Kuantum hesaplama 21. yüzyılın en önemli teknolojilerinden biri olmaya hazırlanıyor. Küresel hükümetlerin kuantum teknolojileri için toplu olarak 38 milyar dolardan fazla kamu fonu taahhüt etmesi ve 2022’de kuantum şirketlerine 2,1 milyar dolarlık yeni özel sermaye akması ile birlikte, kuantum teknolojileri, özellikle kuantum bilgisayarları, laboratuvardan ticari pazara hızla taşınıyor.
Kuantum mekaniğinin ilkelerinden yararlanan kuantum bilgisayarlar, belirli hesaplamaları klasik bilgisayarlara göre katlanarak daha hızlı gerçekleştirme potansiyeline sahiptir. İlaç keşfi ve kimyasal reaksiyonların modellenmesinden optimizasyon problemlerine ve emisyonların azaltılmasına kadar, kuantum bilgisayarlar çeşitli endüstrilerde devrim yaratmaya ve küresel bilimsel ilerlemeyi hızlandırmaya hazırlanıyor.
Bu kullanım durumlarına ek olarak kuantum hesaplama, siber güvenlik topluluğu için özellikle önemlidir. Bunun nedeni, gelecekte yeterli boyut ve verimliliğe sahip bir kuantum bilgisayarının, mevcut şifreleme planlarını kırabilmesi ve halihazırda bu tür planlar tarafından korunan tüm bilgi ve iletişimleri tehlikeye atabilmesidir (genel anahtar şifrelemesi, 4,5 milyardan fazla internet kullanıcısının 200 milyon web sitesine güvenli bir şekilde erişmesine ve 3 trilyon dolarlık işlem yapmasına olanak sağlar). (her yıl perakende e-ticaretin oranı).
Madalyonun diğer tarafında, bazı kuantum teknolojileri mevcut şifrelemeyi güçlendirebilir ve on yılın sonuna kadar tahminen 30 milyar dolarlık bir kuantum siber güvenlik pazarına güç sağlayabilir.
Kuantum teknolojileri bu nedenle siber güvenlik için hem bir kılıç hem de bir kalkandır. Bu nedenle kuruluşlar ve hükümetler, verilerimizi kuantum bilgisayarların mevcut şifreleme şemalarına karşı oluşturduğu tehditten yeterince korumak ve uzun vadede son derece güçlü siber güvenlik çözümlerinden yararlanmak için kuantum saldırılarına ve savunmalarına yatırım yapmalıdır.
Bir kılıç gibi kuantum hesaplama
İletişimlerimizin ve verilerimizin çoğunu güvence altına alan günümüzün açık anahtar şifrelemesi, klasik bilgisayarların çözmesi olağanüstü zor olan matematik problemlerine dayanmaktadır. Ancak özel bir algoritma (Shor’un algoritması gibi) çalıştıran bir kuantum bilgisayarı muhtemelen makul bir zaman aralığında şifreleme anahtarını çıkarabilecek ve temeldeki verilerin şifresini çözebilecektir. Bu nedenle, genel anahtar şifrelemesini kullanan herhangi bir sistem, kuantum bilgisayarların saldırılarına karşı savunmasız olacaktır.
Kriptografik olarak anlamlı bir kuantum bilgisayar geliştirmenin zaman çizelgesi oldukça tartışmalıdır ve tahminler genellikle 5 ile 15 yıl arasında değişmektedir. Her ne kadar böyle bir kuantum bilgisayarın var olacağı tarih gelecekte olsa da bu, bunun gelecekteki CIO’lar ve BT uzmanları için bir sorun olacağı anlamına gelmiyor. Tehdit, “şimdi hasat et, sonra şifresini çöz” saldırıları tehdidi nedeniyle günümüzde de varlığını sürdürüyor; bu saldırılarda, bir saldırgan, şifrelenmiş iletişimleri ve klasik siber saldırılar yoluyla toplanan verileri depolar ve bilgilerin şifresini çözmek için kriptografik açıdan uygun bir kuantum bilgisayarının hazır olmasını bekler. Bu tehdidi daha da vurgulamak için, eğer veriler zayıf şifreleme anahtarlarıyla güvence altına alınırsa, şifrelenmiş verilerin şifresi, kriptografik olarak uygun bir kuantum bilgisayar mevcut olmadan çok önce çözülebilir.
Bazı veriler kısa vadede açıkça değerini kaybederken, sosyal güvenlik numaraları, sağlık ve finansal veriler, ulusal güvenlik bilgileri ve fikri mülkiyet hakları onlarca yıl boyunca değerini koruyor ve bu tür verilerin büyük ölçekte şifresinin çözülmesi, hem hükümetler hem de şirketler için felaketle sonuçlanabilir. .
Bu tehdidi ele almak için Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum bilgisayarlardan ve klasik bilgisayarlardan gelen saldırılara teorik olarak dirençli bir dizi şifreleme algoritmasını belirlemek ve seçmek için 2016’dan beri çalışıyor. NIST, Ağustos 2023’te ilk üç algoritma için taslak standartlar yayınladı ve şu anda standartları 2024’te tamamlamadan önce 22 Kasım 2023’e kadar yorumları kabul ediyor.
ABD hükümetinin Yasama ve Yürütme organlarının, kamu sektörünü standart hale gelir gelmez kuantum sonrası kriptografi (PQC) algoritmalarına geçmeye zorlamak için önemli adımlar attığını gördük.
Mayıs 2022’de Başkan Biden, ABD hükümetinin varlıklarını kuantum tehdidinden koruma çabalarını özetleyen bir ulusal güvenlik bildirisi (“NSM-10”) yayınladı. NSM-10, ABD federal hükümetinin hedefinin “ilk standartlar dizisinin yayınlanmasından sonraki on yıl içinde maksimum sayıda sistemi kuantum güvenlik açığına sahip kriptografiden çıkarmak” olduğunu belirtiyor.
Aralık 2022’de Başkan Biden, federal kurumların bilgi teknolojisi sistemlerini kuantum sonrası kriptografiye geçirmesini gerektiren Kuantum Bilişim Siber Güvenlik Hazırlık Yasasını imzaladı. Bu, devlet kurumlarının yanı sıra federal hükümetle iş yapan, özellikle de BT hizmetleri sağlayan şirketler için de etkili olacaktır.
Her iki hükümet eylemi de, geçişin mümkün olduğunca 2035 yılına kadar tamamlanması hedefiyle federal hükümeti NIST PQC algoritmalarına uyumlu hale getirmeyi amaçlıyor.
Bu agresif bir zaman çizelgesidir. Tarihsel olarak, büyük kriptografik geçişlerin tamamlanması yıllar, hatta on yıllar alabilir. Geçiş sürecinin başlatılması artık kuruluşlara, kriptografik olarak ilgili kuantum bilgisayarlar kullanıma sunulmadan önce korumaları devreye alma şansı veriyor. PQC geçişi muhtemelen uzun ve kaynak yoğun bir çalışma olacak ve BT sistemlerini nihai standartlara taşımak, algoritmalar arasında esneklik sağlamak ve verileri minimum kesintiyle korumak için “kriptografik çeviklik” gerektirecek.
Her ne kadar NIST’in algoritmaları henüz standartlaştırılmamış olsa ve kriptografik açıdan anlamlı bir kuantum bilgisayarına muhtemelen yıllar boyunca sahip olsak da, şimdi şunları yapmanın zamanı geldi:
1) Gelecekteki kuantum saldırılarına karşı savunmasız olacak kriptografi sistemlerinin envanterini çıkarmaya başlayın
2) Kuantum teknolojilerinin işiniz için oluşturacağı fayda ve riskleri keşfederek kuruluşunuz genelinde “Kuantum IQ”yu geliştirin
3) NIST kuantum sonrası algoritmalarını gözden geçirin ve sistemlerinizi nihai standartlara geçirmenize ve verilerinizi minimum kesintiyle korumanıza olanak tanıyacak kriptografik çeviklik için bir strateji oluşturun; Ve
4) Verileri hem klasik hem de kuantum siber saldırılara karşı korurken, kuantum dirençli siber güvenliğe geçişte size rehberlik edebilecek, kuantum ekosisteminde kurulmuş iş ortaklarını belirleyin.
Kuantum Dünya Kongresi’nde NIST’in Fiziksel Ölçüm Laboratuvarı yöneticisi James Kushmerick şunları söyledi: “Bunu ne kadar erken ortaya çıkarırsak, kriptografik olarak anlamlı bir kuantum bilgisayar geliştirildiğinde o kadar iyi durumda oluruz.” Bu uzun bir süreç olacak ve devlet kurumları ile özel sektörün, tehdide yeterince hazırlanmak için veri envanteri çıkarma ve PQC geçişi ve kriptografik çeviklik için bir plan hazırlama konusunda sıkı çalışmaya hemen başlaması gerekiyor.
O zamanın önde gelen PQC adaylarından biri olan Rainbow’un 2022’de bir dizüstü bilgisayar tarafından kırıldığı göz önüne alındığında, kriptografik çeviklik özellikle önemlidir. PQC algoritmalarına geçiş son derece önemli olsa da (ve muhtemelen devlet kurumları ve onların özel sektör yüklenicileri için gerekli olacaktır), bu algoritmalar hâlâ matematik problemlerine dayalıdır ve gelecekte kırılma ihtimalleri vardır, bu da yeni algoritmalar gerektirecektir. entegre olun. Kesintisiz güncellemeleri uygulama yeteneği, kuruluşların hem klasik hem de kuantum tehditlere karşı güveni korumaları ve kriptografinin bütünlüğünü sağlamaları açısından önemli olacaktır.
Ayrıca kriptografik çeviklik, kuruluşlara kuantum çağında siber güvenliğe yönelik “yukarıdakilerin hepsi” yaklaşımının bir parçası olarak kuantumla güçlendirilmiş anahtarlar ve kuantum anahtar dağıtımı (QKD) gibi kuantum destekli siber güvenlik çözümlerini değerlendirme ve test etme özgürlüğü sağlayacak.
Kalkan olarak kuantum hesaplama
Yukarıda tartışıldığı gibi PQC, kuantum çağında siber güvenlik için gerekli bir başlangıçtır. Ancak bu, kuantum bilgisayarların oluşturduğu tehdide karşı her derde deva değil.
Gelecekteki kuantum bilgisayarların şifrelemeye yönelik oluşturacağı tehdidin boyutu göz önüne alındığında, derinlemesine bir savunma yaklaşımı gerekli olacaktır. Bu katmanlı yaklaşım, daha güçlü güvenlik garantileri sunmak için kuantum mekaniğini kullanan araçların yanı sıra PQC algoritmalarını da kullanacak. Bu tür teknolojiler, şifreleme anahtarı üretimi ve QKD’ye yönelik kuantum hesaplamayla güçlendirilmiş ve deterministik olmayan süreçleri içerir.
Şifreleme anahtarları tüm kriptografinin temelidir ve klasik ve PQC algoritmalarının her ikisi de uygun şekilde güvenli anahtarlara dayanır. Kuantumun faydalarından biri, temelde öngörülemez olması ve şifreleme anahtarı üretimini güçlendirmek için kuantum bilgisayarların gücünün uygulanmasının, hassas şifrelenmiş verileri ve iletişimleri mevcut ve yeni ortaya çıkan tehditlere karşı koruyabilmesidir.
Ayrıca, öngörülemez olduğu kanıtlanabilen bu anahtarlar, mevcut kritik teknoloji altyapılarının dayanıklılığını ve yaşam boyu değerini en üst düzeye çıkarabilir. Bu tür kuantum bilgi işlemle güçlendirilmiş anahtarlar günümüzde mevcuttur ve anahtar üretimi için daha güçlü bir alternatif sunmaktadır.
QKD, iletişimi korumak için matematik problemlerine güvenmek yerine kuantum mekaniğine güveniyor. QKD ile bir anahtarı değiş tokuş etmek ve potansiyel bir dinleyici tarafından iletişimi ölçme girişimi kuantum durumunu değiştirdiğinden anahtarın hiç kimse tarafından ele geçirilmediğini kanıtlamak mümkündür. Bu garanti sonsuza kadar sürecektir; bu, bir anahtarın değiştirildiği andan itibaren şifreleme algoritmaları bozulsa bile güvende olduğu anlamına gelir. Daha da önemlisi, QKD, ortadaki adam saldırıları gibi klasik saldırıların yanı sıra gelecekteki kriptografik olarak alakalı bir kuantum bilgisayarından gelen saldırılara karşı da koruma sağlar.
QKD, kendisini siber güvenliğimizin geleceği açısından değerli kılan kuantum durumlarını yeterli düzeyde oluşturmak için önemli miktarda donanım ve altyapı gerektiren karmaşık bir teknolojidir. Araştırmacılar ve endüstri bu zorlukların üstesinden gelmek ve QKD’yi “sahada” daha fazla ticarileştirmek ve dağıtmak için çalışıyor ancak kapsamı ve ticari uygulaması bir şekilde sınırlı kalıyor.
Ulusal Güvenlik Ajansı (NSA), bugün ulusal güvenlik sistemlerinde veri aktarımının güvenliğini sağlamak için QKD teknolojilerini önermeyen bir kılavuz yayınladı. Ancak teknoloji ilerlemeye devam ettikçe QKD, yeni nesil siber güvenlik sunma ve hem askeri hem de sivil ağlara büyük fayda sağlayacak iletişimin güvenliğini sağlamak için benzersiz bir kuantum yöntemi sunma potansiyeline sahip. PQC algoritmalarıyla birleştirildiğinde bu kuantum türevi teknolojiler, verileri ve iletişimi daha da koruyan siber güvenliğe katmanlı bir yaklaşım sağlayabilir.
Kuantumla güçlendirilmiş şifreleme anahtarlarının ve QKD’nin, PQC’nin yanı sıra kuantum hazırlık stratejilerine nasıl uyum sağlayabileceğini göz önünde bulundurarak kuruluşlar, gelecekte kriptografik açıdan anlamlı bir kuantum bilgisayarının kullanıma sunulacağı o bilinmeyen güne daha iyi hazırlanacak. Bu teknolojiler birbirine karşıt olmaktan ziyade tamamlayıcıdır ve hepsi kuantum çağındaki siber güvenlik bulmacasının kritik parçalarıdır.