Google, 2016 yılından bu yana post-kuantum kriptografiye sorumlu bir geçiş için çalıştığını ve artık uyarı zamanını geldiğini söyleyen bir makale yayınladı. 31 Mart tarihli makale kripto paraların özellikle Bitcoin’in şifreleme standardının da risk altında olabileceği yönünde detaylar içerdiğinden kripto para topluluğunda bugün tartışmalar yoğundu. Peki işin aslı ne?
Kuantum Nedir?
Öncelikle nedir kısmından başlayalım. Bildiğimiz bilgisayarlar, sistemler 0 ve 1 ile çalışır bu çoğunuzun okulda öğrendiği temel bir bilgi. Kuantum bilgisayarlar ise “Superposition” denilen ilkeden yararlanır yani bu da aynı anda hem 0 hem 1’in olabilmesi demektir. Klasik bilgisayarlar, Bitcoin’in şifresini (şifreleme algoritmasını) çözmek için dünyanın yaşından daha uzun süreye ihtiyaç duyuyordu. Eskiden bilim insanları, bu şifreyi kırmak için 20 milyon fiziksel qubit (kuantum biti) gerektiğini hesaplıyordu.
Gelişen hatta şu an bile hızla gelişen teknoloji artık bu süreyi makul seviyelere indiriyor. Yani Bitcoin’in şifreleme algoritması “çözülebilir olma evresine doğru” ilerliyor. Google’ın yeni makalesi, “hata düzeltme” (error correction) tekniklerini geliştirerek bu ihtiyacı 500.000 qubitin altına düşürdü. Gelecekte bu gelişen algoritma ve donanımlarla daha da düşecek. Bu tıpkı faks makinesinin rehber bölümüne nalburunuzun envanterini yazıp rapor yazdırırken stok raporu çıkarmaya çalışmanızla bugün yazıcıdan bunu kolayca basabilmeniz arasındaki farkı bu süreçteki değişime benziyor. Envanter raporu çıktısı almak faks makineniz varken uzun uğraşlar sonunda kendi geliştirdiğiniz yöntemle mümkündü fakat sonra yazıcılar geldi herkes çok daha düzgün şekilde bunu yapabilir hale geldi. Google şimdi faks makinesinden envanter çıktısı almanın yakında mümkün olabileceği uyarısını yapıyor yani teknolojimiz bu evreye yaklaşıyor diyor.
Bir sonraki aşamada sadece Google değil daha fazla şirket, ülkeler ve sonrasında daha küçük şirketler ve nihayetinde bireyler bu yeteneklere sahip olacak.
Google’ın Uyarısı
Google “biz bu teknolojiyi ileri taşıyoruz ve bir anda tüm kilitleri açacak güce ulaşıp ağır sonuçlarla karşılaşmak istemiyoruz” diyerek teknolojinin geldiği ve gittiği nokta konusunda 31 Mart tarihinde uyarı yayınladı.
“Gelecekteki kuantum bilgisayarların, kripto para birimlerini ve diğer sistemleri koruyan eliptik eğri kriptografisini, daha önce tahmin edilenden daha az kuantum bit ve kapı kullanarak kırabileceğini gösteriyoruz. Bu konuda farkındalık yaratmak istiyoruz ve kripto para birimi topluluğuna, bu durum gerçekleşmeden önce güvenliği ve istikrarı artırmak için öneriler sunuyoruz.” – Google
Google kripto para ekipleri ve diğerlerini kuantum saldırılarına dirençli olan post-kuantum kriptografiye (PQC) geçişe davet etti.
“Bu araştırmayı sorumlu bir şekilde paylaşmak için ABD hükümeti ile işbirliği yaptık ve bu güvenlik açıklarını sıfır bilgi kanıtı yoluyla açıklayan yeni bir yöntem geliştirdik. Böylece, kötü niyetli kişilere bir yol haritası sunmadan bu güvenlik açıklarının doğrulanması mümkün oluyor. İnsanların güvenliğini sağlamak için diğer araştırma ekiplerini de aynısını yapmaya çağırıyoruz. Coinbase, Stanford Blockchain Araştırma Enstitüsü ve Ethereum Vakfı gibi sorumlu yaklaşımlar üzerinde çalışan diğer kuruluşlarla birlikte, 2029 zaman çizelgemize uygun olarak sektördeki çalışmalarımızı sürdürmeyi sabırsızlıkla bekliyoruz.”
Şirket Ethereum Vakfı gibi kriptonun içinden aktörlerinde dahil olduğu sürece dair yukarıdaki açıklamayı yaptı. Yani kripto paraların şifresi çözülmedi ve Google uykudaki Bitcoin’leri dolaşıma sokmayacak ancak teknoloji bu aşamaya doğru ilerliyor (şimdiden ECDLP-256’yı çözmek için gereken fiziksel kuantum bit sayısında yaklaşık 20 katlık bir azalma görüldüğünden) ve kripto devlerinin artık kripto riskine karşı önlem alma zamanı geliyor. 2029’a kadar Google dünyaya süre veriyor.
“Hükümetler ve Google dahil diğer kuruluşlar, yıllardır bu güvenlik sorununa karşı hazırlık yapıyor. Bilimsel ve teknolojik ilerlemelerin devam etmesiyle CRQC’ler gerçeğe yaklaşıyor ve PQC’ye geçişi gerektiriyor; bu nedenle kısa süre önce 2029 geçiş zaman çizelgemizi açıkladık. Teknik raporumuzda, eliptik eğri kriptografisinin dayandığı 256 bitlik eliptik eğri ayrık logaritma problemini (ECDLP-256) kırmak için gerekli olan kuantum hesaplama “kaynakları” (yani kuantum bitleri ve kapılar) hakkındaki güncellenmiş tahminlerimizi paylaşıyoruz. Kaynak tahminlerimizi, mantıksal kuantum bitlerinin sayısı (yüzlerce fiziksel kuantum bitinden oluşan hata düzeltmeli kuantum bitleri) ve Toffoli kapıları (birçok algoritmayı yürütmek için gereken sürenin temel itici gücü olan, kuantum bitleri üzerinde yapılan pahalı temel işlemler) cinsinden ifade ediyoruz. “
Kıyamet Senaryosu Mu?
Basitleştirelim. Kuantum bilişim SHA-256’yı kırabilecek noktaya ilerliyor. Bu dünyadaki dijital imzalardan askeri güvenli haberleşmeye, e-ticaret platformlarındaki ödeme şifrelemelerinden birçok şeye kadar her şeyin temelidir. Yani SHA-256 “kırıldığında” (bunu kırabilmek için devasa bilgi işlem gücü gerekir Google bunu ABD için yapabilir ve pek rakibi olma ihtimali yok bu aşamada) Bitcoin’den önce ABD düşman gördüğü devletlerin tüm gizli verilerini ele geçirip ülkedeki bankacılık altyapısını güvenli hale getirip sonrasında da keyif için Nakamoto’nun cüzdanındaki varlıkları dolaşıma sokabilir. Yani Bitcoin’e sıra gelene kadar yapılacak çok şey var.
Yani Google oturup “Bitcoin’in şifresini (!) kıralım” diyerek şifreleme algoritmalarını yıkılabilir hale getirmeye çalışmıyor.
SHA-256 Nedir?
SHA-256 (Secure Hash Algorithm 256-bit) herhangi bir veriyi 64 karakterlik eşsiz bir diziye dönüştürür yani tek yönlü bir algoritmadır. Nerelerde kullanılıyor? Bir web sitesine girdiğinde (HTTPS), tarayıcın sitenin sertifikasının orijinal olup olmadığını kontrol eder. Bu sertifikaların “bozulmadığını” doğrulamak için SHA-256 imzaları kullanılır.
Bir siteye üye olduğunda şifren SHA-256 (genellikle üzerine “salt” eklenerek) ile özetlenir ve veritabanına öyle kaydedilir. Resmi belgelerin dijital olarak imzalanmasında, belgenin içeriği SHA-256 ile özetlenir ve ardından göndericinin gizli anahtarıyla şifrelenir.
Anti-virüs yazılımları, bilinen virüslerin SHA-256 özetlerinden oluşan devasa bir veri tabanına sahiptir.
Dropbox veya Google Drive gibi servisler, aynı dosyanın binlerce kopyasını saklamamak için SHA-256 kullanır. Linux veya programlama dilleri için kütüphane indirirken, indirilen paketlerin sunucudakiyle aynı olduğunu doğrulamak için SHA-256 kontrolü yapılır. Bu, “man-in-the-middle” saldırılarını engeller.
Bilgisayarınız açılırken işletim sisteminin (Windows/Linux) çekirdeğinin orijinal olup olmadığını kontrol etmek için anakart (UEFI) SHA-256 imzalarını kontrol eder. Akıllı ev cihazları veya endüstriyel sensörler, internet üzerinden bir yazılım güncellemesi alırken, güncelleme dosyasının üreticiden geldiğini SHA-256 ile doğrular. Polis veya siber güvenlik uzmanları, bir suç mahallindeki bilgisayardan aldıkları imajın (kopya) mahkeme sürecinde değişmediğini kanıtlamak için dosyanın SHA-256 özetini alır ve bu özeti mühürler.
İnternet adreslerinin (googlecom gibi) sizi yanlış bir IP adresine yönlendirmesini engellemek için DNS kayıtları SHA-256 tabanlı dijital imzalarla korunur. Gönderdiğiniz e-postaların yolda değiştirilmediğini ve gerçekten sizin sunucunuzdan çıktığını kanıtlamak için e-posta başlıklarına SHA-256 ile oluşturulmuş dijital imzalar eklenir.
Liste uzar gider yani Kuantum’un bir noktada bunu parçaladığını görürsek tüm internet şifreleme altyapısı eğer o gün gerekli seviyeye yükseltilmediyse sorun sadece kripto paraların sorunu olmaz.
Son: BTC ve ETH Bu Savaştan Çıkar Mı?
Ethereum ekibi zaten çoktan kuantum risklerine önlem için harekete geçti bunu yol haritasına ekledi. 2029’dan önce Ethereum kolayca risklere karşı kendini garanti altına almış olacak. Bitcoin için durum biraz daha farklı çünkü burada değiştirilemezlik ilkesi biraz yanlış yorumlanıyor. Güvenlik için bile olsa Bitcoin topluluğunda süreç boyunca tartışmalar görebiliriz Taproot veya ordinaller ne gibi tartışmalar, riskler doğurdu hepimiz gördük.
Her halükarda Bitcoin topluluğu da Bitcoin’i yaşatmak için bu güncellemeye diretmeyecektir yani BTC ve ETH rahatlıkla bu kuantum savaşından çıkar sadece yol haritalarını artık belirlemeleri harekete geçmeleri gereken zaman geldi. SHA256 gider SHA512 gelir daha gelişmiş versiyonları da gelir ve şifreleme algoritmalarını dayanıklı hale getirmek kuantum bilişim sistemleri geliştirmeye kıyasla çok daha basit bir şey. Özetle rahat nefes alabilirsiniz.
