[ This article was originally published here ]
Kuantum bilgisayarlar kriptografi kurallarını değiştiriyor
Veri Şifreleme kapsamında, CISA Sıfır Güven Olgunluk Modeli v2.0, “kriptografik çevikliğin” kritikliğini üçüncü (dört olgunluk düzeyi arasında) olarak belirtmektedir. Kriptografik çeviklik, uygulamalarda ve iletişim kanallarında temel şifreleme algoritmalarını değiştirme yeteneğidir. Bunun, kuruluşların şifreleme algoritmalarını kuantum sonrası şifreleme dünyasına taşıyabilmelerinin önemini vurguladığına inanıyorum. Kuantum hesaplama yaygınlaştıkça, güçlü şifrelemeyi kırma yeteneği zayıflıyor.
Ağustos 2016’da NIST, Açık Anahtar Kuantum Sonrası Şifreleme (PQC) Algoritmalarına yönelik adaylıkların sunulmasına ilişkin gereksinimler ve kriterler hakkında yorum yapılması için bir talep yayınladı. Bu, PQC arayışının 7 yıl önce başladığı anlamına geliyor. 2024 yılında bunun kesinleşmesi bekleniyor. Ancak kuruluşların buna hazırlanmak için şimdi atması gereken adımlar var. PQC’nin neden bu kadar önemli olduğunu anlamak için açık anahtar şifrelemesinin gelişimini takip etmek önemlidir.
Açık anahtar şifrelemesi
Genel anahtar şifrelemesi, İnternet gibi güvenli bağlantılara izin veren şeydir. Bu güvenli bağlantılar olmasaydı çevrimiçi bankacılık, alışveriş veya özel mesajlaşma olmazdı. Açık anahtarlı şifreleme, günümüz teknolojisiyle esasen kırılmaz olan algoritmalara dayanır.
Bu her zaman böyle değildi. Bilgisayarların giderek güçlenmesi nedeniyle, eski algoritmalar kaba kuvvet saldırılarına karşı daha duyarlı hale geldi. Örneğin, RC5-64, 2002 teknolojisi kullanılarak (esasen Windows NT çalıştıran bir Intel Pentium II’dir) kişisel bilgisayar döngüleri bağışlayan bir grup insanla 5 yıldan kısa bir süre içinde kırıldı. Mevcut teknoloji ile 2002’yi karşılaştırdığımızda, bir bulut hizmetinden kiralama da dahil olmak üzere o kadar çok işlem gücü harcayabiliyoruz ki, bu karşılaştırma bağlantısından otomatik olarak oluşturulan özet hayret verici:
“Tek çekirdekte fark %8100. Çoklu çekirdekte ise boşluk açısından fark %42425 oluyor.”
SSL’den TLS1.0’a geçmemizin ve TLS1.3’e ilerlemeye devam etmemizin nedenlerinden biri de budur. Eski eski algoritmalar kullanımdan kaldırılmıştır ve artık kullanılmamaktadır.
Genel anahtar şifrelemesi yalnızca SSL/TLS için web sunucularında kullanılmaz. E-postanın, SSH/SFTP bağlantılarının, dijital imzaların, Kripto para birimlerinin ve Microsoft Active Directory dahil PKI’nın (Genel Anahtar Altyapısı) kullanıldığı her yerde güvenliği sağlamak için kullanılırlar. Eğer mevcut algoritmalar kaba kuvvet saldırısı yoluyla ihlal edilebilirse, İnternet çökebilir ve bu durum küresel ekonomi üzerinde yıkıcı bir etkiye sahip olabilir ve hatta askeri iletişimin etkinliğini azaltabilir.
Neyse ki, mevcut birçok “klasik” teknolojiyle, algoritmalara daha fazla bit ekleyerek algoritmaları daha zor hale getirebildik ve bu da zamanla kaba kuvvet saldırılarını daha da zorlaştırdı. Örneğin, SHA-2 224’ten 256’ya, 384’ten 512’ye kadar çıktı ve daha sonra büyük ölçüde aynı sayıda bit ile daha güvenli olan SHA-3 ile değiştirildi. En azından kuantum hesaplamanın bu eski algoritmaları kırmanın yeni ve uygulanabilir bir yolu haline gelmesinden önceki yol buydu.
Kuantum bilgisayar nedir?
Diffie-Hellman anahtar değişimi, RSA (Rivest-Shamir-Adleman) şifreleme sistemi ve günümüzde kullanımda olan eliptik eğri şifreleme sistemlerine aşina olabilirsiniz. Bunların güvenliği, Tamsayı Çarpanlara Alma veya Ayrık Log Problemi gibi belirli sayı teorik problemlerinin çeşitli gruplar üzerindeki zorluğuna bağlıdır.
1994 yılında Shor’un bu teknolojilerin her birini verimli bir şekilde çözebilecek algoritması geliştirildi. Ancak bu algoritma tamamen farklı bir mimariye dayanıyordu: kuantum bilgisayarları. Son 29 yılda, çalışmalar yalnızca yeni kuantum algoritmaları oluşturmak için değil, aynı zamanda bunları çalıştıracak gerçek donanımlar oluşturmak için de ilerledi (ilk kuantum bilgisayarlar, klasik bilgisayarlar kullanılarak taklit edilmişti ve çok yavaştı). Google yakın zamanda 70 kübitlik bir kuantum bilgisayar geliştirdi. Bir kübit, klasik bilgisayar 1’leri ve 0’larının kuantum bilgisayardaki eşdeğeridir ve daha fazla kübit, daha güçlü bir sistem anlamına gelir. Sycamore Kuantum Bilgisayarı adı verilen bu Google sistemi, karmaşık bir kıyaslamayı birkaç saniye içinde çözebiliyor. Hewlett Packard’ın Frontier adlı dünyanın mevcut en hızlı klasik süper bilgisayarının aynı standartta 47 yıl çalışması gerekecek.
Bu son derece spesifik bir test olmasına rağmen “kuantum üstünlüğünü” gösterdi: kuantum bilgisayarları klasik bilgi işlem sistemlerini geride bırakabilir. Bu bilgisayarların pahalı olmasından endişe duymuyorsanız, bulut sağlayıcılarının halihazırda kullanabileceğiniz teklifleri olduğunu bilin: Azure Quantum, IBM ve AWS Braket, saati 100 doların altında bir fiyata kiralamanıza olanak tanıyor. Google Kuantum Bilgi İşlem Hizmeti, yalnızca onaylanmış bir listeden erişime izin veriyor gibi görünüyor, (henüz) halka erişim vermiyor. Son zamanlarda. 2 kübitlik bir kuantum bilgisayar olan Gemini Mine, yaklaşık 5.000 $ karşılığında doğrudan satın alınabilecek hale geldi. Bu güçlü bir makine değil ancak kötü amaçlı kuantum yazılımlarını görünmez bir şekilde geliştirmek ve test etmek için kullanılabilir.
Ancak gelecek belli: Kuantum hesaplama mevcut kriptografik algoritmaları bozuyor.
PQC nedir ve neden kullanmam gerekiyor?
Kuantum Sonrası Kriptografi (PQC), hem klasik hem de kuantum bilgisayarlara direnecek algoritmalara dayanmaktadır. Mevcut algoritmalar PQC olmadığından kötü aktörler tarafından hedef alınacak ve bunları kullanan hiçbir şey artık etkili bir şekilde şifrelenmeyecektir.
Kuantum bilgisayarlar henüz başlangıç aşamasındayken, arkanıza yaslanıp yaygınlaşmaya başladıklarında, risk yeterince yüksek hale geldiğinde basitçe bir PQC algoritmasına geçebileceğinizi düşünebilirsiniz. Ancak mümkün olan en kısa sürede bir PQC’ye geçme ihtiyacı vardır: İnternet aktarımları gibi şifrelenmiş veriler saklanabilir ve daha sonra şifresi çözülebilir. Kuruluşlar, mevcut şifreleme algoritmalarını kullanan her şeyin açık metin olarak değerlendirilmesi gerektiğini varsaymalıdır.
PQC’yi kullanmak, kumda bir çizgi oluşturacaktır: İletimler kaydedilse veya şifrelenmiş sürücüler çalınsa bile, kuantum bilgisayarlar veya klasik süper bilgisayarlar tarafından şifreleri çözülemeyecektir. Yedeklemeler eski algoritmalar kullanılarak mı yapılıyor? Bunların açık metin olduğunu varsayalım ve silin. İnternet üzerinden gönderilen herhangi bir sır var mı? Artık kamu malı olduklarını varsayalım.
Hükümetlerin uzun süredir yalıtılmış iletişim kanalları olmasına ve dolayısıyla şifreli iletişimlerin bile fark edilmesi zor olmasına rağmen, çoğu özel kuruluş bunu yapmaz ve mümkün olan en kısa sürede PQC’ye geçmek için çabalamalıdır.
NIST IR 8105’teki Tablo 1, en popüler şifreleme algoritmalarını ve kuantum bilgisayarların bunlar üzerindeki etkisini göstermektedir.
NOT: Bu Nisan 2016’da yayınlanmıştır.
Kuruluşum nasıl hazırlanmalı?
Her ne kadar 2024 yılına kadar bir PQC algoritması beklenmese de kuruluşlar, geçişi hızlı bir süreç haline getirmek için hazırlıklı olmalı ve adımlar atmalıdır:
- Şu anda kullanımda olan tüm şifreleme algoritmalarının envanterini çıkarın.
- Hangi sistemler kullanılıyor?
- Bu veriler duruyor mu yoksa iletim halinde mi?
- Bu envantere öncelik verin, böylece kuruluşunuzun bunu uygulaması gerektiğinde, internete yönelik sistemler veya en hassas verilerinizi barındıran sistemler gibi yüksek riskli kaynakların ilk olarak ele alınması sağlanır.
- Her sistem türü için, kullanımdaki algoritmayı değiştirmek için gereken süreci belgeleyin.
- Anahtar uzunluğunu artırmamız mı (AES ve SHA2 veya SHA-3) yoksa algoritmayı tamamen değiştirmemiz mi gerekiyor (RSA, ECDSA, ECDH, DSA)
- Sistem güncellemeleri veya PQC algoritması kurulumu
- Yapılandırma dosyası değişikliği
- Temel hizmetlerin yeniden başlatılması
- Hangi algoritmanın kullanılacağı konusunda pazarlık yaparken sistemler arasında PQC algoritmalarının tercih edilmesini/önceliklendirilmesini sağlamaya yönelik test süreci.
- Tedarik zincirinizi gözden geçirin ve nerede PQC sunmak için üçüncü taraflara ihtiyaç duyduğunuzu anlayın.
- Örneğin, muhasebe yazılımı SaaS çalıştırıyorsanız, iş istasyonunuzdan ona güvenli bir şekilde bağlanabilmek istiyorsunuz. PQC’yi desteklemek için bu SaaS’a güveniyorsunuz ve bunu mümkün olan en kısa sürede istemelisiniz. Risk profiline bağlı olarak, bunun gerçekleşmesini sağlamak için herhangi bir sözleşme müzakeresinde bunu ele almak isteyebilirsiniz.
Bu hazırlık adımları ya normal yönetişim süreçlerinize eklenmeli ya da proje haline getirilmelidir. Dahili kaynakları kullanıp kullanamayacağınıza veya yardım için AT&T Siber Güvenlik gibi bir üçüncü taraftan yardım almanız gerekip gerekmediğine karar verin. Her durumda, bunun benim radarımda olduğu gibi sizin de radarınızda olduğundan emin olun. Kuantum sonrası kriptografik algoritmalar kullanılabilir hale geldiğinde, tüm kuruluşların bunları uygulamaya koyması gerekiyor.
Daha fazla bilgi edinmek için kaynaklar:
DHS: Kuantum Sonrası Kriptografi Bilgi Grafiği için Hazırlık (dhs.gov)
NIST: Kuantum Sonrası Şifreleme Raporu (nist.gov)
CISA: Kuantum Hazırlığı: Kuantum Sonrası Kriptografiye Geçiş (cisa.gov)
NSA: Ticari Ulusal Güvenlik Algoritma Paketi 2.0 ve Kuantum Bilgi İşlem SSS (defense.gov)
Reklam