Apple, Signal Kuantum Dirençli Şifrelemeyi Piyasaya Sürüyor, Ancak Zorluklar Yaklaşıyor


Apple’ın geçen hafta tanıttığı yeni PQ3 kuantum sonrası kriptografik (PQC) protokolü, kuantum bilişimin olgunlaşıp çeşitli farklı endüstrilerde kök salması nedeniyle önümüzdeki birkaç yıl içinde hızlanacak bir trendin en son göstergesidir.

Gibi protokoller PQ3Apple’ın bunu yapmak için kullanacağı iMessage iletişimlerini güvenli hale getirinve Signal’in geçen yıl tanıttığı benzer bir şifreleme protokolü PQXDHkuantum dirençlidir, yani en azından teorik olarak onları kırmaya çalışan kuantum bilgisayarların saldırılarına dayanabilirler.

Hayati, Ortaya Çıkan Bir Gereksinim

Pek çok kişi, kuantum bilgisayarları olgunlaştıkça ve rakiplere avantaj sağladıkça bu yeteneğin hayati önem taşıyacağını düşünüyor. açmanın oldukça kolay yolu hatta en güvenli güncel şifreleme protokolleri ve erişim korumalı iletişim ve verilere.

Bu potansiyele ve saldırganların halihazırda hassas şifrelenmiş verileri toplayıp bunları gelecekte kuantum bilgisayarlar aracılığıyla şifreyi çözmek üzere saklamasına ilişkin endişeler, Ulusal Standartlar ve Teknoloji Enstitüsü’nün bu konuda bir girişimde bulunmasına yol açtı. standartlaştırılmış genel anahtar, kuantum açısından güvenli şifreleme algoritmaları. Apple’ın PQ3’ü, kuantum sonrası genel anahtar olan ve dört algoritmadan biri olan Kyber’i temel alıyor. NIST standardizasyon için seçti.

Kuantum bilişimle ilgili yeni ortaya çıkan tehditlere karşı koruma sağlayan teknolojilere odaklanan bir şirket olan QuSecure’un baş ürün sorumlusu Rebecca Krauthamer, Apple’ın duyurusunun PQC alanında daha fazla ivme yaratacağını düşünüyor.

Krauthamer, “Alanda çok sayıda tanınmış kuruluşla birlikte çalışıyoruz ve Apple’ın duyurusunun önümüzdeki dört ay içinde yapılacak pek çok duyurunun ilki olduğunu ilk elden söyleyebilirim” dedi. Diğer mesajlaşma uygulamalarının ve sosyal medya platformlarının geliştiricilerinden de benzer hamleler bekliyor.

Şimdiye kadar hükümet, finansal hizmetler ve telekom sektörleri PQC’nin erken benimsenmesini sağladı. Özellikle telekom şirketlerinin, şifreleme anahtarları oluşturmak için kuantum anahtar dağıtımı (QKD) denemelerinde ön sıralarda yer aldığını söylüyor. Krauthamer, “Ancak son 18 ayda, PQC’nin dijital olarak ölçeklenebilir olması nedeniyle PQC’ye geçiş yaptıklarını gördük, ancak QKD’nin hâlâ önemli ölçeklenebilirlik sınırlamaları var” diye ekliyor.

Uzun ve Karmaşık Geçiş Yolu

Kuruluşlar için PQC’ye geçiş uzun, karmaşık ve muhtemelen sancılı olacaktır. Krauthamer, kuantum sonrası şifreleme algoritmalarının, kimlik doğrulama protokolleri ve erişim kontrollerinin manzarasını yeniden tanımlayacağını söylüyor. “Güvenli Web iletişimi için SSL/TLS gibi genel anahtar altyapılarına büyük ölçüde bağımlı olan mevcut mekanizmalar, kuantum dirençli algoritmaları entegre etmek için yeniden değerlendirme ve uyarlama gerektirecektir” diyor. “Bu geçiş, kuantum sonrası dönemde mobil ve diğer dijital etkileşimlerin bütünlüğünü ve gizliliğini korumak için çok önemlidir.”

Kuantum sonrası kriptografiye geçiş, kurumsal BT, teknoloji ve güvenlik ekipleri için TLS1.2’den 1.3’e ve ipv4’ten v6’ya geçiş gibi her ikisinin de onlarca yıl sürdüğü önceki geçişlere paralel yeni bir dizi yönetim zorluğu getirdiğini söylüyor. Krauthamer, “Bunlar arasında yeni algoritmaların mevcut sistemlere entegre edilmesinin karmaşıklığı, gelişen standartlara hızlı bir şekilde uyum sağlamak için yaygın kriptografik çeviklik ihtiyacı ve kuantum tehditleri ve savunmaları konusunda kapsamlı iş gücü eğitimi zorunluluğu yer alıyor” diyor.

Check Point Software’in küresel CISO’su Pete Nicoletti, kuantum bilgisayarların, rakipleri mevcut en güvenli şifreleme protokollerinin sunduğu korumaları nispeten kolayca ortadan kaldırabilecek teknolojiyle donatacağını söylüyor. “Tarayıcı çubuğunuzdaki ‘kilit’ anlamsız olacak, çünkü kuantum bilgisayarıyla donatılmış suçlular her bankacılık işleminin şifresini çözebilecek, her mesajı okuyabilecek ve her veri tabanındaki her tıbbi ve sabıka kaydına saniyeler içinde erişebilecek.” diyor. Geleneksel olarak siteden siteye VPN’lerde, tarayıcılarda, veri depolamada ve e-postada şifrelenen kritik iş ve hükümet iletişimlerinin hepsinin “şimdi topla, şifresini sonra çöz” saldırıları riski altında olduğunu söylüyor.

Şimdi Hasat Et, Daha Sonra Şifresini Çöz

Nicoletti, “Şu anda, belirli sektörlerde iş liderleri, şifrelenmiş trafiklerinin tamamının toplandığını ve onu kırmak için kuantum şifrelemenin mevcut olduğu zamana kadar depolandığını varsaymalı” diyor. Bu tür saldırıların gerçekleşmesine biraz zaman kalmış olsa da iş dünyası ve teknoloji liderlerinin sorunun farkında olması ve şimdiden hazırlanmaya başlaması gerekiyor.

Amaç, PQC’ye geçiş sırasında kullanıcıları etkilememek olmalı ancak tüm göstergeler bunun pahalı, kaotik ve yıkıcı olacağını gösteriyor. Apple’ın PQ3’ü gibi mesajlaşma uygulamalarının dağıtımı ve yönetimi nispeten kolaydır. Bir örnek vererek, “Kurumsal güvenlik duvarınızın veya bulut sağlayıcınızın bir iş ortağı veya müşteriyle belirli bir kuantum sonrası şifreleme algoritmasını desteklememesi ve güvenli bir şekilde iletişim kuramamanız durumunda ortaya çıkacak kaosu düşünün” diyor. Tarayıcı, e-posta, yönlendirici, güvenlik araçları, veri tabanı şifreleme ve mesajlaşma satıcıları aynı fikirde olmadığı sürece, kurumsal BT ekiplerinin PQC’ye geçiş yapmakla meşgul olacağı konusunda uyarıyor.

Mobil güvenlik tedarikçisi Zimperium’un baş inovasyon mimarı Grant Goodes, görevin büyüklüğünü ve kuantum hesaplamanın en korkulan güvenlik sonuçlarının çoğunun gelecekte ne zaman ortaya çıkacağının belirsiz olduğu gerçeğini göz önünde bulundurarak kuruluşların PQC’yi uygulamaya koyma konusunda ölçülü bir yaklaşım benimsemelerini savunuyor. geçmek. Diğerleri gibi o da, kuantum bilgisayarların nihayet olgunluğa eriştiğinde, en güvenli RSA şifrelemesini bile kırılması imkansız hale getireceklerini kabul ediyor. Ancak bir RSA-2048 anahtarını kırmak için yaklaşık 20 milyon kübit veya kuantum biti işlem gücü gerekir. Goodes, mevcut pratik kuantum bilgisayarların yalnızca 1000 kübit civarında olduğu göz önüne alındığında, bu tehdidin gerçeğe dönüşmesinin en az bir on yıl daha alacağını öngörüyor.

“İkincisi, önerilen bu kuantum sonrası şifrelerin çok yeni olduğu ve henüz gerçek anlamda incelenmediği endişesi var, bu yüzden ne kadar güçlü olduklarını gerçekten bilmiyoruz” diye belirtiyor. Bunun bir örneği olarak, NIST’in 2022’de standardizasyon finalisti olarak onayladığı kuantum sonrası şifreleme algoritması olan SIKE örneğini aktarıyor. araştırmacılar SIKE’ı hızla kırdı kısa bir süre sonra tek çekirdekli Intel CPU’yu kullanmaya başladım.

Goodes, “Yeni matematiğe dayalı yeni şifrelerin mutlaka güçlü olması gerekmiyor, sadece yeterince çalışılmamış” diyor. Dolayısıyla PQC’yi benimsemek için daha ölçülü bir yaklaşımın muhtemelen daha ihtiyatlı bir yaklaşım olacağını ekliyor. “Kuantum sonrası kriptografi geliyor ama paniğe gerek yok. Şüphesiz cihazlarımıza girmeye başlayacaklar, ancak mevcut algoritmalar ve güvenlik uygulamaları yakın gelecek için yeterli olacak.”





Source link