Merhabalar, bugün biraz gelecekten, ama aslında tam da bugünün problemlerinden bahsedeceğiz. Genelde bilim kurgu filimlerinde gördüğümüz o kuantum bilgisayarlar artık bilim kurgu değil ve maalesef şuan internette güvenliğimizi sağlayan her şeyi (evet maalesefeki her şeyi tam anlamıyla her şeyi) çöpe atma potansiyaline sahipler. İşte burada sahneye PQC (Post Quantom Crypthography), yani kuantum sonrası kriptografi çıkıyor. Peki nedir bu PQC ve neden NIST (Amerikan Ulusal Standartlar Enstitüsü) Harıl harıl bu konuda yeni standartlar yayınlıyor?
Şu an internet bankacılığına girerken, SSH bağlantısı kurarken veya Whatsapp'ta mesajlaşırken güvenliğimizi salgılayan algoritmalar(RSA, Eliptic Curve) tek bir varsayıma dayanır. "Büyük sayıları asal çarpanlarına ayırmak zordur", Klasik bir bilgisayar için 2048 bitlik bir anahtarı kırmak milyonlarca yıl sürer. Ama kuantum bilgisayarlar, bit (0 ve 1) yerinr Qubit kullandığı için ve Shor Algoritması sayesinde bu işlemi (teorik olarak) saniyeler veya dakikalar içinde yapılabilir. Peki bu Qubit nedir ve bitten farkı nedir?
- Bit: Bildiğimiz bilgisayarların kullandığı en küçük veri birimidir, Bir ampul gibidir ve 2 ihtimali vardır yani ya açık ya da kapalı işte 1 veya 0
- Qubit (Kuantum Bit): "Süperpozisyon" denilen olay sayesinde bir Qubit, aynı anda hem 0 hem 1 durumunda olabilir, Klasik bit, masada duran "Yazı" veya "Tura" gelmiş bir madeni paradır. Qubit ise masada tabiri caizse fırıl fırıl dönen bir paradır, dönme anında hem yazı hemde tura gibidir, Bu özellik kuantum bilgisayarların milyarlarca ihtimali aynı anda hesaplamasını sağlar.
Peki burada bit ile Qubit farkını açıkladık fakat Shor algoritmasınada bir göz atmamız lazım ki konuyu anlayarak devam edebilelim. Shor algoritması nedir?
- 1994'te matematikçi Peter Shor tarafından geliştirilen bir algoritmadır.
- Olayı Ne: Şu anki şifrelemeler (RSA), devasa sayıları çarpanlara ayırmanın (Örneğin 300 basamaklı bir sayıyı hangi iki asal sayının çarpımı oluşturur?) klasik bilgisayarlar için imkansız olması prensibine dayanır.
- Tehdidi: Shor algoritması, bir kuantum bilgisayarda çalıştığında bu "imkansız" işlemi saniyeler içinde çözer. Yani internetin kilidini açan bir maymuncuk gibi düşünebiliriz. Klasik bilgisayarın 10.000 yılda deneye yayıla bulacağı bir şifreyi bu algoritma matematiksel bir yol kullanarak şıp diye bulur.
Evet terimsel olarakta ne olduklarını öğrendik şimdi konumuza devam edebiliriz.
Yani birisi yeterince güçlü bir kuantum bilgisayar yaptığı gün, dünyadaki tüm klasik şifreleme yöntemleri kırılmış sayılacak. Biz buna "Q-Day" diyoruz.
Ankaradaki Cloud eğitiminde özellikle Cüneyt Gürses hocamın üstüne vurgulaya vurgulaya söylediği ve üzerinde çok durduğu bir söz vardı: "Harvest now, Decrypt later". Tamam kuantum bilgisayarlar şuan hazır olmayabilir belki biraz daha rahat olabiliriz ama yanılıyoruz maalesef. Saldırganların şuanki stratejisi tam olarak, Verileri şuan topla zamanı geldiğinde zaten çözeceksin. Şimdi topla sonra çöz mantığı. Yani adamlar şifreli trafiği şuan kaydediyorlar. İçini açamıyorlar belki ama disklerinde saklıyorlar. Bundan 5-10 yıl sonra kuantum teknolojisi geliştiğinde, istenilen seviyeye geldiğinde o sakladıkları verileri tıkır tıkır açacaklar. Yani bugünün sırrı yarının manşeti olabilme ihtimaline sahip. İşte PQC'ye geçişin acelesi bu yüzdne.
PQC, kuantum bilgisayarların çalışma mantığına ters gelen, onların "hızlıca" çözemeyeceği matematiksel problemlere dayanır. Bu algoritmalar özel bir kuantum donanımı gerektirmez, mevcut laptoplarımızdada çalışır ama matematiksel altyapısı farklıdır. NIST 2024 yılında bu işin standartlarını belirledi ve 3 kazanan algoritmayı duyurdu:
- CRYSTAL-S Kyber (ML-KEM): Genel şifeleme ve anahtar değişimi için (Key Encapsulation). Hızlı ve küçük anahtar boyutlarına sahip. Artık yeni standart bu.
- CRYSTAL-S Dilithium (ML-DSA): Dijital imzalar için. Güçlü güvenlik ve iyi performans sunuyor.
- SPHINCS+ (SLH-DSA): Bu da dijital imza için ama farklı bir matematik (hash-based) kullanıyor.