Bu Help Net Security röportajında, Cryptomathic Anahtar Yönetimi Direktörü Glen Leonhard, kuantum hesaplamanın oluşturduğu riskleri azaltmada kriptografik çevikliğin rolünü tartışıyor. Kriptografik çeviklik, kuruluşların mevcut sistemleri aksatmadan kuantum sonrası algoritmalara sorunsuz bir şekilde geçiş yapmasını sağlar.
Leonhard ayrıca yeni güvenlik açıklarına, düzenlemelere ve endüstri standartlarına uyum sağlamadaki daha geniş rolünü de vurguluyor.
Kuantum hesaplamanın ortaya çıkışıyla birlikte kriptografik çeviklik, potansiyel güvenlik risklerini azaltmada nasıl bir rol oynuyor?
Kuantum hesaplama, RSA ve ECC gibi yaygın olarak kullanılan kriptografik algoritmalar için önemli bir tehdit oluşturuyor ve kuruluşların muhtemelen kuantum dirençli algoritmalara geçişi planlamak için önlemler almasını gerektiriyor. Burada kriptografik çeviklik, sistem altyapısında veya uygulamalarda kayda değer bir değişiklik olmadan kriptografik algoritmaların ve parametrelerin değiştirilmesine olanak tanıdığından önemli bir rol oynar.
Bu, bir kuruluşun, iş genelinde büyük kesintilere yol açmadan PQC tabanlı algoritmalara geçmesine olanak tanır. Ancak kriptografik çevikliğin faydası, kuantum bilişimin tehditlerinin ötesine geçer; çünkü kuruluşların, belirlenen güvenlik açıklarına, yeni standartlara ve düzenlemelere veya güncellenmiş en iyi uygulamalara dayalı olarak gelişen tehdit ortamına uyum sağlamasına olanak tanır.
Algoritmaların başarısız olduğunu ve parametrelerin zamanla değiştiğini gördüğümüz için kriptografik çevikliğe duyulan ihtiyaç yeni değil:
- RC4, SHA 1, DES
- RSA 768 ila 1024 ila 2048 ila 3072 bit
- Diffie-Hellman parametreleri minimum 3000 bit’e kadar
- EC parametrelerine Edwards Eğrileri eklendi
Özellikle kuantum hesaplama ve PQC’ye bakıldığında tek bir algoritma olmayacak. NIST şimdiye kadar PQC Anahtar Kurulum Mekanizması (KEM) ve Dijital İmza algoritmaları için ilk standartları yayınladı, ancak devam eden KEM rekabeti ve ek dijital imza şemaları (kısa imzalara ve hızlı doğrulamaya odaklanmak için) çağrısıyla birlikte daha fazla standart gelecek. Buna ek olarak, tavsiyelerin ulusal programlardan saptığını görüyoruz; örneğin CNSA 2.0 talimatı ile Avrupa’daki tavsiyeler (BSI, ANSSI).
Bu nedenle, kriptografik çeviklik, güvenli iletişim, veri koruma ve/veya mevzuat uyumluluğuna dayanan herhangi bir kuruluşun veya endüstrinin omurgası olarak görülmelidir; çünkü bu, uzun vadeli güvenlik sağlayan ve geleceğe hazır bir siber güvenlik altyapısı oluşturmanın anahtarıdır. esneklik.
İşletmelerin kriptografik çevikliği uygularken genellikle karşılaştığı teknik ve organizasyonel zorluklar nelerdir?
Bir kuruluşta kriptografik çevikliğin uygulanmasıyla ilgili çeşitli organizasyonel zorluklar vardır. Her şeyden önce, işletmenin (liderler ve karar vericiler) kriptografik çevikliğin değerini ve önemini anlaması çok önemlidir, çünkü güvenliği sağlamak için inisiyatif almaları gerekecektir. organizasyonel destek ve finansman. Siber güvenlik altyapısı genellikle bir kuruluş içindeki birden fazla ekip ve projeye yayıldığı için, kriptografik çevikliğin uygulanmasına ilişkin sorumluluğun bireysel silolanmış projelere ve ekiplere verilmesi başarı şansını azaltacaktır.
Organizasyonel destek ve finansman sağlandıktan sonra, ihtiyaç kriptografi ve kriptografik çeviklik uzmanları Projeyi yönlendirmek önemlidir ve bu da organizasyonun kendi içindeki bir boşluğun altını çizebilir. Projeyi yürütmek için gerekli uzmanlığa sahip olmamak, yetersiz uygulama riskini artırır.
Ve son olarak, temel siber güvenlik altyapısının farklı bölümleri şunlara bağlı olabilir: satıcıya özel çözümlerproje kapsamına dahil edilmesi gerekebilir.
İşin teknik yönüne baktığımızda, bir kuruluşun bir kurumsal yapıyı belirlemesi ve oluşturması için ilk engel olacaktır. kriptografik varlıklarının envanteri (anahtarlar, algoritmalar, protokoller,…) – aynı zamanda CBOM (Kriptografi Malzeme Listesi) olarak da anılır. Bu, özellikle kriptografi kullanımının yüzlerce projeye veya ekibe yayıldığı ve genellikle bu projelerin her birine yerleştirilen varlıkların sahipliğinin söz konusu olduğu büyük kurumsal kuruluşlar için zorlayıcı olabilir.
Kriptografik çeviklik, akıcı ve sağlam olmayı gerektirir anahtar yönetimi Anahtarların güvenli bir şekilde döndürülmesini, iptal edilmesini veya değiştirilmesini sağlayan uygulamalar. Ancak birçok kuruluş, anahtar yönetiminin yetersiz olmasıyla mücadele ediyor, bu da anahtarların güncellenmesini veya değiştirilmesini çok zor ve hataya açık hale getiriyor.
Kuruluşlar ve endüstriler şunlara bağlı olabilir: eski sistemlereski standartlara dayalı olarak sabit kodlanmış şifreleme algoritmaları ve hatta anahtarlar kullanıyor. Bu sistemlerin güncellenmesi çok karmaşık ve maliyetli olabilir ve diğer bağımlı sistemleri de etkileyebilir.
Şirketler kriptografik çevikliği uygulamanın maliyetini uzun vadeli faydalarla nasıl dengeleyebilir? Bu dengeyi sağlamanın zor olduğu endüstriler var mı?
Kriptografik çevikliği uygulamanın maliyetini uzun vadeli faydalarıyla dengelemek stratejik bir yaklaşım gerektirir.
Risk ve maliyet – İlk adım, kriptografik güvenlik açıklarıyla ilişkili riski açıklayan bir risk değerlendirmesi yapmaktır; çünkü bu, ilgili maliyetin gerekçelendirilmesine yardımcı olacaktır.
Aşamalı yaklaşım – Risk değerlendirmesine ve kuruluş içindeki bireysel sistemlerin kritikliğine bağlı olarak, başlangıçta en kritik sistemlere odaklanarak ve daha sonra bunu siber güvenlik altyapısının geri kalanına yayarak, kademeli olarak kriptografik çevikliğin kullanıma sunulmasını tanımlamalıdırlar.
Satıcıya bağımlı olmaktan kaçının – Uygulamanın satıcıya bağımlı kalmanın önüne geçmesi önemlidir çünkü bu, gelecekte başka bir satıcıya geçişle ilgili maliyetlere yol açabilir. Örnek olarak, altyapının belirli HSM’lere sıkı sıkıya bağlı olması durumunda, bu durum size gelecekte gerekli yetenekleri sağlayamayabilir.
İlk yatırım yüksek olsa da, uzun vadeli faydalar ve potansiyel tasarruflar maliyetleri haklı çıkarmalıdır:
- Gelişmiş güvenlik – Kriptografik varlıklarınızın kontrolü ve görünürlüğü. Kriptografik güvenlik açıklarından kaynaklanan potansiyel veri ihlallerini önleyin.
- Uyumluluk güvencesi – Mevzuat değişikliklerine kolayca uyum sağlayın.
- Geleceğe hazır altyapı – Gelecekteki güvenlik açıklarını ve tehditleri ele alın ve böylece potansiyel yıkıcı arıza ve kesintileri önleyin.
Bir kuruluşun kriptografik varlıklarını yönetmek için daha merkezi bir yaklaşım benimsemek ek tasarruflara yol açacaktır:
- Personel ve özel yetenek gereksinimlerinin azaltılması.
- Denetimlerden geçmek için gereken zaman ve çaba azalır.
- Hizmet olarak HSM’nin kurulması, genel kullanımı ve dolayısıyla yatırım getirisini artırarak HSM sayısını azaltacaktır.
Ancak bazı endüstriler için denge diğerlerine göre daha yanıltıcı olabilir; sadece birkaçını belirtmek gerekirse:
Finans sektörü – Finansal kurumlar ve bankalar düzenlemelere sıkı sıkıya bağlıdır ve belirli kriptografik standartların kullanımına yönelik katı gerekliliklere uymak zorundadır. Ayrıca bu kurumların onlarca yıl önce oluşturulmuş eski sistemlere bağlı olduğunu da sıklıkla göreceksiniz; bunların yükseltilmesi çok maliyetli olacak ve büyük olasılıkla kriptografik çevikliği desteklemek için tam bir revizyon gerektirecektir.
Otomotiv – Araç üreticileri için, araçlardaki kriptografik sistemlerin olası 15-20 yıllık kullanım ömrü boyunca güvenli kalmasını sağlamak önemli bir zorluktur. Ayrıca, ECU’ların ve diğer sistemlerin birçok farklı tedarikçi tarafından sağlandığı karmaşık tedarik zincirinin doğası, ilgili kriptografik varlıkların birleştirilmesini ve yönetilmesini zorlaştırmaktadır.
Kritik altyapı (kamu hizmeti ve güç sistemleri) – Bu tür sistemler eski sistemlere ve protokollere dayanır. Endüstriyel süreçleri izlemek ve kontrol etmek için kullanılan endüstriyel kontrol sistemleri (ICS), modern şifreleme algoritmalarını destekleyecek şekilde tasarlanmamıştır. Bu sistemleri hizmet kesintisi olmadan güncellemek büyük bir zorluk olacaktır.
Algoritma esnekliğinin kriptografik çeviklikte oynadığı rol nedir ve kuruluşlar ihtiyaç duyulduğunda algoritmaları sorunsuz bir şekilde değiştirebilmelerini nasıl sağlayabilirler?
Algoritma esnekliği, gerçek anlamda kriptografik çevik olmanın temel yönlerinden biridir; çünkü bu, değişikliklerin bunları kullanan sistemlere veya uygulamalara şeffaf bir şekilde uygulanmasına olanak tanır.
Kriptografiyi kullanan birçok mevcut uygulama ve sistemde ne yazık ki hala belirli algoritmalara ve potansiyel sabit kodlanmış ilkellere karşı güçlü bir bağımlılık görüyoruz. Bir uygulama içindeki algoritmalar arasında sorunsuz bir şekilde geçiş yapabilmemizi sağlamak için kriptografinin uygulama mantığından tamamen ayrılması önemlidir.
Bu, kriptografik anahtarların ve algoritmaların kapsüllenmesi ve bunların uygulamayı doğrudan etkilemeden değiştirilebilmesinin sağlanmasıyla başarılabilir. Bu, kriptografik sağlayıcıların veya kütüphanelerin yerel olarak değiştirilmesini sağlayarak veya kriptografik ayrıntıları soyutlayan uzak kriptografik hizmetlere erişim sağlayarak yapılabilir.
Kriptografik varlıkları ve ilgili politikaları yönetebilen merkezi bir sistem, kriptografinin tüm sistem ve uygulamalarda nasıl kullanıldığını sürekli olarak izlemeye ve kontrol etmeye önemli ölçüde yardımcı olur. Bu, bir kuruluşun, anahtarların ve algoritmaların kontrol edildiği ve her uygulama için uyarlandığı kriptografik hizmetler oluşturmasını sağlayacaktır.
Kuruluşlar, altyapılarını aşırı karmaşıklaştırma tuzağına düşmeden şifreleme sistemlerini geleceğe nasıl hazırlayabilirler?
Bir kuruluşun siber güvenlik altyapısını geleceğe hazırlarken en önemli husus, yeni güvenlik önlemlerini uygulamaya koyarken aynı zamanda basitliği korumak arasında bir denge sağlamaktır. Aksi takdirde altyapının aşırı karmaşık hale gelmesi riski vardır ve bu da karmaşık iş akışına ve genel verimsizliklere yol açabilir.
Bunu başarmak için, kriptografik varlıklarınızın (anahtarlar, algoritmalar vb.) korunmasına yardımcı olacak merkezi sistemler kurmanız önemle tavsiye edilir. Çünkü bu sistemler siber güvenlik altyapınızın omurgasını oluşturacaktır. Anahtar yönetim sistemleri, kuruluşların anahtar yaşam döngüsü yönetimini basitleştirmesine ve otomatikleştirmesine olanak tanırken aynı zamanda güvenliği de artırır. Bir kuruluş genelinde anahtar ve algoritma kullanımını kontrol etmeye yönelik kriptografik politikaları yönetmeye ve uygulamaya yönelik ek araçlar, siber güvenlik altyapısının yönetimi açısından ek faydalar sağlayacaktır.
Güvenlik önlemlerinin uygulanması daha sonra risk değerlendirmelerine dayalı olarak aşamalı olarak yapılmalıdır. Aşamalı olarak kullanıma sunmanın, bireysel sistemlerin hassasiyetlerine göre kritikliğine göre yapılmasını sağlamak. Burada bir kuruluşun küçük başlaması ama aynı zamanda altyapının iş ihtiyaçlarına göre ölçeklenebilmesini sağlaması özellikle önemlidir.