Bir kuantum bilgisayarın ortak şifrelemeyi veya Q-Day’i kırmayı başardığı gün hızla yaklaşıyor ve dünya buna hazır olmaya yakın değil
Kuantum bilgisayarların şifrelemeyi kıracağı an yaklaşıyor gibi görünüyor
Kuantum bilgisayarlar, bir zamanlar korkulan milenyum hatasının (Y2K) ilginç görünmesine neden olacak küresel bir güvenlik krizine neden olabilir. Bu kötü şöhretli bilgisayar riski, dünyanın dört bir yanındaki mühendislerin perde arkasında yaptığı ısrarlı çalışmalarla önlendi; ancak yeni tehdidin benzer şekilde ele alınıp alınmayacağı acil ancak çözülmemiş bir soru.
Çoğu dijital iletişim ve işlem, geleneksel bilgisayarlar tarafından çözülemeyen ancak yeterli kapasiteye sahip bir kuantum bilgisayar tarafından çözülebilen matematik problemlerine dayalı kriptografi ile korunmaktadır. Araştırmacılar bunu 1990’ların sonlarından beri anladılar, ancak bu yeterli kapasiteye sahip kuantum bilgisayarın çevrimiçi olacağı günün (veya Q-Day’in) çok uzak bir gelecekte olacağı düşünülüyordu. O zamandan beri çok şey değişti.
Çalışan kuantum bilgisayarları artık bir gerçek ve bunların nasıl kullanılacağına dair son atılımlar Q-Day’i daha da yakınlaştırıyor.
2026’nın başından bu yana yapılan çeşitli araştırmalar, en yaygın iki şifreleme yöntemi olan RSA-2048 ve ECDLP-256’nın, on yılın sonunda var olması öngörülen kuantum bilgisayarlar tarafından kırılabileceğini ortaya çıkardı. Ekibi bomba gibi bir çalışmaya imza atan Google’dakiler de dahil olmak üzere siber güvenlik uzmanları, 2029’un herkesin bu kuantum tehdide karşı hazır olması gereken yıl olduğuna işaret ediyor.
Kuantum sonrası şifreleme (PQC) adı verilen bir algoritma paketi biçiminde çözümler mevcut; ancak derinlemesine dijitalleşmiş dünyamızın ne kadarı bunları zaman içinde benimseyecek?
HSBC Grup bankasından Philip Intallura, “(Deneysel) zaman çizelgeleri beklenenden daha hızlı ilerleyebilir ve bu bile tek başına harekete geçmek için bir nedendir. Şimdi başlayan kurumlar, bekleyenlerden çok farklı bir konumda olacak” diyor.
Teknoloji devi Cisco’dan Ramana Kompella, “Hemen hemen tüm müşterilerimize verdiğimiz mesaj şu: ‘Lütfen bunu hafife almayın'” diyor. “Altyapınızı bu kuantum tehditlerine karşı hazırlamanın zamanı bugündür. Hatta dün bile olabilir.”
Kompella, Q-Day’in Y2K’den daha kötü bir tehdit olduğunu çünkü daha gizlice gerçekleşebileceğini söylüyor. Y2K’nin tehlikesi, dünyadaki bilgisayarların 1999’dan sonraki yılları düzgün bir şekilde temsil edememesi ve dolayısıyla bankacılık sunucularından uçak navigasyon sistemlerine kadar her şeyin milenyumun başında aynı anda arızalanmasıydı. Buna karşılık, Q-Day herhangi bir zamanda ve tantana olmadan gerçekleşebilir; en hassas bilgileriniz kimse fark etmeden çalınabilir.
Bu tür spesifik tehditlerden biri, bilgisayar korsanlarının halihazırda hassas verilere sahip olabileceği ve gelecekte bir kuantum bilgisayarla bu verilerin şifresini çözebileceği “şimdi hasat et, şifresini sonra çöz” saldırılarıdır.
PQC firması QuSecure’dan Rebecca Krauthammer, bunun ulusal güvenlik, bankacılık, sağlık ve ilaç endüstrisiyle ilgili bilgiler açısından son derece endişe verici olduğunu söylüyor. Riskler arasında kredi kartlarının hacklenmesi ve silahların fırlatma kodlarının, hassas tıbbi dosyaların veya ticari sırların çalınması yer alıyor.
Düşünce kuruluşu Quantum Strateji Enstitüsü’nden Brian Lenahan bir blog yazısında şöyle yazdı: “Bankalar, sigortacılar, sağlık hizmeti sağlayıcıları ve kritik altyapı operatörleri varoluşsal risklerle karşı karşıya. Bugün aktarılmakta olan veya kullanımda olmayan ‘güvenli’ veriler bile gelecekteki şantajı, casusluğu veya dolandırıcılığı körükleyebilir.”
Krauthamer, kuantum siber güvenliği uzmanlarının, Q-Day’e yönelik zaman çizelgelerinin kısaltılmasıyla ilgili son zamanlarda yapılan çok sayıda çalışma gibi gelişmeleri beklediklerini, ancak geçen ay PQC’ye olağanüstü bir ilgi görüldüğünü söylüyor. “Bu gördüğüm en büyük katalizör anlarından biri” diyor. Ekibinin, kuantum açısından daha güvenli hale gelmek isteyen işletmelerden gelen taleplerde on kat artış gördüğünü tahmin ediyor. Kendisi, 2029 yılına kadar PQC’ye geçişin iddialı ama gerçekçi olduğunu söylüyor.
Krauthamer, birçok telekomünikasyon ve bankacılık kurumunun halihazırda bu konu üzerinde çalıştığını, hastaneler gibi diğerlerinin ise geride kaldığını söylüyor. Intallura, HSBC’nin birkaç yıldır kuantum güvenliğini artırmak için çalıştığını söylüyor ve Kompella, Cisco’nun pek çok ürününün zaten bir miktar kuantum sonrası güvenlik içerdiğini söylüyor.
Gizli güvenlik açıkları
Mesajlaşma uygulaması Signal ve adet döngüsünü izlemeye yönelik bir uygulama olan Flo da dahil olmak üzere PQC’yi halihazırda kullanan çok sayıda uygulama var. 2027 yılına kadar kuantum açısından güvenli olmayı hedefleyen Google Chrome web tarayıcısı gibi diğerleri de bunun üzerinde çalışıyor.
Ancak Nokia’dan Martin Charbonneau, uygulama yükseltmelerinin tek başına yeterli olmayacağını söylüyor. İlgili kuruluşların genellikle tüm teknolojiler hakkında kesin bir anlayışa sahip olmadığı dijital sistemlerin tamamı için güvenliğin yükseltilmesi daha zorlu bir iştir.
Bir işletme ağının her parçası potansiyel bir güvenlik açığıdır. Saldırganlar, bir kullanıcının anlık bildirim alması veya bir mağazada kredi kartının kimliğini doğrulaması gibi şeylere saldırabilir, ancak aynı zamanda yeni başlayan bir uzak sunucuya da saldırabilir veya hastane bilgisayarlarının hastaların dosyalarını paylaşması gibi iki dahili makine arasındaki iletişimi engelleyebilirler. Kompella, birçok şirket için kuantum güvenliğine nasıl ulaşılacağına karar vermedeki ilk zorluğun, özellikle de onlarca yıllık eski yazılımlara ve cihazlara sahip olmaları durumunda, tüm farklı güvenlik açığı noktalarını belirlemek olacağını söylüyor.
Cisco ve Nokia gibi firmalar dahili kuantum araştırma ekiplerine sahip olacak kadar büyük olsa da çoğu böyle değil. Krauthammer, ekibinin şu anda üç ila 10 yıl arasında PQC’ye geçmek için tahmini 100 milyon dolar harcaması gerekecek üç kuruluşla çalıştığını söylüyor. Pek çok şirket, 2027 yılına kadar PQC’ye geçme konusunda kendilerini hızla baskı altında bulacak; bu, ABD hükümetinin ulusal güvenlik koluyla çalışmak için bir gereklilik haline gelecek.
Ancak her şey planlandığı gibi gitse bile bir sektörün başı dertte olabilir: Kripto para birimi. Google ve Ethereum Vakfı’ndaki araştırmacılar, yaptıkları çalışmada Q-Day’in gerçekleştiğine dair ilk işaretin, bir hackerın bir işlemi ele geçirerek veya eski ve boşta kalan cüzdanları hedef alarak bitcoin gibi kripto para birimini çalması olabileceğini öne sürdü. PQC’yi yukarıdan aşağıya uygulama konusunda kapsamlı kararlar alabilen bankaların aksine, kripto para birimleri merkezi değildir ve birçok kullanıcı arasında fikir birliği arayışında olduklarından, geçişin yapılıp yapılmayacağı ve nasıl yapılacağına karar vermenin daha uzun sürmesi beklenir. Özellikle Bitcoin, çevresel etkisini azaltmak gibi algoritmalarında değişiklik yapmakta zorlandı.
Ancak kripto para birimi artık sadece bir ilgi alanı değil. Emeklilik fonları, hayır kurumları ve şirketler bunu giderek yatırım portföylerinin bir parçası olarak dahil ediyor. Oxford Üniversitesi’nden Stefano Gogioso, küresel ekonomiye yeterince yerleşmiş durumda ve eğer güvensiz olduğu ortaya çıktığı için değer kaybederse, sadece kripto para meraklıları dışında daha fazla insanın para kaybedeceğini söylüyor. Halihazırda kuantum açısından güvenli uygulamaları uygulayan birçok kripto para biriminin değeri, en son çalışmaların yayınlanmasının ardından gün içinde yüzde 50’ye kadar arttı.
Sonuçta, eğer dünya çapındaki hükümetler ve işletmeler yeterince hızlı hareket edebilirlerse, Y2K gibi Q-Day de önlenebilir. Ancak bu sefer engeller daha yüksek çünkü tehdit karmaşık ve tam olarak ne zaman gerçekleşeceği bilinmiyor.
İşte bu nedenlerden dolayı Krauthamer insanların bu konuda gürültü yapması gerektiğini düşünüyor. “Hizmetleri kullanan insanlardan aşağıdan yukarıya çok daha fazla baskı gelmesi gerekiyor. ‘Hey, verilerimi bugün ve yarın güvende tutacağınıza güvenmek için kuantum sonrası kriptografiyi benimsediğinizi görmem gerekiyor’ demeliler” diyor.
