ABD Başkanı Donald Trump, 22 Haziran'da imzaladığı yeni bir başkanlık kararnamesi (EO 14409) ile federal kurumların kuantum sonrası şifrelemeye (PQC) geçişini hızlandırmak için somut adımlar attı. Kararnameye göre, tüm federal kurumlar yüksek değerli varlıklarını ve yüksek etkili sistemlerini 31 Aralık 2030'a kadar anahtar kurulum (key establishment) için, 31 Aralık 2031'e kadar da dijital imzalar için kuantum güvenli hale getirmek zorunda. Beyaz Saray, bu hamlenin "Amerika'nın en hassas verilerini, kritik altyapısını ve istihdam ile büyümeyi yönlendiren dijital ekonomiyi korumayı" amaçladığını belirtti.
Kararname, kuantum bilgisayarların bugünkü şifreleme yöntemlerini kırabilecek güce ulaşmasıyla ortaya çıkacak "Q-Day" senaryosuna karşı bir önlem olarak görülüyor. Özellikle "hasat şimdi, çöz sonra" (harvest now, decrypt later) saldırıları, düşmanların bugünkü şifrelenmiş verileri toplayıp kuantum bilgisayarlar kullanılabilir olduğunda kırmayı planladığı bir tehdit oluşturuyor. Global Kuantum Tehdit İttifakı (GQTA) Genel Sekreteri Laurent Leloup, bu kararnamenin "kuantum proje yönetiminden ulusal güvenlik acil durumuna geçiş" anlamına geldiğini vurguladı.
Kararname kapsamında ABD Ticaret Bakanlığı'na derhal bir PQC geçiş pilot projesi başlatma ve 31 Aralık 2027'ye kadar tamamlama talimatı verildi. Ayrıca, Yönetim ve Bütçe Ofisi (OMB) ile Ulusal Siber Direktör, ulusal çapta hızlandırılmış bir PQC geçişine liderlik etmekle görevlendirildi. Dışişleri Bakanlığı ve diğer kurumlar, kritik altyapı işletmecileri ve uluslararası ortakların PQC'yi benimsemesini destekleyecek. Federal Satın Alma Düzenleme Konseyi'ne, yüklenicilerin 2030 yılına kadar federal siber güvenlik ve güvenlik açığı ifşa standartlarını karşılaması talimatı verildi.
Uzmanların Görüşleri
Kripto çeviklik (crypto-agility) kavramı, bu geçişte kilit bir rol oynuyor. Güvenlik ekiplerinin uygulamalar ile şifreleme kütüphaneleri arasında soyut bir katman oluşturarak, tüm yığını değiştirmeden en son şifreleme algoritmalarına güncelleme yapabilmesini sağlıyor. Illumio kamu sektörü CTO'su Gary Barlet, araştırma topluluğunun "öncelikle PQC geçişine yardımcı olmaya odaklanması gerektiğini" belirterek, "Düşmanların kuantum atılımlarını çalmak için kuantum bilgisayara ihtiyacı yok, sadece erişime ihtiyaçları var. Bu nedenle görünürlük, segmentasyon ve ihlal kontrol stratejileri kritik olmaya devam ediyor" dedi.
Özel sektör de kuantum güvenli şifrelemeye yöneliyor. Google, Dell ve HP önümüzdeki on yıl içinde geçiş planlarını açıklarken, Cloudflare 2029'a kadar tam PQC geçişini hedefliyor. Uluslararası alanda Fransa'nın siber güvenlik ajansı ANSSI, 2027'den itibaren kuantum güvenli şifreleme içermeyen ürünleri sertifikalandırmayı durduracağını duyurdu. Red Sift Başkan Yardımcısı Billy McDiarmid, "2031 federal hedefi önemli bir işaret, ancak rahat bir son tarih olarak görülmemeli. Yıllarca özel kalması gereken verileri tutan her kuruluş, şimdi 2029-2031 penceresine karşı plan yapmalı" uyarısında bulundu.
Uzmanlar, kuantum sonrası geçişin sadece yeni algoritmalar satın almak olmadığını, tüm sertifikalar, anahtarlar, uygulamalar, API'ler, bulut hizmetleri, tedarikçiler, cihazlar ve üçüncü taraf sistemlerin kuantum güvenli şifrelemeyle güvence altına alınması gerektiğini vurguluyor. McDiarmid, "Kuantum sonrası göç, sadece yeni algoritmalar satın almakla ilgili değil; tüm sertifikaların, anahtarların, uygulamaların, API'lerin, bulut hizmetlerinin, tedarikçilerin, cihazların ve üçüncü taraf sistemlerin kuantum güvenli şifrelemeyle güvence altına alınması anlamına geliyor" dedi.
Kaynak: infosecurity-magazine.com