Siber güvenlik uzmanları arasında kuantum bilişimine ilişkin uzun süredir devam eden ve yaygın olan endişe, bu sistemlerin nihayetinde klasik RSA şifrelemesini kırmak için yeterli işlem gücüne ulaşacaklarıdır. Bu olasılık, otuz yıl önce Shor’un algoritmasıbugünün kuantum bilgisayarlarının yalnızca saldırı için potansiyel platformlar olmayıp aynı zamanda hedef olarak da savunmasız oldukları göz ardı edilen riski hâlâ gölgede bırakıyor.
Bir çift araştırmacı, güçlü bir ihtiyaç üzerinde odaklanmanın, kuantum sonrası kriptografi (PQC)kritik bir konu olmakla birlikte, kuantum hesaplama sistemlerinin kendilerinin siber saldırılardan kaynaklanan riskini gölgelememelidir. Gelecek ayki Black Hat ABD 2024 Las Vegas’taki konferansta, Bitdefender’da kıdemli güvenlik araştırmacısı olan Adrian Colesa ve Transilvania Quantum’un kurucu ortağı yazılım mühendisi Sorin Bolos, kuantum güvenlik açığının risklerini ve gerçek dünyadaki etkilerini tartışacak.
Kuantum Sonrası Hesaplama Platformlarına Yönelik Riskin Değerlendirilmesi
Bolos ve Colesa, bir beyaz bültenin bulgularını sunacaklar oturum, “Silahlardan Hedeflere: Kuantum Bilgisayarlar Paradoksu” başlıklı yazımız 8 Ağustos Perşembe günü yayınlanacak.
“İnsanlar kuantum bilgisayarları ve güvenliği bir arada düşündüklerinde, çoğu zaman Shor’un algoritmasını ve yeterince iyi bir kuantum bilgisayarınız varsa, Shor’un algoritmasını sayıları çarpanlarına ayırmak ve kriptografiyi kırmak için kullanabileceğiniz gerçeğini düşünürler,” diyor Bolos. “Ama biz bunu tersine çevirdik ve şöyle dedik: ‘Kuantum bilgisayarların kendileri ne olacak? Ne kadar güvenliler? Onlara saldırır mıydınız?'”
Romanya merkezli, açık kaynaklı kuantum hesaplama platformu Uranium’u oluşturan bir girişim şirketi olarak kuantum algoritmalarının prototiplenmesiBolos, Transilvania Quantum’un güvenlik risklerini araştırmasını istedi kuantum hesaplama altyapısı“Sadece kuantum konusunda uzmanlığımız olduğu ve siber güvenlik konusunda uzmanlığımız olmadığı için Bitdefender’a yöneldik” diyor.
Geçtiğimiz Ekim ayında, iki araştırmacı sırasıyla tamamlayıcı siber güvenlik ve kuantum hesaplama uzmanlıklarını kullanmaya başladı. Transilvania, özellikle IBM ve IonQ tarafından sağlanan kuantum bilgisayarlara ve Qiskit gibi kuantum yazılım geliştirme kitlerine saldırmaya odaklandı.
Uç nokta koruması, bulut ve yönetilen siber güvenlik araçları sağlayıcısı olan Bitdefender, Transilvania’nın odak noktası olan PQC ile ilgili kuantum konusunda bir miktar uzmanlığa sahipti.
Colesa, “Bitdefender ekibi, klasik saldırı vektörlerini, örneğin bir son kullanıcının sistemine saldırmayı veya kuantum geliştirme yazılımının bir saldırgan tarafından bozulabileceğini araştırdı ve ardından kuantum bilgisayarlara erişim sağlayan bulut hizmetlerine nasıl saldırılabileceğini inceledi” diye açıklıyor.
Qubit’lerde Zayıflıkları Bulma ve Daha Fazlası
Bolos, klasik bilgi işlem ortamlarındaki bitlerin kuantum hesaplama eşdeğeri olan kuantum bitlerinin veya kübitlerin kusurlarını araştırdıklarını söylüyor. Araştırmaları, istenmeyen etkileşimlerin potansiyelini, anında enjeksiyonlara karşı duyarlılığı ve geleneksel bilgi işlem ortamlarında yaygın olan diğer saldırı yüzeylerini inceledi.
Bolos, “Saldırıları kuantum dünyasına uyarladık ve deneylerimizi yaptık” diyor.
Bolos’a göre kuantum bilişim yeteneğini kullanan kuruluşlar şu anda buna kuantum servis sağlayıcıları aracılığıyla erişiyor. Bu servis sağlayıcıların, Microsoft Azure veya Amazon Web Services gibi bulut servislerinde barındırılan entegre platformlar olduğunu veya kendi kuantum bulutlarını barındıran şirketler olduğunu söylüyor.
Son yıllarda, derin ceplere sahip kuruluşlar, kuantum bilişiminin, en güçlü klasik sistemlerin bile yeteneklerinin ötesinde karmaşık hesaplama iş yüklerini işlemelerine nasıl yardımcı olabileceği konusunda araştırmalar yapmaya başladılar.
Bunlar arasında Amgen gibi ilaç keşfi ve tıbbi araştırma alanında olanlar da var. Cleveland KliniğiMerck ve Johnson & Johnson. Ayrıca, Bank of America, JP Morgan Chase ve Wells Fargo dahil olmak üzere dünyanın en büyük finansal hizmet sağlayıcılarının çoğu, klasik bilgi işlem teknolojileriyle elde edilemeyen finansal modeller yaratmayı amaçlayan araştırma girişimleri kurmuştur. Bunların hepsi siber suçlular için zengin hedefler sunabilir.
Ancak iki araştırmacı, bu tür kuruluşların ilaç keşifleri veya finansal modeller gibi yeni buluşlarla rakiplerini geride bırakmayı amaçladıkları için güvenliğin genellikle ikinci planda kaldığını belirtiyor.
Colesa, araştırmayı bir saldırganın kuantum bilgisayarını hedef almasının dört yoluna böldüklerini söylüyor:
-
Klasik sistemlerden kuantum bilgisayarlara yönelik saldırılar başlatıldı;
-
Kuantum işlem birimini (QPU) manipüle eden saldırılar;
-
Kuantum bileşenlerinin kullanılarak bir QPU’ya saldırılması;
-
Ve RSA ile şifrelenen verilere saldırılar.
Kuantum hesaplama sistemlerinde buldukları güvenlik açıklarının birçoğu klasik hesaplama ortamlarının özelliklerini taşıyor, yani benzer uygulamalar gerektiriyor.
“Örneğin, yazılım geliştirme kitinin (SDK) güvenilir bir kaynaktan gelip gelmediğini kontrol etmek veya derlenmiş bir [the quantum equivalent of compiled] Colesa, “Kuantum bilgisayarına gönderilmesi gereken şey tam olarak devredir” diyor.
Kuantum bilgisayarların kapasitesi 1.000 kübitin ötesine doğru büyümeye devam ettikçe Bolos, sağlayıcıların hata düzeltmeye (yani bir organizasyon için riskin temel nedenlerini belirleme sürecine) odaklanmaları gerektiği konusunda uyarıyor.
“Hatalar ya birileri tarafından enjekte edilebilir ya da doğal olarak çevreden gelebilir,” diyor. “Hata düzeltme, kötü niyetli kullanıcılara karşı korunmanın temel yönlerinden biridir.”