรหัสได้ด้วยเทคโนโลยีปัจจุบันก็ตาม จากนั้นจึงจัดเก็บข้อมูลเหล่านี้ไว้เป็นระยะเวลานาน เพื่อรอวันที่คอมพิวเตอร์ควอนตัม (CRQC) มีความสามารถเพียงพอที่จะทำลายการเข้ารหัสที่ใช้ปกป้องข้อมูลเหล่านั้นได้.  

กระบวนการโจมตีแบบ HNDL โดยทั่วไปประกอบด้วย 3 ขั้นตอนหลัก :  

  1. การเก็บเกี่ยวข้อมูล (Data Harvest): ผู้โจมตีจะระบุเป้าหมายข้อมูลที่มีคุณค่าในระยะยาวและมีความอ่อนไหวสูง จากนั้นจึงใช้เทคนิคต่างๆ ในการดักจับข้อมูลที่เข้ารหัสขณะส่งผ่านเครือข่าย หรือขโมยข้อมูลที่จัดเก็บไว้ในเซิร์ฟเวอร์หรือฐานข้อมูล การเก็บเกี่ยวนี้อาจเกิดขึ้นอย่างต่อเนื่องและตรวจจับได้ยาก.  
  2. การจัดเก็บข้อมูล (Data Storage): ข้อมูลที่ถูกขโมยมาจะถูกนำไปจัดเก็บอย่างปลอดภัย อาจเป็นเวลาหลายปีหรือหลายสิบปี ต้นทุนการจัดเก็บข้อมูลที่ลดลงทำให้การเก็บข้อมูลปริมาณมหาศาลเป็นไปได้. ผู้โจมตีอาจใช้เทคนิคการปกปิด เช่น การแยกส่วนไฟล์ หรือการตั้งชื่อไฟล์ที่ไม่สื่อความหมาย เพื่อหลีกเลี่ยงการตรวจพบ.  
  3. การถอดรหัสในอนาคต (Future Decryption): เมื่อ CRQC พร้อมใช้งาน ผู้โจมตีจะนำข้อมูลที่เก็บไว้มาถอดรหัสโดยใช้อัลกอริทึมควอนตัม (เช่น Shor’s algorithm สำหรับข้อมูลที่เข้ารหัสด้วย RSA/ECC) เพื่อเข้าถึงข้อมูลลับที่อยู่ภายใน.  

ข้อมูลประเภทที่ตกเป็นเป้าหมายหลักของ HNDL คือข้อมูลที่มี “อายุการใช้งานยาวนาน” (long shelf life) หรือยังคงมีความอ่อนไหวและมีคุณค่าแม้เวลาจะผ่านไปนาน. ตัวอย่างเช่น:  

  • ข้อมูลส่วนบุคคลที่ระบุตัวตนได้ (PII) เช่น หมายเลขบัตรประชาชน ข้อมูลทางการเงิน ประวัติสุขภาพ.  
  • ทรัพย์สินทางปัญญา (Intellectual Property – IP) เช่น ความลับทางการค้า สิทธิบัตร งานวิจัยและพัฒนา.  
  • ข้อมูลลับของรัฐบาลหรือทางการทหาร.  
  • ข้อมูลทางการเงินและกฎหมายระยะยาว.  

สิ่งที่ทำให้ HNDL เป็นภัยคุกคาม ในปัจจุบัน ไม่ใช่ภัยคุกคามในอนาคต คือขั้นตอนการเก็บเกี่ยวข้อมูลสามารถเกิดขึ้นได้ ตั้งแต่วันนี้. ข้อมูลใดๆ ที่ถูกส่งหรือจัดเก็บในวันนี้โดยใช้การเข้ารหัสแบบกุญแจสาธารณะ (RSA, ECC) ที่อ่อนแอต่อการโจมตีด้วยควอนตัม ก็ตกอยู่ในความเสี่ยงที่จะถูกเปิดเผยในอนาคตทันทีที่ CRQC เกิดขึ้นจริง. มีข้อบ่งชี้ว่าหน่วยงานข่าวกรองของบางประเทศอาจกำลังดำเนินกลยุทธ์ HNDL อยู่แล้วในขณะนี้.  

แนวคิด HNDL นี้เองที่สร้างแรงกดดันอย่างมหาศาลให้องค์กรต่างๆ ต้องเร่งดำเนินการเปลี่ยนผ่านไปสู่ PQC โดยเร็วที่สุด. การรอจนถึงวันที่ CRQC ปรากฏตัวจริง หรือที่เรียกว่า “Q-Day” แล้วค่อยเริ่มดำเนินการนั้นสายเกินไปสำหรับข้อมูลที่ถูกดักจับไปแล้วในวันนี้และต้องการการปกป้องความลับในระยะยาวเกินกว่ากรอบเวลาที่คาดว่า Q-Day จะมาถึง (ซึ่งอาจอยู่ภายใน 10-15 ปีข้างหน้า). ดังนั้น เส้นตายที่แท้จริงสำหรับการปกป้องข้อมูลที่มีความอ่อนไหวในระยะยาวจึงไม่ใช่ Q-Day ในอนาคต แต่เป็น ปัจจุบัน. การเปลี่ยนผ่านสู่ PQC จึงไม่ใช่แค่การเตรียมพร้อมสำหรับอนาคต แต่เป็นการแก้ไขช่องโหว่ที่มีอยู่แล้วในปัจจุบันสำหรับข้อมูลที่ต้องการความลับยืนยาว  

ความจำเป็นในการนำ PQC มาใช้ (The Imperative for PQC Adoption)

ดังที่ได้กล่าวไปแล้ว แรงผลักดันหลักที่ทำให้ต้องมีการเปลี่ยนผ่านสู่การเข้ารหัสลับหลังยุคควอนตัม (Post-Quantum Cryptography – PQC) คือภัยคุกคามที่เกิดจาก Shor’s algorithm ต่อระบบการเข้ารหัสแบบกุญแจสาธารณะที่ใช้กันอย่างแพร่หลาย เช่น RSA, ECC และรูปแบบต่างๆ ของ Diffie-Hellman. ระบบเหล่านี้เป็นเสาหลักของความปลอดภัยในการสื่อสารผ่านอินเทอร์เน็ต ลายเซ็นดิจิทัล การยืนยันตัวตน และการทำธุรกรรมอิเล็กทรอนิกส์ หากระบบเหล่านี้ถูกทำลาย ผลกระทบต่อความลับ (confidentiality) และความสมบูรณ์ (integrity) ของข้อมูลดิจิทัลจะเป็นวงกว้างและรุนแรงอย่างยิ่ง.  

PQC หรือที่เรียกว่า การเข้ารหัสที่ทนทานต่อควอนตัม (Quantum-Resistant Cryptography) หมายถึง อัลกอริทึมการเข้ารหัสที่ออกแบบมาเพื่อให้ทำงานได้บนคอมพิวเตอร์แบบดั้งเดิมในปัจจุบัน แต่เชื่อว่ามีความปลอดภัยเพียงพอที่จะต้านทานการโจมตีได้ทั้งจากคอมพิวเตอร์แบบดั้งเดิมและคอมพิวเตอร์ควอนตัมในอนาคต. สิ่งสำคัญคือต้องแยกแยะ PQC ออกจาก การเข้ารหัสควอนตัม (Quantum Cryptography) เช่น Quantum Key Distribution (QKD) ซึ่งใช้หลักการควอนตัมในการแลกเปลี่ยนกุญแจ แต่ไม่ได้แก้ปัญหาการเข้ารหัสข้อมูลหรือการสร้างลายเซ็นดิจิทัลโดยตรง และมักต้องการโครงสร้างพื้นฐานพิเศษ. PQC มุ่งเน้นไปที่การพัฒนาอัลกอริทึมใหม่ที่สามารถนำมาใช้ทดแทนอัลกอริทึมเดิมในโครงสร้างพื้นฐานปัจจุบันได้  

ความจำเป็นในการเริ่มเปลี่ยนผ่านสู่ PQC โดยเร่งด่วนไม่ได้เกิดจากภัยคุกคามในอนาคตเพียงอย่างเดียว แต่ยังเกิดจากระยะเวลาที่ยาวนานในการปรับใช้มาตรฐานการเข้ารหัสใหม่ในอดีต. ตัวอย่างเช่น การเปลี่ยนจาก Data Encryption Standard (DES) ไปสู่ Triple DES และ Advanced Encryption Standard (AES) หรือการเลิกใช้ฟังก์ชันแฮช SHA-1 ล้วนใช้เวลานานหลายสิบปี. การรอจนกระทั่ง CRQC ปรากฏตัวจริงจึงค่อยเริ่มกระบวนการเปลี่ยนผ่านนั้นมีความเสี่ยงสูงเกินไป โดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงภัยคุกคามจาก HNDL.  

เป้าหมายสำคัญประการหนึ่งของความพยายามในการสร้างมาตรฐาน PQC เช่น โครงการของ NIST คือการพัฒนาอัลกอริทึมที่สามารถทำงานร่วมกับโปรโตคอลและเครือข่ายการสื่อสารที่มีอยู่ได้ (interoperate with existing communications protocols and networks) เพื่อลดผลกระทบต่อระบบปัจจุบันให้น้อยที่สุด. อย่างไรก็ตาม การบรรลุเป้าหมายนี้ก็มีความท้าทายในทางปฏิบัติ อัลกอริทึม PQC หลายตัวมีขนาดของกุญแจและลายเซ็นที่ใหญ่กว่า RSA หรือ ECC อย่างมีนัยสำคัญ และอาจมีประสิทธิภาพในการคำนวณที่แตกต่างกัน ซึ่งส่งผลต่อค่าใช้จ่ายในการสื่อสาร (communication overhead) และความเร็วในการประมวลผล. แม้ว่าอัลกอริทึม PQC บางตัว เช่น Kyber และ Dilithium อาจมีประสิทธิภาพดีกว่า RSA และ ECDSA ที่ระดับความปลอดภัยคลาสสิกเทียบเท่ากัน แต่การนำไปใช้งานจริงยังคงต้องพิจารณาถึงผลกระทบเหล่านี้อย่างรอบคอบในการวางแผนการเปลี่ยนผ่าน  

โครงการ PQC ของ NIST: กระบวนการและเป้าหมาย (The NIST PQC Standardization Initiative: Process and Goals)

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (National Institute of Standards and Technology – NIST) ซึ่งมีบทบาทสำคัญในการออกมาตรฐานการเข้ารหัสลับที่ใช้กันทั่วโลก (เช่น AES, SHA-3, FIPS 186 สำหรับลายเซ็นดิจิทัล) ได้ตระหนักถึงภัยคุกคามจากคอมพิวเตอร์ควอนตัม และได้ริเริ่ม “โครงการสร้างมาตรฐานการเข้ารหัสลับหลังยุคควอนตัม” (Post-Quantum Cryptography Standardization Process) ขึ้นอย่างเป็นทางการราวปี 2016-2017.  

เป้าหมายหลักของโครงการนี้คือการคัดเลือก ประเมิน และออกมาตรฐานสำหรับอัลกอริทึมการเข้ารหัสแบบกุญแจสาธารณะ (Public-Key Cryptography) อย่างน้อยหนึ่งอัลกอริทึม ที่มีความทนทานต่อการโจมตีจากทั้งคอมพิวเตอร์แบบดั้งเดิมและคอมพิวเตอร์ควอนตัม. อัลกอริทึมเหล่านี้จะต้องเป็นแบบไม่ลับ (unclassified) เปิดเผยต่อสาธารณะ (publicly disclosed) และสามารถใช้งานได้ทั่วโลก. โดยมุ่งเน้นไปที่สองฟังก์ชันหลักของการเข้ารหัสแบบกุญแจสาธารณะ คือ:  

  1. การเข้ารหัสแบบกุญแจสาธารณะ / กลไกการห่อหุ้มกุญแจ (Public-Key Encryption / Key-Encapsulation Mechanisms – KEMs): สำหรับการสร้างและแลกเปลี่ยนกุญแจลับร่วมกันอย่างปลอดภัยผ่านช่องทางสาธารณะ เพื่อใช้ในการเข้ารหัสข้อมูลแบบสมมาตรต่อไป.  
  2. ลายเซ็นดิจิทัล (Digital Signatures): สำหรับการยืนยันความถูกต้องของข้อมูล (integrity) และการพิสูจน์ตัวตนของผู้ลงนาม (authentication).  

กระบวนการของ NIST เป็นแบบเปิดและโปร่งใส โดยเชิญชวนนักวิจัยและผู้เชี่ยวชาญด้านการเข้ารหัสลับจากทั่วโลกให้ส่งข้อเสนออัลกอริทึมเข้าร่วมการพิจารณา. กระบวนการคัดเลือกประกอบด้วยหลายรอบ (rounds) ของการประเมินผลและการวิเคราะห์ความปลอดภัยอย่างเข้มข้นโดยชุมชนนักวิจัยนานาชาติ :  

  • เปิดรับข้อเสนอ: สิ้นสุดเดือนพฤศจิกายน 2017.  
  • รอบที่ 1: คัดเลือกอัลกอริทึม 26 ตัว จาก 69 ข้อเสนอ เพื่อเข้าสู่รอบต่อไป สิ้นสุดเดือนมกราคม 2019 
  • รอบที่ 2: คัดเลือกอัลกอริทึม 15 ตัว (7 ตัวเข้ารอบสุดท้าย และ 8 ตัวสำรอง) สิ้นสุดเดือนกรกฎาคม 2020  
  • รอบที่ 3: ทำการวิเคราะห์เชิงลึกยิ่งขึ้น และประกาศอัลกอริทึมชุดแรกที่จะนำไปสร้างเป็นมาตรฐานในเดือนกรกฎาคม 2022.  
  • รอบที่ 4: ดำเนินการต่อสำหรับอัลกอริทึม KEM เพิ่มเติม โดย HQC ได้รับเลือกในเดือนมีนาคม 2025  
  • การประกาศมาตรฐาน: ร่างมาตรฐาน FIPS ชุดแรก (FIPS 203, 204, 205) เผยแพร่เพื่อรับฟังความคิดเห็นในเดือนสิงหาคม 2023 และประกาศเป็นมาตรฐานฉบับสมบูรณ์ในเดือนสิงหาคม 2024. ร่างมาตรฐานสำหรับอัลกอริทึมลายเซ็นตัวที่สี่ (FALCON) คาดว่าจะเผยแพร่ในภายหลัง.  

ลักษณะการดำเนินงานแบบหลายรอบ การคัดเลือกทั้งตัวจริงและตัวสำรอง และการเปิดรอบที่ 4 เพื่อพิจารณาอัลกอริทึมเพิ่มเติม สะท้อนให้เห็นถึงความซับซ้อนและความท้าทายในการค้นหาและตรวจสอบความปลอดภัยของอัลกอริทึม PQC NIST ตระหนักดีว่ากระบวนการนี้ต้องใช้เวลาและความระมัดระวัง เพื่อให้มั่นใจว่ามาตรฐานที่ออกมามีความน่าเชื่อถือและปลอดภัยในระยะยาว การที่ HQC ถูกเลือกเข้ามาในภายหลัง ยิ่งตอกย้ำว่ากระบวนการสร้างมาตรฐาน PQC เป็นกระบวนการที่ต่อเนื่องและมีการปรับปรุงอยู่เสมอ ไม่ใช่เหตุการณ์ที่เกิดขึ้นครั้งเดียวแล้วจบไป  

Categories:

ข่าวสาร

Tags:

No Tag

Comments are closed

seers cmp badge

เว็บนี้ทำตามนโยบายคุ้มครองข้อมูลส่วนบุคคลประเทศไทย ทางผู้จัดทำเว็บไซต์ไม่มีวัตถุประสงค์เพื่อจัดเก็บข้อมูลส่วนบุคคล และไม่นำข้อมูลส่วนบุคคลไปใช้ทางอื่น ค่า cookie ในเว็บไซต์ขึ้นอยู่กับการยินยอมผู้ใช้บริการ

Preference Disable All Allow All