ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum sonrası kriptografi (PQC) için üç standart duyurdu. Ancak PQC’nin çalışması için tüm cihazlarda bu teknolojinin kurulu olması gerekecek. Bu büyük bir proje çünkü bazı cihazlara erişim zor ve bazıları da yeni algoritmaları çalıştırmak için yeterince güçlü olmayabilir. Ayrıca, kriptografi standartları bazı kuantum araştırmacılarının hacklenebileceğine inandığı modül kafes tabanlı algoritmalar kullandığından, PQC için kullanılan tekniklerin yeterince güçlü olup olmadığı konusunda da sorular var.
PQC standartlarının geniş ekonomik etkisine bakan bir araştırma notunda, derecelendirme kuruluşu Moody’s, hata düzeltme, ölçeklenebilirlik, yetenek kıtlığı ve sınırlı bilgi işlem gücündeki zorlukların şu anda kuantum hesaplamanın güçlü şifrelemeyi kırma riskini azalttığını belirtti. Ancak, birçok uzman, siber suçlular şimdi veri toplayıp güçlü, güvenilir kuantum hesaplama teknolojisinin gelişini bekleyebilecekleri için kuantum dirençli algoritmaların hızla benimsenmesini öneriyor.
Kuantum dayanıklılığı konusunda uzmanlaşmış bir şirket olan Lastwall’un kurucusu ve CEO’su Karl Holmqvist şunları söyledi: “Otuz yıl önce, 1994’te Peter Shor, en yaygın kullanılan asimetrik şifreleme algoritması olan 2048 bitlik RSA’yı çarpanlarına ayırmak için yaklaşık 4.100 kübite ihtiyacımız olacağını gösterdi. O zamanlar elimizde kuantum bilgisayar yoktu ve insanlar işlevsel bir kuantum bilgisayarı geliştirip geliştiremeyeceğimizi sorguladılar.”
Moody’s raporunda, tam sayıların asal çarpanlarını bulmak için özel olarak tasarlanmış bir kuantum algoritması olan Shor algoritması kullanılarak, kuantum bilgisayarların tam sayıları çarpanlarına ayırma hızının kat kat artacağı ve asimetrik şifrelemeyi (yaygın olarak kullanılan RSA-2048 kripto sistemi gibi) tamamen kıracağı belirtiliyordu.
Uzmanlar, kuantum bilgisayarlarının beş ila 30 yıl içinde asimetrik şifrelemeyi kırabileceğini düşünüyor. Moody’s raporu, Küresel Risk Enstitüsü’nün 2022’de 37 uzmanla yaptığı bir anketten alıntı yaptı Kuantum tehdit zaman çizelgesi raporu 2022katılımcıların yarısından fazlasının (%54) 15 yıl içinde kuantum bilgisayarların RSA-2048 şifrelemesini 24 saat içinde çözebileceği konusunda iyimser olduğunu bildirdi.
Holmqvist, beş yıl önce KTH ve Google araştırmacılarının 20 milyon kübitlik bir sistemin 2048 bitlik RSA’yı sekiz saatten kısa sürede kırabileceğini gösterdiğini söyledi. Ancak, kübitlerin son derece hataya açık olması nedeniyle her bir kararlı mantıksal kübiti yapmak için 3.500’den fazla kübite ihtiyaç duyulduğunu belirtti. Yine de kuantum teknolojisi ilerliyor. Holmqvist, “Kuantum dirençli şifrelere geçmek için zaman bizim lehimize değil. Bunu şimdi ele almamız gerekiyor – işe koyulup eski kriptografiyi ortadan kaldırmanın zamanı geldi” dedi.
Y2K kadar büyük
Moody’s’e göre, asimetrik şifrelemeyi kırma yeteneği e-ticaret üzerinde derin etkilere sahip olabilir. ABD Uluslararası Ticaret İdaresi projeksiyonlarına işaret eden Moody’s, küresel e-ticaretin 2027 yılına kadar yılda 41,7 trilyon dolara çıkacağını bildirdi.
Moody’s raporunda, “Çevrimiçi işlemlere olan güvenin kaybolması durumunda, bu akışlar risk altında olacaktır. Hava trafik sistemleri ve GPS sinyalleri de manipüle edilebilir ve bu da hayatları riske atabilir. Bu şifrelemeyi kırma yeteneği, şirketlerin fikri mülkiyetini ve hükümetlerin gizli belgelerini de tehlikeye atabilir” uyarısı yapıldı.
Moody’s ayrıca PQC’ye geçişin uzun zaman alacağını ve aşırı pahalı olacağını belirtti. Cihazlar genelinde yeni kriptografik standartların uygulanmasının operasyonel zorluklar nedeniyle 10 ila 15 yıl sürebileceğini tahmin etti. Geçişin maliyetini tahmin etmek zor olsa da, Y2K hatasını gidermek için gereken pahalı, büyük ölçekli çabalarla paralellikler kurulabileceğini söyledi.
Avrupa ve İngiltere kendi kuantum finansmanlarını etkin bir şekilde yönetmek ve PQC’ye yönelik kamuoyu güvenini artırmak istiyorsa, yeni kurulan şirketlere, kamu sektörüne ve diğer önemli paydaşlara ulaşan net ve iyi iletişimi yapılmış bir stratejiye ihtiyaçları vardır.
Ekaterina Almasque, Açık Okyanus
Örneğin, Moody’s’in belirttiği gibi, bazı cihazlar yörüngedeki uydular gibi ulaşılması zor yerlerdedir ve otomobiller ve ATM’ler gibi bazı donanım türlerinin güncellenmesi zordur. Raporunda, ABD yetkililerinden alınan ve cihazlarda yeni bir kriptografik standardın yaygın olarak uygulanmasının 10 ila 15 yıl sürebileceğini gösteren verilere atıfta bulunuldu.
Arqit’in saha teknoloji sorumlusu ve eski NSA kriptografı Roberta Faux’un açıkladığı gibi, PQC’nin geniş çaplı bir şekilde yaygınlaştırılmasının getirdiği zorlukların ötesinde, yeni şifreleme standartlarının uygulanması da oldukça zor olabilir.
“Hızla hareket eden bir sektörün henüz erken aşamalarındayız ve ne yazık ki bu standartların güvenli bir şekilde uygulanması bile zorlu bir süreç olacak,” dedi. “Bunlar ‘drop-in’ çözümleri değil. Sistemleri taşıdıkça, sistemleri daha karmaşık hale getirmekten kaynaklanan çok sayıda güvenlik açığı ve kesintiyle birlikte her türlü birlikte çalışabilirlik sorunuyla karşılaşacağız. Çok fazla belirsizlik içeren uzun vadeli bir proje.”
Ancak Moody’s, bazı önemli teknoloji ve internet altyapı şirketlerinin PQC’yi hızla devreye almasının, kullanıcıların büyük çoğunluğu için korumayı hızlandıracağını belirtti.
Küresel benimseme
İngiltere ve Avrupa’nın NIST standartlarını benimseyip benimsememesi gerektiği konusunda da sorular ortaya çıkıyor. Faux, Alman ve Fransız hükümet siber güvenlik ajanslarının NIST sonrası kuantum anahtar değişimini onaylamaktan kaçındığını söyledi.
Erken aşama teknoloji girişim sermayesi şirketi OpenOcean’ın genel ortağı Ekaterina Almasque şunları söyledi: “Avrupa, yalnızca ABD’nin kuyruğuna takılmak yerine, kuantum sonrası kriptografi standartlarında öncülük etmelidir. Bu, stratejik düşünmeyi gerektirir.”
Almasque, ABD hükümetinin hassas projeler üzerinde çalışan şirketlere yakında kuantum şifreleme algoritmaları kullanmaları gerekebileceğini bildirdiğini söyledi. “Avrupa ve İngiltere kendi kuantum fonlarını verimli bir şekilde yönetmek ve PQC’ye olan kamu güvenini artırmak istiyorsa, girişimlere, kamu sektörüne ve diğer önemli paydaşlara ulaşan net ve iyi iletilen bir stratejiye ihtiyaçları var” diye ekledi.
“Avrupa ve AB’nin çeşitliliği bir güç olsa da, tüm üye devletlerin kuantum savunmalarında aynı çizgide olmasını sağlayacak tutarlı bir kuantum stratejisi getirmezsek, kolayca bir zafiyete dönüşebilir.”
Yeni NIST PQC standartları etrafında geniş bir endüstri konsensüsü var gibi görünüyor. Ancak, Arqit’in Faux’unun belirttiği gibi, Michele Mosca gibi bazı kuantum kriptografi uzmanları, NIST’in PQC şifreleme standartlarını dayandırdığı kafes algoritmalarının on yıl içinde kırılabileceği konusunda endişelerini dile getirdiler.