Post-kuantum kriptografi nedir, ABD'nin yeni geçiş takvimi neden öne çekildi

ABD Beyaz Saray, federal sistemlerin kuantuma karşı kırılgan kriptografiden uzaklaşma takvimini önceki plana göre üç yıl öne çekti. Ars Technica'nın salı günkü haberine göre kararname, kritik altyapı ve federal sistemlerde post-kuantum kriptografi (PQC) algoritmalarına geçiş için 2030 yerine 2027 hedef tarihini koydu.

Post-kuantum kriptografi (PQC), modern kuantum bilgisayarların çözebileceği tahmin edilen klasik şifreleme algoritmalarına alternatif olarak tasarlanan kriptografik tekniklerin genel adıdır. Bugünkü internet trafiğinin büyük çoğunluğunu koruyan RSA ve eliptik eğri kriptografisi (ECC), Shor algoritmasını çalıştırabilecek yeterli güçte bir kuantum bilgisayarı ile kırılabilir.

ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), PQC algoritmalarını 2016'da başlayan çok yıllık bir değerlendirme süreciyle seçti. 2024 ortasında resmileşen ilk iki standart, ML-KEM (anahtar değişimi için, Kyber tabanlı) ve ML-DSA (dijital imza için, Dilithium tabanlı). Bu yıl başında üçüncü standart olan SLH-DSA (Sphincs+ tabanlı) eklendi.

PQC'ye geçişin acelesinin sebebi, "hasat şimdi, çöz sonra" tehdidi. Bu, bugün yakalanmış şifreli verilerin yarın bir kuantum bilgisayarıyla geriye dönük olarak çözülebileceği anlamına gelir. Sağlık kayıtları, hükümet sırları, uzun ömürlü altyapı kontrol mesajları gibi 20-30 yıl önemli kalan veriler için bu özellikle endişe verici.

Kararname, federal kuruluşların 2027'ye kadar inşa edilen tüm yeni sistemlerde PQC algoritmaları kullanmalarını gerektiriyor. Mevcut sistemler için, varlık envanteri ve geçiş planı 2026 sonuna kadar yapılması zorunlu hale getirildi. Ars Technica, NSA siber güvenlik direktörü David Luber'ın « federal ağ uçlarının çoğunluğunun 2027 ortasına kadar PQC ile etkin korumayı işletmesini bekliyoruz » dediğini aktardı.

PQC geçişinin teknik zorlukları kayda değer. PQC anahtarları ve imzaları klasik karşılıklarından çok daha büyük: ML-KEM açık anahtarı yaklaşık 1.2 KB iken, RSA-2048 açık anahtarı 256 bayt. Bu fark, IoT cihazları, gömülü sistemler ve düşük bant genişlikli ağlar için ciddi mühendislik kısıtları yaratıyor.

İkincil bir zorluk, hibrit kriptografi geçiş döneminin yönetilmesi. Çoğu sistem, hem klasik hem PQC algoritmasını paralel kullanmak için yapılandırılıyor; bu, performans ek yükü ve uyumluluk hataları getirebilir. Google, Cloudflare ve AWS bu hibrit modunu geçen yıl boyunca üretim ağlarında test etti.

PQC standartlarının seçilme süreci kendisi tartışmalı olmaya devam ediyor. NIST'in seçtiği bazı algoritmaların, başlangıçta gözden kaçırılan saldırılara karşı zayıflığı laboratuvar koşullarında gösterildi. 2024 ortasında, IBM ve ETH Zürih araştırmacıları SIKE ve Rainbow algoritmalarına karşı klasik bilgisayarlarla pratik saldırılar yayımladı. NIST'in seçtiği finalistler bu saldırılardan etkilenmedi, ancak sektör hâlâ uyanık.

Finansal sektör, yeni takvim için en sıkı planlamayı yapan sektör olarak ön plana çıktı. JP Morgan Chase, Bank of America ve Citigroup geçen yıl PQC entegrasyonu için ortak bir çalışma grubu oluşturdu. SWIFT, küresel bankacılık mesajlaşma ağında PQC desteğini 2027'ye kadar tamamlamayı planlıyor.

Kararname, ABD'nin küresel siber güvenlik politikası alanında öncülüğünü vurgulama girişimi olarak da değerlendiriliyor. AB ENISA da PQC geçişi için 2028 ortası hedefini koymuştu; Beyaz Saray'ın yeni 2027 takvimi, Avrupa Birliği'nden bir yıl daha agresif. Japonya'nın METI ajansı, kararnamenin ardından kendi takvimini gözden geçireceğini bildirdi.