Kuantum hesaplama dünyamızı yeniden şekillendiriyor ve malzeme bilimi, yaşam bilimleri, ulaşım ve enerji dahil olmak üzere birçok sektörde devrim yaratacak. Google kısa süre önce, günümüzün süper bilgisayarlarının çözmesi yaklaşık 50 yıl gerektiren bir sorunu saniyeler içinde çözerek kuantum bilgisayarların gücünü gösterdi.
Ancak kuantum bilgisayarların karanlık bir tarafı da var. Pek çok uzman önümüzdeki 7 ila 10 yıl içinde kuantum bilgisayarların RSA ve ECC şifrelemesini kıracağını öngörüyor. RSA ve ECC, neredeyse tüm siber güvenlik sistemleri, uygulamaları ve protokollerinin güvenliğini destekleyen genel anahtar şifreleme algoritmalarıdır. Kredi kartı işlemleri, çevrimiçi bankacılık, tıbbi cihazlar, bağlantılı arabalar ve diğer birçok sistem için güvenlik sağlarlar.
Bu sorunu çözmek için bolca zaman var; sonuçta kuantum bilgisayarların bu algoritmaları kırabilmesi için yaklaşık on yılımız var. Yeterince gelişmiş bir kuantum bilgisayarı geliştirildiğinde şirketlerin korunmalarını sağlamak için hazırlıklara başlamaları gerekiyor.
Kuantum sonrası kriptografi (PQC)
Kuantum bilgisayarlar belirli problemlerde yüksek hızlıyken diğer problemleri çözmede nispeten zayıflar. Ancak büyük asal sayıları hızlı bir şekilde çarpanlara ayırabilir ve eliptik eğri ayrık logaritma problemlerini çözerek RSA ve ECC şifrelemesini kırabilirler.
ABD Ulusal Standartlar ve Teknoloji Enstitüsü olan NIST, RSA ve ECC’nin yerini alacak yeni şifreleme algoritmaları oluşturma ve standartlaştırma sürecine liderlik ediyor. Yeni algoritmalar, kuantum veya klasik bilgisayarlar tarafından kolayca kırılamayan matematiksel yaklaşımlara dayanıyor. NIST, kod imzalamaya yönelik iki algoritmayı standartlaştırdı ve Dijital İmza ve KEM’ler/Şifreleme kullanım senaryolarına yönelik 3 yeni PQC algoritması için taslak standartlar yayınladı.
PQC geçişinin aciliyeti
Şirketlerin şimdi PQC’ye geçişlerini planlamaya başlayabilmelerinin birkaç nedeni var. Birincisi, günümüzün genel anahtar şifreleme algoritmalarının değiştirilmesi muazzam bir girişimdir. Güncellenecek öğelerin bu listesi şunları içerir:
- PKI çözümleri
- protokol uygulamaları
- sunucularda, PC’lerde, akıllı telefonlarda ve diğer cihazlarda donanım kripto uygulamaları
- yazılım kripto kütüphaneleri
- bu kripto kitaplıklarını ve donanım hızlandırıcılarını kullanan tüm uygulamalar ve sistemler
PQC’ye geçiş, tedarikçiler ve iş ortaklarıyla önemli planlama, geliştirme, test ve koordinasyon gerektirir.
Şimdi Sakla, Daha Sonra Şifresini Çöz saldırıları
RSA ve ECC’yi kırabilecek bir kuantum bilgisayar mevcut olduğunda, rakiplerin şu anda verileri şifresini çözmek için ele geçirdiğine şüphe yok. Bu saldırılara “Şimdi Sakla, Şifresini Sonra Çöz” veya “Şimdi Hasat Et, Şifresini Sonra Çöz” saldırıları adı verilmektedir. Bu, verileri 2030-2033 zaman diliminin ötesinde güvenli tutulması gereken her kuruluş için son derece gerçek ve güncel bir tehdittir.
Bilgisayar korsanları TLS oturumlarını şimdi kaydedebilir ve daha sonra oturum trafiğini şifrelemek için kullanılan AES anahtarını çıkarmak için RSA veya ECC tabanlı anahtar alışverişini kırabilir. Daha sonra oturum sırasında iletilen verilerin kodunu AES anahtarını kullanarak çözebilirler. Bugün iletilen bilgilerin çoğu 10 yıl sonra değerini yitirecek olsa da bazı bilgilerin veri koruma süresi çok daha uzundur. Kurumsal ticari sırlar, ulusal güvenlik bilgileri ve diğer hassas bilgilerin onlarca yıl boyunca korunması gerekiyor. Bu bilgiler halihazırda kuantum bilişim saldırıları nedeniyle risk altındadır.
CNSA 2.0 gereksinimleri
Artık PQC standartları olgunlaştığı için hükümetler PQC algoritmalarına geçişi zorunlu kılmaya başlıyor. Aralık 2022’de ABD Başkanı Joe Biden, hükümet sistemlerini PQC algoritmalarına taşımak için zaman çizelgelerini zorunlu kılan Kuantum Bilişim Siber Güvenlik Hazırlık Yasasını yasalaştırdı. Eylül 2022’de NSA, Ticari Ulusal Güvenlik Algoritması Paketi 2.0’ı (CNSA 2.0) duyurdu. CNSA 2.0, tüm Ulusal Güvenlik Sistemleri için PQC algoritmalarına geçişin zamanında yapılmasını zorunlu kılarak, ABD hükümetine çözüm satan şirketler için aciliyet yaratıyor. Bu zorunluluklar, birçok sistem ve kullanım senaryosu için PQC algoritmalarının 2025 gibi erken bir tarihte benimsenmesini gerektirmektedir.
PQC geçiş planlaması
Kuruluşların sistemlerini PQC’ye geçirmeye hazırlanarak hemen harekete geçmesi gerekiyor. Göç çok adımlı bir süreç olacak ve tamamlanması birkaç yıl alacak. Üst düzey bir PQC geçiş yol haritası şunları ele alacaktır:
- Eğitim
- Kripto varlıklarının envanteri (uygulamalar, sunucular, kütüphaneler, sertifikalar vb.)
- PQC’ye geçiş yapılacak sistemlerin risk değerlendirmesi ve önceliklendirilmesi
- Dahili sistemler için geçiş planı
- 3. taraf ve satıcı çözümleri için geçiş planı
- Uygulama
- Test yapmak
- Tüm faaliyetler için zaman çizelgeleri
Kripto keşfi ve PQC geçiş planlaması
PQC geçişi yol haritası geliştiren herhangi bir şirket için ilk adımlardan biri, kuruluşlarında kriptografinin nerede ve nasıl kullanıldığına dair bir envanter oluşturmaktır. Her ölçekteki bir kuruluş için bu, ağ trafiğini izleyebilen ve hangi şifreleme algoritmalarının kullanıldığını, bunları kimin kullandığını ve bunların nasıl yapılandırıldığını tespit edebilen bir kripto keşif aracı gerektirir. Kripto envanteri tamamlandıktan sonra şirketler bu sistemleri PQC algoritmalarına nasıl taşıyacaklarını planlamaya başlayabilirler.
Bazı durumlarda şirketlerin PQC algoritmalarına geçişi koordine etmek için iş ortakları ve tedarikçilerle birlikte çalışması gerekir. Kriptografik işleme bir satıcının sistemine entegre edilmişse, bu satıcının PQC’yi destekleyen bir güncelleme veya yeni bir sistem sağlaması gerekecektir. Şirketin RSA veya ECC’yi uygulayan yazılımı sürdürdüğü durumlarda, yeni şifreleme algoritmalarını kendileri güncelleyebilecektir. Bu da elbette yeni algoritmaları destekleyen güncellenmiş şifreleme kitaplıklarının sağlanmasını gerektiriyor.
Bu süreç aynı zamanda dikkatli bir koordinasyon gerektirir. Şifrelenmiş veriler sistemler, işlemler veya uygulamalar arasında paylaşıldığında sistemin her iki ucunun da aynı anda güncellenmesi gerekir.