Modern toplumun giderek dijital hale geldiği göz önüne alındığında, güvenli ve emniyetli iletişime yönelik talep de artıyor. Açık anahtar altyapısı (PKI) gibi kriptografik standartlar ve dijital sertifika sistemleri, dijital iletişimi korumak için gereken doğrulama, kimlik doğrulama ve şifrelemeyi sunarken, son zamanlarda ortaya çıkan bir tehdit de bu güvenli iletişim sistemlerinin kuantum bilgisayarları tarafından tehlikeye atılması ihtimalidir.
Belirli hesaplama görevlerinin artık klasik yüksek performanslı bilgi işlem mimarilerinde yürütülemeyeceği kuantum üstünlüğü fikri hâlâ çok uzakta. Ancak kuantum hesaplamanın ve klasik bilgisayar mimarisi üzerinde çalışan bir algoritmada belirli işlevleri hızlandırmak için kuantum teknolojisini kullanan hibrit mimarilerin vaat ettiği hız, toplum için hem bir fırsat hem de bir risk teşkil ediyor.
Dünyanın dört bir yanındaki araştırmacılar, son derece karmaşık sorunları çözmek için kuantum hesaplama algoritmalarının nasıl kullanılabileceğini araştırıyor. Kuantum hesaplama, iklim değişikliğiyle mücadeleye yardımcı olmak, kimyasal süreçlerde ve ilaç keşfinde verimliliği artırmak ve klasik hesaplama sistemlerinde çalıştırılamayan her türlü karmaşık optimizasyon gibi büyük toplumsal faydalar vaat ediyor. Ancak kuantum bilgisayarları geliştikçe teknolojinin mevcut şifreleme standartlarını kıracağına dair endişeler de artıyor. Aslında, şifreleme anahtarlarını son derece hızlı bir şekilde kırabilecek kadar güçlü olacaklar.
“Eğer büyük ölçekli kuantum bilgisayarlar inşa edilirse, şu anda kullanımda olan birçok açık anahtarlı kriptosistemi kırabilecekler. Bu, internetteki ve diğer yerlerdeki dijital iletişimin gizliliğini ve bütünlüğünü ciddi şekilde tehlikeye atacaktır,” diye uyarıyor ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum sonrası kriptografiye (PQC) yönelik bir taslak teklifte.
Bunun internetin güvenliği üzerinde derin bir etkisi olacaktır. Thales’in siber güvenlikten sorumlu stratejik pazarlama direktörü John Cullen, “Büyük ölçekli, hataya dayanıklı kuantum bilgisayarlar gerçeğe dönüştüğünde, hassas bilgileri yıllardır koruyan şifreleme protokolleri saldırılara karşı savunmasız hale gelecektir” diyor. “Kuantum hesaplamanın ortaya çıkışı yaklaştıkça, PKI’nın gelecekteki güvenliği tehlikede kalıyor.”
Cullen, siber suçluların değerli verilere yetkisiz erişim elde etmek için PKI sistemlerindeki zayıflıktan büyük bir istekle yararlanacağına inanıyor. “Bu nedenle kuantum teknolojisi ana akım haline gelmeden önce kuruluşların kendilerini korumak için proaktif önlemler alması zorunludur” diye uyarıyor.
NIST ve BT destekli sistemlere yönelik Avrupa standartlar organı olan ETSI gibi standart kuruluşlarının kuantum hesaplamaya dahil olmasının nedeni budur.
PA Consulting’de siber güvenlik uzmanı olan Jonathan Lane, NIST ve ETSI gibi şirketlerin kuantum sonrası algoritmaları (PQA’lar) belirleme ve seçme programlarında birkaç yıldır çalıştıklarını, endüstri ve akademinin yenilikler yaptığını belirtiyor. “Muhtemelen kuantum açısından güvenli olan bir dizi algoritma üzerinde anlaşmaya varıyoruz; hem Birleşik Krallık’ın NCSC’si [National Cyber Security Centre] ve ABD’nin NSA’sı [National Security Agency] PQA’yı çok daha büyük anahtarlarla birlikte kullanan gelişmiş genel anahtar şifreleme yaklaşımını destekliyoruz” diyor.
Lane, NCSC’nin kullanıcıların çoğunluğunun normal siber güvenlik en iyi uygulamalarını takip etmesini ve NIST standartlarına uygun kuantum güvenli kriptografi (QSC) ürünlerinin geliştirilmesini beklemesini önerdiğini söylüyor.
Finansal hizmetler için kuantum kriptografisi
Kuantum hesaplamanın gelişimine yakından bakan sektörlerden biri bankacılık, özellikle de güvenli ve emniyetli ödeme işlemleri için temel aldığı kriptografik standartları nasıl etkileyeceği.
Örneğin Temmuz ayında HSBC, Canary Wharf’taki küresel genel merkezi ile Berkshire’daki bir veri merkezi arasında fiber optik kablolar üzerinden test verilerinin kuantum güvenli aktarımına yönelik bir deneme üzerinde BT, Toshiba ve Amazon Web Services (AWS) ile birlikte çalıştığını duyurdu. Kuantum anahtar dağıtımını (QKD) kullanarak 62 km uzakta.
QKD, taraflar arasında gizli anahtarlar sağlamak için ışık parçacıklarını ve kuantum fiziğinin temel özelliklerini kullanır. Bu anahtarlar hassas verileri şifrelemek ve şifrelerini çözmek için kullanılabilir ve kulak misafiri olanlara veya kuantum bilgisayarların siber saldırılarına karşı güvenlidir.
QKD, finans sektöründeki finansal işlemlerin, müşteri verilerinin ve özel bilgilerin korunmasında kilit bir rol oynamaya hazırlanıyor. HSBC, geçen yıl tahmini 3,5 trilyon £ değerinde 4,5 milyar ödeme gerçekleştirdi. Bu elektronik ödemeler, müşterileri ve işletmeleri siber saldırılardan korumak için şifrelemeye dayanıyor; bankanın kuantum stratejisi oluşturmasının nedenlerinden biri de bu. Buna QKD ve PQC denemeleri de dahildir.
BT ve Toshiba, Ekim 2021’den bu yana deneme amaçlı bir kuantum güvenli ağ üzerinde işbirliği yapıyor. Bu ağ, BT’nin “özel yüksek bant genişlikli uçtan uca şifrelenmiş bağlantılar dahil olmak üzere bir dizi kuantum güvenlikli hizmet” olarak tanımladığı şeyi sunuyor. Openreach’in özel fiber ağları üzerinden teslim edilir. Toshiba, kuantum anahtar dağıtım donanımı ve anahtar yönetimi yazılımı sağlar.
Nisan 2022’de BT ve Toshiba, EY ile birlikte bu teknolojiye dayalı dünyanın ilk ticari kuantum güvenli metro ağının denemesini başlattı. Altyapı, EY müşterilerini Londra genelinde birbirine bağlayarak, kuantum anahtar dağıtımını kullanarak standart fiber optik bağlantılar üzerinden birden fazla fiziksel konum arasında veri ve bilgi aktarımını güvence altına almalarına yardımcı oluyor.
HSBC, BT/Toshiba altyapısını kullanan ilk bankadır. HSBC, kuantum güvenli iletişim konusundaki araştırmasının, kuantum teknolojisinin avantajları hakkında kanıt sağlamasına ve finansal siber güvenlik uygulamalarının geliştirilmesine yön vermesine yardımcı olacağını umuyor. HSBC’ye göre kuantum bilim insanları, siber suç uzmanları ve finans uzmanları, güçlü kuantum bilgisayarların oluşturduğu potansiyel tehdidi daha iyi analiz edebilecek ve hassas bilgileri korumaya yönelik stratejiler geliştirebilecek.
Nesnelerin İnterneti ikilemi
Kriptografinin uygulama alanları yelpazesinin diğer ucunda ise düşük güçlü internete bağlı cihazlar yer alıyor. PA Consulting’den Lane, nesnelerin interneti (IoT) cihazlarının veri üretmesi ve alışverişi yapması nedeniyle IoT uygulamalarının bu verilerin doğru ve güvenilir olmasını gerektirdiğini belirtiyor. Cihazlar ağa bağlı olma eğiliminde olduğundan, bunların kötüye kullanılmasının daha geniş sistemlerde kapsamlı ve küresel bir etkiye sahip olabilecek saldırı vektörlerini açabileceği konusunda uyarıyor.
Örneğin 2016 yılında, Mirai kötü amaçlı yazılımını kullanan alan adı sistemi servis sağlayıcısı Dyn’e şimdiye kadarki en büyük botnet saldırısı başlatıldı. Lane’e göre bu kötü amaçlı yazılım, Linux ARC işletim sistemini çalıştıran IoT cihazlarını aradı, varsayılan giriş bilgileriyle onlara saldırdı ve onlara bulaştı. Bu, dağıtılmış hizmet reddi (DDoS) saldırılarında çok sayıda IoT cihazının bir arada kullanılmasına olanak tanıdı ve bu da internetin önemli bir bölümünün çökmesine neden oldu.
Araştırmacılar IoT güvenliğinin nasıl iyileştirilebileceğine bakıyor ve kuantum sonrası kriptografinin önemi muhtemelen artacak bir alan olacak. Ancak Lane, gelişmiş QSC standartlarının çoğunun, karmaşık algoritmalar ve uzun anahtarlarla başa çıkmak için önemli miktarda bilgi işlem gücü gerektirdiği konusunda uyarıyor.
“Birçok IoT sensörü bunları çalıştıramayabilir” diyor. “NIST, QSC standartlarını sunana kadar bunların IoT kısıtlamaları dahilinde çalışıp çalışmayacağını bilemeyeceğiz. Aksi takdirde IoT QSC çözümlerinin resmi gelişiminde bir boşluk var demektir.”
Lane, asimetrik kriptografinin uygulanabilir bir düşük kaynaklı PQC algoritmasını uygulamaya koymanın bir yolunu sunabileceğine inanıyor. “Simetrik kriptografi şu anda IoT endüstrisi tarafından düşük güçlü bir mekanizma olarak tercih ediliyor, ancak aynı anahtarların her iki tarafa gizlice dağıtılması sorunu devam ediyor ve kuantum iyileştirmeleri güç gereksinimlerini artırabilir” diyor.
Alternatif yaklaşımlar dikkate alınırken, inovasyonun yardımcı olabileceği simetrik temel kuruluş mekanizmaları da vardır.
Bunlar, kuantum bilgisayarların hızla çözeceği zor matematik problemlerini kullanmak yerine, kuantum mekaniğinin özelliklerinin anahtar bir anlaşma oluşturmak için kullanıldığı kuantum anahtar dağıtımını içerir. Ancak Lane, QKD’nin özel donanım gerektirdiğini ve kimlik doğrulamayı kolayca etkinleştirmenin bir yolunu sağlamadığını ve NCSC’nin QKD’yi herhangi bir hükümet veya askeri uygulama için onaylamadığını söylüyor.
Güvenli anahtar anlaşması (SKA) başka bir alternatif yaklaşımdır. Lane, bazı şirketlerin güvenilir uç noktalarda dijital olarak simetrik anahtarlar oluşturmanın hesaplama açısından güvenli yollarını denediğini söylüyor. “Bu tür düşük güçlü, yazılım tabanlı yetenek, Nesnelerin İnterneti için ilginç bir alternatif sunuyor” diye ekliyor. Bu tür bir yeteneğin bağımsız olarak doğrulanması gerçekleşse de Lane, yaklaşımın ne NIST’in ne de ETSI’nin radarında olmadığını söylüyor.
Gelişen kuantum teknolojisi BT güvenliğiyle bağlantılı
Genel olarak, BT güvenliğinin, mevcut kriptografiyi geçersiz kılan çok güçlü kuantum bilgisayarların yakın tehdidiyle mücadele etmek için gelişmesi gerekiyor. Thales’ten Cullen, güvenli ve bağlantılı bir dünyanın geleceğinin, PKI saldırılarına karşı savunma ve bu güvenlik önlemlerine duyulan güveni koruma becerisine bağlı olduğu konusunda uyarıyor.
“Sektörün politikaları, prosedürleri ve teknolojiyi desteklemenin yeni yollarını keşfetmesi gerekiyor” diyor. “Kuantum hesaplamanın ortaya çıkışı yaklaştıkça, PKI’nın gelecekteki güvenliği tehlikede kalıyor.”
Mevcut şifreleme protokollerine yönelik kuantum saldırıları riski, hem kuruluşların hem de hükümetlerin proaktif eylemde bulunmasını gerektirmektedir.