MasterCard’ın Quantum Hesaplama Çağına Yönelik Hazırlığı : ECOS (Enhanced Contactless )
Latince “kaç” anlamına gelen “Quanta” kökünden türetilen quantum kelimesi fizikte klasik anlayıştan farklı bir yaklaşım ile maddeyi tarif eden fizik ekolü için kullanılmaktadır.
Klasik bilgisayarlarda 0 veya 1 ile ifade edilen bilgi birimi bit, Quantum bilgisayarlarda belli olasılıklarla “0”, belli olasılıklarla da “1” olabiliyor (süperpozisyon) ve Qubit olarak isimlendiriliyor.
Aynı anda farklı hesaplama işlemlerini yapabilmeleri qantum bilgisayarlarını mevcutta yaygın şekilde kullanılan kriptografik yöntemler ve anahtar uzunlukları karşısında bir tehdit olarak değerlendirilmeleri sonucunu doğuruyor. Quantum bilgisayarların ticari olarak kullanılmaya başlanması ve yeterli Qubit seviyesine ulaşmaları durumunda mevcut asimetrik RSA ve simetrik TDES algoritmaları ile yapılan şifrelemeleri kolaylıkla çözebilecekleri öngörülüyor.
Halihazırda üretilen en yüksek kapasiteli quantum bilgisayarın 127 Qubit olduğu düşünüldüğünde EMV kartlarda kullanılan anahtarların bugünün şartlarıyla kırılmasının mümkün olmadığı yapılan bilimsel çalışmalar ile destekleniyor.
Yanısıra Global Risk Institute tarafından yapılan ve her yıl yenilenen araştırma sonucuna göre uzmanlar ortalama 20 yıllık bir süre zarfında 2048 bit RSA anahtarın quantum bilgisayarları ile kolaylıkla kırılabileceğini öngörüyor.
NIST, 2015 yılında başlattığı ve 2024 yılında tamamlanması öngörülen PQC (Post Quantum Cryptography) çalışması ile Quantum bilgisayarlarının varlığında güvenle kullanılabilecek kriptografik algoritmaların spesifikasyonlarını belirlemeye çalışıyor.
Kartlı ödeme işlemleri hassas verilerin sistemler veya cihazlar arasında taşınması suretiyle gerçekleştiğinden kriptografik şifrelemenin çokça kullanıldığı söylenebilir. EMV kartların orjinallik kontrolü veya kart ile terminal arasında offline PIN iletimi asimetrik RSA algoritması ile yapılırken örneğin PIN’in sistemler arasında güvenli şekilde iletimi simetrik TDES veya AES anahtarlar ile yapılabilmektedir.
Bu açıdan sektör kuruluşu olan EMVco da, NIST tarafından organize edilen çalışmalarda EMV spesifikasyonlarının uyumlanması maksadıyla yer alıyor. Asimetrik anahtar kullanım senaryolarında EMVco tarafından alınan ilk önlem Elliptic Curve (ECC) algoritmasına geçiş.
ECOS (Enhanced Contactless)
MasterCard post quantum dönemine yönelik temassız kart spesifikasyonlarını ECOS (Enhanced Contactless) olarak isimlendiriyor. ECOS spesifikasyonu ile temassız işlemlerde mevcutta açık şekilde karttan terminale iletilen veriler güvenli bir şifreleme ile taşınıyor olacak. Spesifikasyon değişikliği ödemeler ekosisteminde pek çok noktayı etkilediğinden sektörün hazırlık yapabilmesi adına yeni spesifikasyonların kullanım öncesinde paylaşılması amaçlanıyor.
ECOS ile birlikte TDES algoritmasının kullanıldığı simetrik anahtar kullanım senaryoları daha güvenli olan AES ile yer değiştiriyor. Yine asimetrik RSA algoritmasının yerine ise ECC’nin kullanılacağı duyuruldu.
ECOS projesi, esasında MasterCard’ın geleceğe yönelik vizyonunda temassız ödeme yönteminin dijital ödemelerle birlikte ana ödeme yöntemi olarak görüldüğüne yönelik ipucu niteliğinde.
Temassız teknolojisi ile birlikte ödeme deneyiminin iyileştirilmesi “Enhanced Convenience”, güçlü kriptografik yöntemlerin kullanılması “Enhanced Trust” ve halihazırda şifrelenmeyen bazı verilerin kart ile terminal arasındaki iletişimde şifrelenmeye başlanması “Enhanced Privacy” olarak öne çıkarılıyor.
Kaynaklar:
https://www.nature.com/articles/d41586-019-03213-z
https://technative.io/nist-post-quantum-crypto-timelines-avoiding-the-dangerous-misconception/
https://developer.mastercard.com/blog/next-generation-contactless-payments-ecos/