क्वांटम कंप्यूटर भविष्य में मौजूदा एन्क्रिप्शन तोड़ सकते हैं इसलिए भारत पोस्ट-क्वांटम क्रिप्टोग्राफी (PQC) अपनाने की तैयारी कर रहा है. जानें योजना को सफल बनाने के लिए साफ रणनीति, निवेश और ट्रेनिंग जरूरी होगी.
क्वांटम कंप्यूटरों से उत्पन्न बड़े पैमाने के जोखिमों को देखते हुए, दुनिया के कई देशों ने पोस्ट-क्वांटम क्रिप्टोग्राफी (PQC) माइग्रेशन के लिए दीर्घकालिक रोडमैप जारी किए हैं. हाल ही में भारत ने भी इसी दिशा में कदम उठाते हुए विज्ञान एवं प्रौद्योगिकी मंत्रालय के अंतर्गत विज्ञान एवं प्रौद्योगिकी विभाग द्वारा अपना व्यापक PQC माइग्रेशन रोडमैप प्रकाशित किया है, जिसमें विस्तृत राष्ट्रीय परीक्षण और प्रमाणन ढांचा तथा विभिन्न क्षेत्रों में चरणबद्ध PQC माइग्रेशन की समय-सीमा निर्धारित की गई है. यह कदम भारत की भविष्य की क्रिप्टोग्राफिक सुरक्षा और डिजिटल संप्रभुता सुनिश्चित करने की दिशा में अत्यंत महत्वपूर्ण माना जा रहा है, खासकर इसलिए क्योंकि देश में डिजिटल पब्लिक इंफ्रास्ट्रक्चर की भूमिका बेहद अहम है.
रिपोर्ट में जो समय-सीमा दी गई है, वह बहुत महत्वाकांक्षी है. इसे लागू करने के लिए अलग-अलग क्षेत्रों में अच्छी योजना, सही समन्वय, निवेश और कर्मचारियों का प्रशिक्षण जरूरी है. PQC माइग्रेशन की समय-सीमा थोड़ी कड़ी लग सकती है. रिपोर्ट में PQC और क्वांटम डिस्ट्रीब्यूशन (QKD) का मिश्रित तरीका बताया गया है, लेकिन QKD के बारे में साफ जानकारी नहीं है.
आधुनिक क्रिप्टोग्राफी मुख्यतः असममित एल्गोरिद्मों पर आधारित है, जैसे रिवेस्ट–शामिर–एडलमैन (RSA) और एलिप्टिक कर्व क्रिप्टोग्राफी (ECC). ये इस धारणा पर आधारित होते हैं कि कुछ सुविख्यात गणितीय समस्याएं-जैसे प्राइम फैक्टराइजेशन और डिस्क्रीट लॉगरिद्म-को हल करना पारंपरिक (क्लासिकल) कंप्यूटरों के लिए अत्यंत कठिन और समय लेने वाला होता है. इसके विपरीत, क्रिप्टोग्राफिकली रिलिवेंट क्वांटम कंप्यूटर (CRQCs), शोर एल्गोरिद्म (Shor’s Algorithm) का उपयोग करके ऐसे पारंपरिक एन्क्रिप्शन एल्गोरिद्मों को कुछ ही सेकंड में तोड़ सकते हैं. इसके अलावा, सामान्यतः उपयोग किए जाने वाले एडवांस्ड एन्क्रिप्शन स्टैंडर्ड (AES) जैसे सममित सिफर तथा सिक्योर हैश एल्गोरिद्म (SHA) जैसे हैश फ़ंक्शनों की सुरक्षा भी ग्रोवर एल्गोरिद्म के कारण प्रभावित हो सकती है, क्योंकि यह ब्रूट-फोर्स कुंजी खोज की प्रक्रिया को तेज कर देता है.
विस्तृत राष्ट्रीय परीक्षण और प्रमाणन ढांचा तथा विभिन्न क्षेत्रों में चरणबद्ध PQC माइग्रेशन की समय-सीमा निर्धारित की गई है. यह कदम भारत की भविष्य की क्रिप्टोग्राफिक सुरक्षा और डिजिटल संप्रभुता सुनिश्चित करने की दिशा में अत्यंत महत्वपूर्ण माना जा रहा है, खासकर इसलिए क्योंकि देश में डिजिटल पब्लिक इंफ्रास्ट्रक्चर की भूमिका बेहद अहम है.
पहली नज़र में यह खतरा दूर का लग सकता है, लेकिन वास्तव में ऐसा नहीं है. इसका कारण है ‘हार्वेस्ट नाउ, डिक्रिप्ट लेटर (HNDL)’ रणनीति, जिसके तहत हमलावर डेटाबेस में सेंध लगाकर मूल्यवान डेटा को अभी ही संग्रहित कर सकते हैं और तब तक सुरक्षित रख सकते हैं जब तक CRQCs व्यावहारिक रूप से संभव न हो जाएँ. हालांकि, शोर और ग्रोवर एल्गोरिद्म को लागू करने के लिए CRQCs को लाखों लॉजिकल क्यूबिट्स की आवश्यकता होगी और इनके व्यावहारिक रूप से विकसित होने में अभी कई दशक लग सकते हैं. फिर भी, HNDL रणनीति के कारण यह खतरा वास्तविक बना रहता है, क्योंकि हमलावर अभी डेटा एकत्र कर सकते हैं और भविष्य में उसे डिक्रिप्ट कर सकते हैं. HNDL प्रकार की गतिविधियों के उदाहरण पहले भी मिल चुके हैं, जिनमें अमेरिकी सिग्नल इंटेलिजेंस सर्विस की प्रोजेक्ट वेनोना एक प्रमुख उदाहरण है.
इस समस्या से निपटने के दो प्रमुख तरीके हो सकते हैं. पहला, क्वांटम की डिस्ट्रीब्यूशन (QKD) का उपयोग, जो क्वांटम यांत्रिकी के सिद्धांतों के माध्यम से भौतिक संचार चैनलों पर मूलभूत सूचना-सैद्धांतिक सुरक्षा प्रदान करता है. दूसरा, नए प्रकार के पारंपरिक एल्गोरिद्मों का उपयोग, जैसे लैटिस-आधारित क्रिप्टोग्राफी, जिन्हें क्वांटम कंप्यूटर भी तोड़ नहीं सकते. इन्हें सामूहिक रूप से पोस्ट-क्वांटम क्रिप्टोग्राफी (PQC) एल्गोरिद्म कहा जाता है.
राष्ट्रीय क्वांटम मिशन (NQM) के अंतर्गत PQC माइग्रेशन पर एक टास्क फोर्स का गठन किया गया, जिसमें विभिन्न संबंधित हितधारकों को शामिल किया गया. इसके बाद विज्ञान एवं प्रौद्योगिकी विभाग (DST) ने फरवरी 2026 में ‘इम्प्लीमेंटेशन ऑफ क्वांटम-सेफ इकोसिस्टम इन इंडिया‘ शीर्षक से एक रिपोर्ट जारी की. यह रिपोर्ट मुख्यतः दो भागों में विभाजित है, जो टास्क फोर्स के अंतर्गत गठित दो उप-समूहों द्वारा प्रस्तुत रिपोर्टों पर आधारित है.
परिशिष्ट (Annexure) B में ‘PQC-आधारित क्वांटम-सुरक्षित उत्पादों और समाधानों के परीक्षण एवं प्रमाणन के लिए मसौदा ढांचा’ शीर्षक वाली रिपोर्ट शामिल है, जिसे उप-समूह 1 द्वारा तैयार किया गया था और जिसका नेतृत्व टेलीकम्युनिकेशन इंजीनियरिंग सेंटर (TEC) ने किया. इसमें एक व्यापक परीक्षण और प्रमाणन ढांचा प्रस्तुत किया गया है, जिसका उद्देश्य सभी संबंधित हितधारकों-जैसे सरकारी एजेंसियां, उद्योग, क्षेत्रीय नियामक, परीक्षण प्रयोगशालाएं और प्रमाणन निकाय-के लिए एक समान संदर्भ ढांचा उपलब्ध कराना है.
‘हार्वेस्ट नाउ, डिक्रिप्ट लेटर (HNDL)’ रणनीति, जिसके तहत हमलावर डेटाबेस में सेंध लगाकर मूल्यवान डेटा को अभी ही संग्रहित कर सकते हैं और तब तक सुरक्षित रख सकते हैं जब तक CRQCs व्यावहारिक रूप से संभव न हो जाएँ. हालांकि, शोर और ग्रोवर एल्गोरिद्म को लागू करने के लिए CRQCs को लाखों लॉजिकल क्यूबिट्स की आवश्यकता होगी और इनके व्यावहारिक रूप से विकसित होने में अभी कई दशक लग सकते हैं.
परीक्षण आवश्यकताओं को चार आश्वासन स्तरों (Assurance Levels) के आधार पर निर्धारित किया गया है (जिसमें स्तर 2 को आगे तीन भागों में विभाजित किया गया है). इन स्तरों को जोखिम श्रेणी और उपयोग के प्रकार के आधार पर वर्गीकृत किया गया है, जैसा कि नीचे दिया गया है.
Table 1: Assurance Levels
| Level | Name | Risk Category | Usage Type | Primary Focus |
| 1 | Basic conformance of PQC implementation | Low Risk | Non-sensitive consumer grade environment | Basic PQC adoption with compliance, interoperability and performance checks |
| 2A | Secure Software Assurance | Medium Risk | Sensitive data consumer grade environments | Secure software including cloud-integrated implementations |
| 2B | Secure Hardware Assurance (IoT/IT) | Medium Risk | Hardware resilient consumer grade | IT/IOT Edge deployments with hardware resilience |
| 2C | Secure Hardware Assurance (OT) | Medium Risk | Hardware resilient consumer grade | Operational technology environments |
| 3 | Enterprise Infrastructure Security | High Risk | Enterprise Grade | Long-term enterprise security for sectors like finance, telecom, health etc. |
| 4 | Critical Infrastructure Security | Very-High Risk | Sovereign Grade | Critical information infrastructure protection |
Source: Implementation of Quantum Safe Ecosystem in India (2026)
चित्र 1: तीन-स्तरीय राष्ट्रीय प्रयोगशाला मॉडल
Source: Implementation of Quantum Safe Ecosystem in India (2026)
परीक्षण प्रयोगशालाओं को अंतरराष्ट्रीय स्तर पर स्वीकृत मानकों, जैसे IS/ISO/IEC 17025, के साथ-साथ घरेलू नियमों-जैसे डिजिटल पर्सनल डेटा प्रोटेक्शन (DPDP) अधिनियम-का भी पालन करना होगा. इसके अलावा, नामित नोडल एजेंसियों द्वारा नामांकन और ऑडिट की व्यवस्था भी शामिल की गई है, जिनमें टेलीकम्युनिकेशन इंजीनियरिंग सेंटर (TEC), भारतीय मानक ब्यूरो (BIS) और इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय (MeitY) शामिल हैं. इस ढांचे में मौजूदा TEC/BIS प्रयोगशालाओं के उन्नयन के साथ-साथ नई प्रयोगशालाओं और टेस्टबेड स्थापित करने का भी प्रस्ताव किया गया है.
अंत में यह ढांचा एक व्यापक एंड-टू-एंड प्रमाणन प्रक्रिया का प्रावधान करता है, जिसमें आवेदन प्रस्तुत करना और प्रारंभिक मूल्यांकन, परीक्षण और आकलन, प्रमाणन प्राधिकरण द्वारा समीक्षा, प्रमाणपत्र जारी करना, तथा प्रमाणन के बाद निगरानी (पोस्ट-सर्टिफिकेशन सर्विलांस) शामिल हैं.
परिशिष्ट (Annexure) C में टास्क फोर्स के उप-समूह 2 द्वारा तैयार की गई ‘क्वांटम-सेफ माइग्रेशन के लिए रणनीतिक रोडमैप – समय-सीमाएँ’ शीर्षक वाली रिपोर्ट शामिल है. इसमें PQC माइग्रेशन के लिए तीन स्पष्ट और महत्वाकांक्षी चरण (माइलस्टोन) निर्धारित किए गए हैं. इस रोडमैप में महत्वपूर्ण सूचना अवसंरचना (CII) से जुड़े क्षेत्रों-जैसे रक्षा, दूरसंचार और ऊर्जा-के लिए अधिक कड़ी समय-सीमाएँ निर्धारित की गई हैं, जबकि सामान्य उद्यम (एंटरप्राइज) क्षेत्रों के लिए अपेक्षाकृत कम सख्त समय-सीमाओं की सिफारिश की गई है.
तालिका 2: क्वांटम सुरक्षित प्रवासन के महत्वपूर्ण चरण
| Milestones | Provisions |
| Milestone 1 – Build Foundations/Preparatory Stage (CII: By 2027; Enterprises: By 2028) | • Establish leadership, governance, and cross-functional quantum risk management. • Inventory cryptographic assets and assess quantum risk. • Initiate pilot projects and early migration of high-priority systems. • Begin adopting PQC/hybrid signatures for critical software and systems. • Introduce PQC readiness requirements in procurement, including phased adoption of Cryptographic Bills of Materials (CBOMs) • Conduct quantum risk analysis, adopt crypto agility as a guiding principle, and mandate CBOM submissions from vendors starting FY 2027–28. |
| Milestone 2 – Migrate High-Priority Systems (CII: By 2028; Enterprises: By 2030) | • Convert pilots into full migration programmes with Key Performance Indicators (KPIs). • Enforce “no new classical-only deployments.” • Upgrade Public Key Infrastructure (PKI), Hardware Security Modules (HSMs), Key Management System (KMS), and libraries to PQC-ready versions. • Mandate PQC-capable digital signatures. • Ensure supplier accountability and continuous monitoring. • Contain classical-only systems within controlled enclaves where immediate migration is not feasible. • Develop cryptographic incident response playbooks and integrate PQC training into cybersecurity, DevOps, and IT programmes. |
| Milestone 3 – Full PQC Adoption (CII: By 2029; Enterprises: By 2033) | • Complete enterprise-wide PQC/hybrid adoption. • Operate PQC-only trust chains and ensure all digital signatures are quantum-safe. • Maintain long-term vendor oversight, audits, and continuous algorithm updates. • Implement layered risk management for the remaining legacy systems |
Source: Implementation of Quantum Safe Ecosystem in India (2026)
इसके अलावा, रिपोर्ट में ‘PQC पर्सोना’ की भी परिभाषा दी गई है-जैसे अर्जेंट अडॉप्टर्स, रेगुलर अडॉप्टर्स और टेक्नोलॉजी प्रोवाइडर्स एंड एनेबलर्स-ताकि जोखिम के स्तर के आधार पर श्रेणीकरण करके उद्यम अपने कदमों को प्राथमिकता दे सकें. यह रिपोर्ट क्रिप्टो एगिलिटी को भी भारत की PQC माइग्रेशन यात्रा के प्रमुख सिद्धांतों में से एक के रूप में महत्व देती है. साथ ही, इसमें कई चुनौतियों और तकनीकी पहलुओं-जैसे इंटरऑपरेबिलिटी (परस्पर संगतता), इकोसिस्टम की तैयारी, प्रदर्शन पर अतिरिक्त भार (परफॉर्मेंस ओवरहेड), कौशल और क्षमता की कमी, हार्डवेयर संबंधी सीमाएँ, विक्रेताओं पर निर्भरता और निवेश की निरंतरता-पर भी चर्चा की गई है. इसके साथ ही अंतरिम उपायों के रूप में क्वांटम गेटवे, क्वांटम VPN, क्वांटम प्रॉक्सी और टनल, तथा क्वांटम रैंडम नंबर जनरेटर (QRNGs) जैसे विकल्प सुझाए गए हैं.
टास्क फोर्स की रिपोर्ट भारत की डिजिटल सुरक्षा को क्वांटम कंप्यूटर के खतरे से बचाने की दिशा में एक अच्छा शुरुआती कदम है. लेकिन आगे बहुत काम बाकी है. अलग-अलग क्षेत्रों में मानक बनाना, परीक्षण करना, निवेश बढ़ाना और लोगों को प्रशिक्षण देना जरूरी होगा, साथ ही संस्थानों को भी PQC अपनाने की जिम्मेदारी निभानी होगी.
इसी कारण दुनिया के अधिकांश देशों ने, कई मामलों में अधिक विकसित मानकीकरण और परीक्षण अवसंरचना होने के बावजूद, पूर्ण माइग्रेशन के लिए 2035 को लक्ष्य वर्ष के रूप में चुना है. ऐसे में भारत द्वारा 2033 की समय-सीमा निर्धारित करना कुछ हद तक अत्यधिक महत्वाकांक्षी और आशावादी माना जा सकता है, जिससे संगठनों पर प्रक्रिया को तेजी से पूरा करने का अतिरिक्त दबाव पड़ सकता है. इसलिए भारत की रणनीति को एक अपेक्षाकृत कम सख्त समय-सीमा से लाभ मिल सकता है.
भारत की PQC माइग्रेशन पहल मौजूदा साइबर सुरक्षा कमजोरियों और कमियों को दूर करने का एक उपयुक्त अवसर प्रदान करती है, साथ ही भविष्य के खतरों का सामना करने के लिए आधार भी तैयार करती है.
भारत अपने PQC माइग्रेशन दृष्टिकोण को और बेहतर बनाने के लिए अन्य अंतरराष्ट्रीय रणनीतियों के कुछ तत्वों को भी शामिल कर सकता है. उदाहरण के लिए, नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (NIST) ने सार्वजनिक-निजी भागीदारी (Public-Private Partnership) का मॉडल अपनाया है, जिसमें तकनीकी कंपनियों को कोऑपरेटिव रिसर्च एंड डेवलपमेंट एग्रीमेंट्स पर हस्ताक्षर करने और ‘टेक्नोलॉजी पार्टनर‘ के रूप में कार्य करने के लिए आमंत्रित किया गया है. इसी तरह, पोस्ट-क्वांटम क्रिप्टोग्राफी कोएलिशन (PQCC) ने अपनी माइग्रेशन रणनीति के साथ ‘PQC इन्वेंटरी वर्कबुक‘ भी विकसित की है, जिससे संगठनों को अपनी माइग्रेशन आवश्यकताओं के आधार पर प्रणालियों की सूची तैयार करने और उन्हें वर्गीकृत करने में मदद मिलती है. भारत के सामने आने वाले कठिन PQC माइग्रेशन कार्य को देखते हुए, ऐसे कदम इस संक्रमण के कुल बोझ को कम करने में सहायक हो सकते हैं.
रिपोर्ट में PQC और क्वांटम की डिस्ट्रीब्यूशन (QKD) को साथ-साथ इस्तेमाल करने की बात कही गई है, लेकिन यह साफ नहीं बताया गया कि दोनों कहाँ और कैसे उपयोग होंगे. अगर भारत इस मॉडल को अपनाना चाहता है, तो पहले यह तय करना होगा कि QKD किन क्षेत्रों में सबसे उपयोगी रहेगा. इसके लिए अलग नियम, परीक्षण, प्रमाणन और समय-सीमा बनानी पड़ेगी. QKD पर एक अलग टास्क फोर्स बनाई जाए तो योजना ज्यादा स्पष्ट होगी और काम में दोहराव भी कम होगा.
PQC माइग्रेशन का मकसद क्वांटम कंप्यूटर से होने वाले भविष्य के साइबर खतरों से सुरक्षा बढ़ाना है. इसके साथ ही यह भारत की डिजिटल सुरक्षा को भी मजबूत करने का मौका देता है. जैसे AES-128 की जगह AES-256 जैसे मजबूत एन्क्रिप्शन अपनाने से डेटा और सिस्टम दोनों ज्यादा सुरक्षित हो सकते हैं. साल 2025 में डेटा उल्लंघन (डेटा ब्रीच) की औसत लागत बढ़कर 4.4 मिलियन अमेरिकी डॉलर तक पहुँचने के साथ-साथ, अधिक मजबूत साइबर हमले करने के लिए कृत्रिम बुद्धिमत्ता (AI) के बढ़ते उपयोग ने साइबर-रेसिलिएंस और क्रिप्टो एगिलिटी को विभिन्न क्षेत्रों और संगठनों के लिए अभूतपूर्व रूप से महत्वपूर्ण बना दिया है. इसलिए, भारत की PQC माइग्रेशन पहल मौजूदा साइबर सुरक्षा कमजोरियों और कमियों को दूर करने का एक उपयुक्त अवसर प्रदान करती है, साथ ही भविष्य के खतरों का सामना करने के लिए आधार भी तैयार करती है.
प्रतीक त्रिपाठी ऑब्जर्वर रिसर्च फाउंडेशन के सेंटर फॉर सिक्योरिटी, स्ट्रेटेजी एंड टेक्नोलॉजी (सीएसएसटी) में एसोसिएट फेलो हैं.
[1] Crypto agility refers to an organisation’s ability to respond to novel cyber threats by rapidly updating algorithms, keys, and protocols without business disruption.
The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.
Prateek Tripathi is an Associate Fellow at the Centre for Security, Strategy and Technology. His work focuses on an emerging technologies and deep tech including quantum ...
Read More +
PREV
