Bu kuantum tehditleri hala onlarca yıl uzakta olabilir, ancak güvenlik uzmanları “şimdi hasat et, daha sonra şifresini çöz” saldırıları konusunda uyarıyor – kötü aktörler, sonunda onlara erişebilecek bir kuantum bilgisayara sahip olacakları beklentisiyle şifreli veri önbelleklerinde geziniyor. Kuantum korumalı kriptografiyi uygulamak ne kadar uzun sürerse, o kadar fazla veri savunmasız olacaktır. (Ancak Lancaster Üniversitesi kuantum araştırmacısı Rob Young, şu anda toplanabilecek birçok hassas verinin de zamana duyarlı olduğuna dikkat çekiyor: Bugün kredi kartı numaranız 15 yıl sonra alakasız olacak.)
El Kaafarani, “Kuruluşların yapması gereken ilk şey, kriptoyu nerede, nasıl ve neden kullandıklarını anlamaktır” diyor. “Sisteminizin hangi bölümlerinin değişmesi gerektiğini değerlendirmeye başlayın ve en savunmasız parçalardan kuantum sonrası kriptografiye geçiş yapın.”
Kuantum bilgisayarlar hakkında hala büyük bir belirsizlik var. Kimse onların neler yapabileceğini veya bunları uygun ölçekte inşa etmenin mümkün olup olmayacağını bilmiyor. kuantum bilgisayarlar Google ve IBM’in beğenileri tarafından inşa ediliyor özel olarak tasarlanmış görevlerde klasik cihazlardan daha iyi performans göstermeye başlıyorlar, ancak bunları ölçeklendirmek zor bir teknolojik zorluktur ve Shor’un algoritmasını herhangi bir anlamlı şekilde çalıştırabilecek bir kuantum bilgisayarın ortaya çıkması uzun yıllar alacaktır. Young, “En büyük sorun, hem klasik hem de kuantum bilgisayarların gelecekteki yetenekleri hakkında eğitimli bir tahminde bulunmamız gerektiğidir” diyor. “Burada güvenliğin garantisi yok.”
Bu yeni algoritmaların karmaşıklığı, pratikte gerçekte ne kadar iyi çalışacaklarını değerlendirmeyi zorlaştırıyor. Oxford Üniversitesi’nde kuantum fiziği profesörü ve kuantum hesaplamanın öncülerinden biri olan Artur Ekert, “Güvenliği değerlendirmek genellikle bir kedi-fare oyunudur” diyor. “Kafes tabanlı şifreleme, matematiksel açıdan çok zarif, ancak güvenliğini değerlendirmek gerçekten zor.”
Bu NIST destekli algoritmaları geliştiren araştırmacılar, bir kuantum bilgisayarının bir sorunu çözmesinin ne kadar süreceğini etkili bir şekilde simüle edebildiklerini söylüyorlar. CRYSTALS-Dilithium algoritmasına katkıda bulunan bir IBM araştırmacısı olan Vadim Lyubashevsky, “Bir kuantum programı yazmak ve çalışma süresinin ne olacağını bilmek için bir kuantum bilgisayara ihtiyacınız yok” diyor. Ancak gelecekte araştırmacılar tarafından hangi yeni kuantum algoritmalarının hazırlanabileceğini kimse bilmiyor.
Gerçekten de, kısa listeye kalan NIST finalistlerinden biri – Rainbow adlı yapılandırılmış bir kafes algoritması – IBM araştırmacısı Ward Beullens “Breaking Rainbow Bir Hafta Sonunu Dizüstü Bilgisayarda Sürüyor” Young, NIST’in duyurularının, kod kırıcıların dikkatini, tüm projeyi baltalayabilecek yapılandırılmış kafeslere odaklayacağını savunuyor.
Ekert ayrıca güvenlik ve verimlilik arasında dikkatli bir denge olduğunu söylüyor: Temel olarak, şifreleme anahtarınızı daha uzun yaparsanız, kırılması daha zor olacak, ancak aynı zamanda daha fazla bilgi işlem gücü gerektirecektir. Kuantum sonrası kriptografi, RSA kadar geniş bir alana yayılırsa, bu önemli bir çevresel etki anlamına gelebilir.
Young, NIST’i biraz “safça” düşünmekle suçlarken, Ekert “daha ayrıntılı bir güvenlik analizinin gerekli olduğuna” inanıyor. Dünyada bu analizi yapmak için gereken birleşik kuantum ve kriptografi uzmanlığına sahip sadece bir avuç insan var.
Önümüzdeki iki yıl içinde NIST, taslak standartlar yayınlayacak, yorumları davet edecek ve dünya çapında benimsenmesini umduğu yeni kuantum geçirmez şifreleme biçimlerini sonlandıracak. Bundan sonra, Moody, önceki uygulamalara dayanarak, şirketlerin bunları geniş çapta uygulamalarının 10 ila 15 yıl sürebileceğini, ancak verilerinin şu anda savunmasız olabileceğini düşünüyor. El Kaafarani, “Şimdi başlamalıyız” diyor. “Tıbbi kayıtlarımızı, fikri mülkiyetimizi veya kişisel bilgilerimizi korumak istiyorsak elimizdeki tek seçenek bu.”