Dünya, kuantum teknolojisinde bir devrimin eşiğinde. Kuantum Ar-Ge yatırımı 2021’de 1,7 milyar dolara ulaştı – beş yıl öncesine göre 20 kat artış ve 2022’de ABD kuantum startup’ları 870 milyon dolar topladı – 2020’de topladıklarının iki katı.
Mart 2023’te Birleşik Krallık hükümeti, 2,5 milyar sterlinlik önemli bir yatırımla merakla beklenen Ulusal Kuantum Stratejisini başlattı ve kuantum teknolojilerinin Birleşik Krallık’ın gelecekteki büyümesi ve küresel rekabet gücü için oynayacağı önemli rolü vurguladı.
Ancak kuantum fırsatıyla birlikte bir tehdit de geliyor. Kuantum bilgisayarlar, daha önce imkansız olduğu düşünülen hesaplama sorunlarını çözme gücüne sahip olacak ve dünyanın neredeyse tüm hassas bilgilerini korumak için kullanılan geleneksel şifreleme yöntemlerinin geçerliliğini yitirmesi nedeniyle önemli bir güvenlik riski oluşturacak.
Hükümetler bunu dikkate alıyor ve 2022’de Beyaz Saray, kuantum güvenli kriptografiye geçiş için zemin hazırlamak üzere Kuantum Bilişim Siber Güvenlik Hazırlık Yasasını çıkardı.
Kuantum tehdidi farklı biçimler alıyor
Önemli ve hassas veriler, şifrelenmiş olsa bile, bir gün şifresini çözmeyi uman kötü kişiler tarafından sürekli olarak çalınmakta ve saklanmaktadır. Bu, ‘şimdi hasat et, sonra şifresini çöz’ saldırısı olarak bilinir.
Güçlü kuantum bilgisayarlar geldiğinde, tüm verilerimiz bu tür geriye dönük saldırılara karşı savunmasız olacak. ABD Ulusal Bilimler Akademisi’ne göre, önümüzdeki on yılda mevcut şifreleme yöntemlerini kırabilen bir ilk kuantum bilgisayar prototipi geliştirilebilir.
Ulus devletler için bu eşiğe ulaşmanın istihbarat değerini ölçmek neredeyse imkansızdır. NIST, bu eşik aşıldıktan sonra ‘daha önce bir düşman tarafından saklanan şifreli materyalin gizliliğini korumak için hiçbir şey yapılamayacağını’ söylüyor. Bu nedenle, verilerin günümüzde, bu makineler gerçeğe dönüşmeden önce bile, kuantum dirençli şifreleme ile korunması gerekiyor.
Booz Allen Hamilton’a göre, “kuantum bilgisayarlar tarafından beklenen şifreleme kırılması, mevcut bir tehdit olarak ele alınmalıdır.” Daha geçen yılın sonlarında, aralarında Ulusal İstihbarat Direktör Yardımcısının da bulunduğu üst düzey eski ABD ulusal güvenlik yetkilileri, bu tür geriye dönük saldırıların tehlikesinin ‘acil’ olduğu konusunda dünyayı uyardı.
Kuantum tehdidiyle mücadele etmek için yeni kriptografik şemalara ve algoritmalara çok fazla odaklanıldı, ancak bunların güvenli bir şekilde uygulandığı yöntemlerin de dikkate alınması gerekiyor. Örneğin, yan kanal saldırılarına karşı koruma tekniklerinin de önemli ölçüde geliştirilmesi, test edilmesi ve kritik cihazların kuantum güvenli olarak kabul edilmesinden önce doğrulanması gerekir.
Kuantum sonrası kriptografi (PQC)
Böyle bir saldırı tehdidi, NSA ve dünyanın dört bir yanındaki diğer devlet kurumlarının buna hazırlanmak için ‘hemen harekete geçmeliyiz’ uyarısında bulunmasına neden olacak kadar inandırıcı.
2016’da NIST, kuantum saldırısına karşı savunmasız olanların yerini alacak yeni, kuantuma hazır kriptografik standartlar tanımlamak için bir süreç başlattı. Geçen yılın Temmuz ayında, standart hale getirmek için bir avuç farklı algoritma seçti ve gelecekte daha fazlası duyurulacak.
Kuantum bilgisayarların gelecekteki yetenekleri açık bir soru olmaya devam ettiğinden, NIST şifrelemeyi korumak için çeşitli matematiksel yaklaşımlar benimsemiştir. Her yaklaşımın pratikliği, uygulaması ve tasarımı açısından onları farklı kullanım durumları için uygun kılan farklı özellikleri vardır.
PQC için hazırlanıyor
NIST, işletmelerin PQC’ye geçişe şimdi başlamaları gerektiği konusunda nettir: “Bilgilerin gelecekteki saldırılara karşı korunması için açık anahtar algoritmalarını kullanan donanım, yazılım ve hizmetlerin değiştirilmesi için şimdiden planlamaya başlamak çok önemlidir.”
Şirketinizin elinde tuttuğu verilerden neyin gizli tutulması gerektiğini belirleyin. Yanıt, saldırılara karşı en savunmasız olanlardan başlayarak yükseltme için sistemlere öncelik vermenize yardımcı olacaktır. Sektörünüze bağlı olarak, tedarik zincirinin farklı operasyonel sistemleri ve yönleri öncelik kazanacaktır. Örneğin, sağlık işletmelerinin elektronik tıbbi kayıtlara (EMR), hasta izleme ve reçete verme sistemlerine öncelik vermesi gerekirken, enerji şirketlerinin şebeke kontrolüne, üretim tesisi kontrolüne ve enerji keşif veri toplama sistemlerine odaklanması gerekir.
CISO’lar ayrıca şirketlerinin geçiş yolu için gerçekçi bir zaman çizelgesi oluşturmalıdır. Birçok kuruluş için hibrit kriptografi çözümlerini entegre etmek basit bir seçenek olacaktır. NIST, çözümleri FIPS sertifikalı tutarken PQC algoritmalarının kuantum dirençli güvencesini elde etmek için FIPS 140-3 sertifikalı çözümlerin standardizasyon için bir veya daha fazla kuantum sonrası adayla birleştirilmesini önermiştir.
Gerçek şu ki, kuantum bilgisayarlar yakında gerçek olacak. Tehdit hepimizi etkileyecek, bu nedenle bununla başa çıkmanın en iyi yolu bugünden hazırlık yapmaktır.
Ali El Kaafarani kimseyi takip etmiyor. Kuantum sonrası kriptografi şirketinin CEO’su, PQ Kalkanıve araştırma görevlisi Oxford Üniversitesi Matematik Enstitüsü. Bath Üniversitesi’nden kriptografi alanında doktora derecesine sahiptir.