Kriptografi, kuruluşların bilgi güvenliğinin önemli bir parçasını oluşturur ve hassas verilerin çalınmasını önlemek, alınan verilerin doğru olduğunu doğrulamak ve sistemlere yetkisiz erişimi önlemek için vazgeçilmezdir.
Hollanda’daki matematik ve bilgisayar bilimi ulusal araştırma enstitüsü Dutch Centrum Wiskunde & Informa’daki (CWI) Kriptoloji araştırma grubunda kıdemli araştırmacı olan Marc Stevens, kuantum bilgisayarların yükselişiyle birlikte mevcut kriptografik standartların artık yeterli olmadığını söylüyor.
“Kuantum bilgisayarlar şu anda mevcut kriptografi sistemlerimizi kıracak kadar güçlü olmasa da, gelecekte kırma şansları çok yüksek. Bu nedenle, şirketlerin buna şimdiden hazırlanmaları zorunludur” diyor.
İki geçiş aynı değildir
Hollandalı şirketlere bu konuda yardımcı olmak için AIVD (Hollanda Genel İstihbarat ve Güvenlik Servisi) bir el kitabının geliştirilmesini başlattı. Kuantum kriptografi sonrası geçiş el kitabıve araştırma kuruluşu TNO ve CWI’nin yardımına başvurdu.
Kılavuz, gizliliğe duyarlı veriler veya ticari sırlar gibi şifrelenmiş önemli bilgilerle çalışan Hollanda hükümeti, işletmeler, hayati sektörler ve bilgi kurumları için hazırlanmıştır. Kuruluşlar, riskleri belirlemek ve bir geçiş stratejisi üzerinde çalışmak için somut adımlar atmak için el kitabını kullanabilir.
Stevens, “Tüm kuruluşlar için tek bir strateji yoktur” diyor, “çünkü her kuruluş aynı ilgi alanlarına ve BİT yapısına sahip değildir. Şifrelenmiş bilgiler tür olarak farklılık gösterebileceği gibi gizlilik dereceleri bakımından da farklılık gösterebilir.”
Stevens’ın yeni standartları adlandırmayı tercih ettiği şekliyle şirketlerin “kuantum güvenli kriptografiye” yönelmesinin üç ana nedeni var ve ekliyor: “Mevcut kuantum bilgisayarlar henüz geleneksel kriptografiyi kıracak kadar güçlü olmasa da, mevcut bilgiler artık depolanabilir ve ne zaman olacakları için saklanabilir.”
Buna “şimdi depola, sonra şifresini çöz” denir. Kılavuza göre, şu anda şifrelenmiş verilerin zaten toplandığı konusunda ciddi şüpheler var. Bu, uzun bir saklama süresine sahip verileri içerebilir, ancak devlet sırları potansiyel olarak şu anda ele geçirilebilir.
Stevens, “Bu bilgilerin şifresi bundan yıllar sonra çözülebilirse, bir ülkeyi doğru zamanda stratejik bir şekilde utandırmak için kullanılabilir” diyor.
Ayrıca uzun ömürlü sistemler de risk altındadır. Şu anda geliştirilmekte olan ve uygulanmakta olan bu tür sistemleri ve kritik altyapıları daha sonra kuantum güvenli kriptografiye geçirmek imkansız değilse bile karmaşıktır.
Bunun nedeni, yeni kriptografi standartlarının güçlü donanımlar gerektirmesi ve bu tür sistemlerin mevcut donanımlarını daha sonra değiştirmek o kadar kolay olmayabilir. Stevens, “Örneğin arabaları veya köprüleri ve savakları düşünün” diyor.
Şirketlerin ve kuruluşların yeni standartlara uyum sağlamalarının elzem olmasının son nedeni, geçişin uzun bir süreç olmasıdır.
Stevens, “SHA-1’den SHA-256’ya geçişin kolayca ortalama beş ila 10 yıl sürdüğünü gördük, bu nedenle kuantum güvenli kriptografiye geçişin de en azından bu zaman dilimini alacağını varsayıyoruz” diyor. “Bütün bu süre zarfında, bilgiler şimdi sakla-daha sonra şifresini çöz ilkesine göre toplanabilir ve bu nedenle kuruluşlar aslında zaten risk altındadır.”
Uzun süreç
Kuantum güvenli kriptografi, kuantum bilgisayarlar ne zaman mevcut kriptografiyi kıracak kadar güçlü olursa olsun, gelecekte kriptografik algoritmaların güvenliğini sağlamak için yeni kriptografik standart haline gelmelidir.
“NSA ilk olarak 2016’da kuantum hesaplamanın şifreleme ve güvenlik üzerindeki potansiyel tehlikeleri konusunda uyarıda bulundu, ancak yeni standartlar geliştirmek uzun bir süreç. Gelecek yıl, mevcut ikisinin yerini alacak dört yeni standart çıkacak,” diyor Stevens.
“Bu yeni standartlar, mevcut geleneksel kriptografiden farklı temel matematik ilkelerine dayanıyor. Mevcut şifreleme standartlarında kullanılan matematiksel bileşen problemlerinin iç döngüsel yapılarının, kuantum bilgisayarlar tarafından kırılmasının çok kolay olduğu ortaya çıktı.”
ABD’de, kuruluşların mümkün olan en kısa sürede kuantum güvenli iletişime geçmesini sağlamak için kısa bir süre önce bir yasa çıkarıldı. AIVD, TNO ve CWI, PQC göç el kitabını Hollanda krallık ilişkileri ve dijitalleşmeden sorumlu dışişleri bakanı Alexandra van Huffelen’e sunmuş olsa da, Hollanda’da henüz göçü beraberinde getirecek herhangi bir doğal siyasi hareket yok gibi görünüyor.
Stevens, “Buna endişe verici diyebilirsiniz, ancak Hollanda’da daha çok aşağıdan yukarıya bir yaklaşım görüyoruz” diyor. “Yazdığımız el kitabını, çeşitli bakanlıklardan birkaç teknik kişinin dahil olduğu bir sondaj kurulu grubuna sunduk. Kendi sistemlerini mümkün olan en kısa sürede kuantum-güvenli hale getirmeye istekli oldukları için dahili olarak bir geçiş başlattılar.”
Yeni kriptografik standartlarla ilgili mevcut bilgiler hâlâ sınırlı olsa da, birlikte çalışarak kuruluşlar bilgi ve bilgi alışverişinde bulunarak ve birlikte öğrenerek daha etkili bir şekilde geçiş yapabilir. Stevens, “Ülkemizde daha çok ad hoc işbirlikleri var gibi görünse de, kesinlikle bir hareket var ama bu aşağıdan yukarıya doğru” diye ekliyor.
kriptografik çeviklik
Kılavuz, kuruluşların kuantum güvenli iletişime geçmesine yardımcı olacak üç adımı tanımlar: teşhis, planlama ve uygulama. Stevens, küçük şirketler de dahil olmak üzere her kuruluşun buna hemen şimdi başlaması gerektiğini vurguluyor.
“Her halükarda, bir envanterle başlayın. Kuruluşunuzda sahip olduğunuz ve kullandığınız şeylerle ilgili olarak bu durumun devreye girdiği anda şaşırmayın. Kriptografik çevikliğin güçlü bir savunucusu olan Stevens, risklerinizin ne olduğunu ve neler yapabileceğinizi zaten bildiğinizden emin olun” diyor.
“Şu anda kriptografi ve şifrelemenin, sistemlerin daha derin düzeylerinde inşa edildiğini sık sık görüyoruz. Geçişin bu kadar uzun sürmesinin nedenlerinden biri de bu, çünkü her sistem için neyin var olduğuna ve bunu yeni standarda nasıl taşıyacağınıza bakmanız gerekiyor.
“Sistemlerinizin genel çağrılarla erişebileceği merkezi bir konuma yeni bir kriptografik uygulama yerleştirdiğinizde çok daha çevik olacaksınız. Merkezi bir sistem, yeni standarda geçişi de kolaylaştırır. Kriptografiyi kuruluşunuz içinde merkezileştirmek, herhangi bir şirketin şu anda yapabileceği bir şeydir.”