ABD Başkanı Donald Trump, 22 Haziran'da imzaladığı 14409 sayılı başkanlık kararnamesiyle (Executive Order) federal kurumların kuantum sonrası şifreleme (Post-Quantum Cryptography - PQC) dönüşümünü hızlandırmak için yeni bir yol haritası belirledi. Beyaz Saray tarafından yayımlanan bilgi notuna göre, bu adım 'Amerika'nın en hassas verilerini, kritik altyapısını ve istihdam ile büyümeyi destekleyen dijital ekonomiyi korumayı' amaçlıyor. Kararname, federal ajansların 'yüksek değerli varlıklar' ve 'yüksek etkili sistemler' için anahtar oluşturma (key establishment) mekanizmalarını 31 Aralık 2030'a kadar, dijital imzaları ise en geç 31 Aralık 2031'e kadar PQC'ye taşımasını zorunlu kılıyor.
Anahtar oluşturma, iki tarafın ortak bir gizli anahtarı herkese açık bir kanal üzerinden güvenli bir şekilde paylaşmasını sağlayan anahtar kapsülleme mekanizmalarını (KEM) ifade ediyor. Dijital imzalar ise verilerde yetkisiz değişiklikleri tespit etmek ve kullanıcı kimliğini doğrulamak için kullanılan standart algoritma setleridir. Bu sürelerin yanı sıra, kararname ABD Ticaret Bakanlığı'na derhal bir PQC geçiş pilot projesi başlatma ve bunu 31 Aralık 2027'ye kadar tamamlama talimatı veriyor. Bu hamle, federal kurumlar arasında koordinasyonu sağlamak ve geçiş sürecinde yaşanabilecek maliyet verimsizliklerini önlemek için Bütçe Yönetimi Ofisi (OMB), Savunma Bakanlığı, NASA ve Genel Hizmetler İdaresi'nin de sürece dahil edilmesini öngörüyor.
Uzmanlar, bu kararnamenin 'hasat et şimdi, çöz sonra' (harvest now, decrypt later) saldırılarına karşı artan riski vurguladığını belirtiyor. Bu senaryoda, kötü niyetli aktörler bugün şifrelenmiş verileri topluyor ve kuantum bilgisayarların yeterince güçlenmesiyle (Q-Günü olarak adlandırılıyor) bu verileri çözmeyi hedefliyor. Küresel Kuantum Tehdit İttifakı (GQTA) Genel Sekreteri Laurent Leloup, bu kararnamenin 'sistemik bir değişim' olduğunu belirterek, 'kuantum proje yönetiminden ulusal güvenlik acil durumuna geçiş' anlamına geldiğini söyledi. Leloup, 'PQC geçiş son tarihini 2030'a çekerek Washington, zayıf bir direnç yaklaşımı benimseyen kuruluşları fiilen zayıflatan acımasız bir hızlandırma dayatıyor' dedi.
Finans sektörü gibi kritik endüstrilerin derhal güven mimarilerini elden geçirmesi ve kripto-çeviklik (crypto-agility) benimsemesi gerektiğini vurgulayan Leloup, aksi takdirde 'güvenlik eskimesiyle' karşı karşıya kalacakları uyarısında bulundu. Kripto-çeviklik, uygulamalar ile şifreleme kütüphaneleri arasında soyut bir katman oluşturmayı içeriyor. Bu sayede güvenlik ekipleri, tüm yığınlarını değiştirmek zorunda kalmadan en son şifreleme algoritmalarına güncelleme yapabiliyor. Illumio Kamu Sektörü CTO'su Gary Barlet ise kuantum araştırma topluluğunun çabalarını yalnızca gelecekteki şifreleme standartlarına odaklamak yerine PQC geçişine yardımcı olmaya yöneltmesi gerektiğini söyledi.
Teknik Analiz
Özel sektör de kuantum sonrası şifrelemeye yönelik adımlar atmaya başladı. Google, Dell ve HP gibi firmalar önümüzdeki on yıl içinde geçiş planlarını açıklarken, Cloudflare 2029'a kadar tam PQC dönüşümünü hedefliyor. ABD yönetimi şimdi bu değişimi koordineli bir ulusal stratejiyle resmileştirmek ve hızlandırmak istiyor. Bu hamle, Fransa'nın siber güvenlik ajansı ANSSI'nin 2027'den itibaren kuantum güvenli şifreleme içermeyen ürünleri sertifikalandırmayı durduracağını duyurmasıyla uluslararası alanda da ivme kazanıyor.
Gelecekte Ne Bekleniyor?
Red Sift Başkan Yardımcısı Billy McDiarmid, hükümet, endüstri ve akademi tarafından yürütülen önemli çalışmalara rağmen 'hızın her zaman riskin boyutuna ayak uyduramadığını' belirtti. '2031 federal hedefi önemli bir işaret, ancak rahat bir son tarih olarak görülmemeli. Yıllarca özel kalması gereken verileri elinde bulunduran her kuruluş, şimdi 2029-2031 penceresine karşı plan yapmalı' diyen McDiarmid, kuantum sonrası geçişin sadece yeni algoritmalar satın almak olmadığını, tüm sertifikalar, anahtarlar, uygulamalar, API'ler, bulut hizmetleri, tedarikçiler, cihazlar ve üçüncü taraf sistemlerin kuantum güvenli şifrelemeyle güvence altına alınması gerektiğini vurguladı.
Kaynak: infosecurity-magazine.com