Yıllar önce, maddi birikimlerimizi hırsızlara karşı güvence altına almak için evlerimizde kullandığımız kasalar ve güvenlik alarmlarının yetersiz olduğunu anladığımızda güvenceyi banka kasalarında ve banka dijital ortamlarında bulduk. Kuantum dönüşümüne girmemiş bankaların, güvenlik seviyelerinin artık evimizdeki bir kameradan veya kasadan farkı kalmadığını söylesem ne düşünürdünüz?
Bankalar ve finansal hizmetlerin operasyonlarının merkezinde büyük ölçüde bilgi teknolojileri birleşenleri bulunur. Erişilebilirlik, bütünlük ve gizliliği kapsayabilmek için kapsamlı fakat geleneksel kriptografi metodları kullanılır. Finans ve ödeme sistemlerinde kullanılan protokol ve kriptografi örneklerini şöyle sıralayabiliriz: (1) Kurumsal ağ içinde veya veri merkezleri arasında organizasyon içi iletişim bilgi aktarımı için yedekleme ve felaket kurtarmanın korunması gerekir. Tipik olarak bu sistemlerde, donanımlarda veya yazılımlarda AES şifrelemesi uygulanır. (2) SWIFT ağı genelinde bankalar arası finansal mesajlaşma, ödeme emirlerini transfer etmek için kullanılır, dünyadaki farklı bankalar arasında standartlaştırılmış, şifrelenmiş işlemlere izin verir. SWIFT, üzerinden gönderilen mesajları dijital olarak imzalamak ve şifrelemek için bir Genel Anahtar Altyapısı çalıştırır. (3) Kredi kartı bilgileri PCI-DSS standardına göre korunmaktadır. Veri transferinde kullanılan şifreleme yöntemi geleneksel simetrik anahtar metodudur. (4) Depolanan verilerin hem lokal hem bulut erişimlerinde geleneksel AES şifreleme metodu kullanılır. (5) Çevrimiçi bankacılık, web trafiğini erişimlerinde geleneksel TLS protokolünü kullanır. (6) X.509 sertifikaları ve RSA genel anahtarları kullanılarak sunucu kimlik doğrulaması yapılır.
Yukarıdaki maddelerde kullanılan protokol ve şifreleme metodlarının kuantum dönüşümündeki riskleri ve bu riskleri en aza indirmek için önerilerim aşağıdaki gibidir.
• Klasik bir bilgisayarın belirli bir 56 bitlik şifrelemeyi kırması bir gün sürerse kuantum bilgisayarı yalnızca 0,322 milisaniye, yani göz kırpma hızının binde biri kadar bir sürede bu şifrelemeyi kırabilir. Klasik bir bilgisayarın 64 bit şifrelemeyi kırması bir yıl sürerse bir kuantum bilgisayar bunu 7,3 milisaniyede yapar. Bu nedenle, kuantum saldırılarına karşı koymak için daha büyük anahtar boyutları kullanılmalıdır. Simetrik şifrelemenin kuantuma dayanıklı olarak kabul edilebilmesi için 256 bitlik bir anahtar uzunluğuna sahip olması gerekir. AES-256 gibi bir şifreleme sistemi, kuantum sonrası bir dünyada AES-128’e eşdeğer olacaktır.
• Genel olarak, AES ve artık güvenli olmayan DES gibi simetrik şifreleme algoritmaları tamsayı faktörleştirme içermez ve bu nedenle Shor’un algoritması kuantum saldırılarında hiçbir fayda sağlamaz. İki seçenek vardır: Shor’un algorithmasında tam sayı faktörleştirmeyi Qiskit ile gerçekleştirmek veya son kullanma tarihinin geldiğini kabul etmektir.
• 2048-Bit RSA şifreleme metodu kuantum dönüşümü ile sadece sekiz saat içerisinde kırılabilir! Hükümet, milli savunma, ordu ve büyük elçilikler gibi kurumların kritik finansal varlıklarının verileri ciddi tehlike altındadır. Belirtilen kritik yapıların verileri hâlâ 2048 bit RSA şifreleme veya benzer bir yöntemle gönderiliyorsa bu kuruluşlar endişelenmeye başlamalıdır! Cornel Universitesi’nin
• How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits” çalışması bu önergeyi kanıtlar niteliktedir. RSA şifrelemeyi kullanan kuruluşların, kuantum dirençli yeni şifreleme şemaları ve algoritmalarına geçmekten başka çaresi yoktur.
Sonuç olarak, finans ve ödeme sistemleri güvenlik omurgası acilen kuantum dönüşümüne girmelidir. Geleneksel güvenlik, şifreleme metodolojileri ve protokollerinin bir göz kırpma süresinden bile daha kısa süre içerisinde etkisiz hale getirebileceği gerçeği kuantum fırtınasının sadece ilk damlalarıdır!
Yazar : İsmail Orhan