Artık doktora sonrası fizik akademisine ve üzgünlüğe mahkum değiliz Schrödinger’in kedisi Düşünce deneyleri, kuantum sonrası bilişim iyileştirmesinin gerçek dünyaya ulaştığını gösteriyor.
Kuantum bilişiminin, RSA ve Gelişmiş Şifreleme Standardı (AES) gibi mevcut açık anahtar altyapısı (PKI) şifreleme şemalarını kırma gücüyle on yıl sonra ciddi bir şekilde ortaya çıkması bekleniyor. Ve NIST’in yakın zamanda yayınladığı üç nihai kuantum şifreleme standardı, Güvenlik ekipleri, gizli verileri kırıp açığa çıkarabilecek kuantum algoritmaları üretime geçmeden önce, savunmasız kriptografiyi güncellemek için 10 yıllık bir zaman dilimiyle yarışıyor.
NIST’in standartların yayınlanmasıyla birlikte kuantum sonrası şifreleme iyileştirme planlama ve yürütme işini dünyadaki siber güvenlik ekiplerine devretmesiyle birlikte, artık sıradan siber güvenlik profesyonellerinin bu konuda “pratik” davranmasının zamanı geldi. kuantum sonrası kriptografi Sectigo Ürün Kıdemli Başkan Yardımcısı Jason Soroko’ya göre;
Soroko, “NIST’i bekliyorum diyen düzenli siber güvenlik uygulayıcıları için artık beklemek için bir neden yok” diyor.
Akamai gibi büyük bilgi teknolojisi (BT) oyuncuları ve Google Chrome gibi tarayıcılar, halihazırda büyük ölçekli çabalar başlattılar. Kuantum sonrası kriptografik siber güvenliklerini güçlendirmek. Ancak, bireysel kuruluşların, uçtan ve içerik dağıtım ağlarından (CDN’ler) ağlarına aktarıldıktan sonra hem aktarım sırasında hem de beklemedeyken verilerin güvenliğini ele alması gerekecektir. Ve ne yazık ki, sorunun muazzam ölçeği çok büyük, bu yüzden hemen başlamaları gerekiyor.
“Kuantum sonrası kriptografiye geçiş, kesintileri en aza indirmek ve sürekli güvenliği sağlamak için dikkatli planlama gerektiren karmaşık, çok yıllık bir süreçtir,” diye açıklıyor Soroko. “Erken planlama, PQC standartları yaygın olarak kullanılabilir hale geldiğinde daha sorunsuz bir geçişe olanak tanır.”
Zaman da önemlidir: Zaten endişeler var “şimdi çal, sonra şifresini çöz” saldırganların hassas şifrelenmiş verileri toplayıp gelecekte kuantum bilgisayarları aracılığıyla şifresini çözmek üzere depolaması.
NIST’in Yeni Post-Kuantum Kriptografi Standartlarına Geçiş
Merlin Cyber’da yönetici teknik stratejist olan Philip George, yeni NIST post-kuantum kriptografi standartlarının yayınlanmasını “siber güvenlik uygulayıcıları ve genel teknoloji tüketicileri için önemli bir an” olarak nitelendiriyor, ancak PQC göçünün kapsamını kavramak için önemli miktarda zaman ve çaba gerekeceğini belirtiyor. Ve karmaşıklık, tüm iletişimlerin temel kimlik doğrulama işlevlerinin yanı sıra gizlilik ve güvenlik için kriptografiye dayanması gerçeğiyle başlıyor.
George, “BT alanında kriptografiye dayanmayan tek bir alan bile yok; ister verileri şifrelemek, ister bir güvenlik ana bilgisayarına bağlantıyı güvence altına almak veya yazılımlar için doğrulama kontrolleri sağlamak olsun,” diyor.
Bu nedenle, ilk pratik PQC adımı olarak, kriptografinin her yerde bulunması, kuantuma herhangi bir geçişe hazırlanmak için kapsamlı, otomatik bir varlık envanteri gerektirir. Bu amaçla, Soroko “kuruluş içinde kullanılan tüm kriptografik varlıkların ve protokollerin kapsamlı bir denetimini yapın” diye tavsiyede bulunuyor. “Bu, kriptografik algoritmaların veri koruma, kimlik doğrulama, dijital imzalar ve diğer kritik güvenlik işlevleri için nerede kullanıldığını belirlemeyi içerir.”
Var tarama araçları mevcut Şirketlere, kuruluş genelinde kriptografi kanıtı toplama işinde yardımcı olmak, ayrıca açık anahtar altyapısı kayıtlarından ve sertifikalarından, sertifika yönetim araçlarından, kriptografik donanım anahtarlarından ve daha fazlasından gelen verilerden yararlanmak için, diye belirtiyor.
Ayrıca bu araçlar, kuruluşun altyapısı değiştiğinde kriptografik envanteri koruyabilir ve devam eden geliştirme süreçlerine entegre olabilir.
PQC Varlık Envanteri ve Bir İyileştirme Planı Oluşturma
Soroko, kriptografi varlık envanteri tamamlandıktan sonra, hangi varlıkların kuantum saldırılarına karşı en savunmasız olduğunu ve öncelikle kuantum sonrası algoritmalara yükseltilmesi gerektiğini belirlemeyi içeren bir iyileştirme planının uygulamaya konulabileceğini öne sürüyor..
Örneğin, “şimdi topla, sonra şifresini çöz” tehdidine karşı savunma söz konusu olduğunda Soroko, kuruluşun eski algoritmalarla korunan kritik sırlarını derhal tespit edip, PQC geçişi için bunlara öncelik verilmesini öneriyor.
Soroko, bu arada PQC geçiş planlarının, geçişin ‘nasıl’ ve ‘ne zaman’ gerçekleşeceği de dahil olmak üzere mümkün olduğunca ayrıntılı olması gerektiğini açıklıyor.
“Kuantum saldırılarına (örneğin RSA, ECC) karşı hassas algoritmalara odaklanarak eski ve savunmasız kriptografiyi belirleyin” diyor ve siber ekiplerin ayrıca “göçün aciliyetini belirlemek için kritik verilerin kullanım ömrünü” değerlendirmesi gerektiğini ekliyor.
Ayrıca, PQC geçiş çabalarını merkezileştirmek için kuruluşların BT, güvenlik, hukuk ve diğer iş birimlerini içeren çapraz işlevli bir ekip kurmasını savunuyor.
Soroko, “Bu yaklaşım tüm alanların kapsanmasını ve tekrarların azaltılmasını sağlayarak önemli maliyet tasarruflarına yol açar,” diyor. “En önemlisi, yukarıdan aşağıya bir yaklaşım benimseyin, riski değerlendirme işini BT personeline bırakmak yerine, riski elinde bulunduran yöneticilerin inisiyatifi desteklemesini sağlayın. Bu uyum, PQC geçişinin gerekli kaynaklar ve yetkiyle desteklenen stratejik bir öncelik olarak ele alınmasını sağlar.”
Ortak bir NIST ve İç Güvenlik Bakanlığı kuantum sonrası yol haritası her organizasyonun kendine özgü gereksinimleri olacağını açıklar. Nereden başlayacağınızı belirlemek için şu soruları sormanızı önerir:
-
Sistem, kurumsal ihtiyaçlara göre yüksek değerli bir varlık mıdır?
-
Sistem neyi koruyor (örneğin anahtar depoları, parolalar, kök anahtarlar, imzalama anahtarları, kişisel olarak tanımlanabilir bilgiler, hassas kişisel olarak tanımlanabilir bilgiler)?
-
Sistem başka hangi sistemlerle iletişim kuruyor?
-
Sistem federal kurumlarla ne ölçüde bilgi paylaşıyor?
-
Sistem, kuruluşunuzun dışındaki diğer varlıklarla ne ölçüde bilgi paylaşıyor?
-
Sistem kritik altyapı sektörünü destekliyor mu?
-
Verilerin ne kadar süreyle korunması gerekiyor?
Tedarikçilerin ve Ortakların Rolü
Ayrıca, daha sorunsuz bir geçişi garanti altına almak için, kuruluşların veri paylaştığı ortaklar ve tedarikçilerle yakın koordinasyon içinde bir PQC iyileştirme planı oluşturulmalıdır.
“İş birliği, geçişin endüstri standartlarıyla uyumlu olmasını ve risklerin en aza indirilmesini sağlar,” diyor Soroko. “Ortaklar ayrıca, kriptografik altyapıyı gelişen kuantum tehditlerine karşı güvenli tutarak sürekli destek de sunabilir.”
Tüm kurumsal ekosistem hakkında perspektif edinmek son derece önemlidir ve ortaklar ve tedarikçilerle etkileşime girilmeden bu başarılamaz.
“Satıcılar, ‘hasat ve şifre çözme’ saldırıları için hedef alınabilecek kritik sırların belirlenmesine ve güvence altına alınmasına yardımcı olabilir ve bunların kuantum dirençli algoritmalarla korunmasını sağlayabilir” diye ekliyor.
Keeper Security’nin kriptografi uzmanı Adam Everspaugh’a göre, PQC geçiş planlamasına tedarikçileri erken dahil etmek, siber ekiplerin kuantum tehditlerinin de önünde kalmalarına yardımcı olabilecek özel uzmanlıktan yararlanmalarını sağlayabilir.
“Kuantum dirençli kriptografiye başarılı bir şekilde geçiş yapmak, kriptografi, BT altyapısı ve siber güvenlik konusunda uzmanlığın bir kombinasyonunu gerektirecektir,” diye açıklıyor. “Güvenlik ekiplerinin, yeni algoritmaları anlayan kriptograflar ve mevcut sistemlerle entegrasyonu yönetebilen BT uzmanlarıyla yakın bir şekilde iş birliği yapması gerekecektir. Bu algoritmaların benzersizliği göz önüne alındığında, uzmanlık hala gelişmektedir.”
Soroko, planlama tamamlandıktan sonra, tedarikçilerin ve ortakların araştırma ve test aşamasında siber ekiplerle çalışmaya devam etmeleri gerektiğini söylüyor.
“NIST onaylı post-kuantum kriptografik algoritmaları kuruluşunuzun altyapısında test etmeye ve entegre etmeye başlayın,” diye açıklıyor. “Bu, pilot programlara katılmayı, tedarikçilerle iş birliği yapmayı ve PQC’deki son gelişmeler hakkında bilgi sahibi olmak için devam eden araştırmalara katılmayı içerir.”
Kuantum Konusunda Ayaklarınızı Sürüklemeyin
Korkutucu görünebilir, ancak bir sonraki yakın kuantum bilişim atılımından önce PQC standartlarını uygulama ihtiyacı, dünyanın her yerindeki siber profesyonellerin ve ağ savunucularının artık yalnızca kuantumu düşünmeleri gerekmediği anlamına geliyor; harekete geçmeleri gerekiyor.
Everspaugh, “BT ve güvenlik ekipleri için zorluklar, mevcut sistemlerle uyumluluğu sağlamaktan, kriptografik anahtarların geçişini yönetmeye kadar önemli” diyor. “Ancak, bu değişimin aciliyeti abartılamaz.”
Soroko, ayrıca PQC projesini erken üstlenen kuruluşların, yaklaşan kuantum devrimine karşı ağlarını başarıyla savunmak için çok daha iyi bir konumda olacaklarını da sözlerine ekliyor.
“Erken benimseme ve test etme, kuruluşların potansiyel zorlukları belirlemesine ve uygulama stratejilerini iyileştirmesine yardımcı olacaktır,” diyor. “Araştırmaya katılmak, kuruluşun PQC ilerlemelerinin ön saflarında kalmasını ve standart hale geldikçe güvenli algoritmaları uygulamaya hazır olmasını sağlar.”