11 Mart 2024 itibarıyla, eski adı Tutanota olan Alman sağlayıcı Tuta, TutaCrypt’i piyasaya sürdü. Geleneksel şifrelemeyi ve kuantum dirençli algoritmaları birleştiren yeni bir hibrit protokoldür. Popüler güvenli e-posta sağlayıcısı, kuantum sonrası koruma sunan ilk şirket olduğunu iddia ediyor.
Kuantum bilgisayarlar hâlâ kitlesel kullanımdan uzak olsa da verilerimiz zaten risk altında. Bu nedenle, VPN hizmetleri ve Signal gibi mesajlaşma uygulamaları da dahil olmak üzere tüm güvenlik firmaları, kuantum bilgisayarların nihayet geleneksel şifreleme yöntemlerini (Q-Day) kırabileceği güne hazırlık amacıyla kriptografi oyunlarını geliştiriyor. TutaCrypt bu yönde atılmış bir adım daha. Ayrıca, tamamen açık kaynak olduğundan, herkes kodun üzerinde yazan şeyi (ve ne eksik ne fazla) yaptığını doğrulamak için kodu kontrol edebilir.
Kuantum sonrası şifrelemenin aciliyeti
Arne Möhle, “Tuta Mail olarak kendimizi güvenli iletişimde öncü olarak görüyoruz ve TutaCrypt ile geleceğin iletişiminin standartlarını belirliyoruz. Kuantum açısından güvenli olma yolunda böylesine muhteşem bir dönüm noktasına ulaşmış olmaktan gurur duyuyoruz.” Tuta Mail’in CEO’su bana söyledi.
Tuta, kullanıcıların iletişimini uçtan uca şifrelemeyle koruyan ilk e-posta servislerinden biri olarak 2014 yılında Tutanota adı altında hizmete girdi. Sağlayıcı, yolculuğu boyunca güvenli bir takvim ekledi ve hatta adını değiştirdi. Artık kuantum sonrası kriptografiyi uygulayan ilk e-posta uygulaması olduğunu iddia ediyor.
Möhle, Q-Day’in hâlâ çok uzakta olmasına rağmen, “Şimdi Hasat Et, Daha Sonra Şifresini Çöz” saldırıları tehdidinin, kuantum dirençli protokollere geçişi ekip için bir öncelik haline getirdiğini belirtti.
Bana “Kuantum güvenli şifreleme sadece bir seçenek değil, aynı zamanda tehditlerin sürekli arttığı bir dünyada bir zorunluluktur” dedi. “Kullanıcılarımızın gizliliğine odaklanıyoruz ve kuantum güvenli şifrelememiz TutaCrypt ile artık verilerini daha da iyi koruyabiliyoruz.”
Bugün dünyanın ilk #postquantum güvenli e-posta platformunun lansmanını duyurmaktan gurur duyuyoruz! 🥳🎉TutaCrypt ile verileriniz hareketsiz durumdaki ve aktarım halindeki kuantum bilgisayar saldırılarına karşı güvendedir. ⚛️ 🔒#Güvenlikteki bu büyük sıçrama hakkında daha fazla bilgiyi burada bulabilirsiniz: https://t.co/Nq7ePZ2ctb pic.twitter.com/XeycBQpBYn11 Mart 2024
Tuta’nın kuantum sonrası arayışı yaklaşık dört yıl önce PQMail’in hem e-posta hem de takvim uygulamalarını kuantum sonrasına dayanıklı hale getirmesiyle başladı. Geçen Temmuz ayında, Hannover merkezli şirket, Alman hükümetinden 1,5 milyon Euro tutarında bir hibe aldı ve bu daha yüksek korumayı bulut depolama dünyasına da genişletmek için PQDrive projesini başlatmak üzere Wuppertal Üniversitesi ile güçlerini birleştirdi. Möhle bana “TutaCrypt, PQDrive projesinde geliştirilen TutaDrive için bir ön koşuldur” dedi.
TutaCrypt, klasik asimetrik şifrelemenin (RSA-2048) yerini almaya geliyor; Möhle, e-postalar için bir alıcının yalnızca gönderenin genel anahtarını bilmesini ancak özel anahtarı bilmemesini sağlayan bir teknoloji olduğunu açıkladı.
Yeni kuantum güvenli hibrit şifreleme protokolü, kuantum sonrası Anahtar Kapsülleme Mekanizmasını (KRİSTALLER-Kyber) ve eliptik eğri Diffie Hellmann anahtar değişimi (x25519). Daha az teknoloji meraklısı olanlar için bilmeniz gereken tek şey, ekstra güvenlik için iletişimlerinizin hem standart uçtan şifrelemeye hem de kuantum dirençli algoritmalarla güvence altına alınacağıdır.
Sağlayıcı ayrıca, kullanıcıların bunları herhangi bir cihazda kullanmasına olanak sağlamak için özel anahtarların Alman tabanlı sunucularında (kullanıcının şifresinden türetilen bir anahtarla) şifrelenmiş olarak saklandığını açıkladı.
Sağlayıcı TutaCrypt’i tüm kullanıcılara sunduğundan, e-postalar, takvimler ve kişiler üzerindeki yeni korumalardan yararlanmak için uygulamayı en son sürüme güncellemek gerekiyor. Kesin olan şey, Tuta’nın ekibinin mevcut sınırlamaları aşmak ve tam PQ prototipini uygulamaya devam etmek için çalışmaya devam etmesi nedeniyle işin burada bitmeyeceğidir.
Bu noktada Möhle şunları söyledi: “Bu projenin bir sonraki adımında ve şifreleme protokolünün tamamlanmasından sonra (ki bu protokol hala İleri Gizliliğe sahip değil), kuantum sonrası güvenli sürücü çözümünü uygulayacağız.”