ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum bilgisayarlardan kaynaklanan siber saldırılara karşı kritik verileri korumaya yardımcı olacağını iddia ettiği üç yeni şifreleme algoritmasını tanıttı
Kuantum güvenli algoritmalar, NIST’in sekiz yıllık kuantum sonrası kriptografi (PQC) standardizasyon projesinden ortaya çıkan ilk tam olarak gerçekleştirilmiş ‘ürün’ olup hemen kullanıma hazırdır.
Standartların ilk kez yayınlanmasına doğru ilerleme, dünyanın dört bir yanından kriptografi uzmanlarının kuantum güvenli algoritmalar tasarladığı, sunduğu ve değerlendirdiği işbirlikçi bir çaba olmuştur. Genel olarak, NIST 25 ülkeden araştırmacılar tarafından sağlanan 82 algoritmayı değerlendirdi ve bunları finalist ve alternatif algoritmalar olarak kategorize edilen en iyi 14’e indirdi.
Sonuç, NIST direktörü ve ABD Ticaret Bakanlığı Standartlar ve Teknoloji Müsteşarı Lauria Locascio tarafından “NIST’in gizli elektronik bilgilerimizi koruma çabalarının zirvesi” olarak tanımlanıyor.
Locascio şunları söyledi: “Kuantum hesaplama teknolojisi, toplumun en çözümsüz sorunlarının çoğunu çözmek için bir güç haline gelebilir ve yeni standartlar, NIST’in bunun aynı anda güvenliğimizi bozmayacağından emin olma taahhüdünü temsil ediyor.”
NIST’in PQC projesinin baş matematikçisi Dustin Moody, sıradan şifreleme yöntemlerini kırabilecek kuantum bilgisayarının henüz ortaya çıkmamış olmasına rağmen, yöneticilerin bunları sistemlerine hemen dahil etmeye başlamalarını teşvik ettiğini söyledi.
Moody, “Gelecekteki standartları beklemeye gerek yok,” dedi. “Devam edin ve bu üçünü kullanmaya başlayın. Bu üç standarttaki algoritmaları alt eden bir saldırı durumunda hazırlıklı olmamız gerekiyor ve verilerimizi güvende tutmak için yedekleme planları üzerinde çalışmaya devam edeceğiz. Ancak çoğu uygulama için bu yeni standartlar ana olaydır.”
Temel görevler
Yeni standartlar, şifrelemenin genellikle kullanıldığı iki temel görevi yerine getirmek üzere tasarlandı: Genel şifreleme, kamusal ağlarda dolaşan bilgileri korur; ve dijital imzalar, kimlik doğrulama için kullanılır.
Geçtiğimiz yıl ilk etapta kullanıma sunulması planlanan dört algoritma CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ ve FALCON idi. Bu algoritmalar 2024 yılı sonlarında kullanıma sunulacak.
Bunlar, nihai standartlarda yer alan bu algoritmaların sürümlerini daha iyi tanımlayacak şekilde yeniden adlandırıldı.
Bu nedenle, CRYSTALS-Kyber artık Federal Bilgi İşleme Standardı (FIPS) 203 veya Modül-Kafes-Tabanlı Anahtar-Kapsülleme Mekanizması (ML-KEM) haline geldi. Bu, genel şifreleme için birincil standart olacak – taraflar arasında kolayca değiştirilebilen nispeten küçük şifreleme anahtarlarına sahip ve hızlı bir şekilde çalıştığı için bu kullanım durumu için en iyi aday.
Bu arada, artık FIPS 204 veya Modül-Kafes-Tabanlı Dijital İmza Algoritması (ML-DSA) olarak bilinen CRYSTALS-Dilithium, dijital imzaları korumak için birincil standart haline gelecekken, Sphincs+ ise FIPS 205 veya Durumsuz Karma Tabanlı Dijital İmza Algoritması (SLH-DSA) haline gelerek ML-DSA için ikinci bir yedekleme yöntemi görevi görecek.
FALCON piyasaya sürüldüğünde FIPS 206 veya NTRU-Kafes Tabanlı Dijital İmza Algoritması Üzerindeki Hızlı Fourier Dönüşümü (FFT) (FN-DSA) olarak adlandırılacak.
Kuantum çağının şafağı
Siber güvenlik uzmanlarının tepkisi olumlu oldu ve birçoğu kuantum hesaplama çağının şafağını ilan edecek kadar ileri gitti. Danışmanlık şirketi Accenture’da yeni teknoloji güvenliği lideri olan Tom Patterson, NIST’in duyurusunun kesinlikle önemli bir an olduğunu söyledi.
Patterson, “Kuantum bilgisayarlar ortaya çıktıkça, mevcut şifreleme yöntemlerimiz için önemli bir risk oluşturuyorlar. Kuruluşlar kuantum risklerini değerlendirmeli, sistemlerindeki savunmasız şifrelemeleri keşfetmeli ve şimdi dayanıklı bir kriptografik mimari geliştirmelidir” dedi.
“Yıllardır müşterilerimize bu kritik geçişin her aşamasında yardımcı olmaya odaklandık ve bu yeni standartlarla kuruluşların kuantum sonrası dünyada siber dayanıklılıklarını korumalarına yardımcı olmak için çalışacağız.”
Entrust Dijital Güvenlik Çözümleri Direktörü Samantha Mabey, kuruluşları kuantum tehditleriyle başa çıkmak için kapsamlı bir strateji geliştirmek üzere çalışmaya çağırdı.
“Bu, en hassas verilerinin nerede saklandığını belirlemek, mevcut kriptografik korumaları anlamak ve büyük kesintiler olmadan kuantum dirençli algoritmalara geçebilmelerini sağlamak anlamına geliyor” dedi.
Entrust ve Ponemon Institute tarafından yürütülen son araştırmalar, kuruluşların %27’sinin henüz kuantum sonrası tehditleri değerlendirmeye başlamadığını ve %23’ünün bunların farkında olduğunu ancak herhangi bir planlama yapmadığını buldu. Mabey, kuantum bilgisayarlarının olabilmek Standart şifrelemeyi kırmak artık her zamankinden daha yakın, bu biraz endişe verici.
“Şu anda bile tehdit gerçek; saldırganlar, kuantum teknolojisi kullanılabilir hale geldiğinde şifrelerini çözebileceklerini umarak verileri çalmaya çalışıyorlar.” diye ekledi.
“Sonuç olarak, NIST’in önerdiği PQC algoritmalarının yayınlanması olumlu bir gelişmedir. Ancak, kuruluşlar yalnızca güvenlik altyapılarını şimdi geçişe hazırlayarak faydalarını elde edebilir ve gelecekteki kuantum tehditlerine karşı korunabilir.”
Bir süredir kuantum ağları üzerinde yoğun çalışmalar yürüten BT, modern siber güvenlikte önemli bir dönüm noktasından da bahsetti.
“Kuantum Bilgisayarlar henüz kriptografiyi kıramasa da, kuruluşların riski yönetmek için bir plana sahip olması önemlidir. Bu, her kuruluş için risk değerlendirmesiyle başlar. Örneğin, verilerin (özellikle uzun vadeli hassas verilerin) şifrelenmesini sağlayan hizmetler, bugün verilerini dinleyebilecek ve gelecekte kriptografik olarak önemli bir kuantum bilgisayara erişim kazanacak bir saldırgandan dolayı risk altında olabilir. Kuantum hazırlığı Bu sistemler için öncelik bir önceliktir” dedi bir sözcü.
“Riskleri azaltmak için seçilen teknolojiler hem PQC hem de Simetrik Kriptografiyi ve bazı senaryolarda Kuantum Anahtar Dağıtımını (QKD) içerecektir. PQC’nin web tarayıcıları ve hizmetleri ile bulut arayüzleri de dahil olmak üzere OTT hizmetlerinde giderek daha fazla uygulandığını göreceğiz.
“BT’nin kendi sistemleri için her zaman olduğu gibi tehditleri sorumlu bir şekilde yöneteceğiz, güncellemelerin ve değişikliklerin canlı ağlarda dağıtımdan önce test edilmesini sağlayacağız” dediler.