Kuantum bilgisayarlarının herhangi bir yararlı şey yapabilecek kadar güçlü hale gelmesine daha biraz zaman var, ancak önümüzdeki beş ila 10 yıl içinde tam ölçekli, hata düzeltilmiş kuantum bilgisayarlarının çalışır hale gelmesi giderek daha olası hale geliyor. Bu, kimya ve malzeme bilimindeki zor hesaplama problemlerini çözmeye çalışan bilim insanları için harika olacak, ancak aynı zamanda günümüzde kullanılan en yaygın şifreleme şemalarını kırmaya çalışanlar için de harika olacak. Bunun nedeni, RSA algoritması örneğin, bankanıza olan internet bağlantısını güvenli tutan, en güçlü geleneksel bilgisayarla bile kırılması neredeyse imkansızdır. Doğru anahtarı bulmak onlarca yıl alır. Ancak aynı şifreleme algoritmaları neredeyse önemsiz derecede kolay Bir kuantum bilgisayarının bozulması için.
Bu, kuantum sonrası kriptografi algoritmalarının ortaya çıkmasına neden oldu ve Salı günü ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) şunları yayınladı: kuantum sonrası kriptografi için ilk standart seti: ML-KEM (aslen CRYSTALS-Kyber olarak bilinir), ML-DSA (önceden CRYSTALS-Dilithium olarak bilinir) ve SLH-DSA (başlangıçta SPHINCS+ olarak sunulmuştur). Ve birçok şirket için bu, bu algoritmaları uygulamaya başlamanın zamanının geldiği anlamına da gelir.
ML-KEM algoritması, örneğin iki sunucu arasında güvenli bir kanal oluşturmak için bugün kullanılan genel-özel şifreleme yöntemlerine benzerdir. Özünde, bir kafes sistemi (ve kasıtlı olarak oluşturulan hatalar) araştırmacıların kuantum bilgisayarları için bile çözülmesinin çok zor olduğunu söylediği bir sorun. Öte yandan ML-DSA, anahtarlarını üretmek için benzer bir şema kullanıyor, ancak tamamen dijital imzalar oluşturmak ve doğrulamakla ilgili; SLH-DSA da tamamen dijital imzalar oluşturmakla ilgili ancak bunu yapmak için farklı bir matematiksel temele dayanıyor.
Bu algoritmalardan ikisi (ML-KEM ve ML-DSA), kuantum bilgisayarları inşa etmede uzun süredir lider olan IBM’de ortaya çıktı. Bu standartlara neden şimdi ihtiyacımız olduğunu biraz daha öğrenmek için IBM’deki araştırma direktörü Dario Gil ile görüştüm. IBM’in on yılın sonuna doğru büyük bir dönüm noktasına ulaşacağımızı düşünüyor. bekliyor tamamen hata düzeltilmiş bir sistem oluşturmak (yani, sistemin bozulmadan ve kullanılamaz hale gelmeden uzun süreler boyunca çalışabilmesini sağlamak).
“O zaman soru şu: O noktadan itibaren, sistemlerinizin bunu başarabilmesi için kaç yılınız var? [breaking RSA]? Bu tartışmaya açık, ancak şunu söylemek yeterli, şu anda şunu söylemeye başladığınız penceredeyiz: tamam, yani on yılın sonu ile en geç 2035 arasında bir yerde – o pencerede – bu mümkün olacak. Fizik yasalarını ve benzerlerini ihlal etmiyorsunuz,” diye açıkladı.
Gil, işletmelerin RSA kırıldığında kriptografinin nasıl görüneceğinin etkilerini düşünmeye başlama zamanının geldiğini savunuyor. Sonuçta sabırlı bir düşman, arada sırada şifrelenmiş veri toplamaya başlayabilir ve 10 yıl içinde bu şifrelemeyi kırmak için güçlü bir kuantum bilgisayarı kullanabilir. Ancak çok az işletmenin —ve belki de hükümet kurumlarının— bunun farkında olduğunu da belirtti.
“Sorunu anlama derecesinin, sorun hakkında bir şeyler yapma derecesinin çok düşük olduğunu söyleyebilirim. Neredeyse hiç kimse gibi değil. Yani, biraz abartıyorum ama temelde bunun başlangıç aşamasındayız,” dedi.
Bunun bir bahanesi, henüz bir standart bulunmaması, bu yüzden Salı günü açıklanan yeni standartların çok önemli olması (ve bir standarda ulaşma sürecinin 2016’da başladığını belirtmekte fayda var).
Gil, birçok CISO’nun sorunun farkında olmasına rağmen, bu konuda bir şeyler yapma aciliyetinin düşük olduğunu söyledi. Bunun nedeni, kuantum hesaplamanın uzun bir süre boyunca, füzyon reaktörleri gibi, gerçeğe dönüşmesine her zaman beş yıl kalan teknolojilerden biri olmasıydı. Bundan bir veya iki on yıl sonra, bir tür şaka konusu haline geldi. Gil, “İnsanların masaya yatırdığı belirsizliklerden biri de bu,” dedi. “İkincisi şu: Tamam, buna ek olarak, ne yapmalıyız? Toplulukta bunların doğru uygulamalar olduğu konusunda netlik var mı? Bu iki şey faktör ve herkes meşgul. Herkesin sınırlı bütçeleri var, bu yüzden diyorlar ki: ‘Bunu sağa kaydıralım. Hadi tekmeleyelim.’ Kurumların ve toplumun mevcut protokollerden yeni protokole geçiş görevi, muhafazakar bir şekilde, on yıllar alacak. Bu çok büyük bir girişim.”
Artık bu yeni algoritmaları uygulamaya başlamak endüstrinin elinde. Gil, önümüzdeki zorluk hakkında “Matematiği oluşturmak zordu, ikamesi zor olmamalı” dedi, ancak bunun söylenmesinin yapmaktan daha kolay olduğunu da kabul etti.
Gerçekten de, birçok işletmenin bugün kriptografiyi nerede kullandıklarına dair tam bir envanteri bile olmayabilir. Gil, burada ihtiyaç duyulan şeyin, çoğu geliştirme ekibinin artık yazılımlarını oluştururken hangi paketleri ve kütüphaneleri kullandıklarını bilmelerini sağlamak için oluşturduğu yazılım malzeme listesine (SBOM) benzer bir “kriptografik malzeme listesine” benzer bir şey olduğunu öne sürdü.
Kuantumla ilgili pek çok şeyde olduğu gibi, şimdi onun gelişine hazırlanmak için iyi bir zaman gibi görünüyor — bu makineleri nasıl programlayacağınızı veya verilerinizi onlardan nasıl koruyacağınızı öğrenmek olabilir. Ve her zaman olduğu gibi, hazırlanmak için yaklaşık beş yılınız var.