Son zamanlarda ortaya çıkan ve giderek dikkat çeken bir fidye yazılım ailesi, dosyaları şifrelemek için kullandığı şifrelemenin gücünü vurgulamak amacıyla yenilikçi bir yöntem izliyor. Bu yöntem, fidye yazılımının kuantum bilgisayarlar tarafından gerçekleştirilebilecek saldırılara karşı korumalı olduğunu iddia etmek veya bu yönde bir izlenim yaratmak üzerine kurulu.
Kyber adıyla bilinen bu fidye yazılımı, en azından geçen eylül ayından bu yana aktif olarak görülüyor ve kullandığı şifreleme yönteminin, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından belirlenen bir standart olan ML-KEM (Module Lattice-based Key Encapsulation Mechanism) olduğunu öne sürerek teknoloji dünyasının ilgisini hızla çekmiş durumda. Kyber fidye yazılımının ismi de ML-KEM'in diğer adı olan Kyber'den geliyor. Bu metnin devamında Kyber terimi fidye yazılımını ifade edecek; algoritma ise ML-KEM olarak anılacaktır.
Pazarlama Taktikleri Devrede
ML-KEM, anahtar değişimi için kullanılan asimetrik bir şifreleme yöntemidir. Kuantum bilgisayarların klasik bilgisayarlara göre çözmede avantaj sağlamadığı kafes (lattice) tabanlı matematiksel problemlere dayanır. ML-KEM, kuantum bilgisayarların yeterli güce ulaştığında kolaylıkla kırabileceği eliptik eğri ve RSA kriptosistemlerinin yerini alacak şekilde tasarlanmıştır.
Salı günü itibarıyla güvenlik firması Rapid7 tarafından yapılan tersine mühendislik çalışmaları sonucunda, Kyber'ın Windows sürümünün PQC (kuantum sonrası kriptografi) standardının en yüksek güvenlik seviyesi olan ML-KEM1024'ü kullandığı ortaya çıktı. Kyber, kurbanların verilerini AES-256 ile şifrelemek için kullanılan anahtarı gizlemek amacıyla ML-KEM'den yararlanıyor. AES-256 da kuantum saldırılarına karşı dayanıklı bir simetrik şifreleme standardıdır. Daha önce de belirtildiği gibi, AES-128 bile kuantum saldırılarına karşı koymak için yeterli olabilirdi. Bir güvenlik firmasında tehdit analisti olarak görev yapan Brett Callow, bunun fidye yazılımlarının PQC kullandığı ilk doğrulanmış vaka olduğunu belirtti.
Kyber geliştiricileri için PQC anahtar değişim algoritması seçmenin pratik bir faydası bulunmuyor. Kyber fidye notunda kurbanlara yanıt vermeleri için bir hafta süre tanınıyor. RSA ve ECC (eliptik eğri kriptografisi) gibi sistemleri kırabilen Shor algoritmasını çalıştırabilecek kuantum bilgisayarların en az üç yıl uzakta olduğu ve muhtemelen daha da uzun süreceği tahmin ediliyor.
Bu arada, VMware çalıştıran sistemleri hedefleyen bir Kyber varyantı da ML-KEM kullandığını iddia ediyor. Rapid7'nin yaptığı incelemede ise bu varyantın aslında 4096-bit anahtarlarla RSA kullandığı ve Shor algoritmasının bu seviyedeki bir şifreyi kırmasının daha da uzun süreceği anlaşıldı. Rapid7'de kıdemli güvenlik araştırmacısı ve ilgili raporun yazarı Anna Širokova, ML-KEM'in kullanımının veya iddia edilen kullanımının büyük olasılıkla bir pazarlama taktiği olduğunu ve bunun uygulanmasının Kyber geliştiricileri için nispeten az çalışma gerektirdiğini belirtti.
Širokova, e-posta yoluyla şunları ifade etti:
Kyber, teknolojiye daha az yatkın avukatların ve yöneticilerin fidye taleplerine nasıl yanıt vereceğine karar verirken PQC'nin dikkatini çektiğini gösteriyor. Kyber geliştiricileri, şifrelemenin ezici bir güce sahip olduğu izleniminin insanları ödeme yapmaya ikna edeceğini umuyor.
