PQShield’in Kurucusu ve CEO’su Dr. Ali El Kaafarani
5 Temmuz 2022, hassas verileri kuantum bilgisayarlardan gelecek siber saldırılara karşı koruma mücadelesinde önemli bir kilometre taşı oldu.
ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum sonrası kriptografi olarak bilinen ilk kuantuma hazır şifreleme standartları grubunu seçti. Bu kriptografi şemaları, sonunda dünyanın neredeyse tüm hassas bilgilerini korumak için kullanılan mevcut güvenlik şifrelemesini kırma gücüne sahip olacak bir kuantum bilgisayardan gelen saldırılara dayanacak şekilde tasarlanmıştır.
NIST tarafından yönetilen altı yıllık bir çabanın ilk aşamasının doruk noktası olan duyuru, kriptografik topluluktan küresel işbirliğinin meyvelerini sergiledi. İkinci aşama için, tüm algoritmaların sağlam ve kapsamlı bir şekilde test edilmesine izin veren bu çok aşamalı süreçle birlikte, standarda dahil edilmek üzere ek algoritmalar düşünülmektedir. Bu süreç, kriptografik topluluğun zayıf adayları incelemesine ve elemesine zaten izin verdi.
Kuantum tehdidi neden abartılmıyor?
Birçoğu için, şifrelememizi tehdit edecek ölçekte bir kuantum bilgisayar olasılığı çok uzak ve uzak bir gelecekte. Bununla birlikte, 2021’de kuantum teknolojileri için 3,2 milyar dolarlık yatırım ve Çin’in şimdiden geliştirmeye yönelik 10 milyar dolarlık yatırım taahhüt etmesiyle, bunların şifrelemeye yönelik tehdidi artık olup olmayacağı değil, ne zaman olacağı sorusudur.
Kuantum bilgisayarlar, klasik bilgisayarlar için fazla karmaşık sorunları çözmek için kuantum mekaniği yasalarından yararlanan, hızla gelişen bir teknolojidir. Bu yeni hesaplama modeli sayesinde, kuantum bilgisayarlar bugün her yerde kullanılan mevcut tüm açık anahtarlı şifrelemeyi kırabilecek.
Risk, politika yapıcılar için hızla önemli bir endişe kaynağı haline geliyor: Beyaz Saray liderliğindeki G7, yakın zamanda kuantum tehdidini 21. Yüzyıldaki temel zorlukları arasına dahil etti.
Bununla birlikte, risk açısından bakıldığında, ortaya çıkan bu teknolojinin ne kadar hızlı geliştiğinden bağımsız olarak, tehdidi daha da tehlikeli kılan şey, kuantum saldırıları, yani “Şimdi Hasat Edin. Daha Sonra Şifresini Çöz (HNDL), geriye dönük olarak gerçekleştirilebilir. Bu, bir kurumun ‘şimdi hasat et ve sonra şifresini çöz’ saldırısıyla bugün hedeflenebileceği anlamına gelir. Tehdit aktörleri, finansal bilgiler, ulusal güvenlik istihbaratı ve iş ve tüketici verileri dahil olmak üzere sektörler ve düzeyler genelinde şifrelenmiş hassas verileri toplama ve daha sonra bu verileri daha sonraki bir tarihte şifre çözme için depolama yeteneğine sahiptir.
Siber güvenlik topluluğundan acil bir yanıt talep eden bu gerçektir. Güvenlik, riski belirlemek ve azaltmakla ilgilidir: İşletmeler, açığa çıkan şifrelemeyi kuantum sonrası kriptografi ile değiştirmeyi ne kadar uzun süre geciktirirse, açığa çıkan veri miktarı o kadar fazla olacaktır.
NIST standartları işletmeler için ne anlama geliyor?
İşletmelerin, özellikle kritik altyapımızın ve demokratik kurumlarımızın bel bağladığı siber sistemlere yönelik bu yeni ve karmaşık tehdide karşı hazırlanma ihtiyacının giderek daha fazla kabulü var. NIST sürecinin birincil amacı, işletmelerin güvenebilecekleri ve kendilerini bu tehdide karşı savunmak için kullanabilecekleri güçlü bir şifreleme paketi belirlemekti.
Bu yeni standartların yönergeleri ve koruması altında işletmeler, kullandıkları şifrelemenin kuantum güvenli olduğundan emin olarak uzun vadeli siber güvenliğe giden yolu çizebilirler.
Kuantum güvenliğine ulaşma süreci kavram olarak basittir, ancak zorluk uygulamada olacaktır.
İşletmelerin öncelikle kullandıkları şifrelemenin ve konumlarının kapsamlı bir denetimi yoluyla maruz kaldıkları durumu belirlemeleri gerekir. Bu net resimle ve bu yeni standartlarla donanmış olarak, savunmasız şifrelemeyi değiştirmede ilerlemek ve PQC’yi benimsemek için bir yol haritası ve zaman çizelgesi çizebiliriz.
Kuantum sonrası kriptografi için sırada ne var?
Şimdi rehavet zamanı değil. Küresel kuantum sonrası kriptografi topluluğu, bu yeni şemaları ve standartları oluşturmak için yorulmadan çalıştı, ancak şimdi odak noktası, bunları siber güvenlik altyapısı içinde bir an önce benimsemek olmalıdır.
Bu yeni standartlar aynı zamanda kuantum güvenli bir geleceği gerçekleştirmeye yönelik yolculuğun başlangıcını temsil ediyor. İşletmelerin ve hükümetlerin büyüyen ve değişen tehditlere uyum sağlamak için tetikte olması gerektiği gibi, yaklaşan risklerin önünde kalabilmek için sürekli yenilik yapması gereken kriptografi endüstrisi de öyle.
NIST, yeni standartların duyurulmasıyla elde edilen ivmeyi, dördüncü tura dahil edilmek üzere değerlendirilen ek algoritmalarla zaten kullanıyor. NIST’in çabalarının başlangıcından bu yana, çeşitli sistemlerin ve süreçlerin farklı şifreleme yaklaşımları kullandığı kabul edildi. Tüm varyasyonları geliştirmek ve karşılamak için, kriptograflar ve matematikçiler tarafından daha fazla güvenlik incelemesi bizi korumak için çok önemlidir. Kriptografi hiç bitmeyen bir alandır ve mevcut ve gelecekteki tehditlerin bir adım önünde olmak için sürekli yenilik gerektirir.
Yine de, daha fazla araç bulma süreci devam ederken, CISO’lar ve siber güvenlik liderlerinin önümüzdeki yıllarda hedeflerine bu standartların benimsenmesini eklemeleri gerekiyor. Geliştirilmekte olan yeni ürünlere kuantum güvenliğini, satıcı sözleşmelerindeki PQC garantilerini dahil etmeliyiz ve eski altyapı yükseltmeleri, PQC bileşenlerinin kurulumunu içermelidir. Mevcut şifreleme, işin ve yaşamın her alanına nüfuz etmiş ve kuantum sonrası kriptografinin benimsenmesini on yıllardır en büyük siber güvenlik sorunu haline getirmiştir.
Yazar hakkında
Dr Ali El Kaafarani, kuantum güvenli çözümler konusunda uzmanlaşmış bir İngiliz siber güvenlik kuruluşu olan PQShield’ın kurucusu ve CEO’sudur. Oxford Üniversitesi’nin bir ürünü olan PQShield, kuantum sorununa uygun yeni nesil kriptografinin ticari olarak piyasaya sürülmesine öncülük ediyor, ancak şirketlerin eski teknoloji sistemleriyle bütünleşerek onları bugünün ve yarının en büyük tehditlerinden koruyor. Dr El Kaafarani, Oxford Matematik Enstitüsü’nde araştırma görevlisi ve Hewlett-Packard Labs’ta on yıldan fazla akademik ve endüstriyel deneyime sahip eski bir mühendistir. Ayrıca kriptografi topluluğunda lider bir otoritedir.