Güvenlik liderleri, post-kuantum kriptografiye (PQC) geçiş planlarını hızlandırmak için daha proaktif envanter çıkarma, tedarik ve kripto-çeviklik çalışmaları yürütmeli. Bu uyarı, Infosecurity Europe 2024'te konuşan Forescout Güvenlik İstihbaratı Başkan Yardımcısı Rik Ferguson'dan geldi. Ferguson, dünya genelindeki SSH sunucularının yalnızca %8'inin PQC'yi desteklediğini ve bu oranın bir yılda sadece 2 puan arttığını belirtti. 'Soru, Q-günü ne zaman gelir değil, o an geldiğinde hazır mı olacağız? En azından yolculuğa başlamış mı olacağız?' dedi.
Kuantum hesaplamanın tehdidi yaklaşıyor. EY'nin bu hafta yayınladığı yeni araştırma, iş liderlerinin %87'sinin kuantum hesaplamanın 2030 yılına kadar sektörlerini altüst etmesini beklediğini ortaya koydu. Ancak sadece %35'i bunu önümüzdeki beş yıl için stratejik bir öncelik haline getirmiş durumda. %59'u ise kuantum hesaplamanın 2030'a kadar yeterince olgunlaşmayacağına inanıyor. Oysa kriptografik olarak anlamlı kuantum bilgisayarlar (CRQC) için geri sayım çoktan başladı.
Ferguson, NSA'nın 2021 gibi erken bir tarihte 'şimdi topla, sonra şifre çöz' (HNDL) saldırıları konusunda uyardığını hatırlattı. Snowden sızıntılarından elde edilen kanıtlar, ABD ve rakiplerinin daha sonra şifresini çözmek üzere şifrelenmiş verileri topladığını gösteriyor. İngiltere ve ABD'deki gizli ortak gözetim programları Muscular ve Tempora bunu işaret ediyor. Ayrıca, Çin üzerinden internet trafiğinin büyük ölçüde yönlendirildiği önceki olaylar, Pekin'in de benzer bir şey yapıyor olabileceğini gösteriyor. Salt Typhoon'un devam eden çabaları da daha sonra şifresini çözmek üzere şifrelenmiş verileri çalmayı içerebilir.
Nasıl Önlem Alınmalı?
'En büyük sorunlara neden olan şeylerden bazıları, duymadığınız veya geleceğini göremediğiniz şeylerdir,' diyen Ferguson, HNDL planlarının doğrulanmamış olsa da 'yeteneğin belgelendiğini ve gerçek olduğunu' vurguladı. Her ne kadar yalnızca uzun ömürlü veriler HNDL riski altında olsa da, PQC planlamasına şimdi başlanmalı. G7 Siber Uzman Grubu'nun Ocak ayında yayınladığı yol haritası da aynı çağrıyı yapıyor. Ancak bu yol haritasına göre - strateji, envanter, planlama, göç, test ve izleme - planlama aşaması 2028-29'a denk geliyor. Bu da IBM'in Starling hata toleranslı kuantum bilgisayarını çalışır hale getirme vaadiyle aynı döneme denk geliyor.
Önemli Gelişmeler
Ferguson, Q-günü yaklaşırken üç cephede harekete geçilmesi çağrısında bulundu: İlk olarak, kriptografik varlıkların tam envanterini çıkarın. Hangi sistemlerin hangi şifreleme algoritmalarını kullandığını bilin. İkinci olarak, tedarik süreçlerine PQC gereksinimlerini ekleyin. Yeni donanım ve yazılım alımlarında PQC desteği şart koşun. Üçüncü olarak, kripto-çeviklik yeteneğinizi geliştirin. Şifreleme algoritmalarını hızla değiştirebilecek esnek bir altyapı kurun.
Bu üç adım, kuruluşların kuantum sonrası döneme hazırlıklı olmasını sağlayacak. Envanter çıkarma, mevcut riskleri anlamak için kritik. Tedarik sürecine PQC'yi dahil etmek, yeni sistemlerin güvenli olmasını garanti altına alır. Kripto-çeviklik ise gelecekteki algoritma değişikliklerine hızlı uyum sağlamayı mümkün kılar. Güvenlik liderleri, bu adımları bugün atmalı; çünkü kuantum bekleyemez.
Kaynak: infosecurity-magazine.com