Önde gelen bir güvenlik uzmanı, güvenlik liderlerinin daha proaktif envanter oluşturma, satın alma ve kripto çevikliği çabaları yoluyla kuantum sonrası kriptografiye (PQC) geçiş planlarını acilen hızlandırması gerektiğini savundu.
3 Haziran'da Infosecurity Europe'da konuşan Forescout'un güvenlik istihbaratından sorumlu başkan yardımcısı Rik Ferguson, dünya çapındaki SSH sunucularının yalnızca %8'inin şu anda PQC'yi desteklediği konusunda uyardı; bu oran bir yılda sadece iki puan artış gösterdi.
"Soru 'Q-günü ne zaman gelecek?' değil" dedi. "'O an geldiğinde hazır olacak mıyız? En azından yolculuğa başlamış mıyız?'"
Kuantum hakkında daha fazlasını okuyun: Kuantum Bilişimin Şifrelemeye Yönelik Tehdidi Beklenenden Daha Yakın, Google'ı Uyardı
EY'nin bu hafta yaptığı yeni araştırma, iş dünyası liderlerinin %87'sinin kuantum bilişimin 2030 yılına kadar sektörlerini altüst edeceğini beklediğini ortaya çıkardı. Ancak yalnızca %35'i bunu önümüzdeki beş yıl için stratejik bir öncelik haline getirdi ve %59'u bunun 2030'a kadar yeterince olgunlaşmasının mümkün olmadığına inanıyor.
Ancak güvenlik açısından bakıldığında, kriptografik olarak ilgili kuantum bilgisayarlara (CRQC'ler) yönelik geri sayım çoktan başladı. Ferguson, NSA'nın 2021'den beri şimdi hasat-şifresini-sonra-çöz (HNDL) saldırıları konusunda uyarıda bulunduğunu söyledi.
Snowden sızıntılarından elde edilen, ABD'nin ve dolayısıyla düşmanlarının daha sonra şifrelemek amacıyla şifrelenmiş verileri zaten silip süpürdüğüne dair kanıtlara değindi.
Teknik Analiz
Birleşik Krallık ve ABD'deki son derece gizli, ortak gözetim programları olan Muscular ve Tempora programları bunu göstermektedir. Ferguson, internet trafiğinin büyük oranda Çin üzerinden yönlendirilmesini içeren önceki olayların Pekin'in muhtemelen benzer bir şeyin peşinde olduğunu gösterdiğini iddia etti.
Salt Typhoon'un devam eden çabaları, daha sonraki bir tarihte şifresini çözmek üzere şifrelenmiş verileri çalmayı da içerebilir.
Önemli Gelişmeler
"En büyük sorunlara neden olan şeylerden bazıları duymadığınız veya geleceğini göremediğiniz şeylerdir" dedi. Ferguson, bu HNDL planları henüz onaylanmamış olsa da "yetenek belgelenmiştir ve gerçektir" diye uyardı.
Firmalar Şimdi PQC İçin Plan Yapmalı
HNDL nedeniyle yalnızca uzun ömürlü veriler risk altında olsa da PQC planlamasının şimdi başlaması gerektiğini söyledi.
G7 Siber Uzman Grubu'nun Ocak ayındaki yol haritası da aynı şeyi öne sürüyordu. Ancak zaman çizelgesine (strateji, envanter, planlama, geçiş, test ve izleme) göre planlama aşaması 2028-29'a denk geliyor. Bu, IBM'in Starling hataya dayanıklı kuantum bilgisayarını çalışır duruma getirmeyi vaat ettiği zaman dilimiyle hemen hemen aynı.
Nasıl Önlem Alınmalı?
Q-günü hızla yaklaşırken Ferguson üç cephede eylem çağrısında bulundu: