Yazan: Timothy Hollebeek, Endüstri Teknolojisi Stratejisti, DigiCert
Kuantum sonrası kriptografinin (PQC) yükselişi, dijital dünyamızda kriptografinin yaygın doğasına ışık tutuyor. Neredeyse her dijital bağlantı, güven oluşturmak için şifreleme tekniklerine ve genel anahtar altyapılarına (PKI’ler) dayanır. Bununla birlikte, kriptografik olarak ilgili kuantum bilgisayarların (CRQC’ler) ortaya çıkışı, RSA ve ECC gibi geleneksel asimetrik algoritmalar için bir tehdit oluşturmaktadır. Çözüm, kuantum bilgisayar saldırılarına karşı dirençli olacak şekilde tasarlanmış kriptografik algoritmaları kapsayan kuantum sonrası kriptografide yatmaktadır.
CRQC’lerin şu anda mevcut olan kuantum bilgisayarlardan daha güçlü ve daha büyük olması gerekirken, bunların gelişimi ilerlemektedir ve kuruluşların kuantum sonrası algoritmalara nihai geçişe hazırlanmaları gerekmektedir. Bu geçiş, son birkaç on yılda inşa edilen geniş dijital altyapının karmaşık bir şekilde yükseltilmesini gerektiren önemli bir zorluk teşkil ediyor. Kuruluşların uyum sağlamak için biraz zamanları olsa da, bu geçişin sonuçlarını anlama sürecini başlatmaları gerekiyor.
Amerika Birleşik Devletleri’nde, Ulusal Siber Direktör Ofisi (ONCD) tarafından federal kurumlara, kuantum dirençli kriptografiye geçişe hazırlık amacıyla kriptografik sistemlerinin envanterini çıkarmaları talimatı verildi. Beyaz Saray’ın Ulusal Güvenlik Memorandumu 10’da ana hatlarıyla belirtilen yönergeler, kurumların öncelikli kriptografik sistem envanterlerini 4 Mayıs 2023’e kadar göndermelerini gerektiriyordu. Ancak bu son tarihe uymanın bazı kurumlar için zor olduğu kanıtlandı. Kriptografik sistemleri tanımlamanın karmaşıklığı yalnızca federal kurumlarla sınırlı değildir; tüm sektörlerdeki kuruluşlar için geçerlidir. Kriptografinin her yerde bulunması, kuruluşların farkında bile olmadığı varlıkların takibini zorlaştırıyor.
Mayıs son tarihine tabi olmasa da, Kuruluşların aynı zamanda kriptografik varlıklarını tanımlamaları ve proaktif bir şekilde yönetmeleri gerekmektedir. Kuantum sonrası dünyaya geçiş için tüm kuruluşların yapılandırılmış bir yaklaşım izlemesi çok önemlidir. Aşağıdaki adımları göz önünde bulundurun:
Adım 1: Envanter
İlk adım, sertifikalar ve algoritmalar da dahil olmak üzere tüm kriptografik sistemlerin envanterini çıkarmak ve bunları kritiklik düzeylerine göre önceliklendirmektir. Bu süreç, kullanılan algoritma sertifikaları, verenleri, son kullanma tarihleri, korudukları alanlar ve hatta belirli anahtarlarla imzalanmış yazılımlar dahil olmak üzere bir kuruluşun ortamındaki kripto varlıklarının anlaşılmasını gerektirir. Ayrıca kuruluşlar, yazılım paketlerinin veya cihazlarının güncellemeleri otomatik olarak indirip indirmediğini, arka uç sunuculara bağlanıp bağlanmadığını veya üçüncü taraflar veya bulut sağlayıcılar tarafından yönetilen web siteleri veya portallarda çalışıp çalışmadığını araştırmalıdır. Bu ayrıntıların oluşturulması, çeşitli sağlayıcılar ve arka uç varlıklarla kapsamlı iletişim gerektirir.
Bir kuruluşun dijital ayak izini belirlemek göz korkutucu görünse de günümüzün birbirine bağlı dünyasında çok önemlidir. Kripto varlıklarını anlamak, onları etkili bir şekilde korumanın anahtarıdır.
2. Adım: Önceliklendirin
Bir sonraki adım, uzun vadeli güven gerektiren imzalar üreten şifreleme algoritmalarının değiştirilmesine öncelik verilmesini içerir. Bu, güvenin temellerini, uzun ömürlü cihazlar için ürün yazılımını ve diğer kritik bileşenleri güvence altına almayı içerir. Aciliyet, şifrelenmiş verilerin şimdi kaydedilebilmesi ve daha sonra gelecekteki kuantum bilgisayarların operatörleri tarafından şifresinin çözülebilmesinden kaynaklanmaktadır; bu uygulama “şimdi hasat et, şifresini sonra çöz” olarak bilinen bir uygulamadır. Bu nedenle, uzun süreli kullanıma yönelik herhangi bir şifrelemenin değiştirilmesinde ilk öncelik olmalıdır.
3. Adım: Test edin
Ayrıca kuruluşların kuantum sonrası kriptografi algoritmalarının entegrasyonunu keşfetmesi ve test etmesi gerekiyor. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) PQC standardizasyonu için nihai algoritmaları zaten seçmiştir ancak standartların, dokümantasyonun ve güvenli uygulama yöntemlerinin geliştirilmesi halen devam etmektedir. Bu algoritmaların yaygınlaşması iki yılı bulabilir. Ancak kriptografik kütüphanelerin ve güvenlik yazılımlarının uygulayıcılarının bu algoritmaları artık ürünlerine entegre etmeye başlaması gerekiyor. Kuruluşlar aynı zamanda seçilen PQC algoritmalarının nasıl dahil edileceğini keşfetmeye de başlayabilirler çünkü bunların uyumlaştırılması belirli düzeyde bir çaba gerektirecektir.
Federal kurumların kriptografik sistem envanterlerini göndermeleri için son tarih geçmiş olsa da, tüm kuruluşların kripto varlıklarını proaktif bir şekilde tanımlama ve yönetme ihtiyacı devam ediyor. Kuantum dirençli kriptografiye geçiş önemli bir girişimdir, ancak kuruluşlar kripto varlıklarını anlayarak ve yöneterek güvenli ve güvenilir bir dijital geleceğin temellerini atabilirler.
Zamanı geldiğinde sorunsuz bir geçiş sağlamak için süreci şimdi başlatmak ve kuantum sonrası kriptografideki gelişmelerden haberdar olmak çok önemli.
yazar hakkında
Timothy Hollebeek, DigiCert’te Endüstri Teknolojisi Stratejistidir. Savunma İleri Araştırma Projeleri Ajansı tarafından finanse edilen yenilikçi güvenlik araştırmaları üzerinde sekiz yıl çalışmış olmak üzere 20 yılı aşkın bilgisayar güvenliği deneyimine sahiptir. CA/Tarayıcı Forumu da dahil olmak üzere, DigiCert’in birçok endüstri standardı kuruluşundaki birincil temsilcisi olarak yoğun bir şekilde yer almaya devam etmekte ve gerçek dünya uygulamalarıyla çalışan gelişmiş bilgi güvenliği uygulamaları için çalışmaktadır. Meslekten bir matematikçi olan Hollebeek, kuantum hesaplamaya yönelik güvenlik yaklaşımlarını dikkate alarak çok zaman harcıyor.
Tim’e çevrimiçi olarak ([email protected]) adresinden ve şirket web sitemiz http://www.digicert.com/ adresinden ulaşılabilir.