מחשוב קוונטי: האיום על ההצפנה שאיש לא מדבר עליו
כל פעם שחותמים על חוזה דיגיטלי, שולחים נתוני לקוחות, או מניחים שהמידע המוצפן בטוח לשנים — נשענים על הנחה אחת: שאיש לא יוכל לשבור את ההצפנה. מחשוב קוונטי מאיים לשנות את ההנחה הזו — ומהר יותר מהצפוי.
מה זה מחשוב קוונטי ולמה הוא מסוכן להצפנה?
מחשב קוונטי אינו מחשב רגיל שמהיר יותר. הוא פועל על פי עקרונות מכניקת הקוונטים: קוביטים שיכולים להיות 0, 1, או שניהם בו זמנית — מה שמאפשר לפתור סוגים מסוימים של בעיות מתמטיות במהירות שאינה ניתנת להשגה למחשב קלאסי.
הבעיה הספציפית: ההצפנה שמגינה על רוב האינטרנט — RSA ו-ECC — מבוססת על כך שפירוק מספרים גדולים לגורמים ראשוניים לוקח למחשב קלאסי זמן של מיליוני שנים. מחשב קוונטי מספיק חזק יפתור את אותה בעיה תוך שניות.
מה עשוי להישבר: חתימות אלקטרוניות על חוזים, תקשורת HTTPS מוצפנת, נתוני בנקים ותשלומים, מידע רפואי מוצפן, ותעודות SSL שמאמתות זהויות באינטרנט.
האיום שכבר קיים עכשיו: "Harvest Now, Decrypt Later"
אין צורך לחכות למחשב קוונטי שעובד כדי שהאיום יהיה ממשי. גופים עוינים — מדינות, ארגוני פשע מתוחכמים — כבר גונבים נתונים מוצפנים היום, מאחסנים אותם, ומתכוונים לפענח אותם כשיהיה להם מחשב קוונטי — בעוד 5 עד 15 שנה.
זה אומר: מסמך שנגנב היום ומוצפן ב-RSA עלול להיות פתוח ב-2035. לא עתיד תיאורטי — תהליך שמתרחש כבר עכשיו.
הרלבנטיות הגבוהה ביותר: רשומות רפואיות שחייבות להישאר סודיות עשרות שנים, מסמכים משפטיים ועסקאות נדל"ן, נתוני לקוחות פיננסיים, ומידע ממשלתי מסווג. ארגונים שמחזיקים נתונים לאורך שנים — בנקים, חברות ביטוח, בתי חולים, עורכי דין — חשופים כבר היום.
מה נדרש מארגונים — ומה אומר הדין?
NIST (המכון הלאומי לתקנים של ארה"ב) פרסם ב-2024 תקנים ראשונים להצפנה עמידה לקוונטים (Post-Quantum Cryptography — PQC). האלגוריתמים החדשים — כגון CRYSTALS-Kyber ו-CRYSTALS-Dilithium — אינם מבוססים על הבעיות שמחשוב קוונטי פותר בקלות.
מבחינת הדין הישראלי: חוק הגנת הפרטיות וחובות האבטחה הנגזרות ממנו מחייבות "אמצעי אבטחה סבירים". ככל שהאיום הקוונטי מתבהר, מה שנחשב "סביר" ישתנה. ארגון שיישאר עם הצפנה ישנה עשוי לגלות שאינו עומד בחובותיו. חברות שמטפלות בנתוני אזרחי אירופה כפופות גם ל-GDPR — שדרישות האבטחה שלו מתפרשות בצורה הולכת ומתרחבת.
הרשות הלאומית להגנת הסייבר מפרסמת הנחיות מעת לעת — עקבו אחריהן כי הן משפיעות על מה שייחשב לסטנדרט סביר בתביעות עתידיות.
שאלות משפטיות פתוחות שיגיעו לבתי משפט
כשמחשוב קוונטי יהפוך לזמין מסחרית, בתי משפט יצטרכו להכריע:
האם חתימה אלקטרונית שנוצרה עם RSA — ושניתן לזייפה בדיעבד — עדיין "קבילה" כראיה? מי נושא באחריות כשנתונים שנגנבו לפני עשור מפוענחים ומוזלגים ברשת? האם ביטוח סייבר שנרכש לפני עידן הקוונטים יכסה נזקים שמקורם בפענוח קוונטי? הדין טרם פתר שאלות אלה — אבל הן מתקרבות.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: כשמייעצים לחברות טכנולוגיה ופינטק — הכניסו כבר עכשיו סעיפי "עדכון אבטחה" לחוזים ארוכי טווח שיחייבו מעבר להצפנה עמידה לקוונטים תוך לוחות זמנים מוגדרים.
- בדקו פוליסות ביטוח סייבר: רוב פוליסות ביטוח הסייבר אינן מתייחסות במפורש לאיומים קוונטיים — לקוחות שתלויים בהן עלולים לגלות פגם בכיסוי. עדכנו אותם עכשיו.
- טעות נפוצה: לא מתייחסים לסיכון קוונטי בהערכות סיכוני אבטחת מידע — מה שעשוי להוות הפרת חובת הזהירות בעתיד, בפרט עבור ארגונים שמחזיקים נתונים ארוכי טווח.
- נקודה טקטית: ייעוץ פרואקטיבי ללקוחות על מעבר ל-PQC הוא שירות שמעט עורכי דין מציעים כיום — נישה עם ביקוש גובר ותחרות נמוכה.