Bir sonraki atılımı tahmin etmek kolay olmasa da çoğu uzman, mevcut şifrelemeyi çözebilen on binlerce kübit içeren kuantum bilgisayarların 2030’ların ortalarına kadar geliştirileceğini tahmin ediyor.
Zorluk yalnızca teknik değildir ve çözümleri uygulamak ve dağıtmak için hükümet ve endüstri arasında koordinasyon gerekecektir. Yaklaşan tehdidin farkında olan ABD hükümeti, planları harekete geçiriyor. Geçen yıl Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), 2024 yılına kadar standart haline getireceği dört adet kuantuma dayanıklı kriptografik (PQC) algoritmayı duyurdu. 2035 son tarih ulusal güvenlik sistemlerinin PQC’yi uygulaması için. Ve geçen yılın sonlarında Kongre Kuantum Bilişim Siber Güvenlik Hazırlık Yasasıdiğer tüm federal hükümet BT sistemlerinin NSA ile aynı zaman çizelgesi boyunca PQC’ye geçişini ele aldı.
Sözde “Q-Day” ise neden aciliyet muhtemeldir? on yıl uzakta? İlk olarak, ABD’li düşmanlar bugün şifreli internet trafiğini kaydedebildikleri, süresiz olarak saklayabildikleri ve yetenekli bir kuantum bilgisayara sahip olduklarında şifresini çözebildikleri için, şimdi hasat aşamasında, daha sonra şifresini çöz (HNDL) şemaları.
İkincisi, bir kuruluşun boyutuna ve karmaşıklığına ve BT mimarisine bağlı olarak kriptografik geçiş sürecinin tamamlanması on yıldan fazla sürebilir. İnternet o kadar karmaşık ve farklı kuruluşların altyapısına bağımlı hale geldi ki, bir zayıf halka diğerlerinin tüm hazırlıklarını bozabilir. Ve bu on yıl, mevcut kriptografiyi kırabilen kuantum bilgisayarların zaman çizelgesiyle aynı çizgide.
Her Şeyi Korumak
Teknoloji endüstrisi, fikri mülkiyetlerini ve diğer değerli veri varlıklarını korumak için PQC algoritmalarını dahil etmek üzere sayısız güvenlik standardını güncelleyecektir. Açık kaynaklı yazılımın bu algoritmaları ve standartları entegre etmesi gerekir. Windows’tan Apple ve Android’e kadar büyük işletim sistemlerinin de bunları içermesi gerekir.
Yazılımın ötesinde, bu algoritmaları uygulamak için donanım yongalarına, özellikle de şifreleme anahtarlarını son derece güvenli bir şekilde yöneten donanım güvenlik modüllerine ihtiyacımız var.
Akıllı telefonlar, arabalar, endüstriyel sistemler ve ağ altyapısı dahil olmak üzere cihazların da yükseltilmesi gerekecektir. Hepsi internete ve bulut tabanlı kontrol sistemlerine güvenli bir şekilde bağlanmak için kriptografiye güveniyor. Nesnelerin İnternetini yaygın bilgisayar korsanlığından korumamız gerekiyor. Bu yükseltmeler, akıllı telefonlardaki SIM kartlar gibi donanım şifreleme cihazlarına bağlı olabileceğinden daha zor olabilir.
Son olarak ve belki de en önemlisi, kriptografinin şu anda bağlı olduğu açık anahtar altyapısının PQC algoritmalarını destekleyecek şekilde yükseltilmesi gerekiyor.
PQC’yi Gerçek Dünyada Gerçekleştirme
İnternetteki kriptografi, sertifika yetkilileri olarak bilinen güvenilir üçüncü taraflar sayesinde çalışır. Görevleri, şifreleme anahtarlarının gerçekliğini onaylamaktır. Bankanızın web sitesini ziyaret ettiğinizde, bir sertifika yetkilisi bankanızın şifreleme anahtarlarına kefil olur ve onlara güvenmenizi sağlar. Bu yetkililerin de PQC’yi destekleyecek şekilde yükseltilmesi gerekir.
En önemli kullanım durumları arasında kod imzalama yer alır. Bilgisayarınız İnternetten her yazılım güncellemesi indirdiğinde, orijinalliğini garanti eden ve bir bilgisayar korsanı tarafından değiştirilmediğini iddia eden bir dijital imzayı doğrular. Kötü amaçlı bir yazılım güncellemesi, cihazınızın ve verilerinin kontrolünü etkili bir şekilde ele geçirebileceği için bu son derece önemlidir.
PQC geçişi, potansiyel güvenlik açıklarını belirlemek için bir kuruluşta dağıtılan tüm kriptografiyi haritalayan bir kriptografik envanter geliştirmekle başlayacak. Kapsamlı bir kriptografik envanter, analiz, iyileştirme ve yönetim başlamadan önce bir geçiş yol haritası ve tahmini maliyetler oluşturmaya da yardımcı olacaktır.
Hem eski hem de yeni şifreleme anahtarları aynı anda desteklendiğinde, kriptografiye hibrit bir yaklaşım da bir süre için gerekli olacaktır. Bu altyapı yerinde olduğunda, kurumsal çapta yükseltmeler uygulanabilir. Kriptografik çeviklik, kuruluşların görev sürekliliğini sürdürmesini sağlamak için önemli altyapı değişiklikleri gerektirmeden gelişen siber güvenlik uyumluluk gereksinimlerine ve tehditlerine yanıt vermek için temel olacaktır.
PQC’nin benimsenmesine görünürlük ve hız kazandırmak için hâlihazırda devam eden çabalar var. NIST’in kendisiyle birlikte çalışan endüstri işbirlikçileri vardır. Kuantum Sonrası Kriptografi projesine geçiş. Kablosuz endüstrisi bir standardizasyonu araştıran görev gücü. gibi atölye çalışmaları Gerçek Dünya PQC küresel paydaşları bir araya getiriyor.
Ancak tüm teknoloji endüstrisinin halihazırda var olan bir tehdide karşı acilen birlikte hareket etmesi gerekiyor. Q-Day’in beş veya 50 yıl uzakta olmasına bakılmaksızın, hassas veriler ve iletişimler, acil ve kapsamlı bir önlem alınmazsa gelecekte ifşa olmaya karşı savunmasızdır.