نشرت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) في 23 يناير 2026 قائمة أولية تحدد فئات منتجات الحوسبة والبرمجيات التي تستخدم، أو يتوقع أن تستخدم، خوارزميات التشفير ما بعد الكمي (PQC)، في خطوة تستهدف توجيه قرارات المشتريات والتخطيط الأمني لدى الجهات الحكومية والقطاع الخاص مع اقتراب مرحلة يحتمل فيها اختراق تقنيات التشفير التقليدية بفعل تطور الحوسبة الكمية.
تأتي هذه القائمة استجابة للأمر التنفيذي 14306 الصادر في يونيو 2025، الذي كلف وزارة الأمن الداخلي، من خلال CISA وبالتشاور مع وكالة الأمن القومي (NSA)، بإصدار قائمة دورية لفئات المنتجات التي تدعم خوارزميات PQC على نطاق واسع.
التشفير والتحقق من الهوية: وظيفتان محوريتان في التقييم
تعرف الوثيقة المنشورة من CISA الوظائف التشفيرية المستهدفة ضمن فئتين رئيسيتين:
- إنشاء المفاتيح: المقصود به تأسيس مفاتيح التشفير بين الأنظمة بطريقة آمنة لدعم الاتصالات السرية.
- التواقيع الرقمية: ناتج تشفيري يستخدم لتوثيق المصدر وضمان سلامة البيانات وعدم إنكار التوقيع.
وتعد هاتان الوظيفتان المحوريتان أساس معظم تطبيقات الأمان في البيانات والخدمات الرقمية.
خريطة المعايير الرسمية التي تعتمدها CISA
ترتبط هذه القائمة بخلفية معيارية حددها المعهد الوطني للمعايير والتقنية (NIST)، الذي أطلق منذ 2016 مشروعاً لتقييم وتوحيد خوارزميات مقاومة للهجمات الكمية. وتتضمن المخرجات الحالية:
- ML-KEM (FIPS 203) لإنشاء المفاتيح
- ML-DSA (FIPS 204) للتوقيع الرقمي
- SLH-DSA (FIPS 205) للتوقيع الرقمي
- خوارزميات توقيع معتمدة على التجزئة مثل LMS/HMS/XMSS/XMSSMT (وفق NIST SP 800-208)
ويستند توصيف الانتقال إلى معيار NIST IR 8547 الذي يستخدم لتحديد المواعيد والالتزامات في القطاعين الحكومي والخاص.
الفئات المتوافرة على نطاق واسع تصبح معياراً للشراء
تنص الوثيقة على أنه بمجرد تصنيف فئة معينة بأنها تحتوي على منتجات داعمة لـPQC متوافرة على نطاق واسع، يجب على الجهات اقتناء هذه المنتجات فقط ضمن تلك الفئة. ومن أمثلة هذه الفئات:
- خدمات السحابة: PaaS وIaaS
- تطبيقات التعاون: المحادثة والرسائل
- برمجيات الويب: المتصفحات والخوادم
مع ملاحظة أن معظم هذه الفئات تطبق PQC فقط في مجال تغليف المفاتيح، وليس التواقيع الرقمية، ما يجعلها غير مقاومة كمياً بالكامل حتى الآن.
فئات انتقالية تحتاج استكمال تطبيقات PQC
لا تزال الفئات الأخرى قيد التطوير من ناحية قدرات PQC، لكنها تشجع على اعتماد هذه المعايير في كل وظائفها، بما يشمل:
- عتاد وبرمجيات الشبكات
- خدمات SaaS السحابية
- أجهزة الاتصالات المكتبية والأنظمة الافتراضية
- الأجهزة الطرفية وتطبيقات مشاركة الملفات
- أنظمة ICAM في البرمجيات والعتاد
- برمجيات البريد الإلكتروني وقواعد البيانات
- أدوات الحماية المؤسسية مثل أنظمة كشف التسلل وCDM وSIEM
أدوات الحصر خارج النطاق
توضح الوثيقة أن أدوات الاكتشاف الآلي للتشفير أو أدوات جرد التشفير لا تندرج ضمن هذه القوائم، لأن الغاية تتركز على المنتجات التي تنفذ التشفير فعلياً ضمن عملياتها الأمنية، وليس الأدوات التي ترصدها فقط.
