Web2 ve Web3 için post-kuantum döneminde güvenlik çözümleri arayışında ortak bir yaklaşım

Hızla gelişen teknolojik bir çağda, güvenlik sürekli keşif ve ilerleme yolculuğudur. Kuantum bilgisayarlar, en son teknolojilerden biri olarak, büyük fırsatlar sunarken aynı zamanda global dijital güvenliği koruyan mevcut genel anahtar kriptografi sistemleri (örneğin RSA, ECC) için potansiyel bir uzun vadeli tehdit oluşturuyor. Bu eğilimi fark ederek, pasif bir şekilde beklemek yerine proaktif olarak keşfetmeyi seçiyoruz.

Bugün önemli bir keşif sonucunu paylaşmaktan memnuniyet duyuyoruz: KuCoin, Web3 Infrastructure Foundation (W3IF) bünyesindeki açık kaynak projesi pqc-gateway (https://github.com/web3infra-foundation/pqc-gateway) ve teknik partneriflomesh.io ile iş birliği yaparak kuantuma dayanıklı kriptografi (PQC) geçidi için bir konsept kanıtını (POC) başarıyla tamamladı ve halka açık deneyime sundu. Bu, post-kuantum güvenlik yolculuğumuzda önemli bir ilerleme adımını temsil ediyor.

 

Web3 Infrastructure Foundation (W3IF) Hakkında
W3IF Vakfı (resmi site:https://web3infra.foundation/), Hong Kong merkezli, kâr amacı gütmeyen bir açık kaynak yazılım vakfıdır. Küresel ölçekte yüksek kaliteli açık kaynak Web3 altyapı projelerini bir araya getirmeyi ve konsensus algoritmaları, sıfır bilgi kanıtları, merkezi olmayan kimlik doğrulama (DID) ve güvenilir bilgi işlem gibi önemli alanları kapsayan merkeziyetsiz bir teknoloji ekosistemini inşa etmeyi teşvik etmeyi amaçlıyor. Bu iş birliği kapsamında geliştirilen pqc-gateway projesi, vakfın ekosisteminin önemli bir bileşenidir.

 

• PQC , kuantum-sonrası kriptografi ya da kuantuma dayanıklı kriptografi anlamına gelir. Belirli bir algoritmaya değil, gelecekteki kuantum bilgisayar saldırılarına dayanabilecek yeni nesil kriptografik algoritmalar sınıfına işaret eder.

• Ele aldığı temel sorun şudur: Yaygın olarak kullanılan asimetrik şifreleme algoritmalarının (örneğin RSA, ECC) güvenliği, belirli matematiksel problemlerin hesaplama karmaşıklığına dayanmaktadır. Ancak kuantum bilgisayarlar, kendine özgü kübitlerini (örneğin Shor’un algoritması gibi) kullanarak bu sorunları çok kısa sürede çözebilir ve ağ iletişimlerinden blok zincir varlıklarına kadar bu algoritmalara dayanan güvenlik sistemlerini tehdit edebilir.
• PQC'nin değeri, güçlü kuantum bilgisayarlar olsa bile PQC algoritmalarını kırmanın teorik olarak çok zor olmasında yatmaktadır. "Kuantum çağına" geçiş yapabilecek yeni bir güvenlik köprüsü inşa etmeyi hedefler.

Küresel düzenleyici ve standart belirleme kuruluşları da aktif adımlar atarak bu geçişin yönünü ve aciliyetini işaret etmektedir:

• Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), PQC algoritmalarının (Kyber, Dilithium gibi) ilk grubunun standartlaştırılmasını tamamlamış ve net bir teknolojik yol belirlemiştir ^[1]. Aynı zamanda daha fazla algoritma son taslak versiyona ulaşmış ve ekosistem hızla olgunlaşmaktadır.

• Ulusal Güvenlik Ajansı (NSA), geleneksel genel anahtar algoritmalarından (RSA, ECC) geçişin 2030 civarında tamamlanmasını ve 2035 yılı itibarıyla ulusal güvenlik sistemlerinde kullanılacak tüm yeni cihazlar ve yazılımlar için sadece PQC algoritmalarının kullanılmasını gerektiren bağlayıcı bir ulusal strateji yayınlamıştır ^[2].

• . Menkul Kıymetler ve Borsa Komisyonu (SEC) de geleceğe hazırlık yapmaya başlamış ve finans sektörüne yönelik küresel finansal kurumlar için "Finans Endüstrisi İçin Kuantum-Sonrası Kriptografi Hazırlığı (PQFIF)" başlıklı bir taslak hazırlayarak kuantum dayanıklı güvenliğin finansal uyumluluk için zorunlu bir gereklilik haline gelmek üzere olduğunu göstermiştir ^[3].

. Tüm bunlar, PQC'ye geçişin artık bir "olabilir mi" değil, bir "ne zaman" ve "nasıl" sorusu olduğunu göstermektedir.

 

Bu bağlamda , KuCoin , pqc-gateway açık kaynak projesi ve teknik partner ile ortaklık kurmuştur.flomesh.io W3IF Vakfı ile iş birliği içinde teorik keşifleri pratiğe dökmek için çalışmalar yürütmektedir. Birlikte, kuantum-dirençli bir ağ geçidi için kavram kanıtı niteliğinde bir ortam oluşturduk.

Temel prensibi şudur: Kullanıcının tarayıcısı ile KuCoin sunucusu arasında bir HTTPS bağlantısı kurulurken, anahtar değişimi ve kimlik doğrulama algoritmaları, geleneksel RSA/ECC yerine NIST standart taslağındaki kuantum-dirençli (PQC) algoritmalarla değiştirilir.

Bu ilk sonucu deneyimlemeniz için sizleri içtenlikle davet ediyoruz: https://pqctest.kucoin.biz adresini ziyaret edin, bağlantınız artık kuantum sonrası kriptografi ile korunmaktadır.

En iyi deneyim için aşağıdaki tarayıcı sürümlerinin kullanılması önerilmektedir:

• Chrome: 142.0.7444.135 sürümü ve üzeri

• Safari: 26.0.1 sürümü ve üzeri

• Firefox: 144.0.2 sürümü ve üzeri

Örneğin, Chrome tarayıcısında F12 tuşuna basarak konsola girin, ardından Güvenlik panelini seçin. Tarayıcınız PQC'yi destekliyorsa, Bağlantı bölümünün altındaki Anahtar değişimi kısmında anahtar değişim algoritmanızın X25519MLKEM768 PQC algoritmasını kullandığını göreceksiniz; bu, iletişiminizin PQC tarafından korunduğu anlamına gelir.

PQC’yi teorik standartlardan üretim ortamlarında kullanılabilir çözümlere dönüştürmek birçok zorlukla doludur. Bu kavram kanıtı çalışmasında, W3IF Vakfı'nın pqc-gateway proje ekibi ve flomesh.io ile birlikte endüstrinin genelinde karşılaşılan "derin su" sorunlarından bazılarına yoğunlaştık:

1. Performans ve Giderler: Güvenlik ve verimlilik arasında denge kurmanın sanatı ve gelecekteki optimizasyon yolları

Bu, PQC'nin uygulanması için en doğrudan zorluktur ve hesaplama ile iletişim olmak üzere iki temel alanda kendini gösterir.

• Hesaplama Giderleri: Çoğu PQC algoritmasının işlem yükü, mevcut ECC'nin işlem yükünü büyük ölçüde aşmaktadır. Örneğin, Dilithium imza algoritmasının imza oluşturma ve doğrulama hızı, geleneksel ECDSA'ya göre birkaç kat ila onlarca kat daha yavaştır. KuCoin gibi yüksek performanslı alım satım platform ağ geçitleri için bu durum, CPU yükünde önemli bir artış anlamına gelir ve bu da doğrudan sistemin sorgu oranını ve hizmet gecikmesini etkileyebilir.

• İletişim Yükü (Bant Genişliği): Bu, şu anda PQC için en büyük sıkıntı noktalarından biridir.

• • Anahtar Değişimi: Kyber algoritmasının şifreli metin ve açık anahtar boyutu yaklaşık 1-2KB iken, geleneksel ECDH yalnızca 32-64 bayttır.
  • İmza: Dilithium'un imza boyutu yaklaşık 2-4KB iken, ECDSA imzaları genellikle yalnızca 64-128 bayttır.
• Sertifikalar ve Açık Anahtar Altyapısı (PKI) Zorlukları:
  • Sertifika Zinciri Genişlemesi: TLS sertifika zincirleri genellikle uç birim sertifikaları, ara CA sertifikaları ve kök CA sertifikalarını içerir. Tümünün PQC imzalarını kullanması durumunda, tüm sertifika zinciri boyutu birkaç on KB'ye kadar ulaşabilir. Tarayıcılar, el sıkışma sırasında yüzlerce KB'lik sertifika verisini indirmek zorunda kalabilir ve bu durum ilk ekran sayfasının yüklenme hızını ve kullanıcı deneyimini ciddi şekilde etkileyebilir.
• Genel Etki ve Gelecekteki Çözümler: Tamamen PQC algoritmalarını mevcut algoritmalarla değiştiren tam bir TLS 1.3 el sıkışması, aktarılan veri miktarının 10-20 kat artmasına neden olabilir. Bu, ağ gecikmesine duyarlı ve bant genişliğinin sınırlı olduğu ortamlar (örneğin mobil ağlar) için büyük bir zorluktur.

Geleceğe baktığımızda, W3IF Vakfı ve teknik ortaklarıyla birlikte sistematik çözümleri keşfetmek için yakın bir şekilde çalışmayı planlıyoruz:  

• • Donanım İndirme: Yüksek yoğunluklu PQC işlem görevlerini üstlenmek için özel donanımın (örneğin akıllı ağ kartları, kriptografik hızlandırma kartları) kullanımını araştırarak, CPU'nun temel iş süreçlerini yönetmek için serbest kalmasını sağlamak.
  • Sertifika Sıkıştırma Teknolojisi: PQC sertifikalarının büyük boyutuna hitap edecek etkili sıkıştırma algoritmalarını keşfederek, güvenlikten ödün vermeden aktarılan veri miktarını önemli ölçüde azaltmak.
  • CPU Komut Seti Optimizasyonu: Ana akım PQC algoritmaları için optimize edilmiş CPU komut setlerini teşvik etmek ve benimsemek, hesaplama verimliliğini temelden artırmak.

Hedefimiz, bu teknolojik yenilikler sayesinde nihayetinde güvenlik ve verimliliğin bir arada varlığını sağlamak.

 

2. Protokoller ve Birlikte Çalışabilirlik: Ekolojik iş birliğinin karmaşıklığı

TLS, karmaşık bir protokol ekosistemidir ve PQC'nin (Post-Kuantum Kriptografisi) tanıtılması, protokol uzantıları ve sertifika sistemlerini içeren tüm tarafların iş birliğini gerektirir.

• Mevcut ekosistemle uyumluluk ve kademeli bir dağıtım yolu: İnternet altyapısı düzeyinde kapsamlı ve radikal teknolojik yenilikler gerçekçi değildir. Bu nedenle, kademeli dağıtım tek uygulanabilir yoldur.
  • Çözülen uyumluluk sorunları: Bu POC (Proof of Concept) çalışmamızda, akıllı bir ağ geçidi tasarımı ve protokol müzakere stratejileri aracılığıyla mevcut ekosistemle uyumluluk sorunlarını başarıyla ele aldık. Ağ geçidimiz, istemcinin (tarayıcı) PQC destek kapasitesini akıllıca tanımlayabilmektedir. PQC'yi henüz desteklemeyen tarayıcılar için ağ geçidi, otomatik olarak geleneksel şifreleme algoritmalarına geçiş yapabilir ve böylece tüm kullanıcıların web sitesine sorunsuz bir şekilde erişmesini sağlar. Bu, bu uygulamadaki önemli bir ilerlemeyi temsil etmektedir.
  • Tarayıcı desteğinin mevcut durumu ve sınırlamaları: Şu anda neden PQC'yi yalnızca anahtar değişim seviyesinde görüyorsunuz:
    Şu anda, popüler tarayıcılar (Chrome, Safari, Firefox) PQC'yi destekleme aşamasının erken evrelerindedir. Destekleme stratejileri kademeli ve aşamalı bir yaklaşımdır:

1. 1. Anahtar değişim için öncelikli destek: Mevcut tarayıcı sürümleri, öncelikle anahtar değişim aşamasında PQC algoritmalarını (örneğin Kyber) entegre etmektedir. Bunun nedeni, anahtar değişimin, sonraki iletişimler için oturum anahtarlarının güvenliğini doğrudan etkilemesidir ki bu, "şimdi depola, sonra çöz" saldırılarına karşı koruma sağlamak açısından kritik öneme sahiptir. Bu nedenle, test alan adımıza eriştiğinizde tarayıcınız, PQC algoritmalarını kullanarak ağ geçidimiz ile kuantuma dayanıklı bir oturum anahtarı müzakere edebilmektedir.
   2. Dijital imza desteğindeki gecikme:Dijital imzalar için destek (esas olarak sunucu kimlik doğrulamasında, yani sertifika zinciri doğrulamasında kullanılır) tarayıcılarda hâlâ geliştirilmeye devam etmektedir. Bu nedenle, mevcut deneyimde PQC'nin uygulanması esas olarak anahtar değişim seviyesinde kendini göstermektedir. Tüm sektör, imza seviyesinde tarayıcıların ve sertifika otoritelerinin (CA'ler) tam anlamıyla uyum sağlamasını beklemek zorundadır.

 

3. Hassas Anahtar Malzemelerinin Güvenlik Yönetimi

Kriptografik yükseltmeler yalnızca algoritmaları değiştirmekle sınırlı değildir; aynı zamanda tüm güvenlik yaşam döngüsünün yönetimi üzerinde de yeni gereklilikler oluşturur. PQC algoritmasına karşılık gelen özel anahtarların güvenli bir şekilde nasıl oluşturulacağı, saklanacağı, döndürüleceği ve imha edileceği, bu yeni ve potansiyel olarak daha karmaşık hassas bilgilerin sızdırılmamasını sağlayarak ele alınması gereken, algoritma değişikliğinin kendisinden daha karmaşık ve kritik bir zorluktur. Mevcut olgun anahtar yönetim sistemini, PQC'nin yeni özellikleriyle uyumlu hale getirmek ve doğrulamak için çalışıyoruz.

Pek çok zorluğa rağmen, bu geçidin POC doğrulaması, bizim için daha geniş PQC uygulama senaryolarına kapı açmıştır. İşlem platformunun güvenliği sadece bir başlangıç noktasıdır; blockchain'in kendisinin güvenliği, özellikle cüzdanlar ve akıllı sözleşmelerin güvenliği, kuantum bilişiminden gelen tehditlerle karşı karşıyadır. Gelecekte, keşif vizyonumuzu zincir içi alana genişleterek, kullanıcıların dijital varlık güvenliğini kapsamlı bir şekilde korumaya yönelik çalışacağız:

• Kuantum-dirençli cüzdanlar: PQC algoritmalarını kullanarak özel anahtarlar oluşturma ve depolama, ya da kuantuma dirençli imza şemaları oluşturarak cüzdan varlıklarını gelecekteki kuantum bilişim tehditlerinden temel olarak koruma.

• Güvenli DApp uygulamaları: Kullanıcı kimlik doğrulaması ve işlem imzalama için DApp geliştiricilerinin PQC algoritmalarını kullanmasını destekleyip teşvik ederek, tüm merkeziyetsiz uygulama ekosistemi için kuantum sonrası güvenlik temeli inşa etme.

• Zincir içi işlemler ve akıllı sözleşmeler: PQC ile uyumlu yeni nesil işlem imzası formatları ve akıllı sözleşme doğrulama mekanizmaları üzerinde araştırma yaparak, zincir içi işlemlerin kuantum çağında güvenli ve güvenilir kalmasını sağlama.

Bizim vizyonumuz, alım satım platformlarından blok zinciri ağlarına, merkezi hizmetlerden merkeziyetsiz uygulamalara kadar üç boyutlu bir kuantuma dayanıklı güvenlik koruma sistemi inşa ederek herkesin zincir üstü güvenliğini gerçekten koruma altına almaktır.

W3IF Foundation ile bu iş birliği POC’si, flomesh.io ve onun pqc-gateway açık kaynak projesi ile yaptığımız, zorluklara dair derinlemesine analizlerimiz ve gelecek planlamalarımız, KuCoin için kuantum sonrası geçişin uzun yolunda yalnızca bir başlangıçtır. Tüm sorunları çözdüğümüzü iddia etmeye cesaret edemeyiz ancak erken keşfin, aktif uygulamanın ve açık iş birliğinin gelecekteki belirsizliklerle başa çıkmanın en iyi yolları olduğuna içtenlikle inanıyoruz.

KuCoin, kullanıcı varlıkları ve verilerinin güvenliğini her zaman birincil sorumluluğu olarak görmüştür. Alım satım platformlarından blok zinciri ekosistemine kadar kapsamlı bir keşif süreciyle, sadece kendi güvenlik teknolojisi bariyerlerimizi güçlendirmeyi değil aynı zamanda kuantuma dayanıklı kriptografinin (PQC) uygulanmasında sektör için en iyi uygulamaları biriktirmeyi hedefliyoruz. Daha güvenli bir dijital varlık ekosistemini, bir sonraki bilişim çağını güvenle karşılayacak şekilde inşa etmek için daha fazla partner ve kullanıcı ile birlikte çalışmayı dört gözle bekliyoruz.

Çünkü gerçek güvenlik, geleceğe duyulan saygıdan ve ayaklarımızın altındaki adımlardan başlar.

Referanslar:

[1] NIST PQC Standardizasyonu: https://csrc.nist.gov/projects/post-quantum-cryptography/selected-algorithms-2022
[2] NSA Siber Güvenlik Danışmanlığı - PQC Geçişi: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3498776/post-quantum-cryptography-cisa-nist-and-nsa-recommend-how-to-prepare-now/
[3] SEC - PQFIF Taslak Önerileri: https://www.sec.gov/files/cft-written-input-daniel-bruno-corvelo-costa-090325.pdf

 

Sorumluluk Reddi: Bu sayfa, kolaylığınız için AI teknolojisi (GPT destekli) kullanılarak çevrilmiştir. En doğru bilgi için orijinal İngilizce versiyona bakınız.