Hızlı Cevap: Dünya genelindeki merkez bankaları ve finans kurumları, yeterince güçlü bir kuantum bilgisayarın bugünün finansal güvenliğini saatler içinde kırabileceği endişesiyle RSA ve eliptik eğri şifrelemesini aktif olarak kuantum dirençli algoritmalarla değiştiriyor. Henüz tamamlanması yıllar sürecek olan bu geçiş, havalelerden tasarruf hesabınızın kimlik doğrulama katmanına kadar her şeyi etkiliyor ve geçiş süreci, resmi açıklamaların düşündüğünden daha karmaşık.
Tehdit artık teorik değil ve finans sektörü bunun farkında. Kurumların içinde bile yeterince anlaşılamayan şey ise, otuz yıldır sessizce biriken, kapatılamayacak sistemlerin içindeki kriptografik altyapıyı değiştirmenin ne kadar olağanüstü zor olduğudur.
Bu, kuantum bilgisayarların yarın bankaları batıracağı bir hikaye değil. Bu, henüz tam olarak var olmayan bir tehdide karşı trilyonlarca dolarlık işlemi geleceğe hazırlamaya çalışan, aynı zamanda her gün milyonlarca işlemi işleyen canlı ödeme sistemlerini çalıştıran bir endüstrinin hikayesi.
Kuantum Geldiğinde Gerçekten Ne Bozulacak?
Bankalararası transferleri, SWIFT mesajlarını, tahvil anlaşmalarındaki dijital imzaları ve çevrimiçi bankacılık girişinizi koruyan mevcut güvenlik mimarisi, temel olarak iki matematiksel varsayıma dayanır: büyük tam sayıları çarpanlara ayırmanın zorluğu (RSA) ve eliptik eğri ayrık logaritma problemlerinin zorluğu (ECDSA). Bunlar işe yarar çünkü klasik bilgisayarların bunları kaba kuvvetle çözmesi milyonlarca yıl sürer.
Yeterince büyük bir kuantum bilgisayar Shor algoritmasını çalıştırarak bu zaman çizelgesini saatlere, potansiyel olarak dakikalara indirebilir.
Pratik etkisi şiddetlidir. Bugün ele geçirilen ve depolanan herhangi bir şifreli finansal iletişim, kuantum yeteneği geldiğinde geriye dönük olarak çözülebilir – araştırmacıların "şimdi topla, sonra çöz" olarak adlandırdığı bir strateji. İstihbarat teşkilatlarının bunu zaten yaptığı varsayılıyor. Uzun vadeli jeopolitik motivasyonlara sahip ulus devlet aktörlerinin, SWIFT, Fedwire veya TARGET2'den gelen şifreli finansal trafiği şimdi arşivlemek ve beklemek için her türlü teşviki var.
Bazı merkez bankası kriptograflarını uyanık tutan kısım da burasıdır: saldırı yüzeyi zaten mevcut. Kuantum bilgisayar henüz inşa edilmedi.
NIST'in Standardizasyonu ve Uygulama Boşluğu
Temmuz 2024'te, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), ilk kuantum sonrası kriptografik standart setini tamamladı: ML-KEM (eski adıyla CRYSTALS-Kyber), ML-DSA (eski adıyla CRYSTALS-Dilithium) ve SLH-DSA (eski adıyla SPHINCS+). Bu algoritmalar, kuantum bilgisayarların verimli bir şekilde çözdüğü bilinen sorunlara (kafes problemleri, hash tabanlı imzalar) dayanmaktadır.
Kağıt üzerinde bu, bir ilerleme gibi görünüyor. Ve öyle de. Ancak yayınlanmış bir standart ile finansal altyapı içinde gerçek dağıtım arasındaki boşluk muazzam ve derinlemesine hafife alınıyor.
Büyük bir merkez bankasının içinde "kriptografiyi değiştirmek" aslında ne anlama geliyor, bir düşünün:
- Çekirdek ödeme sistemlerine gömülü Donanım Güvenlik Modülleri (HSM'ler), donanım yazılımı değişimi veya tam donanım takasları olmadan yeni algoritma ailelerini desteklemeyebilir.
- Eski COBOL tabanlı sistemler – evet, bazı temel bankacılık sistemleri hala COBOL üzerinde çalışıyor – kriptografik kütüphanelerle zayıf belgelenmiş ve bazen hiç belgelenmemiş şekillerde etkileşime girer.
- Muhabir bankacılık ilişkilerindeki Sertifika zincirleri, her birinin kendi düzenleyici zaman çizelgesi olan düzinelerce yargı alanına yayılmıştır.
- Farklı hızlarda geçiş yapan kurumlar arasındaki Birlikte çalışabilirlik, kuantum güvenli bir bankanın kuantum güvenli olmayan bir muhatapla iletişim kurduğu ve müzakere edilen güvenlik seviyesinin zayıf uç noktaya düştüğü tehlikeli hibrit dönemler yaratır.
Uluslararası Ödemeler Bankası (BIS), 2023'te yayınladığı bir çalışma belgesinde bu birlikte çalışabilirlik sorununu, geçiş sırasında ortaya çıkması muhtemel merkezi koordinasyon başarısızlıklarından biri olarak açıkça işaret etti. Ancak bu durum geniş çapta ele alınmadı.
Merkez Bankası Geçiş Gerçeği
Avrupa Merkez Bankası, Federal Rezerv ve İngiltere Bankası, resmi iletişimlerinde kuantum tehdidini kabul ettiler, ancak yayınladıkları gerçek geçiş zaman çizelgeleri, kasıtlı olarak belirsiz olmaya varan şekillerde muğlaktır.
Fed'in kuantum riski hakkındaki 2022 tarihli tartışma belgesi "izleme" ve "NIST ile etkileşim"den bahsediyordu. ECB'nin 2023 kripto varlık güncellemesi, kuantum sonrası hazırlığa tek bir paragrafta değindi. Bunlar altyapıda hızlı hareket eden kuruluşlar değildir. Dikkatli hareket ederler, ki bu doğrudur - ancak dikkatli olmak bazen risk kabulü ile risk azaltma arasındaki boşluğun kendi başına bir risk haline gelmesi kadar yavaş hareket etmek anlamına gelebilir.
Bazı merkez bankaları daha ileridedir. Bundesbank'ın, bankalararası ödeme testleri için kafes tabanlı anahtar değişimi üzerine dahili pilot uygulamalar yaptığı bildirildi. Singapur Para Otoritesi, daha net geçiş rehberliği yayınlayarak ve seçilen finans kurumlarıyla kuantum güvenli pilot koridorları yürüterek daha proaktif Asya kurumlarından biri olmuştur.
Ticari bankalar ise daha da parçalanmış bir konumdadır. JPMorgan Chase ve HSBC gibi büyük küresel kurumların özel kuantum güvenlik ekipleri var ve keşif çalışmalarını kamuoyuna açıkladılar. Orta ve bölgesel bankaların çoğu, yukarıdaki birilerinin - çekirdek bankacılık yazılımı satıcılarının, ödeme ağı operatörlerinin - bunu halledeceği varsayımıyla neredeyse hiçbir şey yapmadı.