Yönetici Özeti
Bu teknik kılavuz, kurumsal organizasyonların mevcut kriptografik altyapılarını NIST standartlarına uyumlu post-kuantum algoritmalarına geçirmesi için kapsamlı bir yol haritası sunmaktadır.
1. Kriptografik Envanter Çıkarma
Geçiş sürecinin ilk adımı, organizasyondaki tüm kriptografik varlıkların tespit edilmesidir.
Envanter Kapsamı
- •TLS/SSL Sertifikaları: Web sunucuları, API gateway'leri, load balancer'lar
- •VPN ve Ağ Şifrelemesi: IPSec, OpenVPN, WireGuard tünelleri
- •Uygulama Düzeyinde Şifreleme: Veritabanı şifrelemesi, dosya şifrelemesi
- •Dijital İmzalar: Kod imzalama, belge imzalama, e-posta şifrelemesi
- •PKI Altyapısı: Kök CA'lar, ara CA'lar, sertifika zinciri
2. Risk Değerlendirme
Tehdit Zaman Çizelgesi
Uzmanların büyük çoğunluğu, kriptografik açıdan ilgili kuantum bilgisayarların (CRQC) 2030-2035 yılları arasında ortaya çıkabileceğini öngörmektedir.
- •Acil Tehdit: Uzun vadeli hassas veriler (tıbbi kayıtlar, devlet sırları)
- •Orta Vadeli Tehdit: Finansal işlem geçmişleri, fikri mülkiyet
- •Uzun Vadeli Tehdit: Kısa yaşam döngülü operasyonel veriler
3. NIST PQC Algoritmaları
ML-KEM (FIPS 203) — Anahtar Kapsülleme
Kyber tabanlı ML-KEM, TLS key exchange ve PKI anahtar aktarımı için önerilen algoritmadır. 768-bit parametre seti (ML-KEM-768) kurumsal kullanım için önerilmektedir.
ML-DSA (FIPS 204) — Dijital İmza
Dilithium tabanlı ML-DSA, kod imzalama ve sertifika imzalama için kullanılır. ML-DSA-65 güvenlik seviyesi RSA-3072 ile eşdeğerdir.
SLH-DSA (FIPS 205) — Hash Tabanlı İmza
SPHINCS+ tabanlı SLH-DSA, uzun vadeli arşiv imzaları için ideal seçimdir.
4. Geçiş Stratejisi
Hibrit Kriptografi Yaklaşımı
Geçiş sürecinde hibrit mod zorunludur. Hem klasik (ECDH P-256) hem PQC (ML-KEM-768) algoritmaları aynı anda çalıştırılır.
5. Uygulama Yol Haritası
- •0-6 Ay: Kriptografik envanter ve risk skorlaması
- •6-12 Ay: Pilot sistem seçimi ve hibrit geçiş
- •12-24 Ay: Üretim sistemlerine kademeli dağıtım
- •24-36 Ay: Tam PQC geçişi ve klasik algoritma kaldırma