ABD’nin Neden Şimdi Dağıtılan Kuantum-Güvenli Kriptografiye İhtiyacı Var?



Bir sonraki atılımı tahmin etmek kolay olmasa da çoğu uzman, mevcut şifrelemeyi çözebilen on binlerce kübit içeren kuantum bilgisayarların 2030’ların ortalarına kadar geliştirileceğini tahmin ediyor.

Zorluk yalnızca teknik değildir ve çözümleri uygulamak ve dağıtmak için hükümet ve endüstri arasında koordinasyon gerekecektir. Yaklaşan tehdidin farkında olan ABD hükümeti, planları harekete geçiriyor. Geçen yıl Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), 2024 yılına kadar standart haline getireceği dört adet kuantuma dayanıklı kriptografik (PQC) algoritmayı duyurdu. Ulusal Güvenlik Ajansı (NSA), ulusal güvenlik sistemlerinin PQC’yi uygulaması için 2035’e kadar bir son tarih belirledi. Ve geçen yılın sonlarında Kongre, diğer tüm federal hükümet BT sistemlerinin NSA ile aynı zaman çizelgesi boyunca PQC’ye geçişini ele alan Kuantum Bilişim Siber Güvenlik Hazırlık Yasasını kabul etti.

Sözde “Q-Day” muhtemelen on yıl uzaktaysa aciliyet neden? İlk olarak, ABD’li düşmanlar bugün şifreli internet trafiğini kaydedebildikleri, süresiz olarak saklayabildikleri ve yetenekli bir kuantum bilgisayara sahip olduklarında şifresini çözebildikleri için, şimdi hasat aşamasında, daha sonra şifresini çöz (HNDL) şemaları.

İkincisi, bir kuruluşun boyutuna ve karmaşıklığına ve BT mimarisine bağlı olarak kriptografik geçiş sürecinin tamamlanması on yıldan fazla sürebilir. İnternet o kadar karmaşık ve farklı kuruluşların altyapısına bağımlı hale geldi ki, bir zayıf halka diğerlerinin tüm hazırlıklarını bozabilir. Ve bu on yıl, mevcut kriptografiyi kırabilen kuantum bilgisayarların zaman çizelgesiyle aynı çizgide.

Her Şeyi Korumak

Teknoloji endüstrisi, fikri mülkiyetlerini ve diğer değerli veri varlıklarını korumak için PQC algoritmalarını dahil etmek üzere sayısız güvenlik standardını güncelleyecektir. Açık kaynaklı yazılımın bu algoritmaları ve standartları entegre etmesi gerekir. Windows’tan Apple ve Android’e kadar büyük işletim sistemlerinin de bunları içermesi gerekir.

Yazılımın ötesinde, bu algoritmaları uygulamak için donanım yongalarına, özellikle de şifreleme anahtarlarını son derece güvenli bir şekilde yöneten donanım güvenlik modüllerine ihtiyacımız var.

Akıllı telefonlar, arabalar, endüstriyel sistemler ve ağ altyapısı dahil olmak üzere cihazların da yükseltilmesi gerekecektir. Hepsi internete ve bulut tabanlı kontrol sistemlerine güvenli bir şekilde bağlanmak için kriptografiye güveniyor. Nesnelerin İnternetini yaygın bilgisayar korsanlığından korumamız gerekiyor. Bu yükseltmeler, akıllı telefonlardaki SIM kartlar gibi donanım şifreleme cihazlarına bağlı olabileceğinden daha zor olabilir.

Son olarak ve belki de en önemlisi, kriptografinin şu anda bağlı olduğu açık anahtar altyapısının PQC algoritmalarını destekleyecek şekilde yükseltilmesi gerekiyor.

PQC’yi Gerçek Dünyada Gerçekleştirme

İnternetteki kriptografi, sertifika yetkilileri olarak bilinen güvenilir üçüncü taraflar sayesinde çalışır. Görevleri, şifreleme anahtarlarının gerçekliğini onaylamaktır. Bankanızın web sitesini ziyaret ettiğinizde, bir sertifika yetkilisi bankanızın şifreleme anahtarlarına kefil olur ve onlara güvenmenizi sağlar. Bu yetkililerin de PQC’yi destekleyecek şekilde yükseltilmesi gerekir.

En önemli kullanım durumları arasında kod imzalama yer alır. Bilgisayarınız İnternetten her yazılım güncellemesi indirdiğinde, orijinalliğini garanti eden ve bir bilgisayar korsanı tarafından değiştirilmediğini iddia eden bir dijital imzayı doğrular. Kötü amaçlı bir yazılım güncellemesi, cihazınızın ve verilerinin kontrolünü etkili bir şekilde ele geçirebileceği için bu son derece önemlidir.

PQC geçişi, potansiyel güvenlik açıklarını belirlemek için bir kuruluşta dağıtılan tüm kriptografiyi haritalayan bir kriptografik envanter geliştirmekle başlayacak. Kapsamlı bir kriptografik envanter, analiz, iyileştirme ve yönetim başlamadan önce bir geçiş yol haritası ve tahmini maliyetler oluşturmaya da yardımcı olacaktır.

Hem eski hem de yeni şifreleme anahtarları aynı anda desteklendiğinde, kriptografiye hibrit bir yaklaşım da bir süre için gerekli olacaktır. Bu altyapı yerinde olduğunda, kurumsal çapta yükseltmeler uygulanabilir. Kriptografik çeviklik, kuruluşların görev sürekliliğini sürdürmesini sağlamak için önemli altyapı değişiklikleri gerektirmeden gelişen siber güvenlik uyumluluk gereksinimlerine ve tehditlerine yanıt vermek için temel olacaktır.

PQC’nin benimsenmesine görünürlük ve hız kazandırmak için hâlihazırda devam eden çabalar var. NIST, Kuantum Sonrası Kriptografiye Geçiş projesinde kendisiyle birlikte çalışan endüstri işbirlikçilerine sahiptir. Kablosuz endüstrisi, standardizasyonu araştıran bir görev gücü oluşturmuştur. Real World PQC gibi çalıştaylar, küresel paydaşları bir araya getiriyor.

Ancak tüm teknoloji endüstrisinin halihazırda var olan bir tehdide karşı acilen birlikte hareket etmesi gerekiyor. Q-Day’in beş veya 50 yıl uzakta olmasına bakılmaksızın, hassas veriler ve iletişimler, acil ve kapsamlı bir önlem alınmazsa gelecekte ifşa olmaya karşı savunmasızdır.



Source link