Bu yardımda net güvenlik röportajında, F5 Labs direktörü David Warburton, AB’nin Quantum sonrası şifreleme (PQC) yol haritasının küresel çabalarla nasıl hizalandığını ve PQC’ye göç etmenin teknik ve düzenleyici zorluklarını nasıl ele aldığını tartışıyor. Warburton ayrıca, şifreleme çevikliği ve uzun vadeli veri korumasını sağlamak için kuruluşların atması gereken pratik adımları özetlemektedir.
AB’nin PQC yol haritası, NIST ve ETSI’den gelenler gibi küresel çabalarla nasıl uyumlu? Anahtar farklılıklar veya benzersiz öncelikler var mı?
AB’nin PQC yol haritası, NIST’ten geniş çapta hizalanmıştır; Her ikisi de hibrid-PQC şifreleri ve hibrid dijital sertifikalar ile PQC’ye aşamalı bir geçiş tavsiye ediyor. Bu hibrit çözümler, yepyeni PQC algoritmalarının güvenlik vaatlerini sunarken, onları desteklemeyen eski cihazların şimdi ‘klasik şifreleme’ olarak adlandırılanları kullanmaya devam etmesine izin veriyor. İlk olarak, hem AB hem de NIST, PQC olmayan şifrelemenin kritik sistemler için 2030’a kadar kaldırılmasını önermektedir ve diğerleri 2035 yılına kadar davayı takip etmektedir.
Her ikisi de ‘şimdi hasat, daha sonra şifresini çöz’ tehdidini kabul ederken, ikisi de verilerin kapak süresini anlamanın önemini vurgulamaz; ne de kuantum hesaplamadaki son gelişmelere başvurun. Birçok kişi şimdi 2030 yılına kadar kriptografik olarak alakalı kuantum bilgisayarların (CRQC) gelişini tahmin ederken, kuruluşlar veya hükümetler beş yıl veya daha fazla bir kapak süresi olan bilgiler varsa, birçoklarının PQC’ye zamanında geçmesi için çok geç.
Belki de AB kuruluşlarının Amerikan meslektaşlarına kıyasla karşılaşacağı en önemli fark, Avrupa yol haritasının sadece tavsiyeten daha fazlası olmasıdır; Zamanla çeşitli direktifler ve düzenlemeler yoluyla uygulanacaktır. PQC, AB düzenlemelerinde açıkça belirtilmemiştir, ancak bu şaşırtıcı değildir. GDPR ve NIS2 (2022) ve Siber Esneklik Yasası (2024) gibi diğer teknoloji odaklı AB yasaları, güvenliğe riske dayalı bir yaklaşım benimsemektedir. Belirli standartları ve protokolleri tanımlamak yerine, kuruluşların güncel politikaları sürdürmelerini ve endüstrinin en iyi uygulamalarına uymasını gerektirirler.
NIST rehberliği belirli protokoller hakkında daha açıktır, ancak eylemi zorunlu kılmaz. Yeni PQC kriptografik algoritmalarını yeni standartlara kodlamış olsa da, bunları benimsemek ve uygulamalarında ısrar etmek endüstri düzenleyicilerine bağlı olacaktır.
AB Üye Devletleri ve Kurumları, PQC’nin sektörler ve sınırlar arasında sunulmasını uyumlu hale getirmede nasıl bir rol oynuyor? Bu koordinasyon ne kadar zor?
Kriptografiye ne kadar bağlı olduğumuzu takdir etmek için bir dakikanızı ayırdığımızda, PQC’ye göç etme zorluğunun muazzam olduğunu. Şifreleme, hücresel iletişim, e -posta ve belge imzalama, mesajlaşma uygulamaları, biyometrik sistemler, mobil bankacılık, akıllı sayaçlar, bluetooth ve wifi, uzaktan erişim VPN’leri, epassports, bazı elektronik oylama sistemleri, sağlık platformları ve Web ve API güvenliğinde kullanılır. Dolayısıyla, PQC sunumunun teknik yönü muazzamdır; Yine de, özellikle AB’deki birçok üye ülkede, PQC dağıtımlarını uyumlu hale getirmenin politika ve lojistik yönlerine kıyasla azalır.
Yukarıda verilen tüm kriptografi kullanım durumlarını göz önünde bulundurun. En büyük zorluklardan biri, 27 üye devletin ve düzinelerce etkilenen sektörün tutarlı bir şekilde, benzer zaman çizelgelerinde ve uyumlu altyapı ile uygulanmasını sağlamaktır. AB yol haritası paylaşılan kilometre taşları sağlar, ancak yürütme her eyaletin siber güvenlik olgunluğuna, düzenleyici yorumlamaya ve teknik kaynaklara erişime bağlı olarak büyük ölçüde değişir.
Web, PQC’nin benimsenmesine yönelik en hızlı ilerlemeyi gördü ve son araştırmamıza göre, hibrid-PQC şifreleri dünyanın en iyi 1 milyon web sitesinin% 8,6’sında kabul edildi. Ancak TLS bağlantılarını ve akıllı kartları doğrulamak için gerekli olan hibrid-PQC sertifikaları, hala araçlar ve platformlar arasında entegrasyonun ilk aşamalarında.
Nihayetinde, uyumlaştırma kriptografinin çalışmasını sağlamaktan daha fazlasıdır, bu, politika, tedarik, test ve güven altyapısını sınırlar arasında hizalamakla ilgilidir. Bu, doğru algoritmayı seçmekten çok daha karmaşık bir görevdir. AB, koordineli yol haritaları, pilot projeler için finansman ve EnISA liderliğindeki işbirliği yoluyla bunu ele almaya çalışıyor, ancak bu tür farklı bir manzarada senkronize, güvenli konuşlandırmanın sağlanması, quantum sonrası geçişin en büyük zorluklarından biri olmaya devam ediyor.
Klasikten quantum sonrası algoritmalara göç yolu, kurumsal ortamlar veya hükümet sistemleri için pratikte neye benziyor?
Kuantum sonrası şifrelemeye göç karmaşık olacaktır, ancak bu karmaşıklığın çoğu teknik uygulamanın kendisinden ziyade planlamada yatmaktadır. En kritik zorluklardan biri, bir web tarayıcısı ve sunucu, bir IoT cihazı ve bulut yönetim platformu veya bir mobil uygulama ve bağladığı API’lerin aynı kriptografik algoritmaları destekleyebilmesini sağlamaktır.
Bu, kriptografik işlemler gerçekleştiren tüm sistemlerin kapsamlı bir envanterini gerektirir. Bazı PQC algoritmaları, özellikle kısıtlı cihazlarda performans ek yükü getirecektir ve birçok eski veya düşük maliyetli IoT cihazı PQC’yi desteklemeyebilir ve bazı durumlarda donanım değiştirme gerektirebilir.
Genel İnternet, PQC’ye hazır bir web’e doğru yavaş ama istikrarlı bir ilerleme kaydederken, dahili sistemler ve üretim dışı ortamlar genellikle göz ardı edilir. Şifreleme standartlarının müşteriye dönük web sitelerinde hızlı bir şekilde dağıtıldığını görmek yaygındır, dahili API’lar, test veya geliştirme platformları modası geçmiş protokollere sıkışmış kalır. Bu ihmal edilen sistemler, tehdit aktörleri tarafından sıklıkla güvenlikte geri döndükleri için hedeflenir.
Bu nedenle ayrıntılı bir kriptografik varlık kaydının korunması esastır. Kuruluşların her bir uç noktadaki riski değerlendirmelerini sağlar ve üretim olsun ya da olmasın harici olarak erişilebilir tüm hizmetlerin aynı düzeyde şifreli koruma almasını sağlar.
İnternetteki en iyi bir milyon web sitesi hakkındaki son analizimiz, önemli bir kısmın hala TLS 1.3’ü desteklemediğini ortaya koydu. Göç açısından bakıldığında, TLS 1.3’ü benimsemek, gelecekteki PQC desteği için gerekli temeli sağladığı için ilk adım olmalıdır.
Birlikte çalışabilirlik, kripto göçünde büyük bir endişe kaynağıdır. AB, geçiş aşamasında eski sistemler ve PQC çözümleri arasındaki uyumluluğu nasıl ele alıyor?
AB, bir kuruluşta ilk haritalandırmaya ve bir şifreleme sistemlerinin envanteri yaratmaya vurgu yapmaktadır. Bu tavsiyeyi genişletir ve kuruluşların şifreleme operasyonlarının nerede birleştirilebileceğini düşünmelerini öneririm. İletişimi şifreleyen ve şifresini çözen sistemler, kriptografik anahtar yönetimini korumak ve her sistemin aynı şifreleri ve algoritmaları desteklemesini sağlamak o kadar karmaşık hale gelir.
AB tarafından kriptografik çeviklik ve kuantum güvenli bir yükseltme yolu da denir. Basitçe söylemek gerekirse, bu, kriptografik işlemleri gerçekleştirmeyi seçtiğiniz platformların, altta yatan uygulamayı bozmadan sertifikaları, protokolleri ve şifreleri kolayca değiştirebilmesini sağlamak anlamına gelir. Yetenekli kriptografik çözümler, bir istekte bulunan cihaza dayalı farklı algoritmaların kullanılmasına bile izin verecektir. Hassas ve görev kritik hizmetler hibrid-PQC kriptografisini kullanmak zorunda kalabilirken, miras ve daha az hassas iletişimin klasik kriptografi kullanımını sürdürmesine izin verilebilir. Bu dinamik kripto çevikliği, altta yatan uygulamadan şifreleme ayrılmasıyla mümkün olur.
Kriptografik çözümler zaten PQC şifreleri için destek uyguluyor. Ancak, küresel web trafiği analizimizden, cihaz ve web tarayıcısı desteğinde büyük bir boşluk görüyoruz. Bu hibrit çift algoritma el sıkışmaları, bir taraf PQC’yi desteklemese bile, oturumun geleneksel bir şifre kullanılarak hala güvence altına alınabilmesini sağlarken, her iki taraf da yetenekli ise quantum sonrası taraftan koruma kazandırır. Bu, kuruluşların eski sistemlerle birlikte çalışabilirliği koruyabileceği anlamına gelir ve yavaş yavaş PQC’yi tanıtmaktadır.
SaaS sağlayıcıları ve platformları, bu hibrit şemaları zaten destekler, genellikle tam olarak yeniden mimarlıktan ziyade yalnızca yapılandırma değişiklikleri gerektirir. Sadece AB’de değil, küresel olarak çekiş kazandığını gördüğümüz yol budur.
AB’nin onlarca yıl boyunca gizli kalması gereken verileri ele alma rehberliği, “Şimdi hasat, daha sonra şifresini çöz” senaryosu?
‘Şimdi hasat, daha sonra şifresini çöz’ tehdit modeli, PQC’nin benimsenmesi için belki de en acil ve yetersiz sürücüdür. Verileri uzun ‘kapak süresi’ ile ele alan kuruluşlar için kritik bir riski temsil eder, yani yıllar ve hatta onlarca yıl boyunca gizli kalması gereken bilgiler. ENISA ve quantum sonrası yol haritası da dahil olmak üzere AB rehberliği, bu tür verilerin erken tanımlanmasını ve özellikle sağlık, hükümet ve finans gibi kritik sektörlerde kuantum güvenli korumalara duyulmasını vurgulamaktadır.
Örneğin, tıbbi kayıtlar veya yabancı istihbarat zaman içinde değeri korur ve kuantum bilgisayarların sonunda bunları şifresini çözeceği bilgisinde bugün hasat edilebilir. Sistemleriniz hala PQC olmayan algoritmalara (RSA, ECHDE, vb.) Güveniyorsa, transit veya depolama alanında tehlikeye atılan veriler geriye dönük olarak açığa çıkabilir.
Rehberliğimiz basittir: Formülü uygulayın:
PQC Dağıtım Tarihi = Q-Day-Kapak Süresi
Q-Day’in 2030 ve beş yıllık bir kapak süresi olduğunu varsayarsak, kuruluşlar şimdi 2025’te PQC’yi konuşlandırmalıdır. Bir yıl daha uzun süre beklemek bugünün hassas verilerini gelecekteki uzlaşma riskine sokar. Bu, kuantum bilgisayarlar bir gerçek olana kadar ertelenebilecek bir sorun değil, derhal harekete geçmeyi gerektiriyor.