ABD Başkanı Donald Trump, 22 Haziran'da imzaladığı yeni bir başkanlık kararnamesi (EO 14409) ile federal kurumların kuantum sonrası şifreleme (PQC) teknolojilerine geçişini hızlandırmayı hedefliyor. Kararnameye göre, tüm federal kurumlar 'yüksek değerli varlıklar' ve 'yüksek etkili sistemler' için anahtar kurulum (key establishment) amacıyla 31 Aralık 2030'a kadar, dijital imzalar için ise 31 Aralık 2031'e kadar PQC kullanmaya başlamalı. Beyaz Saray, bu adımın 'Amerika'nın en hassas verilerini, kritik altyapısını ve istihdam ile büyümeyi sağlayan dijital ekonomiyi korumayı' amaçladığını belirtti.
Kararname, kuantum bilgisayarların mevcut şifreleme sistemlerini kırabilme potansiyeline karşı bir önlem olarak görülüyor. Uzmanlar, 'hasat et şimdi, çöz sonra' (harvest now, decrypt later) saldırılarının giderek arttığına dikkat çekiyor. Bu saldırılarda, düşmanlar bugünkü şifrelenmiş verileri toplayıp, kuantum bilgisayarların yeterince güçlü hale gelmesiyle (Q‑Day) bu verileri kırmayı hedefliyor. Global Kuantum Tehdit İttifakı (GQTA) Genel Sekreteri Laurent Leloup, kararnamenin 'kuantum proje yönetiminden ulusal güvenlik acil durumuna geçişi' işaret ettiğini vurguladı.
PQC geçişinin yanı sıra, kararname ABD Ticaret Bakanlığı'na derhal bir PQC geçiş pilot projesi başlatma ve 31 Aralık 2027'ye kadar tamamlama talimatı veriyor. Ayrıca, Yönetim ve Bütçe Ofisi (OMB) ile ABD Ulusal Siber Direktörü, ulusal çapta hızlandırılmış bir PQC geçişine liderlik etmekle görevlendirildi. Dışişleri Bakanlığı ve diğer kurumlar da kritik altyapı operatörlerini ve uluslararası ortakları PQC'yi benimsemede desteklemekle yükümlü.
Gelecekte Ne Bekleniyor?
Uzmanlar, kripto-agility (şifreleme çevikliği) kavramının bu geçişte kritik bir rol oynadığını belirtiyor. Kripto-agility, uygulamalar ile şifreleme kütüphaneleri arasında soyut bir katman oluşturarak güvenlik ekiplerinin tüm yığını değiştirmeden en son şifreleme algoritmalarına güncelleme yapmasına olanak tanır. Illumio Kamu Sektörü CTO'su Gary Barlet, kuantum araştırma topluluğunun şimdi odaklanması gerekenin 'yalnızca gelecekteki şifreleme standartları değil, PQC geçişine yardımcı olmak' olduğunu söylüyor.
Özel sektör de kuantum sonrası şifrelemeye geçişte hızlanıyor. Google, Dell ve HP gibi firmalar önümüzdeki on yıl içinde geçiş planlarını açıklarken, Cloudflare 2029'a kadar tam PQC geçişini hedefliyor. Fransa'nın siber güvenlik ajansı ANSSI, 2027'den itibaren kuantum güvenli şifreleme içermeyen ürünleri sertifikalandırmayı durduracağını duyurarak uluslararası alanda da baskıyı artırıyor.
Red Sift Başkan Yardımcısı Billy McDiarmid, '2031 federal hedefi önemli bir işaret, ancak rahat bir son tarih olarak görülmemeli. Yıllarca özel kalması gereken verilere sahip herhangi bir kuruluş, şimdiden 2029-2031 penceresine karşı plan yapmalı' diye uyarıyor. Ayrıca, 'kuantum sonrası geçiş sadece yeni algoritmalar satın almak değil, tüm sertifikaların, anahtarların, uygulamaların, API'lerin, bulut hizmetlerinin, tedarikçilerin, cihazların ve üçüncü taraf sistemlerin kuantum güvenli şifreleme ile güvence altına alınmasını sağlamak' anlamına geliyor.
Kaynak: infosecurity-magazine.com