Kuantum Fırtınası Geliyor!
Başta Milli Güvenlik Teşkilatları ve Askeri Birimler olmak üzere, birçok özel şirket kuantum hesaplamaları ve kuantum bilgisayarlarının getirdiği ve getireceği olumlu dönüşümün farkında olduğu kadar, doğuracağı siber risklerin de farkına varmaya başladı. Devrim niteliğindeki bu teknolojik değişim Gartner’ın da dikkatini çekti ve şirket, 2019 için stratejik teknolojiler listesine kuantum hesaplamayı da dahil etti. Gartner'ın ArGe yöneticisi Brian Burke düzenlenen bir sempozyumda dinleyicilerine, “2023 yılına kadar dünya çapındaki kuruluşların yüzde 20'sinin kuantum hesaplama projeleri için bütçe ayıracağı” bilgisini paylaştı. Kısacası, değişim kapımızda.
Fakat bilgi sistemlerindeki bu köklü dönüşüm siber güvenlik alanında kitlesel zafiyetler ve risklere neden olabilir. Bu riskleri öngören kamu kuruluşları, araştırma şirketleri ve kimi özel şirketler kuantum teknolojisinin siber güvenlik merkezli bilimsel çalışmalarına başladı. Microsoft, IBM, Google ve National Institute of Standarts and Technology [Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)] bilimsel ve siber güvenlik merkezli çalışmalar yapan başlıca otoritelerdir.
Birçok kişinin ve milli güvenlik departmanlarının farkına varmadığı konu, ölçeklendirilmiş kuantum bilişim beklentileri istikrarlı bir şekilde geliştikçe yıkıcı bir siber güvenlik fırtınasının gelmek üzere olduğudur. Bell Labs araştırmacısı Peter Shor, 1990'ların başlarında henüz kuantum bilgisayar prototipleri bile ortaya çıkmadan önce ölçeklendirilmiş kuantum bilgisayarların, yaygın olarak kullanılan genel anahtar şifreleme sistemlerimizde özel anahtarları verimli bir şekilde tersine çevirmek için kullanılabileceğini gösterdi. Biraz daha kesin olmak gerekirse, Shor’un kuantum algoritması tamsayı çarpanlara ayırma sorununun, polinom zamanında bir kuantum bilgisayar tarafından çözülebileceğini; başka bir deyişle, günümüzde geleneksel bilgisayarlarda çalışan algoritmalardan çok daha fazla verimlilikle çözülebileceğini gösterdi.
Bu şaşırtıcı sonuç, günümüz teknolojilerinde yaygın olarak uygulanan ve dağıtılan açık anahtarlı şifreleme standartlarının (RSA, ECDSA, ECDH ve DSA), ölçeklendirilmiş kuantum hesaplama kullanılabilir hale geldiğinde saldırılara açık olacağı anlamına geliyor. NIST’in 2016'da yeterince güçlü kuantum bilgisayarların ve kuantum dönüşümünün, anahtar değişiminden şifrelemeye kadar birçok modern iletişim ve şifreleme metodunu değiştireceğine işaret eden bir rapor yayınlaması şaşırtıcı değil. Dijital kimliklerin, kişisel verilerin ve milli güvenlik merkezli verilerin tehlikede olduğunu rahatlıkla öngörebiliriz.
NIST, kuantum teknolojilerine karşı dayanıklı olmayan şifreleme algoritmalarının yerini alacak yeni genel anahtar şifreleme algoritmalarını seçmek için 2016'da başlayarak çok yıllı bir girişim başlattı. Bu yeni algoritmalar topluca “Post Quantum Cryptography” (PQC) olarak adlandırılır. PQC'yi, geleneksel bilgisayarların saldırılarına karşı direncin yanı sıra kuantuma dirençli veya kuantum açısından güvenli bir kriptografi olarak düşünebilirsiniz; başka bir deyişle, ölçeklendirilmiş kuantum hesaplama geldiğinde güvenli kalması amaçlanan kriptografi. Önerilen PQC algoritmalarının tam açıklaması, uzun ve teknik bir konu olsa da algoritmaların kabaca beş kategoriye ayrılmasıdır: Karma tabanlı kriptografi, kod tabanlı şifreleme, kafes tabanlı şifreleme, çok değişkenli şifreleme ve supersingular eliptik eğri izojeni problemi. Bu beş yaklaşım, kuantum algoritmalarına hiçbir bilinen eşleme olmaksızın alternatif matematiksel çerçevelerden ve zor problemlerden yararlanır ve ortak anahtar şifrelemesinin temel ilkeleri için toplu olarak yeni bir temel sağlar.
2016 yılında seçmeler, mülakatlar ve DoD [USA Department of Defence(ABD Savunma Bakanlığı)] güvenlik soruşturmaları sonrası gönüllü araştırmacı olarak görev aldığım, NIST - Ulusal Standartlar ve Teknoloji Enstitüsü bu tehlikenin farkındadır ve halihazırda 70'in üzerinde kuantuma dirençli algoritma geliştirilmiştir. Bu çalışmalarımız devam etmektedir. Dahil olduğum başlıca projeleri kuantum dirençli şifreleme algoritmaları üretmek, doğru fonksiyonların tespiti ile çözümünü sağlamak ve siber boşlukta ulusal güvenlik tahminlemelerini oluştururken güvenlik önlemlerin oluşturulabilmesini sağlamak şeklinde sıralayabiliriz. NIST tarafından hazırlanmış olan "NISTIR 8309 – Status Report On The Second Round of The NIST Post-Quantum Cryrptography Standartization Process" başlıklı makale, yaklaşmakta olan kuantum fırtınası hakkında başarılı bilgiler ve uyarılar içermektedir.
Sonuç olarak, kuantum dönüşümüne geç kalan şirketler ve hükümetler, yaklaşan kuantum fırtınasından büyük ve kalıcı milli güvenlik hasarları ile çıkacaklardır. Seçenekler arasında karar vermekse pek zor değil: Kuantum dönüşümüne adaptasyon sağlarken milli ArGe’ler ile hazırlanmak veya fırtınanın gelmesini bekleyip bu teknolojik afette yok olan taraf olmayı kabul etmek. Seçim sizin…