Microsoft, kuantum bilgisayarların oluşturduğu güvenlik tehdidine karşı savunmasını hızlandırıyor. Şirketin CTO'su Mark Russinovich, 30 Haziran tarihli blog yazısında, kritik ürün ve hizmetleri 2029 yılına kadar post-kuantum şifrelemeye (PQC) taşıma kararı aldıklarını duyurdu. Bu hamle, kuantum araştırmalarındaki ilerlemelerin, asimetrik şifrelemeyi kırabilecek kriptografik olarak anlamlı kuantum bilgisayarların (CRQC) beklenenden daha erken ortaya çıkabileceğini göstermesiyle geldi. Russinovich, ABD ve Fransa gibi ülkelerin 2030 gibi erken bir tarihte yüksek riskli sistemlerde kuantum-güvenli şifrelemeye geçilmesi yönündeki yönergelerinin de bu kararı desteklediğini belirtti.
Microsoft'un kuantum-sonrası geçiş stratejisi üç ana sütun üzerine inşa ediliyor: Birincisi, ağ şifrelemesini TLS 1.3'e yükselterek hibrit ve post-kuantum anahtar değişimini desteklemek. İkincisi, veri depolama için kripto-çeviklik (crypto-agility) sağlamak; böylece algoritmalar minimum hizmet kesintisiyle güncellenebilecek. Bu, kriptografik ayarların uygulamalar dışında yapılandırılabilir hale getirilmesi, anahtar yönetimi ve rotasyonunun standartlaştırılması ve sabit kodlanmış algoritmaların kaldırılmasını içeriyor. Üçüncüsü ise yazılım, cihaz ve hizmetlerin altında yatan kripto güven zincirlerini modernize etmek; donanım destekli anahtar koruması, güncellenmiş sertifika ömürleri ve politikaları ile denetlenebilir imza ve yayınlama süreçlerini kapsıyor.
Microsoft, Kuantum Güvenli Programı'nı (QSP) hızlandırmanın yanı sıra, PQC'yi Güvenli Gelecek Girişimi'ne (SFI) entegre ediyor. Bu sayede müşterilerin kuantum-güvenli sistemlere daha erken geçiş yapmasına yardımcı olmayı hedefliyor. Russinovich, müşterilerin uzun vadeli dayanıklılık için kripto-çevikliğe odaklandığını ve özellikle 'şimdi topla, sonra çöz' (HNDL) saldırılarına karşı hassas olan uzun ömürlü verilerin korunmasına öncelik verdiğini vurguladı. Şirket, PQC algoritmaları kullanıma sunulduğunda bunlara geçiş yapacak.
Russinovich, kuruluşların kuantum-sonrası yolculuğa hemen başlamasının önemini vurguladı. Çoğu kuruluşun, uygulamalar, altyapı ve eski sistemler genelinde kriptografinin nerede bulunduğuna dair net bir görüşe sahip olmadığını belirten Russinovich, keşif ve önceliklendirmenin ana zorluk olduğunu söyledi. Kriptografik keşif ve yaşam döngüsü yönetimine başlayan kuruluşların, kuantum riskinden bağımsız olarak bugün ele alınması gereken mevcut boşlukları ortaya çıkardığını ifade etti.
Önemli Gelişmeler
Microsoft, kuruluşların bugün atabileceği adımları da paylaştı: Kriptografik envanter çıkarmak, hangi sistemlerin ve verilerin kuantum tehdidine karşı hassas olduğunu belirlemek, kripto-çeviklik için bir yol haritası oluşturmak, TLS 1.3 gibi güncel protokollere geçmek ve kriptografik anahtarların yönetimini merkezileştirmek. Bu adımlar, sadece kuantum tehdidine karşı değil, aynı zamanda mevcut güvenlik açıklarını kapatmak için de fayda sağlıyor.
Nasıl Önlem Alınmalı?
Microsoft'un bu hamlesi, sektördeki diğer büyük oyuncuların da kuantum-sonrası şifrelemeye yöneldiği bir dönemde geliyor. Geçtiğimiz aylarda NCSC, 2035 yılına kadar post-kuantum şifrelemeye geçiş için bir son tarih belirlemişti. Microsoft'un 2029 hedefi, bu süreci daha da hızlandırarak sektöre öncülük etme niyetini gösteriyor. Şirket, bu geçişin yıllar süren bir mühendislik çabası gerektirdiğini ve erken planlamanın maliyet ve riski azalttığını belirtiyor.
Kaynak: infosecurity-magazine.com