بانک Citi در گزارشی تازه هشدار داده تا یک حمله سایبری مبتنی بر رایانش کوانتومی علیه یکی از بزرگ‌ترین بانک‌های آمریکا می‌تواند تنها در یک روز، هزاران میلیارد دلار به اقتصاد این کشور آسیب وارد کند. این گزارش که از سوی واحد Citi Global Perspectives & Solutions منتشر شده، بر ضرورت شتاب در مهاجرت صنعت مالی به استانداردهای رمزنگاری «پسا-کوانتومی» (PQC) تاکید دارد.

به گزارش امریکن‌بنکر،‌ بانک سیتی برآورد می‌کند که اگر مهاجمی با استفاده از توانمندی‌های کوانتومی به یکی از پنج موسسه مالی بزرگ آمریکا و به‌ویژه دسترسی این نهاد‌ها به سامانه پرداخت Fedwire Funds Service (سیستم تسویه حساب بانکی در ایالات متحده) حمله کند، این اقدام می‌تواند زنجیره‌ای از اختلالات مالی را رقم بزند که هزینه‌ای بین ۲ تا ۳.۳ هزار میلیارد دلار را برای نظام بانکی این کشور به دنبال دارد. گفتنی است که گرچه در این گزارش بر تهدید کوانتومی برای صنعت بانکی و مالی ایالات متحده تمرکز شده است اما تهدیدی مشابه در سطح بین‌المللی نیز وجود دارد.

چنین شوکی معادل کاهش ۱۰ تا ۱۷ درصدی تولید ناخالص داخلی واقعی آمریکا است و این رقم تهدید کوانتومی را از یک موضوع تحقیقاتی به مسئله‌ای در سطح هیئت‌مدیره بانک‌ها تبدیل کرده است.

به گفته سیتی، فوریت موضوع صرفا به دلیل وجود یک رایانه کوانتومی قدرتمند در حال حاضر نیست چراکه چنین دستگاهی هنوز ساخته نشده است اما نگرانی اصلی سناریویی موسوم به «اکنون جمع‌آوری کن، بعدا رمزگشایی کن» است.

در این روش، مهاجمان امروز داده‌های رمزگذاری‌شده از جمله کلیدهای رمزنگاری مورد استفاده بانک‌ها برای پیام‌رسانی بین‌بانکی و دسترسی به سیستم‌های پرداخت را ذخیره می‌کنند تا در آینده و با در اختیار داشتن یک رایانه کوانتومی قدرتمند، آن‌ها را رمزگشایی کنند. این تهدید به‌ویژه برای داده‌هایی که نیازمند محرمانگی بلندمدت هستند، بسیار جدی ارزیابی می‌شود.

روز کیو و ضرورت گذار به رمزنگاری پساکوانتومی
در ادبیات صنعتی، لحظه‌ای که یک رایانه کوانتومی بتواند رمزنگاری‌های فعلی را در هم بشکند به عنوان «Q-Day» یا «روز کیو» شناخته می‌شود. سیتی در این هشدار با اشاره به داده‌های Global Risk Institute پیرامون نظرسنجی سال ۲۰۲۴ اعلام کرده که احتمال وقوع روز کیو تا سال ۲۰۳۴ بین ۱۹ تا ۳۴ درصد است؛ این احتمال تا سال ۲۰۴۴ به بیش از ۶۰ درصد افزایش می‌یابد.

هرچند این تاریخ‌ها دور به نظر می‌رسند، اما مهاجرت کامل زیرساخت‌های بانکی به رمزنگاری پسا-کوانتومی فرآیندی چندساله و پیچیده است و همین مساله باعث نگرانی بانک سیتی در این رابطه شده است.

رایانه‌های کوانتومی به‌طور خاص الگوریتم‌های رمزنگاری کلید عمومی را در معرض تهدید قرار می‌دهند و الگوریتم RSA (Rivest–Shamir–Adleman) و رمزنگاری منحنی بیضوی (ECC) که ستون فقرات امنیت بانکداری آنلاین، امضاهای دیجیتال و تقریبا تمام ترافیک امن اینترنت محسوب می‌شوند را هدف می‌گیرند.

البته که این تهدید تنها محدود به صنعت بانکی نیست و به حوزه رمزارزها نیز گسترش می‌یابد. طبق تخمین بانک سیتی،‌ حدود ۲۵ درصد از کل بیت‌کوین‌های موجود که معادل ۴.۵ تا ۶.۷ میلیون سکه است، در آدرس‌های عمومی نگهداری می‌شوند و در برابر حملات کوانتومی بالقوه آسیب‌پذیرند.

چالشی بزرگ‌تر از Y2K
در گزارش سیتی، آمادگی صنعت بانکی برای عصر کوانتومی با بحران Y2K در اواخر دهه ۱۹۹۰ مقایسه شده است. این عبارت اشاره به بحران باگ هزار دارد که براساس آن با فرا رسیدن سال ۲۰۰۰ میلادی، این ترس وجود داشت که ذخیره‌سازی سال‌ها بر مبنای دو عدد آخر آنها (مثلا ۹۹ در سال ۱۹۹۹) باعث می‌شود تا در نیمه‌شب ۳۱ دسامبر ۱۹۹۹، سیستم‌های بانکی و حتی حمل و نقل و دیگر خدمات با بحران مواجه شوند و در آن زمان بیش از ۱۰۰ میلیارد دلار صرف به‌روزرسانی سیستم‌ها برای جلوگیری از این بحران شد.

با این حال، نویسندگان گزارش بانک سیتی تاکید دارند که مسئله کوانتوم بسیار گسترده‌تر و پیچیده‌تر از Y2K است زیرا برای جلوگیری آز آن به بازطراحی کامل زیرساخت‌های رمزنگاری دیجیتال در سطح جهانی نیاز است.

راهکار وجود دارد اما اجرای آن دشوار است
از نظر فنی، راهکار مقابله با تهدید کوانتومی در دسترس است. موسسه ملی استنادارد‌ها و فناوری آمریکا (NIST) در ماه اوت ۲۰۲۴ نخستین مجموعه استانداردهای رمزنگاری پسا-کوانتومی را نهایی کرد.

اما به گفته سیتی، چالش اصلی در پیاده‌سازی این استانداردها در مقیاس وسیع است. بانک‌ها باید ابتدا تمام نقاط استفاده از رمزنگاری کلید عمومی در زیرساخت‌های پیچیده خود را شناسایی کنند، با کمبود نیروی متخصص مقابله کنند و وابستگی‌های خود به تامین کنندگان شخص ثالث را مدیریت کنند.

گزارش سیتی در همین راستا بر «چابکی رمزنگاری» (crypto-agility) تاکید دارد که براساس آن سازمان‌ها باید شرایطی را فراهم کنند تا الگوریتم‌های رمزنگاری را بدون اختلال گسترده در سیستم‌ها جایگزین کنند.

علاوه بر نگرانی‌های صنعت بانکی، ‌فشارهای بین‌المللی نیز در این رابطه در حال افزایش است. گروه کارشناسان سایبری گروه هفت یا G7 Cyber Expert Group در سپتامبر ۲۰۲۴ از کشورها درخواست کردند تا برای مدیریت ریسک‌های ناشی از رایانش کوانتومی شروع به برنامه‌ریزی کنند. همچنین مرکز تبادل و تحلیل اطلاعات خدمات مالی (FS-ISAC) پیش‌تر خواستار آمادگی فوری صنعت مالی در این باره شده بود.

سیتی نیز در گزارش خود تصریح می‌کند که گرچه رایانه کوانتومیِ قدرتمند هنوز ساخته و در دسترس مهاجمان نیست، اما هزینه تعلل در آماده‌سازی می‌تواند بسیار سنگین‌تر از هزینه اقدام پیش‌دستانه باشد. برای بانک‌ها و نهادهای مالی، تهدید کوانتومی دیگر یک احتمال دوردست نیست، بلکه یک ریسک استراتژیک با پیامدهای بالقوه سیستماتیک است.