Kuantum Hesaplamaya dayalı olan sistemlere geçilmesi sonrası geleneksel kriptografik şifreleme teknolojileri güvenilmez/kırılabilir duruma gelecek.
Bu konuda ,CSA (Cloud Security Agency), tarafından “Quantum-Safe Security” adında bir güvenlik topluluğu oluşturuldu.
(https://cloudsecurityalliance.org/research/working-groups/quantum-safe-security/)
Yapılan araştırmalar ve testler dikkate alınarak bugün (06/08/2022) tarihi itibariyle kullanılan şifreleme algoritmalarının kırılmasına 7 yıl 25 gün kaldı…. Bu süre daha yakın bir zamana da çekilebilir. Çünkü burada daha büyük ölçekli Kuantum Bilgisayar kümeleri oluşturmak en önemli role sahip. ( https://www.fierceelectronics.com/electronics/quantum-expert-hack-now-decrypt-later-here-today )
Kuantum bilgisayarların, yeterince gelişmeleri halinde, mevcut açık anahtar algoritmaları üzerinde büyük bir etki yaratacaktır, çünkü geleneksel bir bilgisayarda bir mesajın kodunu çözmek için doğru anahtarı bulması trilyonlarca yıl sürebilirken, kuantum bilgisayarlarda sadece günler veya saatler alabilir. Bu kırma işlemi için ek bir alt algoritma kullanmadan deneme yanılma saldırısı ile bu işlem rahatlıkla gerçekleştirilebilir (Quantum John the Ripper diyebiliriz… )
NIST (Amerikan Standartları Enstitüsü) bu konuda güvenliğin sağlanması için “Post-Quantum Cryptography (PCQ)/Kuantum Sonrası Kriptografi” adını verdiği bir standart oluşturma çalışması başlattı.
https://csrc.nist.gov/Projects/post-quantum-cryptography/round-4-submissions
Bu konuda SIKE (Supersingular Isogeny Key Encapsulation) adı verilen ve PQC alt standardı olabilecek bir algoritma geliştirilmesine (4. tur aşamasında) devam edilmekte.
“Computer Security and Industrial Cryptography Group” araştırmacılarından Wouter Castryck ve Thomas Decru SIKE algoritmasını, Intel XEON CPU’ya sahip geleneksel bir bilgisayar ile 1 saat içerisinde kırılabileceğini kanıtladılar.
Araştımacılar, MAGMA (https://en.wikipedia.org/wiki/Magma_(computer_algebra_system) yapısındaki bir kodun (https://homes.esat.kuleuven.be/~wcastryc/) $IKEp182 ve $IKEp217 alt parametreleri arasına girilerek kırılabileceğini gösterdiler ve “An efficient key recovery attack on SIDH” başlığı ile yayınladılar (https://eprint.iacr.org/2022/975)
SIKE alt paramtrelerinin kırılması için Microsoft’da bir yarışma (Challange) başlatmıştı; https://www.microsoft.com/en-us/msrc/sike-cryptographic-challenge.
182 ve 217’nin ardından yapılan çalışmalarda NIST quantum seviyesi 1 konumunda olan SIKEp434 parametresi de yaklaşık 62 dakika içerisinde kırıldı.
Kıran sistemin donanımı Intel Xeon CPU E5-2630v2 at 2.60GHz (2013 yılında üretimine başlanan bir işlemci). Bu işlemcinin özellikle vurgulanmasının nedeni geleneksel bir bilgisayarada da algoritmanın rahatlıkla kırılabileceğinin ifade edilmesidir…
05 Temmuz 2022’de Amerikan Standartları Enstitüsü “Quantum-Resistant Cryptographic Algorithms” (https://www.nist.gov/news-events/news/2022/07/nist-announces-first-four-quantum-resistant-cryptographic-algorithms) başlıklı bir projeyi duyurdu.
Bu projenin ana amacı “Şifreleme algoritmalarının kırılması için kuantum hesaplamalarına dayanıklı kriptografi yöntemlerini kullanılması durumunda; hem kuantum hem de geleneksel bilgi işlem sistemlerine karşı güvenli olan ve aynı zamanda mevcut iletişim protokolleri ve ağlarıyla birlikte çalışan şifreleme sistemleri geliştirmek”…
Buradaki fikir, RSA, eliptik eğri şifreleme (ECC), AES ve ChaCha20 gibi mevcut algoritmalar kullanılarak bugün şifrelenen verilerin, kuantum bilgisayarların ortaya çıkmasıyla gelecekte kaba kuvvet saldırılarına karşı savunmasız hale getirilmemesini sağlamaktır.
NIST Kuantum Sonrası Şifreleme Standardının yaklaşık iki yıl içinde tamamlanmasının beklendiği ifade edilmekte. Bu şifreleme standardı tamamlanmadan önce dört algoritmanın daha sisteme eklenmesi beklenmekte. Şu ana kadar geliştirilen algoritma parametrelerinin güvenilirliği henüz doğrulanamadı.
SIKE algoritması hakkında daha fazla bilgi için; https://sike.org
Buradaki temel yaklaşım problemlerinden birisi geleneceksel hesaplama ve algoritma kümeleri ile alt bir algoritma yapısı oluşturma ve bunu yine geleneksel olarak ilişikilendirmektir. Başarılı olma ihtimali yine aynı seviyede (Quantum) düşünülmedikçe ve uygulama oluşturulmadıkça ancak kendimize karşı zaman kazanmış olacağız…
Bu ön sezinin nedeni…;
Bu tam anlamı ile ne anlama geliyor derseniz 10 yıl geçmeden şifrelerin kırılabileceği (hatta donanımı ve kaynağı olanlar tarafından şu anda… );
Peki bu şifrelerin kırılması nasıl gerçekleşebilir. Bilinene basit senaryoda; bir internet erişim sistemi için önce iletişimin gerçekleştiği domain private-key’i (Örneğin https://www.hotmail.com) kırılıp ardından bu key değişene kadar alttaki tüm trafik izlenebilir duruma gelecek. Bu mevcutta da kullanılan bir yöntem ancak burada süre çok kısa olacak… Ardından alt protokollerde de bir şifreleme (Public/Private key) kullanımı varsa, yine iç içe bu algoritmalarında kırılmasına devam edilecek (Matruşka misali…). Bunu makina öğrenmesi ile birleştirdiğinizde otonom olarak hedef bilgilerini verdiğinizde size parolayı veya veri içeriğini veren hibrit bir algoritma geliştirmek bugün itibari ile zaten mümkün…
Kişisel olarak, Parolalarınız tamamı neredeyse uzunluğundan ve içerdiği karakterden bağımsız olarak saniye, dakika, saat süresinde kırılabilecektir.
- Bankalar,
- Kripto paralarınızın bulunduğu hesaplar,
- Yaptığınız işler ile ilgili hesaplar,
- E-devlet hesaplarınız,
- Sosyal medya hesaplarınız…
Devletler olarak;
Şifre iletişiminin kullanıldığı tüm iletişim ve veri unsurları kırılabilecek, bu sadece internet üzerindeki ortamlar değil. Örneğin 5. nesil bir savaş uçağının yapacağı (ki bu nesil tamamen bilgisayar ve iletişim sistemlerine bağımlı) iletişim paterni alınarak merkezi bir Kuantum bilgisayar ünitesine aktarılıp ardından veri içeriği gerisin geri kullacak kaynağa iletilebilecek, bilgi alma ve manipülasyon amaçlı kullanılabilecek.
Peki yapılması gereken;
Olayın yine iki boyutu var ancak her ikisinde de, Devlet, Üniversiteler (Araştırmacılar) ve Endüstri firmaları ana rol almakta. Bu roller şifre kıran (çoğu zaman daha konforlu taraf…) ve şifre koruyan olarak düşünebilirsiniz. Her iki tarafında bilmesi icra etmesi gereken temel işler;
- Kuantum Bilgisayarların tasarlanması, üretilmesi, mevcut bilinen algoritmalar üzerinde çalışılması, özel algoritmaların üretilmesi konusunda araştırmalar yapılması.
- Algoritmalar ile geleneksel sistemlerin nasıl ilişkilendirileceği, üst iletişim kümelerinin nasıl şekillendirileceğinin belirlenmesi.
- Endüstride ve savunmada kullanılacak alanlarda uygulamalar yapılması,
- Günün sonunda ürün ve hizmetlere dönüştürülmesi (Genellikle devletler seviyeside…)
Bunların gerçekleştirilebilmesi için, yine temel olarak;
- Bu konuda uygulamalı projelerin oluşturulması (Bu kısmı zor olanı. Bu durumu; “Astronotun ne olduğunu bilmeden Astronot olmazsınız” olarak tanımlıyorum…)
- Araştırmacıların (Özellikle; Fizik, Matematik, Bilgisayar Araştırmacıları, Bilgi Güvenliği, Siber Güvenlik, Elektronik, vb.) yetiştirilmesi.
- Araştırma Tesislerin oluşturulması,
- Alt yapı donanımlarına kaynak ayrılması.
MEVCUT DURUM
- Bu konuda Ülkemizde bütçe ayrılan çok az sayıda proje, araştırmacı ve tesis var;
- https://www.aselsan.com.tr/tr/inovasyon/haber-detay/kuantum-bilgisayar-cagi-basladi-3827
- https://haberler.boun.edu.tr/tr/haber/bogazicinden-kuantum-bilgisayarin-temelleri-icin-adim
- Uluslararası dergilerde yayınlanmış makale sayısı yok denecek kadar az,
- Kuantum Şifreleme Güvenliği konusunda gerçekleştirilen bir bilgi güvenliği / siber güvenlik projesi mevcut değil…
- Bu durum devletlerin güvenlik durumunu en fazla 10 yıl içerisinde ciddi anlamda etkilecektir.