Post-quantum kriptografi — paniğe gerek yok.

Geçen ay saygı duyduğum bir kurucu telefonda sordu: kuantum için bir şey yapmam gerekiyor mu? Yedi yıllık müşteri verisi hattan akan bir fintech işletiyor. Korkutucu bir blog yazısı okumuş. Panik mi yapsın, görmezden mi gelsin, ortalama bir şey mi yapsın — bilmek istiyordu. Dürüst cevap: ortalama bir şey, panik yazılarının söylediğinden daha küçük ama sıfırdan büyük. Bu yazı, o cevap — kriptograf olmayan ama uzun ömürlü sırlar tutan sistemlerin sahibi olan mühendisler için yazıldı.

Tehdidi tanımlayacağım, NIST'in 2024'te tam olarak ne çıkardığını anlatacağım, pratik rakamları vereceğim, ve algoritma seçiminden daha önemli olan o tek mühendislik alışkanlığıyla bitireceğim. Matematik gerekmiyor; biraz matematik gösteriliyor.

'Kuantum kriptoyu kırar' tam olarak ne demek

Bu ifade kullanışlı olamayacak kadar geniş, o yüzden netleşelim. Yeterince büyük bir kuantum bilgisayar, Shor algoritmasını çalıştırdığında, polinom zamanda büyük tam sayıları çarpanlarına ayırır ve ayrık logaritma problemini çözer. Bu, RSA'yı, Diffie-Hellman'ı ve eliptik eğri kriptografisini öldürür — yani bugün üretimdeki açık anahtar kriptografisinin neredeyse tamamını taşıyan üç temel ilkeyi. Bu sayfayı yüklemek için tarayıcınızın çalıştırdığı TLS handshake'i de dahil.

Grover algoritması insanların alıntıladığı diğer algoritma. Kaba kuvvet aramayı kuadratik olarak hızlandırıyor — yani n bitlik simetrik bir anahtar, kuantum bir saldırgana karşı kabaca n/2 bitlik etkin güvenlik sağlıyor. AES-128 → AES-64 dengi (rahatsız edici), AES-256 → AES-128 dengi (hâlâ idare eder). Simetrik kriptonun çözümü çoğunlukla şu: AES-256 kullan. Zor problem açık anahtar tarafında.

Bu neden 2032 problemi değil, şu anki problem

Mühendisleri her zaman uyandıran argüman: şimdi yakala, sonra çöz (harvest-now, decrypt-later). Sabırlı bir saldırgan bugün kuantum bilgisayara ihtiyaç duymuyor. Hard diske ihtiyaç duyuyor. Şimdiki şifreli trafiği yakalıyor — VPN tüneli, TLS oturumu, arşivlenmiş yedek, federe mesaj logu — ucuza saklıyor, ve Shor yetenekli bir makine ortaya çıktığı gün çözüyor.

Bu hesabı değiştiriyor. Soru artık kuantum bilgisayar ne zaman gelecek? değil. Soru şu: bugünün anahtarlarıyla şifrelenmiş hangi veri, o gün hâlâ önemli olacak? Sağlık kayıtları. Kimlik belgeleri. Hukuki sözleşmeler. Devlet sırları. Yirmi yıl gizli kalması gereken ticari sırlar. Uzun gizlilik ufkuna sahip veriyi koruyan sistemler için tehdit zaten canlı — çünkü şifreli metin bugün toplanıyor.

Geçici veri için — bir saat sonra biten oturum tokeni, ödediğin kahve fiyatı — şimdi-yakala büyük ölçüde tiyatro. Veri çözüldüğünde zaten değersiz. Tehdidin ciddiyeti, sırlarının ne kadar süre gizli kalması gerektiğiyle tam orantılı.

NIST tam olarak ne çıkardı

Sekiz yıl süren açık bir yarışmanın ardından NIST, Ağustos 2024'te üç post-quantum standardını sonlandırdı. Gerçekler, deploy edilebilirler, OpenSSL'de, BoringSSL'de, libsodium'da, AWS KMS'de, Cloudflare'ın edge'inde ve Chrome'un TLS handshake'inde çoktan görünüyorlar. İsimler berbat; alışacaksın.

• ML-KEM (FIPS 203) — Kyber'den türeyen anahtar-kapsülleme algoritması. Anahtar değişiminde RSA/ECDH'nin yerini alıyor. İki taraf açık internet üzerinden ortak bir simetrik anahtar üzerinde anlaştığında, yeni yol ML-KEM.
• ML-DSA (FIPS 204) — Dilithium'dan türeyen dijital imza algoritması. İmzalamada RSA/ECDSA'nın yerini alıyor. Kod imzaları, JWT'ler, belge imzaları, sertifika imzaları — hepsi.
• SLH-DSA (FIPS 205) — SPHINCS+'tan türeyen, durumsuz hash tabanlı imza şeması. ML-DSA'dan daha yavaş ve daha büyük, ama yalnızca hash fonksiyonu güvenliğine dayanıyor — yani latticeler kuantum karşısında zayıf çıkarsa bile ayakta kalıyor. Yüksek güvenlik gerektiren imzalama için kemer-ve-pantolon askısı.

Bunlardan ikisi (ML-KEM, ML-DSA) lattice problemleri üzerine kurulu — özellikle modül latticeleri üzerinde 'hatalı öğrenme' (learning-with-errors). Neden iyi bir bahis olduğunun kısa versiyonu: altta yatan lattice problemleri için bilinen verimli bir kuantum algoritması yok, ve en iyi klasik saldırılar onlarca yıldır incelendi, yıkılmadılar. Bu bir kanıt değil; çok iyi test edilmiş bir bahis. SLH-DSA ise sigorta: lattice bahsi kaybederse, hash tabanlı imzalar hâlâ ayakta.

Bedeli — anahtarlar ve imzalar büyüdü

Bir vergi var. Post-quantum anahtarlar ve imzalar, yerini aldıklarından daha büyük — bazen çok daha büyük. Bugünün yuvarlak rakamları:

• Ed25519 imza: 64 bayt. ML-DSA-65 imza: ~3.300 bayt. Yaklaşık 50× daha büyük.
• X25519 açık anahtar: 32 bayt. ML-KEM-768 açık anahtar: ~1.184 bayt. Yaklaşık 37× daha büyük.
• SLH-DSA imza: parametrelere göre 8.000–50.000 bayt. Evet, doğru okudun.

Bir TLS handshake için bu yönetilebilir — bağlantı kurulumunda tek seferlik bir maliyet. Ama her HTTP başlığına bir imza, ya da her URL'ye bir token koyan bir sistem için boyut farkı önemli. Plana al. Bir şey takas etmeden önce gerçek trafiğinde ölç.

'Post-quantum'a geçiş' pratikte neye benziyor

Ciddi hiç kimse, tek deploy gününde klasikten PQ'ya temiz bir geçiş önermiyor. Adını duyduğun şirketlerde gerçekten yaşanan göç üç aşamalı ve hepsi kademeli.

1. Envanter. Sisteminin RSA, ECDSA, ECDH, DH'ye dayandığı her yeri bul. TLS uç noktaları, JWT imzacıları, kod imzacıları, SSH host'ları, OIDC sağlayıcıları, donanım güvenlik modülü (HSM) anahtarları, S3 istemci-taraflı şifreleme, servisler arası federe token'lar. Göremediğini göç ettiremezsin. Çoğu ekip envanterin beklediğinin iki katı büyük olduğunu keşfediyor.
2. Önce hibrit. Şu anki en iyi pratik hibrit anahtar değişimi — X25519 ve ML-KEM birlikte çalışıyor; oturum anahtarı ikisinden türetiliyor. Yarın latticeler kırılırsa, X25519 yarısı hâlâ ayakta. Gelecekte X25519'da bir açık bulunursa, ML-KEM yarısı ayakta. Hibrit, Cloudflare ve Chrome'un açık internette zaten yaptığı şey; en az pişmanlık veren yol.
3. Algoritma seçiminden önce kripto-çevikliği. En büyük mühendislik kazancı ML-KEM'i şu ya da bu yerine seçmek değil. Sistemini uygulamayı yeniden yazmadan algoritmayı takas edebilir hale getirmek. Kodunda 400 yerde RSA yazıyorsa, kripto problemin değil, kod problemin var. Bir sonraki yazıda daha çok bunun üzerine.

Şimdi kim harekete geçmeli, kim bekleyebilir

Kaba ama kullanışlı bir triaj.

• Bu yıl harekete geçecek olanlar: uzun ömürlü sır taşıyan herkes (sağlık, kimlik, hukuk, finans arşivleri), şifreli metni gerçekçi biçimde yakalanan herkes (telekomlar, VPN sağlayıcılar, düşman ağlarından geçen her şey), ve on yıl sonra hâlâ doğrulanabilir olması gereken yazılım/firmware güncellemesi imzalayan herkes.
• Bu yıl planla, gelecek yıl harekete geç: hassas müşteri verisi olan SaaS'lar, çok yıllık sözleşmesi olan B2B platformlar, organizasyonlar arası federasyon veya tek oturum açma (SSO) yapan herkes.
• Bilgilen, ama acele yok: geçici verisi olan tüketici uygulamaları, kurumsal VPN arkasındaki iç araçlar, sırrı aylar içinde değersizleşen her şey.

GOGOGO LLC'de inşa ettiğimiz ajan sistemleri için ilgili soru daha dar: ajan hangi sırrı tutuyor, ve ne kadar süre? Ajanın sonraki 30 saniye için kullandığı geçici bir oturum tokeni en alt kovada. Ajanın izlenebilir çıktısını yıllarca onaylayan bir imzalama anahtarı en üst kovada. Aynı ürün ikisini de barındırabilir — ve operasyonel açıdan ilginç problemin algoritma seçimi değil, kripto-çeviklik olmasının sebebi de tam olarak bu.

“Post-quantum bir acil durum değil, tiyatro da değil. Tarihini bilmediğin bir son tarih — en kötü senaryosu zaten yaşanıyor: şifreli metin şu anda saklanıyor. Doğru duruş şu: önce envanter, sonra hibrit, her yerde çeviklik.”

Bu nereye gidiyor

İlginç iş ML-KEM'i seçmek değil. İlginç iş, algoritmanın takas edilebilir bir bileşen olduğu sistemler kurmak — bir NIST standardının yerine yenisi geldiği gün (gelecek), göçün config değişikliği olduğu, yeniden yazma olmadığı sistemler. Bu disiplinin bir adı var — kripto-çeviklik — ve sonraki yazının konusu o. Ondan sonraki yazı, tüm bunların birçok ajanın durumu paylaştığı, imzaladığı ve doğruladığı sistemler için tam olarak ne anlama geldiği hakkında. Ürünlerin bugün çalışıyorsa, envantere başlamak için doğru zaman bu. Ne çok erken. Ne çok geç. Nasıl inşa ettiğimiz üzerine daha fazlası gogogollc.com'da.