ABD Ulusal Standartlar ve Teknoloji Enstitüsü bu hafta siber saldırılara direnmek için tasarlanmış üç şifreleme algoritmasını açıkladı; sektör gözlemcileri bunların mevcut şifreleme yöntemlerini kıran siber saldırıları önlemeye yönelik olumlu bir adım olduğunu söyledi.
Federal Bilgi İşleme Standardı (FIPS) 203, 204 ve 205, genel şifreleme ve dijital imzaların korunmasına yönelik standartlar sağlar. Bunlar, NIST’in kuantum sonrası kriptografi standardizasyon projesindeki birden fazla başvurudan elde edildi.
NIST, kuantum bilgisayarların yüksek performanslı bilgi işlem yeteneğini hızla artırdığını ve yeni standartların hemen kullanıma hazır olduğunu söyledi.
Standartlar ve Teknolojiden Sorumlu Ticaret Müsteşarı ve NIST Direktörü Laurie E. “Kuantum bilgi işlem teknolojisi, toplumun en zorlu sorunlarının çoğunu çözmek için bir güç haline gelebilir ve yeni standartlar, NIST’in aynı anda güvenliğimizi bozmayacağını garanti etme konusundaki kararlılığını temsil ediyor” dedi. Locascio, bir açıklamada. “Bu nihai standartlar, NIST’in gizli elektronik bilgilerimizi korumaya yönelik çabalarının temel taşıdır.”
Günümüzün RSA şifrelemesi yeterli olmayacak
IEEE, büyük ölçekli kuantum bilgisayarların muhtemelen 10 yıl daha üretilmeyeceğini belirtse de NIST, PQC konusunda endişeli çünkü internetteki neredeyse tüm veriler RSA şifreleme şemasıyla korunuyor. IEEE, büyük kuantum bilgisayarların inşa edilmesiyle tüm internetin güvenliğini zayıflatabileceklerini söyledi.
IEEE, arabalar ve IoT cihazları gibi RSA güvenliğini kullanan cihazların en az on yıl daha yürürlükte kalacağını, dolayısıyla kullanılmadan önce kuantum güvenli kriptografi ile donatılmaları gerektiğini söyledi.
IEEE, yeni standartlara ihtiyaç duyulmasının bir başka nedeninin de, bir tehdit aktörünün potansiyel olarak şifrelenmiş verileri bugün indirip sakladığı ve bir kuantum bilgisayar çevrimiçi olduğunda şifresini çözmeyi planladığı “şimdi topla, şifresini sonra çöz” stratejisi olduğunu belirtti.
NIST, şifreleme algoritmalarının bilgisayar kodunu, bunların nasıl uygulanacağına ilişkin talimatları ve kullanım amaçlarını içeren standartların geliştirilmesinin sekiz yıl sürdüğünü söyledi. Ajans, kuantum bilgisayarların saldırılarına karşı koyabilecek kriptografik algoritmaları tasarlamak, göndermek ve değerlendirmek için dünyadaki kriptografi uzmanları arasında geniş bir ağ oluşturduğunu ekledi.
Her ne kadar yeni ortaya çıkan teknoloji, hava tahmininden temel fiziğe ve ilaç tasarımına kadar endüstrilerin doğasını değiştirebilse de, aynı zamanda tehditler de yaratıyor.
‘Siber güvenlik ortamımızda önemli bir an’
KPMG danışmanlık teknolojisi risk direktörü Aaron Kemp, bu yeni algoritmaların NIST’in önümüzdeki yıllarda sağlayacağı birçok algoritmanın ilki olduğunu söyledi.
“Kuantum hesaplamanın mevcut kriptografik standartlara yönelik tehdidi hafife alınamaz” dedi. “Ve bu algoritmalar, kriptografik çeviklikte yeni bir çağa doğru ilk adımı sağlıyor.”
Kemp, kuantum sonrası kriptografik geçişe başlamayı bekleyen kuruluşların artık sistemlerine entegre edecekleri bir dizi standarda sahip olduğunu ekledi.
“Federal hükümet, federal kuruluşlar için bu standartların 2035 yılına kadar benimsenmesini zorunlu kıldı ve hükümetle çalışan işletmelerin de bu standartlara uyması gerekecek” dedi. “Bu tarihteki en büyük kriptografik geçişin ilk adımı.”
Accenture’da gelişen teknoloji güvenliği lideri Tom Patterson, kuantum için yeni küresel şifreleme standartlarını “siber güvenlik ortamımızda çok önemli bir an” olarak nitelendirdi.
Patterson, kuantum bilgisayarların mevcut şifreleme yöntemlerimiz için önemli bir risk oluşturduğunu söyledi.
Sonuç olarak, “Kuruluşlar kuantum risklerini değerlendirmeli, sistemlerindeki savunmasız şifrelemeyi keşfetmeli ve dayanıklı bir kriptografik mimariyi hemen geliştirmeli” diye açıkladı ve yeni standartların, kuruluşların kuantum sonrası dünyada siber dayanıklılıklarını korumalarına yardımcı olacağını ekledi.
Günümüzün kuantum bilgisayarları küçük ve deneysel olsa da, hızla daha yetenekli hale geliyorlar ve DigiCert’in endüstri ve standartlar teknik stratejisti Tim Hollebeek, “ve kriptografik olarak ilgili kuantum bilgisayarların (CRQC’ler) gelmesi yalnızca bir zaman meselesi” dedi.
“Bunlar internetteki iletişimi ve cihazları korumak için kullanılan asimetrik kriptografiyi kıracak kadar güçlü kuantum bilgisayarlardır ve beş ila 10 yıl kadar kısa bir sürede ortaya çıkabilirler.”
Hollebeek şunları ekledi: “İyi haber şu ki, problem kuantum bilgisayarlara karşı savunmasız olmayan yeni zor matematik problemlerine geçilerek çözülebilir ve yeni NIST standartları, interneti korumak için bu yeni zor matematik problemlerinin tam olarak nasıl kullanılacağını ayrıntılı olarak açıklıyor. Gelecekte trafik.”
Deloitte’un ABD’li ve küresel kuantum siber hazırlık lideri Colin Soutar, yeni NIST standartlarını “büyük bir başarı” olarak nitelendirdi. Ancak kuantum siber hazırlığıyla ilgili temel sorunun, CRQC’nin ne zaman var olacağı değil, önümüzdeki beş ila 10 yıl içinde var olma olasılığının olup olmadığı olduğunu belirtti.
Bu durumda kuruluşların gelecekteki CRQC’lerden ne kadar etkileneceğini anlamaları ve veri gizliliği ve bütünlüğü için açık anahtar şifrelemelerini güncellemenin ne kadar süreceğini kendilerine sormaları gerektiğini söyledi.
Soutar, “NIST standartlarının birçok sektörde uyandırdığı daha geniş farkındalığı memnuniyetle karşılıyoruz ve bu yükseltmelerin gönüllü risk yönetimine dayalı bir süreçte yapılmasını umuyoruz” dedi.
Kaynak: https://www.techrepublic.com/article/nist-new-post-quantum-cryptography-standards/