Kuantum bilgisayarlar bir gün şifrelemeyi kırabilir. Spintronics olarak da bilinen stokastik manyetik tünel bağlantı makineleri de olabilir. Ancak şifrelemeyi kırmak için yeni nesil bilgi işlem gücüne ihtiyacımız yok. Tam burada ve şimdi başarıyla gerçekleşiyor.
Şifreleme Neden Başarısız?
Şifreleme zayıflıklarına katkıda bulunan ve siber suçlular veya devlet destekli aktörler tarafından sömürülmeye hazır güvenlik açıkları oluşturan birçok faktör vardır. Bunların başında, hem kripto kitaplıklarının kendileri hem de kullanım biçimleri açısından zayıf uygulanmış kriptografi gelir. Heartbleed gibi hatalar veya Java 15 ve üzeri sürümlerinde Eliptik Eğri Dijital İmza (ECDS) algoritmasının son uygulama hatası, bunlara dayalı tüm programları zayıflatır. Bir kitaplığın yanlış kullanımı, yetersiz entropi veya zayıf şifrelerin kullanılması, belirli uygulamaları etkileyen ve hataları bulmayı daha da zorlaştıran günlük bir olaydır. Diğer şifreleme hataları, zayıf parolaları ve güvenliği ihlal edilmiş makinelerden alınan sertifikaları içerir. Bu teknikleri “şimdi-şifresini sonra çöz” saldırılarıyla birleştirin ve şifreleme teknolojisi artık eskisi gibi değil.
Matematik, Şifrelemenin Temel Taşı
Şifrelememizin altında son derece zor matematik yatar. Açık anahtar şifrelemesi için altın standart olan RSA, çok sayıdaki asal sayıya ayırmanın karmaşıklığına dayanır. İleriye dönük problemin çözülmesi kolay ve hızlıdır: Bazı asal sayıları alın ve çarpın. Ancak tersi problem çok daha zor: Bir tamsayı verildiğinde, onu yapmak için hangi asal sayılar çarpıldı? Asal çarpanlara ayırma sorununu çözme girişimleri, İskenderiyeli Öklid’in 2.000 yıldan daha uzun bir süre önce asal sayıların belirli özellikleri üzerinde çalışmasıyla yüzyıllar öncesine dayanmaktadır.
Geleneksel ikili bilgisayarlarda çalışan hiçbir çözüm bulunmamış olsa da, bu hiçbirinin olmadığı anlamına gelmez. 2.000 yıldan fazla bir çalışmadan sonra, çoğu matematikçi klasik bir bilgisayar tarafından kullanılan bir asal çarpanlara ayırma algoritmasının yakın zamanda burada olmayacağı konusunda hemfikir. Peter Shor, RSA ve Diffie-Hellman şifrelerini kırarak, bir kuantum bilgisayarda polinom zamanında bileşik sayı ayrıştırması yapabilen bir algoritma önerdi, ancak bu tür bir kuantum bilgisayarı, halka açık bir şekilde yeterli ölçekte gösterilmedi. Hala.
Shor’un algoritmasının devreye girdiği güne hazırlanmak için, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) bir kuantum sonrası kriptografi (PQC) yarışmasına sponsor oldu. Altıncı yılında 82 başvuruyla başlayan yarışmanın bu yıl dört finalistini açıklaması bekleniyor.
Kalan adaylar, ölçeklenebilir bir kuantum bilgisayarda çalışabilen stokastik bir algoritmanın hesaplama gücüne dayanabileceğine inanılan asimetrik anahtar algoritmalarıdır (kavram olarak RSA’ya benzer). Bu yeni algoritmaların dayandığı matematiksel problemler çok daha yenidir ve kapsamlı bir şekilde incelenmemiştir.
Karmaşık matematik alanında yüzyıllar yaygın zaman dilimleridir. Örneğin, Fermat’ın son teoreminin kanıtlanması 358 yıl sürmüştür. Bu mantıkla, daha önce bilinmeyen veya öngörülemeyen bir Rainbow’da ortaya çıkan zayıflık – şimdi NIST tarafından kullanım için uygun olmadığı düşünülen en hakemli kuantum dirençli algoritma olan şey. O halde, yeni şifreleme standartlarının zayıflaması veya tamamen kırılması sadece bir zaman meselesidir. Bu nedenle NIST, kuruluşları kuantum sonrası hazırlık planlamalarında kripto çevikliğini benimsemeye teşvik ediyor.
Bu konuyu daha da karmaşıklaştıran şey, dijital evrenimizi güvence altına almak için güvendiğimiz şifrelemeyi kırmak için hangi yöntemlerin meyve verdiğini ve hangi tekniklerin kullanıldığını ve kimin tarafından kullanıldığını bilmememiz ve bilmeyecek olmamızdır. Bildiğimiz kadarıyla, büyük ölçekli kuantum bilgisayarlar zaten kullanımda. Bir ulus devlet veya suç dehası olsaydınız ve büyük sayıları asal sayılarına ayırma yeteneğine sahip olsaydınız, bunu dünyaya söyler miydiniz? Modern şifrelemenin temel sorunu budur: Çoğu zaman hangi şifrelerin, ne zaman veya nasıl ele geçirildiğini bilemeyiz. Ancak, kesinlikle şifrelemenin bozulduğunu ve kırılacağını söyleyebiliriz.
Wall Street’e Bakın ve Çeşitlendirin
Böyle bir belirsizlik karşısında BT ortamlarını ve dijital varlıkları sağlamlaştırmak için stratejik tavsiye için Wall Street’e bakabiliriz. Krediler ve hisse senetlerinin kötüye gitmesiyle ilgili belirsizlikler ve risklerle mücadele etmek için finansal kurumlar çeşitlendirmeyi benimsiyor. Yatırımları birden fazla varlık sınıfında, coğrafyada ve endüstride çeşitlendirerek, tüm portföyün çökme riskleri en aza indirilir.
Bu yaklaşım, şifreleme söz konusu olduğunda kurumsal BT ve SOC ekipleri tarafından uygulanabilir ve uygulanmalıdır. Çoklu şifreleme tekniklerinin kullanılması ve karıştırılması/yığınlanması, şifreleme katmanlarından birinde bir kusur ortaya çıkarılsa bile verilerin güvenli bir şekilde seyahat etmesine yardımcı olur. Bir kripto yığınının hangi kısmının ve nasıl yenildiğini her zaman bilemeyeceğiz, ancak kriptografinin yeterince çeşitlendirilmiş olup olmadığı önemli değil.
Bir endüstri olarak, yeni kripto yöntemlerinin gelip gideceğini tahmin ederek birden fazla yaklaşımın eşzamanlı kullanımını desteklememiz gerekiyor. Asimetrik anahtar teknolojisi ile simetrik anahtar teknolojisini karıştırmalı ve anahtarları bant dışı kanallardan iletmeliyiz. En önemlisi, kripto stratejimizin tam olarak ne kadar çeşitlendirilmiş olduğunu ölçmek için üzerinde anlaşmaya varılmış metrikler ve endüstri çapında karşılaştırma ölçütleri geliştirmeliyiz.