Microsoft Kuantum Güvenlikte Yeni Takvimle Hızlandı: 2029’a Kadar Kritik Sistemler Post-Kuantum Kriptografiye Geçiyor Yazılım

Microsoft Kuantum Güvenlikte Yeni Takvimle Hızlandı: 2029’a Kadar Kritik Sistemler Post-Kuantum Kriptografiye Geçiyor

Microsoft, kuantum bilgisayarların tehdidine karşı kritik ürün ve hizmetlerini 2029’a kadar post-kuantum kriptografiye taşıyacağını duyurdu.

Microsoft, kuantum araştırmalarındaki ilerlemelerin risk ufkunu değiştirdiğini belirterek post-kuantum kriptografi (PQC) geçişini hızlandırdığını açıkladı. Şirketin CTO’su Mark Russinovich, 30 Haziran’da yayımladığı blog yazısında, kritik ürün ve hizmetlerin 2029 yılına kadar PQC’ye taşınması kararının altını çizdi. Gelişmiş araştırmalar, asimetrik şifreleme kırabilecek kriptografik açıdan ilgili kuantum bilgisayarların (CRQC) beklenenden daha erken ortaya çıkabileceğini gösteriyor. Russinovich, ABD ve Fransa’nın 2030 gibi erken bir tarihte kuantum güvenli kriptografiye geçilmesi yönündeki kılavuzlarının da bu kararı desteklediğini belirtti.

Microsoft’un kuantum güvenlik hamlesi üç temel sütuna dayanıyor. Birincisi, ağ kriptografisini TLS 1.3’e yükseltmek. Bu protokol, hibrit ve post-kuantum anahtar değişimini destekleyerek taşınan verilerin güvenliğini sağlıyor. İkincisi, durağan veriler için kripto-agilite oluşturmak. Bu sayede algoritmalar, hizmet kesintisi veya uygulama değişikliği olmadan güncellenebilecek. Bunun için kriptografik ayarların uygulamalar dışında yapılandırılabilir hale getirilmesi, anahtar yönetimi ve rotasyonunun standartlaştırılması ve sabit kodlanmış algoritmaların kaldırılması planlanıyor. Üçüncüsü ise yazılım, cihaz ve hizmetleri destekleyen kripto güven zincirlerinin modernize edilmesi. Donanım destekli anahtar koruması, güncellenmiş sertifika ömürleri ve politikaları ile denetlenebilir imzalama ve yayınlama süreçleri bu kapsamda yer alıyor.

Microsoft, bu geçişi yalnızca kendi Kuantum Güvenli Programı (QSP) takvimiyle sınırlamıyor; aynı zamanda PQC’yi Güvenli Gelecek Girişimi’ne (SFI) dahil ediyor. Böylece müşterilerin de kuantum güvenli sistemlere daha erken geçiş yapması hedefleniyor. Russinovich, müşterilerin özellikle uzun ömürlü ve hassas veriler için kripto-agiliteye odaklandığını, çünkü bu verilerin şimdi topla, sonra çöz (HNDL) saldırıları riski altında olduğunu vurguladı. Şirket, PQC algoritmaları kullanılabilir olduğunda geçiş yapacak.

Önemli Gelişmeler

Russinovich, kuruluşların sürece şimdi başlamasının acil faydalar sağlayacağını belirtti. Çoğu kuruluşun kriptografinin uygulamalar, altyapı ve eski sistemlerde nerede bulunduğuna dair net bir görüşe sahip olmadığını, bu nedenle keşif ve önceliklendirmenin temel zorluk olduğunu söyledi. Kriptografik keşif ve yaşam döngüsü yönetimine başlayan kuruluşların, kuantum riskinden bağımsız olarak bugün ele alınması gereken mevcut boşlukları ortaya çıkardığını ekledi.

Sistem Güvenliği

Microsoft, kuruluşların post-kuantum yolculuğuna başlaması için bazı adımlar öneriyor: Kriptografi envanteri çıkarmak, uzun vadeli verileri önceliklendirmek, kripto-agilite için plan yapmak ve mevcut güvenlik açıklarını kapatmak. Şirket, bu sürecin çok yıllı bir mühendislik çabası olduğunu ve erken planlamanın maliyet ve riski azalttığını vurguluyor. Microsoft’un bu hamlesi, kuantum bilgisayarların yakın gelecekte mevcut şifreleme yöntemlerini kırma potansiyeline karşı sektördeki hazırlıkların hızlandığının bir göstergesi.

Uzmanların Görüşleri

Kuantum güvenlik alanındaki bu gelişme, İngiltere Ulusal Siber Güvenlik Merkezi’nin (NCSC) post-kuantum kriptografi göçü için 2035 hedefi koymasının ardından geldi. Microsoft’un 2029 hedefi, sektördeki en iddialı takvimlerden biri olarak öne çıkıyor. Şirket, mevcut kriptografik altyapının kuantum tehdidine karşı korunması için somut adımlar atarken, müşterilerine de rehberlik sağlıyor. Özellikle finans, sağlık ve kamu sektörü gibi uzun vadeli veri saklama zorunluluğu olan kuruluşların bu dönüşüme en kısa sürede başlaması öneriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: