Türkiye'deki kamu kurumları ve özel sektör kuruluşları için kuantum bilgisayarların gelecekte yaratabileceği tehditlere karşı daha güvenli bir şifreleme sistemine geçiş süreci hızlandırılıyor. Yeni düzenlemelerle birlikte, hem devlet sırlarının hem de vatandaşların verilerinin uzun vadede korunması hedefleniyor.
Son gelen bilgilere göre, özellikle kritik altyapılar ve yüksek güvenlik gerektiren sistemler için kuantum saldırılarına karşı dirençli şifreleme yöntemlerine geçiş tarihleri öne çekildi. Bu karar, kuantum bilgisayar teknolojisindeki hızlı ilerlemeler ve bu teknolojinin kötü niyetli kişilerce kullanılma potansiyeli göz önünde bulundurularak alındı.
Büyük Tehditlere Karşı Önlem Alınıyor
Daha önce belirlenen geçiş tarihlerine kıyasla birçok kurum için yaklaşık beş yıl daha erken bir zaman dilimi öngörülüyor. Bu durum, son dönemde yapılan araştırmaların, kriptografik açıdan anlamlı bir kuantum bilgisayarın geliştirilmesi için gereken kaynakların ve maliyetin daha önce tahmin edilenden çok daha düşük olduğunu göstermesiyle de paralellik gösteriyor. Bu gelişmeler üzerine, sektördeki öncü teknoloji firmaları da kendi geçiş süreçlerini hızlandırma kararı almıştı.
Yapılan açıklamada, "Büyük ölçekli kuantum bilgisayarların, özellikle de düşmanların eline geçmesi durumunda, yaygın olarak kullanılan kriptografik güvenlik sistemleri için önemli bir tehdit oluşturacağı öngörülüyor. Ülkemize yönelik devam eden siber faaliyetler de, düşmanların şu anda bilgi toplayıp, büyük ölçekli kuantum bilgisayarlar faaliyete geçtiğinde bu bilgileri çözme riskini taşıyor." ifadelerine yer verildi.
Ulusal Güvenlik Kurumu tarafından 2022 yılında yayınlanan bir takvime göre, yalnızca savunma ve istihbarat sistemlerini kapsayan "Ulusal Güvenlik Sistemleri" için kuantum hazırlığı 2030 ile 2033 yılları arasında tamamlanacaktı. Diğer çoğu kuruluş için ise bu geçişin 2035 yılına kadar tamamlanması bekleniyordu. Ancak yeni düzenlemelerle birlikte, bu tarihler birçok kuruluş için daha erkene alındı.
Kriptografi alanında uzun yıllardır çalışmalar yürüten uzmanlar, "Yüksek değerli varlıklar" ve "yüksek etkili sistemler" kategorisine giren her sistem için geçiş takviminin 4-5 yıl kısaltılarak 2030/2031'e çekildiğini belirtiyor. Bu durum, ilgili sistemler için geçiş sürecinde önemli bir kısalma anlamına geliyor.
Yeni düzenleme ayrıca şunları içeriyor:
- Yönetim ve Bütçe Ofisi ile Ulusal Siber Direktörlüğü tarafından yürütülecek, kurum genelinde bir geçiş koordinasyon süreci oluşturulması. Her federal kurum, kuantum geçiş ilerlemesini raporlamaktan sorumlu bir kişi belirleyecek.
- Dışişleri Bakanlığı'nın, Ulusal Standartlar ve Teknoloji Enstitüsü, Savunma Bakanlığı ve İç Güvenlik Bakanlığı, Ulusal Siber Direktörü ve Ulusal İstihbarat Direktörü ile birlikte çalışarak, "NIST tarafından standartlaştırılmış PQC algoritmalarına geçişi teşvik etmek amacıyla kilit ülkelerdeki yabancı hükümetler ve sanayi gruplarıyla etkileşim kurması" yönünde yönlendirilmesi.
- NIST ve Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın, bir şifreleme sistemindeki tüm bileşenleri, kütüphaneleri ve modülleri listeleyen bir KBOM'un (kriptografik malzeme listesi) yayınlanması konusunda rehberlik sağlaması.
- "Kapsamdaki yüklenicilerin" aynı kuantum hazırlık tarihlerini karşılamasını ve ihlal bildirim politikalarını uygulamasını gerektirmesi amaçlanan yeni tedarik kurallarının oluşturulması.
Kritik altyapı sahipleri ve işletmecilerinin, PQC geçiş planlarını geliştirmede destek bekleyebileceği belirtiliyor. Kapsamdaki yüklenicilerin ise gelecekteki düzenlemelerle FIPS tarafından zorunlu kılınan PQC uyumlu algoritmaları 2030 sonuna kadar uygulaması ve kriptografik zafiyet raporlarını açıklamaları gerekebilir. FIPS, NIST tarafından askeri olmayan ABD hükümet kurumları ve yüklenicilerin bilgisayar sistemlerinde kullanılmak üzere yürütülen bir dizi standardı ifade ediyor.
Kriptografik açıdan anlamlı bir kuantum bilgisayarın ne zaman ortaya çıkacağı bilinmiyor. Uzmanlar otuz yılı aşkın süredir geniş bir yelpazede tahminlerde bulunuyor. Temel bir engel, klasik bilişimdeki 'bit'in kuantum karşılığı olan ve çevresiyle etkileşime girdiklerinde oluşan hatalara rağmen doğru çalışan yeterli sayıda kübit içeren bir sistem oluşturmaktır.
Mart ayında araştırmacılar, yalnızca 30.000 fiziksel kübit kullanarak 10 günde Bitcoin ve Ethereum blok zincirlerini güvence altına almak için kullanılan ECC-256'yı kırma yöntemini keşfettiklerini bildirdiler.
Aynı ay, bir teknoloji firmasının araştırma ekibi, yaklaşık 500.000 fiziksel kübit kullanarak eliptik eğri ayrık logaritma problemini çözebilecek iki kuantum devre geliştirdiğini açıkladı. Bu sayı, geçen yıl aynı ekibin 2048 bit RSA'yı kırmak için gerekenin yarısı kadar kübit gerektireceği tahmininden daha azdır.
2012'de, 2048 bitlik bir RSA anahtarını kırmanın bir milyar fiziksel kübit gerektireceği tahmin ediliyordu. 2019'a gelindiğinde bu tahmin 20 milyona düşürüldü. Bu son araştırma makaleleriyle gösterilen ilerlemenin istikrarlı ilerleyişi, en çok kaybedecek kuruluşları, kuantumla ilgili tehditlerin Q Günü'nün (kriptografik açıdan anlamlı bir kuantum bilgisayarın ortaya çıkacağı gün) daha erken gelmesi yönünde daha dikkatli olmaya itiyor.
En yaygın kullanılan açık anahtar kriptografi algoritmalarından ikisi olan RSA ve eliptik eğri kriptografisi, sırasıyla bileşiklerin çarpanlarına ayrılması ve ayrık logaritma problemlerine dayanmaktadır. Bu matematiksel problemler, bir yönde çözülmesi kolay, diğer yönde ise neredeyse imkansızdır. Yeterli kaynağa sahip bir kuantum bilgisayar, Shor algoritmasını çalıştırarak bu problemleri çok daha hızlı çözebilir. RSA ve eliptik eğri kriptografisinin yerini alacak kuantum sonrası algoritmalar, kuantum bilgisayarların klasik bilgisayarlara karşı avantaj sağlamadığı problemlere dayanmaktadır.
Birçok kişinin varsaydığının aksine, kuantum zafiyetli algoritmaların kuantum sonrası algoritma ile değiştirilmesi, basit bir tak-çalıştır işlemi değildir. RSA'nın yerini alacak ML-KEM gibi algoritmaların açık anahtar boyutları yaklaşık üç kat daha büyüktür. Önümüzdeki işin zorluğu ve ölçeği, federal hükümetin bu adımı bu kadar ciddiye almasının nedenidir.
Ayrıca, hükümetin ikinci bir talimatıyla, özel sektörle işbirliği içinde kuantum bilgi işlem teknolojilerini destekleme kararı alındı. Bu kapsamda, "kuantum destekli bilimsel keşif çağını başlatacak" kadar güçlü dünyanın ilk kuantum bilgisayarını geliştirme yönünde bir "ulusal çaba" başlatılması öngörülüyor.
