[By Jerry Derrick, Camelot Secure]
Günümüzde şifreleme, siber güvenlik uygulamalarımızın temel taşıdır. Cep telefonlarından ve SMS mesajlarından finansal işlemlere ve fikri mülkiyete kadar her şeyi korur.
Ancak kuantum hesaplamanın ilerlemesi sayesinde son zamanlarda şifrelemenin karmaşık ortamında yeni bir zorluk ortaya çıktı. Ödüllü siber güvenlik çözümleri sağlayıcısı olarak Camelot, şifrelemeye yönelik bu yeni kuantum bilişim sorununu doğrudan gözümüzün önünde tutuyor. Önünüzde hangi zorluklar var? İşte döküm:
1970’lerde David Deutsch tarafından icat edilen Kuantum Hesaplama (QC), takip eden yıllarda önemli adımlar attı ve karmaşık hesaplama problemlerini çözebilen uygulanabilir bir teknoloji haline geldi. Kuantum mekaniği yasalarına dayanan QC, her şeyin 1 veya 0’a çözümlendiği klasik bilgisayarların kısıtlamalarına bağlı değildir. Bunun yerine QC, neredeyse imkansız soruları yanıtlamak için “çok boyutlu hesaplama alanları” kullanır. Bilim kurgu gibi geliyor ama mevcut bilgi işlem ortamımız için geçerli.
Kuantum Bilişim, günümüzde yaygın olarak kullanılan şifreleme standartlarından bazılarını kırma potansiyeline sahip olduğundan, tüm siber güvenlik çabalarına benzersiz bir zorluk teşkil etmektedir.
Kuruluşlar, hareketsiz veya hareket halindeki verilerini şifrelemek için simetrik veya asimetrik anahtarlar kullanır. Gelişmiş Şifreleme Standardı (AES) gibi simetrik şifreleme, verileri şifrelemek ve şifresini çözmek için tek bir anahtar kullanır. Bunun aksine, asimetrik şifreleme (RSA), verileri şifrelemek ve şifresini çözmek için genel ve özel bir anahtar kullanır. İki kriptografi türü, bit sayılarına (AES genellikle 128 veya 256 bit kullanır ve RSA anahtarları genellikle 1024-2048 bit kullanır) ve anahtar oluşturucunun kullandığı şifre gücüne bağlı olarak sağladıkları güvenlik açısından farklılık gösterir.
QC’nin neredeyse her türlü şifrelemeyi aşma tehdidi nedeniyle 2022’de NIST, QC’nin oluşturduğu doğal riskleri ele almak için birkaç yeni şifreleme anahtarı algoritması tanıttı. Anahtarları oluşturmak için kullanılan algoritmaların artan karmaşıklığı nedeniyle, bunların QC’ye dayanıklı (QCR) olduğu kabul edilir. Yeni şifreleme anahtarları, bugün AES-128 şifrelemesini saniyeler içinde kırabilen Grover Algoritmasının ve QC teknolojisi ilerledikçe RSA şifrelemesini sonunda kırabilecek olan Shor Algoritmasının potansiyel etkisini azaltıyor.
Kısacası, uygun algoritmalar ve şifreleme standartları bizi geleceğin kalite kontrol korsanlarından koruyabilir. Ancak bunları dağıtmak farklı bir konudur.
Günümüzün yaygın QC kullanılabilirliği eksikliği, QCR şifrelemesini çoğu kuruluş için mevcut olmayan bir öncelik haline getiriyor çünkü algılanan hiçbir tehdit anında eylem gerektirmeyecek. Pek çok şirketin BT ve siber güvenlik ekipleri halihazırda maksimum seviyeye itilmiş durumda ve çabalarını (ve bütçelerini) mevcut saldırı yüzeylerini azaltmaya ve hiç bitmeyen alarm akışını temizlemeye odaklama eğilimindeler.
Ancak bu, eylemi geciktirmek için bir neden değil. Kayıtsızlık, özellikle siber güvenlik alanında ihlallere yol açar. Şifreleme yarının tehditlerine uyacak şekilde güncellenmezse kötü niyetli aktörlerin gelecekte QCR olmayan tüm verilerin şifresini çözmesini ne engelleyebilir? IBM, mevcut şifreleme anahtarlarının 2026 gibi erken bir tarihte QC tarafından kırılma ihtimalinin 7’de 1 olduğunu ve bu şansın 2031’de 2’de 1’e fırlayacağını tahmin ediyor. Günümüzün veri şifrelemesi kısa sürede QCR’a dönüştürülmezse, şirketler bunu görebilir. bilgilerinin toplanması veya fidye olarak kullanılması, bir kuruluşun itibarına ve faaliyet gösterme becerisine zarar verir.
Şifrelemenizi yükseltmenin en iyi zamanı, bilgisayar korsanlarının bu yeni araçlarla şifrenizi kırabilmesinden önceki zamandır; söylendiği gibi, bir ons önleme, bir kilo tedaviye bedeldir. Bu önlemenin bir kısmı, tüm önemli verilerin nerede bulunduğunu, kullanıcıların veya sistemlerin bu verilere nasıl eriştiğini ve bunları korumak için kullanılan şifrelemeyi belirlemektir. Kuruluşlarına yeni veri kaynaklarının veya uygulamaların eklenmesini öngören kuruluşlar için planlama ve şifreleme seçim kriterlerinin bir kısmı, QCR şifreleme desteğini içermelidir. Ayrıca şirket içinde kurumsal uygulamalar geliştiren şirketlerin, gelecekte olası sorunları ve yeniden çalışmaları önlemek için DevSecOps işlem hatlarını QCR şifrelemenin entegrasyonunu içerecek şekilde güncellemeleri gerekir.
Jerry Derrick, Camelot Secure’da Mühendislikten Sorumlu Başkan Yardımcısıdır. Şirketin mühendislik bölümünü yönetiyor ve Camelot Secure360 platformunun tasarımından, geliştirilmesinden ve sürdürülmesinden sorumlu. Jerry’nin sorumlulukları arasında ürün yol haritasının yönetimi, araştırma ve geliştirme faaliyetleri ve platformun ve müşteri verilerinin genel güvenliğinin sağlanması da yer alıyor. 20 yılı aşkın bir siber güvenlik mühendisliği deneyimine sahip olan Jerry, Camelot Secure360’ın kuruluşların ortamlarının en son tehditlere karşı güvenli olduğunu bilmelerini sağlamak için insanları, süreçleri ve teknolojiyi birleştirmenin önemini anlıyor ve buna odaklanıyor. Camelot Secure’a katılmadan önce, siber güvenlik verilerinin daha verimli ve etkili analizini kolaylaştıracak araç ve yetenekleri geliştirmek ve dağıtmak için üst düzey askeri ve hükümet siber güvenlik kuruluşlarında çalıştı. Jerry, Amerika Birleşik Devletleri Askeri Akademisi’nden Bilgisayar Bilimleri alanında lisans derecesiyle mezun oldu ve 2023 Sonbaharında Harvard Üniversitesi’nden Liberal Sanatlar, Yayım Çalışmaları (Bilgi Yönetim Sistemleri) Yüksek Lisansıyla mezun olacak.
Reklam