Trump İmzaladı: ABD Federal Ajanslarına 2030'a Kadar Kuantum Sonrası Şifreleme Zorunluluğu Windows

Trump İmzaladı: ABD Federal Ajanslarına 2030'a Kadar Kuantum Sonrası Şifreleme Zorunluluğu

ABD Başkanı Trump, federal kurumların kuantum sonrası şifrelemeye geçişini 2030'a kadar tamamlama zorunluluğu getiren başkanlık kararnamesini imzaladı

ABD Başkanı Donald Trump, 22 Haziran'da imzaladığı başkanlık kararnamesiyle (EO 14409) federal kurumların kuantum sonrası şifreleme (PQC) geçişini hızlandırmak için somut adımlar attı. Kararnameye göre, tüm federal ajanslar 'yüksek değerli varlıklar' ve 'yüksek etkili sistemler' için anahtar kurulum mekanizmalarını (KEM) 31 Aralık 2030'a kadar, dijital imzaları ise 31 Aralık 2031'e kadar PQC standartlarına taşımakla yükümlü. Beyaz Saray, bu adımın 'Amerika'nın en hassas verilerini, kritik altyapısını ve dijital ekonomisini korumayı' amaçladığını vurguladı.

Kararname, yalnızca son tarihler belirlemekle kalmıyor, aynı zamanda ABD Ticaret Bakanlığı'na derhal bir PQC geçiş pilot projesi başlatma ve bu projeyi 31 Aralık 2027'ye kadar tamamlama talimatı veriyor. Ayrıca, Başkan Trump, Yönetim ve Bütçe Ofisi (OMB) ile ABD Ulusal Siber Direktörü'nü ulusal çapta hızlandırılmış bir PQC dönüşümüne liderlik etmekle görevlendirdi. Dışişleri Bakanlığı ve diğer kurumlar, kritik altyapı operatörleri ve uluslararası ortakların PQC'yi benimsemesine destek olacak. Federal Satın Alma Düzenleme Konseyi'ne, yüklenicilerin 2030 yılına kadar federal siber güvenlik ve güvenlik açığı ifşa standartlarına uymasını sağlama talimatı verildi.

Bu kararname, 'hasat şimdi, çöz sonra' (harvest now, decrypt later) saldırılarının artan riskini gözler önüne seriyor. Bu senaryoda, saldırganlar bugün şifrelenmiş verileri toplar ve kuantum bilgisayarların yeterince güçlenmesiyle (Q‑Day olarak adlandırılan an) bu verileri kırmayı hedefler. Küresel Kuantum Tehdit İttifakı (GQTA) Genel Sekreteri Laurent Leloup, kararnameyi 'sistemik bir değişim' olarak nitelendirerek, 'kuantum proje yönetiminden ulusal güvenlik acil durumuna geçiş' olduğunu söyledi. Leloup'a göre, Washington'un PQC geçiş süresini 2030'a çekmesi, 'dirençlilik konusunda sulandırılmış bir yaklaşımı benimseyen kuruluşları fiilen zayıflatıyor'.

Teknik Analiz

Uzmanlar, özellikle finans sektörü gibi kritik endüstrilerin 'güven mimarilerini derhal elden geçirmesi' ve 'kripto-çeviklik' (crypto-agility) benimsemesi gerektiğini vurguluyor. Kripto-çeviklik, uygulamalar ile şifreleme kütüphaneleri arasında soyut bir katman oluşturarak, güvenlik ekiplerinin tüm yığını değiştirmeden en son şifreleme algoritmalarına geçiş yapabilmesini sağlar. Illumio Kamu Sektörü CTO'su Gary Barlet, kuantum araştırma topluluğunun şimdi odaklanması gereken noktanın 'sadece gelecekteki şifreleme standartları değil, PQC geçişine yardımcı olmak' olduğunu belirtti. Barlet, 'Düşmanların kuantum bilgisayara ihtiyacı yok; kuantum atılımlarını çalmak için erişim yeterli. Bu yüzden görünürlük, segmentasyon ve ihlal sınırlama stratejileri kritik önemde' dedi.

Özel sektör de kuantum sonrası şifrelemeye yönelik adımlar atmaya başladı. Google, Dell ve HP gibi firmalar önümüzdeki on yıl içinde geçiş planlarını açıklarken, Cloudflare 2029'a kadar tam PQC geçişini hedefliyor. ABD hükümeti şimdi bu değişimi koordineli bir ulusal stratejiyle resmileştirip hızlandırmayı amaçlıyor. Uluslararası alanda da ivme artıyor: Fransa'nın siber güvenlik ajansı ANSSI, 2027'den itibaren kuantum güvenli şifreleme içermeyen ürünleri sertifikalandırmayı durduracağını duyurdu. Red Sift Başkan Yardımcısı Billy McDiarmid, 'hükümet, endüstri ve akademi tarafından önemli çalışmalar yapılsa da, hızın riskin ölçeğiyle her zaman eşleşmediğini' söyledi.

McDiarmid, '2031 federal hedefi önemli bir işaret, ancak rahat bir son tarih olarak görülmemeli. Verilerinin yıllarca özel kalması gereken her kuruluş şimdiden 2029-2031 aralığına göre plan yapmalı' uyarısında bulundu. Ayrıca, kuantum sonrası geçişin 'sadece yeni algoritmalar satın almak olmadığını', tüm sertifikalar, anahtarlar, uygulamalar, API'ler, bulut hizmetleri, tedarikçiler, cihazlar ve üçüncü taraf sistemlerin kuantum güvenli şifrelemeyle korunması gerektiğini vurguladı. Bu bağlamda, kuruluşların kripto-çeviklik stratejilerini benimsemesi ve tedarik zinciri güvenliğini de kapsayan kapsamlı bir PQC dönüşüm planı oluşturması hayati önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: