Bu yazı, kuantum güvenliğinin nasıl çalıştığı, toplum ve iş dünyası için sonuçları ve hassas verileri işleyen ve bu verilerin güvenliğini sağlamaya dayanan organizasyon liderleri için ne anlama geldiği üzerine bir yazıdır.
Rastsal sayı üreteçlerinin kriptografik anahtarlar oluşturmadaki rolüne ve rastgelelik kalitesinin bu anahtarın gücüne nasıl etki edeceğine bakacağız.
Kuantum öncesi çağda, özellikle de rastgele sayıları ve rastgele sayıların verilerini ve işlemlerini kuantum açısından güvenli hale getirme rollerinin tam olarak anlaşılmadığı durumlarda, siber güvenlik önceliklerini anlamak kolay değildir.
Sayı dizileri, belirli bir ölçüde tahmin edilemez olduğunda bir dereceye kadar rastgele kabul edilir ve rastsal sayı üreteçleri (RNG); video oyunlarından kurumsal uygulamalara kadar her yazılım kategorisinde yaygın bir rol oynar. Daha da önemlisi, kriptografik anahtarları oluşturmak için temel niteliktedirler.
Yazılım tabanlı rastsal sayı üreteçleri genellikle geliştiricilerin uygulamalarında kullanılan kodlama diline veya fonksiyon kütüphanelerine eklenir. Programcı, “Bana N1 ile N2 arasında rastgele bir sayı oluştur” diyen bir kod yazar ve istenilen aralıkta bir sayı otomatik olarak oluşturulur.
Yani, sayıların altında tespit edilebilir bir model bulunur ve bu modellerden türetilen herhangi bir kriptografik anahtar, hacklenmeye karşı savunmasız olacaktır, daha az güvenilir RSÜ (Rastgele Sayı Üretici) kullanıldığı durumlarda ya da daha sonra, kuantum hesaplamanın bugün kullanılan en sofistike klasik RSÜ’ler için bile gerçek bir tehdit olarak ortaya çıkaçaktır.
Sözde Rastsal Sayılar
Klasik, yazılım temelli rastgele sayı üreteçleri sözde rastgele sayı dizileri üretir. Sözde rastgele sayı üreteçleri (PRNG), belirli bir başlangıç giriş değeri olan “çekirdek” değeri tarafından belirlenen, görünüşte rastgele bir sayı serisi oluşturur. Sorun şudur ki, tohum değeri geliştirici tarafından seçilir ve belirli bir çekirdek için sözde rastgele sayı üreteçleri her zaman aynı sayı dizisini üretir. Bu da mümkün olduğunca deterministik bir özellik taşır. Bu sayı dizileri rastgele gibi görünebilir, ancak aslında öyle değillerdir.
Bu, birçok daha az titiz kullanım durumu için farklılık göstermeyen bir ayrımdır. Sözde rastgele sayılar, video oyunları veya simülasyonlar gibi eğlence amaçlı uygulamalar için oldukça iyi çalışır. Ancak riskler arttığında ve siber güvenlik merkezi bir endişe haline geldiğinde, bunlar tamamen yetersiz kalır.
Sözde rastgele sayı kümesini düşük entropiye sahip olarak tanımlanır; entropi, verilerdeki düzensizlik derecesini ifade eden bir terimdir. Bir veri kümesindeki entropi ne kadar yüksekse, veri o kadar az deterministiktir, daha rastgele ve sonuç olarak ondan türetilen şifreleme anahtarları o kadar güçlü olur.
Bu noktaya ulaşmak için algoritmalardan uzaklaşmak ve gerçek dünyada doğal olarak ortaya çıkan “gürültüyü (noise)” bir şekilde ölçmek gerekmektedir.
Gerçek Rastgele Sayılar
Daha yüksek entropili, ‘gerçek’ (diğer adıyla ‘donanım’) rastgele sayı üreteci (TRNG), cep telefonlarından tabletlere, yönlendiricilere ve IoT cihazlarına kadar her şeye yerleştirilebilen, genellikle bağımsız bir mikroçip olarak sunulan, amaca yönelik üretilmiş donanımlardır.
TRNG’ler, PRNG’lere göre kriptografik olarak daha güvenli, daha az deterministik bir gelişme olarak kabul edilir, ancak yine de klasik ve dolayısıyla deterministik prensipleri kullanarak çalışırlar. Algoritmaları kullanmak yerine, TRNG’ler atmosferik ortam veya termal koşullar gibi gürültülü fiziksel fenomenleri kullanır. Ölçüm sapmalarına karşı hassas olabilirler, bu yüzden düzeltici önlemler genellikle entegre olarak bulunur.
İsmine rağmen, “gerçek” rastgele sayı üreteçleri gerçekten rastgele değildir. Bazı bağlamlarda güvenli kabul edilseler de, maksimum kuantumdaki güvenli entropi seviyelerine ulaşmak için hala gerçek dünya girdisine ihtiyaç duyarız, ancak tamamen klasik fizikten uzaklaşmamız gerekmektedir.
Kuantum Rastgeleliği
Yıllar süren kuantum hesaplama araştırmalarının sayesinde, kuantum durumlarının ölçüm ayrıntılarını artık çözebiliyoruz. Maksimum entropiye ulaşmak için, donanım tabanlı kuantum Rastgele Sayı Üreteçleri (QRNG), PRNG’lerin ve TRNG’lerin dayandığı klasik prensiplerin yerine, kuantum olayların doğasında bulunan stokastik özelliklerini kullanır.
Kuantum ve klasik arasındaki ayrım sadece anlamsal bir fark değildir.
Kuantum dünyasındaki her şey, karşıt sezgisel ve garip, hatta bu ölçekteki olayların tamamen tahmin edilemez aralıklarda meydana gelmesi gibi. Başka bir deyişle, kuantum dünyası doğal olarak stokastiktir ve kuantum rastgeleliği, iddia edilen ‘gerçek’ rastgelelikten ölçülemez şekilde üstündür.
Tüm Kuantum Rastgele Sayı Üreteçleri Nerede?
Üretim kalitesinde kuantum bilgisayarlarını oluştururken hala teknik engellerle karşılaşılıyor olsa da, kuantum Rastgele Sayı Üreteçleri (RNG’leri) şu anda ticari olarak mevcuttur ve bunları yerel bir donanım birimi veya bulut hizmeti olarak kullanabilirsiniz.
Altta yatan kuantum donanımı, OEM veya sağlayıcıya bağlı olarak değişir, ancak her bir biti beklediğiniz kadar egzotiktir ve ölçebileceğimiz herhangi bir kuantum tuhaflığından yararlanır. Tek bir fotondaki kutupluluk, vakumda kuantum dalgalanmaları, kuantum tünelleme olayları ve sayısız diğer fenomenler, hepsi maksimum entropiye yaklaşan doğal bir rastgeleliğe sahiptir.
“Şimdi Çal – Sonra Şifresini Çöz (SNDL)” tekniği hali hazırda açık ve mevcut bir tehdit olduğundan, işletmelerin verilerini hemen güvence altına almaları ve kritik iş sistemlerini korumak için QRNG’lerin kuantum güvenliği açısından dikkatli bir şekilde değerlendirmeleri için her sebep mevcuttur.
Özet
Hassas verileri yöneten kuruluşların karar vericileri, SNDL’ye karşı savunmalarını güçlendirmek ve bu savunmaların yeterince rastgele bir temel üzerine inşa edilen kriptografik koruma kullandığından emin olmak için şimdi harekete geçmelidir.
Bu zorunlulukları anlamak, rekabette avantaj elde etmenizi, kuruluşunuzu maliyetli düzenleyici eylemlere karşı korumanızı sağlayacak ve uyguladığınız korumaların gerçekten kuantum güvenliği sağladığını garanti edecektir.
Sonuç olarak, mevcut şifreleme düzeneklerini savunmasız hale getirecek olan gerçekliğin aynı garip özellikleri, değerli iş verileri ve işlemlerine yönelik yeni tehditleri de kuantum devrimine kadar yenmenin yolunu açacaktır.
Çevirmen: Hatice Boyar
Redaktör: ChatGPT, Yasir Ölmez
Kuantum Kriptografi ile ilgili daha fazla yazıya buradan ulaşabilirsiniz.
