Q-Day (kriptografik olarak anlamlı bir kuantum bilgisayarın modern şifrelemenin çoğu biçimini kırabileceği gün) hızla yaklaşıyor ve toplumlarımızın güvendiği karmaşık sistemleri yeni bir siber saldırı dalgasına karşı savunmasız bırakıyor.
Sadece birkaç yıllık tahminler, Shor Algoritmasını çalıştırabilen bir kuantum bilgisayarın 2029 veya sonrasına kadar operasyonel olarak mevcut olmayacağını öne sürerken, Harvard’daki bir ekip tarafından üretilen 48 kübitlik sistem gibi hataya dayanıklı kuantum sistemleri üretmeye yönelik daha yeni araştırmalar PsiQuantum’un milyon kübit sisteminin 2027’de devreye girmesi planlanan haberleriyle birleştiğinde, Q-Day ufku, ne kadar gizli veya halka açık olursa olsun, çoğu kişinin beklediğinden daha hızlı geliyor.
Kriptografinin kırılmasının yarattığı endişelerin ötesinde, bugün acil eylem gerektiren mevcut bir tehdit var. “Şimdi Hasat Et, Daha Sonra Şifresini Çöz” kampanyaları şu anda devam ediyor ve şifrelenmiş veri yığınları şu anda çalınıyor ve daha sonra bir kuantum bilgisayarı kullanılarak şifresi çözülüyor.
Kötü niyetli kullanımın sınırları sonsuzdur; örneğin, 2024 yılında çalınan bir nükleer tesisin iç işleyişine ilişkin şifrelenmiş veriler, bir kuantum bilgisayarının şifresini çözebildiği 2030 yılında hâlâ geçerli ve kullanılabilir durumda olacaktır. Bu kampanyaların bugün temsil ettiği devasa güvenlik açığı göz önüne alındığında, siber güvenlik liderlerinin mümkün olan en kısa sürede kuantum dirençli sistemlere geçmeye odaklanması gerekiyor.
CISO’lar ve güvenlik personeli, kimlik avı, kötü amaçlı yazılım, hesap ihlalleri, fidye yazılımı ve diğer karmaşık ve zarar veren siber saldırıların getirdiği günlük zorluklarla mücadele etmekle meşgulken, “Şimdi Hasat Et, Şifresini Sonra Çöz” tehditleri ve yaklaşmakta olan felaketin yıkıcı sonuçları Kriptografi molası önceliklendirme açısından arka planda kaldı. Ancak dijital müştereklerin gelecekte çalışır durumda ve güvenli kalmasını sağlamanın tek yolu, gelecek kuantum dalgasına hazırlık amacıyla savunmaları kolektif olarak güçlendirmeye başlamaktır.
Kuantum sonrası kriptografi (PQC) standardizasyonunda yeni bir dönem
NIST’e göre, “kuantum sonrası kriptografinin (aynı zamanda kuantum dirençli kriptografi olarak da adlandırılır) hedefi, hem kuantum hem de klasik bilgisayarlara karşı güvenli olan ve mevcut iletişim protokolleri ve ağlarıyla birlikte çalışabilen kriptografik sistemler geliştirmektir.” Temmuz 2022’de NIST, dört taslak PQC algoritması yayınladı (CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+ ve FALCON). NIST Ulusal Siber Güvenlik Mükemmeliyet Merkezi siber güvenlik mühendisi Bill Newhouse’a göre, Temmuz 2024’te yayınlanması beklenen ve merakla beklenen nihai standardizasyon, kuantum dirençli algoritmalar için “üç yeni Federal Bilgi İşleme Standardı (FIPS)” sunacak. NIST tarafından doğrulanan bu kuantum dirençli algoritmalar, nihayet güvenlik odaklı kamu ve özel sektörün ilk benimseyenler tarafından kullanıma ve kurumsal kullanıma hazır olacak.
Ancak klasik şifrelemeden PQC’ye geçiş bir gecede gerçekleşmeyecek ve olmamalıdır. Çözümlerin, ilk geçiş aşamasında mevcut sınıfının en iyisi kriptografiyle hibritleştirilmesi gerekecek ve nihai amaç, tüm sistemlerin mümkün olan her yerde kuantum esnekliğini içermesini sağlamak olacak. Savunma bakanlıklarından hükümetlere ve kritik altyapı gruplarına kadar paydaşların karşılaştığı en zorlu soru, sürecin nereden ve nasıl başlayacağıdır.
Kuantum dirençli algoritmaların devreye alınması
ABD Yönetim Bütçe Ofisi’nin kuantum dayanıklılığına nasıl hazırlanılacağı konusunda kurumlara tavsiyelerde bulunan direktifinde belirtildiği gibi, ilk adım, şifreleme anahtarları oluşturmak ve değiştirmek, şifreli bağlantılar sağlamak veya dijital imzalar oluşturmak ve doğrulamak için kullanılanlar da dahil olmak üzere aktif kriptografik sistemlerin envanterini çıkarmaktır.
Tüm sistemler tanımlandıktan sonra, en önemli sistemlerin önce yükseltilmesi için en hassas ve kritik veri segmentlerine göre kategorize edilebilir ve önceliklendirilebilir. Bu süreç, mevcut şifreleme yöntemlerinin kuantum dirençli algoritmalarla değiştirilmesini içerir; bu da karmaşık ve zaman alıcı bir girişimdir.
En güvenli veri sistemlerini korumak ve uygulama kısıtlamalarını karşılamak için öncelikle PQC’yi devreye almak için doğru yeri bulmak, aynı zamanda yeni teknolojileri denemenin bilinen ve bilinmeyen tuzaklarından kaçınmak, bugün gördüğümüz eylemsizliğin çoğunu haklı çıkarmak için yeterlidir.
Güvenlik bilincine sahip, ileri görüşlü kuruluşlar, yaklaşan NIST standardizasyonuyla birlikte PQC’yi denemeye ve uygulamaya istekliyse, hassas bilgilerin uzun vadeli güvenliğini sağlamak için belirli BT sistemlerine öncelik verilmelidir. Bu sistemler, kriptografik anahtarları oluşturmaktan, dağıtmaktan ve yönetmekten sorumlu anahtar yönetim sistemleri, sanal özel ağlar (VPN’ler), güvenli e-posta, bulut hizmetleri ve uygulamaları da dahil olmak üzere güvenli iletişim sistemleri, finansal kurumlar veya bilimsel araştırma ve mühendislik ortamlarında kullanılanlar gibi özel kritik sistemler ve operasyonel olarak kritik IoT cihazları içerir.
Ayrıca, sonlandırıcılar ve yük dengeleyiciler gibi kuantum dirençli TLS proxy sistemlerinin dağıtımı ve uygulama katmanı şifreleme kitaplıklarının yükseltilmesi gibi kapsamlı ilk koruma için hızla yapılabilecek genel mimari değişiklikler de vardır.
Kuantum tehditlerine karşı PQC’yi benimsemek
NIST’in PQC algoritmalarının standardizasyonu, çoğu kuruluşun PQC çözümlerini uygulamaya başlamak için beklediği son veri parçasıdır. Ortak kuantum bilişim destekli geleceğimiz, gerekli savunma bariyerleriyle birlikte sürekli olarak gelişse de, yakında yayınlanacak olan NIST standartları, PQC uygulama yolculuğuna başlama konusunda kararsız olanlara yeterli derecede kesinlik ile desteklenen bir harekete geçme çağrısı sunmaktadır.
Çoğu CISO şu anda ve haklı olarak en acil tehditlere karşı savunma yapmakla meşgul olsa da, onları yaklaşan Q-günü dalgasına kapılmaktan koruyacak eylem ileri görüşlülüktür. Şimdi PQC’ye hızlı bir geçiş, mevcut “Şimdi Hasat Et, Şifresini Daha Sonra Çöz” kampanyalarını etkili bir şekilde hafifletiyor, veri güvenliği ve gizliliğinin temel iç işleyişini gelecek yıllar için koruyor ve hepimizi kuantumun etkin olduğu bir geleceğe hazırlıyor.