Infosecurity Europe 2024'te konuşan Forescout Güvenlik İstihbaratı Başkan Yardımcısı Rik Ferguson, kuantum sonrası kriptografi (PQC) geçiş planlarının ivedilikle hızlandırılması gerektiğini vurguladı. Ferguson, dünya genelinde SSH sunucularının yalnızca %8'inin PQC'yi desteklediğini ve bu oranın bir yılda sadece iki puan arttığını belirtti. 'Asıl soru Q-günü ne zaman sorusu değil, o an geldiğinde hazır olacak mıyız?' diye soran Ferguson, en azından yolculuğa başlamış olmamız gerektiğini ifade etti.
EY'nin bu hafta yayınladığı yeni bir araştırma, iş liderlerinin %87'sinin kuantum hesaplamanın 2030 yılına kadar sektörlerini altüst etmesini beklediğini ortaya koydu. Ancak, yalnızca %35'i bunu önümüzdeki beş yıl için stratejik bir öncelik haline getirmiş durumda. %59'u ise kuantum teknolojisinin 2030'a kadar yeterince olgunlaşmayacağına inanıyor. Güvenlik perspektifinden bakıldığında ise, kriptografik olarak anlamlı kuantum bilgisayarlara (CRQC) geri sayım çoktan başladı.
Ferguson, NSA'nın 2021 gibi erken bir tarihte 'şimdi topla, sonra çöz' (HNDL) saldırıları konusunda uyarıda bulunduğunu hatırlattı. Snowden sızıntılarından elde edilen kanıtlar, ABD'nin ve dolayısıyla rakiplerinin, şifrelenmiş verileri daha sonra çözmek üzere topladığını gösteriyor. İngiltere ve ABD'deki gizli ortak gözetim programları Muscular ve Tempora, bu durumu kanıtlıyor. Ferguson, Çin üzerinden internet trafiğinin büyük ölçüde yönlendirilmesi gibi önceki olayların, Pekin'in de benzer bir şey yaptığını gösterdiğini iddia etti.
Sonuç ve Değerlendirme
Salt Typhoon'un devam eden çabalarının da daha sonra çözmek üzere şifrelenmiş verileri çalmayı içerebileceğini belirten Ferguson, 'En büyük sorunlara neden olan şeyler, duymadığınız veya geleceğini görmediğiniz şeylerdir' dedi. Bu HNDL planları doğrulanmamış olsa da, 'kapasitenin belgelenmiş ve gerçek olduğu' konusunda uyardı. Şirketlerin, yalnızca uzun ömürlü veriler risk altında olsa da, PQC planlamasına hemen başlaması gerektiğini vurguladı.
Nasıl Önlem Alınmalı?
Ocak ayında yayınlanan bir G7 Siber Uzman Grubu yol haritası da aynı çağrıyı yaptı. Ancak yol haritasındaki zaman çizelgesine göre - strateji, envanter, planlama, geçiş, test ve izleme - planlama aşaması 2028-29 yıllarına denk geliyor. Bu, IBM'in hataya dayanıklı kuantum bilgisayarı Starling'i çalıştırmayı vaat ettiği zaman dilimiyle neredeyse aynı. Q-günü hızla yaklaşırken Ferguson, üç cephede eylem çağrısında bulundu: kriptografik envanter çıkarma, tedarik süreçlerine PQC gereksinimlerini ekleme ve kripto-çeviklik yeteneklerini geliştirme.
Teknik Analiz
Ferguson'un uyarıları, kuantum bilgisayarların mevcut şifreleme yöntemlerini kırabilecek kapasiteye ulaşmasının beklenenden daha yakın olduğunu gösteriyor. Şirketlerin, şimdiden harekete geçerek verilerini gelecekteki tehditlere karşı korumaya başlamaları gerekiyor. Kriptografi dönüşümü, sadece bir teknoloji güncellemesi değil, aynı zamanda stratejik bir zorunluluk haline geliyor.
Kaynak: infosecurity-magazine.com