Bilgisayar bilimcileri, kuantum bilişimi pratik alana taşıma sürecinde ilerlerken, siber güvenlik satıcıları ve uygulayıcılarının, kuantumun bilgi işlem potansiyelinin gücüne dayanabilecek şifreleme mekanizmalarına hazır olmaları gerekecek. Ancak risk uzmanları, kuantum sonrası kriptografi için geleceğe yönelik önlemlerin panik içinde oluşturulması gerekmediğini söylüyor.
ABD kuantum siber hazırlık lideri Dr. Colin Soutar, bazı eski uzmanların kuantum sonrası bilgisayar ortamını boyama biçiminin aksine, gerçek şu ki, bugünün şifreleme mekanizmalarının aniden modası geçeceği hiçbir kuantum uçurumu olmayacak, diyor ve Kuantum şifreleme hakkında bir rapor yayınlayan Deloitte Risk & Financial Advisory’nin genel müdürü. Gerçekte kuantuma geçişin devam eden bir süreç olacağını açıklıyor.
Soutar, “Şu anda kuantum hakkında çok fazla tartışma var ve farklı fikirlerin çok sayıda birleşimi var. Kuantuma dirençli algoritmaları güncellemek için her şeyin bir gecede nasıl değişmesi gerektiğine dair bazı endişe verici ifadeler bile var” diyor. “Bu, belirli bir tarih (kuantum kabulü için) olduğu anlamına gelir ve gerçekten yoktur.”
Kuantum sonrası güvenlik sorunlarına bu tür bir mercekten bakmak, siber güvenlik endüstrisinin sorunu, ortaya çıkan diğer herhangi bir ciddi teknoloji trendi için atacakları aynı tür risk yönetimi ve yol haritası planlama adımlarıyla çalışmaya başlamasına yardımcı olabilir.
Alarmizm Değil, Farkındalık Yaratmak
Kesin olan bir şey var: Kuantum hesaplama ve kuantum sonrası kriptografi için davul sesleri giderek yükseliyor.
Kuantum hesaplama, bilgisayar dünyasına günümüzün en gelişmiş geleneksel süper bilgisayarlarını zorlayan çok boyutlu analiz problemlerinin üstesinden gelme yeteneğinde büyük bir destek vermeyi amaçlıyor. Geleneksel bilgisayarlar temel olarak bilgilerin ikili olarak depolanmasına dayalı olarak çalışırken, kuantum hesaplama bilgi depolamanın “açık” veya “kapalı” konumu ile sınırlı değildir.
Kuantum bilgisayarları, bir parçacığın aynı anda iki farklı durumda var olabileceği, süperpozisyon adı verilen kuantum mekaniği olgusuna bağlıdır. Aynı anda çeşitli durumlarda bilgi depolayabilen “kübitler” kullanarak bu fenomenden yararlanırlar.
Kusursuz hale getirildiğinde, bu kuantum bilgisayarlara sağlık araştırmaları ve yapay zeka gibi farklı alanlardaki zorlu problemlerde veri analizini büyük ölçüde hızlandırma yeteneği verecektir. Bununla birlikte, bu tür bir güç, bu bilgisayarları kriptografik algoritmaları kırmak için de ideal kılar. Bu, endüstrinin kuantum sonrası gerçekliğe hazırlanmaya başlamasını sağlamak için son birkaç yıldır güvenlik savunucularından farkındalık yaratma çabasının can alıcı noktasıdır.
“Bu konudaki görüşümüz, alarmcı olmaktan ve ‘Şimdi her şeyi güncellemeniz gerekiyor’ demekten ve verilerinizin ne olduğu, bu verilere ve kripto parayla ilgili riskinizin ne olabileceği hakkında düşünmeye başlamak için farkındalığı artırmaktan ibaret. kullan,” diyor Soutar. “Ve sonra ne zaman düşünmek isteyebileceğinize karar verin, yol haritanızdaki keşiflere bakmaya başlayın ve daha sonra güncellemeler yapın.”
Göre anket Deloitte tarafından bu hafta yayınlanan iyi haber şu ki, kuantum hesaplamanın farkında olan teknoloji ve şirket yöneticileri arasında %50’den biraz fazlası bununla ilgili güvenlik hususlarını da anladı.
Kuantum Sonrası Güvenlik Etkisini Zamanlama
Güvenlik uzmanları için tüm bunların püf noktası, yıllarca uzakta olabilecek bir şey için endişelenmeden önce başka yerlerde söndürülmesi gereken çok sayıda yangın olmasıdır. Günümüzün kuantum bilgisayarları yalnızca araştırma alanında çalışır. Pek çok durumda neredeyse mutlak sıfırda çalışan aşırı soğutulmuş ortamlarda kuantum nesneleri manipüle eden mikrodalgalar da dahil olmak üzere son derece özel ekipman gerektirirler. Kuantum bilgisayarların ticari olarak uygun bir şekilde çalışması için araştırma cephesinde uzun bir yol var ve hiç kimse zaman çizelgesinin ne olacağından tam olarak emin değil.
Kuantum sonrası kriptografi perspektifinden düşünülmesi gereken çok sayıda zaman çizelgesi olduğunu açıklayan Soutar, “zaman çizelgesinin belirsizliğinin” karmaşık olduğunu söylüyor.
“Kuantum bilişimin siber güvenlik üzerindeki etkileri oldukça iyi biliniyor ve çok büyük olabilir. Demek istediğim, kriptografi ekonominin tamamında yaptığımız şeylere özgüdür. Mesele şu ki zamanlama bilinmiyor çünkü ilk önce bir kuantum bilgisayarın olması gerekiyor. Shor’un algoritmasını gerçekten çalıştırabilmek için yeterince olgun ve uygulanabilir ve ticari olarak da sağlam” diyor ve bir kuantum bilgisayarının açık anahtar şifrelemesini etkili bir şekilde kırıp kıramayacağının ölçütü olan bir tamsayının asal faktörlerini bulmaya yönelik bir algoritmaya atıfta bulunuyor. “İkincisi, saldırganların verilere erişmesi ve bu verileri çözmesi gerekiyor.”
Buradaki diğer değişken, “şimdi hasat, daha sonra şifresini çöz” olarak adlandırılan ve saldırganların daha sonraki bir tarihte kuantum bilgi işlem kaynakları aracılığıyla kırabileceklerini anlayarak şifrelenmiş bilgileri topladığı bir saldırı kavramıdır. Deloitte araştırması, kuruluşların %50,2’sinin şimdi hasat için risk altında olabileceğine inandığını, sonraki planların şifresini çözebileceğini gösteriyor.
Soutar, “Bu, bir bireyin ömrü boyunca iyi olmasını beklediğim bu veriler için risk oluşturuyor” diyor. “Belki kişisel bilgilerdir ya da en az 10 yıl boyunca güvende olmasını istediğim finansal bilgilerdir. Ya da daha uzun süre gereksinimleri olan ulusal güvenlik bilgileridir.”
“Yani, insanlar ‘Peki, hangi verilere sahibim ve bunları nasıl korumam gerekiyor? Ne kadar süreyle? İkinci olarak, güncellemeleri yayınlamam ne kadar sürer? kuantum kriptografisi? Bunu ne zaman düşünmeye başlamalıyım?”
Bunlar, kuantum etkisinin şifrelemeyi etkilemesinden 5, 10 veya 15 yıl önceye sahip olup olmadığımız konusunda hala anlaşmazlık içinde olan güvenlik ve kuantum hesaplama uzmanları için büyük zaman çizelgesi sorularıdır. Soutar, belki de daha iyi bir düşünce sürecinin, bunu endüstrinin kesin tarihi olarak düşünmeyi bırakmak ve bunun yerine zaman içindeki göreceli riski düşünmek olduğunu yineliyor. Bunun, Evolution Inc’in kurucu ortağı ve CEO’su ve bir kitabın ortak yazarı Dr. Michele Mosca tarafından ortaya atılan bir fikir olduğunu açıklıyor. bildiri Bu yılın başlarında bu düşünce tarzını detaylandırıyor.
Soutar, “O zaman, büyük bir organizasyonda çalışıyorsam, güncellemeleri yapmamın belki on yıl süreceğini düşünmeye başlayabilirsiniz,” diye açıklıyor Soutar. “Tedarik zinciri iletişimi hakkında düşünmem gereken tüm bu tıbbi cihazlara veya diğer OT cihazlarına sahibim ve bunu tedarikçilerime nasıl uygularım?”
“Dolayısıyla, yine, insanların riskin ne olduğunu ölçebilmeleri ve bunu zaman içinde yatırım yapmak istedikleri diğer siber risklerle karşılaştırabilmeleri için bu doğru bir anlayış derecesine sahip oluyor” diye ekliyor.
Sıkıcı Parçalarda Çalışmak
Günün sonunda Soutar, kuantum merceğin güvenlik açısından biraz dikkat dağıtıcı olabileceğini söylüyor. Kuruluşlar kuantumu ufukta tuttuğu sürece, sadece “kriptoda eksik güncellemeler” yapma meselesi olabilir; bu, zamanında yapılırsa endüstri için o kadar da büyük bir anlaşma olmayabilir.
“Kriptoya yönelik kuantum tehdidi gerçekten zaman içinde ele alınan bir şey olmalı. Algoritmalar standartlaştıkça güncellemeler yapın,” diyen Soutar, endüstrinin standardizasyonun somunları ve cıvataları hakkında konuşması gerektiğine inanıyor, ki bu sıkıcı olabilir, ancak ayrıca ilerlemeye başlamanın en önemli yoludur. “Bu süreçten geçtiklerinde, şirketler ve hükümetler değişiklikleri yapma, güncellemeleri yapma konusunda daha fazla güvene sahip oluyorlar ve sadece yapıyorlar. Yani, bu gerçekten bir olay olmamalı.”
Bu, Soutar’ın güvenlik pratisyenlerinin güvenlik duruşlarına yönelik kuantum riski konusunda kafalarını kuma sokmaları gerektiğine inandığı anlamına gelmiyor. Riskler hızlanacak, ancak bu sadece siber risk yol haritasının diğer herhangi bir parçası gibi şifreleme yol haritası üzerinde çalışmak meselesi. Bu, risk değerlendirmeleri yapmayı, verileri keşfetmeyi ve sınıflandırmayı ve zaman içinde riski yansıtmayı içerir.
“Tavan arasına bakmak asla kötü bir fikir değildir. Orada ne bulacağınızı bilemezsiniz. Bunu yaptığımızda, temel kriptografiden geçtiğimizde bulduğumuz şeyler var” diyor. . “Pekala, bunu güncelleyelim veya buna göre doğru görev dağılımına sahip olduğumuzdan emin olalım, diyebilirsiniz. Veya, ‘Tüm sorumlulukları ve yönetimi ortaya koyduk mu?’ Yine sıkıcı şeyler. Ama bunlar kuantum merceğinden baktığınızda bulduğunuz şeyler.”
Deloitte’un araştırması, güvenlik uygulayıcılarını kuantum sonrası kriptografi konusunda ciddi adımlar atmaya teşvik etmek için bir tür düzenleyici baskı gerektirebileceğini gösteriyor. Soutar, endüstrinin, belki de NIST Siber Güvenlik Çerçevesi (CSF) ile aynı ruhta, kuantum sonrası kriptografik yöntemler için bir çerçeve geliştirmek üzere önümüzdeki yıllarda bir araya gelebileceğini umuyor.
“Aşağı yönde bir potansiyel düzenleme kokusu varken, orada bir çerçeveye sahip olmak kötü bir fikir değil” diyor. “Bence bu, gönüllü ve sonuca dayalı bir şeye sahip olmak, sadece düzenlemeden her zaman daha iyidir.”