Forescout güvenlik istihbaratı başkan yardımcısı Rik Ferguson, Infosecurity Europe 2024'te yaptığı konuşmada, güvenlik liderlerinin kuantum sonrası kriptografiye (PQC) geçiş planlarını acilen hızlandırması gerektiğini vurguladı. Ferguson, dünya genelindeki SSH sunucularının yalnızca %8'inin PQC'yi desteklediğini ve bu oranın bir yılda sadece iki puan arttığını belirtti. 'Soru, Q-günü ne zaman gelecek değil, o an geldiğinde hazır olacak mıyız? En azından yolculuğa başlamış olacak mıyız?' dedi.
EY'nin bu hafta yayınladığı yeni araştırma, iş liderlerinin %87'sinin kuantum bilişimin 2030 yılına kadar sektörlerini altüst etmesini beklediğini ortaya koydu. Ancak sadece %35'i bunu önümüzdeki beş yıl için stratejik bir öncelik haline getirdi ve %59'u kuantum bilişimin 2030'a kadar yeterince olgunlaşmayacağına inanıyor. Ferguson, kriptografik olarak ilgili kuantum bilgisayarların (CRQC) geri sayımının çoktan başladığını vurguladı.
NSA, 2021 gibi erken bir tarihte 'hasat-şimdi-çöz-sonra' (HNDL) saldırıları konusunda uyarıda bulunmuştu. Ferguson, Snowden sızıntılarından elde edilen kanıtlara atıfta bulunarak ABD'nin - ve dolayısıyla rakiplerinin - daha sonra çözmek üzere şifrelenmiş verileri topladığını belirtti. İngiltere ve ABD'deki çok gizli ortak gözetim programları Muscular ve Tempora bunu gösteriyor. Ferguson, Çin üzerinden internet trafiğinin büyük ölçekli yönlendirilmesiyle ilgili önceki olayların Pekin'in de benzer bir şey yaptığını gösterdiğini iddia etti.
Salt Typhoon'un devam eden çabaları da daha sonra çözmek üzere şifrelenmiş verileri çalmayı içerebilir. Ferguson, 'En büyük sorunlara neden olan şeyler, duymadığınız veya geleceğini göremediğiniz şeylerdir' dedi. Bu HNDL planları doğrulanmamış olsa da, 'yetenek belgelenmiştir ve gerçektir' diye uyardı.
Ferguson, yalnızca uzun ömürlü verilerin HNDL riski altında olduğunu, ancak PQC planlamasının şimdi başlaması gerektiğini söyledi. Ocak ayında bir G7 Siber Uzman Grubu yol haritası da aynı çağrıyı yapmıştı. Ancak bu yol haritasına göre - strateji, envanter, planlama, geçiş, test ve izleme - planlama aşaması 2028-29'a denk geliyor. Bu, IBM'in hataya dayanıklı kuantum bilgisayarı Starling'in faaliyete geçmesini vaat ettiği dönemle hemen hemen aynı.
Sistem Güvenliği
Ferguson, Q-günü yaklaşırken üç cephede eylem çağrısı yaptı: Birincisi, kriptografik varlıkların kapsamlı bir envanterini çıkarmak. İkincisi, satın alma süreçlerine kuantum güvenliği gereksinimlerini dahil etmek. Üçüncüsü, kripto-çeviklik sağlamak, yani kriptografik algoritmaları hızla değiştirebilme yeteneği. Ferguson, 'Beklemek lüks değil, tehlikedir' diyerek sözlerini tamamladı.
Kaynak: infosecurity-magazine.com