Trump'tan Kuantum Sonrası Kriptografi Geçişine Hızlandırılmış Düzenleme Siber Güvenlik

Trump'tan Kuantum Sonrası Kriptografi Geçişine Hızlandırılmış Düzenleme

Trump, federal kurumların kuantum sonrası kriptografi (PQC) geçişini 2030'a kadar tamamlamasını zorunlu kılan başkanlık kararnamesi imzaladı.

ABD Başkanı Donald Trump, 22 Haziran'da imzaladığı yeni bir başkanlık kararnamesi (EO 14409) ile federal kurumların kuantum sonrası kriptografi (PQC) geçişini hızlandırmasını zorunlu kıldı. Beyaz Saray tarafından yayımlanan bilgi notuna göre, bu adım 'Amerika'nın en hassas verilerini, kritik altyapısını ve iş ile büyümeyi sağlayan dijital ekonomisini korumayı' amaçlıyor. Kararname, federal kurumların 'yüksek değerli varlıklar' ve 'yüksek etkili sistemler' için 31 Aralık 2030'a kadar anahtar kurulumda, 31 Aralık 2031'e kadar ise dijital imzalarda PQC kullanımına geçmesini şart koşuyor.

Kararname kapsamında, ABD Ticaret Bakanlığı'ndan derhal bir PQC pilot projesi başlatması ve bu projeyi 31 Aralık 2027'ye kadar tamamlaması isteniyor. Ayrıca Başkan Trump, Yönetim ve Bütçe Ofisi (OMB) ile ABD Ulusal Siber Direktörü'nü ulusal çapta hızlandırılmış bir PQC geçişine liderlik etmekle görevlendirdi. Dışişleri Bakanlığı ve diğer kurumlar, kritik altyapı işletmecileri ve uluslararası ortakların PQC'yi benimsemesini desteklemekle yükümlü kılındı. Federal Satın Alma Düzenleme Konseyi'ne ise yüklenicilerin 2030 yılına kadar federal siber güvenlik ve güvenlik açığı ifşa standartlarını karşılamasını sağlama talimatı verildi.

Uzmanlar, bu kararnamenin 'şimdi topla, sonra çöz' (harvest now, decrypt later) saldırılarına karşı artan riski vurguladığını belirtiyor. Küresel Kuantum Tehdit İttifakı (GQTA) Genel Sekreteri Laurent Leloup, bu adımın 'kuantum proje yönetiminden ulusal güvenlik acil durumuna geçiş' anlamına geldiğini söyledi. Leloup, 'PQC geçiş süresini 2030'a çekerek Washington, dirençlilik konusunda zayıf bir yaklaşım benimseyen kuruluşları fiilen zayıflatan bir ivme dayatıyor' dedi. Finans sektörü gibi kritik endüstrilerin 'güven mimarilerini derhal elden geçirmesi' ve kripto-esneklik (crypto-agility) benimsemesi gerektiğini, aksi takdirde 'güvenlik eskimesiyle' karşı karşıya kalacaklarını uyardı.

Özel sektör de kuantum sonrası kriptografiye geçişte hızlanıyor. Google, Dell ve HP gibi firmalar önümüzdeki on yıl içinde geçiş planlarını açıklarken, Cloudflare 2029'a kadar tam PQC geçişini hedefliyor. Fransa'nın siber güvenlik ajansı ANSSI, 2027'den itibaren kuantum güvenli şifreleme içermeyen ürünleri sertifikalandırmayı durduracağını duyurdu. Red Sift Başkan Yardımcısı Billy McDiarmid, '2031 federal hedefi önemli bir işaret, ancak rahat bir son tarih olarak görülmemeli. Yıllarca özel kalması gereken verileri tutan her kuruluş şimdiden 2029-2031 penceresine göre planlama yapmalı' dedi. Kuantum sonrası göçün sadece yeni algoritmalar satın almak olmadığını, tüm sertifikalar, anahtarlar, uygulamalar, API'ler, bulut hizmetleri, tedarikçiler, cihazlar ve üçüncü taraf sistemlerin kuantum güvenli şifrelemeyle korunması gerektiğini vurguladı.

Paylaş: