Trump'tan Kuantum Sonrası Şifrelemeye Acil Geçiş: Federal Ajanslara 2030-2031 Hedefleri Windows

Trump'tan Kuantum Sonrası Şifrelemeye Acil Geçiş: Federal Ajanslara 2030-2031 Hedefleri

Trump, kuantum sonrası şifrelemeye geçişi acil hale getiren başkanlık emri imzaladı. Federal ajanslar 2030-2031'e kadar PQC'ye geçmek zorunda.

ABD Başkanı Donald Trump, 22 Haziran'da imzaladığı başkanlık emriyle (EO 14409) federal kurumların kuantum sonrası şifreleme (PQC) geçişini hızlandırmasını zorunlu kıldı. Emre göre, tüm federal ajanslar yüksek değerli varlıklarını ve yüksek etkili sistemlerini 31 Aralık 2030'a kadar anahtar oluşturma (KEM) için, 31 Aralık 2031'e kadar ise dijital imzalar için PQC'ye taşımalı. Beyaz Saray, bu adımın 'Amerika'nın en hassas verilerini, kritik altyapısını ve dijital ekonomisini korumayı' amaçladığını belirtti.

Anahtar oluşturma, iki tarafın ortak bir gizli anahtar oluşturmasını sağlayan anahtar kapsülleme mekanizmalarını (KEM) ifade ederken, dijital imzalar veri bütünlüğünü ve kimlik doğrulamayı sağlayan algoritma setleridir. Emir ayrıca Ticaret Bakanlığı'na derhal bir PQC geçiş pilot projesi başlatma ve bunu 31 Aralık 2027'ye kadar tamamlama talimatı verdi. Bu, kuantum tehditlerine karşı proaktif bir yaklaşımın sinyali olarak görülüyor.

Başkan Trump, Yönetim ve Bütçe Ofisi (OMB) ile ABD Ulusal Siber Direktörü'nü ülke çapında hızlandırılmış PQC geçişine liderlik etmekle görevlendirdi. Dışişleri Bakanlığı ve diğer kurumlar, kritik altyapı operatörleri ve uluslararası ortakların PQC'yi benimsemesine destek olacak. Ayrıca OMB, Savunma Bakanlığı, NASA ve Genel Hizmetler İdaresi, geçiş stratejisinde maliyet verimliliği sağlamakla görevlendirildi. Federal Satın Alma Düzenleme Konseyi, yüklenicilerin 2030'a kadar federal siber güvenlik ve güvenlik açığı ifşa standartlarını karşılamasını sağlayacak.

Uzmanlar, bu başkanlık emrinin 'hasat et şimdi, çöz sonra' (harvest now, decrypt later) saldırılarına karşı artan riski vurguladığını belirtiyor. Küresel Kuantum Tehdit İttifakı (GQTA) Genel Sekreteri Laurent Leloup, emrin 'sistematik bir değişim' işareti olduğunu ve 'kuantum proje yönetiminden ulusal güvenlik acil durumuna geçişi' temsil ettiğini söyledi. Leloup, 'PQC geçiş süresini 2030'a çekerek Washington, dirençlilik konusunda zayıf bir yaklaşım benimseyen kuruluşları fiilen zayıflatıyor' uyarısında bulundu.

Finans sektörü gibi kritik endüstrilerin derhal güven mimarilerini yeniden yapılandırması ve kripto-çeviklik (crypto-agility) benimsemesi gerektiği vurgulanıyor. Kripto-çeviklik, uygulamalar ile şifreleme kütüphaneleri arasında soyut bir katman oluşturarak güvenlik ekiplerinin tüm yığını değiştirmeden en son şifreleme algoritmalarına güncelleme yapmasını sağlar. Illumio Kamu Sektörü CTO'su Gary Barlet ise kuantum araştırma topluluğunun çabalarını PQC geçişine yardımcı olmaya odaklaması gerektiğini belirtti: 'Düşmanların kuantum bilgisayara ihtiyacı yok; sadece erişime ihtiyaçları var. Bu nedenle görünürlük, segmentasyon ve ihlal sınırlama stratejileri kritik.'

Teknik Analiz

Özel sektör de kuantum sonrası şifrelemeye yöneliyor. Google, Dell ve HP önümüzdeki on yıl için geçiş planlarını açıklarken, Cloudflare 2029'a kadar tam PQC geçişini hedefliyor. Fransa'nın siber güvenlik ajansı ANSSI, 2027'den itibaren kuantum güvenli şifreleme içermeyen ürünleri sertifikalandırmayı durduracağını duyurdu. Red Sift Başkan Yardımcısı Billy McDiarmid, '2031 federal hedefi önemli bir işaret, ancak rahat bir son tarih olarak görülmemeli. Verilerinin yıllarca özel kalması gereken her kuruluş, şimdi 2029-2031 penceresine karşı plan yapmalı' uyarısında bulundu. Ayrıca PQC geçişinin sadece yeni algoritmalar satın almak değil, tüm sertifikalar, anahtarlar, uygulamalar, API'ler, bulut hizmetleri, tedarikçiler, cihazlar ve üçüncü taraf sistemlerin kuantum güvenli şifrelemeyle korunmasını sağlamak olduğunu vurguladı.

Kaynak: infosecurity-magazine.com

Paylaş: