Hızlı Cevap: 2028 yılına kadar, modern bankacılık güvenliğinin omurgası olan RSA-2048 ve eliptik eğri şifrelemesini kırabilecek kuantum bilgisayarlar faaliyete geçebilir. Bu, standart tasarruf hesaplarının, havalelerin ve dijital bankacılık kimlik bilgilerinin kriptografik olarak savunmasız hale gelebileceği anlamına geliyor. Bankalar ve düzenleyiciler kuantum sonrası kriptografiyi (PQC) benimsemek için yarışıyor, ancak geçiş yavaş, düzensiz ve yetersiz finanse ediliyor.
Finansal sistem, büyük asal sayıları çarpanlarına ayırmanın hesaplama açısından imkansız olduğu matematiksel varsayımına dayanır. Klasik bilgisayarlar için bu varsayım geçerlidir. Shor algoritmasını çalıştıran kuantum bilgisayarlar için ise geçerli değildir. Bu, teorik bir gelecekteki sorun değil; belirli bir son tarihi olan aktif bir mühendislik zorluğudur ve bankanız neredeyse kesinlikle buna tam olarak hazırlanmamıştır.
Modern Bankacılığın Kriptografik Temeli
Online bankacılığa her giriş yaptığınızda, transfer başlattığınızda veya bir kart ödemesini onayladığınızda, iki kriptografik aileden birine güveniyorsunuz:
- RSA (Rivest–Shamir–Adleman): Genellikle TLS el sıkışmalarında ve sertifika yetkililerinde kullanılan RSA-2048.
- ECC (Eliptik Eğri Kriptografisi): Mobil bankacılık uygulamalarında, temassız ödemelerde ve API kimlik doğrulamasında kullanılır.
Her iki sistem de güvenliklerini, klasik bilgisayarların pratik zamanda çözemediği matematiksel sorunlardan alır. RSA tam sayı çarpanlara ayırmaya dayanırken; ECC, eliptik eğriler üzerindeki ayrık logaritma problemine dayanır.
Kuantum tehdidi hassastır: 1994'te yayımlanan Shor algoritması, yeterince büyük bir kuantum bilgisayarda her iki sorunu da polinom zamanda çözebilir. 4.000 mantıksal kubitlik hataya toleranslı bir kuantum bilgisayar, RSA-2048'i teorik olarak bin yıl değil, saatler içinde kırabilir.
Kuantum Donanımı Gerçekte Nerede Duruyor (2024–2028 Zaman Çizelgesi)
2024 ortası itibarıyla, kamuya açık en gelişmiş kuantum işlemcileri şunları içerir:
| Kuruluş | Sistem | Mantıksal Kubit (yakl.) | Durum |
|---|---|---|---|
| IBM | Heron (2023) | 133 fiziksel kubit | Araştırma |
| Sycamore halefi | 70+ fiziksel kubit | Araştırma | |
| Microsoft | Topolojik kubit prototipi | Erken aşama | Ticari öncesi |
| IonQ | Forte Enterprise | 35 algoritmik kubit | Ticari |
Kritik ayrım: Fiziksel kubit ≠ Mantıksal kubit. Hata düzeltme yükü, RSA-2048'i kırmanın tahmini 4.000+ mantıksal kubit gerektirdiği anlamına gelir; bu da hata oranlarına bağlı olarak milyonlarca fiziksel kubit gerektirebilir.
NIST'in dahili değerlendirmeleri, Küresel Risk Enstitüsü'nden 2022 tarihli bir raporla birlikte, RSA-2048'in 2026'ya kadar kırılabilir hale gelme şansının 7'de 1 olduğunu, 2031'e kadar ise bu oranın 2'de 1'e yükseldiğini tahmin ediyor. 2028 penceresi tam da bu yüksek belirsizlik bölgesinde yer alıyor.
"Kriptografik olarak ilgili bir kuantum bilgisayarın (CRQC) tehdit haline gelmeden önce kamuoyuna duyurulması gerekmez. Sınıflandırılmış programları olan ulus-devlet aktörleri buna daha erken ulaşabilir." — CISA, Kuantum Sonrası Kriptografi Girişimi, 2023
"Şimdi Topla, Sonra Şifre Çöz" Saldırı Yöntemi
Bu, en acil ve eyleme geçirilebilir tehdittir — ve zaten yaşanmaktadır.
Saldırganların (özellikle ulus-devlet istihbarat servislerinin) kuantum kabiliyetine ulaşıldığında şifrelerini çözmek amacıyla şifrelenmiş bankacılık iletişimlerini bugün ele geçirdiği ve arşivlediği bilinmektedir. Bu stratejiye HNDL (Harvest Now, Decrypt Later) denir.
Bankacılık için bu şu anlama gelir:
- Bugün iletim sırasında şifrelenen uzun vadeli hesap kayıtları geriye dönük olarak ifşa edilebilir.
- Eski TLS oturumlarında gömülü özel anahtar materyali kurtarılabilir.
- Gelecekteki şifre çözme için arşivlenen muhabir bankacılık mesajları (SWIFT trafiği).
Birleşik Krallık NCSC'sinin 2023 tarihli bir istihbarat brifingi, finansal altyapıyı hedef alan HNDL operasyonlarının "inandırıcı ve aktif" bir tehdit vektörü olarak kabul edildiğini doğrulamıştır.
NIST'in Kuantum Sonrası Kriptografi Standartları: Bankaların Neleri Benimsemesi Gerekiyor
Ağustos 2024'te NIST, ilk Kuantum Sonrası Kriptografi (PQC) standartlarını kesinleştirdi:
- ML-KEM (eski adıyla CRYSTALS-Kyber) — Anahtar kapsülleme mekanizması
- ML-DSA (eski adıyla CRYSTALS-Dilithium) — Dijital imzalar
- SLH-DSA (eski adıyla SPHINCS+) — Hash tabanlı imzalar
Bu algoritmalar, hem klasik hem de kuantum saldırılarına dirençli olduğuna inanılan matematiksel problemlere — özellikle kafes problemleri ve hash fonksiyonlarına — dayanmaktadır.
Bankalar için geçiş zorluğu büyüktür:
- Eski sistem derinliği: Temenos T24 veya FIS Profile gibi çekirdek bankacılık sistemleri kriptografik çeviklik düşünülerek tasarlanmamıştır.
- Sertifika altyapısı: Milyonlarca SSL sertifikası, HSM (Donanım Güvenlik Modülleri) ve PKI hiyerarşisinin değiştirilmesi gerekiyor.
- Düzenleyici uyum gecikmesi: Basel III, PCI-DSS 4.0 ve DORA henüz PQC zaman çizelgelerini açıkça zorunlu kılmamaktadır.
- Üçüncü taraf riski: Ödeme işlemcileri, ATM ağları ve API ortakları her biri bağımsız güvenlik açıkları sunar.
Vaka Çalışması: Hollanda Bankacılık Sektörünün PQC Pilotu
2022–2023'te, De Nederlandsche Bank (DNB), ING, Rabobank ve ABN AMRO ile birlikte, geçiş önlemi olarak klasik ve kuantum sonrası algoritmaları eş zamanlı olarak çalıştıran hibrit kriptografik protokolleri test etmek için bir pilot program koordine etti.
2023 teknik raporlarında yayımlanan temel bulgular: