1980’li yıllarda kuantum bilgi kuramının şekillenmesi ve takip eden dönemde Shor ve Grover algoritmalarının yayımlanmasıyla birlikte, Post-Quantum Cryptography (PQC) yani Kuantum sonrası kriptografi alanında çalışmalar hız kazandı. 1998 yılında 2 qubit’lik ilk kuantum bilgisayarın ortaya çıkması, bu alandaki tehditlerin de somutlaşmasına ve dolayısıyla kuantum mekaniğininden faydalanan bu algoritmalara karşı yeni metotların araştırılması ve geliştirilmesi ihtiyaçları ortaya çıkardı.

Kuantum bilgisayarlar, klasik hesaplama yöntemlerinin ötesine geçme potansiyeliyle yalnızca bilimsel araştırmalarda değil, aynı zamanda siber güvenlik alanında da devrim yaratma kapasitesine sahip. Özellikle de kriptografi söz konusu olduğunda. Bu yeni hesaplama paradigması mevcut şifreleme yöntemlerine ciddi seviyede tehdit oluşturmasından dolayı, halihazırda kullandığımız şifreleme algoritmalarının dayanıklılığı artık daha fazla sorgulanıyor.

Bu farkındalığın önemli bir adımı olarak 2018 yılında “National Quantum Initiative Act”, ABD kongresi tarafından kabul edildi. 2022 yılında ise ABD kongresi “Quantum Computing Cybersecurity Preparedness Act” başlıklı, kurumların bilgi teknolojisi sistemlerinin kuantum bilgisayarların saldırılarına karşı koyabilecek şifreleme yöntemlerine geçişini ele alan oldukça kritik bir yasayı daha onayladı.

Bu yasaların yürürlüğe girmesiyle birlikte, kuantum sonrası döneme hazırlık süreci resmiyet kazanarak ivme kazandı. Bu alana en ciddi yaklaşan ülkelerin başında ise şu anda ABD geliyor. Halihazırda, kuantum teknolojileri üzerine çalışan ve ABD borsalarına kote olan çok uluslu şirketlerden bazıları 📈:

• IonQ, Inc. (NYSE: IONQ)
• Rigetti Computing, Inc. (NASDAQ: RGTI)
• D-Wave Quantum Inc. (NYSE: QBTS)
• Quantum Computing Inc. (NASDAQ: QUBT)
• International Business Machines Corporation (IBM) (NYSE: IBM)
• Microsoft Corporation (NASDAQ: MSFT)
• NVIDIA Corporation (NASDAQ: NVDA)
• Honeywell International Inc. (NASDAQ: HON)

Kuantum hesaplama teknolojilerinin hızla gelişmesi, veri güvenliği kavramını yeniden tanımlamayı zorunlu kılıyor. Özellikle verinin üç temel durumda — hareketsizken (at rest), taşınırken (in motion) ve kullanım halindeyken (in use) — güvenliğini sağlamak, kuantum tehditlerine karşı en kritik önceliklerden biri haline geldi.

Bu doğrultuda, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), yaklaşık 6 yıl süren yoğun bir değerlendirme sürecinin ardından, kuantum sonrası döneme hazırlık amacıyla 4 post-quantum kriptografi (PQC) algoritmasını onayladı. Bu algoritmalar, geleceğin kuantum güvenli iletişim altyapısının temelini oluşturmayı hedefliyor.

Ancak standardizasyon nihai olarak belirlenmiş değil. NIST, ilerleyen süreçte başka algoritmaların da değerlendirmeye alınacağını ve yeni adayların duyurulacağını belirtiyor. Böylece hem performans hem de güvenlik açısından daha kapsamlı bir PQC standardı oluşturulması amaçlanıyor.

Yazının ilerleyen bölümlerinde, kuantum mekaniğinin gelecekte nasıl güvenlik tehditleri oluşturabileceğini ve bu tehditlerle nasıl başa çıkılmasının planlandığını detaylı şekilde ele alacağız.

🚨 Shor ve Grover: Kuantum Tehditlerinin Kaynağı

Kuantum bilgisayarların teoriden pratiğe yaklaştığı bu dönemde, kriptografi topluluğu özellikle asimetrik şifreleme algoritmalarının güvenliği konusunda giderek artan bir endişe taşıyor. Bu endişenin temelinde ise iki ikonik kuantum algoritması yer alıyor: Shor ve Grover.

Bu algoritmalar kuantum hesaplama mekaniğini kullanarak, klasik hesaplama yöntemleriyle pratikte imkansız denecek kadar uzun süreye ihtiyaç duyan büyük sayıları asal çarpanlarına ayırma (faktörizasyon) problemini ciddi manada kısaltmaktadır.

Özellikle Shor algoritması, RSA ve ECC gibi yaygın sistemlerin temelini oluşturan büyük sayıların asal çarpanlarına ayrılması ve ayrık logaritma problemleri gibi zor problemlerin kuantum bilgisayarlar tarafından hızlıca çözülebileceğini gösteriyor.

Günümüzde web trafiğinin neredeyse tamamı HTTPS protokolünü kullanmakta ve bu trafik büyük oranda RSA veya ECC tabanlı algoritmaların kullanıldığı TLS protokolü ile korunmaktadır. Dolayısıyla kuantum bilgisayarların gelişimi, bu güvenlik altyapısına doğrudan bir tehdit oluşturuyor.

⁉️ Simetrik Şifreleme Daha Güvende mi?

Asimetrik algoritmalar kuantum saldırılara karşı ciddi risk altındayken, simetrik şifreleme yöntemleri şimdilik daha dirençli görünüyor. Ancak tamamen güvende olduklarını söylemek de doğru olmaz.

Grover algoritması, kuantum bilgisayarların brute-force (kaba kuvvet) saldırılarını klasik sistemlere göre yaklaşık karekök hızında gerçekleştirmesini sağlıyor. Bu, örneğin 128-bit anahtarlı AES algoritmasının, kuantum ortamında 64-bit güvenliğe indirgenmesi anlamına geliyor. Bu riski azaltmanın pratik bir yolu ise anahtar uzunluğunu iki katına çıkarmak. Yani, AES-128 yerine AES-256 tercih ederek kuantum çağında da makul bir güvenlik seviyesi sağlanabiliyor.

Kuantum Tehditlerinin Temel Taşları: Shor ve Grover

၊||၊ Shor’s Algorithm

1994 yılında Peter Shor tarafından geliştirilen bu algoritma ile, özellikle RSA ve ECC gibi sistemlerde kullanılan asal çarpanlara ayırma ve ayrık logaritma problemlerinin çözülebileceği görüldü.

Klasik bilgisayarlarda pratik olarak uygulanamayan bu algoritma, kuantum donanımların olgunlaşmasıyla yaygın olarak kullanılan asimetrik algoritmaların sonunu getirebilecek potansiyele sahip gibi duruyor.

🧮 Grover’s Algorithm

1996 yılında Lov Grover tarafından geliştirilen Grover algoritması, özellikle yapısal olmayan veri arama problemleri için tasarlanmış bir kuantum algoritmasıdır. Kuantum bilgisayarların superposition (süper pozisyon) ve phase interference (faz girişimi) gibi yeteneklerini kullanarak, klasik brute-force yöntemlerinden çok daha hızlı çalışabiliyor; bu nedenle simetrik algoritmalarda daha uzun anahtar kullanımı önerilmektedir.

Bu iki algoritma, kuantum hesaplamanın yalnızca bilimsel bir gelişme değil, aynı zamanda kriptografi için bir paradigma değişikliği anlamına geldiğinin de en net göstergeleri.

🔎 Etki Alanları

Esasında kuantum hesaplamanın kriptografi alanında üç alanda büyük etkisi olacak: Key Exchange, Public key Cryptography ve Digital Signatures.

Temel olarak, Key Exchange (Anahtar Değişimi) kısmı şifrelenmiş bir tünel için uçtan uca bir oturum anahtarı müzakere ederken, Digital Signature (Dijital İmza) ise kimlik doğrulama ve veri bütünlüğü kavramlarını karşılar; ayrıca Non-repudiation (İnkar Edilemezlik) özelliğine sahip olduğundan, imzayı atan kişi sonradan “ben imzalamadım” diyemeyecek.

Public Key Cryptography ise genel olarak güvenilir olmayan ağlarda iletilen verinin gizliliği, bütünlüğü ve tarafların kimliğini teyit eden framework’e verilen isimlendirmedir.

Gelecekte, TLS protokolü içerisinde yer alan anahtar değişimi (Key Exchange) için bugün yaygın olarak kullanılan ECDH (Elliptic Curve Diffie-Hellman) yönteminin ve dijital imzalar için kullanılan RSA veya ECDSA algoritmalarının yerini kuantum dirençli alternatiflerle değiştirmemiz kaçınılmaz gözüküyor.

Tabii ki her bir algoritmanın kendine özgü avantaj ve dezavantajları var. Örneğin:

• Dilithium daha hızlı ve donanımsal olarak uygulanabilir.
• Falcon çok daha küçük imza boyutlarına sahip ama donanımsal implementasyonu daha karmaşık.
• SPHINCS+ tamamen hash tabanlı olduğu için daha güvenli kabul edilse de, çok büyük imza boyutlarına (17KB+) sahip olduğu için pratikte daha zor kullanılabilir.

Şu anda NIST, Key Exchange için Kyber; PKI için üç dijital imza yöntemini Dilithium, Falcon ve SPHINCS+ onayladı. Yakın gelecekte RSA, ECDSA ve EdDSA tarihin tozlu raflarına tahmin edilenden daha hızlı kaldırılan algoritmalar arasına karışacak gibi durmakta. Ancak sadece lattice-based metotlara çok fazla bağımlı kalmamak adına aynı zamanda alternatif algoritmalar arayışında. Ki bunlardan en bilinenler:

• Multivariate Signatures: 3WISE, DME-Sign, HPPC
• MPC-in-the-Head Signatures: Biscuit, MIRA, MiRitH
• Code-based Signatures: CROSS (Codes and Restricted Objects Signature), Enhanced pqsigRM
• Symmetric-based Signatures: AIMer, Ascon-Sign, FAEST, and SPHINCS-alpha.

Muhtemelen odak ilk etapta sorunsuz entegrasyon olacak ve başlangıçta hibrit yöntemleri kullanacağız. Örneğin mevcut ECDH yöntemimizi Kyber ile birleştireceğiz ve RSA, ECDSA veya EdDSA dijital imzalarını Dilithum ile karıştıracağız. Tabii bunların hepsi varsayım, ilerleyen dönem ne getirecek hep birlikte göreceğiz.

Kaynaklar

1. “Prof Bill Buchanan (2024). PQC and Symmetric Key in Perfect Harmony. https://asecuritysite.com/blogs”
2. “Ed25519-Dilithium2 (hybrid signature scheme) using CIRCL (2023). https://asecuritysite.com/pqc/circl_dil2”
3. “NIST (2024). First Post-Quantum Encryption Standards. https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards”