الساعة تدقّ
ظل التهديد النظري الذي تشكّله الحواسيب الكمّية في كسر التشفير الحالي موضوع نقاش في أوساط الأمن السيبراني لأكثر من عقدين. في عام 2026، يتحول هذا التهديد النظري إلى تفويضات حكومية ملموسة بمواعيد نهائية صارمة، والفجوة بين التوقعات التنظيمية واستعداد المؤسسات باتت واضحة بشكل مقلق.
بحلول أبريل 2026، يجب على كل وكالة فيدرالية أمريكية تقديم خطة شاملة للانتقال إلى التشفير ما بعد الكمّي (PQC). وبموجب خارطة الطريق الموازية لكندا، يجب على الوزارات أيضاً أن تكون لديها خطط انتقال أولية بحلول أبريل 2026 وأن تضمن تضمين جميع العقود الجديدة ذات المكوّن الرقمي بنود مشتريات PQC. ويجب أن تتضمن الخطط جرداً لجميع الأنظمة التشفيرية، وتحديد أولويات الأصول حسب الحساسية والمخاطر، وتحديد مسارات الانتقال لكل نظام، ووضع جداول زمنية لإتمام الانتقال إلى خوارزميات مقاومة للحوسبة الكمّية.
هذا ليس تمريناً تخطيطياً يمكن للوكالات تقديمه ونسيانه. فالتفويض المتجذر في مذكرة الأمن القومي رقم 10 (NSM-10) الموقّعة في 4 مايو 2022، والمعزّزة بمذكرة مكتب الإدارة والميزانية M-23-02 الصادرة في نوفمبر 2022، يتضمن مراجعات سنوية للتقدم ويربط قرارات التمويل بالتقدم المُثبت في الانتقال. والوكالات التي تفشل في إظهار تقدم كافٍ تواجه عواقب في الميزانية — وهي أداة أثبتت تاريخياً فعاليتها في دفع تحديث تقنية المعلومات الفيدرالية.
والولايات المتحدة ليست وحدها في التحرك. فخارطة الطريق المنسّقة للاتحاد الأوروبي لتنفيذ PQC، التي نشرتها مجموعة التعاون NIS، توصي بأن تبدأ الدول الأعضاء استراتيجيات وطنية للانتقال إلى PQC بحلول نهاية عام 2026، مع انتقال البنية التحتية الحيوية بحلول 2030 والانتقال الكامل بحلول 2035. ونشر مركز الأمن السيبراني الكندي خارطة طريقه الخاصة للانتقال إلى PQC، تشترط بنود مشتريات متوافقة مع PQC في جميع العقود الجديدة اعتباراً من أبريل 2026 وتستهدف انتقال الأنظمة ذات الأولوية العالية بحلول 2031. ونشر المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) خارطة طريق للانتقال بثلاث مراحل في مارس 2025 بمعالم في 2028 و2031 و2035. وأصدرت ANSSI الفرنسية متطلبات PQC قطاعية تركّز على المقاربات التشفيرية الهجينة لمشغّلي البنية التحتية الحيوية.
يشير تقارب هذه التفويضات عبر عدة اقتصادات كبرى إلى أن الانتقال إلى التشفير ما بعد الكمّي لم يعد مصدر قلق مستقبلي مجرد — بل هو التزام تنظيمي حاضر بآثار امتثالية فورية.
ما يتطلبه التفويض الفيدرالي الأمريكي
تطوّر تفويض الانتقال إلى PQC في الولايات المتحدة عبر سلسلة من التوجيهات، كل منها يُضيف تحديداً وإلحاحاً للمتطلب.
أرست مذكرة الأمن القومي NSM-10، الموقّعة في 4 مايو 2022، الإطار السياساتي ووجّهت الوكالات للبدء في جرد أنظمتها التشفيرية، محددةً عام 2035 كسنة مستهدفة لإتمام الانتقال إلى التشفير المقاوم للحوسبة الكمّية. ووضعت مذكرة مكتب الإدارة والميزانية M-23-02، الصادرة في 18 نوفمبر 2022، المتطلبات الأولية لإتمام الجرد التشفيري والتخطيط للانتقال، موجّهةً الوكالات لتعيين مسؤول عن الجرد التشفيري والانتقال خلال 30 يوماً. وقدّمت الوثائق التوجيهية اللاحقة لـ CISA تفاصيل تقنية حول التنفيذ.
يتطلب الموعد النهائي في أبريل 2026 من الوكالات تقديم خطط انتقال تتضمن أربعة عناصر جوهرية.
أولاً، جرد تشفيري كامل. يجب على الوكالات توثيق كل نظام وتطبيق وقناة اتصال تستخدم تشفير المفتاح العام، بما في ذلك الخوارزميات المحددة المُستخدمة (RSA وECC وDiffie-Hellman وغيرها)، وأحجام المفاتيح، وهيئات إصدار الشهادات، وإصدارات البروتوكولات. ويجب أن يمتد هذا الجرد ليشمل الأنظمة التي يشغّلها المتعاقدون ومقدمو الخدمات السحابية نيابة عن الوكالة.
ثانياً، خارطة طريق للانتقال مُرتّبة حسب أولوية المخاطر. ليس من الضروري انتقال جميع الأنظمة في وقت واحد. يجب على الوكالات تصنيف أصولها التشفيرية بناءً على حساسية البيانات التي تحميها، والعمر التشغيلي المتوقع للنظام، وجدوى الانتقال. وتُعطى الأولوية للأنظمة التي تحمي بيانات ذات حساسية طويلة الأمد — المعلومات المصنّفة والسجلات الصحية والبيانات المالية والملكية الفكرية — لأنها عرضة لهجمات “اجمع الآن وفك التشفير لاحقاً”، حيث يجمع الخصوم بيانات مشفرة اليوم بنية فك تشفيرها عندما تصبح الحواسيب الكمّية قادرة على ذلك.
ثالثاً، خطة اختيار التقنية. يجب على الوكالات تحديد خوارزميات ما بعد الكمّ المعتمدة من NIST التي تنوي اعتمادها لكل فئة من الأنظمة. وقد أنهت NIST مجموعتها الأولى من معايير التشفير ما بعد الكمّي في 13 أغسطس 2024، بنشر ثلاثة معايير لمعالجة المعلومات الفيدرالية: FIPS 203 لـ ML-KEM (المعروف سابقاً بـ CRYSTALS-Kyber) لتغليف المفاتيح، وFIPS 204 لـ ML-DSA (المعروف سابقاً بـ CRYSTALS-Dilithium) للتوقيعات الرقمية، وFIPS 205 لـ SLH-DSA (المعروف سابقاً بـ SPHINCS+) كمخطط توقيع احتياطي. وخوارزمية رابعة، FN-DSA (المعروفة سابقاً بـ FALCON)، قيد التطوير كمسودة FIPS 206 ويُتوقع إنهاؤها في أواخر 2026 أو أوائل 2027.
رابعاً، خطة الجداول الزمنية والموارد. يجب على الوكالات تقديم جداول زمنية واقعية لإتمام الانتقال، وتحديد متطلبات الموارد (الميزانية والأفراد والدعم التقني)، وتوثيق الاعتماد على تحديثات منتجات الموردين وإنهاء المعايير واختبارات التشغيل البيني.
الوضع المقاوم للحوسبة الكمّية لوزارة الدفاع
اتخذت وزارة الدفاع الأمريكية المقاربة الأكثر صرامة للانتقال إلى PQC داخل الحكومة الفيدرالية، مما يعكس حساسية الاتصالات العسكرية ووعي الوزارة المبكر بالتهديد الكمّي.
أصدرت وزارة الدفاع مذكرة انتقال PQC توجّه جميع المكوّنات للانتقال السريع إلى التشفير ما بعد الكمّي، مستشهدة بالتقدم في علم المعلومات الكمّية والحاجة إلى حماية أنظمة المعلومات والاتصالات والأفراد. وتجاوز التوجيه متطلبات مكتب الإدارة والميزانية في جانبين مهمين. أولاً، حظر صراحة استخدام توزيع المفتاح الكمّي (QKD) في أنظمة وزارة الدفاع. ويعكس الحظر تقييم وكالة الأمن القومي (NSA) المستمر بأن QKD يعاني من قيود جوهرية، بما في ذلك اعتماده على بنية تحتية مخصصة للألياف الضوئية، وقابليته لهجمات التطبيق، وعجزه عن توفير المصادقة دون الاعتماد على التشفير التقليدي. وصرّحت NSA بأنها لا تتوقع اعتماد أو الموافقة على أي منتجات QKD للاستخدام في الأمن القومي.
ثانياً، حدّد توجيه وزارة الدفاع أن الحلول التشفيرية القديمة يجب استبدالها بخوارزميات PQC المعتمدة من NIST بحلول 31 ديسمبر 2030. ويجب الموافقة على جميع التقنيات المتعلقة بـ PQC من قبل مديرية PQC التابعة لرئيس قسم المعلومات في وزارة الدفاع قبل الاختبار أو التقييم أو النشر. ويحدّد Commercial National Security Algorithm Suite 2.0 (CNSA 2.0) التابع لـ NSA أنه اعتباراً من 1 يناير 2027، يجب أن تكون جميع عمليات الاستحواذ الجديدة على معدات أنظمة الأمن القومي متوافقة مع CNSA 2.0.
بالنسبة لمتعاقدي الدفاع، فإن الآثار فورية. يتطلب أمر تنفيذي صادر في يونيو 2025 من المتعاقدين تحقيق جاهزية PQC بحلول 4 يناير 2027. والموردون البطيئون في تبني PQC قد يُستبعدون من العقود الفيدرالية كلياً. والمتعاقدون الذين لا يستطيعون إثبات مسار انتقال PQC موثوق يخاطرون بفقدان أهلية التعاقد.
إعلان
إرشادات المشتريات من CISA
يمتد دور CISA في الانتقال إلى PQC ليتجاوز الوكالات الفيدرالية ليشمل منظومة البنية التحتية الحيوية الأوسع. في 23 يناير 2026، أصدرت CISA وثيقة “فئات المنتجات للتقنيات التي تستخدم معايير التشفير ما بعد الكمّي” — وهي قائمة مطلوبة بموجب الأمر التنفيذي 14306 (الصادر في 6 يونيو 2025) تحدّد فئات المنتجات التي تتوفر فيها منتجات قادرة على PQC على نطاق واسع.
تُقسّم الإرشادات سوق تقنية المعلومات إلى تصنيفين.
“متوفرة على نطاق واسع” ينطبق على فئات المنتجات التي نضجت فيها المنتجات القادرة على PQC تجارياً. وهذا يشمل بشكل لافت الخدمات السحابية (PaaS/IaaS) ومتصفحات الويب وأمن نقاط النهاية. وبالنسبة لهذه الفئات، أشارت CISA فعلياً إلى أن الوكالات الفيدرالية يجب أن تتوقف عن شراء المنتجات القديمة غير المتوافقة.
“في مرحلة الانتقال” ينطبق على فئات المنتجات التي بدأ فيها تبني PQC لكنه لم يصبح شاملاً بعد. ويجب على الموردين في هذه الفئات تقديم مسارات ترقية موثقة وجداول زمنية لتقديم قدرات PQC.
لإرشادات المشتريات تأثيرات متتالية كبيرة تتجاوز السوق الفيدرالية. فكثير من موردي التقنية يحتفظون بخط منتجات واحد للعملاء الحكوميين والتجاريين على حد سواء، مما يعني أن قدرات PQC المطوّرة للامتثال الفيدرالي ستنتقل على الأرجح إلى المنتجات التجارية. وقد تُسرّع هذه الديناميكية تبني PQC في القطاع الخاص حتى في غياب تفويضات للقطاع الخاص.
كما نشرت CISA موارد للانتقال تؤكد على أهمية المرونة التشفيرية — تصميم الأنظمة بحيث يمكن استبدال الخوارزميات التشفيرية دون تغييرات معمارية جوهرية. وأصدرت إدارة الخدمات العامة الأمريكية (GSA) دليل مشترٍ لـ PQC يقدم خطوات عملية للوكالات والمتعاقدين لتقييم الأنظمة التشفيرية والتخطيط للانتقال وشراء الحلول المقاومة للحوسبة الكمّية. والمؤسسات التي استثمرت في معماريات مرنة تشفيرياً ستجد الانتقال إلى PQC أسهل بكثير من تلك التي لديها تبعيات تشفيرية مُرمّزة صلبة.
المشهد الأوروبي والحلفاء
يُعدّ الانتقال إلى PQC مسعى عالمياً حقيقياً، مع ظهور تفويضات منسّقة عبر الاقتصادات الكبرى.
تتشكّل مقاربة الاتحاد الأوروبي من خلال خارطة الطريق المنسّقة لتنفيذ PQC التابعة لمجموعة التعاون NIS، المنشورة في أوائل 2025. وتوصي خارطة الطريق بأن تبدأ الدول الأعضاء استراتيجيات وطنية للانتقال إلى PQC بحلول نهاية 2026، وأن تنتقل البنية التحتية الحيوية بحلول نهاية 2030، وأن يُتمّ الانتقال لأكبر عدد ممكن من الأنظمة عملياً بحلول نهاية 2035. في يناير 2026، نشرت المفوضية الأوروبية مقترح توجيه يُعدّل NIS2 بتغييرات مستهدفة تتضمن، لأول مرة، متطلب صريح للتشفير ما بعد الكمّي مكتوب مباشرة في نص التوجيه. ونشرت ENISA إرشادات توصي بمخططات هجينة PQ/T — تجمع بين الخوارزميات التقليدية مثل X25519 ومخططات PQC مثل ML-KEM — لتسهيل التشغيل البيني خلال الانتقال.
تختلف مقاربة الاتحاد الأوروبي عن الولايات المتحدة في تركيزها على التنوع الخوارزمي. فبينما ركّزت الولايات المتحدة على الخوارزميات المعتمدة من NIST، أوصت ENISA بأن تدعم التطبيقات الأوروبية عدة عائلات من خوارزميات ما بعد الكمّ لتقليل مخاطر نقطة الفشل الوحيدة إذا تبيّن أن عائلة خوارزمية واحدة بها ثغرات. وتُضيف هذه التوصية تعقيداً للتنفيذ لكنها توفر تحوّطاً ضد الشكوك الرياضية التي لا تزال تحيط ببعض تركيبات ما بعد الكمّ.
نشر مركز الأمن السيبراني الكندي خارطة طريق شاملة للانتقال إلى PQC بمعالم محددة: أبريل 2026 لخطط الانتقال الأولية للوزارات وبنود المشتريات، ونهاية 2031 لإتمام انتقال الأنظمة ذات الأولوية العالية، ونهاية 2035 للأنظمة المتبقية. وبحلول نهاية 2026، يجب أن تدعم وحدات التشفير التي تطبّق مخططات التوقيع الرقمي خوارزميات PQC الملائمة. كما طوّر مركز الأمن السيبراني بنود عقود موصى بها للأنظمة التي تحتوي على وحدات تشفيرية.
نشر NCSC في المملكة المتحدة خارطة طريقه للانتقال بثلاث مراحل في مارس 2025. بحلول 2028، يجب أن تُتمّ المؤسسات اكتشاف التبعيات التشفيرية. وبحلول 2031، يجب إتمام عمليات الانتقال ذات الأولوية القصوى. وبحلول 2035، يجب أن يكتمل الانتقال عبر جميع الأنظمة. وكان NCSC أول هيئة تنظيمية كبرى تؤيد خوارزميات PQC المعيارية من NIST بعد إصدارها في أغسطس 2024، موصياً بـ ML-KEM وML-DSA وSLH-DSA.
كانت ANSSI الفرنسية الأكثر تحديداً تقنياً بين الوكالات الوطنية الأوروبية. تركّز خارطة طريق ANSSI للانتقال إلى PQC بثلاث مراحل على المقاربات الهجينة خلال الانتقال: المرحلة الأولى (الآن) تركّز على التهجين لتوفير دفاع إضافي متعدد الطبقات؛ المرحلة الثانية (ليس قبل 2025) تستهدف مخططات هجينة توفر ضمان أمان كامل ما بعد كمّي؛ المرحلة الثالثة (ليس قبل 2030) تُتيح PQC مستقل اختيارياً. والجدير بالذكر أنه اعتباراً من 2027، لن تقبل ANSSI منتجات لتأشيرة الأمان الخاصة بها (Visa de securite) لا تتضمن التشفير ما بعد الكمّي.
جاهزية الصناعة: الفجوة
رغم سنوات من التحذير المسبق، تبقى جاهزية صناعة التقنية للانتقال إلى PQC متفاوتة.
حقّق مقدمو الخدمات السحابية الكبار التقدم الأكبر. فقد نشرت AWS خوارزمية ML-KEM لتبادل المفاتيح الهجين ما بعد الكمّي عبر نقاط نهاية خدماتها العامة، مع دعم AWS KMS وCertificate Manager وSecrets Manager لـ PQC. وتدعم موازنات أحمال التطبيقات والشبكات بروتوكول TLS ما بعد الكمّي دون تكلفة إضافية. وأتاحت Microsoft خوارزميتي ML-KEM وML-DSA من خلال واجهة برمجة التشفير: الجيل التالي (CNG)، مع حصول Windows Server 2025 وWindows 11 على دعم خوارزميات PQC من خلال تحديثات نوفمبر 2025. وانتقل متصفح Chrome من Google إلى ML-KEM لتبادل المفاتيح الهجين ما بعد الكمّي في Chrome 131 (نوفمبر 2024)، وأفادت Cloudflare بأن نحو 38% من حركة HTTPS على شبكتها كانت تستخدم مصافحات PQC هجينة بحلول مارس 2025. ونشرت Apple بروتوكول PQ3، وهو بروتوكول التشفير ما بعد الكمّي لتطبيق iMessage، بدءاً من iOS 17.4 في أوائل 2024.
يُقدّم موردو برامج المؤسسات صورة أكثر تفاوتاً. فموردو قواعد البيانات ومقدمو أنظمة تخطيط موارد المؤسسات وشركات منصات التعاون في مراحل مختلفة من دمج PQC، مع كثير منهم لا يزال في مراحل الاختبار. والتحدي بالنسبة لهؤلاء الموردين ليس فقط تنفيذ الخوارزميات بل التشغيل البيني — ضمان أن الاتصالات المحمية بـ PQC تعمل بشكل صحيح عبر البيئات المعقدة متعددة الموردين.
تُشكّل الأجهزة التحدي الأكبر. فالأجهزة التشفيرية — بما في ذلك وحدات أمان الأجهزة (HSMs) ووحدات المنصة الموثوقة (TPMs) والبطاقات الذكية — غالباً ما تمتلك قدرات تشفيرية مُرمّزة صلبة لا يمكن تحديثها من خلال تصحيحات برمجية. والمؤسسات التي تعتمد على الأجهزة التشفيرية قد تواجه دورات استبدال تُقاس بالسنوات.
وجد استطلاع أجرته GDIT عام 2025 لـ 200 من صانعي القرار في تقنية المعلومات الفيدرالية أن 8% فقط دمجوا معايير PQC بالكامل، بينما 50% يطوّرون استراتيجيات بنشاط و35% لا يزالون يحدّدون الخطط والميزانيات. و46% حدّدوا مخاطر رئيسية لكنهم لم يبدأوا بعد تقييمات رسمية. وتشير النتائج إلى أن الانتقال إلى PQC سيكون جهداً يمتد لسنوات متعددة، وربما لعقود، مع كون المواعيد النهائية لعام 2026 محفّزات للتخطيط وليست معالم للإنجاز.
التحدي الجوهري هو الحجم. فالاقتصاد الرقمي الحديث يعمل على تشفير المفتاح العام. كل اتصال TLS وكل توقيع رقمي وكل بريد إلكتروني مشفر وكل نفق VPN وكل تفاعل مع هيئة إصدار شهادات يعتمد على خوارزميات يمكن للحواسيب الكمّية كسرها في نهاية المطاف. واستبدال هذه البنية التحتية ليس مشروعاً واحداً — إنه تحوّل جيلي للأساس الرقمي.
الأسئلة الشائعة
ما المقصود بـ Post-Quantum Cryptography؟
يتناول هذا المقال الجوانب الأساسية لهذا الموضوع، ويستعرض الاتجاهات الحالية والجهات الفاعلة الرئيسية والتداعيات العملية على المهنيين والمؤسسات في عام 2026.
لماذا يُعد هذا الموضوع مهمًا؟
يكتسب هذا الموضوع أهمية كبيرة لأنه يؤثر بشكل مباشر على كيفية تخطيط المؤسسات لاستراتيجيتها التقنية وتخصيص مواردها وتموضعها في مشهد سريع التطور.
ما أبرز النقاط المستخلصة من هذا المقال؟
يحلل المقال الآليات الرئيسية والأطر المرجعية والأمثلة الواقعية التي تشرح كيفية عمل هذا المجال، مستندًا إلى بيانات حديثة ودراسات حالة عملية.
المصادر والقراءات الإضافية
- National Security Memorandum on Promoting United States Leadership in Quantum Computing (NSM-10) — The White House
- NIST Releases First 3 Finalized Post-Quantum Encryption Standards — NIST
- Product Categories for Technologies That Use Post-Quantum Cryptography Standards — CISA
- Timelines for Migration to Post-Quantum Cryptography — UK NCSC
- A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography — European Commission
- Roadmap for the Migration to Post-Quantum Cryptography for the Government of Canada — Canadian Centre for Cyber Security
- ANSSI Views on the Post-Quantum Cryptography Transition — ANSSI
- OMB Memorandum M-23-02: Migrating to Post-Quantum Cryptography — The White House
