Kurumsal kriptografi, kuantum bilgisayarların ortaya çıkmasının ötesinde risklerle karşı karşıyadır.
Yeni başlayanlar için geleneksel algoritmaların bozulmadığının garantisi yok. Her ne kadar bunun “olasılık dışı” olduğuna inansak da gerçek şu ki, geleneksel bilgi işlem dünyasında bilgi işlem gücündeki ilerlemeler ve eski şifreleme tekniklerinin güvensiz olduğu ortaya çıktı.
Kriptografi algoritmalarının yanı sıra, bazı durumlarda 1000 kod satırı başına 20’ye kadar hata içeren yazılımlarda da kriptografinin uygulandığını unutmamalıyız. Bu, algoritmaya güvenmenize rağmen yine de algoritmanın yazılımda kodlanma biçiminde risk oluşturduğunuz anlamına gelir.
Diğer riskler arasında kuruluşta yüklü olan anahtarların kimde olduğu gibi içeriden gelen tehditler yer alır.
Yeni NIST standartlaştırılmış Kuantum Sonrası Kriptografi (PQC) algoritmalarının kuruluştaki tüm kriptografik eksiklikleri gidereceği umudu var, ancak bu yanlış bir beklenti.
Bunun yerine bize seçenekler sunarlar ve seçenekler faydalıdır çünkü fazlalıklar yaratmamıza olanak tanırlar. Ek şifreleme yöntemlerine sahip olmak, tekil hata noktalarından bazılarını düzeltebileceğimiz anlamına gelir.
Örneğin, verilerinizi şifrelemek için iki farklı algoritma kullanarak, kötü bir aktörün içeri girmesini zorlaştırırsınız çünkü bir yerine iki kripto savunmasını kırmaları gerekir. Birden fazla algoritma kullanarak, birden fazla yazılım yığını kullanmış olursunuz ve her ikisinde de şifrenin kolayca çözülmesine izin veren bir yazılım hatası olması riskini azaltırsınız.
Aile fotoğraflarınız gibi değerli bir şeyi nasıl sakladığınızı düşünün. İdeal olarak bunları tek bir sabit diskte tutmazsınız. Bunun yerine, resimleri kaybetmeden bir veya daha fazla sürücü arızasıyla karşılaşmanıza olanak tanıyan yedekli bir bağımsız disk dizisi (RAID) oluşturursunuz.
Aynı şey, bir yazılım hatası, bir veri ihlali ve hatta bir kuantum bilgisayar nedeniyle kriptografik yığının tek bir bileşeni arızalansa bile veri gizliliğine ve bütünlüğüne sahip olduğumuzdan emin olmak için şifrelemede de yapılabilir!
Kripto çevikliğini sağlayın
Bu NIST algoritmaları üzerinde çalışan matematikçiler ve kriptograflar bunların uzun süre dayanmasını bekliyor. Binlerce insan zaten onlara delik açmayı denedi ve onları yenmek için henüz anlamlı bir ilerleme kaydedemedi. Yani şimdilik “muhtemelen” iyi durumdalar.
Ancak ne kadar istesek de kırılamayacağını matematiksel olarak göz ardı edemeyiz.
Bu, yeni kriptografiye geçmek isteyen ticari işletmelerin, ister beş yıl, ister 10 yıl, ister 50 yıl içinde olsun, tekrar tekrar değişime hazır olmaları gerektiği anlamına gelir.
Ancak atabileceğiniz önemli adımlardan biri, kriptografiyi aktif olarak kontrol edebildiğinizden emin olmaktır.
Şimdiye kadar çoğu kriptografi çoğunlukla örtülüydü ve yönetimin doğrudan kontrolü altında değildi. Kriptografiye daha fazla kontrol koymak, yalnızca bugünkü verileri korumakla kalmayacak, aynı zamanda bir sonraki geçişi kolaylaştıracak temeli de sağlayacaktır.
Eski günlerde, yaklaşık 40 yıldır var olan bir şifreleme biçimi olan RSA’mız vardı. Bugün, çok daha genç ve daha az kendini kanıtlamış düzinelerce potansiyel geleceğin adayını görüyoruz. Bu yeni algoritmaların zamana karşı dayanıklı olacağına bahse giriyoruz ancak bundan emin değiliz. Kripto çevikliği ağlarımızı, sistemlerimizi ve politikalarımızı gerektiğinde bir algoritmadan diğerine geçebilecek şekilde oluşturmak anlamına gelir. Kontrol sahibi olmak ve uyum sağlama yeteneği ile ilgilidir.
Kriptografi tek başarısızlık noktalarıyla doludur. Algoritmanız kurşun geçirmez olsa bile hatalı bir uygulamayla karşılaşabilirsiniz. Çeviklik, bu tekil başarısızlık noktalarından uzaklaşmamıza yardımcı olarak, bir algoritmanın tehlikeye atılması durumunda hızlı bir şekilde uyum sağlamamıza olanak tanır. Bu nedenle CISO’ların çeviklik ve yedeklilik hakkında düşünmeye başlaması çok önemlidir.